欧空局发布火星着陆任务失败的调查结果

石头兰经典书屋 2017-05-31

展开全文

近日，欧空局（ESA）宣布完成了对去年10月夏帕瑞丽（Schiaparelli）着陆器着陆失败的故障调查，导致任务失败的原因主要包括以下几点：

对高速降落伞动力学建模仿真缺乏足够认识；
软件系统的故障识别、隔离和恢复设计存在欠缺；
对合同分包商、软/硬件验收管理不当。

任务海报；左侧黑色的是微量气体轨道器，中间银色的是夏帕瑞丽着陆器

ExoMars2016任务简介

夏帕瑞丽着陆器又被称为EDM，与气体探测轨道器（Trace Gas Orbiter，TGM）同属欧空局和俄联邦宇航局（RSA）联合开展的ExoMars计划第一阶段（代号ExoMars2016）的任务（第二阶段代号ExoMars2020，将于2018年开始实施）。

ExoMars2016任务策划

ExoMars2016主要包含2个核心目标：

1）将重约3800kg的气体探测轨道器送入火星环绕轨道，开展为期5年的火星大气研究，特别是寻找代表生命迹象指标的甲烷、与其拥有类似分子组成的化合物踪迹，绘制出甲烷或其他气体来源地图，并开展对火星地表水冰沈淀物成份的研究。

2）完成重约577kg的夏帕瑞丽着陆器在火星的着陆，验证飞行器进入火星大气、减速、着陆等一整套过程的相关技术，为下一阶段任务（ExoMars 2020）飞行器在火星着陆并释放火星车扫清技术障碍。

气体探测轨道器和夏帕瑞丽着陆器组合体正在进行振动试验

故障现象还原

气体探测轨道器和夏帕瑞丽着陆器由质子号运载火箭在2016年3月14日自拜科努尔发射场发射升空。七个月后的10月16日，夏帕瑞丽着陆器从轨道器上分离，经过为期3天的轨道调整，于10月19日14:42 （UTC）进入火星的大气层。

质子号发射ExoMars2016任务

按照预定的着陆程序，着陆过程耗时约6min，着陆器通过超音速降落伞、9台降落发动机减速至约1.5m/s，最终在火星表面实现软着陆。然而，实际降落过程中夏帕瑞丽着陆器在预定着陆时间前43s失去了信号。

夏帕瑞丽着陆程序

根据事后故障调查还原，夏帕瑞丽着陆器按照预定计划以5.83km/s的再入速度进入火星大气层（距离火星地表约131km海拔高度），首先依靠防热外壳与火星大气作用的空气阻力进行减速；3min1s后，着陆器速度降低到约1.5倍音速，海拔高度降低至约12km，过载传感器触发超音速减速伞展开进一步降低着陆器的下降速度。

夏帕瑞丽展开超音速减速伞

减速伞按计划展开后，导致着陆器上部分模块开始剧烈振动；该振动理论上在着陆器下降速度达到500m/s附近时达到峰值。然而，设计人员没有预计到的是，在减速伞的作用下着陆器的实际振动量级远大于数值仿真结果，尤其是Z轴方向，量级已经超出了惯性测量单元的量程。

过高的俯仰方向角速度作用下，惯性测量单元向着陆器通用导航控制（GNC）软件输出限幅信号。在GNC软件的设计过程中，设计人员没有考虑到惯性测量单元输出限幅的工况，直接导致着陆器对降落方向的判断产生了约165°的偏差——相当于底部防热盾调转165°朝天的状态，尽管减速伞的作用下着陆器在物理上不可能处于这种姿态。

尽管此刻夏帕瑞丽着陆器还未彻底失控，但着陆器上的软件缺乏必要的工具和设置来识别错误、恢复数据。

夏帕瑞丽解锁分离前防热盾

在减速伞展开后40s，着陆器依据着陆程序设计解锁分离了前防热盾，15s后雷达多普勒高度计（Radar Doppler Altimeter，RDA）启动，对着陆器的高度和速度进行测量。RDA的测量结果被送入含有错误姿态参数的GNC软件进行解算，导致了雷达海拔读数出现负值。

面对这种负海拔参数的读数混乱，软件系统同样缺乏有效的识别、校正手段；软件的控制逻辑直接将负海拔读数发送给了终端降落模块。

雷达多普勒高度计 RDA

RDA测量几何示意

终端降落模块主要依据当前海拔读数与计划节点的理论海拔进行对比，依据海拔判断结果触发相应的控制手段。

夏帕瑞丽解锁分离防热背罩

按照计划，着陆器的防热背罩应在海拔1.2km~0.6km之间分离，随后着陆发动机点火约29s，直到着陆器距离地表约2m时再关机，完成着陆器的软着陆。

然而实际上，在着陆器海拔3.7km左右时，GNC基于负海拔的错误前提对防热背罩抛罩进行判断，随后立即将防热背罩进行了解锁分离。2s后，9台440N的着陆发动机启动，但基于同样的负海拔进行判断，GNC立即下达了发动机关机指令，着陆发动机仅工作约3s后就停止了工作。

于是，在经历约34s自由落体后，夏帕瑞丽着陆器最终以超过150m/s的速度撞击在火星地表，着陆失败。第二天，NASA的轨道器对预定着陆点进行了确认，确认结果表明夏帕瑞丽确实以极高的速度在火星表面撞毁了。

