Schiaparelli-Landung

... Der 8. Schritt ist im Simulator erfolgreich simuliert worden, dank der Telemetrie gibt es hier keine Unsicherheiten mehr.

Du traust dich ganz schön.
Die Testbedmission mit Schiaparelli war ein Mißerfolg. Wie sonst soll man eine Landedemonstration mit Explosionsfolge nennen.
Das man noch Daten gewinnen konnte ist schön und damit war sie nicht nutzlos, ändert aber diese Klassifizierung nicht.
Das Problem sind die Unwägbarkeiten, die man wärend der letzten Phase nicht testen hat können (und nicht nur die).
Mit Simulationen testet man nur die Einflüsse und Zustände an die man denkt, aber nicht die, die man sich nicht erträumen hat können, und trotzdem auftreten. Ich halte es für Eingehen eines recht hohen Risikos, wenn man nach einem Fehlschlag eine warscheinlich wesentlich kompliziertere Mission durchführen will.
Vielleicht solltest du dir vor Augen halten, daß selbst bei einem makellosen Funktionieren der Testbedmission, man den Erfolg der Folgemission kaum in trockenen Tüchern wähnen wird können. Es ist eine "andere" Mission. Vielleicht treten Ereignisse auf die man selbst bei erfolreicher Testmission nicht hat prüfen können.
Und da willst du dich auf einen Fehlschlag verlassen?

Zitat von: proton01 am 03. Dezember 2016, 12:43:10

Schiaparelli wurde als Demoflug für nötig gehalten. Die Demo war ein Fehlschlag. Wenn man jetzt eine Wiederholung für unnötig hält, dann war schon die erste Demo überflüssig und Geldverschwendung.

Ich sehe das ein klein wenig anders. Und zwar so, daß "der eine Flug" in Einzelschritte aufgeteilt wird/wurde. (Ich rate einfach mal die Zahl 8.) Und jeder Schritt ist jetzt einzeln zu betrachten. Leider ist die PR-Abteilung so schlecht, daß sie das nicht an die Öffentlichkeit bringen, daß man nicht "Eine Landung" testen wollte, sondern daß man "8 Schritte zur Landung" testen wollte.

Somit ist die Aussage "Der eine Schritt (die Landung) ist fehlgeschlagen" unvollständig. Vollständig wäre die Aussage "7 Schritte waren Erfolgreich, 1 Schritt war ein Fehlschlag bei dem jedoch Telemetriedaten zur Fehlersuche erhalten worden sind".

Somit ist die Folgeaussage "die erste Demo (...) Geldverschwendung" und nicht mehr ganz korrekt. Denn man müsste sagen, die Demo der ersten 7 Schritte war erfolgreich und das Geld war vernünftig angelegt, man weiß jetzt, daß die ersten 7 Schritte der Landung funktionieren. Der 8. Schritt war leider ein Fehlschlag, er hat leider nur Telemetriedaten ergeben, welche den Fehlschlag reproduzieren im Computer.

Jetzt muss man abwiegen:
- Mache ich eine neue Demomission, nur um den 8. Schritt nochmal zu testen? Aber ich muss dafür unnötigerweise die ersten 7 Schritte auch mit bezahlen und mit testen, obwohl sie ja funktionieren. Und der 8. Schritt ist ja im Simulator erfolgreich getestet worden.
- Mache ich keine neue Demomission, 7 von 8 Schritten sind getestet und OK. Der 8. Schritt ist im Simulator erfolgreich simuliert worden, dank der Telemetrie gibt es hier keine Unsicherheiten mehr.

Hugo, eigentlich gebe ich dir recht. Das würde bedeuten es muss nur der (dein) Schritt 8 nachgeholt werden, der Rest passt schon.
M.E. sind mindestens folgende Schritte offen:
1.  Stabilisierung des Landers unter den geöffneten Fallschirmen (wenn man mal untestellt daß die Fallschirme selbst korrekt entfaltet wurden)
2.  Abbremsung des Landers durch dei Fallschirme soweit, daß die Triebwerke die Restgeschwindigkeit bis zur Landung abbremsen können.
3.  Abtrennung der Fallschirme, Zünden der Triebwerke
4.  Weiche Landung des Landers in aufrechter Position. (setzt #1 vorraus).

