Алексей Пахунов

… также известный как “Not a kernel guy”

Copyright © 2006 - 2024 License
Powered by Hugo and Hyde-X

Про частично успешный запуск Arian 5

Jan 29, 2018 · Comments
КосмосТехника

Запуск Arian 5 с двумя спутниками на борту на прошлой неделе прошел частично успешно. Спутники были выведены на орбиту с заметно большим чем следовало наклонением. Но я хотел поговорить не об этом, а про немного смешную статью бы на https://geektimes.ru с отдающим желтизной заголовком: “Обман в прямом эфире при аварии «Ariane 5»”:

… но авария вызывает возмущение действиями Arianespace — ЦУПу с первых минут должно было быть ясно, что с ракетой творится что-то неладное, но комментатор продолжал вести репортаж, будто бы все в порядке. Что же случилось?

… Но с точки зрения репутации и пиара это уже катастрофа — поведение диктора, рассказывающего об успешном пуске при отсутствии телеметрии, тем более, что в ЦУПе должны были заметить проблему еще раньше, сложно назвать иначе, нежели обманом.

Сразу замечу, что я свечку не держал. Как там все в Arianespace устроено досконально не знаю. Все что написано далее - мои домыслы. Тем не менее…

Автор статьи, насколько я могу судить, делает одно в корне неверное предположение, что “у них там в космической области все проверено и перепроверено и, соответственно, все было понятно с первых минут и, как следствие, нам врут”. На самом деле есть гораздо более простое объяснение.

Начну с того, что полетный софт пишется исходя из двух принципов:

  1. Проверяй все что можно.
  2. Никогда не сдавайся.

Первый принцип в объяснении не нуждается. Второй принцип означает, что не смотря ни на какие ошибки и нештатные ситуации, программа должна всегда пытаться выполнить самое разумное в данной ситуации действие. В банкомате попытка снять денег больше, чем есть на счете завершается сообщением о недостатке средств. Это нормально, так как у человека есть время прореагировать на “нештатную ситуацию”. На ракете, если по какой-то причине масса топлива получилась отрицательной, программа не должна завершаться ошибкой - иначе ракета просто упадет. Вместо это, программа может вывести менее точную оценку массы топлива по времени полета или даже просто использовать минимально возможную положительную оценку. Это в любом случае лучше, чем просто упасть в океан. И, если повезет, то может ошибка исправится сама собой. Такое бывает сплошь и рядом, кстати.

Второй момент заключается в том, что в время полета у операторов нет времени для сложного анализа телеметрии. Оператор отвечающий за ликвидацию ракеты не сморит на скорость, азимут и прочие параметры полета. Вместо этого, данные про положение и скорость ракеты прогонятся через набор заранее разработанных правил. Правила выдают фактически бинарный результат - ракета вышла за допустимые параметры полета или нет. Если ракета вышла - ёё подрывают. Если нет, то нет.

Именно по этому разговоры про оперативный анализ телеметрии и принятие решений на ходу мне кажутся притянутыми за уши. Почему в данном случае ракету не ликвидировали в полете? Вероятно потому что она не вышла за допустимые параметры полета (согласно заложенным правилам). Могли ли правила допустить такое отклонение? Вполне возможно. Эти правила не такие простые, как может показаться на первый взгляд. Могла ли ошибка закрасться в сами правила? Конечно могла - расследование покажет.

Следующее наблюдение заключается в том, что системы критичные для полета наверняка отделены от прочих некритичных систем, в том числе, от системы, обслуживающей трансляцию запуска. Это не означает, что нет никакой возможности получать данные телеметрии вне ЦУПа. Наверняка такая возможность есть. Но любое спряжение между критическими и некритическими системами требует особого внимания разработчиков. Что приводит к тому, что такие необязательные интерфейсы сводят к минимуму и стараются лишний раз не трогать. Иными словами никаких особенных средств автоматического анализа телеметрии у людей, ведущих трансляцию наверняка нет. Выводятся на экран базовые параметры и ладно. Подтверждения разделения ступеней и прочих событий они скорее всего получают слушая голосовой обмен на одном из внутренних каналов в ЦУПе.

Далее, роль диктора, ведущего трансляцию, очень проста. Он там нужен для развлечения зрителей и прочего пиара. Соответственно он может готовится только к двум сценариям:

Причем случай когда пропала телеметрия относится к первому варианту. Телеметрия может пропасть по массе причин. Это не повод разводить панику. Ракета в этот момент продолжает лететь - см. пункт “никогда не сдавайся”. Если же пропадет критичная телеметрия и ракету ликвидируют - вот тогда диктор переключится на второй вариант.

В этом случае полет для стороннего наблюдателя выглядел вполне нормально. Соответственно диктор отрабатывал номинальный сценарий. То, что в ЦУПе в этот момент заметили отклонение на трансляцию никак не влияет. Вот по этому рассуждения про ложь в прямом эфире выглядят немного забавно.

comments powered by Disqus