באחד הרגעים המרים של השנים האחרונות, דקות ספורות ממש לפני מה שאמור היה להיות נחיתה היסטורית וראשונה של חללית ישראלית על הירח, משהו השתבש. בהתחלה זה נראה כמו משהו קטן, אבל מהר מאוד הסתבר שזה – או שזה נהיה, או שזה התחלף ב– משהו גדול מאוד, ו"בראשית" התרסקה. מה עושים עכשיו?
נתחיל בדיסקליימר המתחייב: אין לי שום מידע על החללית ועל מה שקרה לה מעבר למה שפורסם עד כה בתקשורת הפומבית. יכול להיות שבזמן שאני כותב שורות אלה (ביום שישי בבוקר), צוות הפרויקט כבר יודע בדיוק מה קרה, ואולי זה אפילו משהו טריוויאלי עד כדי כך שאפשר לשלוח חללית זהה ולדעת שזה לא יקרה שוב. ייתכן גם שלעולם לא נדע מה התרחש. בפוסט זה אנסה לדבר באופן כללי על האתגר של תקריות ייחודיות כאלה.
ה"רומן" שלי עם Spaceil התחיל בכנס המייקרים שיזמתי בתחילת יולי 2013 ושהתקיים כחודש וחצי לאחר מכן. אחד המארגנים הצליח לתאם לנו הרצאה מרתקת של יריב בש ושחר מנדלוביץ' מ-Spaceil בנושא "אתגרים טכניים ואחרים בבניית חללית שתגיע לירח" (הרבה מאוד השתנה מאז בתכנון החללית והמשימה!). את יואב לנדסמן שכיכב לאורך כל הסאגה יצא לי להכיר קצת – מעט מדי – בנסיבות אחרות. חוץ מזה, נושאי החלל והירח היו תמיד קרובים ללבי, ואי אפשר להתכחש גם לקטע של גאווה ותקווה לאומית שפרויקט כזה מעורר. כיוון שאין לי רקע או יכולות רלוונטיים, לא תרמתי לפרויקט ישירות, רק כמה שקלים לדלק במסגרת מימון המונים, ותמיכה מורלית מהצד (לייקים בפייסבוק וכדומה).
אז אחרי שיגור מורט עצבים אבל מוצלח, והגמגומים הקטנים של אתחולי המחשב וסינוור "עוקב הכוכבים", החללית הקטנה עלתה על המסלול הנכון – מין משחק מילים שכזה – וכל תמרוני הביניים שנועדו להביא אותה אל הירח ולצלם תמונות בדרך התבצעו בהצלחה מעוררת השתאות. עם זאת, כולם ידעו והבינו שהנחיתה היא האתגר הכי גדול. זהו תהליך דינמי ומהיר מאוד, עם שילוב של לחצי תוכנה וחומרה שלא קיים בשום שלב אחר, בלי שום אפשרות לעצור ולחשוב, בלי תקדים שאפשר להתבסס עליו, ואפילו בלי אפשרות לשלוט מרחוק במה שקורה.
זה אולי המקום להתייחס לשאלות שצצות בטוקבקים ובתגובות, בסגנון "למה לא התקינו מנוע נוסף לגיבוי" או "איך יכול להיות שלפני 50 שנה הצליחו לנחות ועכשיו לא". השאלות האלה, בין אם הן קנטרניות או תמימות, מקבילות לשאלה הידועה "למה לא בונים את כל המטוס מהחומר של הקופסה השחורה, כך שישרוד בהתרסקות". התשובה היא אולי אחד היסודות של תחום הנדסת המערכות, אם לא ההנדסה בכלל: כשמפתחים מערכת בעולם האמתי עובדים עם אילוצים. חלקם פיזיקליים, חלקם קשורים לכסף וזמן, חלקם לתקנים ונהלים… לכל דבר שעושים או שלא עושים יש משמעויות ומחירים, ובסופו של דבר חייבים להתפשר ולקחת סיכונים מסוימים, אחרת הפרויקט לעולם לא ייצא לפועל. נכון, היו מקרים בהיסטוריה שבהם הדבר היחיד שאפשר היה לעשות בדיעבד הוא ללכת הצידה בשקט ולדפוק את הראש בקיר, אבל רוב המקרים הם לא כאלה, ויש לנו את כל הסיבות להאמין שזה לא המקרה הנוכחי.