Wenn einer dieser Schritte nur im realen Flug durchgeführt werden kann, dann muss die ganze Mission wiederholt werden. Nur Punkt 1 ohne alles davor geht ja nicht. Und nach Punkt 1 nicht weich zu landen ist auch wenig überzeugend.

Daher meinte ich, wenn man jetzt das Risiko ohne erfolgreiche Wiederholung der gescheiterten Schritte eingeht, dann hätte man die Demo ja gleich bleiben lassen können, das Risiko eingehen, und das Geld der Demo dafür sparen falls doch was schiefgeht und man die ganze Mission wiederholen will. (siehe z.B. Cluster)

Vielleicht war es sogar gut, dass es bei der Schiaparelli-Landung zu dieser "Bruchlandung" kam. Wäre alles durch glückliche Umstände glatt gegangen, hätte man die potenzielle Fehlerquelle nicht erkannt und bei der Rover-Landung dann möglicherweise ein böses Erwachen erlebt. Jetzt kann man die Landesequenz noch entsprechend konfigurieren. Das "Lehrgeld" für den EDM war, aus meiner Sicht, also keinesfalls umsonst.

Den Schiaparelli-Lander hat doch TAS-Italia zusammen mit der ESA entwickelt und gebaut.
Den ExoMars-Lander 2020 baut NPO-Lawotschkin (entwickelt zusammen mit ?, jedenfalls in Russland).
Lässen sich die Erkenntnisse aus der Schiaparelli-(Bruch-)Landung dann überhaupt übertragen?

Vielleicht war es sogar gut, dass es bei der Schiaparelli-Landung zu dieser "Bruchlandung" kam. Wäre alles durch glückliche Umstände glatt gegangen, hätte man die potenzielle Fehlerquelle nicht erkannt und bei der Rover-Landung dann möglicherweise ein böses Erwachen erlebt.

Natürlich kann es auch sein, dass es immer noch eine Fehlerquelle gibt, die sich beim EDM nicht gezeigt hat. Natürlich kann sich diese Fehlerquelle selbst bei einer zweiten Demomission noch nicht zeigen und dann erst bei der Roverlandung.

Natürlich... muss man irgendwann einfach mal ins kalte Wasser springen, wie ja schon gesagt wurde.

Dieser Zwischenbericht hat, genauer betrachtet, keine neuen Informationen gebracht. Das war schon kurz nach dem "Unfall" aus verschiedenen Interviews, z.B. mit Thales Alenia Space Italia, bekannt. Dort wurde auch gesagt dass der Lander zu leicht (im Originalwortlaut "troppo leggero") war um hätte landen zu können. Ich stell mir da so bildlich ein Pappmodell vor, dass wild herumzappelt, welches man nicht mehr unter Kontrolle bekommen kann.

Wie dem auch sei: Zu wenig Informationen, und das nach doch recht langer Zeit der Datenanalyse. Enttäuschend!  Es ist wirklich fraglich ob man genügend Testdaten hat sammeln können: Die Phase "Retro Propulsion" ist fast völlig ausgefallen. Auch die Fallschirmphase war extrem kurz und da gabs dann auch gleich den Ausfall - man konnte nicht testen, ob sich der Lander unterm Fallschirm wieder in eine stabile Lage "eingependelt" hätte und welche Daten dann Radar / IMU / Navigationseinheit geliefert hätten.

In der Haut der Ingenieure / Entscheider möchte ich nicht stecken. Mal sehen ob wir Außenstehende  doch noch etwas belastbarere, detailliertere Informationen bekommen werden - spätestens dann "Anfang 2017", was immer das heißen mag. Vorher brauchen wir glaube ich gar nicht mehr weiterspekulieren.

Zum Glück ist die Schiaparelli-Landung fehlgeschlagen:   

„Ein Punkt ist allerdings ganz interessant“, gibt Jan Wörner, Generaldirektor der ESA, zu Bedenken: „Wenn die Sättigung nicht aufgetreten wäre und die letzten Phasen der Landung erfolgreich gewesen wären, so hätten wir die übrigen Schwachstellen, die zum Unglück beigetragen haben, wahrscheinlich gar nicht identifiziert. Eine direkte Folge der Untersuchung ist, dass wir mehrere Bereiche entdeckt haben, die unsere ganz besondere Aufmerksamkeit erfordern. Und das wird der Mission für 2020 fraglos zugutekommen.“

Artikel zum Untersuchungsbericht zur Schiaparelli-"Landung" in deutsch: http://www.esa.int/ger/ESA_in_your_country/Germany/Untersuchung_zu_Schiaparelli_-Landung_abgeschlossen

„Ein Punkt ist allerdings ganz interessant“, gibt Jan Wörner, Generaldirektor der ESA, zu Bedenken: „Wenn die Sättigung nicht aufgetreten wäre und die letzten Phasen der Landung erfolgreich gewesen wären, so hätten wir die übrigen Schwachstellen, die zum Unglück beigetragen haben, wahrscheinlich gar nicht identifiziert.

