波音Starliner飞行后服务,照片NASA / Bill Ingalls
两次差点丢了
用NASA的术语来说,该任务被认为“几乎失去了媒体报道”(“高可见度关闭呼叫”)。下一个术语是船舶的损失,甚至可能是生命的损失。这种情况非常罕见,上一次被指定为这种情况是在2013年,由于水冷却系统中的过滤器堵塞,宇航员卢卡·帕米塔诺(Luca Parmitano)在太空行走中几乎淹没在太空服中。
在开始播放31分钟后,第一个错误出现了。该航天器没有执行从原轨道转到ISS的飞行路径的预期机动。 MCC试图纠正这种情况,但是,不幸的是,这些尝试被加上了通信问题,结果,Starliner进入了轨道,不适合与ISS以及空油箱会合。由于代码中的错误,航天器并非在倒数开始时而是在发射前11个小时将飞行时间计时器与发射器同步。结果,车载计算机认为该船与实际处于不同的飞行阶段。
将波音视频中的框架分隔成斯大林纳舰的舱室
第二个错误没有时间证明自己。由于第一个问题,美国宇航局和波音公司的专家开始分析代码,看看是否还有其他东西?而且,事实证明,这并非徒劳。在着陆过程中,执行制动操作后,航天器必须分成下降的飞行器和服务模块(如上图所示,几乎所有航天器都经过类似的过程,例如,联盟号分为三个隔间,Crew Draron在重新设置服务模块之前刹车)。分离后,维修模块必须执行操纵以离开船,但由于代码中的错误,该过程被错误地传输给控制过程的控制器。结果,维修模块可能撞到下降的车辆并在那里造成麻烦。
第三个问题不是那么关键,但是我喝了很多地面人员的鲜血。在整个飞行过程中,飞船与地面的通讯存在问题,这使得很难从MCC进行控制,如果是载人飞行,则将导致与宇航员进行谈判的困难。
在设计和开发阶段出现了两个关键问题,如果没有MCC的干预,每个问题都会导致船舶损失,并在测试阶段设法通过大量检查。这两个问题都可以通过测试检测到,波音公司的流程可以而且应该找到并解决它们。
该怎么办?
完整的报告包含专有和商业机密信息,因此NASA仅发布了概述,这仍然很有趣。
21条建议与测试直接相关。首先,有必要在硬件和软件级别上改进集成测试。我以我自己的名义注意到,在集成测试阶段未发现的错误仍然占空间事故原因的很大份额。此外,在每次飞行之前,有必要在飞行设备的最大参与下进行一次“彩排”,分析其行为和局限性,并在模拟中对发现的间隙采取行动。
有10条建议归因于需求,但实际上它们也与测试有关。应该更好地分析具有多个条件的需求,并应该增加决策覆盖范围-代码中条件的测试覆盖范围。让我提醒您,100%的决策覆盖率意味着100%的陈述覆盖率,反之亦然。
35条建议应改善流程。并且根据提出的改进建议,可以重构发现的问题。加强代码审查和测试数据应解决以下问题:在编写代码(用于代码审查)期间或在测试过程中(测试数据显然不足)没有注意到代码中的错误。安全关键领域专家的更多参与应消除能力差距。决策委员会文件变更的提案应纠正这种情况,即在开发和测试中的缺陷未被发现或被消除的优先级太低的情况下。
这7条建议是代码修复程序,这些代码修复程序将考虑飞行时间和分离服务模块的过程来修复错误,并使天线选择算法更加可靠。
最后的7条建议与组织结构和硬件有关。更改等待安全消息的组织结构(很显然,为了更好地传递消息“我们在这里有个重要问题”),应改进外部审核,并将在船舶设计中引入一个额外的过滤器以防止带外干扰。
亲爱的课
尽管在紧急飞行的故事中没有什么快乐的事,但这将有助于改善创建太空技术和飞行安全的过程。当然,错过在飞行前很久的测试中可能已经发现的生产错误非常令人讨厌。现在,第一次试飞应该宁可确认所做决定的正确性,而不是发现未注意到的问题。试飞非常有启发性,但也很昂贵。现在,波音需要自费进行另一次试射,以确保飞船的安全和可飞行性。它的确切日期仍然未知,而计划于2020年11月。