אחרי תקלה בסדר גודל כזה לא ממשיכים ישר הלאה. אפילו אם יימצאו כסף ומוטיבציה לניסיון שני, חייבים להבין קודם כל מה קרה בניסיון הראשון. לא רק כדי לוודא שאותה תקלה ספציפית לא תקרה שוב, אלא גם כדי להבין איך לא עלו עליה קודם ועל ידי כך לשפר את תהליכי התכנון, הבדיקה וקבלת ההחלטות ולצמצם את הסיכויים לתקלות אחרות. הצרה היא כמובן שמאוד קשה לדעת מה בדיוק קרה: גם כשהחללית עוד הייתה בקשר, היא הייתה מסוגלת לשלוח רק כמות מוגבלת של נתונים שלא יכולים לתת את התמונה השלמה (אז למה לא שלחו יותר נתונים? קראו שוב את הפסקה הקודמת). באופן טבעי גם אין לנו גישה לשרידי החללית. לכל היותר, החללית הרובוטית LRO שסובבת את הירח תוכל למצוא איזה פיקסל-אחד-יותר-בהיר, שיעזור לזהות את התחנה האחרונה של "בראשית" (וגם זה יהיה הרבה).
ניסיון דיבוג על סמך כל כך מעט מידע מצריך שני דברים: היכרות עמוקה ביותר עם המערכת על כל פרטיה הקטנים ביותר (ועם פרטי הסביבה שבה היא פועלת), ואפשרות להריץ סימולציות מורכבות ומדויקות (במחשב או בהעתק פיזי). לדוגמה, מזינים לסימולציה כזו את כל הפרמטרים כפי שנקלטו מ"בראשית" ומכל האנטנות ואמצעי המעקב החיצוניים לפני הופעת התקלה. רוב הסיכויים שהסימולציה תמשיך לנחיתה מוצלחת. כעת חוזרים לשניות שלפני הופעת התקלה, ו"מזריקים" לסימולטור איזשהו שיבוש, למשל קפיצת מתח מלוח סולארי, או פירור לכלוך שנתקע באיזה שסתום, או ביט חשוב בזיכרון שנפגע מקרינה קוסמית וגרם להרצה של פונקציית תיקון שגיאות בדיוק כשהמחשב עסוק בחישובים הכי אינטנסיביים. בהנחה שהסימולטור חזק מספיק כדי לקחת בחשבון השפעות כאלה, האם תופיע עכשיו תקלה דומה למה שקרה בפועל? ההיכרות עם המערכת וסביבת הירח, ואופי התקלה כפי שהתפתחה, יעזרו לבחור את תסריטי השיבוש הסבירים יותר לבדיקה.
בהחלט ייתכן שמקור התקלה היה באחד מהמודולים הקנויים, "מוצרי המדף" שהורכבו בחללית. השימוש באלה היה חיוני כי לפתח הכול לבד מאפס זה פרויקט גדול, יקר וממושך פי כמה וכמה. למרות כל המאמצים, מי כמונו המייקרים יודע שחומרה היא לא דבר מושלם, ושמודולים קנויים, אפילו אם הם איכותיים, לא תמיד משחקים יפה זה עם זה. אבל זו סתם ספקולציה: על סמך המעט שידוע לי בינתיים, הכול פתוח.
ההתרסקות של "בראשית" כואבת וצורבת, ואנחנו יכולים רק לקוות שזה לא באמת הסוף: שיימצאו הכסף והמוטיבציה להמשיך ולהשתפר, ושנראה עוד הרבה חלליות ישראליות – במסלול, נוחתות על הירח, על מאדים ואיפה לא.
אז לפי החדשות האחרונות , האנג׳ל התחייב לבראשית שתיים. אני חושב שצריך ביצים גדולות מאוד כדי לנסות פעם שניה. הצלחה תהיה הישג גדול, אבל כישלון שני …… עידו, אולי תפתח פוסט נפרד שבו יהיו עצות עבור Spaceil כיצד לעשות אז זה יותר טוב בפעם השניה?
כן, ראיתי ממש עכשיו. חדשות טובות מאוד. ורק העצות שלי זה מה שחסר עכשיו להצלחת המשימה 😀
בעקבות הארוע פורסמה כתבה ב-Live Science המונה את ארועי ההתרסקות שהיו על הירח לפני ואפילו אחרי נחיתות מוצלחות, אז אנחנו בחברה טובה. ככה זה בהנדסה, לא הכל תמיד עובד, אבל לומדים ומשתפרים, וגם זה שיעור חשוב שהמסע הזה מלמד.
לפחות לדבג זה כיף (ברצינות) ולומדים מזה המון. נקווה שנצליח להבין יותר טוב מה התרחש שם, ושנמשיך לנסות. אני גם מקווה שימצאו התקציבים, המודלים העיסקיים, התמיכה המדינית וכל מה שצריך בכדי להמשיך בפרויקט הזה או באחד דומה. נוכל להגיע רחוק עם פרויקטים כאלה. והפרויקט בהחלט הצליח להחזיר לעניינים ולדחוף את החלל, המדע וההנדסה. אז יאללה, להתכונן לפעם הבאה.
