Il rapporto della commissione di inchiesta che ha indagato sulle cause del malfunzionamento del lander marziano EDL/Schiaparelli di ESA ha sostanzialmente confermato quanto anticipato nelle dichiarazioni dello scorso anno, individuando la causa primaria nel malfunzionamento del sistema di guida.

Il documento, rilasciato lo scorso 24 maggio da ESA, spiega nel dettaglio non solo la cronologia dei fatti, ma analizza anche la qualità delle campagne di test condotte a terra, prima della partenza.

La causa primaria del fallimento

La causa dell’incidente è da imputarsi all’errata interpretazione dei dati provenienti dall’IMU (Inertial Measurement Unit), un giroscopio utilizzato per calcolare la velocità di rotazione di Schiaparelli attorno ai suoi assi, che ha raggiunto la condizione di saturazione già pochi istanti dopo l’apertura del paracadute. Il comportamento anomalo è durato per pochi secondi, ma tanto è bastato per mandare in tilt il sistema di controllo dell’assetto del lander.

Quando le letture provenienti dalla IMU sono state elaborate dal computer di guida di Schiaparelli per la stima dell’altitudine, il valore calcolato è risultato con segno negativo, come se Schiaparelli si trovasse, di fatto, nel sottosuolo. Tale condizione ha indotto il rilascio prematuro del paracadute seguito da una brevissima accensione dei motori, come se il lander fosse di fatto già atterrato. In realtà Schiaparelli era ancora ad una quota di circa 3700 metri, e dopo una caduta senza freni durata una trentina di secondi, la sfortunata sonda si è schiantata sulle rosse sabbie marziane.

Il sistema di riferimento di EDM

Per meglio comprendere la disamina tecnica dei prossimi paragrafi, illustriamo qui la disposizione dei tre assi del sistema di riferimento di EDM/Schiaparelli.

(C) ESA/AstronautiNEWS

(C) ISAA/AstronautiNEWS La disposizione degli assi nel sistema di riferimento di EDM/Schiaparelli

La cronologia degli eventi

N.B. Tutti i tempi sono espressi in UTC.

16/10/2016 14:42:00 – Separazione di Schiaparelli da TGO

19/10/2016 13:29:48 – Risveglio di EDL dallo stato di ibernazione

19/10/2016 14:42:22 – Primo contatto con l’atmosfera marziana (EIP – dato fornito dagli accelerometri).

In un periodo tra l’inizio dell’interfaccia di rientro e l’apertura del paracadute, è stata notata un’evoluzione inattesa del rateo di rotazione del modulo EDM

19/10/2016 14:45:23 – Apertura del paracadute (comando legato ai valori dell’accelerazione g) Le condizioni dinamiche al momento del rilascio del paracadute derivavano dalla telemetria, che mostrava un angolo di attacco pari a 6,5 gradi e un rateo di rotazione minore di 3 gradi/secondo. Il tempo dell’apertura del paracadute (cioè il tempo trascorso tra lo sparo del dispositivo pirotecnico e il massimo fattore di carico) si è discostato dalle previsioni pre-lancio di circa 1 secondo (in linea con le attese). Il dispiegamento del paracadute ha indotto delle oscillazioni di Schiaparelli ad una frequenza di circa 2,5 Hz. A circa 0,2 secondi dal momento di massimo gonfiaggio del paracadute, l’IMU (Unità di Misura Inerziale ndr) misurava un rateo attorno all’angolo di beccheggio (cioè la velocità angolare di rotazione attorno all’asse trasversale – o asse Z – del veicolo) maggiore del previsto L’IMU ha segnalato di essere in saturazione Durante il periodo nel quale l’IMU era in saturazione, il software di guida (GNC – Guidance aNd Control) ha utilizzato il dato proveniente dall’IMU stessa, ormai fisso al suo valore massimo, prendendolo come valido e significativo. In realtà EDM stava oscillando, ma l’IMU non era in grado di percepire correttamente il movimento ondulatorio. Il dato errato proveniente dall’IMU ha indotto il software GNC a calcolare un assetto impennato di 165°, praticamente come se EDM fosse quasi completamente rovesciato, con lo scudo termico che puntava in alto vicino alla linea della verticale. Nel momento dell’apertura del paracadute l’oscillazione di Schiaparelli si era quasi del tutto esaurita ed il modulo stava scendendo alla velocità prevista, con oscillazioni residue di entità minima (< 3 gradi/secondo) attorno agli assi di beccheggio (Z) e di imbardata (Y). Completato il dispiegamento del paracadute c’è stato un ulteriore cambiamento nel rateo di rotazione attorno all’asse di rollio (X).