Da hat er sicher Recht. Die Landesoftware hat vielleicht auch noch mehr Schwachstellen, die bei dieser Landung nicht aufgetreten sind und erst dann aufgetreten wären, wenn Schiaparelli in die jeweilige triggernde Situation geraten wäre... wie bei jeder Software *klugscheiß*.

... und wenn der Rover später sanft aufsetzt, ist alles gut. Daumen drück...   

Artikel zum Untersuchungsbericht zur Schiaparelli-"Landung" in deutsch: http://www.esa.int/ger/ESA_in_your_country/Germany/Untersuchung_zu_Schiaparelli_-Landung_abgeschlossen

Zitat aus dem Artikel:
"Etwa drei Minuten nach dem Eintritt in die Atmosphäre öffnete sich der Fallschirm, aber das Modul erlebte eine unerwartet hohe Rotationsgeschwindigkeit. Dies führte zu einer kurzzeitigen „Sättigung“ – also einer Überschreitung des erwarteten Messbereichs – der inertialen Messeinheit, die die Rotationsgeschwindigkeit des landenden Objekts misst.

Diese Sättigung führte zu einer fatalen Fehleinschätzung der Fluglage durch die für das Lenkungs-, Navigations- und Steuerungssystem zuständige Software. Diese Fehleinschätzung der Fluglage führt in Kombination mit späteren Radarmessungen dazu, dass der Computer zum Ergebnis kam, das Modul befinde sich bereits unterhalb der Marsoberfläche.

Dies wiederum führte zum verfrühten Öffnen des Fallschirms und ..."

Meiner Meinung nach gibt es  Widersprüchlichkeit in dieser Reihenfolge der Ereignissen. Oder gibt es noch ein Fallschirm?

Zitat

"Etwa drei Minuten nach dem Eintritt in die Atmosphäre öffnete sich der Fallschirm [...] Dies wiederum führte zum verfrühten Öffnen des Fallschirms und ..."

Meiner Meinung nach gibt es  Widersprüchlichkeit in dieser Reihenfolge der Ereignissen. Oder gibt es noch ein Fallschirm?

Stimmt, gut aufgepasst. Der Autor des Textes hat sich mit dem "verfrühten Öffnen" offenbar vertan. Kann ja mal passieren. Er meinte sicherlich "...führte zum verfrühten Abtrennen des Fallschirms und der hinteren Schale...".

"Verfrüht" heißt soviel wie "zu früh".

Zitat

"Etwa drei Minuten nach dem Eintritt in die Atmosphäre öffnete sich der Fallschirm [...] Dies wiederum führte zum verfrühten Öffnen des Fallschirms und ..."

Stimmt, gut aufgepasst. Der Autor des Textes hat sich mit dem "verfrühten Öffnen" offenbar vertan. Kann ja mal passieren. Er meinte sicherlich "...führte zum verfrühten Abtrennen des Fallschirms und der hinteren Schale...".

"Verfrüht" heißt soviel wie "zu früh".

Im 'originalen' englischen Pressetext heißt es richtig: "This resulted in the early release of the parachute and back-shell," also Abtrennung von Fallschirm und Schale.

Danke für die Verlinkung des Berichts. Hab lange drauf gewartet.
Ich versuche den Ursachen-Teil zusammenzufassen. Das Thema geht schliesslich in mein Bitmurks-Tätigkeitsgebiet rein.

Schiaparelli hat nach dem Ausbringen des Fallschirms in verschiedenen Achsen oszilliert.
Die Inertialeinheit konnte die unerwartet hohen Winkelgeschwindigkeiten in der Z-Achse nicht korrekt messen und lieferte ein Sättigungsflag.
Die Navigationseinheit rechnete/integrierte daraufhin den Lagewinkel mit einer konstanten Winkelgeschwindigkeit gleich der Sättigungsgrenze für bestimmte Zeitabschnitte.
Dies führte dazu, dass die Navigationseinheit Schiaparelli in einer Fluglage wähnte, die mit 165 Grad Fehler fast einer Kopflage entsprach.

