【正文】 ? 把軟件提到與硬件同等的地位 ? 看來 ESA也沒有做到 ? R9. 當(dāng)評審規(guī)格說明、代碼及說明文件時(shí)，應(yīng)包括外部 (相對于該項(xiàng)目 )參加者。 結(jié)論 ? 阿麗亞娜 501的故障是由于主發(fā)動(dòng)機(jī)點(diǎn)火 后 37秒 (起飛后 30秒 )制導(dǎo)和姿態(tài)信息完 全丟失造成的。這個(gè)重新校準(zhǔn)功能在阿麗亞娜５中無任何目的，然而為了通用的原因保留了，并象阿麗亞娜４那樣允許在起飛后工作近 40秒。 確實(shí)，要評審查出數(shù)據(jù)轉(zhuǎn)換的錯(cuò)誤很難 但評審沒有查出規(guī)格說明、需求、重用的問題是說不過去的 評審： ? 然而，明顯地在評審中，對 SRI軟件的 限制沒作全面分析。這樣的對每一個(gè)關(guān)鍵設(shè)備都必須強(qiáng)制遵循的對操作限制的聲明，可用來鑒別任何與阿麗亞娜５軌道的不一致性。 觀念錯(cuò)誤： ? 軟件故障和硬件不太一樣 ? 硬件會(huì)在同樣條件下由于老化等原因失效，軟件確不會(huì) ? 對軟件也應(yīng)有冗余，而且是特殊的冗余，例如多版本軟件等。阿麗亞娜 4的問題 2。 OBC是否發(fā)現(xiàn)了 SRI的異常？ OBC對 SRI的工作流程應(yīng)該為： 輸入、判別是否異常、異常時(shí)切換 現(xiàn)在 SRI1已先停機(jī)，應(yīng)該已報(bào)告 OBC ？ SRI2的輸入應(yīng)包含停機(jī)的診斷信息 ？ 如果 OBC判斷出 SRI2失效，為何還要計(jì)算 ？ 如果 OBC沒有判別出 SRI2失效， SRI1停不停機(jī)都無所謂？ 3。 ? 特別有用的是主模式工作并停止在后的SRI2，因?yàn)橐恍┡c它有關(guān)的信息未能從遙測數(shù)據(jù)中獲得 (遙測數(shù)據(jù)確定了兩 SRI 中哪一個(gè)首先失效 －對遙測數(shù)據(jù)不滿 )。因?yàn)橛布目? 靠性一般比軟件高。該計(jì)劃 中所有隊(duì)伍的技能，與所有行政、技術(shù)、工業(yè)領(lǐng)導(dǎo)的決心和團(tuán)結(jié)一起，使我們對最后的成功充滿信心。但是，沒有絕對的保證。來自 SRI的數(shù)據(jù)通過數(shù) 據(jù)總線傳輸?shù)郊d計(jì)算機(jī) (OBC)，箭載 計(jì)算機(jī)執(zhí)行飛行程序，通過伺服機(jī)構(gòu)控制固體助推器和火神 (Vulcain)低溫發(fā)動(dòng) 機(jī)的噴管。特別是沒有閃電危險(xiǎn)，因?yàn)樵诎l(fā)射場 地所測到的電場強(qiáng)度可以忽略。 引起了很高的氣動(dòng)載荷，導(dǎo)致了助推級與主級分離，繼而運(yùn)載火箭的自毀系統(tǒng)自動(dòng)點(diǎn)火。 ? 盲腸 ? 校準(zhǔn)功能工作 50秒，在阿麗亞娜５在 H0－ 3秒啟動(dòng)的 SRI飛行模式，在起飛后該功能持續(xù)工作約 40秒的飛行時(shí)間。 對 BH，在阿麗亞娜 5肯定錯(cuò)了，在阿麗亞娜 4也危險(xiǎn) （什么是充足？） 但該決定卻被各方認(rèn)可 （懷疑也有走過場，或被不嚴(yán)謹(jǐn)?shù)姆治鏊煜? 為什么關(guān)機(jī)？ ? 運(yùn)算出錯(cuò)，如妥善處理，不一定就會(huì)造成飛行失敗 ? 可怕的是在異常處理的規(guī)格說明中規(guī)定：故障在數(shù)據(jù)總線上應(yīng)該指示出來，故障的來龍去脈也應(yīng)該貯存在 EEPROM貯存器中，最后 SRI處理器應(yīng)關(guān)機(jī) ? 這個(gè)決定是致命的，重新啟動(dòng)是不可能的 為什么關(guān)機(jī)？ ? 上述決定是建立在自認(rèn)： 有異常必是硬件出錯(cuò)了，修也修不好，沒辦法，關(guān)機(jī)了事。輸出的合理性分析及切換 開發(fā)問題完 評審與測試： 在前面的假設(shè)下，估計(jì) SRI軟件是這樣形 成的： ? 首先有 SRI（含軟硬件）的規(guī)格說明（ 無阿麗亞娜 4的附加需求，但也無針對 阿麗亞娜 5的測試要求和操作限制） ? SRI分包商基于繼承性，決定重用阿麗 亞娜 4的 SRI軟件，至少對該決定的評審是不充分的 ? 