Geekly articles weekly

500 مليون دولار لكل سطر من التعليمات البرمجية أو تكلفة أخطاء البرامج في الفضاء

قبل شهرين ، في edx.org ، انتهت الدورة التدريبية "مقدمة في تكنولوجيا الفضاء: رواد الفضاء والرحلات المأهولة (نهاية هندسة الفضاء: الملاحة الفضائية والرحلات الفضائية البشرية)". قام بتدريس الدورة رائد فضاء أمريكي ، وهو حاليًا أستاذ في معهد ماساتشوستس للتكنولوجيا - جيفري آلان هوفمان. كما يوحي الاسم ، فإن الدورة بسيطة للغاية وعامة ، ومع ذلك ، بدا لي مثيرًا للاهتمام وغنيًا بالمعلومات.

في جزء واحد من الدورة ، يتم تناول قضية الأمن ، ومن بين أمور أخرى ، نتحدث عن أمان البرامج. الأستاذ يقدم هوفمان أمثلة مثيرة للاهتمام لمشكلات برنامج الطيران والملاحة الفضائية. في هذه المقالة ، سوف ألقي نظرة فاحصة على أمثلة الفضاء من محاضرات هوفمان.

المريخ القطبي


Mars Polar Lander (MPL) مركبة فضائية 290 كيلوغرام أطلقتها وكالة ناسا في 3 يناير 1999 لدراسة التربة والمناخ حول القطب الجنوبي للمريخ. في 3 ديسمبر 1999 ، أثناء الهبوط ، لم يتمكن مركز التحكم من استئناف الاتصال بالجهاز.


MPL في NASA Lab

مع دعامات الهبوط المفتوحة والألواح الشمسية ، كان MPL مرتفعًا 1.06 مترًا وكان حجمه العرضي 3.6 مترًا.الجسم مصنوع على أساس هيكل ألومنيوم قرص العسل مثبت مع ألواح الجرافيت-الإيبوكسي. عند الهبوط ، يتم فتح ثلاثة دعامات من الألومنيوم من موضع النقل وإطفاء طاقة الهبوط بمساعدة إدخالات الألومنيوم القابلة للتدمير المصنوعة في شكل أقراص العسل.

مسار الهبوط المخطط


يدخل MPL الغلاف الجوي للمريخ على ارتفاع يزيد عن 100 كم بسرعة ~ 7 كم / ثانية. في 3 دقائق ، ينزل الجهاز إلى ارتفاع 8.8 كم ويتباطأ بسرعة 0.5 كيلومتر / ثانية ، وبعد ذلك يعطي إشارة لفتح المظلة ، والتي تلي مباشرة بعد فصل الدرع الحراري (الدرع الحراري). عندما يتم تقليل سرعة الجهاز إلى 85 م / ث باستخدام مظلة ، يبدأ الرادار في العمل ، والذي يراقب ميزات السطح لتحديد موقع الهبوط المحتمل.

مخطط مرحلة الرحلة MPL

بعد دقيقة واحدة من فتح المظلة على ارتفاع 1.3 كم ، عندما تكون سرعة الهبوط 80 م / ث ، يتم فصل مركبة الهبوط عن الغلاف الخارجي بمظلة (غطاء خلفي) وتبدأ في الهبوط على محركات الفرامل. الوقت المتوقع للنزول ، مع تشغيل المحركات ، هو دقيقة واحدة تقريبًا ، ينخفض ​​خلالها الجهاز إلى ارتفاع 12 مترًا ، ثم تنطفئ المحركات ويقوم الجهاز بعمل انخفاض مخطط له على السطح. بعد 5 دقائق من لمس السطح ، يبدأ الجهاز في نشر الألواح الشمسية واتجاه الهوائي ، مما سيؤسس اتصالًا بالأرض. ثم تبدأ جلسة نقل البيانات ، مشيرة إلى أن الهبوط كان ناجحًا.

