Skip to content
 

«Фобос-грунт», раунд шестой

Мини-серия про «Фобос-грунт»: 1, 2, 3, 4, 5

Уже я не знаю, как называть. Поэтому назвал по-простому.

Уважаемый DGN не пожалел сил и написал огромный, обстоятельный комментарий. Вы знаете, я отношусь к этим вещам серьёзно. Поэтому мой ответ ещё более обстоятелен. Здесь я цитирую DGN’а по кускам и последовательно отвечаю.

Хороший получается обмен мнениями…

>> Собственно контроллер питания долго и упорно отлаживают таким образом, чтобы он срабатывал на такие проблемы которые МОГУТ привести к сбою компьютера и его памяти, и не срабатывал на такие которые НЕ МОГУТ.

Контроллер питания компьютера ни при чём. Я имею в виду просадку внешнего питания, которое НА ВХОДЕ этого контроллера.

***

>> Ошибочно думать, что после самотестирования всё начинается с нуля. Безусловно, текущее состояние скидывается куда-то на энергонезависимую память, откуда после прохождения тестов «достаётся». И даже в случае непрохождения тестов, БЦВМ грузит, условно говоря, «консоль восстановления», на которую выводит ошибки и позволяет загрузить с земли новую программу, обходящую эти ошибки.

Подобное делали америкосы со своим марсоходом.

Включение по подаче питания обязано давать единственную последовательность действий. Всегда только одну, иначе – откуда будет БЦВМ знать, какой режим ей выбирать по включению питания? Первое в этой последовательности – тестирование, в том числе пропись всего ОЗУ БЦВМ. Тестовыми последовательностями будет стёрта вся информация.

Да, некоторый вектор состояния можно хранить в энергонезависимой памяти, для этого его надо с обоснованными промежутками туда переписывать. Я ОЧЕНЬ НЕ УВЕРЕН, что они этот процесс реализовали. Более того, я не уверен, что в этой ихней ЦВМ 22 есть такая память, в которую можно быстро переписать большой блок данных. К сожалению, сведений по этой машине я не нашёл.

Но даже если он есть – пока идёт тестирование, а это на нашем «бризовском» БЦВК занимает несколько десятков секунд, положение может ухудшиться до катастрофичного, пока аппарат не управляется. И ещё нужно, чтобы бортовой алгоритм умел организовать нормальное продолжение полёта из той ситуации, в которой аппарат оказался после сбоя. В нашем случае – чтобы он смог построить солнечную ориентацию. А до этого – земную. А земную алгоритм строит, «зная» о положении и скоростях, которые имеет аппарат после отделения от носителя. А тут они будут другие – предусмотрен ли в алгоритме именно такой нештат? В общем, всё очень непросто…

Наконец, про загрузку с Земли. На марсоходе это можно сделать, он стоит на тверди. Если бы «Фобос» был на устойчивой орбите, да если бы он управлялся, ориентировался, то можно было бы сделать и с ним. Но мы ж уже проходили: связь с ним установить не удалось. Зачем тут вообще вспомнили о загрузке извне?

***

>>Тут я конечно уже не уверен, но на орбите есть запас времени довольно большой для манёвра. Это не этап работы маршевого двигателя 3 ступени, когда каждая секунда его работы добавляет существенно скорости и высоты орбиты. Время на перезагрузку есть, в случае чего можно и на следующем витке это сделать. Это ведь не включения двигателей мягкой посадки, которые должны включится в конкретную миллисекунду, иначе смысл в них теряется (как было с одним из первых марсов СССР — произвел жёсткую посадку, сообщало ТАСС, на деле просто не отработал посадку и впилился на всей скорости).

Это я к тому, что в случае перезагрузки БЦВМ, программа всё равно отработала бы…

Запас времени есть, но нельзя забывать, что аппарат совершает неуправляемое движение! Повторюсь, в штатной ситуации он выполняет первые операции на орбите из положения, которое знает заранее. Когда последняя ступень не обеспечивает «договорных» условий отделения (например, не закручивает аппарат с оговорённой скоростью), то с аппаратом происходят всякие беды, вплоть до самой крайней. Это я по опыту знаю.

Я не знаю, умел ли алгоритм земной ориентации делать её из любого углового положения аппарата и, главное, при движении с «непредвиденной» угловой скоростью. У меня есть причины полагать, что, как минимум, МОГ и не уметь.

