Les signes d'alerte ne se sont pas annoncés comme des sirènes. Ils sont arrivés sous forme de produits de données, de cycles de révision et de la persistance silencieuse d'une trajectoire qui se comportait juste un peu trop bien dans un modèle et pas assez bien dans un autre. Longtemps avant que Mars ne soit assez proche pour dominer le ciel, les équipes de navigation avaient étudié le chemin de la sonde spatiale et comparé le comportement prédit avec ce que les données de suivi suggéraient. Dans une mission aussi sensible que Mars Climate Orbiter, de petites déviations comptaient car de minuscules forces s'accumulent en de grandes erreurs de position sur des distances interplanétaires.
À l'été et à l'automne 1999, cette sensibilité n'était pas une abstraction. Mars Climate Orbiter avait été lancé le 11 décembre 1998 et était profondément engagé dans sa phase de croisière lorsque le travail de correction de trajectoire et de reconstruction de trajectoire est devenu de plus en plus conséquent. Chaque manœuvre devait être traduite en une solution de navigation, et chaque solution devait concilier le comportement réel de la sonde spatiale avec les hypothèses du logiciel. C'était à ce moment-là qu'une défaillance d'interface cachée pouvait devenir déterminante pour la mission. La sonde spatiale ne voyageait pas simplement dans l'espace ; elle traversait une chaîne de transferts institutionnels dans laquelle chaque groupe comptait sur l'autre pour préserver la cohérence.
L'un des éléments de preuve les plus importants était les données de performance des propulseurs fournies par Lockheed Martin. Ces informations étaient utilisées par le logiciel de navigation du Jet Propulsion Laboratory de la NASA pour estimer comment la sonde spatiale s'était déplacée après les corrections de trajectoire. Mais le produit utilisait une convention d'unité qui n'était pas cohérente avec la convention attendue par le système de navigation en aval. La conséquence n'était pas un échec instantané. C'était une lente corruption de la solution orbitale, suffisamment subtile pour ressembler à du bruit opérationnel jusqu'à ce que le décalage accumulé devienne impossible à ignorer.
La tension dans les semaines précédant l'arrivée provenait du fait que la navigation est en partie une lutte contre l'incertitude. Les ingénieurs ne s'attendent pas à un accord parfait entre les modèles et la réalité ; ils s'attendent à un désaccord borné. Ce qui rendait ce cas dangereux, c'était que le désaccord avait une cause cachée. L'erreur de trajectoire était réelle, mais les outils de diagnostic étaient construits autour d'hypothèses qui ne correspondaient jamais entièrement à la source de données. En d'autres termes, la mission ne volait pas seulement vers Mars ; elle volait à travers une défaillance d'interface.
Une scène au Jet Propulsion Laboratory capture l'atmosphère de ces préparatifs finaux. Dans des salles bordées de moniteurs et d'impressions, les ingénieurs examinaient des graphiques montrant où la sonde spatiale devrait être et où elle semblait se diriger. Le travail était méthodique, presque ennuyeux, le genre de travail à enjeux élevés qui peut sembler inerte aux yeux des observateurs extérieurs. Pourtant, chaque ligne sur ces graphiques représentait un avenir possible : une capture en toute sécurité, une approche manquée ou une descente en rase-mottes dans une couche d'atmosphère plus épaisse que le véhicule ne pouvait absorber. L'équipe de navigation de la sonde spatiale ne traitait pas une seule anomalie dramatique mais un schéma qui devait être interprété dans le contexte d'une dispersion ordinaire. Cela rendait les signes d'alerte difficiles à élever du niveau de préoccupation à celui de crise.
Le dossier officiel montre que le problème n'était pas invisible avec le recul ; il était obscurci en pleine vue. Le Mars Climate Orbiter Mishap Investigation Board, présidé par Arthur Stephenson, a ensuite retracé l'échec à un décalage entre les unités anglaises et métriques. Le rapport du conseil, souvent cité comme le Mars Climate Orbiter Mishap Investigation Board Report, a documenté comment l'information transmise du système d'opérations de la sonde spatiale Lockheed Martin dans le processus de navigation de JPL s'est faite sans conversion. Dans le langage du rapport, le produit de données exprimait l'impulsion en livres-secondes tandis que le logiciel de navigation s'attendait à des newtons-secondes. Le résultat n'était pas un dysfonctionnement dramatique lors d'un seul test. C'était une divergence qui s'est accumulée tout au long de la chronologie de la mission.
C'était le cœur judiciaire de la catastrophe : un petit décalage d'unités avec de grandes conséquences en aval. La perte a ensuite été évaluée non seulement comme un échec scientifique mais aussi comme un échec financier. Mars Climate Orbiter lui-même représentait un investissement de mission d'environ 125 millions de dollars, tandis que le coût total de la mission était souvent cité à environ 327,6 millions de dollars. La disparition de la sonde spatiale portait donc une double signification. C'était la perte d'un orbiteur, et c'était la perte d'un investissement public substantiel dans l'exploration planétaire. Au moment où l'échec a été compris, l'argent avait déjà été dépensé, les données avaient déjà été perdues, et l'opportunité scientifique était déjà passée.