مسار الأحداث


في 3 ديسمبر ، انحرفت المركبة المنحدرة من مرحلة الرحلة البحرية ، وحتى اكتمال الهبوط ، تحولت إلى وضع الصمت اللاسلكي المخطط. في الساعة 20:04:00 بالتوقيت العالمي المنسق ، قبل 6 دقائق من دخول الغلاف الجوي ، قام التشغيل المبرمج للمحركات بتصحيح موضع الجهاز ، وتوجيه الشاشة الحرارية. دخلت MPL الغلاف الجوي للمريخ بسرعة 6.9 كم / ثانية الساعة 20:10:00 بالتوقيت العالمي. كان من المتوقع استئناف الاتصال في الساعة 20:39:00 بالتوقيت العالمي المنسق بعد الهبوط. ولكن لم يتم تأسيس الاتصال أبدًا ، وتم الإعلان عن فقد الجهاز.

السبب الدقيق لفقدان الاتصال غير معروف ، لكن تقرير التحقيق في الحادث يحتوي على استنتاج مفاده أن السبب الأكثر احتمالية للحادث هو خطأ في البرنامج يحسب الاهتزازات بشكل غير صحيح أثناء فتح الدعامات كاهتزاز من الهبوط. ونتيجة لذلك ، أوقف الجهاز محركات المكابح على ارتفاع 40 م ، على الرغم من أنه كان معروفًا أن الكشف عن الدعامات يمكن أن يؤدي إلى نتائج إيجابية خاطئة. لم تنص الشروط المرجعية للبرنامج على هذه الحالة.

اقتباس من التقرير:
"تعمل أجهزة الاستشعار المغناطيسية المركبة على كل من دعامات الهبوط الثلاثة على تحديد لحظة التلامس مع الأرض وإيقاف تشغيل محركات الهبوط. أظهرت البيانات التي تم الحصول عليها خلال العديد من الاختبارات أنه في أجهزة استشعار الهبوط (مستشعرات القاعة) تحدث إنذارات كاذبة أثناء الكشف عن الدعامات (في هذه اللحظة ينزل الجهاز بالمظلة). يستقبل منطق البرنامج البيانات من أجهزة الاستشعار كإشارة التقاط إذا حدثت الرحلات في قراءتين متتاليتين. أظهرت الاختبارات أن الإشارات قصيرة المدى التي تحدث عند فتح الدعامات طويلة بالفعل بما يكفي لإحداث إيجابية خاطئة. دائمًا تقريبًا ، ولدت إحدى الركائز الثلاث إشارة خاطئة ، أخذها البرنامج كإشارة هبوط.

تم تنظيم البرنامج ، الذي كان من المفترض أن يتجاهل استجابات المستشعر حتى لحظة تشغيل خوارزمية الكشف عن اللمس الأرضي ، بشكل غير صحيح ، وتم تخزين الاستجابات الزائفة في النظام. بمجرد تشغيل خوارزمية تحديد لمسة الأرض على ارتفاع 40 م ، أصدر البرنامج على الفور أمرًا بإيقاف تشغيل محركات الهبوط.

على ارتفاع 40 م ، كان معدل هبوط السيارة حوالي 13 م / ث (47 كم / ساعة) ، والتي ، بدون دفع محركات الفرامل ، زادت إلى 22 م / ث (80 كم / ساعة) بالقرب من السطح تحت تأثير جاذبية المريخ ، كانت السرعة المقدرة للانخفاض 2.4 م / ث (9 كم / ساعة). في مثل هذه السرعة من التصادم مع السطح ، لا يمكن للجهاز البقاء على قيد الحياة ".

إذا نظرت إلى خوارزمية البرنامج ، يمكنك أن ترى أن سطرًا واحدًا من إعادة تعيين حالة متغير IndicatorState إلى FALSE الأولي يمكن أن يوفر الجهاز ، الذي يكلف ناسا 328 مليون دولار.

مخطط انسيابي للبرمجيات

Ariane 5


في 4 يونيو 1996 ، تم الإطلاق الأول لمركبة الإطلاق Ariane 5 الجديدة التي طورتها وكالة الفضاء الأوروبية (ESA). انتهى الإطلاق بالفشل - تحطم الصاروخ في الثانية 39 من الرحلة بسبب التشغيل غير الصحيح للبرنامج على متن الطائرة.


