【文章內容簡介】 現(xiàn)在 SRI1已先停機，應該已報告 OBC ？ SRI2的輸入應包含停機的診斷信息 ？ 如果 OBC判斷出 SRI2失效，為何還要計算 ？ 如果 OBC沒有判別出 SRI2失效， SRI1停不停機都無所謂？ 3。 OBC有無缺陷？ 一種設想： OBC已知 SRI1失效，后來又發(fā)現(xiàn) SRI2失效，反正兩臺 SRI都失效后發(fā)現(xiàn)肯定失敗，于是亂算一氣 另一種設想：一臺 SRI失效后，對另一臺 SRI就不判別失效，因為失效后，判別也是死，不判別也是死 還有：就是 OBC根本沒有判別出 SRI2失效 總之， OBC功能并不完備。 ? 當然，致命的是 SRI軟件無冗余和停機 ? OBC不能切換到備份 SRI1，由于與 SRI2一樣的原因，在前一數(shù)據(jù)周期 (72ms)， SRI1已經(jīng)停止了工作。 ? 為什么 SRI1早一個周期停機？ ? 有專家說： SRI1和 SRI2中各有備份的敏感設備，其測量是有誤差的?？赡苌弦恢芷?BH在邊緣， SRI2中沒有超 限，而 SRI1中超限了。 ? 內部 SRI軟件異常是由執(zhí)行從 64位浮點 數(shù)向 16位帶符號整數(shù)轉換時引起的。被轉換的浮點數(shù)值大于 16位帶符號整數(shù)可表達的值，這就導致了一個運算錯誤。雖然在代碼中同一位置的其它變量轉換被保護了，但是這個數(shù)據(jù)轉換指令 (Ada語言 )運算數(shù)錯誤沒有被保護。 ? ADA中找錯誤，當然先找那些沒有保護的異常 ? 這個錯誤僅會在執(zhí)行捷聯(lián)慣性平臺校準的那部分軟件中出現(xiàn)，該軟件模塊僅在起飛前作有意義的計算，運載火箭一旦起飛，該功能就沒用了。 ? 盲腸 ? 校準功能工作 50秒，在阿麗亞娜５在 H0－ 3秒啟動的 SRI飛行模式，在起飛后該功能持續(xù)工作約 40秒的飛行時間。這個時序是根據(jù)阿麗亞娜４的要求制定的，但阿麗亞娜５沒有此要求。 ? 盲目重用、過分強調控制技術狀態(tài)更改 ? 由于一個稱為 BH(水平偏差 )的內部校準功能結果的值出乎意料的大，運算錯誤就出現(xiàn)了。這個水平偏差是與平臺敏感到的水平速度是相關聯(lián)的，它的計算值表示了隨時間變化的校準精度。 ? 出現(xiàn)了新情況、新問題 ? BH值比預想的大很多，因為阿麗亞娜５軌道起始部分與阿麗亞娜４不同，存在更大的水平速度值。 ? 沒有認識到，或不負責任地忽略 產生故障的原因 錯誤的產生包括兩個部分： ? 開發(fā)：為什么要這樣編？ ? 檢測：評審和檢查為什么沒有發(fā)現(xiàn)？ 軟件開發(fā)方面： ? 從全報告看，故障分析委員會試圖對事不對人，只對阿麗亞娜５的故障發(fā)表看法。 （這也帶來了一些含糊） ? 故障分析委員會避開了阿麗亞娜４的問題 ? 但這是避不開的 對開發(fā)的全面分析可考慮這幾個方面： 1。阿麗亞娜 4的問題 2。阿麗亞娜 5的問題 3。系統(tǒng)和觀念的問題 4。其它可能的缺陷 阿麗亞娜 4的問題主要為： 1。為什么有功能多余物？ 2。為什么缺少異常保護？ 3。為什么關機？ 為什么有功能多余物？ 很奇怪，報告只說了校準功能為什么要延長，卻沒有說為什么要延長到點火后的50秒，而不在點火時終止？ 可能是很難辦，如得不到準確點火時間 否則就是一個大失誤 為什么缺少異常保護？ 