Untersuchungsbericht zu Schiaparelli-Absturz veröffentlicht

Die von der ESA einberufene Kommission, die mit der Untersuchung der Umstände des Absturzes des Mars-Landedemonstrators Schiaparelli betraut war, hat ihre Arbeit abgeschlossen und einen Abschlussbericht veröffentlicht. Der Direktlink zum Bericht ist hier.

Ich mache es kurz und schmerzlos, ohne Fachchinesisch und wohlgemerkt, ohne eigene Interpretation. Ich schreibe hier das, was im Bericht steht.

  • Nach Ausfahren des Fallschirms bei nahezu doppelter Schallgeschwindigkeit (was vollkommen nominal war) schaukelte die Sonde stärker als erwartet.
  • Offenbar war das Verhalten des Gespanns Sonde-Fallschirm nicht wirklich ungewöhnlich. Die für die Entwicklung des Steuerungsmechanismus zuständigen Leute hatte es im Vorfeld anscheinend unzureichend modelliert.
  • Das Schaukeln führte zur zeitweisen Sättigung eines Gyroskops in der inertialen Plattform der Sonde. Ein Gyroskop ist ein Lagesensor. Wenn ein Sensor gesättigt ist, gibt er nur seinen Sättigungswert aus, der einem gewissen Wert für die Winkelgeschwindigkeit entspricht. Die wirkliche Winkelgeschwindigkeit kann viel höher sein als der ausgegebene Wert. Den wirklichen Wert weiß man aber nicht. So wie von einem Thermometer, dessen Skala nur bis 40 Grad reicht, auch keine höhere Temperatur abgelesen werden kann. Man weiß allenfalls, dass die Ausgabe am Anschlag war, mehr nicht.
  • Die Trägheitsplattform berechnete die Lage der Sonde aber ungeachtet der Sättigung des Sensors unter Verwendung des Sättigungswerts, weil nicht angenommen worden war, dass eine solche Sättigung auftreten könnte.
  • Die inertiale Plattform berechnete aus den wertlosen Eingaben eine vollkommen falsche Lage der Sonde unter dem Fallschirm, nämlich dass sie überkopf flog. (Wie das? Mit dem Fallschirm nach unten und der Sonde nach oben? Das ist vollkommen unplausibel und physikalisch unmöglich.) Bitte schauen Sie sich in diesem Artikel die für eine typische Mars-Landesonde erwartete Trajektorie an. Natürlich ist die Trajektorie etwas anderes als die Ausrichtung, aber eine Ausrichtung über Kopf ist vollkommen absurd.
  • 40 Sekunden nach Ausfahren des Fallschirms, als der Flugwinkel bereits mehr als 60 Grad nach unten von der Horizontalen betragen haben muss, wurde per Timer planmäßig der vordere Teil des Hitzeschilds abgetrennt.
  • Da der Fallschirm immer noch planmäßig die Sonde bremste und aufgrund der Dämpfung im System die Schwingungen abgeklungen sein mussten, wird die Ausrichtung des Gespanns ziemlich genau entlang der Anströmrichtung gewesen sein. So wie es sein soll.
  • Danach schaltete sich das Radar ein. Ohne Radardaten geht gar nichts, deswegen werden die Radarwerte auf jeden Fall vom Steuerungssystem berücksichtigt.
  • Allerdings werden die Radardaten noch mit dem Cosinus der Ausrichtung gegenüber der Richtung nach unten korrigiert. Das wäre auch OK so, solange die berechnete Ausrichtung stimmt.
  • Die berechnete Ausrichtung stimmte aber eben genau nicht. Sie war sogar komplett falsch. Es wurde ja eine Ausrichtung der Sonde mit der Nase nach oben berechnet. Das entspricht einem Winkel von mehr als 90 Grad.
  • Der Cosinus von einem Winkel von mehr als 90 Grad ist negativ. Wenn man den vom Radar gemessenen Abstand zum Boden mit einem negativen Wert multipliziert, kommt eine negative Höhe heraus.
  • Die Annahme, dass die Kapsel verkehrt herum fliegt, ist nicht nur per se absurd. Sie passt auch nicht zu den Messdaten. Das Radar sitzt unten an der Sonde. Würde die Unterseite nun in den Himmel zeigen, könnte das Radar unmöglich ein Echo des Signals vom Boden empfangen. Aber es empfing Signale, denn das Radar funktionierte nominal.
  • Da offenbar das System nicht so ausgelegt war, dass es die Plausibilität der Ergebnisse überprüfte, wurde auch der plötzliche Sprung des Werts der Höhe über Grund von einem deutlich positiven Wert (vor Einbeziehung der Radardaten) zu einer deutlich negativen Wert (nach Einschalten des Radars) nicht hinterfragt.
  • Konsequenterweise ging das System nun davon aus, gelandet zu sein und schaltete die Triebwerke ab. Der freie Fall aus fast vier Kilometern Höhe begann.

Das steht so im Abschlussbericht, nebst vielen anderen Dingen. Ich gebe hier nur in einfachen Worten das aus meiner Sicht Wesentliche wieder. Aber bitte lesen Sie den Bericht selbst und bilden Sie ihr eigenes Urteil.

Wie bereits dargelegt, wäre der Verlust der Lageinformation kurz nach Ausfahren des Fallschirms eigentlich nicht missionskritisch. Man muss nur wissen, dass man den Gyroskopdaten nicht mehr trauen kann. Aber da ja eindeutig ersichtlich ist, wann ein Sensor gesättigt ist, hat das System auch diese Information. Danach muss die Lage notwendigerweise neu initialisiert werden. Dazu muss man einfach nur eine Minute abwarten.

Nach dieser kurzen Spanne würde das Gespann schon fast genau senkrecht nach unten fliegen, aber immer noch in sicherer Höhe. Man hat also eine Referenzrichtung, und es kann weiter gehen. Bei Schiaparelli hatte man ja sogar noch die Radardaten. Das Radar strahlt in vier nicht genau parallele Richtungen ab. Auch aus diesen Daten könnte man die Lage rekonstruieren, umso mehr, wenn die Sonde noch eine Rest-Rotation aufweist.

Aber selbst das einfache Abwarten hätte gereicht.

Ich bin Luft- und Raumfahrtingenieur und arbeite bei einer Raumfahrtagentur als Missionsanalytiker. Alle in meinen Artikeln geäußerten sind aber meine eigenen und geben nicht notwendigerweise die Sichtweise meines Arbeitgebers wieder.

52 Kommentare Schreibe einen Kommentar

  1. Das Werkzeug FMEA zur vorherigen Berücksichtigung aller möglichen Fehler wird in der Raumfahrt ja schon seit Jahrzehnten eingesetzt. Sicherlich auch in dieser Mission. Da erstaunt es mich, dass solche grundlegenden Szenarien nicht berücksichtigt wurden.
    Können sie vielleicht aus Ihrer Erfahrung sagen, wie die ESA hier bei der Entwicklung vorgeht?
    Es ist ja auch nicht der erste Absturz einer Sonde auf dem Mars, so dass man schon genügend FMEA’s haben sollte, die im Laufe der Zeit verbessert wurden.

    Die NASA ist hier erfolgreicher. Gibt es da keinen internationalen Austausch unter befreundeten Organisationen?

