Die Mission sollte die Landung auf dem Mars proben und endete mit einem Absturz - trotzdem halten die Verantwortlichen das Manöver für überwiegend gelungen: Der Direktor der Esa-Programme, Rolf Densing, hat gestern erklärt, wie ein Softwarefehler den Marslander Schiaparelli zum Absturz brachte. Doch der Fehler liegt tiefer als nur in der Software: im System.

Anzeige

Kommafehler, Bereichsüberschreitungen von Variablen, Verwechslungen von Einheiten und nicht beachtete Dokumentationen: Softwareprobleme in der Raumfahrt sind nicht neu. Besonders in den 1990er Jahren führten sie zum Verlust zahlreicher Fahrzeuge, darunter zwei Marssonden und die erste Ariane-5-Rakete der Esa. Als tiefer liegende Ursache wurde schon damals mangelnde Qualitätssicherung bei der Programmierung ausgemacht. Fehler wurden durch mangelhafte Tests nicht erkannt. Oft wurde die tatsächliche Flughardware nicht in Tests eingebunden, sondern nur ihr erwartetes Verhalten simuliert. Die Komplexität der Software wurde erst später durch Analyse der Fehler und rigorose Tests beherrscht.

Nur ein Softwarefehler?

Zu Schiaparelli erklärte Densing nun in einem Interview mit dem Deutschlandfunk: "Soweit wir es rekonstruieren können, hat die Software aus einem Radar-Höhenmessgerät mit der allgemeinen Navigationssoftware nicht richtig gesprochen." Der Lander war nach ersten Erkenntnissen aus zwei bis vier Kilometern Höhe abgestürzt, nachdem er seinen Fallschirm vorzeitig abgetrennt hatte und die Bremsraketen im Anschluss nur 3 der geplanten 30 Sekunden feuerten.

Densing sagte: "Es hat einen Timeout gegeben, der dazu geführt hat, dass der Fallschirm etwas zu früh abgesprengt wurde. Er hat dazu geführt, dass das Gerät in dem Glauben war, es wäre bereits auf der Oberfläche, so dass es die Bremsraketen abgeschaltet hat. Es ist noch ein kleines bisschen spekulativ, aber wir erwarten in den nächsten zwei Wochen sehr genaue Aufschlüsse."

Er gab sich optimistisch, dass der Fehler gefunden und korrigiert werden könne. Schiaparelli ist eine Demonstrationsmission für die nötige Technologie zum Eintritt in die Marsatmosphäre, den Abstieg und die Landung auf dem Planeten. Sie dient der Vorbereitung der Landung des Exomars Rovers. Der Fehler in der Navigationssoftware kann mit Sicherheit beseitigt werden, deutet jedoch wie bei den gescheiterten Missionen aus den 1990er Jahren auf ein systematisches Problem hin.

Fehler im System

Am Exomars-Programm der Esa sind über 20 Länder beteiligt. Internationale Kooperationen sind eine komplexe Koordinationsaufgabe mit vielen Schnittstellen zwischen den diversen Systemen, die die Qualitätssicherung schwierig machen. Die Entstehung der Esa selbst geht auf das Scheitern einer internationalen Kooperation zurück, als es der Vorgängerorganisation Eldo nicht gelang, eine funktionierende Europa-Rakete zu bauen.

Auch bei dem Kometenlander Philae gab es Probleme mit der Qualitätssicherung. Harpunen sollten den Lander auf der Oberfläche verankern. Aber die Sprengladungen, mit denen das geschehen sollte, wurden nicht abgefeuert. Es ist unklar, ob der Sprengstoff oder die Zündleitungen dafür verantwortlich waren.

Außerdem versagte das Ventil einer Kaltgasdüse, die verhindern sollte, dass die Sonde nach der Landung wieder vom Kometen zurücksprang. In beiden Fällen handelte es sich um das einfachste und zuverlässigste System, das für die jeweilige Aufgabe denkbar ist, dennoch versagten beide. Obwohl die Sonde in einer Felsspalte endete und nach Entladung der Batterien ohne Sonnenlicht keine brauchbaren Daten mehr lieferte, wurde Philae zum Erfolg erklärt.

Ein 96-prozentiger Erfolg

Am Tag nach der gescheiterten Landung von Schiaparelli veröffentlichte Esa-Chef Jan Wörner einen Blogartikel, in dem er die Exomars-Mission als einen 96-prozentigen Erfolg bezeichnete. Der Lander mache nur 20 Prozent der Gesamtmission aus, und die Landung selbst sei zu 80 Prozent erfolgreich gewesen. Das stimmt nicht. Es liegt nicht einmal an der Prozentangabe an sich, obwohl selbst die hanebüchen ist.

Der Eintritt in die Atmosphäre, die Abtrennung des Hitzeschildes und die Entfaltung der Fallschirme funktionierten noch. Aber die Fallschirme wurden zu früh abgetrennt, die Bremsraketen versagten, das eigentliche Landemanöver mit den Raketentriebwerken wurde nie begonnen, die Landung auf den Stoßdämpfern wurde nicht getestet und die Nutzlast wurde nicht ausgesetzt. Hier von 80 Prozent Erfolg zu sprechen, ist glatt gelogen.

Die Esa hat Fehler in der Fehlerkultur

Aber es ist schlimmer: Eine Landung, die als Krater auf dem Mars endet, ist zu null Prozent erfolgreich. Egal, wie klein die Ursache war: Schrott ist Schrott. Dabei ist der Verlust von Schiaparelli selbst zu verschmerzen. Testmissionen werden genau deshalb durchgeführt, weil ihr mögliches Scheitern keinen allzu großen Verlust darstellt. Beim Exomars Rover wäre das nicht mehr so. Aber wenn der Chef einer Raumfahrtorganisation nicht mehr bereit ist, das Scheitern einer Testmission als klares Scheitern zu bezeichnen und stattdessen nach Ausflüchten sucht, ist das ein großes Problem.

Die Mitglieder einer Organisation wie der Esa schauen auf das Verhalten ihrer Chefs. Niemand sonst hat einen so großen Einfluss auf die Kultur innerhalb der Organisation. Es muss die ernsthafte Frage gestellt werden, welchen Einfluss Jan Wörner auf die Kultur innerhalb der Esa hat, wenn er versucht, Fehler in der Öffentlichkeit zu vertuschen.

Eines steht fest: Das Programmiererteam der fehlerhaften Navigationssoftware wird nicht den Luxus haben, zu sagen: "Programmieren ist eine hohe Kunst. Unsere Software hat den Lander erfolgreich von 400 Kilometern auf 4 Kilometer Höhe gebracht. Sie hat also zu 99 Prozent funktioniert. Es war doch insgesamt ein großer Erfolg!"

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach)