Sehr gute Frage! Die Antwort läuft auf Statistiken des Scheiterns hinaus. Einige Aspekte beinhalten die Statistik von "zufälligen" Ausfällen - aus irgendeinem Grund beißen einige kritische Komponenten einfach in den Staub - und andere beinhalten ereignisgesteuerte Ausfälle, wie z.

Wenn jemand (normalerweise eine Regierung) Hunderte von Millionen bis Milliarden von Dollar/Euro (oder den Gegenwert in Yen oder Rupien oder Rubel oder was auch immer) für eine wissenschaftliche Mission ausgibt, möchte er, dass die Wahrscheinlichkeit des Scheiterns „annehmbar niedrig“ ist “, was normalerweise sehr niedrig bedeutet. Je mehr ausgegeben wird, desto geringer ist in der Regel die akzeptierte Ausfallwahrscheinlichkeit. Typische Zahlen, die ich bei der Zusammenarbeit mit NASA und JPL gesehen habe, sind 95 % Erfolgswahrscheinlichkeit für eine relativ kostengünstige Mission und 99 % oder sogar noch höher für Missionen der Flaggschiff-Klasse (Erfolgswahrscheinlichkeit = 1 - Ausfallwahrscheinlichkeit). Auf diese hohen Erfolgswahrscheinlichkeiten zu drängen, wird richtig teuer.

Die Wahrscheinlichkeiten zufälliger Ausfälle sind nicht genau normalverteilt , aber behandeln wir sie als solche. Um die erwartete Ausfallwahrscheinlichkeit über die beabsichtigte Lebensdauer der Mission auf sehr niedrige Werte zu bringen, muss man sich viel länger Zeit nehmen, um die Ausfallwahrscheinlichkeit von 50 % zu erreichen, manchmal um ein Vielfaches. Sie befinden sich auf den Flügeln einer Normalverteilung. Bei 95 % Erfolgswahrscheinlichkeit sind Sie 2$\sigma$(zwei "Standardabweichungen") vom Mittelwert, also 50% Ausfallwahrscheinlichkeit. Wenn Sie eine Missionsdauer von beispielsweise 5 Jahren mit einer Erfolgswahrscheinlichkeit von 95 % (Fehlerwahrscheinlichkeit von 5 %) wünschen und die Standardabweichung des Fehlers 4 Jahre beträgt, müssen Sie eine mittlere Zeit bis zum Ausfall planen von$5 + (2 \times 4)$Jahre oder 13 Jahre. In der Hälfte der Zeit erwartet man also, dass dieses Raumschiff, das für eine 5-Jahres-Mission ausgelegt ist, 13 Jahre hält.

Ereignisgesteuerte Statistiken können dies weiter modifizieren. Komponenten für einen Lander oder Rover müssen so konstruiert sein, dass sie den atmosphärischen Eintritt (für ein Ziel mit einer Atmosphäre) und die Landung überstehen. Es besteht eine statistische Wahrscheinlichkeit, dass diese Komponenten ausfallen, aber sie müssen so robust konstruiert sein, dass diese Wahrscheinlichkeit sehr gering ist. Aber das Design für das Überleben während der Landung bedeutet oft, dass die erwartete Lebensdauer nach erfolgreicher Landung stark ansteigt .

Das gilt auch für andere Raumfahrzeuge als Lander. Raumfahrzeuge, die im Ruhezustand sind, dh keine Vortriebsmanöver durchführen, nicht viele radikale Lageänderungen durchführen, Scanplattformen nicht schnell über den ganzen Himmel fahren, neigen dazu, lange zu halten. Dies ist bei den beiden Voyager- Raumschiffen der Fall: seit Saturn für Voyager 1 und Neptun für Voyager 2, sie waren größtenteils in "ruhiger Kreuzfahrt". Außerdem hat ein kleines, aber engagiertes Betriebsteam kreative Wege gefunden, um Strom zu sparen. Sie finden solche Taktiken wie das Abschalten von Instrumenten, die nicht mehr nützlich sind, das Abschalten von Heizungen in Komponenten, die nicht mehr benötigt werden, usw. Als ich an der Neptun-Begegnung arbeitete, erinnere ich mich, dass das Projekt sagte, dass sie erwarteten, dass sie genug Energie zum Betrieb haben würden bis etwa 2015. Wir sind weit darüber hinausgegangen, hauptsächlich aufgrund dieser Stromsparstrategien. Suzie Dodd, die Projektmanagerin, sagt, jetzt denken sie vielleicht an 2025.