    • Die ESA selbst macht wenig eigene Entwicklung. Das ist ja auch nicht ihr Mandat. Die Entwicklung soll in der Industrie stattfinden. So auch hier. Im Fall von ExoMars, das ja ein von Italien dominiertes optionales Programm ist, ist das noch einmal sehr … speziell. So eine Situation wäre in den USA zwischen der NASA als Auftraggeber und einem ihrer Auftragnehmer gar nicht möglich.

      Wenn man die technische Leistung bei Schiaparelli beurteilt, sollte man auch berücksichtigen, was die Untersuchungskommission zum thema Hardware sagt. Offensichtlich haben alle Hardwarekomponenten nominal funktioniert, zumindest soweit das anhand der vorhandenen Daten ersichtlich ist. Das ist wirklich beachtlich.

      Nur die Auslegung der GNC ging in die Hose. Das aber gehörig. Schon auf der konzeptuellen Ebene.

  2. Ohne Gyroskop (Ausrichtungsmessung) wäre Schiaparelli sehr wahrscheinlich korrekt gelandet, denn entscheidend ist die Radardistanz zum Marsboden und die variiert mit der Lageausrichtung des Landers nur wenig – ausser Schiaparelli mache Purzelbäume, was dann sowieso unkorrigierbar wäre. Moral von der Geschicht: Lass nie etwas Unwesentliches das Wesentliche entscheiden.

    • Halt, es gilt (gemäss Mars-Lander: Wie kann man sowas steuern? ): Spätestens, wenn die Triebwerke eingeschaltet werden, muss die Lage aber bekannt sein. Dann muss die Steuerung dafür sorgen, dass der Triebwerksschub immer schön nach unten zeigt und sich die Sonde nicht etwa auf die Seite legt. Aber bis dahin ist noch etwas Zeit.
      Wenn das Gyroskop also keine korrekten Werte liefert zum Zeitpunkt, wenn die Triebwerke gezündet werden, dann ist das auf alle Fälle ein ernsthaftes Problem, denn dann sind keine Lagekorrekturen als Reaktion auf unsymmetrischen Triebwerksuchbs mehr möglich.

        • Mir scheint: Die Integration der Gyroskop-Werte (die Gyroskope liefern wahrscheinlich Änderungswerte und keine Absolutwerte) resultierte auch nach Beendigung der Sättigungsphase in falschen Werten für die Ausrichtung und der Sättigungswert wurde noch verwendet, als das Gyroskop schon wieder richtige Werte lieferte. Grund für die über lange Zeit weiterlaufende falsche Akkumulation/Integration der Gyroskop-Werte scheint mir im folgenden Satzfragment des Berichts enthalten: it was evident that the Schiaparelli “hard landing” was ultimately due to the large attitude error created by the GNC software by integrating the saturation threshold rate during the saturation flag persistence.. Und dieses Flag, welches anzeigt, dass eine Sättigung vorliegt, war zu lange gesetzt. In den Schlussfolgerungen steht dazu der Satz: Inadequate persistence time of the IMU saturation flag and inadequate handling of IMU saturation by the GNC;

          Zudem: Wenn tatsächlich eine Reinitialisierung der IMU möglich war, so wurde diese nicht durchgeführt, weil es wahrscheinlich gar keinen Programmteil gab, der so etwas vorsah. Mit anderen Worten: Die Software rechnete gar nicht mit einer Sättigung.

          • Konkretisierung: Angenommen die Sättigung dauert 0.2 Sekunden und es wird das Sättigungsflag gesetzt. Dieses Sättigungsflag bleibt aber 5 Sekunden gesetzt (also viel länger als die Sättigung) und in diesen 5 Sekunden verwendet die Software immer den Sättigungswert. Dann wäre gar nicht die kurzzeitige Sättigung das Problem, sondern die zu lange Zeit in der das Sättigungsflag gesetzt bleibt.

          • Ja, das Steuerungssystem sah die Möglichkeit der Sättigung nicht vor und war auch sonst nicht auf die angemessene Reaktion auf Fehler ausgelegt. Wie bereits mehrfach hier gesagt und auch explizit im Bericht vermerkt.

            Interessehalber nachgefragt: Lesen Sie eigentlich meine Artikel, bevor Sie kommentieren? Haben Sie den vierten Bullet übersehen?

    • Mir scheint: Dass falsche Ausrichtungsdaten über sehr lange Zeit vorlagen war auf alle Fälle ein ernsthafter Fehler. Das sieht scheinbar auch der offizielle Bericht zum „Unfall“ so (Zitat)
      From the review of the elements available to the SIB, it was evident that the Schiaparelli “hard landing” was ultimately due to the large attitude error created by the GNC software by integrating the saturation threshold rate during the saturation flag persistence.
      Die falschen Werte scheinen aber nicht auf das Messinstrument zurückzugehen, sondern auf die Software, welche die Messdaten falsch behandelte: due to the large attitude error created by the GNC software

      • Wie bereits mehrfach beschrieben – sogar in einem eigenen Artikel, und dazu in Antworten auf Kommentare: Die inertiale Ausrichtung kann neu initialisiert werden, wenn man guten Grund zur Annahme hat, dass die Trägheitsplattform falsche Daten geliefert und daraufhin der Bordrechner die Orientierung verloren hat. Alles, was man dazu braucht, ist eine verlässliche Referenzrichtung. Eine Minute abwarten nach Ausfahren des Fallschirms (wo die größten Oszillationen zu erwarten sind) reicht aus.

  3. Frage?
    War die Landetechnik für Schiaparelli eine Prestigefrage?
    Wäre es nicht günstiger auf bekannte Techniken der Amerikaner zurückzugreifen?

  4. Dass das den Simulationen zugrundeliegende dynamische Modell der Entfaltung des Fallschirms bei Mach 2 nicht realitätstreu genug war und daher die tatsächlich auftretenden Winkelgeschwindigkeiten unterschätzt hat, geschenkt. Sowas ist nicht einfach, und vielleicht liegt es an der, im Vergleich zu ihren Zielen, finanziell unzureichend ausgestatteten europäischen Raumfahrt im Allgemeinen, oder dem Zeitdruck, unter dem der ExoMars-Lander 2016 entwickelt werden musste, im Besonderen, dass man kein besseres Modell hatte. (Anders als die NASA, wohlgemerkt, denn deren Rechnungen haben, wie dem Bericht zu entnehmen ist, die Sättigung der IMU klar aufgezeigt.)

    Man braucht ein solches Modell aber überhaupt nicht. Einfacher und robuster wäre es gewesen, auf die Lageinformation während der Entfaltung und bis zur Wirksamwerdung der Dämpfung durch den Fallschirm zu verzichten. Aber selbst wenn. Wie kann es sein, daß die EDL-Software nicht die einfachsten Plausibilitätstests enthielt, welche offensichtlich unsinnig bestimmte Parameter wie Lage kopfüber oder negative Höhe verworfen und eine Neuinitialisierung veranlasst hätte? Das kann doch wirklich nur wenige zusätzliche Zeilen einfachsten Codes bedeutet haben. Wieso schreibt man sowas nicht hinein? Jeder weiß doch, dass für eine Mars-Landung nichts so wichtig ist wie ein defensives Design.

    Wie dem auch sei, ihren Zweck, Schwachstellen aufzuzeigen, hat diese Test-Mission ganz ausgezeichnet erfüllt. Und die Phasen, die nicht mehr getestet werden konnten, lassen sich auf der Erde gut üben. Insofern sähe es für die Lande-Mission 2020 ganz gut aus, wäre da nicht die beunruhigende Tatsache, dass das EDL-System 2020 ein zumindest teilweise Unterschiedliches sein wird.

