Pull to refresh

Comments 241

Блог, подходящий в данному случае в буквальном смысле — «Железо»…
Большое спасибо за статью. Распечатал и отнес разработчикам
Прошу прощения, интересно стало, каким разработчикам?
Сорри, своим конечно :) Чужие уроки
— Армяне лучше, чем грузины!
— Ну чем, чем они лучше?
— Чем грузины!

вот вы точно так же отвечаете на воросы.
Что же вы разработчиков без доступа на Хабр держите? Это же негуманно! =)
Думается мне nbandrei распечатал эту статью как книжку-напоминание «Как не надо делать». :)
Аналогично, надо будет завтра показать кое-кому… Точнее, послезавтра — завтра весь день на «облака без бла-бла-бла» уйдёт.
Почему только 2 блока? В самолетах же как правило по 3 ставят.
3 ставят в системах с мажорированием.
На ФГ 1 вычислитель горячий, остальные теплые.
А в Буране 4 стояло. Вот это я понимаю резервирование.
Мне кажется не стоит катить бочку на Роскосмос за этот прокол. Все же разработка космических аппаратов это очень сложная отрасль и там есть куда развиваться всем странам. Вон американцы с Хабблом накосячили так, что фейспалм это еще мягкая реакция на ту историю. Пусть на роботах тренируются, потом миссия с людьми будет надежнее.
Ну, катить, безусловно, не нужно, но уроки извлечь стоит, и не только «по космосу». Собственно историю я прочитал в блоге Гамильтона, который главный архитектор Amazon Web Services, откуда я его и читаю. Он там прямо говорит, что подобные ошибки, к сожалению, встречаются в любой системе.

Впрочем, использование микросхемы, про которую уже лет пять всем читающим профильные сборники IEEE должно быть известно, что они непригодны для использования в радиационно-жестких условиях космоса, это уже, как раз, некомпетентность. Или невладение английским, что тоже нередко встречается.
Да, хочу уточнить, что я говорил не про статью. Она наоборот, очень доходчивая и полезная. Я про общую ситуацию в интернете — все разговоры про Тихоокеанскую группировку спутников, про Меридиан и 2011 год космоса. Народ по инерции от других событий в стране гребет и космические провалы туда же. Все же фейл ракеты с глонассом и фейл от самого существования «как бы нашего» китайского телефона с глонассом это разные вещи и надо их различать.
Там, скорее всего, все микросхемы такие.
На другие денег никто сегодня не даёт.
— Почему?
— А зачем? И так летает!

Хотя и не всегда :)
На самом деле там дело явно не в деньгах, или не только в них: микросхемы в «военном» исполнении изначально стоят намного дороже своих «обычных» собратьев, да ещё и напрямую попадают под экспортный контроль США, что тоже не удешевляет конечный экземпляр в России.
Ну вы как-то совсем в 70-х застряли.
США покупают у нас реактивные двигатели для «Дельт», запускают своих астронавтов к своей МКС на «Союзах», у нас с ними совместный ЦУП по МКС, у Роскосмоса с НАСА много лет ведется научное и технологическое сотрудничество, сотни совместных научных проектов — а вы все про какой-то «экспортный контроль США».
Вылезайте уже из противоатомного бункера, там некомфортно-же :)
Эмм… нехочу вас огорчать, но «экспортный контроль США» таки никто не отменял, и всё что под него попадает, поставляется только после утверждения в специальных структурах.

В России есть компания Компэл, они занимаются поставками электронных компонентов. Так вот они видимо тоже сидят в бункере… и компания Texas Instruments сидит в бункере, отказывая в прямых поставках «военных» версий компонентов…

Вобщем у нас тут большой бункер, и в нём действительно весьма некомфортно, но выпускать нас что-то никто не спешит! :(
Отказывая кому, лично вам? Возможно. Я же пока только про структуры Роскосмоса говорю. Для НПО им.Лавочкина проблемы получить что-то из под «экспортного контроля» в первую очередь бюрократические, но не более.
Всё же замечу, что это как минимум третья _подряд_ неудача с нашими межпланетными КА.
Первая — Фобос (1988-89 гг.) — потеря связи сначала с одним, потом со вторым ( ru.wikipedia.org/wiki/%D0%A4%D0%BE%D0%B1%D0%BE%D1%81_%28%D0%9A%D0%90%29 )
Вторая — Марс-96. Не смог стартовать к Марсу, сгорел в атмосфере Земли ( ru.wikipedia.org/wiki/%D0%9C%D0%B0%D1%80%D1%81-96 )
Ну и теперь Фобос-Грунт.
Так что бочку катить всё же стоит.
Что касается Хаббла — они накосячили, но они его и починили. Сколько с тех пор мы с Хаббла данных получили — огромное количество.
Это далеко не третья, еще были экспедиции на Венеру, там тоже косячили не раз. Но это очень сложная область, так что я бы не придирался.
Было время когда мертвых космонавтов доставали из посадочных капсул, а стоящим рядом журналистам говорили что герой устал после выполнения полета, а тут всего-то пара плат сгорела. Через тернии к звездам.
Это сложный вопрос. На деньги потраченные на создание Фобос-Грунта можно было бы спасти жизни очень многих людей (которым не сделали операции, которые не смогли купить жизненно необходимых лекарств и т.д.)
Просто раньше романтики было больше.
С одной стороны да, а с другой стороны, экстраполируя такой подход, чере несколько поколений мы получим просто набор существ, которые только питаются, размножаются и… хм… и все. На то мы и человеки, чтобы к чему-то стремиться, но это так… философия.
Получим. Но есть подозрение, что большинство человеков этого и хочет…
большинство человеков этого и хочет.
именно поэтому, большинство не должно определять вектор развития, т.к. это вектор наибольшего сопротивления, а большинство хочет двигаться с наименьшим.
Еще давным давно же было известно о поведении электроники в космосе. Для этих исследований и создавали космические станции.
Когда прочитал был очень удивлен компоновке вычислительного блока. Я всегда думал что применяют 4 абсолютно идентичных компьютера, как и везде. Так что ни о каких нерегламентированых параметрах речи быть не должно — уже не первый десяток лет отправляют аппараты в космос.
Точка зрения о слаженности работы разных подрядчиков — уже ближе к истине. И неясно из-за чего это. Неужели финансирования недостаточно для должного контроля качества
Про компоновку — тут шаблонного решения быть не может. Зависит от того, что и куда запускаем. Космический аппарат, даже для околоземки — это не автомобиль, чтобы к нему шаблонные решения были легко применимы. Тут компоновка полостью объясняется стремлением выгадать в массе аппарата и в полезном объёме. И почему рядом было размещено — тут могу предположить несколько причин. Первая — КБ, которое разрабатывает модуль, получает ТЗ (с этим же вообще беда бывает, кстати, грамотно составленное ТЗ получить — это событие редкое и может вызвать у разработчика предоргазменное состояние), в котором их творению тупо отводится определённый объём. Вот и крутись в нём, как знаешь… Второе — любой электронный модуль надо как-то охлаждать, близкое расположение двух компонент даёт возможность использовать для них единый охлаждающий блок (с охлаждением электроники в космосе ведь тоже беда, если что). Ну и третье — при разнесении модулей неизбежно возникает проблема коммутации между ними, а, думается, в космическом аппарате шина как-раз может стать весьма уязвимым элементом.
Вы все верно говорите, но статья как раз о том, что подход «как в ТЗ написано, так и делаем, а остальное не ипет» — это как раз и есть проблема в разработке таких сложных систем. Автор как раз считает (и думаю правильно), что отсутствие более широкого системного взгляда, проблемы «горизонтальной» интеграции и отсутствие обратной связи — и есть причина того, что получили то, что получили. Вертикальная разработка и узкие специалисты несомненно нужны, но так же и очень важно, что узкий специалист заметив проблему (даже есть так сказано сделать в ТЗ) мог эффективно донести это до интегратора, и от него не отмахнулись бы «делай как сказали». И наоборот — что бы интегратор хорошо представлял себе общую картину и мог бы заметить проблемы, которые не видны на уровне отдельных компонент.
Проблема в отсутствии стимула к производству в России. Необходима перетряска налогового законодательства и таможенных пошлин в пользу местного производства. Тогда будут появляться все больше Инженеров, которые не допустят таких ошибок.
На автомобили повысили таможенные пошлины… И толку? Гранта?
Как раз пошлины и бюрократия убивают всё. Помнится один чел написал статью, как он хотел создавал производство раций в России и Китае. Так на растаможку комплетующих для разработки нужно было каждую радиодеталь записать в деклации, в одной деклации не более 8 штук, а таких радиодеталей было 8 тысяч наименований, там на одно заполнение деклараций ушло больше денег, чем на эти детали, не говоря о времени. В то время, как в Китае декларируются только готовые товары, а всякая комплектуха тупо на вес.
Плюс нет такого дебилизма как вещи двойного назначения, когда для создания обычной рации еще кучу разрешений у вояк, фсб и прочих получить. Так что бизнес наоборот тянется туда, где меньше всяких таможенных запретов, пошлин, бюрократии.