אגב, מעניין לעניין, אם אני לא טועה, עכשיו רק ההודים נשארו עם Chandrayaan 2. בינתיים הם מתקשים להמריא (נמצאו בעיות נוספות לאחרונה) אך בסוף הם ימריאו, ואני מקווה שגם יצליחו לנחות.
מסכים איתך לגמרי.
כמה הערות: ראשית אין לי כמובן שום ידע מבפנים כך שהכל ספקולציות / מחשבות. מרגע שהחלה התקלה הראשונה היו שתי החלטות מענינות: הראשונה – לא להפעיל את ה IMU השני. זאת אומרת שכן היתה יתירות במודול הזה? מה היה קורה לו היו מפעילים אותו? השניה – לשלוח RESET. זה קצת מוזר כי מה שאמרו זה שכל התהליך הוא אוטונומי. האם אכן היה ניתן לשלוח RESET? האם נשלח? האם זה היה מאוחר מדי? מניסיוני עם מערכות משובצות מחשב הבעיה היא כמעט תמיד בתוכנה ולא בחומרה. אבל אני עסקתי בעיקר בתחומי הטלקומוניקציה ויתכן שבתחומי החלל זה לאו דווקא המצב. מה שעוד מענין… לקרוא עוד »
כן, יש בהחלט כמה שאלות (לפחות לצופים מבחוץ כמונו) גם לגבי התהליך האוטונומי שהחללית הייתה אמורה לבצע, וגם לגבי מה שקרה בחדר הבקרה. חבל שהתיעוד שיש לנו הוא מהתקשורת ה"רגילה", עם פרשנים שמדברים במקביל לקולות מה-loop, וצילומים של הקהל במקום של הדשבורד. על תיעוד טכני עמוק של החללית בטח שאין מה לדבר…
בתחום החלל יש הכול ובשפע, גם בעיות חומרה וגם תוכנה, ומספיק כאבי לב לכולם – אפילו אם זה היה באג תוכנה "פשוט" האחריות מתחלקת לכל הפחות בין המתכנתים, עורכי הסימולציות, וכנראה גם מקבלי ההחלטות בזמן הנחיתה.
סיפור spaceil כל כך מאפיין את תרבות ״אומת הסטרטאפ״ שזה ממש עצוב. הרי כסטרטאפיסטים הם היו צריכים להרים מוצר באוויר בשיא המהירות לפני שיגמר הכסף מהמממן עם מינימום בדיקות קבלה עם מקסימום הייפ שיווקי . ואם אפשר להפוך את זה לפרויקט לאומי , ולערבב בזה חינוך של ילדי ישראל מה טוב. ואם ננסה לנתק את הגאווה הלאומית ואת דגל ישראל לרגע אחד מהפרשה, אז ישראל לא שיגרה חללית לירח. התעשייה האווירית בנתה לווין (כמו שהיא יודעת לבנות ובהתבסס על רכיבי לווין רגילים) לפי הזמנה של חברה פרטית ובמימון של מולטי מיליונר פרטי , החברה רכשה מקום בטיל שיגור של חברה… לקרוא עוד »
תכל'ס, אם לישראל כמדינה הייתה יכולת לתכנן חלליות מחקר מתקדמות מאפס, לשגר אותן לירח ולתקשר איתן כל הדרך, ומה שעוד יותר חשוב – מוטיבציה לעשות ולתקצב את כל זה, מצבנו היה הרבה-הרבה יותר טוב.
ובכל זאת, להציג את Spaceil כעוד סטרטאפ טיפוסי קצת חוטא לאמת. אל תשכח שהייתה תחרות עם דדליינים, שכסף באמת לא גדל על העצים ושחינוך והלהבת ילדים למדע זה דבר טוב. אלא אם יש לך מידע פנימי, שלי אין, על דברים שקרו שם.