夏帕瑞丽着陆点照片确认情况，由NASA的火星勘测轨道器（Mars Reconnaissance Orbiter ，MRO）拍摄

故障调查结果与建议

故障调查的第一个主要关注点是对减速伞展开的动力学建模。

事实上，对于减速伞的动力学建模本来就是一个技术上的难点。在对夏帕瑞丽着陆器的减速伞展开过程的多体建模仿真中，显然仿真结果与实际情况存在很大的出入。

夏帕瑞丽着陆器的减速伞展开过程动力学建模是在NASA喷气推进实验室（Jet Propulsion Laboratory，JPL）的协助下进行的，并吸收了NASA“好奇号”在火星着陆过程中使用减速伞的最新数据和经验。

根据故障调查结果，在夏帕瑞丽着陆器分析和仿真过程中，常用的“保守不确定处理原则”并没有得到很好的落实；同时，在统计仿真中也并没有包括对“最坏工况”的识别与分析。因此，仿真并没有预示惯性测量单元超量程的工况，导航控制软件也没有对惯性测量单元限幅输出工况采取相应的防范措施。

惯性测量单元限幅输出工况没有被识别成一个可能的“风险事件”，惯性测量单元限幅输出工况也没有作为验收测试中的一个项目。当超量程发生时，惯性测量单元持续向导航控制软件输出限幅标志，然而导航控制软件在开发过程中没有考虑这一情况，软件只能应对限幅输出不超过15ms的情况。

这一问题被认为是导致夏帕瑞丽着陆失败的一个底事件。如果仿真对这一风险进行了相应的预示，则设计人员可以对惯性测量单元的限幅输出进行限制，通过限制限幅输出标志的持续时间以满足导航控制软件的要求；导航控制软件开发也可以对该情况采取相应的措施。同时，相应的工况也将被安排至验收试验等地面试验过程中，检验各系统对此工况的应对措施是否满足要求。

夏帕瑞丽着陆发动机工作状态示意

第二个主要关注点在于夏帕瑞丽着陆器缺乏在线故障检测、隔离和恢复能力（Failure Detection, Isolation and Recovery，FDIR）。

夏帕瑞丽被建造成了一个零差错容忍系统。然而，实际上，夏帕瑞丽着陆器上设置有许多的冗余测量设备，可以用于软件系统进行在线的测量数据交叉对比，从而实现对故障的识别。

不仅如此，就本次故障暴露的现象而言，海拔读数的数值属于物理上完全不可能的状态（俯仰姿态角调转165°，海拔高度为负数），软件如果设置有简单的检查判断环节就会发现读数存在明显错误。

根据本次调查的结果，软件开发过程中考虑到了降落雷达发生故障的状态，但是完全没有考虑惯性测量单元故障的情况；在系统设计层面，惯性测量单元被错误的当做一个零差错模块简单处理掉了。同时，相关的测量单元（包括加速度计、角速度传感器、海拔传感器、时间计量器等）可以被用作惯性测量单元的冗余检测和备份数据来源，但是系统设计时并未考虑到这一点。

夏帕瑞丽正在接受测试

故障调查同时认为，对合同分包商以及软/硬件的验收管理不当应该作为导致此次任务失败的一个次级因素。

在本次事件中，惯性测量单元的限幅输出情况属于一个“未知情况”，没有在任何地方对其进行了约定或说明。导航控制软件的外包开发也没有提及与惯性测量单元限幅输出相关的说明或要求；软件开发完成后，也没有包括对相应工况的测试、验收工作。

ExoMars2020任务概念图，右下角为欧空局火星车的设计概念

本次故障调查的核心建议主要集中在工程设计和管理方面，包括：

1）提高多体动力学建模分析能力；统计建模时应合理、恰当地反应所有可能遇见的工况，相应的风险和“最坏工况”也必须纳入考虑范围，以增加系统的整体安全余量，提高系统鲁棒性（容错能力）。

2）系统软件应具备对不同的导航、测量参数进行交叉对比和错误识别能力。健壮的导航控制软件应当能够预见降落过程中可能出现的故障状态，并对相应的故障采取隔离、恢复等应对措施。

3）就管理和流程控制而言，在每一个软/硬件单元采购或外包时均应给予详细的描述和要求，在接收时均应开展严格、细致、全面的验收和鉴定工作。

4）对于即将到来的ExoMars 2020任务，故障调查组认为要对减速伞展开过程的设计结果开展多方交叉校核，确保仿真和设计结果满足实际要求。

5）加强与相关机构的合作（如NASA的喷气推力实验室，以及其他国家航天局或部分高校研究机构），运用合作单位的优势力量来对设计结果进行确认。

6）与合同分包商（如Thales Alenia和Lavochkin等）建立集成的工程研制团队，并设计合理的、鲁棒性好的研制计划流程。当需要在技术风险和研制进度两者中进行取舍时，确保技术风险占有足够的比重。

截至今天，人类已经向火星发射了44个火星探测器（根据计数方法不同，该统计数据可能存在差异）。其中成功18次（欧空局的MarsExpress和ExoMars2016均算作部分成功），失败26次。