В общем почитайте www.novayagazeta.ru/society/43605.html весьма интересно.
UFO just landed and posted this here
UFO just landed and posted this here
Извините, не осилил, чересчур живописно пишет.

Отчасти поэтому я предпочитаю зарубежные источники. Сравните слог у Spectrum с вот этим вот.

Мне не кажется, что авария это повод глумиться над чем-либо в принципе.
UFO just landed and posted this here
Вот приведём отрывок из того, что в Воронеже, в конце января, сказал на «разборе полётов» глава Роскосмоса Владимир Поповкин: «Там микросхемы, которые были применены, в отличие от тех микросхем, которые раньше применялись на „Фрегате“, — они меньше по типономиналу. Там вместо 200 нанометров где-то 90 нанометров. Но это импортная компонентная база, и, конечно, вот причина, наверное, в этом». Так. Поразительно интересно! Что, существует закон природы, согласно которому переход на следующее поколение микросхем, с меньшими допусками, сам по себе должен сопровождаться снижением их надёжности? Надо же…


Видимо автор не удосужился подумать о том, что чем меньше тех. процесс, тем больше влияние ионизирующей радиации на чип.
«чтобы микросхемы памяти в них была расположены так близко, что прошивались-бы одной частицей, и вызывали (одновременный!) сбой сразу обоих сдублированных компьютеров, это уже явная конструктивная недоработка «верхнего уровня». „

Хм, а как надо было расположить?
Через 2 точки (2 микросхемы памяти) всегда можно провести 1 прямую (трейс частицы).
Выход — тройное дублирование как в авиации, но космос, все дела, дорого дубли размещать вместо полезного груза.
Получается что просто не повезло.
В космос всегда по 4 посылали и ничего
Микросхемы все же не точки, чем дальше их расположить, тем меньше можно провести прямых под разными углами.
Там ниже написано, что эти компоненты на устойчивость радиации не проверялись. Поэтому ставить их на космический аппарат нельзя было в принципе.
Ну это-то понятно.
Я не зря же фрагмент цитируемый выделил.
Только вот микросхемы памяти — не точки. Этим и объясняется, почему чем дальше они друг от друга, тем меньше вероятность попасть на ту самую приямую, по которой летит частица. Попробуйте нарисовать.
Спасибо, отличная подборка фактов. И история в целом поучительная, только проект жалко.
Неправдоподобно же, что вот так вот 1 частица пролетела и вывела 2 блока. Может, просто в программе ошибка была? или это какой-нибудь кусок солнечного шторма (или как называются потоки частиц, которое оно иногда испускает?) прошил спутник? Или жителя Фобоса не хотят, чтобы их исследовали?
Там было сразу несколько ошибок. Одна с микросхемами, а вторая, проявившаяся после сбоя, что, после перехода в Safemode на орбите, не был предусмотрен прием команд с запущенного аварийного канала. Он предполагался использовать только далее, на отлетной траектории, до которого дело не дошло. То есть штатно включившийся Safemode, после срабатывания watchdog, повис без возможности вывести систему из него. То есть, как я понимаю, аналог знакомого нам «перезагрузился, встал в BIOS и ждет нажатия Any Key, когда клавиатуры у системы нет». Ну это я утрированно, и образно, чтобы понятнее было ситуацию по аналогии.
К сожалению российский космос весь засекречен, ни слова, ни подсказки потенциальному противнику. Все приходится вычитывать по крохам из зарубежных журналов :-/
Хм, а что мешало возложить такую банальную задачу как перезагруз БЦВК на «тупую автоматику»?
Перезагружать нужно с чего-то, а тут оба хранилища погорели. Потому и включается связь с Землёй — чтобы загрузить программу заново.
А, вы в этом смысле. Просто шла речь о поломке ОЗУ, ПЗУ ведь при этом может быть исправным.
В статье, к сожалению, не так много точной технической информации, но я понял что там было два «горячих» блока с ОЗУ и ПЗУ не предполагалось. Если я ошибаюсь, действительно встаёт вопрос почему с него нельзя было попробовать загрузиться.
Возможно предполагалось, что все это должно происходить не само. А раз сбой, значит у него есть серьезная причина, значит рапортуем на Землю, встаем в safe mode, включаем радиоканал и «поднимаем консоль», и пускай специалисты смотрят, что произошло.
А тут так получилось, что радиоканал включили, а запуск «консоли» до отделения разгонного блока, то есть до выхода с околоземной орбиты, почему-то не предусмотрен был. То есть передавать команды можно, а на том конце их никто не принимает.
Ну вот такой процедурный глюк.
Видимо, ПЗУ не предусматривалось. В теперешнем мире я даже не знаю есть ли адекватные целям, ценам, надёжности и объёму ПЗУ. Даже не очень понятно использовались ли вообще там ПЗУ и ранее. Хорошо ведь известны истории с перепрограммированием в полёте американских межпланетных аппаратов. С ПЗУ такое ведь невозможно.
Тем не менее ПЗУ есть в американских марсоходах.
Ну, я рад за них и даже и не спорю. :)
Проблема там может быть ещё и в другом — записываемое ПЗУ зачастую так же уязвимо к действию космических лучей, как ОЗУ. А программируемое на этапе изготовления сильно не технологично в случае изготовления единичных экземпляров.
Я так подозреваю, что ПЗУ, как и ОЗУ, и любые другие комплектующие производят с маркировкой space. Ведь спутники давно переходят на цифру, а там без ОЗУ, ПЗУ, Flash-накопителей никуда.
ПЗУ там есть, а перепрограммируют flash, eeprom и т.д. — тоже своего рода ПЗУ (в смысле данные не пропадают без питания), но стираемые. И они обычно намного надежнее, чем ОЗУ.

Скорее всего просто софт недотестировали. Сразу всего не предусмотришь, нужно множество испытаний «в ситуациях приближенных к боевым».

Пишу простые земные встраиваемые приложения на железе, в котором мало что может поломаться — никто их в печку не ставит, рентгеном не просвечивает, молотком не бьёт и даже на пол не роняет. Но вот сегодня при прошивке очередной партии устройств три штуки не прошли последующие испытания — не включается USB, тупо виснет при попытке включить этот модуль контроллера. И в моей программе возможность этого невключения никак не предусматривалась, и в результате вся система висит, хотя всё остальное и без USB могло бы свои функции выполнять, т.е. на 90% работать. И даже пока не знаю, как такую ситуацию обрабатывать — о том, что USB не пашет, не узнать, пока его не включишь, а при попытке включения — железо виснет, включая watchdog. Т.е. нужен «внешний наблюдатель», которого в устройстве нет — есть живой оператор, который может перевключить систему, и отнести её в ремонт, если не пашет. В космосе такие штуки не пройдут, поэтому надо все возможные ситуации заранее просчитать, промоделировать и отладить…
А марсиане оказывается еще те расисты — не хотят, чтобы их изучали именно российские аппараты
При этом советские аппараты они принимали вполне благосклонно ;)
UFO just landed and posted this here
хорошо, что решили написать. спасибо за статью.
У Бурана, кажись, 4 компьютера было на борту. Хорошо задублировали

Хотя тут понятно, много железа с собой на Марс не потянешь. Но лучше бы это, чем решение прикрепить туда китайский микроспутник до кучи
Китацы-то поди валютой заплатили :-/
> Только факты и прямая речь специалистов.

А я ещё подумал, почему так понравилось изложение? Наверное поэтому :)
Интересный форум по теме.

Вообще то про то что виновата именно эта микруха — это просто догадки. Из фактов у них по всей видимости только то что 2 модуля перезагрузились из за срабатывания вочдогов.

Теоретически тут и софт может быть виноват, особенно если в двух модулях одинаковая прошивка…

Глубокий космос? По-английски он может и deep, а вот по нашему дальний.
Солнечная ориентация на ФГ средствами «тупой» автоматики это байки.
Надо все-таки, достать обломки с глубины океана для дальнейшего тщательного анализа.
Спасибо. Очень надеюсь, что этот инцидент даст нужным людям самое дорогое (в данном случае 5*10^9 только рублей, не считая других, более… неприятных в психологическом плане, потерь) — опыт.
Потеряно не так уж и много денег — аппарат был застрахован на фактическую стоимость его изготовления. И хотя большая часть стоимости программы — это не сборка, а разработка, но технологии никуда не делись, поэтому можно сказать, что ничего не потеряли.
Уверены насчет полной стоимости? Были же даже скандалы из-за того, что страховали только часть стоимости спутников, и более того страховая компания находилась в здании Роскосмоса.
Нет, не уверен — по новостям просто как-то говорили о том, что застраховали стоимость сборки. Могли конечно и наврать или сказать полуправду :)
Ах, отличный стиль написание статьи, читал как триллер.
>На борту Фобоса размещалось два независимых модуля ЦВМ22, работающих параллельно, независимо, и обеспечивающих горячее дублирование, на случай выхода из строя любого модуля в паре. Такое дублирование — общепринятая практика в авиационной и космической технике.