    • Das Grundproblem ist in der Tat nicht, dass ein Sensor saturiert war, sondern dass das Steuerungssystem nicht robust ausgelegt war. Das sehen Sie ganz richtig. Ich halte es für einen Fehler, sich jetzt allzu sehr auf das Gyro-Problem zu fokussieren und darauf, wie man das in Zukunft vermeiden kann. Das Problem liegt tiefer, nämlich in der Konzeption der Steuerung.

      Auch dem letzen Absatz Ihres Kommentars stimme ich zu.

      Ich meine aber auch, und zwar ganz ohne Ironie, dass es zu Schiaparelli durchaus Positives anzumerken gibt. Insbesondere die Tatsache, dass offenbar nicht zu einem Ausfall von Hardware gekommen ist.

  5. Die fehlende Berücksichtigung einer möglichen Sättigung eines Gyroskops sowohl in der Schiaparelli-Software als auch in den Tests war ein schwerer Design-Fehler. Die fehlenden Plausibilitätstests bildeten quaisi das Tüpfelchen auf dem i. Eigentlich ein Wunder, dass es Schiaparelli immerhin zum Mars geschafft hat.

  6. Zitat гидразин и жабо код : „if the persistence time of the IMU saturation flag would have been 15 ms the landing would probably have been successful, in which case the other root causes would probably never have been identified.“

    Mit andern Worten: Schlimmer als die Sättigung war das zu lange Setzen des Sättigungsflags.

    • Und genau darauf geht der Bericht – jedenfalls die redigierte Version, die öffentlich gemacht wurde – m.E. zu wenig ein: Wieso ist die saturation flag persistence in der IMU-Software so merkwürdig lang anhaltend programmiert worden? Wäre es nicht logisch, dass das Flag augenblicklich wieder auf Null gesetzt wird, wenn die Kreisel nicht mehr gesättigt sind? Dann hätte der GNC-Computer nicht diese absurde Drehung des Landers um 165° – aus immer wieder dem maximalen Messwert, obwohl der wahre schon längst wieder viel kleiner war – aufintegriert sondern einen nur etwas falschen Wert (den das System hätte tolerieren können, wie ja der Bericht feststellt). Ich wüsste zu gerne, ob diese zu lange persistence ein unentdeckter Coding-Fehler war oder aber ein tieferer Zweck damit verfolgt wurde und wenn welcher: In letzterem Fall würde die Verantwortung nämlich von den Software-Leuten der IMU zu jenen (im Bericht ohnehin stark kritisierten) Managern wandern, die für die Zusammenarbeit von IMU und GNC verantwortlich waren. Ich vermute mal, da werden sensitive Industriedaten berührt, aber da es sich hier sozusagen um den root cause der root cause handelt, hätte das m.E. auch in der redigierten Fassung des Berichts angesprochen werden sollen.

      • Ich denke, Sie beißen sich da zu sehr an einem einzigen Detail fest. Das Kernproblem sehe ich woanders.

        Man sollte nicht den Auslöser mit der eigentlichen Ursache verwechseln und meinen, es sei damit getan, einen vermeintlich Schuldigen zu benennen.

        Der Bericht benennt die wirklichen Kernprobleme explizit, und zwar:

        – Seite 21:

        […] the system was zero failure tolerant […] an over-simplistic approach with no possibility of recovery from anomalies

        – Seite 26:

        […] The 2016 mission was implemented with a constant shortage of finances, which led to the decision, en route, to change from a redundant avionics to single string architecture[…]

        Das ist wirklich „core“. Nicht wie lange irgend ein Flag gesetzt wurde. Das Steuerungssystem hat, so der Bericht, keinerlei Fehlertoleranz. Zudem war schon auf Hardwareebene keinerlei Redundanz implementiert. Nicht wie sonst bei wirklich kritischen Komponenten eine doppelte Redundanz mit Mehrheitsvotum. Das ist das fundamentale Problem.

        Die Tatsache, dass kein Versagen einer Hardwarekomponente festgestellt werden konnte, sollte durchaus herausgestellt werden. Das ist hier nicht etwas, was man einfach so als gegeben hätte voraussetzen dürfen.

        Auch die im Oktober vorbeugend von italienischer Seite aufgestellte Behauptung, die von so manchem Blogger und Twitterer vorschnell aufgegriffen worden war und nach der ein nicht durchgeführter Falltest das Problem hätte aufzeigen können, wird im Bericht übrigens (Seite 18) ins Reich der Fabel verwiesen.

        • Auf Seite 18 steht aber auch: „It should be borne in mind that if the persistence time of the IMU saturation flag would have been 15 ms the landing would probably have been successful“ – insofern ist die konkrete Frage, warum sie stattdessen so viel länger programmiert worden war, auch angesichts all des offensichtlichen Versagens auf systemischer Ebene gleichwohl gerechtfertigt. Ich erinnere mich da an den Untersuchungsbericht zum Disaster mit der ersten Ariane 5, das ebenfalls letztendlich auf einen ‚kleinen‘ Software-Lapsus zurückgeführt werden konnte. Und dessen Ursache wurde damals sehr plausibel gemacht: Man hatte möglichst viel der bewährten Software der Ariane 4 einfach übernommen – und dabei übersehen, dass eine kleine ‚Altlast‘ unter Ariane-5-Bedingungen zu einer fatalen Kettenreaktion führen konnte. Das war eine ärgerliche aber sofort nachvollziehbare Erklärung. Und genau dieser Moment fehlt mir hier halt.

          • Sie können sich gerne an dieser Detailfrage festbeißen, wenn Sie das möchten. Ich halte das für eine Phantomdebatte. Das Steuerungssystem war nicht robust. Es fehlten elementare Plausibilitätschecks. Selbst ein vollkommen falsches und physikalisch unmögliches Ergebnis für die inertiale Ausrichtung wurde als zulässig durchgewinkt.

            Spätestens da sollte es doch offensichtlich sein, dass es eben nicht nur um einen zu lange gesetzten Saturation-Flag geht.

            Der Unterschied zwischen dem Ariane 5-Debakel und dem aktuellen Debakel ist, dass das von der Ariane 4 auf die Ariane 5 transplantierte Steuerungssystem auf der neuen Rakete, für die es nicht entwickelt war, selbst unter nominalen Bedingungen nicht funktionieren konnte. Die Versagenswahrscheinlichkeit war dort 100%. Das war eine gute Software am falschen Ort.

            Der Fall ist bei Schiaparelli schon etwas anders gelagert. Nicht alles, was hinkt, ist ein Vergleich.

            Wer nun über „Managementfehler“ spekulieren will, soll auch das gerne tun. Ich beteilige mich daran nicht. Auch einige der „Recommendations“ im Abschlussbericht finde ich schwer nachvollziehbar, beispielsweise #16 auf Seite 26: „Maintain a robust schedule“. Ach wirklich. Nur hat man es hier halt mit einem optionalen Programm zu tun, wo der kleinste Rückzieher eines einzelnen Finanziers das sofortige Aus bedeuten kann. Eine sehr labile Ausgangsposition, die bei einem Hochtechnologieprojekt nichts Gutes verheißt. Das ist der fundamentale Geburtsfehler des ExoMars-Programmes, der sich durch mittlerweile mehr als 15 Jahre der Historie zieht wie eine Schleimspur.