Это я к тому, что в случае перезагрузки :) вероятность того, что система отработает нормально, довольно мала. Потом, на траектории перелёта – да, отработает. А здесь, до первого импульса, ещё до построения ориентации – маловероятно.

***

>> Да и просадка по питанию… Ведь никто там ничего лишнего не включит, ни утюга ни холодильника… Сразу после старта, то есть батарея свеженькая, заряженная… Если просадка имела место быть, это значит уже проблемы в каком-то исполнительном механизме, что-то там заело или коротнуло… Далее… даже у меня дома системный блок питается от отдельного ИБП, а монитор и вся остальная периферия — от другого. И в системе питания КА ОБЯЗАТЕЛЬНО должна быть «чистая» шина, для питания компа и прочей слаботочки и «грязная» — для питания всяких там редукторов, соленоидов и прочей силовой начинки. При этом проблемы на «грязной» никак не должны влиять на «чистую». Да и чистых должно быть как минимум две, так как потеря БЦВМ = конец миссии.

Первое. Источник питания на борту один. Из него растут все шины, чистенькие и грязненькие. И, если кто-то один «засосал» слишком много, то просадку получат все.

Второе. Нет там холодильников, вообще, номинальные мощность потребителей почти ни при чём. Не стал я говорить в статье, чтоб не удлинять. Теперь придётся сказать.

Все стремятся защитить себя от сюрпризов сети. Как? Как обычно – ёмкостными фильтрами. То есть имеется и другое, но это – как правило. Чем больше ёмкость, тем тебе спокойнее относительно всяких там пичков-наводочек.

Но когда на тебя подают напряжение, кондёры твоего фильтра начинают заряжаться. Точище огромный, достаточный для ощутительного падения напряжения на внутреннем сопротивлении источника. Вот тут и садится сеть. Если ты очень постарался защитить себя, то сеть садится очень хорошо. И холодильник, сварочный аппарат для этого не нужны.

Говорю же, именно так и произошло с нашим БЦВК – просадка в момент включения одной из смежных систем, которую разрабатывала не наша фирма. Которой, соответственно, не было на нашем собственном стенде, а только – информационный имитатор. Если бы была живая система, поймали бы у себя.

И вот тут главное – буду повторяться! Мы выявили это на электрическом стенде Хруничева. Была ли такая возможность у лавочкинцев? Я ж писал, там с электрическим стендом было… ну, в общем, плохо там с ним было. Вот, цитирую из той статьи:

«…Акт введения стенда для отработки БКУ (бортовой комплекс управления – В.М.) был подписан лишь в августе 2001 года».

Понятно? Стенд отработки БКУ – это и есть то, что у нас было – электрический стенд на Хруничеве. Только тут все бортовые системы встречаются вместе, только тут можно понять, как они влияют друг на друга.

И скажу ещё, что Акт введения могли подписать на чёрт знает что. Потому что он был нужен для аттестации и аппаратуры, и программ, а полёт – меньше чем через полгода! Да ребят могли заставить подписать акт вообще в пустой комнате!

Утрирую, конечно. Но то, что Акт подписали не потому, что стенд был реально готов, а потому, что было позарез нужно – в этом я уверен.

А даже если ГОТОВНОСТЬ стенда подписана – это что означает? После этого испытания только начинаются, и вести их, по опыту «Бриза», надо года два…

Так что зря вы считаете версию проблем питания несостоятельной. По-моему, она состоятельная, но не самая вероятная.

***

>> Про микросхемы… во первых 90nm это отнюдь не передовой край, сейчас массово производятся чипы памяти на 15nm и процессоры на 22nm… 90nm это довольно «дубово», то есть в 4-5 раз более грубый техпроцесс… я не думаю что была совершена столь грубая ошибка, как выбор неподходящей элементной базы. Про исполнение. Имеется три класса (military) -55…125°С, (industrial) -25…85°С и (commercial) 0…70°С. при этом радиационная стойкость такова — коммерческие схемы держат во время работы 2 килорада, индастриал 20 килорад, а военные — 100 килорад. Во время хранения — 12/60/2000 соответственно. Источник — http://www.d-instruments.ru/2010/materials/Popov.pdf

Насчёт невозможности достать милитари исполнение. Это заблуждение, пусть в чипидипе их не купить, но по заявкам организаций они поставляются. Они дороже, конечно, но в масштабах проекта экономия копеечная.