19/10/2017 14:46:03 – A T+40 secondi dal dispiegamento del paracadute, lo scudo termico è stato espulso con un comando impartito da un timer.

19/10/2017 14:46:19 – A T+18 secondi dal distacco dello scudo termico il Radar Altimetro (RDA) è stato acceso come da programma e ha iniziato a fornire letture radar della distanza dal suolo accurate e senza segni di anomalia. Il software di guida di EDM ha condotto una serie di “controlli di coerenza” confrontando il dato in arrivo dall’RDA con quello dell’IMU. I parametri controllati erano il delta di velocità ed il delta dell’altitudine. In particolare l’altitudine era ottenuta tenendo conto dell’assetto stimato dal software GNC che proiettava le distanze captate dai radar (slant range) sulla “verticale” EDM-suolo marziano. A causa dell’errore nella misurazione dell’angolo di beccheggio, superiore ai 90° (165°, come detto sopra), la formula del coseno applicata a tale angolo dava al software GNC un risultato del calcolo dell’altitudine con segno negativo. In pratica, per il software di guida EDM era letteralmente dentro il sottosuolo marziano. Nessuna valutazione circa la plausibilità di un dato di altitudine negativo era stata prevista a bordo, quindi seppur totalmente illogico (il fatto stesso che il computer fosse in funzione rendeva un’altitudine negativa letteralmente impossibile) questo input è stato utilizzato come valido dal software di guida. Il “controllo di consistenza” tra RDA e IMU era quindi costantemente fallito, ma dopo 5 secondi in tale stato la logica di bordo, per evitare di rimanere incastrato in un loop infinito, autorizzava comunque il software GNC a utilizzare i dati da entrambi i sensori, finendo con l’innescare la modalità “TERMINAL DESCENT”. La modalità TERMINAL DESCENT prevedeva lo sgancio della calotta superiore dello stadio di discesa e del paracadute quando il valore dell’altitudine scendeva sotto una soglia pre-programmmata.

19/10/2017 14:46:49 – A causa dell’altitudine non corretta, il software GNC comandava il distacco della calotta superiore e del paracadute.

19/10/2017 14:46:51 – Accensione dei retrorazzi (RCS)

19/10/2017 14:46:54 – Spegnimento dei retrorazzi Il criterio di spegnimento dei retrorazzi era basato su una stima dell’energia dell’EDM (calcolata in funzione dell’altitudine e della velocità verticale), e di quando il suo valore si fosse trovato al di sotto di una soglia pre-programmata. Dal momento che la stima dell’altitudine era fortemente negativa ed il valore calcolato dell’energia potenziale (con segno negativo) superava di gran lunga quello dell’energia cinetica (con segno positivo – il quadrato della velocità), tale criterio fu immediatamente soddisfatto, tanto che lo spegnimento del sistema RCS venne comandato dopo soli 3 secondi di funzionamento. Al momento dello spegnimento del sistema RCS Schiaparelli si trovava alla quota di 3.700 metri dal suolo. Schiaparelli a quel punto ha iniziato una caduta libera che lo ha portato a schiantarsi sul suolo marziano circa 34 secondi dopo

19/10/2016 14:47:28 – Impatto di Schiaparelli su Marte, alla velocità stimata di 150 m/s.

19/10/2016 14:48:05 – Orario stimato dell’atterraggio in caso di operazioni nominali

Le cause precise dell’incidente

Secondo la commissione d’inchiesta i fenomeni dinamici osservati durante il dispiegamento del paracadute non sono stati causati dal fallimento di uno specifico sottosistema o componente, bensì a fenomeni naturali causati da una combinazione di diversi parametri non propriamente previsti e attesi prima della missione.