  7. Wenn man die erste Berichterstattung (u.a. auf diesem Blog) bedenkt, dann war (ist?) eine „Hoffnung“, dass durch die Untersuchungen des Unfalls der Zweck des Demonstrators sich sozusagen wunschgemäß erfüllen sollte im Hinblick auf die kommende Mission (= Fehlerausmerzung). Der Bericht, der Blogbeitrag und die hiesige Diskussion läßt allerdings (aus meiner Laiensicht) den Schluss zu oder legt ihn gar nahe, dass die Fehlerquelle(n) eher im Projektaufbau bzw. in der Projektstruktur angelegt waren. Und die kommende 2020er Mission müßte sich eigentlich typischerweise schon in der Schlussphase oder danach bewegen, soweit es Entwicklung, Ferigung und Validierung betrifft.

    Da stellt sich dann aber die Frage, ob die Erkenntnisse aus dem Unfall sich überhaupt noch sinnvoll einbinden lassen in künftige Missionen ohne dass man die gesamte Mission sozusagen komplett „rebootet“ und zeitlich dementsprechend nach hinten hinaus schiebt?

  8. Die 4 Hauptfehlerquellen, welche das Schiaparelli Untersuchungs Team fand können nicht auf einen einzigen Grund, nämlich die oben hervorgehobenen fehlenden Plausibilitätstest, die fehlende Robustheit des Algorithmus, reduziert werden. Und zwar darum nicht, weil ein Algorithmus und weil Plausibilitätstests nur das berücksichtigen können, was überhaupt in die Modellierung eingeht. Die Modellierung der Schiaparelli Marslandung und insbesondere die Modellierung der zu erwartenden aerodynamischen Kräfte während der Fallschirmentfaltung und des Fallschirmflugs waren aber zu konservativ. Sie gingen von einem viel „gemütlicheren“ Abstieg aus als er dann geschah und sie kamen zum fatal falschen Schluss, eine Sättigung der IMU (der Gyroskope) aufgrund von Schaukel- oder Drehbewegungen sei nicht zu erwarten. Genau diese Sättigung, mit der nicht gerechnet wurde und für die es keine Tests gab, trat dann auf. Und prompt war ein wichtiges Stellglied in der Behandlung einer Sättigung falsch gestellt: das Sättigungsflag wurde für einen viel zu langen Zeitraum nicht zurückgestellt, was dazu führte, dass über lange Zeit viel zu grosse Lageveränderungen in die Berechnung der Lage und Ausrichtung der Schiaparelli-Sonde einflossen. Auch die von Michael Khan erwähnte sinnvolle Reaktion auf eine Sättigung, nämlich eine Reintialisierung (Neukalibrierung) der IMU, war wohl nicht einmal in Erwägung gezogen worden, weil mit einer Sättigung gar nicht gerechnet wurde. Ferner zeigte die Untersuchung, dass es in Bezug auf das Sättigungsverhalten Meinungsunterschiede bis hin zum Untersuchungsbericht gab, Zitat:IMU saturation time was not recorded at acceptance and instead believed to be 15 ms)

    Die 4 Hauptfehlerquellen, nämlich
    – Ausschliessen einer Gyroskopsättigung schon in der Modellierungsphase
    – Zu grosse (und falsch kommunizierte) Zeitdauer während dem das Sättigungsflag gesetzt war und während dem der Sättigungswert in die Berechnung der Ausrichtung der Sonde einfloss
    – Fehlende Design-Robustheit
    – Falsches Management von Untervertrag-Firmen und zu wenig geprüfte Akzeptierung von Hardware
    , diese 4 Fehlerquellen können nicht auf „fehlende Plausibilitätschecks, mangelnde Robustheit der Algorithmen“ reduziert werden, selbst wenn man den Begriff Plausibilitätschecks/“plausibles Design“ sehr weit fasst, denn Dinge, die man gar nicht in Betracht zieht können auch nicht plausibel behandelt werden. Eine Sättigung der Gyroskope aber wurde nicht wirklich in Betracht gezogen.

    • Eine einzige Abstiegs- und Landesimulation mit „Sättigung“ und mit den von Schiaperelli verwendeten Sättigungsparametern hätte genügt um den/die fatalen Fehler in der Behandlung einer Sättigigungssituation aufzudecken. War es ein Fehler des Landeteams diesen Test nicht durchzuführen obwohl sie die Wahrscheinlichkeit einer Sättigung gering einstuften? Ich meine ja.

      • Aber das ist doch gerade der zentrale Punkt. Das Steuerungssystem wurde von der falschen Prämisse aus entwickelt. Nämlich der, dass man davon ausgehen kann, dass es funktioniert. Davon kann und sollte man aber niemals ausgehen.

    • Das sehe ich anders. Man braucht nicht alles modellieren zu können. Könnte man das, dann wäre es ja gerade möglich, ein volldeterministisches System zu entwickeln. Der Punkt ist doch gerade, dass dies nicht möglich ist. Robustheit bedeutet eben auch, dass man Vorsorge für Unwägbarkeiten treffen muss.

      Jede Mars-Sonde ist anders, mit unterschiedlichen Eintrittsgeschwindigkeiten und -winkeln, unterschiedlichen Massen, unterschiedlichen Fallschirmeigenschaften. Klar kann man aus vergangenen Missionen lernen – und das wird man hier auch getan haben, den die Hardware funktionierte ja – aber ein hochgradig stochastisches Ereignis wie die Pendelbewegung nach Entfalten eines Überschallfallschirms kann man eben nicht mit letzter Sicherheit modellieren.

      Deswegen sollte man auch nicht das Steuerungssystem auf der Prämisse aufbauen, dass Pendelbewegung eingegrenzt werden kann. Nicht zuletzt auch deswegen, weil das ganze System eben single-string ist. Da ist nichts redundant. Wer weiß denn, ob alle Sensoren genau spezifikationsgemäß funktionieren?

      Es ist einfach Unsinn, sich jetzt an diesem einen Problem festzubeißen. Wenn es hier nicht gehakt hätte, dann hätte es woanders gehakt. Es ist ja nicht so, dass nunr hier ein Plausibilitätscheck „vergessen“ oder eine Rückfallroutine wider Erwarten nicht aufgerufen wurde. Es ist so, dass grundsätzlich auf solche Checks und Rückfalloptionen verzichtet wurde.

      Un das ist sehr wohl das fundamentale Problem mit Schiaparelli.

  9. Graceful Degradation
    Brücken und Hochhäuser werden auch darauf getestet, wie sie im Falle eines Erbebens oder anderweitiger Überlastung zusammenbrechen, denn das kann schöner oder weniger schön geschehen. Auch Raumfähren und Lander sollte man mit Werten (Kräften, etc) ausserhalb des zu erwartenden Bereichs testen um zu sehen wie „schön“ sie versagen. Bei Schapiarelli aber gab es keinen einzigen Test mit der Sättigung der IMU, also keinen Test, der mit Schaukelbewegungen oder Drehungen des Landers ausserhalb des erwarteten Bereichs arbeitete. Das Design und die Software des Steuer-und Navigationssubssystem (GNC) war jedoch auf solch einen Sättigungsfall, also einen zu hohen Wert von Dreh- und Schaukelbewegungen vorbereitet, wenn auch nur in einfacher Weise: für diesen Fall wurde für den zu grossen, nicht mehr darstellbaren Wert der maximal mögliche softwaremässig darstellbare Wert gewählt (der sogenannte Sättigungswert) und es wurde das Sättigungsflag gesetzt, das anschliessend für eine vorprogrammierte Zeit gesetzt blieb. Abgemacht waren eigentlich 15 Millisekunden während denen das Sättigungsflag gesetzt bleiben sollte, doch geliefert wurde eine GNC, die eine viel längere Wartezeit einschloss. Gemerkt hat das niemand bis zum Schapiarelli-Crash, denn es wurde weder bei der Abnahme geprüft noch je getestet. Wohl deshalb wurde es nie getestet, weil mit einer Sättigung in keinem erwarteten Szenario gerechnet wurde. Folge: Anstatt eine Graceful Degradation oder gar eine normale Landung erlitt Schapiarelli einen Crash.