Какое ламерство! Помнится, в «Да вы наверное, шутите, мистер Фейнман!» автор рассказывал о бортовых компьютерах шаттлов американских (без малого полвека назад) — так там было 5 (пять, блин!) дублирующих компьютеров в разных частях шатла, с системой автоматического выбора глюкнутых коллег методом голосования. А у нас забыли старую морскую пословицу о том, что выходить в море с двумя компасами бесполезно — надо брать либо один, либо три.
У пилотируемых и автоматических аппаратов разные критерии в смысле дублирования систем.
Ну, ок, предложите алгоритм выбора верного значения от двух разных систем. Вот сказал вам один датчик, что температура +100, а второй — что +200. Кому верить?
Я думаю здесь дублирование не смысле сравнения данных и голосования, а в смысле возможности отключить один (когда становится известно что он неработоспособен) и переключиться на другой.
Так в том-то и дело, откуда вы узнаете какая система работает неправильно? Или дублирование только от случаев полного выхода из строя?
Да — от полного. Ну например (чисто фантазирую) написать софт так, чтобы он раз в секунду выдавал сигнал на тупое устройство. Если сигнала нет две секунды, тупое устройство вырубает молчащий комп и врубает второй. Вероятность того, что сбой произойдёт непосредственно перед выполнением маневра — невысока. Поэтому это вполне вариант.
А если сбой произойдёт в контролирующем модуле? И он не то выключит?
Этот «контролирующий модуль» — не микросхема, а глупое примитивное устройство из пары транзисторов, резисторов и конденсаторов. С одним входом и одним выходом. Оно просто выдаёт сигнал на выход, если на входе долго ничего нет :)
UFO just landed and posted this here
А если комп работает, но не так? Скажем изза сбоя памяти заглючила некая переменная и результат вычислений пошел не такой какой надо?
Чтобы такого не было надо использовать память с обнаружением и коррекцией ошибок.
Глюк может быть и в регистре процессора. Тут все не проконтроллируешь. Надо сравнивать систему в целом. Мажоритарными механизмами.
Ну, если уж на то пошло, то пожалуйста: глюк в работе датчика вряд-ли даст постоянную дельту на сто градусов, так что у одного из них сто градусов — это мгновенная погрешность. Просто понаблюдаем за процессом: если на первом датчике появляются цифры +150, +75 и даже 0, а на втором показания колеблются в пределах +_ пары-тройки градусов, то больной обнаружен.
Если не ошибаюсь, примерно так определяется неисправность датчика в авиационных алгоритмах, недавно тут как раз статья была.
>недавно тут как раз статья была
ага, и в той статье рассказывали о троекратном дублировании систем. Не двукратном.
Всё верно, да только не совсем. Само по себе резервирование по количеству n не является показателем надёжности системы. Было-бы так — летали бы самолёты с 15 модулями, на самолёте-то такой безумной экономии нету.
Легко описать систему из двух элементов, которая будет гораздо надёжнее системы из трёх, пяти и так далее элементов. Тут в топе совершенно верно заметили: общая надёжность системы — функция от произведения надёжностей её компонент.
Если бы это было правильное определение надежности системы, то в дублировании не было бы смысла, т.к. оно только ухудшает надежность.
Каждый следующий элемент увеличивает надежность системы все меньше и меньше. Более 4 одинаковых элементов как правило уже тупо не окупаются.
Обратите, пожалуйста, внимание на словосочетание «как правило».
Надежность одной системы — да, ненадежности перемножаются. Но дублирование и прочее резервирование — это параллельные системы, их перемножать не нужно, т.к. они не в одной цепи. Вот понятная аналогия — у нас два глаза, каждый из которых легко повредить, но лишиться сразу двух глаз труднее, чем одного. Один выколотый глаз может быть «напоролся на ветку», но два выколотых глаза — это уже результат чьего-то злого умысла. Так и с космосом: один вырубившийся выч.модуль может быть случайностью «шальная пуля», а два вырубившихся одновременно модуля — это хуже, это где-то серьезная ошибка.
Возможно датчик с большой дельтой как раз прав, а второй тупо перестал снимать данные и выдает какой то небольшой фон.
Я бы по-другому сформулировал. У стотонных орбитальных аппаратов и межпланетных АМС с полезной нагрузкой в считанные центнеры весом несколько разные критерии в смысле дублирования систем.
Так и во времена когда делали шатлы компы были намного больше. Тут в статье писалось, что и так почти 30 кг сэкономили, на новых компах, так что спокойно могли поставить 3 или 5 компов, вместо одного старого.
Да судя по результату — лучше бы старый оставили, честное слово.
Учитывая, что основная проблема была не столько в железе, а в подборе этого железа и правильной компоновке. То не факт, что старый бы нормально отработал.
Я думаю старому «теплому ламповому» (сарказм) жесткое излучение было бы нипочем. 8) И я всё-таки позволю не согласиться с вашим мнением, так как вы только подтверждаете, что дело в железе: «а в подборе этого железа».
Я думаю его не от хорошей жизни меняли. А учитывая как Роскосмос умудрялся топить спутники, переливом нескольких тонн топлива, то и «теплое ламповое» не факт, что выручит.
Ну вот есть такое мнение, что вот, «при СССР все лучше было». На самом деле тогда косячили, вспоминаю давно читанные воспомнания по Бурану:
buran.ru/htm/memory11.htm

Весьма живописно описан процесс приемки оборудования производства космической отрасли, тогда еще сильнейшей в мире космической державы.
Просто тогда везло, а сейчас, по-видимому, уже не везет. Или вот такого въедливого лейтенантика не нашлось.

Кто захочет целиком, если вдруг, то читать отсюда:
buran.ru/htm/memory.htm
Да в принципе и звание сильнейшей космической державы уже тогда сомнительно было. Во времена Бурана первыми уже однозначно были штаты. И на Луну слетали, и Буран слизывали с Шаттла.
Спасибо, перечитал с большим удовольствием.
В 1996ом по причине расхождения в показаниях двух указателей воздушной скорости (один датчик находится у капитана, другой – у второго пилота) разбился рейс 301 Birgenair, унеся жизни 189 человек – самые большие потери в авиакатастрофах с участием Boeing 757.

Фильм можно посмотреть, например, здесь (называется NASEKOMIE.mp4).
Всё же, версия о воздействии ТЗЧ — это всего лишь версия, означающая, что не смогли выяснить причину одновременной перезагрузки двух БЦВМ.
UFO just landed and posted this here
UFO just landed and posted this here
Что-то Вы не то насчитали, понятное дело что выход одного устройства из 5 более вероятен, но поскольку это всё дублирующие устройства, то нужно считать одновременный выход из строя всех 5 устройств, а не части из них. А то по вашим расчетам получится, что надежнее вообще ничего не дублировать.
Все было бы так если бы был 100% надежный механизм обнаружения неисправности и ввода резерва.
Это не столь важно. Механизмы обнаружения тоже можно дублировать.
Участвовал в одном из проектов одного НИИ где требовался примерно такой механизм. Реализовали просто: все механизмы соединены шиной (примитивной 1 провод) и как только с один их механизмов определяет что от другого идет бред, то сразу берет на себя роль основного. Если вдруг первый починится (бывает и такое) то он становится в резерв. Соответственно таких можно сколько угодно плодить и не потребуется отдельного механизма обнаружения.
Этот механизм проще и сам по себе надежней дублируемых устройств. От того насколько именно он надежней зависит предельное/оптимальное количество дублей.
UFO just landed and posted this here
Если правильно считать, то на бумаге и в железе должно быть одинаково (с учетом погрешностей модели).
Смотря что считать надежностью. Пусконаладчики не любят мажоритар лютой ненавистью, т.к. они штамп «Принято» получат только лишь тогда когда система заведется с 100% готовностью, а на троированой системе верояютность этого в три раза меньше. Это считать сдавать не одну систему, а три, да еще в синхроне.

Но работоспособность троированой системы намного выше. т.к. отказ одного не рушит все.
Ок, возьмем наглядный пример, RAID-массив с зеркалированием.
Допустим вероятность выхода из строя винта за гарантийный срок 5%, т.е. 0,05. Имеем надежность 0,95.
Итак получается если мы сделаем RAID 1 на 4 винтах, то по расчетам автора получим надежность системы 0,95*0,95*0,95*0,95 = 0,82.
В таком случае внимание вопрос, накой тогда нужно тратит бабло на 4 винта, если это только ухудшает надежность?

