DesignSpark Electrical Logolinkedin
Menu Suche
Ask a Question

Saturn: Die intelligente Rakete des Apollo-Programms

Bildnachweis: NASA

Der Film „Aufbruch zum Mond“ erscheint diesen Monat in Großbritannien und ist eine Hommage an das Leben von Neil Armstrong, dem ersten Mann auf dem Mond. Es wird wohl nicht viele Menschen auf diesem Planeten geben, die die dramatischen Aufnahmen von Armstrong und Aldrin noch nie gesehen haben, in denen sie in letzter Sekunde mit nur noch ganz wenig Treibstoff ihre spinnenartige Mondlandefähre sicher auf dem Mond platzieren. Für die Öffentlichkeit bestand die „Hardware“ vordergründig aus dem Kommandomodul und der Mondlandefähre. Ingenieure bestaunten die Technologie der Apollo-Guidance-Computer, die in beiden Komponenten verbaut waren. In Vergessenheit dagegen ist die Trägerrakete geraten, die die Astronauten auf ihre Mission schoss: die Rakete Saturn V, eine echte Meisterleistung der Ingenieurskunst. Ein sehr imposanter Takeoff, doch ihre Aufgabe war schon nach wenigen Minuten erledigt, nichts Anspruchsvolles: nur ein großes Feuerwerk, richtig?

Apollo 6: Der letzte unbemannte Testflug

Falsch. Die Apollo 6 sollte der letzte unbemannte Test vor dem ersten bemannten Flug der Apollo 7 sein. Die Probleme begannen mit der ersten Raketenstufe (S-IC) kurz vor der der Stufentrennung, als es zu gravierenden Longitudinalschwingungen (Pogoeffekt) kam. Es hätte hierdurch zu einem Strukturversagen kommen können, insbesondere weil sich weiter oben an der Rakete Teile ablösten. Glücklicherweise hielt alles zusammen, und die zweite Stufe (S-II) zündete nach der Trennung der ersten Stufe. Das Durchatmen im Missionskontrollzentrum sollte aber nur kurz andauern: fast unmittelbar begann eines der fünf Triebwerke, an Leistung zu verlieren. Es wurde automatisch abgeschaltet, doch dann fiel an derselben Seite der Rakete ein weiteres Triebwerk komplett aus. Jetzt wurde es für die Apollo 6 richtig ernst: Sie war nicht dafür ausgelegt, den Ausfall von zwei Triebwerken zu verkraften, wodurch es zu einem ernstzunehmenden asymmetrischen Schub bei der zweiten Stufe kommen würde. Und dennoch schaffte es die angeschlagene Rakete auf ihrer vorgesehenen Flugbahn zu bleiben, obgleich ziemlich unstet, und sie erreichte schließlich die Umlaufbahn. Es hätte ein herber Rückschlag werden können. Stattdessen konnte Apollo 7 dank der kleineren Saturn 1B wie geplant realisiert werden, ebenfalls Apollo 8 mit der Trägerrakete Saturn V. Die Fehler bei Apollo 6 waren schnell ausfindig gemacht und berichtigt. Der Pogoeffekt ging auf eine Instabilität im Treibstoffsystem zurück, Reibungswärme führte dazu, dass eingeschlossene Feuchtigkeit und Luft sich ausdehnten und zu einem Ablösen der äußeren Schicht führten – für Abhilfe sorgten ein paar wenige Lüftungslöcher. Der Ausfall des ersten Triebwerks konnte auf einen Konstruktionsfehler bei der Treibstoffleitung zurückgeführt werden, ein Verkabelungsfehler führte zum Abschalten des zweiten Triebwerks. Die Tatsache, dass die Saturn trotz dieser vielen Probleme ihre Mission dennoch beenden konnte, überzeugte die NASA, in die Phase der bemannten Flüge überzugehen. Ein simples Feuerwerk könnte wohl kaum so fehlertolerant sein, oder?

Instrumenteneinheit (IE) der Saturn

Die IE bestand aus einem 1 m hohen Ring mit einem Durchmesser von ca. 6,50 m, der am oberen Ende der dritten Stufe (S-IVB) positioniert war und in dem sich verteilt auf der Innenfläche die Elektronik der Saturn befand.