  10. Wie cool ist das denn? Der Vorsitzende des Untersuchungsausschusses – der ESA Inspector General – hat soeben (Sonntagabend!) per Mail meine Frage bzgl. der Ursache der fatalen IMU saturation flag persistence beantwortet, die er übrigens „very pertinent“, also „sehr relevant“, fand, und das von Holzherr im letzten Kommentar vermutete Szenario bestätigt: „The persistence time of 1 sec is a standard value for the used IMU, which was off the shelf. This standard value of 1s was indeed discussed with the supplier and changed to 15 ms, but do to a mishap the unit on board Schiaparelli was programmed with the standard value of 1 s.“ Ein ‚mishap‘ also war der Beginn der Kettenreaktion, deren weiterer Verlauf aus dem Bericht wie auch der Diskussion hier ja hinreichend bekannt ist.

    • Was ich schon habe kommen sehen, tritt nun offenbar ein. Es wird mehr und mehr in der Berichterstattung so dargestellt, als habe es nur ein Problem an einer einzigen Stelle gegeben, die den Absturz verursachte.

      Das klingt doch viel besser als das, was ausdrücklich im Untersuchungsbericht steht, nämlich dass das Steuerungssystem an keiner Stelle die Plausibilität der eigenen Ergebnisse prüfte, dass es nicht die Möglichkeit zu Rückfalloptionen nutzte und dass es unzulässige Vereinfachungen enthielt – kurz gesagt, dass das System schon in seiner Konzeption nicht für einen Mars-Lande geeignet war.

      Wir wollen doch mal eins festhalten. Das GNC-System von Schiaparelli war zum Zeitpunkt des Versagens noch gar nicht gefordert worden. Das, was bis dahin geschehen war, hätte auch ohne zentrales Computersystenm, einfach mit Beschleunigungsmessern und Timern bewerkstelligt werden können.

      Dort, wo das Steuerungssystem das erste Mal konkret etwas machen sollte, machte es das falsch. Und in die Phase, wo es wirklich hätte arbeiten müssen, nämlich den letzten Kilometer und die weiche Landung, ist es gar nicht erst gekommen, wenn man mal von diesen drei Sekunden verfrühter Schubphase absieht.

      Die Konsequenz könnte nun sein, fürchte ich, dass man die Sache mit dem Gyroskop und dem saturation Flag, also Ereignisse, die locker überlebbar hätten sein müssen – jetzt mit Energie angehen wird, denn das ist relativ einfach. Man wird auf dem Problemchen herumtrampeln, es in kleine Stücke zerreißen, es mit der Dampfwalze zermalmen und es zum Trocknen raushängen. Danach wird man beruhigt weiter machen. Problem solved, oder was?

      Aber was man da mit Wucht gelöst haben wird, ist eben auch nur ein Problemchen. Das grundlegende Problem dagegen liegt dagegen ganz woanders. Es ist viel schwieriger zu lösen, denn es betrifft das fundamentale Konzept der Steuerungslogik.

      Ich sehe das mit großer Sorge.

      • Ja+Nein. Ja, in den Medien wird die Ursache des Schiaparelli-Crashs verkürzt und vereinfacht dargestellt, der Bericht aber ist mit seinen Empfehlungen 01 bis 08 sehr umfassend und grössere Robustheit von Design bis Programmierung wird in den Empfehlungspunkten 03 bis 06 angemahnt. Um ein paar Beispiele zu geben. In Empfehlung 04 wird für eine Erhöhung der Design-Robustheit folgendes empfohlen:
        – Dedizierte parametrische und Sensitivitätsanalyse, wobei für jeden Parameter / Beitrag für ein +/- Delta% die korrespondierende Änderung der Outputwerte (Winkelgeschwindigkeit, etc.) quantifiziert wird
        Verständnis für jeden Parameter und seines Beitrags zum erwarteten Worst Case Fall während des Fluges.
        – Durchführung einer deterministischen Worst-Case-Analyse aufbauend auf den erwarteten Worst-Case-Bedingungen.
        In Empfehlung 05 wird zudem eine ganze Reihe von Checks angemahnt, darunter Checks der Ausrichtung samt Vorzeichen, Checks der Beschleunigung samt Plausibilitätsprüfung, Check der Änderung der Höhe über Grund (diese kann sich nicht innerhalb einer Sekunde von 3.7 Kilometer auf einen negativen Wert ändern).

        Plausibilitätsüberlegungen werden also in den Empfehlungen durchaus angemahnt und notwendige Checks dazu sogar konkret angegeben.

        In den Empfehlungen wird auch sichtbar, dass das Berichtsteams erkannt hat, dass die Fehleinschätzung zu Beginn des Projekts, es gebe keine Sättigung, sich fatal auf alles weitere auswirkte und es wird deshalb eine eigene Empfehlung (06) dafür angegeben :
        Die hochdynamische, zum Teil chaotische Dynamik der Abstiegsphase muss ins Bewusstsein des Design-Teams eingehen, und die GNC sollte so konstruiert sein, dass sie robust ist egal, wie sich der Lander während der Fallschirmentfaltung bewegt (schaukelt,rotiert, etc).

        Mir scheint, die Empfehlungen im Schiaparaelli Untersuchungsbereicht bilden eine gute Anleitung für ein ähnliches Marslandeprojekt. Es ist nur erstaunlich, dass die Berichterstatter solche weitreichende, fast jede Projektphase betreffenden Empfehlungen überhaupt angeben müssen. Sie müssen das, weil wirklich auf fast jeder Ebene des begutachteten Projekts geschlampt wurde.

      • Hier ging’s nur um die Klärung einer offenen Detailfrage – die für die 2020-er Mission zudem irrelevant ist, da dann eine andere IMU verwendet wird. Aber für 2016 war es eben so (sagt der Untersuchungsbericht explizit), dass die Landung vermutlich geglückt wäre, wenn entweder die IMU-Software korrekt oder die GNC-Software schlauer gewesen wären – auch das betonte der ESA Inspector General nochmals mir gegenüber. Oder die Fallschirm-Theoretiker besser modelliert hätten, natürlich. So habe ich das Ganze dann auch gestern zusammen gefasst und bin jetzt erstmal moderat befriedigt, was das Verständnis der Kausalketten betrifft. Noch besser wäre es, wenn sich derselbe oder ein anderer Ausschuss später nochmal die 2020-er Entwicklung anschaut und checkt, ob die allgemeinen ‚Lektionen‘ auch angewendet wurden. Ist dergleichen vorgesehen? Ein anderes Mitglied der Untersuchungskomission sagte mir jedenfalls, für ihn sei die Sache nun vorbei …

        • Eine solche Aussage zur Erfolgswahrscheinlichkeit halte ich für hochspekulativ. Die Gründe habe ich bereits genannt. Die Phase, in der sich das GNC-System wirklich beweisen musste, wurde nie erreicht.