А все потому, что перемножать нужно не вероятность работы (работа у нас не является чрезвычайной ситуацией или каким-то единичным случаем), а перемножать нужно вероятности отказа (о чем кстати написано в той же Wiki).
Т.е. нужно 0,05*0,05*0,05*0,05 = 0,00000625, соответственно наглядно видно, что вероятность загибания 4 дисков одновременно крайне маловероятна, и тогда в применении RAID 1 появляется смысл.
Что есть «холодный резерв»? Как он становится «горячим резервом»?
В чем преимущество второй железки в «горячем резерве», ведь железки изнашиваются одинаково?
Преимущество в отсутствии паузы в работе, как я понимаю.
UFO just landed and posted this here
Остаются вопросы:
Кто включает «холодный резерв»? Все тот же «маленький супернадёжный» арбитр?

Каковы критерии выбраковки? Время принятия решения арбитром?
Некоторые системы сложны, так просто и быстро определить неисправную вряд ли получится.
UFO just landed and posted this here
Благодарю.
Мне надо для одного проекта практические и математические нормы/методы резервирования, поэтому и уточнил.
UFO just landed and posted this here
Я может чего-то не понимаю, но неужели экраны не спасают?
От частиц высоких энергий понадобятся такие экраны (свинец такой толщины), что никакая ракета «Энергия» (сто тонн ПН на низкой орбите) не поднимет. Простите за тавтологию.
Есть нехорошее подозрение, что за 20 лет у нас разучились делать сложные технические системы во многих отраслях.
Нам в институте даже не пытались «проектирование систем» дать. Просто в зачетке расписались и гуляй.
Буквально вчера с соседом по даче общался на эту тему. Он устроился работать на какое-то предприятие в Москве, которое занимается космосом. Говорит, что был в шоке от увиденного — всё оборудование на предприятии 50-60 годов прошлого века, нового нет вообще НИЧЕГО. Офигел, когда увидел, как обрабатываются детали для космических аппаратов — приходит «дядя вася» и напильником стачивает заусенцы на деталях, пальцем проверит и дальше напильником… После этого ничуть не удивительно, что у нас то одно упадёт, то второе не взлетит.
Ой, да, сосед по даче — это источник, заслуживающий особого доверия. Уровень достоверности — просто зашкаливающий: «какое-то предприятие, занимающееся космосом...».
Вот что я расскажу: года два назад у нас, в Питере, в Сосновом Бору АЭС взорвалась. Что, не знаете? А ведь полгорода тогда точно знало, что взорвалось, или утекло что-то, или облако зелёное вылезло и радиацией так и светит. И все, кто про это знал — точно были уверены, потому что у всех был сосед-военный, который обо всём и рассказал.
Вот такие жуткие вещи творятся в этой стране. И не узнали бы мы ничего и никогда, если бы не честные соседи, знакомые сотрудников на работе и отдалённые родственники.
Вопрос доверия к источникам всегда нетривиален. Тут уж абсолютно не факт, кому больше верить — какому-то блогеру, соседу по даче, тележурналисту или какому-нибудь пресс-секретарю.
Действительно, ведь для кого-то и фон Браун был соседом по даче )
а какой смысл ему что-то придумывать? Это не новость о какой-то аварии, он не рассказал каких-то жареных историй… дядьке уже за 50, он просто поделился впечатлениями от новой работы.

ну и сопоставляя различные факты и небылицы из различных источников, можно с большой долей уверенности утверждать, что всё примерно так и обстоит на самом деле.

Совсем недавно тут же на хабре была новость о том, как кучка диггеров шарилась по некому московскому особоохраняемому заводу, который испытывает двигатели для ракет. несколько ночей эти «вражины» спокойно обшаривали этот завод, попутно всё фотографируя. при этом они даже ни разу не встретились с охраной.
Не только у нас. У американцев уже утерян секрет изготовления Шаттлов… Не говоря уже об Апполонах лунной программы.
UFO just landed and posted this here
С чего это утеряно? Просто Шаттлы как и Апполоны давно морально устарели, плюс задачи сменились, сильно развились беспилотники и прочая робототехника. Вы видели какой марсоход запустили американцы сразу после Фобос-Грунта, да там целая махина весом 900 кг, а какая у него система посадки хитрая.
Фиговина. Глобально дело совсем в другом — наивно предполагать что разработчики не знают о влиянии излучения на микроэлектронику. Может не с точностью до цифр и вероятностей (те, кто не занимается этим специально), но общий смысл понятен всем. Недавно приходилось общаться с группой товарищей, связаных с космическими разработками — общий посыл в том, что «денег на радиационно-стойкие технологии никто не даст — просто не вписаться в указанный заказчиком бюджет». Ну и вторая проблема — микросхемы для космических применений купить кому попало (например организациям из России) весьма непросто. Поэтому ставят то, что имеет хоть какие-то сертификации для специальных применений, делают дублирование-троирование и надеются, что «пронесет». Ну либо используют отечественный микросхемы, предназначенные для подобной эксплуатации, но функционально отставшие десятка на два лет (тот самый коспьютер весом 30 кг вместо полутора).
За пол года да запуска Фобос-Грунт один с сотрудников написал открытое письмо, в котором говорит, что делают недобросовестно. Рекомендую всем почитать.
«цель стратегии — обеспечение мирового уровня российской космонавтики и закрепление России к 2030 году в тройке ведущих мировых космических держав.»
С первого взгляда хорошая такая цель, если только не вспоминать, что по количеству запусков в год Россия пока на первом месте, т.е. цель не дать спуститься ниже третьего места :)
Но исследование космоса это не только ракетные запуски. Например из межпланетного космоса и многих областей научных исследований Россия ущла уже много лет назад. А США, например и James Webb запускают, и New Horizons, и к Сатурну, и к Меркурию, и на Марсе «тележки» уже сколько лет ездят.

Россия же словно удовлетворилась свое ролью «космического бомбилы»
— Шеф, на околоземную!
— Э! Покажешь как лететь — садись!
Ну со штатами то понятно, но походу уже готовятся и Китай пропустить вперед.
При СССР довелось поработать на «Прогрессе». Видел кто и как изготавливал детали спутников. Видел(где-то ещё завалялись) отечественные электронные компоненты, на которых не было живого места от обилия цветных маркеров о прохождении ступеней отбора и тестирования. Даже на наземное оборудование шли детали с не менее тремя маркерами. Какие к чёрту «military-grade» made in ненаше. Хотя и тогда Лунный модуль утопили. Тяжёлый был, торопились Американцев опередить. Но это был инцидент а не серия.
Не серия? А почему тогда Н-1 так и не полетела?
Считается, что решили не строить стенд для испытания двигателей в связке т.к. это долго и дорого (испытывали только по-отдельности каждый). А в связке они повели себя иначе.
Но это всё конечно детали, в целом же просто технически и организационно слишком отставали от США. Ну и финансово тоже, естественно. Вопрос — зачем, понимая это, нужно было ввязываться в эту лунную гонку, если можно было заняться другим проектом. Нельзя быть всегда первыми во всём.
По-моему, проблема с двигателями была с самого начала, из-за чего и пришлось использовать три десятка двигателей Р-7. И если мне не изменяет память, большая часть неудачных пусков объяснялась аварией одного из трёх десятков этих достаточно надёжных поодиночке двигателей. На мой взгляд, ближайший по надёжности аналог такой системы — гирлянда из последовательно соединённых лампочек.
Двигатели были одноразовые, к повторному запуску не пригодные. Строили партию из 5-7 двигателей (не помню точно, читайте Чертока «Ракеты и люди») и убивали 1-2 двигателя на испытаниях. По результатам испытаний судили о надежности всей партии.
Потому, что это сверхдорогой проект. Их было где-то всего четыре запуска.
Ракету не доработали конструктивно, а не потому, что пичкали некачественной электроникой.
Стыдно за себя стало, за отношение к работе/учебе. Спасибо, очень интересная статья.
2.3. Наиболее вероятным фактором, который мог стать первопричиной двойного «рестарта», является локальное воздействие тяжелых заряженных частиц (ТЗЧ) космического пространства, которое привело к сбою в ОЗУ вычислительных модулей комплектов ЦВМ22 во время полёта на втором витке КА «Фобос-Грунт».