Mit der Zeit wurden die Oszillationen zwar gedämpft und die weiteren Schritte erfolgten nach Plan - ABER..
Als der Radar Doppler Höhenmesser aktiviert wurde, fanden Konsistenz Prüfungen zwischen Radar und Inertialeinheit statt.
Es ging dabei um Beschleunigung und Höhenänderung. Dabei wurde der Fluglage-Winkel der Navigation verwendet um den Radarmesswert in vertikale Höhe umzurechnen (man ahnt Schreckliches). Aufgrund des Winkel Fehlers resultierte in der Berechnung eine negative Höhe (Cosinus > 90 Grad ist negativ).
Leider gab es an dieser Stelle im Code keine genügende Plausibilisierung oder Fehlerbehandlung.

Nachdem die Konsistenzprüfung 5 Sekunden lang nicht gelang, wurde das Radar technisch für tot erklärt.
Die Navigationseinheit ging in einen TERMINAL DESCENT genannten Modus, in dem die berechnete Höhe verwendet wird, um Rückseite und Fallschirm abzutrennen, was dann aufgrund des negativen Höhenwertes sofort geschah (Auch hier - nix Plausibilisierung und so).

Danach wurden gemäss Plan die Triebwerke gezündet um Schiaparelli final für die Landung abzubremsen (was bei der Höhe natürlich nie gelungen wäre).
Ein Ausschaltkriterium des Antriebs führte jedoch durch die negative Höhe zum Abschalten der Triebwerke bereits nach 3 Sekunden (Hoppla nochmals einer reingefallen).
Dann freier Fall und tschüss armer Schiaparelli.

Schuldige wurden gleich Haufenweise anvisiert.
- Modellierung Fallschirm Dynamik
- Ungünstiges Zeitverhalten der Inertialeinheit im Zusammenhang mit dem Sättigungszustand
- Ungünstige Handhabung der Sättigungssituation durch die Navigationseinheit
- Ungenügende Umsetzung von Fehlererkennung, -behandlung und Inbetriebhaltung
- Ungenügende Robustheit im Design
- Pannen beim Management von Lieferanten und beim Akzeptieren von Hardware (Inertialeinheit).

Es wird noch spekuliert, Schiaparelli hätte es geschafft, wäre nur die "persistence time" der Fluglageberechnung, unter Sättigung der Inertialeinheit, kleiner gewesen.

Viel gelernt! Genial! Super! Jetzt kommt es gut - oder besser.
Solche Softwarepannen passieren leider immer wieder. Nichts besonderes - Bitmurks halt, wegen Zeit- und Kostendruck vielleicht oder wegen sonst etwas.
Ich kann nur sagen, zum Glück ging es in diesem Fall nur um Geld und Ansehen, nicht um Leben, Gesundheit oder Umwelt (Wenn man den lieben Mars bezüglich des letzten Punktes mal ausser Acht lässt).

Noch nachträglich angefügt sei folgendes:
Das ganze tönt jetzt zu negativ - so ist es nicht gemeint.
Ganz grosses Lob und viel Respekt verdienen die an der Schiaparelli Mission Beteiligten für alle ihre Arbeiten und insbesondere für die tolle Überwachung ihres Systems von aussen.
Nur so waren die ganzen Analysen und Lerneffekte überhaupt möglich :-)

Ich habe den Bericht auch mal teilweise gelesen und möchte noch was ergänzen.

Die Inertialeinheit konnte die unerwartet hohen Winkelgeschwindigkeiten in der Z-Achse nicht korrekt messen und lieferte ein Sättigungsflag.
[...]
Es wird noch spekuliert, Schiaparelli hätte es geschafft, wäre nur die "persistence time" der Fluglageberechnung, unter Sättigung der Inertialeinheit, kleiner gewesen.

Diese zu hohe "persistence time" des Sättigungsflags, also das Zeitintervall, während dessen die Inertialeinheit (IMU) gegebenenfalls "Sättigung" signalisierte, wird sogar als Grundursache des Absturzes genannt. (Die IMU ist ja ein System, das Gyros bzw. Kreisel benutzt und dadurch Lageänderungen messen kann, jedenfalls bis zu bestimmten Grenzen der Winkelgeschwindigkeit - die bei der Schiaparelli-Landung überschritten wurden. Wenn und solange das passierte, sollte die IMU dem GNC-System "Sättigung" melden. Soweit in Ordnung.)