Sulla base delle indagini effettuate, la commissione ha identificato quattro cause principali del fallimento di Schiaparelli:

Il modello dinamico del comportamento del paracadute è stato troppo poco conservativo, e le dinamiche previste da tale modello hanno largamente sottostimato la realtà. Il software di guida (GNC) ha gestito in modo inadeguato lo stato di saturazione dell’IMU. La progettazione del sistema FDIR (Failure Detection Isolation and Recovery, il software che gestisce l’identificazione e la soluzione delle anomalie di bordo, ndr) è stata inadeguata La procedura di accettazione dell’hardware e la gestione dei contraenti è stata sub ottimale (la durata dello stato di saturazione dell’IMU non era stata documentata durante l’accettazione, ma semplicemente assunta come pari a 15 ms)

I controlli di conformità pre-volo si sono concentrati unicamente sul radar-altimetro RDA e sulla stima dell’altitudine operata dal software GNC sulla base degli input della IMU. Nessuno dei casi considerati aveva tenuto conto in maniera corretta di possibili false letture provenienti dai due sensori di assetto principali. Se da un lato il software di bordo ha correttamente individuato l’inconsistenza reciproca dei dati di RDA e IMU, nessuna misura concreta è stata posta in essere per rimediare a questo conflitto, e i due input sono stati processati come fossero dati legittimi.

La commissione ha determinato che con le risorse disponibili a bordo un atterraggio morbido sarebbe stato comunque possibile persino a seguito della saturazione della IMU. Ad esempio, il radar altimetro RDA avrebbe potuto essere utilizzato per determinare l’assetto su due assi rispetto alla verticale, ed uno specifico modo di funzionamento del software GNC avrebbe potuto portare con successo EDM sul suolo marziano.

Ecco il video della conferenza stampa di ESA, tenutasi presso il centro ESA/ESOC di Darmstadt due giorni dopo il fallito landing.

Le raccomandazioni

La commissione d’inchiesta ha emesso 8 raccomandazioni generali, destinate ad influenzare il design delle prossime missioni di ESA, e 8 raccomandazioni specificamente destinate ad ExoMars 2020.

Raccomandazioni generiche

Raccomandazione 1: Il modello a corpi multipli usato nella simulazione del gonfiaggio del paracadute necessita di miglioramenti in diverse aree. Il comportamento del paracadute in fase di estrazione ed espansione va caratterizzato in modo migliore, mettendolo in relazione alla velocità Mach del veicolo in discesa.

Raccomandazione 2: Va stabilito un piano per la verifica e la supervisione di tutti i sottomodelli e dei relativi parametri. Le routine logiche del software FDIR erano focalizzate principalmente su problemi al radar altimetro RDA. I casi di possibile anomalia inclusi negli scenari gestiti dall’FDIR si sono rivelati insufficienti. Sebbene EDM non avesse ridondanza per alcuni sistemi (per ragione di costi, EDM era soprattutto un dimostratore tecnologico) ciò non significa che non si potessero adottare alcune strategie di recupero accettando performance degradate.

Raccomandazione 3: la robustezza del sistema va confermata attraverso: a) l’analisi di ciascuna delle fasi che corrispondono ad una modifica alla configurazione del veicolo, sia a livello di sistema che di sottosistema, includendo casi di prestazioni degradate; b) analisi di vari scenari di fallimento a livello del software GNC e di sistema (da realizzare nelle fasi di progettazione, implementazione, e verifica).

Raccomandazione 4: L’analisi della robustezza del sistema va effettuata attraverso: a) la determinazione percentuale, in modo deterministico, del cambiamento del rateo di rotazione in funzione della variazione del valore di specifici parametri; b) la comprensione, per ciascun parametro, delle peggiori possibili condizioni riscontrabili durante il volo; c) un’analisi deterministica dello scenario più sfavorevole che sia risultante delle peggiori condizioni di partenza di cui al punto precedente. In più andrà svolta un’analisi critica il cui obiettivo finale sia quello di individuare qualsiasi parametro o contributo che possa avere un impatto significativo sulla dinamica e sui ratei angolari che non siano ricompresi in quelli individuati con le misure sopra elencate.

Raccomandazione 5: Per aumentare l’affidabilità del design va implementata una robusta campagna di controlli di conformità sul software di bordo che deve comprendere (ma non limitarsi a):

controllo dell’assetto

controllo sul segno del dato di altitudine (che non può essere negativo)

controllo sull’accelerazione verticale durante la discesa finale e l’atterraggio (non può essere maggiore della forza gravità)

controllo sul rateo di cambiamento dell’altitudine (non è plausibile che cambi da 3700 metri a 0 in meno di un secondo)

controllo pre-volo del rapporto altitudine o accelerazione contro tempo in volo, per validare le misure del profilo di discesa.