Die Saturn V erfüllte ihren Zweck und ihre Mission, und brachte drei Astronauten sicher in die Umlaufbahn der Erde. Heute würde man die Rakete als intelligent bezeichnen, da sie von einem „eingebetteten“, fehlertoleranten Digitalrechner mit dem Namen Launch Vehicle Digital Computer (LVDC) gesteuert wurde. Die Saturn funktionierte im wahrsten Sinne des Wortes autonom: Befand sich die Rakete vollbetankt auf der Startbasis, mussten im Prinzip nur noch die 3D-Ziel-Koordinaten in den LVDC eingegeben und der Startknopf gedrückt werden. Die Astronauten und das Missionskontrollzentrum überwachten lediglich die Telemetrie, bis das Triebwerk für die S-IVB an der gewünschten Stelle im Orbit abgeschaltet wurde. Für das Erreichen der Umlaufbahn waren drei Stufen erforderlich:

  • Nach dem Abheben hievt die Startrakete S-1C 3000 Tonnen in die obere Atmosphäre, das dauert nur zwei Minuten und es wird eine Geschwindigkeit von ca. 8500 km/h erreicht. Die Rakete wird dabei vom LVDC gesteuert, der die Triebwerksdüsen gemäß einer voreingestellten Zeitsequenz „kardanisch lenkt“. Von der integrierten Gyroplattform gibt es keine Rückmeldung, aus Angst, dass zu große Korrekturen die Struktur überlasten würden. Genau in dieser Phase wird „Max-Q“ erreicht, der Punkt, an dem die Belastung auf das Flugobjekt aufgrund des atmosphärischen Widerstands am größten ist. Parallel zum LVDC arbeitet das Emergency Detection System (EDS), das kritische Systeme überwacht, einschließlich des eigenen unabhängigen Systems aus Beschleunigungssensoren und Kreiseln. Das EDS kann mögliche Katastrophen „vorwegnehmen“ und einen Abbruch einleiten, wodurch die Rettungsrakete abgefeuert und die Kapsel aus dem Gefahrenbereich befördert wird. Das EDS läuft bis zum Passieren des Max-Q automatisch, aus dem einfachen Grund, dass die Astronauten auf eine Warnung ohnehin nicht rechtzeitig reagieren könnten. Nach dem Passieren des Max-Q wird vor dem Kommandant eine Signalleuchte angezeigt, und dieser entscheidet dann, ob er den Griff zum Abbruch dreht oder nicht dreht.
  • Der LVDC ist für die „Stufung“ verantwortlich und startet die Triebwerke für die S-II. Bis jetzt ist die Flugbahn nahezu vertikal gewesen – bei rückführungsloser Steuerung. Der Rückführungskreis wird jetzt geschlossen, indem das Flugkontrollsystem mit seiner Gyroplattform verbunden wird, um die Rakete auf einer vordefinierten Flugbahn zu lenken. Im Grunde wird ein Autopilot aktiviert, der Windkräfte und schwankende Leistungen der Triebwerke ausgleicht.
  • Schließlich wird die zweite Stufe abgestoßen, und die S-IVB übernimmt, ebenfalls mit Autopilot, bis die gewünschte Position in der Umlaufbahn bei einer Geschwindigkeit von ca. 28000 km/h erreicht wird.

Alle oben genannten Phasen dauern insgesamt nur 11 Minuten. Die IE muss aber noch zwei Aufgaben erledigen: Kurs auf den Mond nehmen und nach dem Entsenden der Mondlandefähre die S-IVB zwecks Bruchlandung an eine separate Stelle auf der Mondoberfläche schicken.

