Schiaparelli-Landung

Zitat von: stillesWasser am 24. Oktober 2016, 19:51:08

Zitat von: tobi am 24. Oktober 2016, 19:11:17

Der Softwarefehler ist schon etwas peinlich, man sollte schonmal ein paar Tests der Software mit fingierten Daten machen. Dann hätte das nämlich auffallen müssen.

Das was mich verwundert: Genau das hat man gemacht, denn das sind eben die Monte Carlo Simulationen.
Man ändert die äußeren Parameter zufällig und simuliert die gesamte Landung mit diesen Daten. Dazu sollte eigentlich genau die Landesoftware verwendet werden und das Sensor Interface wird eben nicht von Sensoren sondern einer anderen Software gefüttert.
Und solche Simulationen werden eigentlich im großen Stil angefertigt (mehrere Millionen Variationen)

Vermutlich hat man genau das auch getan - mit Sensordaten, die der Schnittstellenspezifikation des Radargerätes entsprechen. Timeout heist ja, dass die Software auf dem Radargerät zu spät oder gar nicht auf eine Anfrage der Navigationssoftware geantwortet hat, sich also nicht entsprechend der Spezifikation verhalten hat. Die einzige Möglichkeit so etwas zu finden wäre, alle elektronischen Komponenten, auf denen Software läuft, zusammenzuschalten und dann jede Komponente ihrerseits mit fingierten Daten zu versorgen, also z.B. nicht Höhe und Geschwindigkeit, sondern fingierte Radarechos. Diese müssten wiederum in Echtzeit aus einer physikalischen Simulation der Landers und der daraus folgenden Reflexionen an einem Modell der Marsoberfläche berechnet werden. Die Komplexität so eines Tests könnte so schnell ins Unermessliche wachsen, dass es vielleicht billiger wäre, einen komplett fertigen Testartikel samt Sensoren und Software unter einen Hubschrauber zu schnallen...

Ja, ich hatte das mit dem Timeout überlesen gehabt.
Allerdings ist es dann meiner Meinung nach nur bedingt ein Software Fehler. Denn wenn ein Timeout in der Spezifikation nicht erlaubt ist, dann hat das Radarsystem den Fehler gemacht.
Und wenn die Spezifikation der GNC kein Umgang mit Timeouts fordert, dann ist es ein Designfehler.
Und wenn es in der Spezifikation ist, dann muss es in den Simulationen auch getestet werden.
Ich weiß das klingt nach Haarspalterei, aber in so komplexer Software sind solche Unterscheidungen essentiell, sonst kann man gleich es gleich lassen.

Der Hubschraubertest wäre in der Tat wichtig gewesen. Hat man ja auch bei CUri bzw SkyCrane gemacht. Aber ich kann mir auch nicht vorstellen, dass sie das System nicht auch als ganzes getestet haben....

Man kann es drehen und wenden, Software Fehler solcher Art sind nur schwer zu rechtfertigen und wirft kein gutes Licht auf die entwickelnden Firmen...

Hallo

Ich bin angenehm überrascht von der Offenheit der ESA.
Sie geben den technischen Hintergrund des Fehlers bekannt.

1 dicker Pluspunkt für die ESA

Matjes

Hallo

Ich bin angenehm überrascht von der Offenheit der ESA.
Sie geben an den technischen Hintergrund des Fehlers bekannt.

1 dicker Pluspunkt für die ESA

Matjes

Stimmt ja. Und auch ohne Spin/halbwahrheiten.

Der Teil, der sich wirklich gar nicht nachstellen lässt ist die heiße Eintrittsphase, und die ist voll erfolgreich verlaufen. Das ist durchaus nicht zu unterschätzen!

Volle Zustimmung. Der Unterschied zwischen Beagle 2 und Schiaparelli war, dass 2003 keine Daten übertragen wurden und 2016 sehr wohl, und dieses Datenpaket macht Schiaparelli zu einem Erfolg, auch wenn die Landung selbst ein größerer Misserfolg war als bei Beagle 2. Aber diese Landung war nur noch das berühmte "Tüpfelchen auf dem i", das kann man leicht verschmerzen. Wer für den Wert dieses Datenpakets kein Verständnis hat, soll ruhig schimpfen und polemisieren und zeigt damit nur, dass er von der Komplexität von Softwareentwicklung keine Ahnung hat. 

Von mir erstmal ein Lob für die Ehrlichkeit und Offenheit.

Aber ein dicker Negativpunkt für die Fehlerart. Eine Software, welche abk**kt, nur weil es einen Timeout gibt, das ist wirklich peinlich. Auch wenn es sehr schwer zu simulieren ist.