Hier gibt es viele allgemeine Antworten zu Raumfahrzeugen. Ich werde versuchen, die Frage speziell für Geist und Gelegenheit zu beantworten.

90 Sols wurden als ausreichend erachtet, um die Hauptmission der Rover durchzuführen, daher wurden die Systeme entwickelt und getestet, um die volle Leistungsfähigkeit über die gesamten 90 Sols sicherzustellen.

Das erste, was einen Rover voraussichtlich unter seine volle Leistungsfähigkeit bringen würde, war Staub auf den Solarmodulen. Die Staubablagerungsrate und die Auswirkungen auf Sonnenkollektoren waren von Mars Pathfinder bekannt, ein multiplikativer Leistungsverlust von 0,3 % pro Sol, und wurde unter normalen Wetterbedingungen als globale Konstante angesehen. Es stellt sich heraus, dass es global ist. Daher wurden die Solarmodule so dimensioniert, dass sie alle Antriebs-, Instrumenten- und Armoperationen, die Kommunikation und die thermische Steuerung unterstützen, die für die volle Leistungsfähigkeit erforderlich sind, wenn etwa 3/4 der Leistung der Solarmodule gegeben sind. Das heißt, sie waren um ein Drittel überdimensioniert, verglichen mit der Leistung, die sie ohne Staub liefern konnten.

(Ich weiß, dass jemand dann fragen möchte, warum es keine Mechanismen gab, um Staub von den Platten zu entfernen. Es gibt viele Antworten auf dieser Seite und an anderen Stellen auf diese Frage. Es genügt zu sagen, dass eine Überdimensionierung der Platten um ein Drittel weit entfernt war der billigste und zuverlässigste Weg, um die 90-Sol-Lebensdaueranforderung zu erfüllen. Es könnte kein Geld ausgegeben werden, um über die vertraglichen Anforderungen hinauszugehen.)

Wir können sehen, dass der Rover selbst mit der erwarteten Staubablagerung nicht einfach aufsteigen und bei 90 Sols sterben würde. Seine Leistungsfähigkeit würde erst beginnen, unter "voll" reduziert zu werden. Sie könnten lange weitermachen und den Betrieb weiter reduzieren, bis die Solarmodule so mit Staub bedeckt waren, dass der Rover nicht mehr kommunizieren oder die thermische Kontrolle aufrechterhalten konnte. Darüber hinaus wurde die für die volle Leistungsfähigkeit erforderliche Leistung während des Entwurfsprozesses konservativ geschätzt, und der Rover benötigte tatsächlich weniger als diese Schätzungen für "voll". Als der Rover betrieben wurde, wurden wir klüger, wie wir Energie sparen konnten, und konnten jede Wattstunde so viel weiter fahren oder so viel mehr Daten zurücksenden.

Dennoch sind diese 0,3 % pro Sol unerbittlich. Du kannst nicht für immer gehen. Bevor wir starteten, prognostizierte ich, dass die Rover jeweils mindestens neun Monate halten würden, bevor sie zusammenbrechen würden. Sie würden auf den Panels nur noch 44% Leistung haben und noch mehr Verluste aufgrund der saisonalen Bewegung der Sonne nach Norden und damit weniger Licht auf ebenen Panels. Andere Leute im Projekt hielten mich für verrückt. Sie dachten an sechs Monate, höchstens. Auf keinen Fall konnten sie auf unbestimmte Zeit fahren, selbst wenn sie an den Hängen von Hügeln geparkt waren, um zu versuchen, die Panels mehr auf die Sonne zu richten.

Also was ist passiert? Wie ging es nach neun Monaten weiter? Jahrelang?!