Ну и поддерживаю вашу мысль, о том, что сбой произошёл, по сути, в магнитосфере, ещё на тёплом блоке и одновременно — короче микросхемы определенно невиновны!

Я не говорю, что 90 нм – передовой край. Я сказал и повторяю, что 90 нм – это малые токи = большая чувствительность к помехам. К виртуальным бозонам :) .Чтобы пустить их на борт, надо долго, много лет, отрабатывать конструктивную защиту, рекомендации по схемотехнике и пр. Да что там – люди ищут специальные стойкие материалы для чипов под каждый следующий шаг «литографического совершенства». Сначала делают техпроцесс на 90 нм, потом выпускают серии микросхем по этой технологии из «простых» п/п материалов, а потом, если их кто попросит, начинают искать п/п материалы, которые при 90 нм обеспечивают заданные условия эксплуатации. Потому что оборудование, способное на эти самые 90, и 22, и 15 нм, уже отработано на ширпотребе.

Поэтому «комнатные» персоналки всегда впереди скучных серых «бортовичков». И люди, которые знают только их, говорят о бортовичках с пренебрежением: какой м-дак ставит такое старьё на космическую технику?!

А насчёт ошибки с подбором элементной базы я сказал: может быть, они надеялись потом заменить. Но может быть, это и действительно непонимание. Я с таким сам сталкивался на практике, когда солидные вроде бы люди тащили на БЕСПИЛОТНЫЙ борт как раз персоналку industrial. Организацию называть не буду, это не «лавочка», но не менее солидная.

За данные по микросхемам спасибо. Как видите, радиационная стойкость в пять раз меньше. Ещё обращаю внимание на нижний температурный предел.

…Ну да; а после всех этих дебатов единодушно приходим к выводу: микросхемы ни при чём. Давайте, добавлю для определённости: они непременно загубили бы аппарат, но программа успела раньше :)

***

>>Версия про отсутствие стенда мне кажется довольно странной. Какой-то стенд всё равно должен быть, иначе это всё профанация. Быть может, не было натурных испытаний на КА, но кабели на стеллажах определенно были, должны были быть! Иначе это уровень кружка «умелые руки», а не космическое приборостроение. Насколько согласовано работали разработчики электроники и периферии, сколько было макетов и как проходили госиспытания – мне неведомо. С интересом послушаю знающих людей. В заливку «обновления» прямо на космодроме мне не очень верится, скорее всего, это были данные по миссии, то есть когда стало известно точное время пуска, в память БЦВМ надо было загрузить, грубо говоря, «расписание» и «карты». Уж как там эти данные получили и сколько раз перепроверили… По уму их должны готовить 2-3 автономные рабочие группы (причем без доступа к интернету), потом производится сравнение – не совпало, устраиваем разбирательство.

Мое мнение – всё это могло быть причиной неудачи, а могло и не быть. Мало данных о том, как все было на самом деле.

Ну, что тут скажешь… Стараешься, пишешь… а оно не замечается.

Не какой-то стенд, а все этапы испытаний! Нельзя испытывать на КА, который в единственном уникальном числе! Никто не даст там как следует испытывать! Надо иметь не просто кабели на стеллажах, а полноценный стенд электрических испытаний. С полным комплектом бортовых систем, причём комплектом, специально для этого сделанным, который можно гонять на предельных режимах, вводные вводить. И чтоб к ресурсам БЦВМ полный доступ был, хоть в пошаговом режиме программу исполняй.

Чтобы стенд позволял поднять напругу до 37 вольт при штатных 28 и опустить до 21 вольта. И смотреть, что будет с системами, с обменами, что покажет телеметрия и т.д. Отстыковать один их трёх кабелей от гироплатформы и посмотреть, как поведёт себя программа в БЦВМ. А потом отстыковать второй из трёх. Или, скажем, запустить по одному из трёх каналов «все единицы» и посмотреть, что программа будет с этим делать.

И так далее, это я самые простые примеры «вводных» привёл.

Кто разрешить на боевом аппарате поднимать напряжение до 37 вольт? Да я сам того расстреляю! Можно ли на собранном аппарате получить прямой доступ к магистрали БЦВМ? отстыковать гироплатформу, засадить вместо ней имитатор инф. обмена и фигачить «все единицы»?

