【文章內(nèi)容簡介】 現(xiàn)在 SRI1已先停機(jī)，應(yīng)該已報(bào)告 OBC ？ SRI2的輸入應(yīng)包含停機(jī)的診斷信息 ？ 如果 OBC判斷出 SRI2失效，為何還要計(jì)算 ？ 如果 OBC沒有判別出 SRI2失效， SRI1停不停機(jī)都無所謂？ 3。 OBC有無缺陷？ 一種設(shè)想： OBC已知 SRI1失效，后來又發(fā)現(xiàn) SRI2失效，反正兩臺(tái) SRI都失效后發(fā)現(xiàn)肯定失敗，于是亂算一氣 另一種設(shè)想：一臺(tái) SRI失效后，對(duì)另一臺(tái) SRI就不判別失效，因?yàn)槭Ш螅袆e也是死，不判別也是死 還有：就是 OBC根本沒有判別出 SRI2失效 總之， OBC功能并不完備。 ? 當(dāng)然，致命的是 SRI軟件無冗余和停機(jī) ? OBC不能切換到備份 SRI1，由于與 SRI2一樣的原因，在前一數(shù)據(jù)周期 (72ms)， SRI1已經(jīng)停止了工作。 ? 為什么 SRI1早一個(gè)周期停機(jī)？ ? 有專家說： SRI1和 SRI2中各有備份的敏感設(shè)備，其測量是有誤差的?？赡苌弦恢芷?BH在邊緣， SRI2中沒有超 限，而 SRI1中超限了。 ? 內(nèi)部 SRI軟件異常是由執(zhí)行從 64位浮點(diǎn) 數(shù)向 16位帶符號(hào)整數(shù)轉(zhuǎn)換時(shí)引起的。被轉(zhuǎn)換的浮點(diǎn)數(shù)值大于 16位帶符號(hào)整數(shù)可表達(dá)的值，這就導(dǎo)致了一個(gè)運(yùn)算錯(cuò)誤。雖然在代碼中同一位置的其它變量轉(zhuǎn)換被保護(hù)了，但是這個(gè)數(shù)據(jù)轉(zhuǎn)換指令 (Ada語言 )運(yùn)算數(shù)錯(cuò)誤沒有被保護(hù)。 ? ADA中找錯(cuò)誤，當(dāng)然先找那些沒有保護(hù)的異常 ? 這個(gè)錯(cuò)誤僅會(huì)在執(zhí)行捷聯(lián)慣性平臺(tái)校準(zhǔn)的那部分軟件中出現(xiàn)，該軟件模塊僅在起飛前作有意義的計(jì)算，運(yùn)載火箭一旦起飛，該功能就沒用了。 ? 盲腸 ? 校準(zhǔn)功能工作 50秒，在阿麗亞娜５在 H0－ 3秒啟動(dòng)的 SRI飛行模式，在起飛后該功能持續(xù)工作約 40秒的飛行時(shí)間。這個(gè)時(shí)序是根據(jù)阿麗亞娜４的要求制定的，但阿麗亞娜５沒有此要求。 ? 盲目重用、過分強(qiáng)調(diào)控制技術(shù)狀態(tài)更改 ? 由于一個(gè)稱為 BH(水平偏差 )的內(nèi)部校準(zhǔn)功能結(jié)果的值出乎意料的大，運(yùn)算錯(cuò)誤就出現(xiàn)了。這個(gè)水平偏差是與平臺(tái)敏感到的水平速度是相關(guān)聯(lián)的，它的計(jì)算值表示了隨時(shí)間變化的校準(zhǔn)精度。 ? 出現(xiàn)了新情況、新問題 ? BH值比預(yù)想的大很多，因?yàn)榘Ⅺ悂喣龋弟壍榔鹗疾糠峙c阿麗亞娜４不同，存在更大的水平速度值。 ? 沒有認(rèn)識(shí)到，或不負(fù)責(zé)任地忽略 產(chǎn)生故障的原因 錯(cuò)誤的產(chǎn)生包括兩個(gè)部分： ? 開發(fā)：為什么要這樣編？ ? 檢測：評(píng)審和檢查為什么沒有發(fā)現(xiàn)？ 軟件開發(fā)方面： ? 從全報(bào)告看，故障分析委員會(huì)試圖對(duì)事不對(duì)人，只對(duì)阿麗亞娜５的故障發(fā)表看法。 （這也帶來了一些含糊） ? 故障分析委員會(huì)避開了阿麗亞娜４的問題 ? 但這是避不開的 對(duì)開發(fā)的全面分析可考慮這幾個(gè)方面： 1。阿麗亞娜 4的問題 2。阿麗亞娜 5的問題 3。系統(tǒng)和觀念的問題 4。其它可能的缺陷 阿麗亞娜 4的問題主要為： 1。為什么有功能多余物？ 2。為什么缺少異常保護(hù)？ 3。為什么關(guān)機(jī)？ 為什么有功能多余物？ 很奇怪，報(bào)告只說了校準(zhǔn)功能為什么要延長，卻沒有說為什么要延長到點(diǎn)火后的50秒，而不在點(diǎn)火時(shí)終止？ 可能是很難辦，如得不到準(zhǔn)確點(diǎn)火時(shí)間 否則就是一個(gè)大失誤 為什么缺少異常保護(hù)？ 