異常有很多類，除自定義的異常外， ADA支持五種預定義異常：約束異常、數(shù)值異常、程序異常、存儲異常、任務異常 這里出現(xiàn)的轉換異常可含在數(shù)值異常中。 阿麗亞娜 4似乎考慮到了這些異常 －這可 能與 Ada的嚴格和可靠性設計要求有關 為什么缺少異常保護？ ? 七個變量在浮點數(shù)向整數(shù)轉換時有危險 ? 保護了四個 ? 不全保護是因為 SRI已占其能力的 80％ 有異議 異議 ? 保護工作在不出異常時不占多少資源 ? 不保護，難道在真出現(xiàn)異常時還去為了保護余量而死機嗎？（這是軟件問題，軟件沒有冗余，要死全死） 為什么缺少異常保護？ 異常是否保護的決定不嚴謹。 三個變量（含 BH）不保護的原因是：實 際已受限 or有充足余量。 對 BH，在阿麗亞娜 5肯定錯了，在阿麗亞娜 4也危險 （什么是充足？） 但該決定卻被各方認可 （懷疑也有走過場，或被不嚴謹?shù)姆治鏊煜? 為什么關機？ ? 運算出錯，如妥善處理，不一定就會造成飛行失敗 ? 可怕的是在異常處理的規(guī)格說明中規(guī)定：故障在數(shù)據(jù)總線上應該指示出來，故障的來龍去脈也應該貯存在 EEPROM貯存器中，最后 SRI處理器應關機 ? 這個決定是致命的，重新啟動是不可能的 為什么關機？ ? 上述決定是建立在自認： 有異常必是硬件出錯了，修也修不好，沒辦法，關機了事。 ? 這是由嚴重的觀念錯誤造成的。 觀念錯誤： 傳統(tǒng)思想：只注意硬件隨機故障。從這個觀點出發(fā)，異?；蝈e誤處理機制是為硬件隨機故障設計的，硬件隨機故障通過備份系統(tǒng)是能夠得到解決。 這就導致對軟件無冗余 也就導致兩個正常工作的關鍵設備關機 觀念錯誤： ? 軟件在出現(xiàn)錯誤之前總被認為是正確的 ? 除非被嚴格證明，總應假設軟件中含有錯誤。 ? 在設計時應考慮到軟件會有異常（允許它出錯并對此預防），有時必須假定它就有錯并對此進行保護。以此來保護系統(tǒng)正常工作。 觀念錯誤： ? 軟件故障和硬件不太一樣 ? 硬件會在同樣條件下由于老化等原因失效，軟件確不會 ? 對軟件也應有冗余，而且是特殊的冗余，例如多版本軟件等。 阿麗亞娜 5的問題： ? 整個報告中對 SRI軟件功能和設計中的 問題都是針對阿麗亞娜 4的 SRI軟件的 ? 報告中介紹：阿麗亞娜 5和阿麗亞娜 4的SRI軟件完全一樣 ? 報告把重點放在為什么阿麗亞娜 5的檢 測沒有發(fā)現(xiàn)問題 因此 ... 懷疑： 阿麗亞娜 5的 SRI軟件是在一個不充分的分析、評審下，決定完全重用阿麗亞娜 4 的 SRI軟件的。（可能連軟件的需求分 析都沒有重做） 因此阿麗亞娜 5的問題可能就是：系統(tǒng)規(guī) 格說明不全、軟件重用分析不細、評審和測試問題 阿麗亞娜 5： ? 不能相信阿麗亞娜 5對 SRI的規(guī)格說明會和阿麗亞娜 4完全一樣，多余的功能肯 定不會有了。但缺乏對驗收測試和環(huán)境約束的明確規(guī)定。 ? 這就是有關規(guī)范和標準不全或沒有被嚴格執(zhí)行、評審不充分的問題。 軟件重用分析： ? 軟件重用分析基于一個錯誤觀點： 除非證明確有必要，要改變阿麗亞娜４中工作良好的軟件是不明智的 ? 即使如此，不對阿麗亞娜 5與阿麗亞娜 4的差異進行全面細致的分析，無疑是完全錯誤的