之后進(jìn)行的一系列測試，一方面是由于規(guī)格說明中沒有明確規(guī)定，另一方面是自身也沒有主動(dòng)去求細(xì)求全，再有一些觀念問題（后面分析），總之，是不充分的。 盡管希望得到高精度的仿真，但顯然以犧牲精 度來達(dá)到其它目標(biāo)更可取，其中包括檢驗(yàn)設(shè) 備例如 SRI的系統(tǒng)綜合性能。這是由于一個(gè)與運(yùn)載火箭水平速度有關(guān)的內(nèi)部變量超過計(jì)算機(jī)軟件要求的限制值引起的 ，硬件、軟件與備份系統(tǒng)一 樣的主SRI由于同樣的原因失效。 阿麗亞娜５軌道數(shù)據(jù)。所有該設(shè)備的使用限制應(yīng)當(dāng)向評審委員會(huì)明確、顯式地報(bào)告。要達(dá)到系統(tǒng)協(xié)調(diào)，需要在合作伙伴間具有緊密的工程合作、明確的責(zé)任和權(quán)力劃分、以及簡單又明確的界面關(guān)系。 ? 這一條應(yīng)作為通用的設(shè)計(jì)規(guī)范 ? 以后就不用每次都要求在規(guī)格說明中寫明確了 ? 事實(shí)上這是最低、最基本的要求，不知怎么給丟了 ? R3. 不允許任何敏感器，如 SRI，停止傳送 正確的數(shù)據(jù)； ? 應(yīng)該是對軟件錯(cuò)誤，應(yīng)作處理，而不去關(guān)機(jī) ? 如是硬件錯(cuò)誤，也只好關(guān)機(jī) ? 本質(zhì)上是應(yīng)允許軟件出錯(cuò)，并對此進(jìn)行預(yù)防、處理和保護(hù) ? 還有，軟件也要冗余，以保護(hù)意想不到的錯(cuò)誤 ? R4. 對每一個(gè)與軟件一體的設(shè)備項(xiàng)目，組織一個(gè)專門的軟件鑒定評審。 加的評審過程的目的是確認(rèn)設(shè)計(jì)，并通過飛 行試驗(yàn)資格。推進(jìn)器性能滿足規(guī)格說明的要求 22秒，控制主發(fā)動(dòng)機(jī)噴管的液壓伺服機(jī)構(gòu)開始出現(xiàn)頻率為 10Hz的壓力變化。 委員會(huì)認(rèn)為： 系統(tǒng)仿真測試的目的不僅要檢驗(yàn)接口，還要把 系統(tǒng)作為完成特定用途的一個(gè)整體來檢驗(yàn)。對 SRI的切換控制 3。 阿麗亞娜 4似乎考慮到了這些異常 －這可 能與 Ada的嚴(yán)格和可靠性設(shè)計(jì)要求有關(guān) 為什么缺少異常保護(hù)？ ? 七個(gè)變量在浮點(diǎn)數(shù)向整數(shù)轉(zhuǎn)換時(shí)有危險(xiǎn) ? 保護(hù)了四個(gè) ? 不全保護(hù)是因?yàn)?SRI已占其能力的 80％ 有異議 異議 ? 保護(hù)工作在不出異常時(shí)不占多少資源 ? 不保護(hù)，難道在真出現(xiàn)異常時(shí)還去為了保護(hù)余量而死機(jī)嗎？（這是軟件問題，軟件沒有冗余，要死全死） 為什么缺少異常保護(hù)？ 異常是否保護(hù)的決定不嚴(yán)謹(jǐn)。雖然在代碼中同一位置的其它變量轉(zhuǎn)換被保護(hù)了，但是這個(gè)數(shù)據(jù)轉(zhuǎn)換指令 (Ada語言 )運(yùn)算數(shù)錯(cuò)誤沒有被保護(hù)。 ? 復(fù)原結(jié)果已報(bào)告故障分析委員會(huì) ? 據(jù)這些信息故障分析委員建立了故障事件鏈及其內(nèi)在聯(lián)系和因果關(guān)系，從火箭自毀開始按時(shí)間追溯到最初起因。 ? 帶符號(hào) 16位整數(shù)的取值范圍是： ＋ 32767 ~ － 32768 ? 當(dāng) 64位浮點(diǎn)數(shù)超出上述范圍時(shí)，就產(chǎn)生一個(gè)運(yùn)算錯(cuò)誤（異常， exception） ADA語言對異常的處理： ? 任何錯(cuò)誤都不放過 ? 出錯(cuò)后，馬上轉(zhuǎn)到本模塊的異常處理部分 根據(jù)異常類型尋求保護(hù)（那里應(yīng)有相應(yīng)的 保護(hù)措施） ? 本模塊中如無保護(hù)，則跳入上一個(gè)模塊（ 調(diào)用本模塊的模塊）尋求保護(hù) ? 上過程循環(huán)至找到保護(hù)或至主程序 ADA 主程序 子程序 1 子程序 2 子模塊 ADA語句 說明 功能語句 異常處理語句 怎么發(fā)的炎： ? 蔓延： ? 阿麗亞娜 5在起飛后， BH值轉(zhuǎn)換時(shí)超限 （需求錯(cuò)） ? S