Glück.

Von Zeit zu Zeit, etwa zur gleichen Zeit des Marsjahres, erlebten die Rover „Reinigungsereignisse“. Für die Terminologie ist "Staubfaktor" ein Prozentsatz der von den Solarmodulen gelieferten Energie im Vergleich zu ihrem glänzenden und neuen Zustand, wobei die Neigung, der Breitengrad der Sonne und die atmosphärische Opazität berücksichtigt werden. Wenn ein Reinigungsereignis stattfand, stieg der Staubfaktor über Nacht plötzlich um 10 Prozent! Dies kann einige Nächte lang auftreten und den größten Teil des Staubs auf den Platten entfernen. Hier ist ein Vorher-Nachher-Bild von Opportunity von den Reinigungsveranstaltungen 2014:

(Klicken und erneut klicken zum Embiggen)

Jedes Mal, wenn dies geschah, erhielten die Rover ein neues Leben. Wir haben jedes Marsjahr zuverlässig Reinigungsereignisse. Bis zu einem Jahr bekamen wir keine für Spirit. Spirit starb kurz darauf.

Die anderen erwarteten Lebensbegrenzer der Rover waren die gebürsteten Gleichstrommotoren und die Lithium-Ionen-Batterie. Tatsächlich fiel einer der Radantriebsmotoren auf Spirit aus, etwa zwei Erdenjahre nach Beginn der Mission. Spirit humpelte noch vier Jahre weiter und schleifte das Rad durch den Dreck. (Einmal führte dies zu einer wissenschaftlichen Entdeckung, die in dem zurückgelassenen Graben gefunden wurde. Im Bild unten sehen Sie weiße Kieselsäure in einem Teil eines typischen Spirit-Grabens, der von einem festgefahrenen Rad ausgehoben wurde.) Aufgrund des defekten Rads steckte Spirit fest und konnte sich nicht selbst befreien. Seine Unfähigkeit, sich auf der Seite eines Hügels zu positionieren, als die Sonne sich nach Norden bewegte, trug erneut zu seinem Verlust bei, als die Reinigungsereignisse nicht zurückkehrten.

Opportunity verlor auch einen Motor, aber es war ein Lenkmotor und hatte daher weniger Einfluss auf die Mobilität. Und Opportunity erlebte weiterhin jedes Marsjahr Reinigungsereignisse, bis es von dem riesigen globalen Staubsturm getroffen wurde.

Die Motoren wurden nur auf das Dreifache der 90 Sol getestet, wobei der Betrieb und Schwankungen der Umgebungstemperatur simuliert wurden. Und es gab Fehler in einigen dieser Tests, was zu einigen Änderungen führte. Es ist also ziemlich erstaunlich, dass diese Motoren trotz der beiden Ausfälle so lange durchgehalten haben.

Obwohl wir uns Sorgen um die Lebensdauer der Batterien in den Rovern machten, waren sie während ihrer vielen Betriebsjahre bemerkenswert zuverlässig und verloren nur sehr wenig ihrer Kapazität.

Im Allgemeinen wird nicht erwartet, dass sich die Elektronik im Laufe der Zeit verschlechtert, solange die thermische Kontrolle aufrechterhalten wird. Sie unterliegen nur zufälligen Ausfällen, die auftreten können. Es gab einige Fehler im Flash-Speicher von Opportunity, als es älter wurde. Flash-Speicher haben einen Abnutzungsmechanismus, obwohl wir ihn normalerweise nicht bemerken, da wir seit einem Jahrzehnt nicht mehr denselben Flash-Speicher verwenden. Schließlich gab das Betriebsteam den Flash auf.

Unterm Strich reinigte Mars die Sonnenkollektoren die meiste Zeit, aber am Ende starben beide Rover wegen Staub. Tatsächlich gab es zwei Motorausfälle, aber die Rover konnten weiterfahren. Die Batterien hielten viel besser als wir erwartet hatten. Ich würde erwarten, dass die Elektronik weiter funktioniert, obwohl der Flash-Speicher bei einem der Rover ausgefallen ist.