The too long persistence of the saturation flag in the application software of the IMU, was the fundamental cause of the Schiaparelli landing mishap. This ambiguity was not identified, nor measured during acceptance of the unit and the saturation behaviour of the IMU was never tested after delivery. [...] the persistence of IMU saturation time was not recorded at acceptance and instead believed to be 15 ms

Die dem Hersteller der IMU vorgegebene "saturation persistence time" waren 15 Millisekunden, aber die letztlich abgelieferte und "geflogene" IMU operierte mit einem größeren Intervall (wie groß, wird im Bericht nicht gesagt). Da die gelieferte IMU in dieser Hinsicht auch nicht mehr überprüft wurde, fiel dies leider nicht auf.

Ich verstehe es nun so: Während dieser zu langen Zeit(en?) integrierte das GNC-System den Sättigungsgrenzwinkel immer weiter auf, als ob die Sonde am Fallschirm immer weiter nach oben schwingen würde, während sie in Wirklichkeit nur oszillierte (also hin und her pendelte). Daher ging das GNC-System jetzt und auch später von einer völlig falschen Orientierung der Sonde aus, praktisch "auf dem Kopf" - mit den bekannten Folgen. 

Weitere Gedanken von mir:

Nicht ganz klar ist mir, ehrlich gesagt, ob mit "angular spin rate" nicht doch eine simple Rotation der Sonde um sich selbst gemeint ist. Andererseits kann man damit keine Kopflage erklären. 

Ich wüsste auch mal gerne, was "Sättigung einer IMU" nun wirklich bedeutet: Heißt das nur, dass ein Sensor an einem Kreisel nicht mehr hinterherkommt? In dem Fall müssten nach Unterschreitung der Sättigung ja wieder nominale Daten anliegen, und wenn die "persistence time" nicht gerade Minuten beträgt, könnte auch der GNC seine "aufintegrierten Behelfsdaten" einfach vergessen und mit den nominalen Daten weiter rechnen.

Oder ist mit "Sättigung" etwa gemeint, dass mindestens ein Kreiselsystem innerhalb der IMU seine stabile Ausrichtung nicht halten konnte?? In dem Fall wären ja von da an alle Werte um einen (unbekannten) Wert gegenüber den Prä-Sättigungs-Werten verschoben...

Ich wüsste auch mal gerne, was "Sättigung einer IMU" nun wirklich bedeutet: ...

Das sind natürlich berechtigte Fragen, was mich aber noch mehr schockiert ist, daß das "Hauptsystem" unbeeindruckt weiter mit den zuletzt gemeldeten Werten des offensichtlich funktionslosen Untersystems rechnet und diese vermutlich noch falsch extrapoliert. Und anschleißend ein neu hinzukommendes anderes, unabhängiges Untersystem (Bodenradar) "für fehlerhaft erklärt" und abschaltet, weil seine Daten nicht in die "fantasierte Weltsicht" des Hauptsystems (negative Höhe über Grund) passt. Und das obwohl auch die sicher zuverlässige Zeitmessung gleichzeitig massiv gegen diese Annahmen spricht. Die Annahmen des Hauptsystems konnten nicht richtig sein. Ich sehe dort das Hauptproblem.

Mich erinnert das verhalten der Steuerung leider stark an mehrere noch viel weiter oben angesiedelten Steuerungsebenen.

was mich aber noch mehr schockiert ist, daß das "Hauptsystem" unbeeindruckt weiter mit den zuletzt gemeldeten Werten des offensichtlich funktionslosen Untersystems rechnet und diese vermutlich noch falsch extrapoliert.

Hm. Das mit dem "Weiterrechnen" und "Extrapolieren" war ja in der Schnittstelle zwischen den beiden Systemen offensichtlich so verabredet und berücksichtigt.

Ferner war offensichtlich verabredet, dass das "Sättigungsflag" für maximal 15 ms anliegen sollte. An diese Verabredung hat sich die IMU aber wie gesagt nicht gehalten und das war laut Bericht die Hauptursache des Absturzes. Ich habe mittlerweile in einem älteren Link die Information gefunden, dass die IMU mit einer "persistence time" von 1 Sekunde, also 1000 ms operierte: http://www.asi.it/en/news/schiaparelli-imu-saturation .