Wenn ich Programmiere, dann darf ich nicht vom Idealfall ausgehen. Natürlich ist das schön einfach, ich kenne das aus eigener Erfahrung. Aber ich MUSS alle Arten von Fehlern abfangen. Timeouts und Datenmüll sind das schlimmste. Macht mal RS232 und die Quarze passen nicht ganz zueinander. Was dann passiert ist das schlimmste was man abfangen kann.

Aber genau das muss man testen UND im Quelltext checken. Gerade Schnittstellen können immer alles möglich an Unsinn machen. Dafür ist natürlich auch wichtig, daß die die Landesoftware möglich klein halte. Fotokomprimierung für hübsche Bilder hat da z.B. nichts drin zu suchen, das muss auf einer anderen Hardware laufen. Die Nasa hat das bei Curiositiy ja auch so gemacht. Der Hauptrechner macht alles, aber er darf abschmieren. Und wenn er das macht, übernimmt ein "Nebenrechner", welcher nur noch Funken kann, Dateien vom Hauptrechner ändern kann (Updates) und mehr nicht. Dieser Nebenrechner muss natürlich 100 mal gecheckt werden, der darf niemals ausfallen.


Mein schlimmster Fehler den ich hatte, passt thematisch genau dazu. Ich habe eine fertige Software verwendet. Die nehmen viele, da kann es wenig Fehler geben. Dachte ich. Sie ging bei mir bisher immer sofort. Jetzt hatte ich aber einen schlechten Quarz erwischt, die Minute hatte mit dem Quarz nur noch 59 Sekunden. Eigentlich egal, dann läuft ja alles ein wenig Langsamer. Aber nicht, wenn man das Funksignal DCF77 aus Frankfurt empfangen möchte. Wenn die Minute nur 59 Sekunden hat, ist das Signal immer und immer wieder ungültig. Hier kommen dann in der Minute für meine Software 61 Signale an. Obwohl es ja nur 60 sein dürfen. Ein Schnittstellenfehler, welcher nicht korrekt abgefangen wurde. Es zwar kein Crash produziert, aber auch kein Fehler gemeldet. Es wurde einfach nochmal probiert. Immer und immer wieder.
Solche Schnittstellenfehler sind schwer, gerade weil das Timing ja zu 95% stimmte und die Daten immer gut aussahen. Nur kamen halt zu viele Daten. Das hätte die Software eigentlich nach 5 bis 10 Sekunden Checken können ne Errormessage auswerfen können.


Edit: Nachtrag: @Terminus: Genau das darf niemals passieren. Softwareupdates MÜSSEN Separat vom Hauptcomputer laufen. Es muss hierfür einen Nebencomputer geben, welcher Dateien vom Hauptcomputer tauschen darf, aber seine eigenen nicht. Der Nebencomputer muss Funken können und tauscht nur die Daten vom Hauptcomputer aus, und Rebootet ihn. Jetzt kann kein Softwareupdate mehr Fehler machen. Wenn man davon zwei Stück hat, die sich gegenseitig Updaten könnten, dann kann ich die Nebencomputer auch Updaten, aber wenn ein Update schief läuft, kann ich es wiederholen so oft wie ich möchte.

Wäre interessant zu wissen was damals genau passiert ist den einen Backuprechner hatte Viking ja. Ich vermute man verstellte die Borduhr oder gab falsche Koordinaten für die Erde ein den die Orbiter waren zu dem Zeitpunkt schon längt außer Betrieb.

Micha

@Hugo: Schlechter Quarz ? Wie geht das denn ? Wir arbeiten bei unseren Modellen ja auch damit. Kommt vor wenn man sie beim AL.....s kauft. Aber im Fachhandel. Sorry aber davon habe ich noch nie gehört. Und es gibt Hardware die Du nicht mal eben langsamer laufen lassen kannst. Wenn Diese internen D-Ram hat. Dann viel Spass beim Refresh..
Timing Probleme, ja keine Frage . Aber schlechter Quarz das ist mir neu. Ich arbeite schon seit den Achzigern hobbymässig  damit Z80 , 6510 usw. Aber wirklich das Problem hatte ich noch nie

Bei Mars Polar Lander etwas ähnliches passieren könnte. In Tests hat man festgestellt, dass die Bremstriebwerke zu früh abgeschaltet werden könnten, weil das Programm  Signale von Hall-Sensoren beim Ausklappen und Arretieren der Landebeine falsch interpretiert hat.

... Wenn ich Programmiere, dann darf ich nicht vom Idealfall ausgehen. Natürlich ist das schön einfach, ich kenne das aus eigener Erfahrung. Aber ich MUSS alle Arten von Fehlern abfangen. Timeouts und Datenmüll sind das schlimmste. ...

