Il rifornimento nel giorno del lancio non doveva essere teatrale. Doveva essere procedurale, misurato e prevedibile, una sequenza governata da temperature, pressioni e flussi. Nelle ore precedenti all'incidente, il Falcon 9 stava venendo caricato per un test di accensione statica che avrebbe preceduto il lancio programmato di AMOS-6. Il lavoro chiave riguardava la gestione del propellente criogenico: ossigeno liquido e carburante refrigerato che si muovevano all'interno di un razzo progettato per accoglierli, mentre i sistemi di elio mantenevano la pressurizzazione all'interno del veicolo. In superficie, l'operazione presso il Complesso di Lancio 40 della Cape Canaveral Air Force Station sembrava un'evoluzione pre-lancio standard. Tuttavia, sotto quella superficie, gli investigatori avrebbero successivamente trovato i segni di un guasto che si era già manifestato.
Ciò che gli investigatori avrebbero successivamente identificato come critico era un difetto che era presente prima del disastro visibile. Secondo l'indagine sulle anomalie di SpaceX e le successive revisioni della NASA e della FAA, un recipiente a pressione in composito di elio nel secondo stadio aveva probabilmente sviluppato una breccia o una crepa in condizioni diventate pericolose sotto carico. La sequenza interna precisa rimaneva tecnicamente complessa, ma il punto essenziale era chiaro: un guasto strutturale nascosto in un recipiente ad alta pressione consentiva all'ossigeno liquido super-freddo di diventare parte di una reazione a catena che il veicolo non poteva sopravvivere. Nella terminologia dei documenti investigativi successivi, l'evento non era semplicemente una questione di un serbatoio che perde pressione; era un guasto nell'architettura interna di un sistema di lancio, un problema che poteva essere ricostruito solo in seguito attraverso la telemetria, l'esame dell'hardware e la logica della forense ingegneristica.
Questo tipo di vulnerabilità è l'incubo dei sistemi ingegnerizzati. Non si annuncia in anticipo con fumi o fiamme. Attende sotto la superficie, risiedendo in un componente che ci si aspetta sia affidabile proprio perché è così profondamente integrato nel design. I segnali di avvertimento, se esistessero, non erano uno spettacolo pubblico; erano indizi ingegneristici sottili, del tipo che emergono solo dopo il fatto quando gli investigatori ricostruiscono le cronologie dalla telemetria, dalle curve di pressione e dai detriti. In questo caso, le prove dovevano essere recuperate da una piattaforma che era stata trasformata in pochi secondi e da un veicolo di lancio i cui frammenti rimanenti non potevano più raccontare la storia per intero. Il record tecnico divenne l'unico testimone.
La sequenza aveva anche un contesto umano e istituzionale. AMOS-6 era un satellite commerciale di comunicazione destinato al lancio a bordo del Falcon 9, e il valore della missione era ampiamente compreso come sostanziale. I rapporti dell'epoca collocavano il valore del satellite nell'ordine delle centinaia di milioni di dollari, e la perdita comportava conseguenze immediate per Spacecom, l'operatore. Poiché il razzo era stato configurato per un test di accensione statica piuttosto che per un lancio completo, il team di terra stava eseguendo una procedura familiare ma altamente significativa: caricamento del propellente, preparazione del veicolo e svolgimento dei passaggi che avrebbero dovuto precedere l'accensione. Nelle operazioni di lancio altamente regolamentate, un test può essere quasi importante quanto un volo. Un'accensione statica è destinata a rivelare se il sistema si comporta come previsto in condizioni operative. In questo caso, il test stesso divenne il contesto per la catastrofe.
Nell'ambiente di controllo, la piattaforma appariva ancora ordinaria. Le squadre di lancio non lavorano con superstizione; lavorano con margini. Se un sistema sta funzionando come previsto, l'assenza di dramma può diventare essa stessa una sorta di prova che tutto va bene. È per questo che i disastri in ambienti altamente ingegnerizzati sono così disorientanti: la normalità non è l'opposto del pericolo. Spesso è la maschera che il pericolo indossa meglio. A Cape Canaveral, non c'era nulla nell'apparenza ordinaria del sito che annunciasse la scala di ciò che stava per svolgersi. Il razzo era in piedi sulla piattaforma. Le operazioni continuavano. Il veicolo stava venendo caricato. Nessun segnale pubblico indicava che un guasto stava già crescendo all'interno di un recipiente pressurizzato integrato nel secondo stadio.