Deshalb haben die Rover so lange überlebt. Die Geschichte jedes Raumfahrzeugs ist anders.

Sie mussten garantieren, dass es für die erwartete Dauer betrieben werden würde. Jede Komponente hat eine Mean Time Between Failure (MTBF). Wichtig ist hier, dass die MTBF ein Durchschnitt ist. Das bedeutet, dass die Hälfte der ähnlichen Komponenten vor diesem Zeitpunkt ausfällt. Die MTBF folgt wie die meisten statistischen Messungen einer Glockenkurve (siehe unten):

Stellen Sie sich in diesem Diagramm vor, dass die horizontale Achse die Zeit misst und dass sich die MTBF an der Nullposition befindet.

Der Trick besteht darin, das Teil robust genug zu machen und / oder genügend Backups zu haben (die NASA verwendet hier im Allgemeinen das "und"), damit die erwartete Lebensdauer in den Bereich von -3 fällt.

Das macht es äußerst unwahrscheinlich, dass das Teil ausfällt, bevor seine erwartete Lebensdauer abgelaufen ist, und viel wahrscheinlicher, dass es bis kurz nach der MTBF hält.

Jedes Bauteil und jede Bauteilgruppe ist so konstruiert. Das bedeutet, dass alles, was sie bauen, in den meisten Fällen viel länger hält als seine MTBF.

Obwohl sie zum Kauf angeboten werden, sind die Früchte der Arbeit aus 58 Jahren herausragender Leistungen in der Raumfahrt nicht bei Radio Shack erhältlich.

Ist es wirklich so schwer vorherzusagen, wie lange ein Gerät hält?

Ja. Die Qualitätskontrolle sagt Ihnen, wie viele Zyklen etwas durchlaufen sollte, bis es unzuverlässig ist . Die Teile, die Sie verwenden, sollten auf ihrer Zuverlässigkeit basieren. Ihre erdbasierten Einkäufe (abgesehen von geplanter Veralterung*, Wirtschaftlichkeit und Verfügbarkeit) haben keine derartigen Anforderungen.

Ich verstehe immer noch nicht, wie sie das gemacht haben : einen Rover zu entwerfen, der fast zwei Jahrzehnte auf einem anderen Planeten überdauert hat, und die jetzt über 30 Jahre alten Sonden für extra Sonnenenergie?

Was Sie nicht verstehen, ist, dass Menschen wissen, wie man Dinge baut *, alles zu tun, wofür Sie bezahlen können, solange es erforderlich ist. Und wenn Sie eine Milliarde Dollar ausgeben, um eine Millionen-Dollar-Sonde zu starten, kaufen Sie die teuren Zahnräder und bauen teure Schaltkreise ein. - Ich muss etwa alle zwei Jahre eine neue 10-Dollar-Kaffeemaschine kaufen. Zahlen Sie mir 10.000 $ und ich baue Ihnen einen, den Sie an die nächsten Generationen weitergeben können. Wie viele Nullen in Ihrem Scheckbuch?

Die Leute wurden vielleicht befördert, weil sie sagen konnten: "Ja, ich habe an Opportunity gearbeitet ." - aber nicht, wenn es nach 12 Stunden dunkel geworden wäre. Bei der NASA macht jeder alles genau richtig und überdurchschnittlich, oder er hätte genauso gut im Bett bleiben können.

In den frühen Tagen überlebten die meisten Sonden den Start nicht oder sehr lange – aber deshalb wissen wir jetzt, wie man eine einjährige Mission wahrscheinlich zehn Jahre dauert. Mission Critical waren die ersten 90 Tage. Es musste so lange arbeiten, um seine eigene Aussage zu erfüllen. Länger ist Soße, aber wenn es nach 89 Tagen stirbt, ist die Mission gescheitert.

