Фобос-Грунт, Yinghuo 1 – Зенит-2SLБ – Байконур 45/1 – 09.11.2011 00:16 ЛМВ

Alex-DX · 03.02.2012 23:57:39

А кто формировал ТЗ?
Почему не прорабатывались нештатные ситуации:
1. Двойным рестартом БЦВМ
2. Работой на опорной орбите и все с этим связанное: энергобаланс, связь.

А раз алгоритмом после (1) переходит ЗР, почему нет выводов по готовности наземных служб к этой ситуации? Конечно можно сказать что у нас была тень, но первые сутки аккумуляторы были заряжены. Я так понимаю, что модернизацией земных станций мы с европейцами принялись делать одновременно. :twisted:

LRV_75 · 03.02.2012 23:59:06

ЦитироватьКуда уж подробнее ? Сейчас редко когда вызывают инструкции из XXROM. Тесты, загрузка в RAM, и вперед.

Извиняюсь, что такое XXROM?

Wishbone · 04.02.2012 00:00:00

Может быть, кто-то скажет, на каком процессе были сделаны чипы-"убийцы ФГ"? А то читаю сейчас статью в сборнике под ред. Иньевского про Multiple Event Upsets с экспериментальными кривыми...

LRV_75 · 04.02.2012 00:03:09

ЦитироватьПочему не прорабатывались нештатные ситуации:
1. Двойным рестартом БЦВМ

Причины НШС неизвестны (чего бы там комиссия не говорила), но вот отработка рестарта БЦВМ ИМХО та еще задача

Unispace · 04.02.2012 00:04:41

Цитировать
ЦитироватьКуда уж подробнее ? Сейчас редко когда вызывают инструкции из XXROM. Тесты, загрузка в RAM, и вперед.
Извиняюсь, что такое XXROM?

XX- это символьный шаблон. для EEP, EP, E, OTP, P, FL и так далее.

LRV_75 · 04.02.2012 00:17:52

ЦитироватьXX- это символьный шаблон. для EEP, EP, E, OTP, P, FL и так далее.

Ага, понятно. Т.е. Вы говорите, что инструкции сейчас редко когда вызываются из ПЗУ (ROM) (это я уточняю, потому что Вы не на форуме программистов находитесь)
А далее Вы говорите

ЦитироватьТесты, загрузка в RAM, и вперед

а что Вы имеете ввиду под тестом, который перед загрузкой?

Unispace · 04.02.2012 00:26:09

Цитировать
ЦитироватьТесты, загрузка в RAM, и вперед
а что Вы имеете ввиду под тестом, который перед загрузкой?

Здесь все-таки про ФГ. Ну зачем тут проводить инженерно-программные ликбезы ? К тому же это никак не влияет на обсуждение, почему же все-таки так все произошло. Придумать еще можно много чего. Например, после сбоя в RAM и рестарта еще и ROM integrity test не прошел, двойной. И машина вообще ушла в прострацию по ветке "отцепитесь все, я ничего не знаю и делать не хочу, все пропало"

krivoe_dulo · 04.02.2012 01:29:06

Цитировать
ЦитироватьПрограммный код может быть хранящимся и исполняемым/выполняемым (в данный момент, по контексту фразы).
Если можно поподробнее, но в пару- тройку фраз , если можно :wink:

Вообще обсуждение причин аппаратного сбоя не очень[/size] корректное. Современные ЦВМ давно уже работают в условиях достоверности передаваемой и хранимой информации ниже 100% из-за скоростей, вынуждающих работать на фронтах, малости элементов на чипах, использования количества уровней, больше 2 и т.д. Аппаратная статистика цветет пышным цветом и наличие ВРЕМЕННЫХ сбоев только замедляет работу машины. Да и тяжело обсуждать аппаратные возможности сбоя, не зная досконально всех этажей архитектуры.

ТЕМ БОЛЕЕ НЕ ЗНАЯ РАЗМЕРА ТЗЧ В КИЛОМЕТРАХ!!!

P.S. А Иран сегодня запустил ИСЗ. Албания next?

X · 04.02.2012 00:32:27

Цитировать
ЦитироватьЕсли в результате действия ТЗЧ были искажения в ОЗУ, то в таком случае, в заключении комиссии следующее предложение - не корректно:
Корректно.
Было ли оно вообще - другой вопрос.

Угу, понятно. Все-таки до ватчдога дойти не должно было.
PS: Спасибо за ответы.

LRV_75 · 04.02.2012 00:40:44

ЦитироватьЗдесь все-таки про ФГ. Ну зачем тут проводить инженерно-программные ликбезы ? К тому же это никак не влияет на обсуждение, почему же все-таки так все произошло. Придумать еще можно много чего. Например, после сбоя в RAM и рестарта еще и ROM integrity test не прошел, двойной. И машина вообще ушла в прострацию по ветке "отцепитесь все, я ничего не знаю и делать не хочу, все пропало"

Лекбез уместен, потому что ИМХО причина аварии ФГ - программный сбой (и не факт что от внешнего воздействия) и неспособность ПО парировать этот сбой.
А в случае если ПО ФГ все же ушло в рестарт, то после загрузки ПО оно ИМХО не смогло "отыграть" ситуацию к исходному

KapYar · 04.02.2012 00:43:37

Цитировать
ЦитироватьXX- это символьный шаблон. для EEP, EP, E, OTP, P, FL и так далее.
Ага, понятно. Т.е. Вы говорите, что инструкции сейчас редко когда вызываются из ПЗУ (ROM) (это я уточняю, потому что Вы не на форуме программистов находитесь)

Где-то видел, что на ЦВМ22 4 МБ ППЗУ и только 2 МБ ОЗУ. При таком раскладе ППЗУ используется, скорее всего, довольно интенсивно для исполнения кода. В принципе, весь исполняемый код может быть в ППЗУ, а в ОЗУ только данные. В случае процессоров с гарвардской архитектурой это вообще единственно возможный вариант, но и MIPS в ЦВМ22, являющийся фон-неймановским процессором, вполне мог бы работать в таком режиме (хотя, возможно, и с некоторой потерей в скорости). Но, раз в отчете сказано, что в ОЗУ был поврежден код, а не данные, то это не наш случай.