В переводе на человеческий язык: «Мы ни хрена не знаем, что произошло, но что-то типа влияния космических лучей на загробную жизнь мандавошек» :)

Простите… :))
Вспоминая курс теории вероятности, замечу: чтобы резервирование повышало надёжность, резервируемые системы должны быть максимально независимыми друг от друга. Об этом говорится и в статье, когда упоминается чрезвычайно близкое расположение микросхем памяти. Я бы предложил пойти дальше и использовать БЦВК различных конструкций. В таком случае выход обоих блоков из строя был бы куда менее вероятным.
Луна — это все же отколотый в прошлом «кусок» Земли, а не настоящая «планета»

А откуда родился этот изумительный факт? Много всякого было начитано и нагуглено, но чтобы вот так — впервые.
Когда-то читал о гипотезе, и вроде ее подтверждают пробы лунного грунта, что Луна — это часть Земли, отколовшаяся/отлепившаяся в результате катастрофического столкновения Земли с другим небесным телом где-то 4 миллиарда лет назад. И вроде как так образовался Тихий океан в последствии.
Только, пожалуйста, не минусуйте — реально читал об этом, кажется, в старом журнале «Природа».
Минусовать не буду, но в логику не въеду — это какой должен был быть направленный удар, чтобы выдрать такой кусок из недр планеты и при этом ни в одном месте её не расколоть? Щипцами выкусывали что ли? А если бы и откололось что, то планета бы у нас была менее ровная, луна менее ровная и какой никакой пояс астероидов хоть где-то фигурировал бы.

Может, конечно, я жестоко профанирую, но это не укладывается в здоровую логику.
скользящий удар, от обоих тел откалываются осколки. Те, которые достигли первой космической — уходят на околоземную орбиту. Под действием гравитации облако осколков концентрируется и становится луной. Подробнее — en.wikipedia.org/wiki/Giant_impact_hypothesis
Ну попробуйте по каменному шарику ударить чем-то большим и тяжелым и чтобы в результате получились 2 ровненьких каменных шарика :)

Смешная гипотеза, честное слово.
UFO just landed and posted this here
Во-первых поведение каменных хреней даже планетарных масштабов и жидкостей — это совсем разные вещи.

Во-вторых, Луна — это настолько маленький космический объект, что внутренние гравитационные взаимодействия у нее весьма малы. Ее радиус составляет 1737,10 км, т.е. диаметр 3474 км. Диаметр Земли все-таки существенно побольше — 12000 км.

Даже если бы вдруг какие-то осколки от Земли прилипли друг к дружке — они бы уж точно не приобрели бы такую идеальную сферическую форму, которая, замечу во время солнечного затмения ИДЕАЛЬНО закрывает Солнце. Даже за миллиарды лет.

В-третьих, в Земле в принципе нет ни одного места, которое можно было бы считать местом гигантского прото-столкновения. Осталась бы гигантская яма, размером как минимум с Луну.

Подобных ям просто нет. Самая глубокая Марианская впадина имеет глубину 11 км. А диаметр Луны, напомню, 3474 км.
UFO just landed and posted this here
>> недра Земли и сейчас — жидкость, каменная у нее только корка (пруф: вулканы).

Ну насколько у Земли недра являются жидкостью — это еще вопрос. То, что немногочисленные вулканы крайне редко побрызгивают лавой — это доказательство того, что расплавленная магма где-то в недрах есть, но это не является доказательством того, что все земное ядро является жидким — этому доказательств нет. Человечество пока не углубилось в земную кору глубже, чем на 11 км, чтобы утверждать это убедительно.

>> гравитация на Луне не так уж мала, целых 1/6 земной, чтобы улететь с нее нафиг, нужна скорость 1.7 км/с (пруф: лунные экспедиции).

С лунными экспедициями там есть много вопросов, так что я бы не стал их как надежное доказательство приводить. Но пускай даже и 1/6 земной гравитации. Представьте себе, какая нужна гравитация, чтобы из гигантских, разнокалиберных каменных осколков получить монолитное, гладкое, без единой трещинки сферическое планетное тело идеальной формы?

>> молодая Луна была по большей части расплавлена (пруф: поверхность лунных морей сложена застывшими вулканическими породами).

Мы про молодую Землю-то мало что знаем и я бы сказал, что то, Земля когда-то была жидкой — это тоже не более чем гипотеза. А про молодую Луну что-то определенное утверждать еще в 100 раз сложнее.

>> Луну довольно сильно колбасит приливными силами (за счет притяжения Солнца и либраций), перепадами дневных/ночных температур и ударами метеоритов. Так что Луна даже сейчас понемногу «утрясается», выравнивая поверхность по гравпотенциалу.

Под воздействием разнообразных сил полужидкая Луна должна была превратиться в аморфный, неоднородный, неровный кусок камня, но никак не в идеальное сферическое тело, у которого приплюснутость составляет 0,00125.

Плюс к этому есть как минимум 2 совершенно очевидных и необъяснимых факта, которые нафиг рушат все подобные теории:

1) Луна всегда повернута к Земле одной и той же стороной.
2) Видимый с Земли диаметр Луны В ТОЧНОСТИ совпадает с диаметром Солнца, при том, что реальный диаметр Луны в тысячи раз меньше диаметра Солнца.
UFO just landed and posted this here
Почему же куда менее массивные Плутон и Тритон (спутник Нептуна) — шарики, а не аморфные «картошки»? Почему крошечные (500 км и того меньше!) спутники Сатурна навроде Энцелада и Мимаса — более-менее гладкие шарики?


Что ж, признаю, что есть более мелкие спутники, чем Луна имеющие сферическую форму. Судя по всему, сферическую форму спутники начинают приобретать начиная с диаметра от 500 до 1000 км. Более мелкие спутники действительно выглядят как аморфные картошки. А крупные — все круглые. Однако же нет никакой уверенности, что хоть один спутник в Солнечной Системе образовался именно из-за удара какого-то космического тела о соответствующую планету. Более вероятно, что планеты просто захватили пролетавшие мимо, уже сформировавшиеся, спутники своей гравитацией.

Ну первый факт — как раз неизбежное следствие приливного трения, труднее найти мало-мальски устойчивый спутник, для которого это не так:)


Действительно, довольно много подобных спутников. Признаю свою ошибку. Не знал.

А вот совпадение видимых диаметров (или, что то же самое, отношений расстояний до соотв. тел к их диаметрам) — действительно вещь занятная. Продолжая занимательную нумерологию, можно найти, что и отношение диаметра Солнца к диаметру Земли близко к этому же числу с погрешностью <1%. А также то, что среднее расстояние до Луны в перигее равно примерно 27 земных диаметров, а в апогее — 30 таковых, что отлично стыкуется со «сказочной» формулой «за тридевять-тридесять Земель» :). Но смелые выводы из этих совпадений (вплоть до того, что вся солнечная система является артефактом), имхо, несколько преждевременно;)


Ну мы не будем такие выводы делать, однако же вышеуказанную гипотезу я все еще считаю более чем сомнительной, так как если например у Юпитера 67 спутников, так что ж — в него 67 раз врезались какие-то гигантские протопланеты?
Последние два факта — вообще с трудом объяснимы, как правило их объясняют совпадением.
Факт 1. — Луна повернута к Земле одной стороной.
Весь фокус в том, что Луна постепенно удаляется от Земли на 3 см в год. С удалением, возрастает период обращения. Т.е. согласно общепринятой теории, это просто совпадение, что период обращения вокруг своей оси совпал с периодом обращения вокруг Земли. Лично мне это кажется сомнительным, т.к не зря лицевая сторона Луны имеет большое количество морей, а обратная — нет (как следствие — налицо анизотропия сейсмической активности). Объяснить это только приливными силами сложно, т.к они действуют не только на лицевой, но и на обратной стороне Луны, но какая-то корреляция похоже есть.

Факт 2. — видимый диаметр. Это больше похоже на совпадение (по крайней мере так кажется мне), тем более, что угловой диаметр Солнца и Луны колеблются в пределах и когда Луна больше — может произойти Солнечное затмение, а когда больше Солнце — солнечное затмение будет кольцеобразным.
я где-то писал, что в результате удара получаются ровные шарики? Вроде нет. Я писал про осколки, в вики написано то же самое.
Это уже потом эти осколки превращаются в шар.
Скользящий удар. К тому же все это было во времена «горячей» Земли, все успело слипнуться и рассосаться :)
Мой очень хороший товарищ из Байконура говорит, что проблема, о которой пишут в статье, была выявлена ещё на стадии проверки космического аппарата, но все как всегда пустили на русский «авось полетит». Это миссия была чисто престиж, так как снова пытались обогнать американцев, которые в это же окно (время максимального приближения Земли к Марсу), после нашей неудачи с «фобосом» произвели успешный запуск аналогичного аппарата. Ну и как всегда была очень большое давление сверху.
Ну, это очевидно, в отчете же прямо говорится:

«В процессе проведения НЭО было выявлено 32 неисправности, 18 дефектов и 48 отступлений от КД (всего – 98), причины которых устранены в установленном порядке, а результаты приведены в итоговом отчете № ИО 22-ФГ-125-11 о технической готовности КК и его изделий к летным испытаниям (ЛИ).»