Нет, ребята, только стенд, полноценный, полноразмерный. Без этого никакого заключения об отработке версии давать нельзя! И акт электрической стыковки системы давать нельзя.

***

Извините за занудство: то, что Вы называете миссией, по-русски называется полётным заданием. Ещё раз извиняюсь за занудство, но уж больно я не люблю этого необязательного американства. Против обязательного ничего не имею…

Объясняю. Запись полётного задания на космодроме – штатная работа. То есть не допустимая, а нормальная. Здесь же, в статье, речь идёт именно о замене версии ПМО или, что ещё хуже, отдельных кусков. Это тоже на первом аппарате дело довольно обычное. Но только надо, чтобы оно было проверено по методике, которая уже много раз доказала свою состоятельность, достаточность. А по тому, как описал это человек в той статье, возникает ощущение полного сумбура.

Автономные группы этим не занимаются, во всяком случае, я такого нигде не видел. Это уже не тот этап, чтобы устраивать разбирательство. Полётное задание (ПЗ) делается по жесточайшему ТЗ. Его структура утверждается на самом высоком уровне, и потом уже никакие «инициативы» с этой структурой не проходят. Это одна из самых контролируемых заказчиком точек. Когда приходят данные по конкретному полёту, пишут конкретное ПЗ по позициям этой структуры. Потом по методике, опять же согласованной заказчиком, на оборудовании, им аттестованном, проводится контрольная имитация полёта с этим ПЗ. Я ж говорю, просидел немало ночей на этих имитациях. Потом записывается на носитель, составляется его паспорт, всё это к заказчику. И вот только тогда можно на борт. Причём тот аппарат, с которого пишут в борт, и методика, по которой это делается, тоже согласовано и аттестовано заказчиком. Вплоть до кабелей – по заводским номерам. Именно в их паспорте должно быть записано, что с ними допускается запись в борт.

В общем, конечно, нельзя сказать, что именно это было причиной именно этой неудачи – данных, согласен, мало. Но моё мнение остаётся прежним: именно это и было. Недостаток стендовой отработки и вообще беспорядок с разработкой и испытаниями ПМО (программно-математического обеспечения).

***

>>Теперь про резервирование. Как я себе представляю, должно быть 3-4-5 вычислительных блока и некий блок сравнения выходных сигналов. С логикой работы – если хотя бы два сигнала совпали во времени – пропускать их к исполнительному устройству. Если всё время совпадают только два – отключить неисправный вычислитель. Если не совпал ни один – включить резервный блок или дать сигнал на ПЕРЕЗАГРУЗКУ всех блоков. Вот, собственно говоря, и причина, что именно могло вызвать перезагрузку… По идее все эти 3-4-5 блоков должны быть на разной элементной базе, программа для них должна писаться разными группами программистов… как раз с той целью, чтобы ни ошибка в железе, ни ошибка в коде не могла привести к утрате КА. Благо сейчас не 70-ыегоды, электроника легкая и дешевая… Если-же было простое дублирование… значит это ошибка проектировщика. быть может, на момент разработки, система надежного резервирования не влезала в вес. это ведь не буран, который летел пустой и там хоть на 20 тонн резервируй…

Если интересно, как устраивается резервирование, могу когда-нибудь рассказать. Сравнение сигналов – это, скажем так, не совсем точно. И на самом деле сравнение/дефектация устраиваются на нескольких уровнях даже в пределах ЭВМ. Как по выходным данным, так и по входным. А ещё есть функциональное резервирование… Алгоритмия управления резервами, которая здесь предложена – самый простой вариант, у нас на спутниковых БЦВК сейчас логика куда сложнее, позволяет и с двумя неисправными каналами лететь, и с тремя (там их, напомню, четыре).

Про перезагрузку. Вот как люди любят перезагрузку… Граждане сисадмины, это персоналки перезагружать можно безопасно, а пользователь посидит, покурит, бананчик погрызёт. Перезагружать управляющую ЭВМ в самолёте с полностью цифровой электродистанционной системой управления не надо, ибо самолёт упадёт. Когда косм, аппарат выполняет манёвр, не надо перезагружать БЦВМ, манёвр будет точно сорван, а аппарат может быть потерян. Только на устойчивой орбите, и то рискуете потерей связи. Если у вас нет всенаправленной, или хотя бы малонаправленной антенны на аппарате, лучше БЦВМ не перезагружать – потом в связь не войдёте.