          Was der Bericht aber auch sagt, und dem stimme ich vollinhaltlich zu (Seite 23):

          […] The GNC should be designed to be robust whatever the EDM motion during parachute deployment […]

        • Bei Adam D. Steltzner et al: Mars Science Laboratory Entry, Descent, and Landing System Overview kann man nachlesen wie es geht und worauf es ankommt. Schließlich ist diese Sonde sicher gelandet.

          Unter anderem heißt es hier: While the MSL team believes we have attained a deeper understanding of wrist mode dynamics and the energies involved, the sensitivity of subsequent EDL events to high wrist mode energies led to the inclusion of an active wrist mode damping mechanism using the RCS thrusters. In cases where the capsule wrist mode frequency violates the “safe” flight envelope, RCS thrusters will fire to reduce the wrist mode frequency to acceptable levels.

          Das Abbremsen mittels Fallschirm bei Mach 2.0 wie bei Schiaparelli scheint sehr kritisch zu sein. Selbst wenn so dämliche Programmierfehler vermieden werden ist das Problem nichttrivial.

          • Sehr guter Einwurf Karl Mistelberger. Folgerung daraus: Eigentlich ist es unverantwortlich die Marsmissions-Erfahrungen der NASA in Bezug auf Entry, Descent, and Landing zu ignorieren.

          • Worauf beruht denn nun wieder die Behauptung, die Erfahrung der Amerikaner mit Marsmissionen sei ignoriert worden? Ohne die Vielfalt der Daten aus der von der von der NASA gewonnenen Erfahrung hätten wahrscheinlich Hitzeschild und Fallschirm und die dazugehörigen Komponenten nicht funktionieren können.

            MSL ist ein völlig anders gelagerter Fall, die Systeme dieses Landers sind in jeder Hinsicht leistungsfähiger. Die NASA ist den Europäer in dieser Hinsicht um Jahrzehnte voraus. Die MSL-Mission beinhaltete u.a. eine aktiv gesteuerte hypersonische Phase sowie eine Schwebephase, während der der Rover am Seil herabgelassen wird. Natürlich hat eine solche Mission auch einen engeren „flight envelope“. Sie ist ja auch imstande, eine um einen Faktor 5 kleinere Landeellipse einzuhalten als Schiaparelli.

            Daraus folgt aber nicht, dass es nur so gehen kann wie bei MSL. Auch ein primitives System wie das von Schiaparelli hätte funktionieren können, wenn die GNC brauchbar ausgelegt worden wäre, was aber nicht unbedingt bedeutet, dass sie komplexer oder ausgefeilter hätte sein müssen als das, was an Bord war. Sie hätte nur besser sein müssen.

          • Zitat:„Worauf beruht denn nun wieder die Behauptung, die Erfahrung der Amerikaner mit Marsmissionen sei ignoriert worden?“
            Damit meinte ich, dass die physikalische Vorstudie zur Fallschirmentfaltung und dem Fallschirmflug der Schapiarelli-Mission zum Resultat kam, es gebe – trotz Mach 2 – eine nur geringe Dynamik und deshalb sei keine Sättigung der IMU zu erwarten. Die Konsultation der NASA durch die Schiaparelli-Untersuchungskommission ergab aber, dass bei Mach 2 eine hohe Dynamik zu erwarten sei. Es kann natürlich sein – und muss eigentlich so sein -, dass die physikalische Vorstudie zur Schiaparelli-Mission einfach wegen anderen Missionsdaten zu anderen Resultaten (zu Resultaten mit geringer Dynamik bei der Fallschirmentfaltung) kam als die NASA-Studie zur MSL-Mision.

          • @Martin Holzherr: Dass die Dynamik in den ersten Sekunden nach der Entfaltung des Fallschirms falsch eingeschätzt wurde, ist bekannt, aber das darf nicht die IMU abschießen, sodass die nur noch Unsinn berechnet. Frühere, NASA-Landemission haben diese Phase auch überstanden, obwohl sie simpler als MSL ausgelegt waren und aiuf viel weniger verfügbarem Detailwissen aufsetzten.

            Eine unerwartete Dynamik kann auch auf ein Teilversagen zurückzuführen sein, beispielsweise einen Riss einer Leine.

            Selbst wenn man die Gyros so wählt, dass sie auch größere Winkelgeschwindigkeiten ohne Sättigung übefrtragen, handelt man sich nicht nur vielleicht eine geringere Genauigkeit bei niedrigen Winkelgeschwindigkeiten ein. Es kann auch sein, dass ein Sensor zeitweise Ausreißer, also falsche Messwerte ausgibt. Gerade wenn, wie hier, alles Single-String gemacht ist, also ohne Redundanz.

            Dieses Festbeißen an der Dynamik kurz nach canopy unfurling führt nirgendwo hin. Sonst hätte es halt an anderer Stelle gehakt. Problematisch ist die mangelnde Robustheit. Das hätte man natürlich von den Amerikaner abgucken können, aber eigentlich sagt auch schon der gesudne Menschenverstand, dass eine Marslandung kein Unterfangen ist, das man ohne ausreichende Robustheit und ohne Rückfalloptionen angehen sollte.

  11. Pingback: ESA-Marslander Schiaparelli: die ganze Geschichte des Crashs - Abenteuer Astronomie

    • Zitat aus dem Artikel, der im obigen Kommentar verlinkt wird:

      Es wurde ein ganz konkreter winziger Fehler gemacht, ohne den eine weiche Landung des Entry Demonstrator Module (EDM) alias Schiaparelli sehr wahrscheinlich geglückt wäre

      Wie kann man so eine Behauptung aufstellen?

      Wer weiß denn, was sich noch alles für Probleme aufgetan hätten, wenn die Landesequenz den Punkt erreicht hätte, an dem das Steuerungssystem zum ersten Mal richtig gefordert wird? Den Fallschirm ausfahren und einen Timer aktivieren, der den vorderen Teil des Hitzeschilds absprengt, dazu das Radar einschalten und dessen Ausgaben mit dem Cosinus eins Winkels zu multiplizieren, dass ist alles noch nichts, was ich als „Guidance, Navigation and Control“ bezeichnen würde.

      Neun Hydrazintriebwerke im gepulsten Betrieb so zu steuern, dass die Sonde ihre senkrechte Lage beibehält und in ca. 2 Meter Höhe bei Horizontal- und Vertikalgeschwindigkeit zur Ruhe kommt und genau in dem Moment alle Triebwerke auszuschalten, und dass alles noch in einem System, wo wirklich alles „Single String“, also mit Null Redundanz ausgelegt ist.

      Das Ganze mit einer Steuerungssoftware, die sich gar nichts dabei denkt, wenn die berechnete Höhe blitzartig von +3.7 km auf einen negativen Wert umschlägt.

      Die der Meinung ist, die Sonde könne mit dem Fallschirm nach unten und der Nase nach oben fliegen. Die es gar nicht schert, dass Radarechos vom Boden empfangen werden, obwohl das Radar doch gemäß der eigenen Berechnung der inertialen Ausrichtung seine Impulse in den Himmel schicken müsste.