إطلاق أول Ariane 5

Ariane 5 هو مركبة الإطلاق الأوروبية لعائلة Ariane. تطلق عمليات الإطلاق في Kourou Cosmodrome في غيانا الفرنسية. استغرق تطوير Ariane 5 10 سنوات ، وتكلف 7 مليارات دولار وكان يهدف إلى استبدال مركبة الإطلاق Ariane 4.

أطلقت في عام 1996 ، كانت مركبة إطلاق بوزن 720 طن لإطلاق أربعة أقمار صناعية بوزن 1.2 طن لكل منها. بتدوير كل منها في مدارها الخاص ، تشكل هذه الأقمار الصناعية رباعي الأسطح ، وتعمل في مجموعة ، كان مشروع الكتلة الأوروبية لدراسة المجال المغناطيسي للأرض (في وقت لاحق من عام 2000 ، تم بنجاح وضع أربعة أقمار صناعية جديدة لبرنامج الكتلة الثانية في المدار بواسطة مركبتين لإطلاق سويوز) .

مسار الأحداث


قبل وصف الحادث ، تجدر الإشارة إلى أن تصميم نظام الملاحة (النظام المرجعي الذاتي - SRI) لـ Ariane 5 مطابق تقريبًا لتصميم Ariane 4 ، خاصة فيما يتعلق بالبرمجيات.

يُشار إلى لحظة البداية بالرمز H0. حدثت العمليات السابقة للبداية في الوضع العادي حتى اللحظة H0 - 7 دقائق ، عندما تم تسجيل انتهاك "معيار الرؤية". لذلك ، تم تأجيل البداية لمدة ساعة.
في H0 = 12:33:59 UTC ، تم تنفيذ الإطلاق ، والذي حدث بشكل طبيعي حتى لحظة H0 + 37 ثانية. في الثواني التالية ، حدث انحراف حاد للصاروخ من مسار معين ، ثم حدث انفجار.


لحظة انفجار Ariane 5 أثناء الإطلاق الأول

لذلك: في الوقت الحالي H0 + 39 ثانية. بعد الإطلاق ، بسبب الحمل الديناميكي الهوائي المرتفع بسبب تجاوز "زاوية الهجوم" للقيمة الحرجة ، تم فصل مسرعات إطلاق الصاروخ عن مرحلته الرئيسية ، والتي كانت بمثابة الأساس لإدراج نظام الإشعال التلقائي للصاروخ.

حدث التغيير في زاوية الهجوم بسبب الدوران غير الطبيعي لفوهات معززات الوقود الصلب ، وكان سبب هذا الانحراف لفوهات التعزيزات أمرًا صادرًا عن الكمبيوتر الموجود على متن الطائرة بناءً على معلومات من نظام الملاحة SRI 2. بعض هذه المعلومات في ذلك الوقت كانت غير صحيحة: ما تم تفسيره على أنه بيانات رحلة كان في الواقع في الواقع ، كانت المعلومات التشخيصية للكمبيوتر المدمج في نظام SRI 2. قام جهاز الكمبيوتر المدمج SRI 2 بإرسال بيانات غير صحيحة لأنه قام بتشخيص موقف غير طبيعي من خلال "التقاط" استثناء تم طرحه بواسطة إحدى وحدات البرامج. في الوقت نفسه ، لم يتمكن الكمبيوتر الموجود على اللوحة من التبديل إلى نظام النسخ الاحتياطي SRI 1 ، لأنه قد توقف بالفعل عن العمل خلال الدورة السابقة (فترة 72 مللي ثانية). لنفس السبب مثل SRI 2.

كان الاستثناء "الذي تم طرحه بواسطة إحدى وحدات برامج SRI هو نتيجة تحويل البيانات من تنسيق فاصلة عائمة 64 بت إلى عدد صحيح 16 بت ، مما أدى إلى خطأ في المعامل. حدث خطأ في أحد مكونات البرنامج المصمم فقط لإجراء "تعديل" لمنصة بالقصور الذاتي على متن الطائرة. علاوة على ذلك - يبدو هذا متناقضًا ، لكن وحدة البرنامج هذه تعطي نتائج مهمة فقط حتى يقطع الصاروخ منصة الإطلاق. بعد إقلاع الصاروخ ، لن يكون لهذه الوحدة أي تأثير على الرحلة. لكن وظيفة الضبط ، وفقًا للمتطلبات المحددة لها ، يجب أن تعمل لمدة 50 ثانية أخرى. بعد بدء "وضع الطيران". يعتمد هذا التسلسل على متطلبات Ariane 4 ، ولكنه ليس ضروريًا لـ Ariane 5.