Für mich ist die interessante Frage, warum sich selbst nach dieser langen Sekunde das GNC-System nicht einfach wieder "berappeln" kann, wenn die IMU doch nun wieder nominale Daten liefern müsste, zumal die heftigen Pendelbewegungen nun abgeklungen sein sollen . Aber das zu beurteilen, dafür fehlen uns wohl Informationen über die Systeme und die Funktionsweise einer IMU bzw. GNC allgemein.

Anderswo habe ich gelesen, dass Systeme auf IMU-Basis Lageinformationen ermitteln, indem sie aus Daten von Beschleunigungssensoren auf die bewegte Strecke rückschließen (vereinfacht: "Ich erfahre gerade eine Beschleunigung a, also werde ich in der Zeit delta t um den Weg delta s bewegt") und diese Deltas fortlaufend aufaddieren. Das geht so lange gut, wie die auftretenden Beschleunigungen unter dem Grenzwert des Sensors liegen. Nach einer zu großen Beschleunigung müssten aber von da an die Lagedaten mit einer gewissen Unsicherheit behaftet sein, da ja das "delta a" über dem Grenzwert von nun an in der Kalkulation fehlt.

Die Frage ist dann, ob es ein rein relatives System ist oder ob es sich zumindest ab und zu mal an einem Absolutwert neu ausrichten kann...

Wenn es keinen Absolutwert gibt, kommt vielleicht jetzt die "persistence time" ins Spiel. 15 Millisekunden ist ja nicht so viel, und wenn nach den 15 ms wieder nominale Beschleunigungsverhältnisse herrschen, ist die Lageabweichung der IMU vielleicht nicht so groß. Lass' es auch mehrmals 15 ms sein, ist bestimmt immer noch beherrschbar. 1000 Millisekunden sind aber schon ein ganz anderes Kaliber... immer vorausgesetzt, es gibt keinen Absolutwert, an dem man sich resetten kann.

Und anschleißend ein neu hinzukommendes anderes, unabhängiges Untersystem (Bodenradar) "für fehlerhaft erklärt" und abschaltet, weil seine Daten nicht in die "fantasierte Weltsicht" des Hauptsystems (negative Höhe über Grund) passt.

Jep, das wird auch in dem Bericht erwähnt: Das GNC-System war offensichtlich so programmiert, dass es eher mit einem Radar-Versagen als mit einem IMU-Versagen gerechnet hat. Deswegen wurde wegen der Inkonsistenz zwischen IMU und Radar ausgerechnet das korrekt funktionierende System ignoriert. 

Die Annahmen des Hauptsystems konnten nicht richtig sein. Ich sehe dort das Hauptproblem.

Beim GNC identifiziert der Bericht eine Fehlerursache insofern, als es keine Plausibilitätskontrolle wegen der negativen Höhe enthielt. Wäre das nicht gewesen, hätte vielleicht noch das Radar die IMU überstimmen können... naja, man weiß es nicht.

Es werden auch noch weitere Fehlerquellen identifiziert, so etwa, dass man sich die Entfaltung des Fallschirms bei der ESA aerodynamisch zu einfach vorgestellt hat, während die NASA da schon mehr Erfahrung hat (Rob Manning von der MER- und MSL-Mission war Mitglied des SIB ), sowie zuwenig Fehlertoleranz in der Software. Aber als Grundursache in diesem konkreten Fall wird eben diese "persistence time" benannt.

Die Frage ist dann, ob es ein rein relatives System ist oder ob es sich zumindest ab und zu mal an einem Absolutwert neu ausrichten kann...

Wenn es keinen Absolutwert gibt, kommt vielleicht jetzt die "persistence time" ins Spiel. 15 Millisekunden ist ja nicht so viel, und wenn nach den 15 ms wieder nominale Beschleunigungsverhältnisse herrschen, ist die Lageabweichung der IMU vielleicht nicht so groß. Lass' es auch mehrmals 15 ms sein, ist bestimmt immer noch beherrschbar. 1000 Millisekunden sind aber schon ein ganz anderes Kaliber... immer vorausgesetzt, es gibt keinen Absolutwert, an dem man sich resetten kann.

