Die Warnsignale kündigten sich nicht wie Sirenen an. Sie kamen in Form von Datenprodukten, Überprüfungszyklen und der leisen Beharrlichkeit einer Trajektorie, die sich in einem Modell einfach ein wenig zu gut und in einem anderen nicht gut genug verhielt. Lange bevor der Mars nah genug war, um den Himmel zu dominieren, hatten Navigationsteams den Kurs des Raumfahrzeugs studiert und das vorhergesagte Verhalten mit dem verglichen, was die Verfolgungsdaten nahelegten. In einer Mission, die so sensibel war wie der Mars Climate Orbiter, waren kleine Abweichungen von Bedeutung, da winzige Kräfte über interplanetare Distanzen zu großen Positionsfehlern akkumulieren.
Im Sommer und Herbst 1999 war diese Sensibilität keine Abstraktion mehr. Der Mars Climate Orbiter war am 11. Dezember 1998 gestartet worden und befand sich tief in seiner Reisephase, als die Arbeiten zur Kurskorrektur und Trajektorienrekonstruktion zunehmend bedeutend wurden. Jede Manöver musste in eine Navigationslösung übersetzt werden, und jede Lösung musste das tatsächliche Verhalten des Raumfahrzeugs mit den Annahmen der Software in Einklang bringen. An diesem Punkt konnte ein verborgenes Schnittstellenversagen mission-definierend werden. Das Raumfahrzeug reiste nicht einfach durch den Weltraum; es durchquerte eine Kette institutioneller Übergaben, bei der jede Gruppe auf die andere angewiesen war, um Konsistenz zu wahren.
Eines der wichtigsten Beweisstücke war die Leistung der Triebwerke, die von Lockheed Martin bereitgestellt wurde. Diese Informationen wurden von der Navigationssoftware im Jet Propulsion Laboratory der NASA verwendet, um zu schätzen, wie sich das Raumfahrzeug nach Kurskorrekturen bewegt hatte. Aber das Produkt verwendete eine Einheitensystematik, die nicht mit der Konvention übereinstimmte, die vom nachgelagerten Navigationssystem erwartet wurde. Die Folge war kein sofortiger Fehler. Es war eine langsame Korruption der orbitalen Lösung, subtil genug, um wie operationale Störungen auszusehen, bis die sich ansammelnde Diskrepanz unmöglich zu ignorieren wurde.
Die Spannung in den Wochen vor der Ankunft resultierte aus der Tatsache, dass Navigation teilweise ein Streit mit der Unsicherheit ist. Ingenieure erwarten keine perfekte Übereinstimmung zwischen Modellen und Realität; sie erwarten begrenzte Meinungsverschiedenheiten. Was diesen Fall gefährlich machte, war, dass die Meinungsverschiedenheit eine verborgene Ursache hatte. Der Trajektorienfehler war real, aber die Diagnosetools waren um Annahmen herum aufgebaut, die nie vollständig mit der Datenquelle übereinstimmten. Mit anderen Worten, die Mission flog nicht nur in Richtung Mars; sie flog durch ein Schnittstellenversagen.
Eine Szene im Jet Propulsion Laboratory fängt die Atmosphäre dieser letzten Vorbereitungen ein. In Räumen, die mit Monitoren und Ausdrucke ausgestattet waren, untersuchten Ingenieure Diagramme, die zeigten, wo sich das Raumfahrzeug befinden sollte und wo es zu sein schien. Die Arbeit war methodisch, fast mühsam, die Art von hochriskanter Arbeit, die für Außenstehende inert erscheinen kann. Doch jede Linie auf diesen Diagrammen stellte eine mögliche Zukunft dar: eine sichere Erfassung, einen verpassten Ansatz oder einen streifenden Abstieg in eine Atmosphäre, die dicker war, als das Fahrzeug absorbieren konnte. Das Navigationsteam des Raumfahrzeugs hatte es nicht mit einer einzigen dramatischen Anomalie zu tun, sondern mit einem Muster, das gegen den Hintergrund gewöhnlicher Streuung interpretiert werden musste. Das machte es schwierig, die Warnsignale von Besorgnis zu einer Krise zu erheben.
Das offizielle Protokoll zeigt, dass das Problem im Nachhinein nicht unsichtbar war; es war offensichtlich, aber verdeckt. Der Mars Climate Orbiter Mishap Investigation Board, geleitet von Arthur Stephenson, stellte später fest, dass das Versagen auf eine Diskrepanz zwischen englischen und metrischen Einheiten zurückzuführen war. Der Bericht des Gremiums, allgemein als Mars Climate Orbiter Mishap Investigation Board Report zitiert, dokumentierte, wie die Informationen vom Lockheed Martin Raumfahrzeugbetriebsystem ohne Umrechnung in den Navigationsprozess von JPL übergingen. In der Sprache des Berichts drückte das Datenprodukt Impuls in Pfund-Sekunden aus, während die Navigationssoftware Newton-Sekunden erwartete. Das Ergebnis war kein dramatischer Fehlfunktion in einem einzelnen Test. Es war eine Divergenz, die sich über den Zeitrahmen der Mission ansammelte.
Das war das forensische Herz der Katastrophe: eine kleine Einheitendiskrepanz mit großen nachgelagerten Konsequenzen. Der Verlust wurde später nicht nur als wissenschaftliches Versagen, sondern auch als finanzielles bewertet. Der Mars Climate Orbiter selbst stellte eine Missionsinvestition von etwa 125 Millionen Dollar dar, während die Gesamtkosten der Mission allgemein mit etwa 327,6 Millionen Dollar angegeben wurden. Das Verschwinden des Raumfahrzeugs trug daher eine doppelte Bedeutung. Es war der Verlust eines Orbiters und der Verlust einer erheblichen öffentlichen Investition in die planetarische Erkundung. Zu dem Zeitpunkt, als das Versagen verstanden wurde, war das Geld bereits ausgegeben, die Daten waren bereits verloren und die wissenschaftliche Gelegenheit war bereits vergangen.