То есть на стендовых испытаниях, как я понимаю (в отчете аббревиатура не раскрыта), устройство вышло с 98 недоработками, которые устранялись.

UFO just landed and posted this here
Типа Curiosity не нужно быдет маневрировать на околомарсианской орбите. Да на Фобос полетели во многом потому, что на него проще сесть, чем на Марс. Плюс Curiosity нужно было плавно опустить на поверхность Марса, так там марсоход, а не тупо где упал там взял пробы.

И стартовое окно оказалось уже по другим причинам — меньшая скорость полета, так как Curiosity в любом случае должен был обогнать Фобос-Грунт на пару месяцев.
UFO just landed and posted this here
Большая скорость у него исключительно из-за более мощного разгонного блока. У Сuriosity — жидкий водород и жидкий кислород, в то время у Фобос-Грунта гептил и тетраоксид азота, которые имеют на треть меньший удельный импульс.
UFO just landed and posted this here
«Могли взять», так могли и микросхемы нормальные взять, всё упиралось в бабло и экономию. А скорость гасится в любом случае. Или вы думаете Сuriosity на скорости 15-17 км/сек парашюты открывает сразу?
Да и никто вообще о критичности скорости не говорит. А на Фобос полетели во многом, потому, что СССР-овские экспедиции на Марс оказались не особо удачными. А на спутник сесть проще, так как нет астмосферы, нет ветров, пыльных бурь
Спасибо за статью, прочитал с большим удовольствием.

Я считаю, что тут дело даже не в вопросах эффективного расходования средств конкретно на этот проект, сколько в отсутствии инфраструктуры для проектов подобного масштаба. Нельзя одним приказом за несколько лет получить специалистов, которые бы всё это учли, раньше этим не занимаясь. Нужна стабильная работа ведомства на протяжении десятков лет и накопления опыта на более мелких проектах, чтобы была возможность осуществить более серьезные амбиции.

К сожалению, высшее руководство этого не понимает, им успех нужен лишь для закрепления власти. Поэтому на определённом звене скорее всего был выбор — либо согласиться на заведомо провальный проект, либо освободить должность тому, кто на это согласится.
Мораль сей басни такова: коль нету производства микросхемы под рукой, и тысячи горячих инженеров нету, авось российский не пройдет и сядет спутник не на Венеру с Марсом, а лишь на тучку, сгорая в атмосфере скоропостижно…
“M” indicates it is a military grade part.
Это маркировка класса устойчивости к внешним условиям. Сюда относятся механические, температурные, радиационные воздействия. Всего таких классов четыре (по возрастающей): commercial, industrial, military и — внимание! — space.
Так почему же на космический аппарат ставят микросхемы «военного», а не высшего, «космического» класса?
потому что либо не продают space исполнение русским, либо таких микросхем не производится в принципе для конкретной модели.
Да ладно не продается, уже ж не холодная война, вон американцы ракетные движки у России покупают, уж о паре микрух памяти могли бы договориться при желании. Тут либо чья-то некомпетентность, либо попил с надеждой на авось.

Типа: да нафига какие-то там space-микросхемы покупать, хватит и military, всё равно же всё задублировано.
Знали ведь что микросхемы не space, но защиту от сбоя на околоземной орбите не предусмотрели, достаточно самоуверенно. Тут могли сжатые сроки сыграть свою роль.
Посмотрел публичный прайс — эта компания S микросхемы вообще не выпускает. Что как бы намекает…
Ну так есть предположение, что в мире не только эта компания микросхемы выпускает. В мире же куча компаний делает спутники кроме Штатов, в Европе, Китае, Японии, и т.п. они же эти микросхемы где-то покупают.
Но в то же время понятное дело, что такие микросхемы стоят значительно дороже, чем те же военные, т.к. им предстоит работать в более агрессивной среде. В то, что вот всем продают, а России зажали — верится с трудом (учитывая сотрудничество в космосе, это и продажа движков штатам, и вывод спутников разных стран, и подвоз до МКС), ну не поверю, что не смогли бы договориться при желании, не такая уж это секретная микросхема.
Я, если что, поддерживаю это предположение. Потому и выглядит такая покупка странно: уж если денег/желания не хватило на хорошую, то могли бы хоть купить у компании, которая потенциально такие микросхемы выпускает.
Что интересно изначально, вообще говорили, что России и military не продают, и типа пришлось поставить обычные бытовые. Так что, это больше похоже на попытку повесить свой прокол на традиционного забугорного врага.

Если допустить, что space Роскосмосу не продали, то соответственно конструкторы должны были знать, что имеют дело с оборудованием сниженной надежности, в таком случае вполне очевидное решение для увеличения надежности, это увеличение количества дублирующих систем (тем более, что вес и так снизили на 30 кг).
На самом деле есть предположение, что ЦВМ22 сделали из чего-то. Например на базе какого-нибудь борткомпьютера от истребителя.
Ничего же не делается «с нуля» и «на пустом месте».
Там он прекрасно работал много лет в сотнях копий, была хорошо отработанная программная начинка, либы там написаны, процедуры и алгоритмы, и все такое прочее.
Но вот давайте его возьмем за основу, подшаманим, усилим, и полетит.

Ну и пропустили микруху, их там тысячи.
Зря вы так снисходительно о 5 миллиардах бюджетных рублей.
Не понял вашей реплики. Здесь нет «снисходительности».
«Ну и пропустили микруху, их там тысячи.» – звучит просто как оправдание.
Не оправдание, а описание случившегося.

PS. 5 миллардов совсем не на одну разработку электроники.
Облом одного запуска не означет, что весь проект пздой накрылся. Чертежи есть, наработки есть. Получить страховку и построить еще раз, с учетом ошибок.
Я понимаю, что сам кораблю стоил не 5 миллиардов, но время, которое ушло, потеряно и его не вернуть, ведь к Марсу не так часто можно летать.
Мне вообще неприятно слышать всю эту вновь извлеченную из пыльных мешков «риторику холодной войны». Все эти «Аааа!!11 Россия в кольце врагов! Страны Антанты стремятся задушить молодую Советсткую Россию! Товарищ, будь бдителен! Враг подслушивает!»
Глупо это. Уже лет так 60 никто никого не хочет «давить». А уж в научном мире и того не было. Всегда было сотрудничество, нет там «политики» среди ученых.

Что касается «не продали» — так вон в 70-х был COCOM, кто помнит, и ничего, с геморроем, но даже суперкомпьютеры покупали же. Что уж говорить про сейчас.
Каддафи тоже думал, что «Уже лет так 60 никто никого не хочет давить». И напрасно.
А вы не путайте личные делишки зажравшегося диктатора, с делами страны.
Каддафи сам не одну войну устроил, и кучу людей угробил. Поражают люди которые при этом еще и так переживают за бедненького диктатора. Вы там не плакали когда Ким Чен Ир умер, такой человечище, себя не жалел, прям до последнего работал на благо любимого народа…
Вы видимо плохо знаете, кто такой был Каддафи и что он делал на самом деле. Какой в Ливии был уровень жизни при нем и какая там была реальная демократия (народовластие — Джамахирия), что Америке и не снилось. И не понимаете, кто и за что его зверски убил. Поменьше смотрите западную пропаганду и побольше изучайте факты.

Но вопрос не в Каддафи, а в том, что 60 лет прошло — и ничего не изменилось. Фашизм сегодня жив и здоров, только разговаривает он по-английски и называется немного по другому. Но дело Гитлера живет и побеждает. И Россия действительно «в кольце врагов». Достаточно вспомнить недавнюю войну с Грузией. Видеть ситуацию излишне благодушно — сегодня просто преступно.

P.S. Ким Чен Ир тоже был человечище — не спорю.
Демократия в Ливии, да вы юморист :) Да все диктаторы любят свои режимы называть исключительно народными и демократическими. Северная Корея, так вообще Народно-Демократическая (типа масло маслянное), чтобы ну вообще самой демократической быть. И естественно каждый диктатор, непременно спустился с небес, и должен править пожизненно, так как в стране больше умных людей нет, и кругом одни идиоты, который не могут руководить страной :) Почему в тех же штатах, от каждой партии по десятку достойных кандидатов в президенты находят, и только в «истинных демократиях», ну просто не из кого выбирать…

И что в войне с Грузией? Может это Грузия напала на Россию? И видимо представляла очень большую угрозу для России? :) Видимо хотели нефтяные и газовые скважины захватить, но под доблесным руководством тандема, столь грозный враг был повержен. Но явно точит когти на новую атаку, так что нужно быть бдительными.
Может это Грузия напала на Россию? И видимо представляла очень большую угрозу для России? :) Видимо хотели нефтяные и газовые скважины захватить, но под доблесным руководством тандема, столь грозный враг был повержен. Но явно точит когти на новую атаку, так что нужно быть бдительными.