Genau so verstehe ich das. EDM hat seine Lage vor Eintritt in die Atmosphäre kalibriert. Danach liefern die Sensoren Winkelgeschwindigkeiten und/oder -beschleunigungen aus denen mithilfe der Trapezregel (numerische Integration) die momentane Lage bestimmt wird. Das Verfahren versagt dann halt in dem Moment, in dem die Abtastrate kleiner als die Änderungsrate ist, was eben durch das zu lange Halten der Flag eingetreten ist.


Was ich nicht verstehe ist das mit der Fallschirmsimulation. Wenn ich das noch richtig im Kopf habe, dann war das Argument, warum man nur eine vereinfachte Simulation verwendet hat, die (Close-To-)Real-Time-Bedingung. Das mag durchaus stimmen für die Monte-Carlo-Simulationen um ein möglichst breites Spektrum verschiedener Parameter zu untersuchen. Aber warum hat man denn nicht zusätzlich dazu einige wenige komplexe Simulationen durchgeführt, die man mit Extremwerten als Parametern gefüttert hat?!

Viel gelernt! Genial! Super! Jetzt kommt es gut - oder besser.
Solche Softwarepannen passieren leider immer wieder. Nichts besonderes - Bitmurks halt, wegen Zeit- und Kostendruck vielleicht oder wegen sonst etwas.
Ich kann nur sagen, zum Glück ging es in diesem Fall nur um Geld und Ansehen, nicht um Leben, Gesundheit oder Umwelt (Wenn man den lieben Mars bezüglich des letzten Punktes mal ausser Acht lässt).

Ist das Ironisch gemeint?!

Ich kann das Gerede von: 'Eigentlich ganz super gelaufen. Und EIGENTLICH doch toll dass diese Scheiße passiert ist denn so konnten wir gleich zusätzliche Fehler finden die uns sonst entgangen wären' nicht mehr hören! 

Selbst mir als angehenden Programmierer dachte an mehr als einer Stelle 'Auch du meine Güte! Das haben die wirklich so zusammen programmiert.

Klar, hinterher ist man immer klüger.
ABER um nur ein Beispiel zu nehmen: wenn ich zwei systeme habe und diese ja schon abgleiche aber nicht sicher bin welches die richtigen Werte liefert, dann werde ich doch im Hintergrund eine Simulation laufen lassen, die ungefähre sinkrate von der zuletzt gemessenen Höhe abziehen und dann ein Rahmen haben in dem sich die Höhenwerte liegen sollten.
Und wenn eines meiner Systeme VIEL näher an diesem Erwartungswert liegt dann ist doch offensichtlich diesem zu trauen. Und wenn ein system negative werte liefert dann ist dem mit sicherheit nicht zu trauen!

Denke ich jetzt zu einfach oder wurde da wirklich zum teil (und zwar an mehreren stellen!) großer Murks programmiert?

Ja dieser Teil war ironisch gemeint. Ein Befürworter schlechter Softwarequalität bin ich nicht, Name hin oder her.
Ich schrieb einige Zeit (1,2 Stunden) danach noch eine Ergänzung hin, da mir der besagte Teil zu negativ wirkte.

Das Problem bei dieser Geschichte war wohl, dass die 3 erwähnten Subsysteme Radar, Inertialeinheit und Navigation nur gemeinsam eine sichere Landung ermöglicht hätten (falls es nicht ein alternatives Verfahren zur Höhenmessung im Endanflug gab). Ich nehme an, ohne Radar muss man den Lander aufgeben (ist das so ?) - wenn ja, dann wäre das auch nicht viele Code-Zeilen wert. Schiaparelli war ja ein Versuchsmodul, Redundanzen waren da nicht eingeplant.

Das Gesamtsystem hätte den Ausfall des Radars nicht so ohne weiteres "akzeptieren" sollen. Eine geeignete Implementierung fehlte entweder oder sie griff nicht.
Eventuell hätte ein simples Verfahren wie "hoppla - ok warten wir mal 30 Sekunden und dann das ganze nochmals von vorne" schon geholfen.
Ich bin mir aber nicht im klaren in welcher Höhe der Vorfall passierte und ob da überhaupt Zeit für einen Plan B dieser Art war.

Die Rahmenbedingungen für die Programmierer kennen wir nicht (Zeitdruck, Kostendruck, Einschränkungen bezüglich Realtime Verhalten, etc.).
Komplexerer oder umfangreicherer Code war eventuell nicht möglich und/oder nicht gefordert.

