I segnali di avvertimento non si annunciarono come sirene. Arrivarono sotto forma di prodotti di dati, cicli di revisione e la quieta persistenza di una traiettoria che si comportava un po' troppo bene in un modello e non abbastanza bene in un altro. Molto prima che Marte fosse abbastanza vicino da dominare il cielo, i team di navigazione avevano studiato il percorso della navicella spaziale e confrontato il comportamento previsto con ciò che i dati di tracciamento suggerivano. In una missione sensibile come il Mars Climate Orbiter, piccole deviazioni contavano perché forze minime si accumulano in grandi errori di posizione su distanze interplanetarie.
Nell'estate e nell'autunno del 1999, quella sensibilità non era un'astrazione. Il Mars Climate Orbiter era stato lanciato l'11 dicembre 1998 ed era profondamente immerso nella sua fase di crociera quando il lavoro di correzione della rotta e ricostruzione della traiettoria divenne sempre più significativo. Ogni manovra doveva essere tradotta in una soluzione di navigazione, e ogni soluzione doveva riconciliare il comportamento reale della navicella spaziale con le assunzioni del software. Era il punto in cui un guasto dell'interfaccia nascosta poteva diventare decisivo per la missione. La navicella spaziale non stava semplicemente viaggiando nello spazio; stava attraversando una catena di passaggi istituzionali in cui ogni gruppo si affidava all'altro per preservare la coerenza.
Uno dei pezzi di prova più importanti era il dato sulle prestazioni dei razzi fornito da Lockheed Martin. Quell'informazione era utilizzata dal software di navigazione del Jet Propulsion Laboratory della NASA per stimare come la navicella spaziale si fosse mossa dopo le correzioni di rotta. Ma il prodotto utilizzava una convenzione di unità che non era coerente con la convenzione attesa dal sistema di navigazione a valle. La conseguenza non fu un fallimento istantaneo. Fu una lenta corruzione della soluzione orbitale, abbastanza sottile da sembrare rumore operativo fino a quando il mismatch accumulato divenne impossibile da ignorare.
La tensione nelle settimane prima dell'arrivo derivava dal fatto che la navigazione è in parte un'argomentazione con l'incertezza. Gli ingegneri non si aspettano un accordo perfetto tra modelli e realtà; si aspettano un disaccordo limitato. Ciò che rese questo caso pericoloso fu che il disaccordo aveva una causa nascosta. L'errore di traiettoria era reale, ma gli strumenti diagnostici erano costruiti attorno a assunzioni che non corrispondevano mai completamente alla fonte dei dati. In altre parole, la missione non stava solo volando verso Marte; stava volando attraverso un guasto dell'interfaccia.
Una scena al Jet Propulsion Laboratory cattura l'atmosfera di que preparazioni finali. In stanze foderate di monitor e stampe, gli ingegneri esaminavano grafici che mostravano dove la navicella spaziale doveva essere e dove sembrava dirigersi. Il lavoro era metodico, quasi noioso, il tipo di lavoro ad alto rischio che può sembrare inerte agli esterni. Eppure ogni linea su quei grafici rappresentava un possibile futuro: un cattura sicura, un approccio mancato, o una discesa rasente in uno strato di atmosfera più denso di quanto il veicolo potesse assorbire. Il team di navigazione della navicella spaziale non stava affrontando un'unica anomalia drammatica, ma un modello che doveva essere interpretato contro lo sfondo di una dispersione ordinaria. Ciò rese difficile elevare i segnali di avvertimento da preoccupazione a crisi.
Il record ufficiale mostra che il problema non era invisibile a posteriori; era oscurato in bella vista. Il Mars Climate Orbiter Mishap Investigation Board, presieduto da Arthur Stephenson, successivamente rintracciò il guasto a un disallineamento tra unità imperiali e metriche. Il rapporto del consiglio, comunemente citato come il Mars Climate Orbiter Mishap Investigation Board Report, documentò come l'informazione passasse dal sistema operativo della navicella spaziale Lockheed Martin al processo di navigazione del JPL senza conversione. Nel linguaggio del rapporto, il prodotto dati esprimeva impulso in libbra-secondi mentre il software di navigazione si aspettava newton-secondi. Il risultato non fu un malfunzionamento drammatico in un singolo test. Fu una divergenza che si accumulò lungo la linea temporale della missione.
Questo fu il cuore forense della catastrofe: un piccolo disallineamento delle unità con grandi conseguenze a valle. La perdita fu successivamente valutata non solo come un fallimento scientifico ma anche come un fallimento finanziario. Il Mars Climate Orbiter stesso rappresentava un investimento missione di circa 125 milioni di dollari, mentre il costo totale della missione era comunemente citato intorno ai 327,6 milioni di dollari. La scomparsa della navicella spaziale portò quindi un doppio significato. Fu la perdita di un orbiter e fu la perdita di un sostanziale investimento pubblico nell'esplorazione planetaria. Quando il fallimento fu compreso, il denaro era già stato speso, i dati erano già stati persi e l'opportunità scientifica era già passata.
