Schiaparelli 着陆器的名字取自 19 世纪的天文学家乔凡尼·斯基亚帕雷利（Giovanni Schiaparelli），是由欧洲航天局（European Space Agency，ESA）与俄罗斯航天局合作的非载人火星探测计划 ExoMars（Exobiology on Mars）中的重要一环。

2016 年 10 月 19 日，Schiaparelli 火星着陆器尝试登陆火星的过程中，在预定着陆前 50 秒与地面控制中心失联并意外坠毁，引起了较大轰动；1 个多月后，ESC 在官网公布了事故原因，宣称其坠毁是源于计算机数据错误。

▲图 1：2016 年 11 月 1 日，美国航天局的火星勘测轨道飞行器（Mars Reconnaissance Orbiter，MRO）拍摄到火星表面 Schiaparelli 原定着陆地点附近的图像，证实其已不幸坠毁。

事故剖析

按照计划，Schiaparelli 会在接触到火星大气层的六分钟内自动完成一系列程序：打开防热罩、降落伞，关闭推进器并软着陆火星表面。从着陆器的恢复数据来看，防热罩和降落伞都是按计划时间准确启动的，因此 ESA 分析其失败的罪魁祸首为用于检测着陆器旋转速度的惯性测量单元（Inertial Measurement Unit，IMU）：降落伞展开后不久，Schiaparelli 出现了意外高速旋转，转速超出了预期测量范围，导致制导、导航和控制系统软件的姿态估计出现了较大偏差，结合后续雷达测量，计算机判断距离地面仍有 3.7 公里的 Schiaparelli 已完成着陆，直接启动了一系列本该在着陆后启动的操作：解除降落伞和底座、点火制动引擎、激活地面系统，最终导致 Schiaparelli 以超过 300 码的速度直接坠毁在了火星表面。

▲注：ESA 发布的事故调查报告摘取（左滑获取译文）

简而言之，意外旋转导致实际转速远超系统原有阈值，而软件对此意外输入的处理失误，运行前的测试存在问题。

如何提前规避问题？

Schiaparelli 作为太空探测器，属于非交互式系统，与众多太空设备一样，通常无法在实际运行时弹出错误对话框并向用户寻求帮助，较难以理性的方式处理意外输入，但即便是微小的数据溢出都可能导致程序崩溃，造成不可估量的损失。严密精准的测试是必不可少的。

诸如太空探测器之类的嵌入式控制系统所需要的测试与软件安全测试有一定相似之处。软件安全测试所遇到的情况类型如下图所示：

▲图 2：测试时遇到的情况（Schiaparelli 所遭遇的情况属于上图左侧的“这不可能！”范畴）

航空航天领域的嵌入式系统与普通机械系统是存在差异的，无法仅仅依靠惯性或退化趋势将每时每刻的变化固定一定范围内——太空的极限压力、巨大温差、高能量粒子冲击等与重力作用下的地球环境截然不同，实际工程测试时往往备受制约。

航天工业领域在应对此类测试困境上拥有着历史悠久的复杂测试技术和经验，航天仿真这一伴随着航天科技的发展而发展起来的新兴技术领域，在过去的四十多年里曾为世界航天事业的发展多次发挥过重要作用，是提前规避航天问题的有效解决手段。

Schiaparelli 没有经过航天仿真吗？

答案显然是否定的。欧洲航天局不仅搭建了实体的 Schiaparelli 着陆器模拟环境，还为其为使用了数字孪生装置——Entry Descent and Landing simulator (EDL E2E 模拟器)。然而，尽管建立了大型复杂的飞行器动力学模型，实际引起事故的物理场景仍未被提前捕捉——模拟器中使用的多体模型未考虑降落伞区域可能出现振荡的现象。

▲图 3：欧洲航天局在模拟环境中测试物理着陆器

更好的解决方案

让我们把时间线拨回 2022 年。距离 Schiaparelli 着陆器事发已过去了 6 年，当年欧洲航天局并未公布其模型搭建的具体细节，但无疑已出现了更为完备、便捷的建模仿真软件。

SkyEye，中文全称天目全数字实时仿真软件，支持用户通过拖拽的方式对硬件进行可视化建模，从而实现硬件行为级仿真，为嵌入式软件研发模式带来了革新式的变化。SkyEye 的一大优势便是“不受物理硬件限制”，对备受掣肘的航天工业领域的嵌入式软件研发尤为合适，能够帮助工程师快速搭建虚拟硬件模型，提前进行软件开发、测试和验证工作，可以有效解决航天工业领域软件研发过分依赖硬件资源的问题——其所涉及的硬件设备造价高昂，测试资源分配是一大难题。

在模型搭建完成后，着陆器的运行便可在基于 SkyEye 的虚拟环境中进行超实时仿真，以便工程师分析、预测着陆器的运行状态，有助于后续决策和优化物理实体。同时，基于 SkyEye 的虚拟环境支持物理模拟无法达到的虚拟临界参数注入，从而模拟太空中的极端环境，尽可能扩大测试范围。

SkyEye 还有着强大而全面的建模仿真与测试功能（点击查看详情），但无论最终问题是归于测试不够完备还是代码不够健壮，Schiaparelli 着陆器都已成为了火星上的一堆废铁。在 2018 年一场席卷半个火星的沙尘暴后，火星表面仅留不太明显的小黑点，仍警示着世人着陆外星球的艰险与挑战。

▲图 4：2019 年 3 月 12 日所拍摄到的 Schiaparelli 着陆器留下的“坑”

小结

千年来，人类对宇宙一直充满着无限的向往与渴望，不会因区区几次失败而低头。总结历史经验与教训，太空探索之路仍将继续。2022 年 11 月 24 日，月球与深空探测特别会议作为联合国/中国空间探索与创新全球伙伴关系研讨会系列会议的一部分在海南海口召开，公布了嫦娥六号将于 2025 年前后在文昌发射的计划，已确定的 4 台国际载荷正在进行相关的设计、测试验证工作。

在我国航天的探索历程中，建模仿真与相关测试技术一直备受从设备研制单位到发射测控单位的重视。事实证明，航天作为一个高科技、高投入、高风险的行业，不能没有科学可靠的系统仿真理论、方法和高安全高可靠的建模仿真软件的支持。“借得雄风成亿兆，何惧万里一征程”，迪捷软件将继续完善我国航空航天领域嵌入式虚拟仿真解决方案，加速推进嵌入式软件系统行业国产化转型，为助力中国高端装备制造业的腾飞创造无限可能。

参考文献

1、https://jakob.engbloms.se/archives/3548

2、https://www.thepaper.cn/newsDetail_forward_1569273

原文链接：https://mp.weixin.qq.com/s/7DS2TLSlNDN4R5LvRETo_Q