Damit hast du absolut recht aber leider sieht die Realität anders aus.
Bei uns wird beim Datenempfang nicht kontrolliert, da man davon ausgeht das das sendende Gerät den Check vor dem absenden durchführt und bei bedarf das Fehlerbit setzt.
Ich persönlich finde das "nicht optimal" aber ich kann daran nichts ändern.

Ich wollte mit "schachmatt setzen" auch nicht unbedingt sagen, dass das Update selbst schiefgegangen ist. Wörtlich heißt es zum Viking-Lander 2 1, der immerhin über 6 Jahre durchhielt, bis 1982:

Human error during software update caused the lander's antenna to go down, terminating communication.

Klingt mir eher danach, dass die neu übertragene Software fehlerhaft war.

Beim MGS war es jedenfalls definitiv so: Ein Programmierer war in Rente gegangen und sein Nachfolger kannte eine bestimmte Schwachstelle dieses damals ältesten Mars-Satelliten nicht (Details weiß ich jetzt nicht mehr, kann man hier im Forum suchen und/oder in den Artikeln). Es kam zu einer Verkettung unglücklicher Umstände, die in einem Safe-Mode, Kommunikationsabriss und der Sonneneinstrahlung ausgesetzten Akkumulatoren gipfelte, wodurch diese überhitzten und zerstört wurden, soweit man es später rekonstruieren konnte.

Ein weiteres Beispiel für einen Softwarefehler ist das traurige Schicksal des japanischen Teleskopsatelliten "Astro-H" bzw. "Hitomi", der vor ein paar Monaten durch falsch aufgesetzte Parameter nicht nur die Orientierung verlor, sondern sich selbst zerlegte:

https://forum.raumfahrer.net/index.php?topic=14067.msg365193#msg365193

Hallo

In dem Interview des deutschlandfunks läuft alles perfekt.
Hört euch mal die Sprache an. Das Interview ist ein Interview im DLF.
Guter Journalismus kostet Geld. Ich bin ein Fan des DLF.

http://ondemand-mp3.dradio.de/file/dradio/2016/10/24/exomars_was_wurde_aus_der_sonde_schiaparelli_interview_dlf_20161024_1641_b947cedc.mp3

Genau das mit dem Test unter dem Hubschrauber sollte man machen.

Der Hubschrauber-Test wurde gemacht:
Credit: ESA/O. Bayle

Man hat das Schiaparelli Radar Altimeter zuerst an einem hohen Kran in Italien, dann an einem Hubschrauber in Marokko getestet.
Aber offenbar nur das Radargerät solo - nicht die Kommunikation und die Zusammenarbeit mit dem Navigationscomputer.

Quelle

Es tut mir Leid, aber der Portalartikel zu Exo-Mars/ Schiaparelli Landung ist mir viel zu negativ.   
https://www.raumfahrer.net/news/raumfahrt/23102016160430.shtml

Die Gute Nachricht, Schiaparelli ist wohl innerhalb der vorgesehenen 100 x 15 km großen Ellipse auf der Mars angekommen. Die schlechte Nachricht, bei Erreichen der Marsoberfläche betrug seine Geschwindigkeit noch etwa 300 km/h.

Das ist laut dem Portalartikel die einzige gute Nachricht zu Schiaparelli - kein Wort darüber, dass das Eintritts-, Abstiegs- und Landedemonstrationsmodul (EDM) immerhin 600 MB an wertvollen Daten geliefert hat, die für künftige Landungen noch von entscheidender Bedeutung sein können. Zudem konnten wohl auch wissenschaftliche Daten über die vertikale Struktur der Atmosphäre als Teil des AMELIA- Experiments gesichert werden. Schiaparelli hat trotz Bruchlandung einen großen Teil seiner Ziele erreicht!

Woanders ist man da objektiver:

Schiaparelli – A crash landing with positive overtones for the future

https://www.nasaspaceflight.com/2016/10/schiaparelli-landing-data-exomars-2020-rover/

Why ESA’s Schiaparelli Mars can still be considered an overall success

http://www.thespacereview.com/article/3090/1

Hallo T.G.,
... da muss ich Lumpi recht geben, leider fehlt die aktuelle (Sach-)Lage und ich würde mir wünschen, dass es eine Ergänzung im Portal gibt, die auch auf die Landung eingeht, wenn etwas mehr Klarheit dazu gibt.

Mit freundlichen Grüßen, HausD

Ich finde den Fehlschlag bei der Landung sehr schade. Aber andererseits gibt der Misserfolg einem doch jetzt noch neue Hausaufgaben auf, oder nicht?