Un'altra scena si svolse nell'ambiente del contraente dove i prodotti software e ingegneristici attraversavano i confini organizzativi. Lì, un prodotto dati che rappresentava impulso in un sistema come libbra-secondi era trattato, in un altro punto della catena, come se fosse in newton-secondi. Quel disallineamento è piccolo nel linguaggio e grande nelle conseguenze. Alterava l'accelerazione derivata e, in una soluzione di navigazione, l'accelerazione alterata cambiava dove si credeva che una navicella spaziale si trovasse. Il pericolo non era che qualcuno intendesse commettere un errore. Il pericolo era che ogni team credeva che le assunzioni dell'altro fossero già allineate. Il fallimento si trovava al confine tra le organizzazioni, dove la responsabilità era distribuita ma la convenzione delle unità non lo era.
I segnali di avvertimento portavano anche una dimensione procedurale. La missione era passata attraverso cicli di revisione in cui le previsioni di traiettoria, la ricostruzione delle manovre e i dati sulle prestazioni erano stati tutti scrutinati. Ma una discrepanza che origina all'interfaccia tra i sistemi può sembrare, per un certo periodo, una differenza di modellazione tollerabile. In una disciplina costruita su conoscenze parziali, la linea tra incertezza normale e guasto nascosto è sempre difficile da definire. Questa difficoltà rese questa missione particolarmente vulnerabile. Il software stava producendo risposte. Le risposte erano semplicemente sbagliate in un modo che nessuno era stato adeguatamente posizionato per rilevare.
Un fatto sorprendente, successivamente centrale all'inchiesta ufficiale, fu che il fallimento poteva persistere senza attivare un allarme immediato perché la missione aveva abbastanza complessità dinamica da assorbire alcuni errori prima che la geometria diventasse implacabile. La navicella spaziale non doveva essere completamente errata per morire. Doveva solo essere abbastanza errata da entrare nell'atmosfera di Marte più in basso del previsto. Una missione può sopravvivere a imprecisioni nello spazio profondo. Non può sopravvivere a un'altitudine calcolata male all'inserimento in orbita.
Le ultime ore prima dell'arrivo erano piene dell'ordinaria urgenza delle operazioni interplanetarie: liste di controllo, revisione della telemetria, stime finali della traiettoria e l'aspettativa che l'inserimento in orbita di Marte procedesse secondo programma. La navicella spaziale era ora abbastanza vicina che ogni calcolo contava in un senso pratico piuttosto che astratto. La finestra orbitale si stava restringendo. Il team si avvicinava al punto in cui la missione diventava o un orbiter di Marte o detriti. In termini operativi, questo era l'ultimo momento in cui le cifre sullo schermo potevano ancora essere corrette con un intervento; dopo di che, Marte stesso avrebbe determinato l'esito.
Il momento decisivo non arrivò con un'esplosione cinematografica ma con una realizzazione umana: il percorso previsto era stato spinto troppo in basso per troppo tempo. La soluzione di navigazione era driftata abbastanza da far sì che la navicella spaziale si avvicinasse a Marte in modo diverso da quanto previsto. Nel linguaggio dell'inchiesta ufficiale, la causa più probabile fu un fallimento nell'uso delle unità metriche nell'interfaccia software tra il team della navicella spaziale e il team di navigazione. Quella scoperta sarebbe stata successivamente espressa con chiarezza burocratica, ma nell'ora prima dell'inserimento in orbita era ancora un puzzle assemblato da segnali di avvertimento.
Nell'immediato dopo, l'immagine forense divenne più nitida di quanto non fosse stata quella operativa. Le scoperte del consiglio chiarirono che non si trattava di un mistero di guasto di propulsione o di un evento planetario inaspettato. Era un fallimento di sistema, uno che era stato portato avanti attraverso assunzioni di design, formattazione dei dati e processi di revisione. La macchina istituzionale di una missione importante aveva funzionato nel senso che elaborava informazioni, ma non aveva funzionato nel senso che catturava il significato di quelle informazioni. I segnali di avvertimento erano stati presenti nei prodotti di traiettoria e nei residui di navigazione, ma non erano stati convertiti in un allarme completamente riconosciuto fino a troppo tardi.
Nel controllo della missione, l'approccio finale portava la calma superficiale della routine e il battito nascosto del rischio. La navicella spaziale non era ancora entrata nell'atmosfera. La trappola era già stata impostata dai numeri. L'istante della catastrofe sarebbe arrivato quando quei numeri avessero incontrato il pianeta.