حدث خطأ "خطأ المعامل" بسبب ميل أفقي كبير بشكل غير متوقع لـ BH (انحياز أفقي). تحولت قيمة BH إلى أعلى بكثير مما كان متوقعًا ، لأن مسار رحلة Ariane 5 كان مختلفًا بشكل كبير عن مسار رحلة Ariane 4. كان الإجراء النهائي ، الذي كان له عواقب وخيمة ، هو إغلاق جهاز الكمبيوتر المدمج في SPI - وبالتالي ، توقف نظام الملاحة بأكمله عن العمل. كان من المستحيل من الناحية الفنية استئناف أعمالها. تم استنساخ سلسلة الأحداث هذه بالكامل باستخدام محاكاة الكمبيوتر. سمحت نتائج المحاكاة ، بالإضافة إلى مواد من دراسات وتجارب أخرى ، للخبراء باستنتاج أن أسباب وظروف الكارثة تم تحديدها بالكامل.


Ariane 5 على منصة الإطلاق قبل الإطلاق الناجح ، Guiana الفرنسية 2002.

يمكنك العثور على العديد من الخيارات للقضاء على الخطأ المزعج في برنامج Ariane 5 (تظهر هذه الخيارات في نتائج التحقيق) ، ولكن بطريقة أو بأخرى ، يكلف هذا السطر من التعليمات البرمجية 500 مليون دولار أمريكي. (تكلفة صاروخ مع حمولة).

كما أود أن أشير إلى أنه في أي مكان في التقارير ، لا يتم التركيز على ضعف نظام النسخ الاحتياطي في Ariane 5 في هذا الحادث ، على الرغم من المحاضرات التي يلقيها الأستاذ. يذكر هوفمان هذا الحادث فقط في هذا السياق. وجود نظامين مكررين متطابقين SRI 1 و SRI 2 ، ربما يمكننا حماية أنفسنا من مشاكل المعدات المادية في أحد الأنظمة ، ولكن عندما يتعلق الأمر بخطأ برمجي ، فإن هذا الازدواجية لا فائدة منه. ثم يتحدث هوفمان عن الخطوة التالية: لتكرار البرنامج ، وجعله مختلفًا (شركات مختلفة ، مبرمجين مختلفين). يبدو أنه مع مثل هذا الهيكل ، قمنا بحماية أنفسنا من الأخطاء ، ولكن مثل هذه التدابير تعقد النظام العام وتخلق المزيد من الأماكن التي يمكن أن تحدث فيها الأخطاء ، ويتم إعطاء الحالة الثالثة كمثال.

مركبة فضائية


في 12 أبريل 1981 ، قامت المركبة الفضائية كولومبيا القابلة لإعادة الاستخدام في إطار برنامج مكوك الفضاء بأول رحلة تجريبية لها من الكون في كيب كانافيرال.


التحضير لمهمة STS-1 - أول رحلة مكوك فضائي

مسار الأحداث


في 10 أبريل 1981 ، قبل حوالي 20 دقيقة من الإطلاق المقرر ، حاول رواد الفضاء وموظفو خدمة النقل المكوكية إطلاق نظام احتياطي للتحكم في الطيران ، والذي قام بتكرار نظام الكمبيوتر الرئيسي الأربعة ، لكنه فشل. تم إلغاء البداية قبل 16 دقيقة من الوقت المقدر وتم تأجيلها لمدة يومين.