      Ein System, in dem keinerlei Rückfalloptionen implementiert wurden, falls es zu einem Fehler kommt (sagt der Bericht der Untersuchungskommission).

      So ein System wird also eine „sehr wahrscheinlich geglückte“ Landung ermöglichen? Na, dann hoffe ich, dass mir nie ein System begegnet, dass ungeeignet für eine geglückte Marslandung ist. Was man dem, was auf Schiaparelli implementiert war, immer noch eine erfolgreiche Landung zutrauen darf, dann müsste ein „ungeeignetes System“ wohl eine wirklich unschöne Sache sein.

  12. > Worauf beruht denn nun wieder die Behauptung, die Erfahrung der Amerikaner mit Marsmissionen sei ignoriert worden?

    Speziell auf der im Untersuchungsbericht erwähnten Monte-Carlo Simulation der Überschallphase. Im Paper von Steltzner et al aus 2012 steht vieles drinnen was sich angeblich erst nach dem Schiaparelli Absturz aus den Konsultationen mit dem JPL ergab, u.a.:

    Estimating the oscillatory behavior of an entry capsule suspended underneath a parachute is an extremely dynamic and complex problem. Initial conditions at parachute deployment can pump large energies into the capsule wrist mode (rotation underneath the parachute about the capsule center of gravity) which will decay with time. Historical attempts to bound the wrist mode behavior and its time evolution following parachute deployment have failed to bound the behavior observed during flight (e.g. MER-B).

  13. > Problematisch ist die mangelnde Robustheit. Das hätte man natürlich von den Amerikaner abgucken können, aber eigentlich sagt auch schon der gesunde Menschenverstand, dass eine Marslandung kein Unterfangen ist, das man ohne ausreichende Robustheit und ohne Rückfalloptionen angehen sollte.

    The 2016 mission was implemented with a constant shortness of finances, which lead to the decision, en route, to change from REDUNDANT avionics to a SINGLE STRING architecture, which under schedule pressure to meet the 2016 launch window opened the door for undue shortcuts in FDIR implementation. Missions to Mars have a launch window every 26 months, which means that launch dates become very constraining, with tendency to keep launch dates at all costs.

    So steht es im Untersuchungsbericht. Der gesunde Menschenverstand war unter diesen Umständen nicht gefragt. Offensichtlich musste erst eine Mission scheitern, bevor sich die Einsicht durchsetzte, dass es ohne denselben nicht geht.

  14. Der Fehleranalysereport fordert die Einführung eines Systems Engineering Teams und identifiziert Schwächen bei der Verifikation auf verschiedenen Ebenen. Diese Schwächen müssen eindeutig von der ESTEC verantwortet werden; ich habe 40 Jahre mit der ESTEC zusammengearbeitet (Chiefingenieur für Spacelab und Columbus) und kann mich an heisse aber am Ende fruchtbare Diskussionen erinnern. Natürlich musste am Anfang viel von den amerikanischen Beratern gelernt werden aber seit der Columbus-Phase waren die Europäer auf der gleichen Ebene mit der NASA (und teilweise sogar besser) betreffend Systems Engineering, PA und Verifikation – wo ist dieses Know-How geblieben?

    Das gesamte technische Konzept für die Landungsphase hinsichtlich Fehlertoleranz und die handwerklichen Fehler der SW erfordern eine Überarbeitung durch ein neues Team bei der ESTEC und dem industriellen Hauptauftragnehmer, um EXO-Mars 2020 besser zu machen.
    Murphy’s Law wird immer gelten!

    • Der Bericht fordert zwar eine ganze Menge, aber die Mitglieder der Kommission waren halt nicht selbst am Projekt ExoMars beteiligt, sondern an richtigen Projekten. Sie können deswegen aufzeigen, wo es hakte, werden aber nicht im Detail wissen, wie es dazu kommen konnte.

      Wie bereits mehrfach angesprochen: Das ExoMars-Programm hatte von vorneherein den Geburtsfehler, dass es ein optionales Programm war, zusätzlich noch eines mit Zielsetzungen, die sich im Verlauf des Programms fundemental änderten. Optional bedeutet, dass einzelne Staaten jeweils eine Summe Geldes bereit stellen. Das Programmvolumen ergibt sich aus der Summe der gezeichneten Beiträge. Ob diese Summe reicht, ist unerheblich. Mehr gibt es halt nicht. Wenn eine einzelne Nation eine weitaus größere Summe bereit stellt als die anderen, dann wird diese Nation das Projekt dominieren. Wesentliche Managemententscheidungen sind damit auf die politische Ebene verlagert. Andererseits: Wenn ein Land sich entscheidet, aus dem Program auszusteigen, und sich kein anderes Land bereit erklärt, seinen Beitrag um den nun fehlenden Betrag aufzustocken, dann kann dies schon das Ende des Programms bedeuten. Selbst wenn der Beitrag, um den es geht, vergleichsweise gering war.

      So etwas sollte man eigentlich nur bei kleineren Projekten machen. Auf keinen Fall bei einer Sache, die Anspruch und Umfang einer Cornerstone-Mission hat. Es ist immer leicht gesagt, man hätte zu viel Wert auf das Einhalten von Deadlines wie Startfernster gelegt. Wenn man aber genau weiß, dass bei einem ohnehin schon chronisch unterfinanzierten Programm das Verfehlen eines weiteren Startfensters den Ausstieg von Beitragsländern und damit das Programmende nach sich zieht, ist die Handlungsfreiheit natürlich stark eingeschränkt. Mit einem „neuen Team“, aber gleichen Randbedingungen wird man auch nichts anderes herausbekommen. Man kann aus ExoMars eine Menge lernen. Auch, wie man ein Programm organisieren sollte … und wie nicht.

      Columbus war programmatisch anders (besser) eingebettet und es war von besser (ausreichend) finanziert. Deswegen war dort von vorneherein diee Ausgangsposition eine andere.

      Hier ist ein Link zu einem Artikel, den ich vor sechs Jahren schrieb, zum Zeitpunkt, als die NASA nach nur drei Jahren aus ExoMars ausstieg. Ich denke, schon dieser kurze Einblick in eine limitierte Phase der ExoMars-Historie macht klar, dass dies ein Programm mit fundamentalen, schon in der Genese angelegten Problemen war … und ist.

      • Eine Untersuchungskommission hat die Aufgaben, den aufgetretenen Fehler technisch zu analysieren, Ursachen für das Auftreten des Fehlers zu identifizieren (technische und organisatorische) und Änderungsvorschläge zu machen. Um Objektivität zu wahren, ist es normal, dass die Mitglieder nicht am Projekt beteiligt waren. Einen ESA-Angehörigen als Chairman einzusetzen ist daher etwas fragwürdig; der Chairman des Columbia Accident Investigation Boards war US-Marineadmiral Harold W. Gehman .
        Was wollen Sie mit dem Ende des Satzes , dass die Mitglieder statt dessen an „richtigen Projekten“ beteiligt waren, ausdrücken?