אני רק מציין את ההקבלה בין Spaceil. לתרבות סטרטאפ נפוצה. כמוך עקבתי אחריהם ממש מההתחלה, הם ממש התגאו בעובדה שפיספסו את המועד האחרון לרישום לתחרות , ורק בחוצפה ישראלית הצליחו לשכנע את גוגל ,לרשום אותם. אחד מתנאי התחרות היה להזיז את החללית x מטרים על הירח ולשלוח תמונה נוספת . הכוונה באופן ברור היתה תזוזה על הקרקע, אבל כמובן שהישראלים חשבו על דרך לתחמן את המערכת בכך שינחיתו את החללית יצלמו, וימריאו מחדש , ינחתו שוב ויצלמו. (כמובן כשכל הסיפור הזה נעלם כשלא היתה עוד תחרות) . בשלב מסויים לחברה לא נשאר כסף , ורק שנור נוסף של נדבנות החזיק… לקרוא עוד »
על מה שכתבת בהתחלה אני מסתכל הפוך: זה שאף אחד בישראל לא ניגש לתחרות בזמן ובצורה מסודרת, במובן מסוים זו תעודת עניות *לכל האחרים*, וזה ש-spaceil התחכמו עם הכללים – שוב, זו עבודה מול אילוצים, אם במשאבים שלהם הם היו צריכים לתכנן גם רובר, סביר להניח שכלום לא היה יוצא לפועל. הייתה מספיק עבודה קשה אמתית גם ככה, ועובדה שלמרות כל הצוותים הרבים והטובים שניגשו לתחרות, בסוף היא בוטלה כי אף אחד לא התקרב לעמידה בזמנים. בעניין ה"שנור" אני יכול רק להזכיר שאפילו את הטיסות של אפולו 18-20 ביטלו מטעמים כלכליים. כל שקל שהצליחו לגרד ל"בראשית" הוא חצי נס, למצוא… לקרוא עוד »
הכשל ביחידת הIMU מזכיר לי שאסון המעבורת שבה טס אילן רמון התחיל בדיווח על חיישן חום שמדווח על טמפרטורה חריגה בכנף המעבורת. שזה תאור מאוד מינימליסטי לעובדה שבאותו זמן היה חור גדול בכנף שהביא ללהתפרקותה ובעקבות זה להתפרקות כל המעבורת.
מה שהחיישנים אמרו להם, זה מה שהם ראו… באותו רגע המעבורת עוד שמרה על יציבות אווירודינמית, אז זו הייתה האינדיקציה הראשונה. השאלה המעניינת היא אם ה-IMU כאן באמת היה קשור לכשל המנוע, ואיך (כסיבה, כתוצאה, כתוצר של גורם משותף לשניהם…) וגם מעניין למה התקבלו קריאות נכונות של המנוע (מישהו בחדר הבקרה דיבר על קריאות לחצים תקינות, אני מניח של הדלק בצינורות) בזמן שבפועל הוא לא עבד.
לפי מה שהבנתי, מעבר לכשל במנוע, אחת או יותר מיחידות הIMU כשלו גם הן בערך באותו הזמן.
אם אני זוכר נכון התקלה הראשונה (או הסימפטום) אכן הייתה באחד ה-IMU. אחרי זה נותק הקשר, וכשהוא חזר התברר שהחללית לא מאטה כמו שצריך – או בכלל לא – והקריאות מהמנוע הראשי לא היו טובות. אחת השאלות המעניינות היא באמת אם כל הדברים האלה היו תוצאה של אותו כשל, או שהם גררו אחד את השני, או שאולי הם בכלל לא קשורים (גם זה יכול להיות, אם כי על פניו נראה פחות סביר).
,
לפי הכתבה הזאת ממאקו, הכשל בIMU הוביל לשאר התקלות. יש מצב שבגלל קריאות לא נכונות המנוע חשב שהוא הגיע לשלב שבו הוא אמור להפסיק לעבוד?
https://www.mako.co.il/news-money/tech-q2_2019/Article-dd592b9bf911a61004.htm
והנה הודעה שנשלחה בקבוצה של העבודה שלי –
"לפני כ-8 שנים או יותר, היזמים באו אלי שאעזור להם בבקרת הנחיתה. תחשבו על ייצוב רחפן, שיש לו 9 מנועים שיודעים או לעבוד בכל העוצמה או להיות כבויים. בנוסף יש מיכלי דלק נוזלי שהדלק מיטלטל בהם מצד לצד. עכשיו את זה צריך לייצב ולהאט ממהירות של 6000 קמ"ש לאפס בחצי דקה בערך. בעיה לא קלה. התחלנו לעבוד על סימולציה ודגם, אבל מהר מאוד הסתיים המימון והפסקנו להיות בקשר עם SPACEIL"
(לא קשור לIMU אבל מלמד על האתגר העצום)
בכתבה ממאקו זה תיאור כל כך כללי שהוא לא אומר כמעט כלום, נצטרך לחכות למידע מהימן ומדויק יותר. הבעיה של התמרון הזה היא אכן קשה, ובכל מקרה החללית כפי שדמיינו אותה לפני שמונה שנים כל כך שונה, שגם אם היו ממשיכים אז לפתרון, היה צריך לחשב הכול מחדש. טלטול הדלק למיטב ידיעתי הוא דווקא לא גורם עד כדי כך מסוכן – עובדה שהתמרונים הקודמים הצליחו, וברגע שאתה נכנס לתאוצה מספיק גבוהה הוא מצטבר מעצמו במקום הנכון…