كيف لا تتذكر الكوميديا ​​سيئة السمعة

حدث ذلك أن نظام التحكم في الطيران الاحتياطي BFS (نظام التحكم في الطيران الاحتياطي) على الكمبيوتر الخامس على متن الطائرة لم يتمكن من المزامنة مع نظام التحكم في الطيران الأساسي PASS (نظام برمجيات إلكترونيات الطيران الأساسية) ، الذي كان يعمل بالفعل على أربعة أجهزة كمبيوتر أخرى على متن الطائرة. كان هناك خطأ في البرنامج - خطأ صغير جدًا ، لا يمكن تصديقه تقريبًا ، معقد جدًا وقديم جدًا في تهيئة PASS.

لجعل المكوك موثوقًا به ، يتم تكرار كل شيء فيه: أجهزة الاستشعار والإلكترونيات ونظام التحكم وأجهزة الكمبيوتر والبرامج وحافلات البيانات وإمدادات الطاقة. في الواقع ، لتلبية مفهوم "الفشل - التشغيلي ، الفشل - الآمن" "FO / FS" (فشل - تشغيلي ، فشل - آمن) تم تكرار العديد من المكونات 4 مرات: إما حرفياً (4 مجموعات من المعدات) ، أو ما يعادلها (الدوائر المتناوبة) استبدال واحد أو أكثر من القطع الأربع المطلوبة).

تم اختيار الرقم أربعة لسبب منطقي وبديهي: يتطلب مبدأ FO / FS أنه بعد الفشل الأول ، تظل المعدات تعمل بكامل طاقتها ، وبعد الفشل الثاني يضمن عودة آمنة. يتطلب الحد الأدنى من الأصوات ثلاثة أصوات ، لذلك في المرحلة الأولية يجب أن يكون لديك 4 أصوات حتى تتمكن من التصويت بعد رفض واحد. كان لدى المكوك 5 أجهزة كمبيوتر على متن الطائرة ، أربعة منها لديها نفس البرنامج ، وعملت في جميع المراحل الحرجة من الرحلة. يعتبر هذا النهج مثاليًا في حالة وجود مشكلات في أجهزة الكمبيوتر أو المعدات الأخرى (وفقًا للحسابات ، تسببت الأخطاء في نظام من ثلاثة أجهزة كمبيوتر في فقدان الجهاز في ثلاث حالات من أصل مليون ، وخفض نظام من أربعة أجهزة كمبيوتر هذه الفرصة إلى أربعة من أصل مليار) ، ولكنه لا يعمل ، نظرا لإمكانية وجود حاسمخطأ فادح في البرمجيات. وهكذا ، ظهرت فكرة البرامج البديلة على الكمبيوتر الخامس ، والتي ستؤدي الحد الأدنى من وظائف البرامج على الأجهزة الأربعة الأولى.

تضمن تطوير البرامج لـ BFS نفس المواصفات ونفس لغة البرمجة ونفس المترجم ونفس الجهاز حيث تم تثبيت هذا البرنامج. ولكن تم تطويره من قبل منظمة مختلفة تمامًا (Rockwell International for BFS و IBM ، Federal Systems Division for PASS) وتم تثبيته على أنظمة تشغيل مختلفة. كان نظام التشغيل PASS غير متزامن ومدفوعًا بالأولوية (وبالتالي ، فإن المهمة الأكثر أهمية دائمًا ما يتم منحها فورًا التحكم في الكمبيوتر). على العكس من ذلك ، يبدو BFS أشبه بنظام متزامن تمامًا من "الفواصل الزمنية" ، حيث يتم منح كل عملية الوقت المخصص لإكمال الدورة.

لسوء الحظ ، يتم الجمع بين الأنظمة المتزامنة وغير المتزامنة بشكل سيئ. لمزامنة BFS مع PASS ، يجب أن تصبح PASS متزامنة أو محاكاة هذا للعمليات المتزامنة. تم ضمان عملية المحاكاة مع الحد الأدنى من الخسارة في التنمية. بمجرد تشغيل أول كمبيوتر وبدء تشغيل PASS ، حاولت مزامنة بداية جميع العمليات مع بيانات القياس عن بُعد للسفينة. تم إجراء هذا التزامن من خلال قراءة قيمة الوقت من بيانات القياس عن بعد وحساب مراحل القياس عن بعد وفقًا للتوقيت المركزي.