Die extensive Überwachung, welche diese Analysen ermöglichte, lässt sogar darauf schliessen, dass im Gegenzug grössere Risiken im Engineering in Kauf genommen wurden.
Es wäre natürlich eleganter gewesen, man hätte die vorgefallenen Effekte bereits in Simulationen vorher erkannt, Lösungen dafür implementiert und dann noch mehr lernen können.
Aber eben - "elegant" kostet halt.

Im Übrigen teile ich das Gefühl von Sensei, es mache den Anschein, an einigen Stellen wurde zu wenig vorsichtig, respektive fehlertolerant programmiert.

ABER um nur ein Beispiel zu nehmen: wenn ich zwei systeme habe und diese ja schon abgleiche aber nicht sicher bin welches die richtigen Werte liefert, dann werde ich doch im Hintergrund eine Simulation laufen lassen, die ungefähre sinkrate von der zuletzt gemessenen Höhe abziehen und dann ein Rahmen haben in dem sich die Höhenwerte liegen sollten.
Und wenn eines meiner Systeme VIEL näher an diesem Erwartungswert liegt dann ist doch offensichtlich diesem zu trauen. Und wenn ein system negative werte liefert dann ist dem mit sicherheit nicht zu trauen!

Denke ich jetzt zu einfach oder wurde da wirklich zum teil (und zwar an mehreren stellen!) großer Murks programmiert?

Ich finde die Idee durchaus überlegenswert, so als Plausibilitätskontrolle.

Zumindest für eine grobe Höhenschätzung braucht man vielleicht auch gar keine aufwändige mitlaufende Live-Simulation, sondern da müsste doch eine Vorab-Tabelle reichen, dass man nach Entry+1 Sekunden zwischen h1 und h2 hoch sein dürfte, nach Entry+2 Sekunden zwischen h3 und h4, undsoweiter. Wobei der Unsicherheitsbereich hauptsächlich abhängig wäre von der maximalen und minimalen Schätzung der Atmosphärenhöhe an dem Tag, während der Einfluss der Gravitation ja vergleichsweise konstant und bekannt ist.

Aber man hat wohl nicht gedacht, dass man "sowas" braucht. Dass man sich bei Schiaparelli mit einigen Dingen zu sicher war, zeigt IMHO auch die Tatsache, dass die gelieferte IMU überhaupt in die Sättigung geriet.

..gerade auch weil ein übermäßiges schwingen nach Fallschirmentfaltung, neben dem Fallschirmriss und fehlerhaften Fallschirmentfaltung, DAS Standartproblem bei einer Fallschirmbenutzung ist. Das MUSS man einfach genügend berücksichtigen und mit berechnen.

Was ich so gehört habe hat man bei den simulierten Werten den schlimmsten Fall genommen und nochmal einen "kleine  bißchen2 mehr für die Wirklichkeit draufgeschlagen. Die Pendelbewegungen waren aber außerhalb dieses "kleinen" Faktors von 300% den man schon berücksichtigt hat.

Beim Review des Landesystems waren sicher auch Experten von der Nasa mit an Bord. Wenn da ein leicht zu entdeckender oder offensichtlicher Fehler im Konzept gewesen wäre, wäre das sicher aufgefallen.

Beim Review des Landesystems waren sicher auch Experten von der Nasa mit an Bord.

Warum? Trotz aller Zusammenarbeit ist die NASA ein Konkurent, die nicht so ohne weiteres ihr (technisches) Wissen preisgeben.

All zu viel Konkurrenz sehe ich da nicht.

Ja, bei der Veröffentlichung von Papers gibt es Konkurrenz (verwendung von wissenschaftlichen Daten wie bei Rosetta) aber was hat die NASA für Nachteile wenn sie der ESA hilft bessere Landesysteme für den Mars zu konstruieren?

Es ist ja nicht so dass die Landesysteme und Orbiter für Mond und Mars inzwischen schon im Kommerziellen Bereich angekommen sind.

Naja, Michael Khan sagte dazu, dass die NASA die Landesysteme nicht entwickeln um sie dann der Welt zu schenken, sondern um ihrer Industrie einen technischen Vorsprung zu verschaffen. Die Partnerschaft würde nur bis zu einen gewissen Punkt gehen, sprich jede Nation/ Raumfahrtorganisation muss sich schon zuallererst selbst bemühen... Siehe dazu auch #264 weiter vorn im Thread.