Wäre der ExoMars Rover nicht schon um 2 Jahre verschoben worden, müsste man dies nun spätestens jetzt tun.

Ich bin mir auch gar nicht so sicher ob es so klug wäre, bei dem bisherigen Fahrplan zu bleiben. Wenn man ExoMars 2020 jetzt noch so durchziehen würde, wie es meinem Kenntnisstand nach geplant ist, dann wäre ExoMars 2020 (bei Erfolg) nicht nur die erste europäische weiche Landung auf dem Mars, sondern gleich auch der erste Rover. Das ist ein bisschen zuviel Risiko auf einmal, oder?

Die USA haben doch auch erst einige weiche Landungen vollzogen bis dann, jahrzehnte später, der erste Rover auf den Mars geschickt wurde.

Meiner Meinung nach, wäre es vernünftig (aber unpopulär) den Rover erst einmal weiter zu verschieben und als nächst möglichen Start eine weitere Sonde auf der Marsoberfläche weich landen zu lassen.

Die Landetechnologie muss ausgereift sein. Ich mag mir gar nicht vorstellen, wie Schade es um den Rover wäre, wenn der nicht an sich selbst sondern an einer Bruchlandung scheitern würde.

Wie seht ihr das?

Guten Morgen zusammen,

danke für Euer Feedback zu dem Artikel "Bruchlandung auf dem Mars".
Ich werde den Punkt mit den gewonnenen Daten bald möglichst ergänzen (bei den guten Nachrichten).

Gerne könnt Ihr mir Anregungen und zusätzliche Infos auch per PM senden!
Den Vorschlag einen zweiten Artikel zu schreiben, wenn die Daten vollständig ausgewertet sind finde ich gut.
Wer mag kann sich hier mit Vorschlägen, Fakten, oder einem eigenen Artikel einbringen!

Gruß

Thomas aus Nürnberg

ESA hat die Ursache der Bruchlandung veröffentlicht. Es war höchstwahrscheinlich ein Softwarefehler.
http://www.nature.com/news/computing-glitch-may-have-doomed-mars-lander-1.20861
Wie ich vermutet habe, ist das Problem darin bestanden, dass das Programm die Signale der Sensoren falsch interpretiert hat.
"The most likely culprit is a flaw in the craft’s software or a problem in merging the data coming from different sensors, which may have led the craft to believe it was lower in altitude than it really was, says Andrea Accomazzo, ESA’s head of solar and planetary missions."

Zitat von: tobi am 24. Oktober 2016, 20:31:43

Genau das mit dem Test unter dem Hubschrauber sollte man machen.

Der Hubschrauber-Test wurde gemacht

Ja, aber eben nur der Test einer Einzelkomponente. Was ich vorgeschlagen hatte wäre ja ein Test des Gesamtsystems auf diese Weise. Dann hätte man den Fehler vielleicht entdeckt. Solange nur Einzelkomponenten so getestet werden, ist die Entdeckung eines Schnittstellenfehlers (oder wie von vv im vorigen Post angegeben eines Fehlers bei der Kombination der Sensordaten) völlig unmöglich.

Möglicherweise widersprechen sich die Angaben auch gar nicht.
z.B.:
1. Timeout der Radardaten
2. Software muss von der letzten bekannten Radarinformation mit Trägheitssensor weiterrechnen
3. falsche Rechnung, widersprüchliche Timestamps der Daten oder ähnliches führt zu einem falschen Ergebnis der Rechnung (berechnete Höhe über Grund geringer als in Wirklichkeit).

Zu Software-Murks kann ich auch mal was von mir geben.

Autonome, komplexe, robuste Realtime-Software mit Fehlertoleranz, Überwachung und allenfalls automatischen Korrekturstrategien ist eine grosse Herausforderung.
So ein Ding in allen möglichen Betriebszuständen zu testen ist schwierig, aufwändig, meist fehlt qualifiziertes und unabhängiges Personal, sowie Zeit.
Die Testergebnisse umfassend und korrekt auszuwerten, zielführende Rückmeldungen an die Entwickler zu geben und so qualitätsverbessernde Iterationen zu ermöglichen, gehört auch noch dazu.

Mich würde es zum Beispiel nicht wundern, wenn herauskommt, dass das Fehlverhalten in Tests sogar beobachtet aber leider falsch interpretiert wurde.

Risiken werden zur Kostenkontrolle oder aus Zeitgründen bewusst einkalkuliert.
Heute sind wir agil und effizient. Sicherheit und Risiken werden gemessen und gemanaged. Das hat (manchmal) Folgen - muss es.

