【正文】 ? 把軟件提到與硬件同等的地位 ? 看來 ESA也沒有做到 ? R9. 當評審規(guī)格說明、代碼及說明文件時，應包括外部 (相對于該項目 )參加者。 結論 ? 阿麗亞娜 501的故障是由于主發(fā)動機點火 后 37秒 (起飛后 30秒 )制導和姿態(tài)信息完 全丟失造成的。這個重新校準功能在阿麗亞娜５中無任何目的，然而為了通用的原因保留了，并象阿麗亞娜４那樣允許在起飛后工作近 40秒。 確實，要評審查出數(shù)據(jù)轉換的錯誤很難 但評審沒有查出規(guī)格說明、需求、重用的問題是說不過去的 評審： ? 然而，明顯地在評審中，對 SRI軟件的 限制沒作全面分析。這樣的對每一個關鍵設備都必須強制遵循的對操作限制的聲明，可用來鑒別任何與阿麗亞娜５軌道的不一致性。 觀念錯誤： ? 軟件故障和硬件不太一樣 ? 硬件會在同樣條件下由于老化等原因失效，軟件確不會 ? 對軟件也應有冗余，而且是特殊的冗余，例如多版本軟件等。阿麗亞娜 4的問題 2。 OBC是否發(fā)現(xiàn)了 SRI的異常？ OBC對 SRI的工作流程應該為： 輸入、判別是否異常、異常時切換 現(xiàn)在 SRI1已先停機，應該已報告 OBC ？ SRI2的輸入應包含停機的診斷信息 ？ 如果 OBC判斷出 SRI2失效，為何還要計算 ？ 如果 OBC沒有判別出 SRI2失效， SRI1停不停機都無所謂？ 3。 ? 特別有用的是主模式工作并停止在后的SRI2，因為一些與它有關的信息未能從遙測數(shù)據(jù)中獲得 (遙測數(shù)據(jù)確定了兩 SRI 中哪一個首先失效 －對遙測數(shù)據(jù)不滿 )。因為硬件的可 靠性一般比軟件高。該計劃 中所有隊伍的技能，與所有行政、技術、工業(yè)領導的決心和團結一起，使我們對最后的成功充滿信心。但是，沒有絕對的保證。來自 SRI的數(shù)據(jù)通過數(shù) 據(jù)總線傳輸?shù)郊d計算機 (OBC)，箭載 計算機執(zhí)行飛行程序，通過伺服機構控制固體助推器和火神 (Vulcain)低溫發(fā)動 機的噴管。特別是沒有閃電危險，因為在發(fā)射場 地所測到的電場強度可以忽略。 引起了很高的氣動載荷，導致了助推級與主級分離，繼而運載火箭的自毀系統(tǒng)自動點火。 ? 盲腸 ? 校準功能工作 50秒，在阿麗亞娜５在 H0－ 3秒啟動的 SRI飛行模式，在起飛后該功能持續(xù)工作約 40秒的飛行時間。 對 BH，在阿麗亞娜 5肯定錯了，在阿麗亞娜 4也危險 （什么是充足？） 但該決定卻被各方認可 （懷疑也有走過場，或被不嚴謹?shù)姆治鏊煜? 為什么關機？ ? 運算出錯，如妥善處理，不一定就會造成飛行失敗 ? 可怕的是在異常處理的規(guī)格說明中規(guī)定：故障在數(shù)據(jù)總線上應該指示出來，故障的來龍去脈也應該貯存在 EEPROM貯存器中，最后 SRI處理器應關機 ? 這個決定是致命的，重新啟動是不可能的 為什么關機？ ? 上述決定是建立在自認： 有異常必是硬件出錯了，修也修不好，沒辦法，關機了事。輸出的合理性分析及切換 開發(fā)問題完 評審與測試： 在前面的假設下，估計 SRI軟件是這樣形 成的： ? 首先有 SRI（含軟硬件）的規(guī)格說明（ 無阿麗亞娜 4的附加需求，但也無針對 阿麗亞娜 5的測試要求和操作限制） ? SRI分包商基于繼承性，決定重用阿麗 亞娜 4的 SRI軟件，至少對該決定的評審是不充分的 ? 