Die Tortur bei Apollo 12

Die anderen Flüge zum Mond waren mit Blick auf die IE größtenteils unspektakulär, wenn man die Schreckensmomente von Apollo 12 außen vor lässt. Allein dieses Ereignis hat dazu geführt, dass die Konstruktion überdacht wurde und die Rakete ihr eigenes Steuerungssystem (die IE) bekam, das unabhängig von dem im Kommandomodul war. Kurz nach dem Start leuchtete das Cockpit hell auf – das Raumfahrzeug wurde von Blitzschlägen getroffen. Sofort fielen alle Bedientafeln aus bzw. blinkten überall Warnleuchten. Die im Missionskontrollzentrum übertragenen Telemetriedaten der Rakete waren allesamt durcheinander. Das EDS der Saturn lief im Automatikbetrieb, doch es wurde kein Abbruch ausgelöst und schon bald erkannten alle Beteiligten, dass die S-IC immer noch normal funktionierte, immer noch auf Kurs war. Der Kommandant Pete Conrad hielt den Griff zum Abbruch fest in der Hand, bis die jetzt berühmten Worte durch den Funk von CapCom kamen: „Try SCE to Aux“ (Versuch, SCE auf Reserve umzustellen). Der Astronaut Alan Bean legte den Schalter um, und alle Cockpit-Anzeigen und die gesamte Telemetrie funktionierten wieder normal. John Aaron, der entscheidende Flugdirektor für EECOM, wurde zum Nationalheld. Den anderen „Helden“, der IE und dem LVDC, wurde kaum Beachtung geschenkt.

Eine schmerzhafte Lektion: niemals eine Rakete bei Gewitter starten. Das ionisierte Gas des Abgasstrahls hat eine ausgezeichnete elektrische Verbindung zwischen der Rakete und dem Gerüst verursacht und dadurch den Blitzschlag noch verstärkt!

Der Launch Vehicle Digital Computer (LVDC) der Saturn

Die grundlegenden Funktionsbereiche des LVDC wären heutigen Computertechnikern sehr vertraut: Taktgenerator und Zeitlogik, arithmetische Logikeinheit, Programmzähler, Programm-RAM usw. Heutzutage befinden sich all diese Funktionsbereiche auf einem einzigen Silizium-Chip, auch Mikroprozessor genannt. Hier eine Auswahl wichtiger Kennzahlen des LVDC im Vergleich zu einem modernen Mikroprozessor:

  • Taktfrequenz: 2,048 MHz
  • Wortlänge: 13 Bit + 1 Paritätsbit
  • Bussystem: seriell
  • Taktzyklen pro Befehl: 168 (mehr für Multiplizieren/Dividieren)
  • Verarbeitungsgeschwindigkeit: 12.190 Befehle/Sek.
  • Speicher: Magnetkerne, bis zu 32.000 Wörter, Duplex mit Einzelbitfehlerkorrektur

In Abbildung 2 sehen Sie einen LVDC mit abgenommener Frontplatte. Im Inneren befinden sich viele kleine Steckmodule, wobei jede aus zwei Leiterplatten besteht, die Rücken an Rücken montiert sind. Auf jeder Leiterplatte befinden sich 35 (dem Anschein nach) moderne integrierte Schaltkreise. Im Grunde genommen sind sie selbst kleine Leiterplatten mit wenigen Dioden und Transistorchips sowie Widerständen unter einer Keramikabdeckung, verbunden, um sagen wir ein NOR-Gatter mit vier Eingängen bereitzustellen. Sie sehen wie moderne 14-polige Surface-Mount(SMT)-ICs aus, außer dass das „Chipende“ des Kontaktstifts zu einer Klemme geformt ist, die ein Pad am Rand der winzigen Leiterplatte greift. Dadurch können sie seitlich herausgezogen und entfernt werden; die Stifte bleiben dabei zurück. Ich vermute, dass dieses schnelle Austauschsystem eingesetzt wurde, weil viele dieser kleinen, von Hand gelöteten Module entweder beim ersten Test nicht funktionierten oder dem folgenden Belastungstest nicht standhielten. Eine Flugplatine, die funktionierte, wurde dann mit Epoxidharz überzogen, um alles an Ort und Stelle zu fixieren. Heute existieren nicht mehr viele detaillierte Dokumente zum LVDC, die hier genannten Informationen entstammen allesamt einem vor kurzem veröffentlichen Abriss, den Sie hier finden.

Ab hier wird der Sachverhalt noch komplexer. Der LVDC besteht im Wesentlichen aus drei identischen Prozessoren, die parallel laufen, mit dem Ergebnis einer dreifachen modularen Redundanz. Drei parallele Schaltungen machen eigentlich nur dann Sinn, wenn es irgendeine Möglichkeit gibt, eine fehlerhafte Komponente zu erkennen und deren Folgen abzuschwächen. Der LVDC nutzt die „Voting-Logik“ (Abb. 3), um die seriellen Busse zwischen den Funktionsbereichen der einzelnen Prozessoren zu überwachen.