Все с вами понятно. ОК, прекращаем дискуссию.
Спасибо, что зашли в наш скучный бложик про железки и микросхемы с политинформацией. Без политшизы обсуждению не хватало изюминки.
В будущем, как только увидите, что никто не говорит про политику — сразу рассказывайте про то, какм мудрым был правителем Саддам Хусейн, или как храбро сражался за свободу Шамиль Басаев, прямо вот с первого комента начинайте, а то непорядок.
С юмором видно плохо? Россия, что типа Грузию боится? :)
Вы думаете это микросхема — единственная недоработка, которая там была? Я что-то сомневаюсь… Просто она раньше всего себя проявила.
Про остальное остается только гадать, а гадать не хочется, хочется фактов.
Да да, military это типа нашей военной 5 приемки, а для космоса — 9 приемка (атомная), с повышенной радиационной стойкостью.
Считаю, что страшно даже не само событие с «Фобос-Грунтом», а отсутствие порядка в производстве, нормального единого архива документации, чертежей, исходных кодов, нет организации которая контролирует это. Думаю, банально не хватает русским людям педантизма. Даже если будет заказ собрать копию «Фобос-Грунта», то этого, скорее всего, сделать не выйдет по причине отсутствия части данных. Нет накопления опыта. А если и есть, то не на всех предприятиях участвующих в разработке. Т.е. опыт накапливают только те, кто работает в этой области длительное время, и хранятся эти знания в мозгах «дедов» и, возможно, в каких-то своих записях. Скорее всего, после ухода такого сотрудника данные частично будут утеряны.
В первую очередь, имхо, не хватает избавления от великодержавных комплексов. И соизмерять желания с реальными возможностями, как технологическими, так и финансовыми.
Про педантизм — это точно. Я из-за этого дольше полутора лет ни на одной работе не задерживался до сих пор. Вечно все куда-то торопятся, ставят нереальные сроки, не пишут ТЗ, меняют требования на ходу, и всё время твердят об эффективности и перфекционизме. Это такая отмазка теперь у русского человека (и рабочего, и начальника): если стремишься всё сделать хорошо, то ты — перфекционист, и делаешь всё неправильно. А правильно — это как тебе сказали.
Насмешили, программисты этой отрасли сами для себя ТЗ пишут, причём выпытывают его не у одного, а у множества разных людей, у которых оказываются, ко всему прочему, диаметрально противоположные взгляды на создание необходимого ПО, а смена требований предъявляемых к ПО происходит повседневно.
Я немного повредничаю, так как несколько раз приходилось выяснять причину отказов собственноручно спаленной/замороженной на испытаниях электроники. Хорошо, если это были текущие испытания на выявление неустойчивых элементов. Тогда все в порядке, все довольны. Но вот, финал, а у меня на руках здоровенный ледяной ёж, только что прекрасно работавший, а рядом злорадный военпред, за спиной которого маячат нач.отдела, гл.инженер и тень главбуха. И что я по вашему должен написать в отчете?
Правильно! Что отказали американские микросхемы.
Я хочу сказать, что все объяснения даются для прессы. В КБ оправдания не интересует абсолютно никого. Причина — да, хорошо бы, но она почти никогда не ясна достоверно. Что я могу понять по той трухе, что привезли с полигона? Ничего практически. Знаете, сколько у нас стояло релюх запускающих фотосъемку на заданной высоте? После 3-х неудачных запусков там оказалось 16 запараллеленых штук. И все стало нормально. А тут два зеркальных компа с невозможностью одновременного отключения отправлены на два года в космос. Это просто не может быть правдой.
UFO just landed and posted this here
… Налицо классическая проблема недостаточной конструктивной проработки, а если взять шире, то, по-видимому, низкой инженерной компетенции в целом…

… Просто никто не подумал, что размещая две микросхемы рядом мы повышаем вероятность губительного одновременного радиационного воздействия на его элементы. Никто не посмотрел под таким углом на узел в сборе…

… Судя по всему Фобос был обречен с самого начала. Рано или поздно, в довольно радиационно-суровых условиях «открытого межпланетного космоса» этот эффект был бы словлен. Но если «защелкивание» в принципе, если повезет, лечится «холодной перезагрузкой» комплекса с дублирующей системы…

… Часто хорошие „вертикальные“ специалисты не видят создаваемый продукт в целом, хорошо зная только свой компонент. Два решения это 1) хорошо определенные и хорошо документированные интерфейсы (в широком смысле) между компонентами, неважно, аппаратными или программными, и 2) выделенные опытные и знающие инженеры, которые занимаются именно вопросами взаимодействия компонент и работой системы в целом. Назначение на такую позицию, как это бывает, технически неквалифицированного менеджера, часто не является эффективным...


Автор демонстрирует поразительную крепость задним умом. Так легко бросаться фразами «на самом деле» и «как надо было сделать» мог бы специалист из КБ, к примеру, но никак не администратор блога NetApp. Не сочтите за оскорбление.

Т.е., вы взяли изречения безусловно компетентного в своей области Джеймса Гамильтона, сдобрили неслабой порцией выводов с не всегда уловимой логикой и завершились совсем уж загадочной фразой Я намеренно хотел ограничиться только фактами.

Я понимаю, что вам хотелось больше информации, я сам очень переживал за Фобос-Грунт, но это ведь не повод её выдумывать :)

P.S: я не ставил перед собой цель непременно придраться к этой вполне хорошей статье, просто считаю, что стиль бульварных листков и описание космических проектов не очень сочетаются.
Вы довольно тенденциозно перемешиваете мой собственный текст в статье и цитаты, которые, хочу отметить, всегда выделены и оформлены как цитататы.

Так в приличных домах не делают :-/

> Автор демонстрирует поразительную крепость задним умом.

Вся статья как раз о том, что допущены ошибки, которые трудно увидеть при проектировании, но легко — «задним умом». Прямо об этом говорится в цитате из Гамильтона (которую вы оборвали, кстати):

«Проблемы и ошибки, вызванные „сложностной слепотой“ (complexity blindness) часто очень серьезны, и, при этом, удручающе очевидны „задним числом“, как в рассмотренном выше примере»

> Так легко бросаться фразами «на самом деле» и «как надо было сделать» мог бы специалист из КБ, к примеру, но никак не администратор блога NetApp. Не сочтите за оскорбление.

А вот знаете, сочту. Начну с того, что «администратор блога NetApp» это только то, чем я занимаюсь на Хабре. Но мы с вами не были представлены друг другу и вы не можете знать, чем, например, я занимаюсь в жизни и по основной работе, а не «на Хабре», не так ли?
Тогда к чему этот «наезд»?
Да не дуйтесь вы, я просто жалкий критикан :)

Ок, я попытаюсь пояснить. Вот вы пишете про неэффективный менеджмент(ещё бы про GTD ввернули), странные инженерные решения, и пр. опираясь при этом на официальную версию, которая, очевидно, не ставила перед собой цель пояснить как было «на самом деле»(ужасный, чудовищный словесный оборот, на самом деле :) ) и название одной микросхемы. Т.е. грубо говоря спекулируете фактами в условиях информационного голода. Ай-яй-яй.

Ну и про наезд. Я не знал как написать ещё политкорректнее, чтобы не тгавить автора. Сами подумайте, имею я право сомневаться в глубине познаний всяких незнакомцев, которые не посчитали нужным свои заявления как-то аргументировать? Откуда мне знать чем вы там не на хабре занимаетесь, если вы такую информацию тщательно скрываете? Да вы вполне можете быть Королёвым и Циолковским в одном лице, не надо этого стесняться, расскажите о своей страсти к космосу!

Зачехлите шмайсер, братцы! Автор — божество, Гамильтон — молодец! ^_^
Статья не все говорит )

1. Не-космических чипов в фобосе была тонна, любой из них мог защелкнуться. «Космические» чипы (кремний на сапфире и другие трюки) в принципе не подверженны защелке, имеют аппаратный ECC. Но их не продают, а если продают — то небыстро, мало и дорого. Свою память радиационностойкую делают, на старых заводах — 8Кб.

Судя по инфе на сайте Микрона — кремний на сапфире усиленно делают у них, так что скоро ситуация должна стать лучше.

2. Дело не только в тяжелых заряженный частицах, но и в бразильской магнитной аномалии, над которой проходил Фобос в первые витки, там полный ад для электроники, особенно не-стойкой (радиационный пояс намного ближе подходит к поверхности земли).
Статья говорит прежде всего об официальной версии. Кроме официальной версии есть только догадки. Догадки же это то, чего бы я хотел избежать. Гадать можно бесконечно. Но официальное заключение вполне убедительно и непротиворечиво.
Что именно их того что я написал вы считаете догадками?
Все, что не зафиксировано в официальном отчете.
По хорошему системы не дублируют, как минимум, троируют. И делают мажоритарное управление. Так было, например, на Буране. Там все было в трех экземплярах задублировано.