Uno dei dettagli più importanti nella storia tecnica più ampia è che l'evento si è verificato non durante l'ascesa, non durante l'accensione del motore e non nella violenza aperta di un fallimento di lancio, ma mentre il razzo era fermo sulla piattaforma in preparazione. Questo ha ristretto il campo delle possibili cause e ha costretto gli investigatori a studiare come le condizioni statiche, le temperature del propellente e i sistemi ad alta pressione interagissero prima che i motori si accendessero. Il fatto sorprendente era che la macchina fallì prima che la missione fosse tecnicamente iniziata. Questo fatto divenne centrale nelle revisioni successive della NASA e della Federal Aviation Administration, che dovevano entrambe valutare non solo cosa fosse fallito, ma anche quando fosse fallito. Il crollo di un veicolo di lancio prima del decollo cambia completamente il quadro forense: la questione non è più limitata alla dinamica dell'ascesa o alle prestazioni del motore, ma si estende alle operazioni a terra, alle procedure di rifornimento e all'interazione tra propellente criogenico e pressurizzazione interna.
La tensione in quegli ultimi momenti derivava da quel divario tra calma visibile e pericolo nascosto. Un veicolo di lancio può tollerare molte cose quando è isolato e inattivo; diventa qualcosa di completamente diverso quando è carico di fluidi criogenici e gas pressurizzati. La questione non era se l'operazione apparisse normale dall'esterno. Era se, all'interno del guscio composito del razzo, materiali e pressioni si stessero muovendo verso una soglia che nessuna lista di controllo aveva pienamente anticipato. È per questo che il lavoro investigativo successivo era così importante. Doveva determinare se la breccia nel recipiente di elio fosse stata presente prima del rifornimento, se l'ambiente di pressione sulla piattaforma avesse accelerato il guasto e come l'ossigeno liquido fosse entrato nella sequenza che portò all'esplosione.
Per SpaceX, questa non era la prima volta che l'azienda affrontava una perdita catastrofica. Fallimenti precedenti avevano già insegnato che il pubblico avrebbe visto ogni anomalia come prova della maturità dell'azienda. Ma questo evento era diverso perché era avvenuto a terra, in un contesto che avrebbe dovuto essere la parte più sicura del flusso di lavoro. Ciò ampliava le implicazioni. Se la piattaforma poteva fallire, allora la disciplina della preparazione stessa era sotto esame. La questione non era più solo se il razzo potesse raggiungere l'orbita. Era se le assunzioni ingegneristiche che governavano le operazioni pre-lancio fossero abbastanza solide da sopportare il controllo della NASA, della FAA e del processo di revisione delle anomalie della stessa azienda.
L'ultima ora di normalità era quindi meno un preludio pacifico che un insieme di routine attentamente delimitate sotto stress nascosto. Il personale era in posizione. Il razzo stava venendo caricato. La missione era ancora formalmente viva. Eppure l'azione importante stava già avvenendo fuori dalla vista, nelle pressioni interne del veicolo e nelle assunzioni del sistema costruito attorno ad esso. Il record documentario che seguì avrebbe incluso il rapporto sulle anomalie di SpaceX, la supervisione governativa e molteplici revisioni tecniche, tutte tentando di definire dove fosse iniziata la catena e se potesse essere stata interrotta. Quei documenti successivi non cambiarono il fatto che il guasto fosse già sfuggito al controllo degli operatori sulla piattaforma.
Poi, alle 9:07 a.m. Eastern Daylight Time del 1 settembre 2016, la sequenza passò da anomalia tecnica a rilascio catastrofico. La piattaforma non conteneva più un veicolo in preparazione per il lancio. Conteneva un evento che avrebbe consumato il veicolo invece.