Raccomandazione 6: La fase critica e dinamicamente molto disturbata della discesa in atmosfera va pienamente compresa, ed il software GNC va progettato per essere affidabile a prescindere dal moto sperimentato da EDM durante il dispiegamento del paracadute. Specifici modi di funzionamento del GNC vanno pensati ed implementati per consentire un atterraggio corretto anche in presenza di sensori degradati, per esempio affidandosi al solo radar altimetro oppure sfruttando sensori aggiuntivi.

Raccomandazione 7: La pianificazione della telemetria di bordo va rivista e adattata per favorire l’osservabilità di tutte le fasi e modi di funzionamento in tempo reale.

Raccomandazione 8: Assicurare che il processo di acquisizione avvenga:

applicando a tutti i contraenti gli aggiornamenti ai dettagli delle specifiche dopo la fase di trattativa per l’assegnazione del contratto

accertando che tutti i requisiti siano adeguatamente verificati (per i requisiti chiave un test è auspicabile) e seguiti, identificando tutti i software embedded e di questi acquisire la piena conoscenza in merito a contenuto, fornitore e tecnica di verifica

garantendo la corretta applicazione di QA e PA per l’accettazione delle varie unità

rinforzo del lato organizzativo del progetto, introducendo un’apposito ruolo preposto a controllare il processo di accettazione

accertando la piena rispondenza dei modelli matematici all’atto della validazione degli elementi dei vari fornitori

Raccomandazioni specifiche per ExoMars 2020

Raccomandazione 9: Si raccomanda l’utilizzo di un semplice modello consistente in una forza oscillante applicata, che rappresenti la forza dei lacci del paracadute e che possa modulare magnitudine e direzione della forza applicata, per la definizione di prove di stress che mirino a migliorare la qualità del software GNC.

Raccomandazione 10: Vista la fondamentale importanza del successo di ExoMars 2020 per l’intero programma di esplorazione Europeo, si raccomanda di rinforzare il progetto attraverso partnership con altre agenzie spaziali o università, usando le loro competenze per assicurare la miglior validazione possibile dei modelli usati per la messa a punto del software di GNC. Si suggerisce anche di contro-validare il modello a corpi multipli di Thales Alenia Space chiedendo a NASA e JPL di revisionare il modello del paracadute con i loro tool e alla luce della loro esperienza nel campo.

Raccomandazione 11: – A causa della complessità del calcolo del carico sostenuto dalle briglie del paracadute (includendo rotazioni ed accelerazioni) si suggerisce che il carico massimo sostenibile sia verificato garantendo la presenza di adeguati margini di sicurezza

Raccomandazione 12: Benché l’IMU di Exomars 2020 sia diversa da quella della precedente missione, la commissione sottolinea l’importanza di impostare un valore corretto per i limiti di saturazione, se necessari, e che il progetto sia robusto a sufficienza da gestire la presenza di saturazione quando necessario (ad es. inibendo l’utilizzo dei segnali della IMU durante la fase di dispiego del paracadute, per evitare instabilità del sistema di controllo legate a forti instabilità). Va massimizzato il beneficio della presenza di due unità IMU per evitare la perdita di informazioni riguardo l’assetto.

Raccomandazione 13: Usando l’esperienza maturata con la missione ExoMars 2016, si raccomanda una completa revisione della missione dell’EDL del 2020, che andrà poi sottoposta ad una tipica peer review. Una revisione dedicata al solo sistema GNC, da svolgersi prima della CDR (Complete Design Review) per verificare l’affidabilità del sistema stesso, della sua logica e delle relative procedure FDIR. La fase di frenata tramite retrorazzi da svolgersi tra l’espulsione del paracadute e la quota di 2 metri dal suolo non è stata sperimentata durante la missione del 2016.

Raccomandazione 14: Tenendo conto delle specificità della missione 2020 il progetto tenga contro di quali attività aggiuntive, test e/o analisi debbano essere condotte per compensare il mancato test sul campo della fase propulsa nella missione 2016.