صباح يوم الجمعة ، 10 أبريل ، أصبح من الواضح أن بعض العمليات في PASS لا تتم معالجتها في مرحلتها: دورة واحدة قبل بقية عمليات PASS و BFS. بافتراض تلقي بيانات "ملوثة" ، توقفت BFS ، كما هو مطلوب ، تمامًا عن "الاستماع" إلى المعلومات من PASS ، وبالتالي لم تتمكن من المزامنة مع PASS. بالنسبة إلى BFS ، كانت البيانات الواردة في الحلقة تستخدم فقط "للتداخل" غير المتوازن.

بالفعل في بداية فترة ما بعد الظهر ، بعد أن جمعت جميع الخبراء ، تمكنت وكالة ناسا من توضيح طبيعة المشكلة. يمكن تصحيح الخطأ في المراحل باستخدام طريقة الجد القديمة: إذا كان هناك شيء لا يعمل ، قم بإيقاف تشغيله وتشغيله مرة أخرى.



لكن هذا النهج لا يعمل مع تحميل كامل وجاهز لإطلاق المركبات الفضائية - تلعب أجهزة الكمبيوتر الموجودة على متن الطائرة دورًا حاسمًا في معالجة المعلومات القادمة "من" و "إلى" نظام تحضير الإطلاق الفضائي.

أعطت المعلومات التي جمعها الخبراء وحقيقة أن إعادة تشغيل أجهزة الكمبيوتر على متن الطائرة ليلة الجمعة إصلاح المشكلة أعطت إدارة وكالة ناسا معلومات كافية لتحديد موعد الإطلاق صباح الأحد. ولكن تم الكشف عن الأسباب الحقيقية للخطأ مساء الأحد ، بعد 8 ساعات من الإطلاق.

تستخدم أجهزة الكمبيوتر الموجودة على متن قائمة انتظار مؤقت نظام التشغيل كساعة ، السجل الأول هو وقت البدء المطلوب للعملية التالية ، عندما يتم تنفيذ مئات العمليات في أي ثانية ، يظهر السجل الأول دائمًا الوقت الحالي الدقيق إلى حد ما (دائمًا في عجلة من أمرنا ، ولكن دائمًا ما تكون دقيقة بما يكفي). دائمًا ما يكون الوقت الناتج هو نفسه تمامًا لجميع أجهزة الكمبيوتر الاحتياطية الموجودة على متن الطائرة. عندما يبدأ أول كمبيوتر - لا توجد حوسبة نشطة ، هذه هي اللحظة الوحيدة التي تكون فيها قائمة الانتظار فارغة. وبما أنه لا توجد أجهزة كمبيوتر أخرى عاملة ، فقد سمح للأول باستخدام ساعته لتحديد الوقت.

لكن الخط لم يكن فارغًا على النحو المقصود. قبل عامين من الإطلاق ، كان هناك تغيير في روتين تهيئة ناقل البيانات ، والذي تم إجراؤه قبل حساب وقت البدء. أدرج هذا الروتين قيمة تأخير في قائمة انتظار المؤقت. ذهب هذا التغيير دون أن يلاحظه أحد: في النهاية ، كيف يرتبط تهيئة الحافلة بتحديد مراحل القياس عن بُعد. علاوة على ذلك ، كان هذا التأخير الزمني صغيرًا بما يكفي ليصبح الإدخال الأول في قائمة الانتظار قريبًا من الحاضر. ولكن بعد عام واحد (قبل عام من الإطلاق) تم إجراء تغيير آخر لإصلاح الحمل الزائد المحتمل للمعالج ، زاد وقت التأخير قليلاً. وكان هذا كافياً لاحتمال 1/67 ، عند تشغيل أول كمبيوتر على متن الطائرة ، في حساباتك لوقت البدء ،باستخدام قائمة انتظار المؤقت التي تسير إلى الأمام قليلاً ، يمكنه الحصول على نتيجة عندما كان وقت البدء في الماضي. ثم قام نظام التشغيل بتأجيل بداية العملية لدورة واحدة (كما يحدث مع التنبيه ، عندما يتم ضبطه على "الماضي" ، فإنه يتخطى دورة 12 ساعة بحيث يمكن أن يرن في "المستقبل") ، مما يؤدي في النهاية إلى حقيقة أن كل شيء تقريبًا تم تشغيل العمليات في وقت متأخر من الدورة.