Une autre scène s'est déroulée dans l'environnement des contractants où les produits logiciels et d'ingénierie traversaient les frontières organisationnelles. Là, un produit de données qui représentait l'impulsion dans un système sous forme de livres-secondes était traité, à un autre point de la chaîne, comme s'il était en newtons-secondes. Ce décalage est petit dans le langage et grand dans les conséquences. Il modifie l'accélération dérivée, et dans une solution de navigation, une accélération modifiée change où l'on pense qu'une sonde spatiale se trouve. Le danger n'était pas que quiconque ait l'intention de faire une erreur. Le danger était que chaque équipe croyait que les hypothèses de l'autre étaient déjà alignées. L'échec se situait à la frontière entre les organisations, où la responsabilité était distribuée mais la convention d'unité ne l'était pas.
Les signes d'alerte portaient également une dimension procédurale. La mission avait traversé des cycles de révision dans lesquels les prédictions de trajectoire, la reconstruction de manœuvre et les données de performance étaient toutes scrutées. Mais une divergence qui provient de l'interface entre les systèmes peut sembler, pendant un certain temps, comme une différence de modélisation tolérable. Dans une discipline fondée sur des connaissances partielles, la ligne entre l'incertitude normale et la faute cachée est toujours difficile à définir. Cette difficulté rendait cette mission particulièrement vulnérable. Le logiciel produisait des réponses. Les réponses étaient simplement incorrectes d'une manière que personne n'avait été suffisamment bien positionné pour détecter.
Un fait surprenant, qui serait plus tard central à l'enquête officielle, était que l'échec pouvait persister sans déclencher une alarme immédiate parce que la mission avait suffisamment de complexité dynamique pour absorber une certaine erreur avant que la géométrie ne devienne impitoyable. La sonde spatiale n'avait pas besoin d'être complètement erronée pour échouer. Elle devait seulement être suffisamment erronée pour entrer dans l'atmosphère de Mars plus bas que prévu. Une mission peut survivre à une imprécision dans l'espace profond. Elle ne peut pas survivre à une altitude mal calculée lors de l'insertion en orbite.
Les dernières heures avant l'arrivée étaient remplies de l'urgence ordinaire des opérations interplanétaires : listes de vérification, révision de télémétrie, estimations finales de trajectoire, et l'attente que l'insertion en orbite de Mars se déroule comme prévu. La sonde spatiale était maintenant suffisamment proche pour que chaque calcul ait de l'importance dans un sens pratique plutôt que dans un sens abstrait. La fenêtre orbitale se rétrécissait. L'équipe approchait du point où la mission devenait soit un orbiteur de Mars, soit des débris. En termes opérationnels, c'était le dernier moment où les chiffres à l'écran pouvaient encore être corrigés par intervention ; après cela, Mars elle-même déterminerait l'issue.
Le moment décisif n'est pas arrivé avec une explosion cinématographique mais avec une réalisation humaine : le chemin prédit avait été conduit trop bas trop longtemps. La solution de navigation avait dérivé suffisamment loin pour que la sonde spatiale approche Mars différemment de ce qui était prévu. Dans le langage de l'enquête officielle, la cause la plus probable était un échec à utiliser des unités métriques dans l'interface logicielle entre l'équipe de la sonde spatiale et l'équipe de navigation. Cette constatation serait plus tard énoncée avec une clarté bureaucratique, mais dans l'heure précédant l'insertion en orbite, c'était encore un puzzle assemblé à partir de signes d'alerte.
Dans les suites de l'événement, l'image judiciaire est devenue plus nette que ce qu'elle avait été sur le plan opérationnel. Les conclusions du conseil ont clairement montré qu'il ne s'agissait pas d'un mystère d'échec de propulsion ou d'un événement planétaire inattendu. C'était un échec de système, un qui avait été porté à travers des hypothèses de conception, le formatage des données et les processus de révision. La machinerie institutionnelle d'une mission majeure avait fonctionné dans le sens où elle traitait l'information, mais elle n'avait pas fonctionné dans le sens où elle saisissait la signification de cette information. Les signes d'alerte avaient été présents dans les produits de trajectoire et les résidus de navigation, mais ils n'avaient pas été convertis en une alarme pleinement reconnue avant qu'il ne soit trop tard.
Dans le contrôle de mission, l'approche finale portait la surface calme de la routine et le pouls caché du risque. La sonde spatiale n'était pas encore entrée dans l'atmosphère. Le piège avait déjà été tendu par les chiffres. L'instant de la catastrophe arriverait lorsque ces chiffres rencontreraient la planète.