        Ich verstehe, dass die Geldmittel limitiert waren/sind aber ein verantwortungsbewusster Projektleiter auf ESA- und Industrie-Seite sollte die Verantwortung für ein Projekt nicht übernehmen von dem er weiss, das die Ressourcen nicht ausreichen; dies hätte dem obersten Management formell gesagt werden müssen (mangels insight weiss ich natürlich nicht, ob das passiert ist).
        Ihre Feststellung „Ob diese Summe reicht, ist unerheblich“ kann ich überhaupt nicht teilen, ESA ist die Raumfahrtorganisation von Gesamteuropa und keine Spielergemeinschaft. Solche Misserfolge gefährden den Ruf der langsam aufgebauten europäischen Raumfahrt. Ich habe in vielen Besprechungen und Vorträgen immer wieder erklärt, dass gerade die Anomalien- und Fehlerbeherrschung die Raumfahrt von „irdischen“ Produkten unterscheidet, da eine Nachbesserung im Orbit nicht möglich ist (ausser bei bemannten Flugelementen wie ISS). Speziell junge Ingenieure haben da manchmal ein gewisses Defizit, weil sie zu sehr an Modelle und Berechnungen glauben.
        Mit meiner Empfehlung das Team auszutauschen meine ich nicht ALLE sondern nur die Hauptverantwortungsträger, die sicher bei ESA vorhanden sind, um das technische Konzept mit tragbarem Risiko sicher zu machen.

        Mit meinen limitierten Kenntnissen des ExoMars Programms sehe ich diese Punkte:
        -Ein redundantes Radarsystem mit Priorität und SW mit adäquaten Plausibilitätsprüfungen; dürfte die Kosten und den Zeitplan nicht zu sehr strapazieren,
        -Die Gesamtverantwortung muss klar definiert werden, am besten wäre ESA/ESTEC mit russischer Unterstützung,
        -Die ESA – Projektleitung muss Alenia -Thales detailliert kontrollieren (Ich kenne diese Firma seit vielen Jahren und weiss, dass sie auf niedriger Ebene sehr viel leisten kann, weniger aber auf der Systemebene).

        Im übrigen war COLUMBUS auch nicht üppig finanziert, es waren 18 Studien nötig, um die Änderungen auf NASA Seite zu berücksichtigen und Kosten einzusparen. Das erste C/D Angebot lag 50% über den von der ESA erwarteten Kosten und wurde daher abgelehnt. Erst das zweite Angebot, das durch Streichen von Flugeinheiten und Vereinfachungen auf Teilsystemebene in den Kostenrahmen gepresst wurde, wurde schliesslich unterzeichnet.

        • Ihre Feststellung „Ob diese Summe reicht, ist unerheblich“ kann ich überhaupt nicht teilen,

          Ich beschreibe hier nicht meine Vorstellung und Meinung, sondern die Situation. Zu keinem Zeitpunkt war das Programm ausreichend finanziert (sagt auch der im obigen Artikel zitierte Kommissionsbericht). Ich rede noch nicht einmal von „üppiger“ Finanzierung.

          Ein Austausch der Projektverantwortlichen ändert nichts an der von vorneherein vorliegenden Problemsituation. Es gibt Randbedingungen, unter denen es ausgeschlossen ist, gute Arbeit abzuliefern.

          Ich meine: Ein Programm solcher Tragweite und mit diesem technischen Anspruch muss einfach als Cornerstone-Mission durchgeführt werden, niemals als optionales Programm. Das halte ich für das Kernproblem, aus dem sich alles andere ergibt. Wie es dazu kam war, weil ExoMars ursprünglich, also Anfang des Jahrtausends, als Vorläufer und Technologiedemonstrator für ein bemanntes Explorationsprogramm zum Mond und zum Mars angestoßen wurde. Explizit nicht als primär wissenschaftliches Projekt. Da aber nicht alle ESA-Mitgliedsländer an bemannter Exploration interessiert sind, wurde dies als optionales Programm begonnen, an dem sich nur interessierte Mitgliedsländer beteiligen konnten.

          Es sollte zuerst ein Rover zum Mars geschickt werden (erste Planungen sprachen von 2009!), danach eine Mars-Sample_Return-Mission. Beides eher als Technologie-Demonstratormissionen.

          (Mehr zum ambitionierten, aber nicht mehr existenten ESA Explorationsprogramm „Aurora“ beispielsweise hier und hier.)

          Dann aber verlor die bemannte Exploration an Bedeutung, und ExoMars verlagerte sich immer mehr zu einem wissenschaftlich ausgerichteten Projekt. Als erstes wurde die Sample-Return-Mission auf unbestimmte Zeit verschoben. Die letzten Initiativen dazu waren im Rahmen einer gemeinsam mit den USA geplanten Mission, aber die NASA beendete diese Kooperation. Übrig blieb der Rover. Diese Zielsetzung ist mit der Rahmenbedingung eines optionalen Programms eigentlich schon gar nicht mehr zu vereinbaren, was am wachsenden Desinteresse der beteiligten Nationen und ihrer mangelnden Bereitschaft zu einer realistischen Finanzierung abzulesen ist. Die Berichterstattung zur ExoMars-Mission über die Jahre hinweg wird vom Thema „unsichere Finanzierung“ beherrscht, z.B. hier.

          Dadurch war die ESA gezwungen, Partnerschaften erst mit den USA und dann mit den Russen einzugehen. Wenn man kein Geld hat, um eine Rakete zu kaufen, dann muss man halt einen Partner finden, der eine Rakete hat. Das Vorliegen einer internationalen Partnerschaft erschwert aber erheblich das Aufkündigen des Projekts trotz eigentlich verfahrener Situation. Der dadurch angerichtete Flurschaden kann weit über das betroffene Projekt hinaus gehen.

          Eigentlich ist das ein klassischer Fehler, wenn man zulässt, dass sich bei einem Großprojekt der „Scope“, also die Zielsetzung und das Projektvolumen ändern. Sowas passiert aber immer wieder, und beileibe nicht nur in der Raumfahrt. Es ist immer so schön einfach gesagt, dass man die Risiken klar benennen und gegebenenfalls einen sauberen Schnitt machen sollte. Ja. Klar. Sollte man. Eigentlich.

          • Hoffentlich behalten Sie die Motivation, unter solchen Umständen zu arbeiten…

  15. “ das ja ein von Italien dominiertes optionales Programm ist, ist das noch einmal sehr … speziell.“

    Hust, Hüstel, ÄH. In die Expertendebatte über Technik mag ich mich nicht einmischen.
    Aber das Zitat im ersten Kommentar Ihrerseits und den (Blogbeitrag dazu )verstehe ich so:
    Die haben Murks geliefert, der offensichtlich nur schlecht war. Und weil das Staaten sind und eben keine Zuliefererfirmen ,wie bei der NASA ,muss man politische Rücksicht nehmen und muss bestimmte Länder irgendwie integrieren oder irgendein Land ist aus Proporzgründen mal dran etwas zu liefern, auch wenn ein anderes Land es besser könnte. Italien ist dann vielleicht so ein Land, bei dem Prestigedenken der Regierung vor Rationalität steht.
    Darf ich das so ungefähr verstehen?

    • Nein, das ist nur eine Interpretation Ihrerseits, aber nicht meine Aussage. Es entspricht auch nicht den Tatsachen, soweit mir diese bekannt sind. Angefangen dabei, dass es in den USA wie auch in Europa immer Industrieunternehmen sind, die Hardware und Software liefern.

  16. Herr Khan
    da haben Sie recht, war eine Interpretation von mir, vermutlich falsch. Asche über mein Haupt. Beim nächsten Kommentar bin ich sorgfältiger.

Schreibe einen Kommentar




Bitte ausrechnen und die Zahl (Ziffern) eingeben