А насчёт лёгкой и дешёвой электроники… Читали про электронику на кораблях? На летательных аппаратах то же самое. Микросхемы составляют малую долю веса блока. Потому что конструкция должна быть прочной и, главное, жёсткой. В общем, это длинный разговор.

Скажу только ещё раз: ребята, не рубите с плеча! То, с чем вам привелось встретиться на практике, – это ещё не вся жизнь. Вы можете даже не подозревать о требованиях, предъявляемых в областях, где вы не специалисты, и о том, к чему приводят эти требования.

А если «ближе к телу»… Вес системы управления задаётся разработчиком аппарата. А он не хочет возить лишнего! На летательных аппаратах до сих пор веса экономят, и так будет вечно, даже во времена антигравитации. Кому охота сокращать функциональные возможности своего аппарата? Лить в него меньше гидразина, терять год существования на орбите? Снимать какой-нибудь спектрометр, чтобы поставить пятый комплект БЦВМ?

Экономили, экономят и будут экономить! И это правильно! Аминь!

***

А в примечании насчёт «Бурана» вижу концептуальную ошибку.

Ну и что, что он большой? Его «пустой» полёт был первым в фиксированной программе испытательных полётов. Скажите, какова цена испытания, если в нём аппарат летал не с тем, с чем будет летать в штате? Ведь мы не американам хотели нос натянуть этим полётом – тогда суй в аппарат что хочешь. Мы начинали программу лётных испытаний, так что понарошку там не допускалось… Телеметрия дополнительная стояла, да; но это потому, что она давала ИЗБЫТОЧНЫЙ по отношению к штатному объём данных. А вот избыточное оборудование в системе управления… нет, так не бывает. Дополнительное аварийное – да. Типа противоштопорных ракет в первых полётах самолётов.

Да и не так это просто, поставить пару лишних каналов БЦВМ. Четыре – в приборном отсеке и ещё два – в грузовом, в 10 метрах от тех? Ну, это слишком… Да и вообще, что это я размышляю! Шесть каналов – это другое ПО в части операционки и СКД – системы контроля и диагностики. Лететь второй полёт не с той СКД, которая проверена в первом? Ну нет, увольте…

***

В четверг прошло сообщение, что Роскосмосу дают – в этом году 150 млрд, в следующем 170 млрд, а в 2014-м – больше 200.

Это уже не шутки. Бюджет НАСА на 2011–15 составит, как пишут, более $100 млрд, то есть порядка $20 млрд в год. Наши 200 млрд руб. – это уже сопоставимые цифры…

Это может быть хорошо, но – опасаюсь… вы понимаете, чего. В общем, это отдельная тема; считаем, я её столблю.

4 комментариев

  1. Аноним:

    Да вы маньяк, уважаемый мастер.

  2. scaner:

    Отчет комиссии наводит печаль: кое- что рассказали, но фокус внимания перевели в одну точку, на элементную базу и программистов. А ведь есть и другие проколы. На самом деле получать телеметрию устойчиво возможности не было, и оперативно командовать аппаратом тоже возможности не было. Устойчивость связи зависела от ориентации КА. Потеряли ориентацию- и финиш. А это есть ошибка проекта. Этого признавать не хотят.
    Хотя, узнав немного подробностей о темпах разработки и качестве наземной отработки, я пожалуй признаю: возможность перезагрузиться по команде с земли, уйти в аварийный режим или «залить» новый софт шансов на успех не добавила бы. Это был пуск «за бугор», Академия наук не смогла спасти свою программу в 2009 году.

    • master:

      Да, видны концептуальные ошибки; та же двухканальная БЦВМ… Я меньше всех склонен рубить: дураки! элементарных вещей не понимают!.. Я как немногие знаю, насколько изнутри всё не так просто, как снаружи-сверху… И тем не менее считаю возможным сказать: были ошибки в самом наборе бортовых систем. Надо было реальнее к делу подойти, увеличить надёжность именно полётной части за счёт научной. Поставить меньше исследовательских приборов, но обеспечить и аппаратное резервирование, и информационную связь на круговой орбите, и что-то тупое, но архинадёжное для передачи дюжины команд в аварийной ситуации.

      Ну да что ж теперь… При такой постановке дела и это бы не помогло…

Написать отзыв

CAPTCHA изображение
*