Es ist einfach, zu garantieren, dass etwas für einen bestimmten Zeitraum funktioniert: Führen Sie einfach die Zahlen durch und wenden Sie einen guten Sicherheitsfaktor an. Aber zu wissen, wann etwas ausfallen wird, kann nur mit Opfertestdaten gemessen werden. Was wir jetzt für Mars-Rover haben, und die Pioneer-Sonden hatten uns gesagt, dass die Voyager in der Lage sein würden, z. B. Jupiters Strahlung (und jetzt sogar den Bogenstoß der Sonne) zu passieren.

(*) Menschen wissen, wie man Dinge baut (um sie kaputt zu machen), die niemals kaputt gehen sollten, damit man sie wiederholt kauft, oder Dinge, die physisch nicht existieren, wie The White Album .

Wenn es ein einzelnes umgekehrtes Wort für geplante Obsoleszenz gibt, wäre das das Wort für die LIEBE, die in all diese Sonden gesteckt wurde.

Wie kann man etwas so sehr lieben? Zahlen Sie dafür und bezahlen Sie die richtigen Leute dafür.

They Write the Right Stuff , „The Onboad Shuttle Group“: 260 Frauen und Männer in einem anonymen Bürogebäude gegenüber dem Johnson Space Center in Clear Lake, Texas, südöstlich von Houston.

Diese Software stürzt nie ab. Es muss nie neu gestartet werden. Diese Software ist fehlerfrei. Es ist perfekt, so perfekt, wie es Menschen erreicht haben. Betrachten Sie diese Statistiken: Die letzten drei Versionen des Programms – jeweils 420.000 Zeilen lang – hatten jeweils nur einen Fehler. Die letzten 11 Versionen dieser Software hatten insgesamt 17 Fehler. Kommerzielle Programme gleicher Komplexität hätten 5.000 Fehler.

Die Gruppe schreibt so gute Software, weil sie so gut sein muss. Jedes Mal, wenn es das Shuttle startet, kontrolliert seine Software ein 4-Milliarden-Dollar-Gerät, das Leben eines halben Dutzend Astronauten und die Träume der Nation. Selbst der kleinste Fehler im Weltraum kann enorme Folgen haben: Das umkreisende Space Shuttle fliegt mit 17.500 Meilen pro Stunde; Ein Fehler, der ein Timing-Problem von nur zwei Dritteln einer Sekunde verursacht, bringt das Space Shuttle drei Meilen vom Kurs ab.

Der Raum kann wirklich, wirklich groß sein. Aber es gibt absolut keinen Platz zum Herumtollen.

Die meisten Raumsonden überleben nicht viel länger als sie entworfen wurden.

Beispiel: Marsmissionen . 30 Fehlschläge, 18 erfolgreiche Missionen und 8 laufende Missionen. Ich zähle 4 Missionen (Viking 1 und 2 Lander, Spirit und Opportunity), die viel länger dauerten als ihre Hauptmission. 4/56 sind also 7 % der Marsmissionen.

Es gibt eine Badewannenkurve: Wenn eine Mission den Start und das Einsetzen / Landen in die Umlaufbahn überlebt, besteht eine gute Chance, dass sie ihre Hauptmission erfüllt (aufgrund der in anderen Antworten angegebenen Gründe). Irgendwann erreicht die Hardware das Ende ihrer Lebensdauer und es kommt zu Komponentenausfällen (von denen einige redundant sind oder kompensiert werden können, wie z.

Einige Arten von Mission leben länger als andere:

• Stationäre Lander haben eine begrenzte Menge an Wissenschaft, die sie tun können. Irgendwann lässt die Wissenschaftsrendite nach und die Mission ist beendet.
• Rover können an einen neuen Ort fahren, daher ist es sinnvoll, sie für erweiterte Missionen zu entwerfen
• Orbitern geht schließlich der Treibstoff für die Positionserhaltung aus
• Flyby-Missionen gehen die Ziele aus (aber die wenigen Deep-Space-Missionen, die wir haben, liefern interessante Informationen über den Weltraum, damit wir sie so lange wie möglich mit Strom versorgen).