Raccomandazione 15: Si raccomanda fortemente la creazione di un team di ingegneri di sistema integrato che includa lo staff della NPO Energomash e di Thales Alenia Space Italia, al quale affidare la responsabilità delle verifiche e delle validazioni a livello di sistema. Questo team dovrà organizzare sessioni di progettazione concorrenti con le varie parti al fine di accelerare la schedulazione dei lavori.

Raccomandazione 16: Si mantenga un calendario dei lavori stabile, evitando di sovraccaricare la programmazione delle attività quando posti di fronte alla scelta tra rischio e rispetto delle scadenze. ExoMars 2016 è stata implementata in costante scarsità di fondi, che ha condotto, a progetto già avviato, all’abbandono della ridondanza dei sistemi avionici per favorire un design a catena singola. Con finestre di lancio che si aprono ogni 26 mesi, le missioni marziane hanno scadenze particolarmente stringenti, e spesso si cerca di rispettare la data di lancio stabilita a qualsiasi costo. La pressione per non mancare la finestra di lancio ha spinto, con ExoMars 2016, all’adozione di “scorciatoie” nello sviluppo del sistema FDIR.

Conclusioni

La sequenza di discesa del modulo Schiaparelli è stata nominale fino al momento dei “controlli di conformità” dei dati provenienti da IMU e RDA. Le seguenti fasi di missione si sono svolte regolarmente, fino a quel punto:

corretta separazione da TGO (delta-V leggermente maggiore del previsto, senza alcuna conseguenza)

corretto risveglio dall’ibernazione dopo 3 giorni di avvicinamento a Marte

corretto approccio, ingresso e aerofrenata in atmosfera marziana

corretta tempistica del rilascio del paracadute

rilascio e il gonfiaggio del paracadute. Su questo punto va specificato che l’apertura del paracadute ha causato oscillazioni laterali della capsula che hanno superato il livello di saturazione dell’IMU su uno degli assi, corrompendo la stima dell’assetto a causa della indebita prolungata permanenza dello stato di saturazione stesso. Questo fattore si sarebbe dovuto identificare come rischio e attentamente gestito sia a livello di sistema che di IMU e tenendo presente altri possibili fattori come un’apertura del paracadute fuori asse, un gonfiaggio asimmetrico o una sua oscillazione, così come il tempo di permanenza del flag (segnale ndr) di saturazione dell’IMU si sarebbe dovuto valutare attentamente. Il paracadute ha funzionato, ma il suo comportamento a Mach 2 non è stato compreso a sufficienza.

corretta espulsione dello scudo frontale

corretto funzionamento dell’RDA (Radar Doppler Altimetro): la logica di bordo, in caso di inconsistenza dei dati provenienti da IMU e RDA, era di forzare l’utilizzo dei dati dell’RDA e entrare la fase TERMINAL_DESCENT a dispetto del fatto che l’altitudine, quando calcolata usando il dato corrotto dell’IMU, avesse segno negativo. Le ulteriori sotto-modalità di funzionamento, tutte iniziate da specifici valori di altitudine, hanno innescato in brevissima sequenza la separazione dello scudo superiore, l’attivazione del sistema dei retrorazzi (RCS) per il tempo minimo di 3 secondi, finendo con il causare la caduta libera di Schiaparelli da una quota di 3700 metri.

nella modalità TERMINAL_DESCENT, poi lo scudo superiore e il paracadute si sono separati correttamente (per quanto nel momento sbagliato) il sistema RCS ha funzionato correttamente nei 3 secondi di attività l’accensione degli strumenti destinati a lavorare sulla superficie è stata dimostrata (anche se nel momento sbagliato, visto che si sono accesi mentre Schiaparelli era ancora in volo) il punto dell’impatto su Marte è stato localizzato quasi al centro dell’ellisse calcolata a terra



In conclusione il dimostratore Schiaparelli è arrivato davvero molto vicino ad atterrare con successo su Marte, nella zona pianificata. Una parte molto rilevante degli obiettivi del dimostratore sono stati raggiunti, e questo ha consentito di validare gli strumenti e identificare i miglioramenti necessari per le missioni a venire.

Fonte: ESA

Questo articolo è © 2006-2020 dell'Associazione ISAA - Alcuni diritti riservati.