【正文】 ? 指出錯(cuò)誤沒有在事先被發(fā)現(xiàn)的原因 ? 下面詳細(xì)描述一下導(dǎo)致失敗的錯(cuò)誤 ? 如何分析和發(fā)現(xiàn)錯(cuò)誤并準(zhǔn)確定位，在下一部分討論 ? 在再下一部分討論產(chǎn)生錯(cuò)誤的原因 涉及故障的幾個(gè)部件： ? SRI1和 SRI2：雙備份的慣性制導(dǎo)系統(tǒng) ? OBC：箭載計(jì)算機(jī) ? 火神發(fā)動(dòng)機(jī) ? 固體助推器 ? 阿麗亞娜５的飛行控制系統(tǒng)是一個(gè)標(biāo)準(zhǔn)設(shè)計(jì)。 有兩個(gè)硬件和軟件完全一樣的 SRI并行工作。 ? SRI和 OBC都只是硬件冗余！ 涉及故障的部件關(guān)系 SRI 2 SRI 1 OBC 備份 OBC 火神發(fā)動(dòng)機(jī) 固體助推器 固體助推器 SRI的理想工作時(shí)序（軟件實(shí)現(xiàn)） 校準(zhǔn) 制導(dǎo) （飛行模式） 起飛時(shí)刻 但阿麗亞娜 4因其它原因給 SRI加了新功能 （阿麗亞娜 5的 SRI軟件是阿麗亞娜 2的重用） ? 背景： ? SRI飛行模式啟動(dòng)前－ 9至－ 5秒，倒計(jì)時(shí)在 極少的情況下會(huì)停頓 ? 重新啟動(dòng)火箭要化幾個(gè)小時(shí) ? 而地面恢復(fù)控制需約幾十秒 ? 由此：要求 SRI不斷重校準(zhǔn)至恢復(fù)控制 （ 50秒內(nèi)） 阿麗亞娜 4對 SRI軟件的設(shè)計(jì) 不出現(xiàn)停頓時(shí)： 校準(zhǔn) 制導(dǎo) 0秒 50秒 起飛時(shí)刻 阿麗亞娜 4對 SRI軟件的設(shè)計(jì) 出現(xiàn)停頓時(shí)： 0秒 50秒 起飛 倒計(jì)時(shí)停頓 問題（對阿麗亞娜 4） ? ？ ? 目前普遍認(rèn)為，對關(guān)鍵系統(tǒng)，能用硬件實(shí) 現(xiàn)的功能盡量用硬件實(shí)現(xiàn)。為什么沒有查出這段 “ 盲腸 ” 在阿麗亞娜 5會(huì) “ 發(fā)炎 ” ？ 怎么發(fā)的炎？ ? 根源： ? SRI軟件是由當(dāng)前被認(rèn)為最嚴(yán)謹(jǐn)?shù)?ADA語言 編制的。 ? 帶符號 16位整數(shù)的取值范圍是： ＋ 32767 ~ － 32768 ? 當(dāng) 64位浮點(diǎn)數(shù)超出上述范圍時(shí)，就產(chǎn)生一個(gè)運(yùn)算錯(cuò)誤（異常， exception） ADA語言對異常的處理： ? 任何錯(cuò)誤都不放過 ? 出錯(cuò)后，馬上轉(zhuǎn)到本模塊的異常處理部分 根據(jù)異常類型尋求保護(hù)（那里應(yīng)有相應(yīng)的 保護(hù)措施） ? 本模塊中如無保護(hù)，則跳入上一個(gè)模塊（ 調(diào)用本模塊的模塊）尋求保護(hù) ? 上過程循環(huán)至找到保護(hù)或至主程序 ADA 主程序 子程序 1 子程序 2 子模塊 ADA語句 說明 功能語句 異常處理語句 怎么發(fā)的炎： ? 蔓延： ? 阿麗亞娜 5在起飛后， BH值轉(zhuǎn)換時(shí)超限 （需求錯(cuò)） ? SRI中對由 BH引起的超限異常沒有保護(hù) （設(shè)計(jì)錯(cuò)） ? 對 SRI有一項(xiàng)要求：最后出現(xiàn)異常時(shí)（因?yàn)檎J(rèn)為可能的軟件異常都保護(hù)了，所以這些異常?異常），關(guān)機(jī)。 后來飛行延遲至預(yù)報(bào)能見度好轉(zhuǎn) （因此天氣不成問題） 起飛情況： 倒計(jì)時(shí)在 H0(主低溫發(fā)動(dòng)機(jī)點(diǎn)火命令 )－ 7 分鐘之前一直順利進(jìn)行， H0－ 7分鐘由 于發(fā)射窗口開始時(shí)刻 (當(dāng)?shù)貢r(shí)間 08h35)不滿足能見度規(guī)定，發(fā)射推遲。 殘骸回收： ? 從殘骸中找回了兩個(gè) SRI。 ? 關(guān)于原因有些初步解釋并正在調(diào)查之中。 ? 復(fù)原結(jié)果已報(bào)告故障分析委員會(huì) ? 據(jù)這些信息故障分析委員建立了故障事件鏈及其內(nèi)在聯(lián)系和因果關(guān)系，從火箭自毀開始按時(shí)間追溯到最初起因。 ? 也有遙測數(shù)據(jù)為證 ? 