Es gibt hier einige sehr gute Antworten zu Fehlermodi und Statistiken, wenn man sich die spezifischen Fälle von Spirit und Opportunity ansieht, steckt ein bisschen mehr dahinter. Die NASA hatte gerade zwei aufeinanderfolgende Ausfälle mit dem Mars Climate Orbiter und dem Mars Polar Explorer erlebt, die beide durch Entwicklungsfehler verursacht wurden, die als Ergebnis des NASA-Ansatzes "Better, Faster, Cheaper" angesehen wurden (weitere Einzelheiten dazu siehe meine Antwort hier ).

Die NASA brauchte einen Sieg, um den US-Steuerzahlern, dem Kongress und der Welt zu zeigen, dass sie immer noch im Geschäft waren, also bauten sie 2 Sonden statt 1, um ihre Erfolgschancen zu verdoppeln, und dann arbeiteten sie hart daran, die Designs richtig zu machen, indem sie die besten Teile einbauten und Materialien, die sie bekommen konnten. Die NASA versucht immer, zu wenig zu versprechen und zu viel zu liefern, aber in diesem Fall war sie noch konservativer als sonst, wenn es um die Missionsdauer ging. 90 Tage waren ein Ziel, das sie ziemlich sicher erreichen konnten, wenn die Sonden dort ankamen.

Vielleicht ist es besser, dies so zu sehen: "Warum sind einige Schätzungen der Langlebigkeit so konservativ?".

Ich denke, das ist klar. Sie haben es mit vielen Unbekannten zu tun. Die Mars-Rover sind ein gutes Beispiel dafür. "Wie lange dauert es, bis sich Staub ansammelt?" ist eine schwer zu beantwortende Frage, ohne dabei gewesen zu sein. Dies ist übrigens nicht immer der Fall. Manchmal ist der begrenzende Faktor etwas, das sehr gut verstanden wird, und ich bin immer wieder überrascht, wie genau einige der Fehlervorhersagen sind.

Als Techniker bei der Arbeit werde ich manchmal mit der Frage konfrontiert "Warum hat es nicht funktioniert?". Es ist manchmal schwierig, die Leute dazu zu bringen, zu begreifen, dass Dinge wie das Internet sehr viele Dinge erfordern, um zu funktionieren, und wenn eines davon versagt, bricht die ganze Sache zusammen. Ich nenne das eine Logistikkette.

Jedes Weltraumprojekt wird mit vielen, vielen Fehlerpunkten konfrontiert sein. Ihre Missionen zum Mars müssen (zu stark vereinfachte Liste zur Diskussion)

1. Ausfallsicher gebaut
2. Auf eine Rakete geladen
3. Starten Sie in die Umlaufbahn
4. Brechen Sie auf einer Flugbahn zum Mars aus dem Orbit aus
5. Überlebe eine Fahrt in der Leere zum Mars (ein einziger Meteoriteneinschlag könnte deine Reise ruinieren)
6. Einfügen in die Marsumlaufbahn
7. Steigen Sie in die Atmosphäre des Mars hinab
8. Lande sicher
9. Arbeiten Sie in einer rauen Umgebung, über die wir noch wenig wissen

Nicht jeder schafft es so weit . Die unvorhergesehenen Probleme und schlechten Annahmen können Ihr Mittagessen auffressen ( wie ein Tippfehler, der das Ganze in Schritt 3 zerstört ) .

Was Spirit und Opportunity anders machte, war, dass sie unter einigen schlechten Annahmen über den Mars operieren mussten (weil wir wenig über die langfristigen Oberflächenbedingungen des Planeten auf Hardware wissen). Die bemerkenswerteste schlechte Annahme war, dass Marsstaub die Solarmodule dauerhaft bedecken und sie nach 90 Tagen unbrauchbar machen würde. Wir haben gelernt, dass diese Annahme falsch war, und es wird angenommen, dass der Marswind sie abschlägt . Wenn die Solarmodule gereinigt werden, könnten die Rover länger funktionieren. Spirit starb, nachdem seine Räder nicht mehr funktionierten und er sich nicht mehr für den Winter orientieren konnte. Opportunity (das mit seinen Rädern besser abschnitt) starb, als ein Staubsturm wahrscheinlich die Stromversorgung zu lange unterbrach.