Берешит

В системе ориентации MCO имелись маховики, изменение скорости вращения которых компенсировало действие малых возмущающих сил. Но маховик должен работать в определенном диапазоне скоростей,
когда его характеристика остается линейной. Если маховик «насыщается» (уходит за пределы линейного участка характеристики), его нужно «разгрузить». Разгрузка происходит автоматически под управлением
бортового ПО и заключается в принудительном снижении скорости вращения маховиков с одновременной стабилизацией КА с помощью двигателей ориентации. Процесс называется «разгрузкой углового момента»
(Angular Momentum Desaturation, AMD).
Несмотря на то, что двигатели ориентации управляют движением КА вокруг центра масс и имеют малую тягу, в силу конструктивных особенностей («межканальные связи») они слегка изменяют и поступательную скорость движения КА, что нужно учитывать при расчете траектории. Данные о каждой разгрузке маховиков
по телеметрии сбрасывались на Землю и обрабатывались наземным программным обеспечением.

Здесь то и была ошибка. Комиссия установила, что коренной причиной аварии стало использование британских единиц вместо метрических при программировании компонента SM_FORCES («малые силы») наземного ПО. На выходе этого компонента, по заданной MSOP спецификации, должны были быть величины выданных им пульсов в ньютон секундах, рассчитанные исходя из данных производителя по тяге
двигателей и фактической длительности включения. (Разделив импульс на текущую массу КА в килограммах, можно было найти приращение скорости в метрах в секунду. Фактическое приращение скорости КА при
каждой разгрузке составляло порядка 1 мм/с.) На борту при расчете разгрузок так оно и происходило. Но в тексте «наземной» программы тяга двигателей была выражена в фунтах силы, и, как следствие, в выходной файл данных по разгрузкам AMD записывались импульсы в фунт секундах.
Файл AMD использовался навигационной группой MCO для моделирования воздействия на КА сил тяги двигателей. Навигационные алгоритмы использовали величины им пульса как выраженные в «маленьких» единицах, ньютон секундах, в соответствии со спецификацией. Поэтому величины малых сил, воздействующих на КА со стороны двигателей ориентации, в навигационных расчетах были занижены в 4.45 раза. Эта ошибка и вела к неверному расчету траектории.
....
В течение первых четырех месяцев полета станции данные из AMD файлов не использовались в определении орбиты из за многочисленных ошибок формата и неверных спецификаций на кватернионы (данные по ориентации) КА. Навигационная группа JPL использовала данные о времени и параметрах разгрузки, получаемые от подрядчика (Lockheed Martin) по электронной почте, и самостоятельно моделировала возмущения траектории. Только в апреле 1999 г. «навигаторы» начали использовать AMD файлы в правильном (как они считали) формате

 

Комиссия Казани признала, что вероятной причиной потери станции является «преждевременное выключение посадочных двигателей вследствие чувствительности программного обеспечения к случайным (посторонним) сигналам». Хотя другие возможные причины не могут быть исключены, «у комиссии было мало сомнений» в
том, как произошла авария.

Через 4 мин 13 сек после входа в атмосферу, во время спуска на парашюте на высоте 4800 м*, развертываются в посадочное положение три опоры ПА. От ударной нагрузки установленные на них магнитные датчики на холловском эффекте выдают кратковременный ложный сигнал касания. Бортовой
компьютер в большинстве случаев запоминает его («выставляет флаг»), так как период опроса датчиков сравним с длительностью ложного сигнала. На высоте 40 м, которая достигается через 5 мин 16 сек после входа в атмосферу, компьютер проверяет исправность датчиков (в это время они должны показывать отсутствие касания) и разрешает выключение двигателя по флагу касания. Но так как этот флаг уже был установлен, происходит выключение двигателей! Падая с высоты 40 м с начальной скоростью 13 м/с, ПА
набирает скорость 20–22 м/с (в 8–9 раз выше штатной) и разбивается.

Тот факт, что при развертывании посадочных опор происходит ложное срабатывание, был хорошо известен и проявлялся при испытании посадочных опор технического экземпляра (макета) MPL. (Кстати, в поле зрения комиссии этот факт попал в январе 2000 г., когда такое же ложное срабатывание показал в четырех из пяти тестов в термобарокамере макет станции Mars Lander'2001.) Но разработчики ПО MPL этого не знали, от них программной защиты не требовали, и они ее не предусмотрели.

Были и другие обстоятельства. В «Системных требованиях» присутствовал пункт, разрешающий использование данных датчиков касания для выключения двигателей только ниже 12 м. Однако в «Требования к летному ПО» он почему то перенесен не был, так что разработчики ПО имели искаженное представление о своей задаче. Позднее проектное требование изменили, увеличив высоту использования датчиков до 40 м. Если бы она осталась на уровне 12 м, станция могла уцелеть...

Основной причиной провала марсианской миссии 1998 г. комиссия Янга считает недостаточное финансирование и давление сроков. По оценке Т.Янга, проект был недофинансирован минимум на 30% от реальной потребности.

Было поставлено задание – разработать посадочную станцию сравнимой или даже большей сложности, чем успешно сработавший Mars Pathfinder, за половину стоимости последнего. (Pathfinder, в свою очередь,
стоил значительно меньше, чем предшествующие проекты АМС.) JPL была вынуждена отказаться от тщательного контроля работ, проводимых подрядчиком, и с ее стороны по проекту работало всего 10 сотрудников. В свою очередь, Lockheed Martin Astronautics уже на этапе «агрессивной» борьбы за контракт допустила занижение потребных расходов. Чтобы провести работы в срок и ограниченными силами, большая часть разработчиков длительное время работала по 60, а некоторые и по 80 часов
в неделю. Многими ключевыми областями занималось по одному человеку. Людей и времени не хватало для того, чтобы организовать нормальный уровень контроля, причем об отклонениях от стандартной практики, о высоких рисках JPL не сообщали.

 

При разработке "Радуги" в КБ ПМ был впервые создан полный комплект наземных отработочных изделий:
01ИМ - имитатор системы ориентации и стабилизации;
02АФУ и 03КИ - изделия для полномасштабного макетирования;
04Н - отработка наземного оборудования для полигона;
05ДИ - динамические испытания;
06СТИ - статические испытания;
07ТВ - температурные испытания;
08РТИ - комплексные электрические испытания;
09Р - ресурсные испытания;
10Х - испытания на сохраняемость;
Ну а первой летной машине дали номер 11Л.