يمكن أن يكشف الاختبار عن هذا الخطأ ، ولكن احتمال حدوث خطأ لم يظهر إلا في المراحل المتأخرة من الاختبار ، عندما تم اختبار النظام بأكمله ، ولكن حتى ذلك الحين ، لم تتطلب معظم الاختبارات التهيئة من البداية. وحتى في الاختبارات التي تتطلب ذلك ، كانت هناك حاجة لمختبر مع نماذج دقيقة إلى حد ما من PASS و BFS والقياس عن بعد. وحتى إذا تم استيفاء جميع الشروط المذكورة أعلاه ، عند حدوث خطأ ، كان هناك إغراء لإعادة تشغيل كل شيء ... وعدم تكرار الخطأ أبدًا ، ولا تأكد أبدًا مما إذا كانت هذه مشكلة في إعداد المختبر. ربما هذا هو بالضبط ما حدث في أحد مختبرات وكالة ناسا حوالي 4 أشهر قبل الرحلة.

ومع ذلك ، في اليوم الذي تم فيه تشغيل أول كمبيوتر على متن الطائرة ، قبل 30 ساعة من الإطلاق المجدول ، أصبحت المشكلة محسوسة.

جميع المعلومات حول الخطأ في المكوك مأخوذة من مقالة كتبها جون جارمان (نائب رئيس قسم برامج الفضاء في وكالة ناسا). في ذلك ، يكتب أيضًا: "لم يتم توفير الموثوقية المثالية ، لأن المشروعات يجب دائمًا المساومة على الوقت والتكلفة. تتمثل التحديات التي نواجهها اليوم في الحفاظ على أنظمة البرامج على الفور ، وتجميع التغييرات والإضافات الكبيرة في مراحل التطوير ، وإعادة تكوين البرنامج لتناسب الأجهزة أو المهام التي لا تتطابق تمامًا. من السهل أن تقول "لا تخرق القواعد". هذا غير ممكن دون عكس الوضع النسبي للبرنامج في الأنظمة المدمجة - وهذا خطأ! قد يكون البرنامج "روح" أكثر الأنظمة تعقيدًا ، ولكنه لا يزال مجرد جزء من الغلاف الداعم ، ... جزء مرن جدًا.


مكوك الهبوط على سطح بحيرة روجرز المجففة

تكلفة هذا الخطأ في البرنامج هي $ 0 (بالطبع ، كانت تكاليف نقل الإطلاق كبيرة ، ولكن في ضوء الحوادث السابقة التي تم النظر فيها ، عندما فقدت المركبة الفضائية تمامًا قبل أن تكمل مهمتها المخطط لها ، تكلفة إعادة التدريب على الإطلاق I مهملة ، لا سيما أنني لم أجد البيانات المناسبة).

ولكن أود أن أشير إلى أن هذا الخطأ أرجأ وقت الإطلاق لمدة يومين: من 10 أبريل إلى 12 أبريل ، وفي رأيي ، كان من المستحيل اختيار تاريخ أفضل للإطلاق الأول للمكوك ، لأنه في نفس اليوم ، بالضبط قبل 20 عامًا قام يوري جاجارين برحلته إلى الفضاء. كيف يمكن للمرء ألا يتذكر كلمات سلحفاة "العشوائية ليست عرضية".

المراجع
www.youtube.com/watch?v=Sc0emcwdyyA
www.youtube.com/watch?v=21o7IZhSvFs
en.wikipedia.org/wiki/Mars_Polar_Lander
en.wikipedia.org/wiki/Ariane_5
ru.wikipedia.org/wiki/STS-1
sunnyday.mit.edu/accidents/mpl_report_4.pdf
nssdc.gsfc.nasa.gov/nmc/spacecraftDisplay.do?id=1999-001A
www.osp.ru/os/1998/06/179592
klabs.org/DEI/Processor/shuttle/garman_bug_81.pdf

Source: https://habr.com/ru/post/ar381073/

More articles:


All Articles