噴管偏轉(zhuǎn)指令由箭載計(jì)算機(jī) (OBC)軟件 根據(jù)主慣性制導(dǎo)系統(tǒng) (SRI2)提供的數(shù)據(jù) 發(fā)出，而該時(shí)刻的部分?jǐn)?shù)據(jù)不含有正常飛行數(shù)據(jù)，表示的是SRI2計(jì)算機(jī)的診斷位模式，但它卻被認(rèn)為是飛行數(shù)據(jù)。它送的診斷信息應(yīng)包括在接口說明中？ 2。 ? 為什么 SRI1早一個(gè)周期停機(jī)？ ? 有專家說： SRI1和 SRI2中各有備份的敏感設(shè)備，其測量是有誤差的。雖然在代碼中同一位置的其它變量轉(zhuǎn)換被保護(hù)了，但是這個(gè)數(shù)據(jù)轉(zhuǎn)換指令 (Ada語言 )運(yùn)算數(shù)錯(cuò)誤沒有被保護(hù)。 ? 盲目重用、過分強(qiáng)調(diào)控制技術(shù)狀態(tài)更改 ? 由于一個(gè)稱為 BH(水平偏差 )的內(nèi)部校準(zhǔn)功能結(jié)果的值出乎意料的大，運(yùn)算錯(cuò)誤就出現(xiàn)了。 （這也帶來了一些含糊） ? 故障分析委員會(huì)避開了阿麗亞娜４的問題 ? 但這是避不開的 對開發(fā)的全面分析可考慮這幾個(gè)方面： 1。其它可能的缺陷 阿麗亞娜 4的問題主要為： 1。 阿麗亞娜 4似乎考慮到了這些異常 －這可 能與 Ada的嚴(yán)格和可靠性設(shè)計(jì)要求有關(guān) 為什么缺少異常保護(hù)？ ? 七個(gè)變量在浮點(diǎn)數(shù)向整數(shù)轉(zhuǎn)換時(shí)有危險(xiǎn) ? 保護(hù)了四個(gè) ? 不全保護(hù)是因?yàn)?SRI已占其能力的 80％ 有異議 異議 ? 保護(hù)工作在不出異常時(shí)不占多少資源 ? 不保護(hù)，難道在真出現(xiàn)異常時(shí)還去為了保護(hù)余量而死機(jī)嗎？（這是軟件問題，軟件沒有冗余，要死全死） 為什么缺少異常保護(hù)？ 異常是否保護(hù)的決定不嚴(yán)謹(jǐn)。 觀念錯(cuò)誤： 傳統(tǒng)思想：只注意硬件隨機(jī)故障。以此來保護(hù)系統(tǒng)正常工作。但缺乏對驗(yàn)收測試和環(huán)境約束的明確規(guī)定。對 SRI的切換控制 3。鑒定測試 2。 委員會(huì)認(rèn)為： ? 委員會(huì)已注意到 SRI的系統(tǒng)規(guī)格說明沒有 指明對所選用實(shí)現(xiàn)方案的操作限制。第二種方法便宜，其性能主要依賴于仿真精度。 委員會(huì)認(rèn)為： 系統(tǒng)仿真測試的目的不僅要檢驗(yàn)接口，還要把 系統(tǒng)作為完成特定用途的一個(gè)整體來檢驗(yàn)。 測試完 評審的問題： 報(bào)告中對評審著墨不多 （可能是評審的技術(shù)性太強(qiáng)，不易量化和控制。 ? 在一個(gè)如此規(guī)模的研制計(jì)劃中，在評審過程中確實(shí)已成功地解決了數(shù)千個(gè)問題和潛在故障，但 ... 評審： ? 但顯然不容易檢測出象引起阿麗亞娜 501故障的主要技術(shù)原因這種類型的軟 件設(shè)計(jì)錯(cuò)誤。 評審?fù)? 其它推論： 報(bào)告中似乎對 ESA的軟件開發(fā)方法有疑義，有可能是針對開發(fā)過程及過程控制的 這與前面其它問題一起，可以看出，管理上還是有問題的。推進(jìn)器性能滿足規(guī)格說明的要求 22秒，控制主發(fā)動(dòng)機(jī)噴管的液壓伺服機(jī)構(gòu)開始出現(xiàn)頻率為 10Hz的壓力變化。 ，主 SRI實(shí)際上是傳送診斷信息給運(yùn)載火箭主計(jì)算機(jī)，這些信息被當(dāng)作了飛行數(shù)據(jù)并用于飛行控制計(jì)算。在 SRI計(jì)算機(jī)中產(chǎn)生停 機(jī)的軟件部分在發(fā)射前用于校準(zhǔn) SRI， 阿麗亞娜４在倒計(jì)時(shí)停頓情況下同時(shí)保證可迅速地對系統(tǒng)再校準(zhǔn)。采取這一設(shè)計(jì)決定時(shí)，沒有分析或完全理解當(dāng)在起飛后校準(zhǔn)軟件操作時(shí)，這個(gè)特殊變量會(huì)取那些值。 加的評審過程的目的是確認(rèn)設(shè)計(jì)，并通過飛 行試驗(yàn)資格。 SRI在技術(shù)上 是可行的。這些仿真真實(shí)地再現(xiàn)了導(dǎo) 致 SRI故障的事件鏈。 501故障分析委員會(huì)的