Плюс Military приемка и Aerospace это совсем разные вещи. Военная техника в космосе не летает.

Так что китай такой китай. С другой стороны кто бы нам продал микрухи с даже с военной приемкой, не говоря уж про космическую. Но, опять же, есть же у нас спецслужбы и разведка. Неужто не могли для такого дела дернуть пару треев нужных микрух. Изделие то штучное.
> С другой стороны кто бы нам продал микрухи с даже с военной приемкой, не говоря уж про космическую.

Ну не выдмывайте, нет никаких особенных проблем. Вы, похоже, фильмов пересмотрели.
Мда.
track, ты АБСОЛЮТНО не в теме.
Да нет, я, как раз, АБСОЛЮТНО в теме :)
Не заметно :)
Был бы в теме, тогда знал бы, на чем летает наш космос.
И не будет он летать на другом, пока еще десяток аппаратов не выйдет из строя.
А пока всё всех устраивает.

Фобос-грунт с разработкой КД стоил 5 млрд рублей. И на него не могли и не хотели дать больше. Зачем, если «и так у нас всё летает»?
Сложная спейс-микросхема стоит несколько миллионов рублей. Например, пятый виртекс — 3 миллиона рублей. Плюс инженерные образцы. Вот и считайте, сколько должен стоить прибор типа ФГ, чтобы он долетел до Фобоса и вернулся обратно.
SPACE продают для России. Производители в основном из США.
Цены в сотнях тысяч рублей за одну сложную микросхему. И в тысячах рублей за один пассивный компонент.
Сроки видел от 9 месяцев и до 14 месяцев. Плюс по каждой позиции одобрение комиссии ГосДепа, что это для мирного или научного проекта.
ГЛОНАСС считают мирным проектом, видно РКС об этом договорилась задействуя правительства.
Гхм… а вы уверены, что окончательное решение комиссии? Очень похоже на первоначальное, которое потом было опровергнуто результатами тестов БК на радиационную стойкость.
Исход проекта печальный конечно, жалко очень. Недавно еще читал статьи про спутники Венера-13 и Венера-14, и был просто поражен этими устройствами. В те то годы уже могли такое сделать. Очень понравились статьи на вики про американские марсоходы Спирит и Оппортьюнити. Статья очень интересна, мне конечно с трудом верится, что сотрудники разрабатывающие космические аппараты, могли не проверить такие моменты, которые вызвали сбои. Учесть некие неудачи по исследованию марса и его спутников, складывается ощущение, что нам этого просто не дают делать :)
В статье приведена причина аварии «для публики» и выводов, сделанных из анализа это причины. Практически никакого отношения к реальности это, к сожалению, не имеет.

Вот версия от непосредственных разработчиков ФГ, рассказанная за рюмкой чая: причина — в недолокализованном баге в одном из компонентов, из-за которого уже был потерян один аппарат. Подрядчик не успел исправить баг до запуска ФГ, был выбор: либо запускать так и надеяться на лучшее, либо — пропускать окно, посыпать голову пеплом и обновлять руководство, допустившее такой бардак при разработке. Что выбрали — понятно.
Во всех космических авариях где нельзя определить причину, по умолчанию виноваты случайные частицы… (силонч, прогресс и т.д. и тп)…
Автор, к сожалению, абсолютно не в теме.

В то же время Джеймс Гамильтон, в целом, прав.
Кратко опишу ситуацию «изнутри» отрасли. Если в чем не прав — поправьте.
Во-первых, забудьте про ТЗЧ. Во-вторых, проблемы, действительно, можно разбить на несколько категорий:

1. Элементная база. Никто не хочет платить за очень дорогую импортную космическую ЭКБ, поэтому используют сертифицированную «отборную» милитари или вообще индастриал. Своей пока нет. Это пороховая бочка.
2. Complexity blindness. Это очень серьезная проблема. Я бы даже поставил её на первое место. Пути решения Джеймсом указаны верные.
Плюс добавлю по своему опыту: наши космические «монстры», вроде того же Лавочкина, РКС и т.п. сами по себе закладывают complexity blindness. Сложная запутанная организация не может породить простой ясный продукт. Разработку аппаратуры должны осуществлять небольшие независимые рабочие группы, а «монстры» должны заниматься испытаниями, сертификацией ЭКБ, осваивать разработку и производство ЭКБ. Короче, заниматься тем, что требует больших капиталовложений и долгого срока окупаемости.
3. «Наличие фундаментальных ошибок в оборудовании и программном обеспечении, а также грубых нарушений норм безопасности (при разработке)», [b]по причине спешки вникуда[/b].
Короче говоря, проекты ослабляют ошибки при организационном и техническом управлении: сроки берутся «с потолка», люди немотивированы, непонятно когда «полетим» и «полетим» ли вообще, в результате люди делают свою работу «для галочки».

Ну и традиционные вопросы: кто виноват и что делать.
Отвечу просто: мы получаем то, что заслужили. Ситуация в космической отрасли по своей сути ничуть не отличается от ситуации, например, на избирательном участке 4 марта. Кого надо, того и «выберем»; а если надо признать, что устройство «годно» — будет «годно».
Что делать? а) Не делать удивленные глаза каждый раз, когда «как же так, и у них бардак?». Смотреть по сторонам и делать выводы. б) Заниматься каждому своим делом, и заслужить большего! ;)
> Никто не хочет платить за очень дорогую импортную космическую ЭКБ
Насколько дорогую? Порядок цен?
Выше называли цифру порядка сотен тысяч рублей. Это много для нас с вами, но неужели столь неподъемно (или хотя бы напряжно) для проекта общей стоимостью в 5 миллиардов?
А вы посчитайте.
Элементная база на один прибор (средний по сложности) в космическом исполнении — это несколько миллионов долларов. Эта цифра не с потолка. В качестве примера: чуть выше указанного Вами сообщение — моё сообщение, заминусованное безусловно знающими авторитетными людьми. И это только элементная база.
Плюс разработка КД. Плюс изготовление (обычно несколько образцов каждого из приборов, но там можно использовать инженерные образцы ЭКБ, которые, правда, обычно не сильно дешевле оригинала). Плюс испытания.
Это только один прибор.

На одном аппарате таких приборов несколько десятков.
В наших «широтах» 5 млрд рублей на разработку с нуля нового межпланетного аппарата с учетом запуска — это немного. Ну и результат соответствующий.
Всё началось с ИСЗ-1. Историю запуска этого мультивибратора, в место научного прибора, можно считать Библией Освоения Космоса. Хотели-же как правильно, а сделали как указали. Что Там делал Гагарин, всего через 4 года после мультивибратора? Престиж! Весь мир восхищался его подвигом ВО СЛАВУ, а не пользы для. В самой Америке многие не верят в высадку на Луну, ибо и по прошествии 43 лет(а не 12 от пищалки до прогулки) так и нет подтверждающих документов, фото «останков» и т.д. Только через год смогли нормально кусок камня подобрать, домой вернуть и Луноход покатать. Американские марсоходы передают фото поверхности а наши — телеметрию на спуске до высоты 25км. Уникальный титановый глубоководный «Комсомолец»- мир праху. Самые быстрые в мире торпеды на перекиси водорода «Курска»- мир праху. Это не "… мягкое и тёплое", это передовые и уникальные технологии в экстремальных условиях помноженное на человеческий фактор. Шаттлы не могут без экипажа- только ручное управление. Так кто и почему угробил Буран, что там было «не так»? Фобос-Грунт и иже с ним,- письмо Морозова все читали.
Прямо «мировой заговор» какой-то? Тогда для чего нужен специальный указ правительства, разрешающий закупку и установку на новейшие танки импортной электроники? Для разведки над Цхинвалом гоняли бомбардировщик(мир праху). Теперь безпилотники просто покупаем у Израиля — ведь создатели Лунохода уже вымерли как мамонты, а новых ещё в Сколково не нарожали. Там сейчас защиту от торрентов лилеют- очень прибыльное дельце.
Скорее бы уже конец света что-ли, пора уже перезагрузить этот мир.
Работаю в судостроении для ВМФ, ситуация в отрасли точно такая же, если не хуже.
Средний пласт исполнителей отсутствует, люди с опытом потихоньку вымирают. Прогресс замер на уровне конца 90х. Выделяемое в немалом количестве финансирование просто растворяется.
А самый огромный провал в технологиях, даже спроектировав что-то действительно интересное, это уже не получается реализовать в железе.
Ну и естественно отсутствие комплексности в подходе, каждый исполнитель/отдел/подразделение/организация пилит свое дерево, не видя леса — результаты этого порой просто плачевны…
Резюмируя — градус стабильности растет.
Sign up to leave a comment.

Articles