Unispace · 04.02.2012 00:46:31

Цитировать1....Но как только начинается разбор всевозможных нештатных ситуаций, неожиданно этот FSM превращается в монстра. В котором 95% кода - отработка ситуаций, которые могут произойти, а могут и нет.

2.... , потому как когда начнем выполнять операцию, а СЭС вдруг выдала, что питания мало - будет поздно уже что-либо отключать.
Так вот я о том, что на FSM это очень сложно сделать.

1. А что делать, это же не кухонный процессор. Только четко реализовать обработку ошибок, согласно ТЗ. При появлении "стека" ошибок в аппаратуре с уровнем 2 или 3 - контекст, защитный режим, перезагрузка, проверка контекста, и с новыми данными - опять в работу. Подумайте сами, если ошибки в аппаратуре, и они фатальны, а основа алгоритма выполнена аккуратно, то FSM - не FSM, роли не играет. Если же после рестарта ошибка устраняется, работаем дальше. На каких этапах рестарт и потеря контроля может привести к серьезным последствиям ? Предположу, что только в момент импульса основных двигателей, отделения модуля. FSM такие вероятности не меняет.

2. Тут вы несколько смешали алгоритмы и реализацию железа. Программа все равно не может добавить мощности или отремонтировать резистор, это же не R2D2

PIN · 04.02.2012 01:50:41

ЦитироватьПри таком раскладе ППЗУ используется, скорее всего, довольно интенсивно для исполнения кода.

При таком раскладе используется, скорее всего, то же, что и в множестве других аппаратов - 2 комплекта ППЗУ с идентичными копиями бортового ПО. 2й используется при обнаружении нарушения целостности данных первого.

PIN · 04.02.2012 01:52:38

ЦитироватьВ принципе, весь исполняемый код может быть в ППЗУ, а в ОЗУ только данные.

Вы меня пугаете. Можно еще много что сделать ректально, но нужно ли?

Unispace · 04.02.2012 01:02:25

ЦитироватьГде-то видел, что на ЦВМ22 4 МБ ППЗУ и только 2 МБ ОЗУ. При таком раскладе ППЗУ используется, скорее всего, довольно интенсивно для исполнения кода. В принципе, весь исполняемый код может быть в ППЗУ, а в ОЗУ только данные.

Если нет случая, когда по мере необходимости из ROM подгружаются массивы данных, занимающие целиком в ROM немало места, или фрагменты кода. Я так сходу не скажу, какие большие массивы данных могут быть в ФГ в динамической подгрузке, кроме пакетов-кодов обмена информацией с периферией. Это к тем, кто глубже знает специфику ПО аппарата. К тому же выгрузка кода в RAM может увеличить надежность - у вас в нормальном режиме есть 2 копии кода на физически разных носителях.

Aleks1961 · 04.02.2012 01:06:44

Технические решения при создании АМС:
1 СЭС без контроля баланса энергетики КА.
2 ПО без закрытия борта через N секунд, в случае отсутствия обмена данными НКУ-КА.
3 ПО без передачи ТМИ в случае НШС.
4 Матчасть незащищенная от радиационного воздействия среды функционирования КА (БКУ должна функционировать продолжительное время в условиях воздействия космического пространства).
5. Невозможность контроля состояния систем КА и управления.
И тд и тд :cry:

Unispace · 04.02.2012 01:11:26

ЦитироватьТехнические решения при создании АМС:
1 СЭС без контроля баланса энергетики КА.
2 ПО без закрытия борта через N секунд, в случае отсутствия обмена данными НКУ-КА.
3 ПО без передачи ТМИ в случае НШС.
4 Матчасть незащищенная от радиационного воздействия среды функционирования КА (БКУ должна функционировать продолжительное время в условиях воздействия космического пространства).
5. Невозможность контроля состояния систем КА и управления.
И тд и тд :cry:

Похоже, ФГ2 будет создаваться под неусыпным контролем форума, а разработчики, которым не было приказано не читать форум - вздрагивать ночью от прихода во сне завсегдатаев, говорящих одну и ту же фразу "ты обеспечил безошибочность, надежность и живучесть, соколик ?"

PIN · 04.02.2012 02:12:06

2 копии ПО в ППЗУ вообще жизненно важны для безопасного его обновления. В одной оставляют старое, на нее и откатываются при обнаружении критических проблем в новом.

benderr · 04.02.2012 02:32:30

кровельщик-жестянщик отремонтиркет ОС,наладит АМС,защитит от тяжелых и ЛЕГКИХ частиц,отладит ПО и обуздает ОТО......

\
а также составит граммотный отмаз в случае фэйла...

пы. сы. я ламер, но итая все 900 страниц-я плакаль... :x :x :x

пы.сы.2 сначала сервак поднимите..а уж потом,
если осилите-прямиком на ммарс\фобос... :twisted: :twisted: :twisted:

Unispace · 04.02.2012 02:05:53

Цитироватьа также составит грамМотный отмаз в случае фэйла...

Двойная ошибка, рестарт.