Eine weitere Szene entfaltete sich in der Vertragsumgebung, in der Software- und Ingenieurprodukte organisatorische Grenzen überschritten. Dort wurde ein Datenprodukt, das Impuls in einem System als Pfund-Sekunden darstellte, an einem anderen Punkt in der Kette so behandelt, als wäre es in Newton-Sekunden. Diese Diskrepanz ist klein in der Sprache und groß in den Konsequenzen. Sie verändert die abgeleitete Beschleunigung, und in einer Navigationslösung verändert eine veränderte Beschleunigung, wo ein Raumfahrzeug als positioniert angesehen wird. Die Gefahr lag nicht darin, dass jemand absichtlich Fehler machte. Die Gefahr lag darin, dass jedes Team glaubte, die Annahmen des anderen seien bereits aufeinander abgestimmt. Das Versagen lag an der Nahtstelle zwischen den Organisationen, wo die Verantwortung verteilt, aber die Einheitensystematik nicht war.
Die Warnsignale trugen auch eine prozedurale Dimension. Die Mission hatte Überprüfungszyklen durchlaufen, in denen Trajektorienvorhersagen, Manöverdaten und Leistungsdaten alle genauestens untersucht wurden. Aber eine Diskrepanz, die an der Schnittstelle zwischen Systemen entsteht, kann eine Zeit lang wie ein tolerierbarer Modellunterschied erscheinen. In einer Disziplin, die auf teilweisem Wissen basiert, ist die Grenze zwischen normaler Unsicherheit und verborgenem Fehler immer schwer zu definieren. Diese Schwierigkeit machte diese Mission besonders anfällig. Die Software produzierte Antworten. Die Antworten waren einfach in einer Weise falsch, die niemand ausreichend erkennen konnte.
Eine überraschende Tatsache, die später zentral für die offizielle Untersuchung wurde, war, dass das Versagen bestehen bleiben konnte, ohne einen sofortigen Alarm auszulösen, weil die Mission genügend dynamische Komplexität hatte, um einen gewissen Fehler zu absorbieren, bevor die Geometrie unerbittlich wurde. Das Raumfahrzeug musste nicht völlig falsch sein, um zu scheitern. Es musste nur genug falsch sein, um in die Marsatmosphäre niedriger als geplant einzutreten. Eine Mission kann Ungenauigkeiten im tiefen Weltraum überstehen. Sie kann keine falsch berechnete Höhe beim Orbiteintritt überstehen.
Die letzten Stunden vor der Ankunft waren erfüllt von der gewöhnlichen Dringlichkeit interplanetarer Operationen: Checklisten, Telemetrieüberprüfung, endgültige Trajektorienabschätzungen und die Erwartung, dass der Orbiteintritt um den Mars planmäßig verlaufen würde. Das Raumfahrzeug war nun nah genug, dass jede Berechnung in praktischer Hinsicht von Bedeutung war, nicht nur in abstrakter. Das orbital Fenster wurde enger. Das Team näherte sich dem Punkt, an dem die Mission entweder ein Marsorbiter wurde oder zu Trümmern. In operationellen Begriffen war dies der letzte Moment, in dem die Zahlen auf dem Bildschirm noch durch Eingreifen korrigiert werden konnten; danach würde der Mars selbst das Ergebnis bestimmen.
Der entscheidende Moment kam nicht mit einer filmischen Explosion, sondern mit einer menschlichen Erkenntnis: der vorhergesagte Pfad war zu lange zu niedrig gefahren worden. Die Navigationslösung war weit genug abgedriftet, dass das Raumfahrzeug den Mars anders als beabsichtigt ansteuern würde. In der Sprache der offiziellen Untersuchung war die wahrscheinlichste Ursache ein Versagen, metrische Einheiten in der Software-Schnittstelle zwischen dem Raumfahrzeugteam und dem Navigationsteam zu verwenden. Diese Feststellung würde später mit bürokratischer Klarheit formuliert, aber in der Stunde vor dem Orbiteintritt war es immer noch ein Puzzle, das aus Warnsignalen zusammengesetzt war.
In der Folge wurde das forensische Bild klarer als das operationale gewesen war. Die Ergebnisse des Gremiums machten deutlich, dass dies kein Rätsel um einen Antriebsfehler oder ein unerwartetes planetarisches Ereignis war. Es war ein Systemversagen, das durch Designannahmen, Datenformatierung und Überprüfungsprozesse getragen wurde. Die institutionelle Maschinerie einer großen Mission hatte in dem Sinne funktioniert, dass sie Informationen verarbeitete, aber sie hatte nicht in dem Sinne funktioniert, dass sie die Bedeutung dieser Informationen erfasste. Die Warnsignale waren in den Trajektorienprodukten und den Navigationsresidualen vorhanden gewesen, aber sie waren nicht in einen vollständig anerkannten Alarm umgewandelt worden, bis es zu spät war.
Im Missionskontrollzentrum trug der letzte Ansatz die ruhige Oberfläche der Routine und den verborgenen Puls des Risikos. Das Raumfahrzeug war noch nicht in die Atmosphäre eingetreten. Die Falle war bereits durch Zahlen gestellt worden. Der Moment der Katastrophe würde eintreten, wenn diese Zahlen auf den Planeten trafen.