之后進行的一系列測試，一方面是由于規(guī)格說明中沒有明確規(guī)定，另一方面是自身也沒有主動去求細求全，再有一些觀念問題（后面分析），總之，是不充分的。 盡管希望得到高精度的仿真，但顯然以犧牲精 度來達到其它目標更可取，其中包括檢驗設 備例如 SRI的系統(tǒng)綜合性能。這是由于一個與運載火箭水平速度有關的內(nèi)部變量超過計算機軟件要求的限制值引起的 ，硬件、軟件與備份系統(tǒng)一 樣的主SRI由于同樣的原因失效。 阿麗亞娜５軌道數(shù)據(jù)。所有該設備的使用限制應當向評審委員會明確、顯式地報告。要達到系統(tǒng)協(xié)調(diào)，需要在合作伙伴間具有緊密的工程合作、明確的責任和權力劃分、以及簡單又明確的界面關系。 ? 這一條應作為通用的設計規(guī)范 ? 以后就不用每次都要求在規(guī)格說明中寫明確了 ? 事實上這是最低、最基本的要求，不知怎么給丟了 ? R3. 不允許任何敏感器，如 SRI，停止傳送 正確的數(shù)據(jù)； ? 應該是對軟件錯誤，應作處理，而不去關機 ? 如是硬件錯誤，也只好關機 ? 本質(zhì)上是應允許軟件出錯，并對此進行預防、處理和保護 ? 還有，軟件也要冗余，以保護意想不到的錯誤 ? R4. 對每一個與軟件一體的設備項目，組織一個專門的軟件鑒定評審。 加的評審過程的目的是確認設計，并通過飛 行試驗資格。推進器性能滿足規(guī)格說明的要求 22秒，控制主發(fā)動機噴管的液壓伺服機構開始出現(xiàn)頻率為 10Hz的壓力變化。 委員會認為： 系統(tǒng)仿真測試的目的不僅要檢驗接口，還要把 系統(tǒng)作為完成特定用途的一個整體來檢驗。對 SRI的切換控制 3。 阿麗亞娜 4似乎考慮到了這些異常 －這可 能與 Ada的嚴格和可靠性設計要求有關 為什么缺少異常保護？ ? 七個變量在浮點數(shù)向整數(shù)轉換時有危險 ? 保護了四個 ? 不全保護是因為 SRI已占其能力的 80％ 有異議 異議 ? 保護工作在不出異常時不占多少資源 ? 不保護，難道在真出現(xiàn)異常時還去為了保護余量而死機嗎？（這是軟件問題，軟件沒有冗余，要死全死） 為什么缺少異常保護？ 異常是否保護的決定不嚴謹。雖然在代碼中同一位置的其它變量轉換被保護了，但是這個數(shù)據(jù)轉換指令 (Ada語言 )運算數(shù)錯誤沒有被保護。 ? 復原結果已報告故障分析委員會 ? 據(jù)這些信息故障分析委員建立了故障事件鏈及其內(nèi)在聯(lián)系和因果關系，從火箭自毀開始按時間追溯到最初起因。 ? 帶符號 16位整數(shù)的取值范圍是： ＋ 32767 ~ － 32768 ? 當 64位浮點數(shù)超出上述范圍時，就產(chǎn)生一個運算錯誤（異常， exception） ADA語言對異常的處理： ? 任何錯誤都不放過 ? 出錯后，馬上轉到本模塊的異常處理部分 根據(jù)異常類型尋求保護（那里應有相應的 保護措施） ? 本模塊中如無保護，則跳入上一個模塊（ 調(diào)用本模塊的模塊）尋求保護 ? 上過程循環(huán)至找到保護或至主程序 ADA 主程序 子程序 1 子程序 2 子模塊 ADA語句 說明 功能語句 異常處理語句 怎么發(fā)的炎： ? 蔓延： ? 阿麗亞娜 5在起飛后， BH值轉換時超限 （需求錯） ? S