異常有很多類，除自定義的異常外， ADA支持五種預(yù)定義異常：約束異常、數(shù)值異常、程序異常、存儲(chǔ)異常、任務(wù)異常 這里出現(xiàn)的轉(zhuǎn)換異常可含在數(shù)值異常中。 阿麗亞娜 4似乎考慮到了這些異常 －這可 能與 Ada的嚴(yán)格和可靠性設(shè)計(jì)要求有關(guān) 為什么缺少異常保護(hù)？ ? 七個(gè)變量在浮點(diǎn)數(shù)向整數(shù)轉(zhuǎn)換時(shí)有危險(xiǎn) ? 保護(hù)了四個(gè) ? 不全保護(hù)是因?yàn)?SRI已占其能力的 80％ 有異議 異議 ? 保護(hù)工作在不出異常時(shí)不占多少資源 ? 不保護(hù)，難道在真出現(xiàn)異常時(shí)還去為了保護(hù)余量而死機(jī)嗎？（這是軟件問題，軟件沒有冗余，要死全死） 為什么缺少異常保護(hù)？ 異常是否保護(hù)的決定不嚴(yán)謹(jǐn)。 三個(gè)變量（含 BH）不保護(hù)的原因是：實(shí) 際已受限 or有充足余量。 對(duì) BH，在阿麗亞娜 5肯定錯(cuò)了，在阿麗亞娜 4也危險(xiǎn) （什么是充足？） 但該決定卻被各方認(rèn)可 （懷疑也有走過場，或被不嚴(yán)謹(jǐn)?shù)姆治鏊煜? 為什么關(guān)機(jī)？ ? 運(yùn)算出錯(cuò)，如妥善處理，不一定就會(huì)造成飛行失敗 ? 可怕的是在異常處理的規(guī)格說明中規(guī)定：故障在數(shù)據(jù)總線上應(yīng)該指示出來，故障的來龍去脈也應(yīng)該貯存在 EEPROM貯存器中，最后 SRI處理器應(yīng)關(guān)機(jī) ? 這個(gè)決定是致命的，重新啟動(dòng)是不可能的 為什么關(guān)機(jī)？ ? 上述決定是建立在自認(rèn)： 有異常必是硬件出錯(cuò)了，修也修不好，沒辦法，關(guān)機(jī)了事。 ? 這是由嚴(yán)重的觀念錯(cuò)誤造成的。 觀念錯(cuò)誤： 傳統(tǒng)思想：只注意硬件隨機(jī)故障。從這個(gè)觀點(diǎn)出發(fā)，異?；蝈e(cuò)誤處理機(jī)制是為硬件隨機(jī)故障設(shè)計(jì)的，硬件隨機(jī)故障通過備份系統(tǒng)是能夠得到解決。 這就導(dǎo)致對(duì)軟件無冗余 也就導(dǎo)致兩個(gè)正常工作的關(guān)鍵設(shè)備關(guān)機(jī) 觀念錯(cuò)誤： ? 軟件在出現(xiàn)錯(cuò)誤之前總被認(rèn)為是正確的 ? 除非被嚴(yán)格證明，總應(yīng)假設(shè)軟件中含有錯(cuò)誤。 ? 在設(shè)計(jì)時(shí)應(yīng)考慮到軟件會(huì)有異常（允許它出錯(cuò)并對(duì)此預(yù)防），有時(shí)必須假定它就有錯(cuò)并對(duì)此進(jìn)行保護(hù)。以此來保護(hù)系統(tǒng)正常工作。 觀念錯(cuò)誤： ? 軟件故障和硬件不太一樣 ? 硬件會(huì)在同樣條件下由于老化等原因失效，軟件確不會(huì) ? 對(duì)軟件也應(yīng)有冗余，而且是特殊的冗余，例如多版本軟件等。 阿麗亞娜 5的問題： ? 整個(gè)報(bào)告中對(duì) SRI軟件功能和設(shè)計(jì)中的 問題都是針對(duì)阿麗亞娜 4的 SRI軟件的 ? 報(bào)告中介紹：阿麗亞娜 5和阿麗亞娜 4的SRI軟件完全一樣 ? 報(bào)告把重點(diǎn)放在為什么阿麗亞娜 5的檢 測沒有發(fā)現(xiàn)問題 因此 ... 懷疑： 阿麗亞娜 5的 SRI軟件是在一個(gè)不充分的分析、評(píng)審下，決定完全重用阿麗亞娜 4 的 SRI軟件的。（可能連軟件的需求分 析都沒有重做） 因此阿麗亞娜 5的問題可能就是：系統(tǒng)規(guī) 格說明不全、軟件重用分析不細(xì)、評(píng)審和測試問題 阿麗亞娜 5： ? 不能相信阿麗亞娜 5對(duì) SRI的規(guī)格說明會(huì)和阿麗亞娜 4完全一樣，多余的功能肯 定不會(huì)有了。但缺乏對(duì)驗(yàn)收測試和環(huán)境約束的明確規(guī)定。 ? 這就是有關(guān)規(guī)范和標(biāo)準(zhǔn)不全或沒有被嚴(yán)格執(zhí)行、評(píng)審不充分的問題。 軟件重用分析： ? 軟件重用分析基于一個(gè)錯(cuò)誤觀點(diǎn)： 除非證明確有必要，要改變阿麗亞娜４中工作良好的軟件是不明智的 ? 即使如此，不對(duì)阿麗亞娜 5與阿麗亞娜 4的差異進(jìn)行全面細(xì)致的分析，無疑是完全錯(cuò)誤的