Bitte nicht verzweifeln deswegen! Eine einigermassen kritische aber zuversichtliche Grundhaltung ist die einzige sinnvolle Einstellung dazu.

Die versuchte Landung und die Auswertung der angefallenen Daten ist ein grosser Gewinn.
Und Hut ab - trotz Absturz so viele lehrreiche Erkenntnisse ! Das ist eine tolle Leistung - Software Fehler hin oder her :-)

Morgen kommt ein HiRise Bild vom Schiaperillikrater (dem Neuen  )

In meinen Augen ist es vor allem eine große Pleite. Klar hat man viele interessante Erkenntnisse gesammelt und die Angabe "zu 80 % Erfolgreich" mag durchaus stimmen Aber es ist peinlich, das die Europäer es mal wieder nicht geschafft haben, auf dem Mars zu landen. Die Amerikaner haben bei 8 Landeversuchen 7 erfolgreiche Landungen vorzuweisen, obwohl man sicher zu Vikings Zeiten deutlich weniger über den Mars wusste als heute. Peinlich ist es vor allem, weil man gegenüber der Öffentlichkeit nie klar herausgestellt hat, um was es genau geht. Dabei wusste man schon von Beagle 2, das die Presse vor allem auf Landungen abfährt. Über den Misserfolg von Beagle hat man in jeder Zeitung gelesen, vom Erfolg des Mars Express dagegen gab es kaum etwas. Jetzt wiederholt sich das Spiel. Über den TGO hört man kaum etwas.

Die Software vom Lander halte ich persönlich übrigens für nur für moderat komplex. Man konnte bereits 1976 mit Viking 1 auf dem Mars landen und damals war die IT noch sehr bescheiden gegenüber heutiger IT. Wenn man damals eine Landesoftware programmieren konnte, dann kann das heutzutage auch nicht allzu schwer sein.

Damals waren die Programmiersprachen noch überhaupt nicht so komfortabel wie heute, z.B. gab es noch gar kein C bzw. C++ und man musste noch direkt in Maschinensprache programmieren. Vgl. hierzu Curiosity, da wurde die Landesoftware in C geschrieben:
https://pdfs.semanticscholar.org/c5b9/b9f3911b56c42eed728bb07058afd1de4c5f.pdf

Es gibt außerdem bei der Landung eine genauen Ablauf der Dinge, in einer genauen Reihenfolge, soviel kann da eigentlich bei der Landesoftware nicht schief gehen. Lediglich die Zeitabstände sind etwas unscharf.

Im Gegensatz zu dem Launch Abort Test von New Shepard musste die Landesoftware außerdem nicht auf eine Ausnahmesituation reagieren und das Gefährt unter widrigen Umständen landen, sondern erstmal *nur* normal funktionieren. Sie ist bereits dort gescheitert, das ist eigentlich das peinliche.

Man hätte bei der PK vielleicht nicht so verbissen darauf bestehen müssen, dass es kein Misserfolg war. Ich versuche mir vorzustellen, wenn man erstmal offen zugegeben hätte "Natürlich hätten wir Ihnen heute lieber einen vollen Erfolg präsentiert", um dann mit dem Offensichtlichen fortzufahren "leider hat es nicht ganz geklappt", um schhließlich zum Wesentlichen zu kommen "Immerhin konnten wir die Daten aufzeichnen, die wir uns hauptsächlich von dieser Testmission versprochen haben".

Die PK war ein bisserl in Reinfall yup. Dem Jan "I don't understand the question" Wörner sind die Nerven durchgegangen, keine Frage.


Hängt vermutlich damit zusammen dass er zu dem Zeitpunkt auch noch nicht wusste was passiert ist. Ein massiver Fehler im Design hätte sicher ExoMars gefährdet. Jetzt wo wir wissen das ein simpler Softwaerpatch ausreichen wird kann er den ESA Ministern auch entspannter entgegentreten.

Jetzt wo wir wissen das ein simpler Softwaerpatch ausreichen wird kann er den ESA Ministern auch entspannter entgegentreten.

Die Gemeinsamkeiten zwischen dem ersten und zweiten Lander sind nicht so groß, wenn ich mich erinnere. Der erste Lander wurde auch von Europa gebaut, ich meine der 2020 Lander wird von Russland gebaut.

Wieviel KnowHow von der 2016er Mission kann wirklich für die 2020er Mission gebraucht werden? Und da ist noch die Frage von dem KnowHow-Transfer nach Russland. Wird die ESA das gewonne Wissen einfach so mit Russland teilen oder wollen das die Beteiligten nicht?