Jedes Datenbit durchläuft die Voter-Logik und geht dann in den nächsten Abschnitt über. Normalerweise sind die drei Eingänge für jeden Voter gleich, entweder 000 oder 111, sodass die drei Ausgänge ebenfalls 000 oder 111 sind. Wenn jedoch nur ein einzelnes Bit umgekehrt wird, sodass der Eingang bspw. 100 oder 110 lautet, können Sie der Wahrheitstabelle entnehmen, dass die Ausgänge gemäß Mehrheitsentscheid nach wie vor 000 oder 111 lauten. Der Fehler, permanent oder transient, wird automatisch erkannt und korrigiert. Ein unerwünschter Nebeneffekt ist, dass bei der Durchführung von Kontrollen vor dem Flug Fehler möglichweise maskiert werden. Dies wird vermieden, indem das Exklusiv-Oder-Gatter mit drei Eingängen wie gezeigt hinzugefügt wird. Der Ausgang des XOR-Gatters ist 0, wenn alle seine Eingänge gleich sind: 000 oder 111. Alles andere erzeugt einen logischen Ausgang von 1, der einen Fehler signalisiert. Das Signal für „Fehler erkannt“ wird nur überwacht, wenn kurz vor dem Start Kontrollen durchgeführt werden, damit die Mission nicht mit bereits fehlerhafter Hardware begonnen wird!

Der Speicher konnte in zwei redundante Blöcke aufgeteilt werden (Duplexmodus). Jeder Block enthielt denselben Daten- bzw. Programmcode. Es wurde ein Wort von einem Block ausgelesen und das Paritätsbit überprüft. Wenn ein Fehler angezeigt wurde, wurde das entsprechende Wort von dem anderen Block ausgelesen und dann wiederum in den ersten Block geschrieben, um den Fehler zu beheben.

Keine kleine Aufgabe

Der Programmcode des LVDC kontrollierte den Betrieb von Systemen, die nicht nur komplex, sondern extrem leistungsstark und gefährlich waren. Die fünf gigantischen Triebwerke der ersten Stufe entwickelten eine Leistung von 60 Gigawatt, sie verbrannten den Treibstoff aus fünf mehr als 53.000 PS starken Pumpen bei einer Förderrate von 2,5 Tonnen pro Sekunde. Nur ein kleiner Programmierfehler, und Neil Armstrong hätte den Start nicht überlebt, und wäre mit Sicherheit nicht auf dem Mond gelandet. Vielleicht sollten Sie daran denken, wenn Sie das nächste Mal Programmcode debuggen ...

Postskript

Hochzuverlässige Rechensysteme mit redundanten Komponenten sind seit den 1960er Jahren ein wichtiger Bestandteil beim Flugzeugbau im militärischen und kommerziellen Bereich. Sie sind heute entscheidend für den sicheren Betrieb von Fahrzeugen mit Fahrerassistenzsystemen (FAS) und natürlich für solche, die komplett autonom fahren können. Konstrukteure programmieren FPGAs immer häufiger mit mehreren „Soft“-Prozessorkernen. Es gibt heute Tools, mit denen das FPGA-Layout abgetastet werden kann, um zu schauen, wo eine Voting-Logik angebracht wäre, um ein gewünschtes Maß an Zuverlässigkeit zu erreichen. Das Erbe des LVDC könnte darin bestehen, dass ein Fehler in den Systemen Ihres Autos verhindert wird, der eines Tages zu einem Unfall geführt hätte. Die Mission der Saturn war kurz. Die dreifache modulare Redundanz sorgte dafür, dass der LVDC für eine Dauer von 250 Stunden mit einer Wahrscheinlichkeit von 99,6 % erfolgreich arbeitete. Die Autos der Zukunft werden das übertreffen müssen.

Wenn Sie mögen, folgen Sie mir auf Twitter. Ich verweise auf interessante Artikel über neue Elektronik und verwandte Technologien, und leite von mir entdeckte Tweets über Roboter, Weltraumforschung und andere Themen weiter.

Engineer, PhD, lecturer, freelance technical writer, blogger & tweeter interested in robots, AI, planetary explorers and all things electronic. STEM ambassador. Designed, built and programmed my first microcomputer in 1976. Still learning, still building, still coding today.

21 Feb 2019, 13:53

Kommentare