ACM通信gydF4y2Ba
在太空中,没有人能修正你的符号错误gydF4y2Ba
2001年发射的“起源”号探测器前往深空,捕捉太阳风中的粒子。2004年,由于铅笔橡皮大小的减速传感器被倒置,“起源”号探测器在犹他州沙漠中没有刹车。gydF4y2Ba
资料来源:美国空军388射程SqdgydF4y2Ba
在人类登上月球半个多世纪后,太空飞行突然又变得令人兴奋起来。财力雄厚的gydF4y2Ba平民的宇航员gydF4y2Ba例如,美国现在可以购买乘坐可重复使用的火箭执行轨道任务的座位gydF4y2Ba商业空间站gydF4y2Ba而且gydF4y2Ba月球基地gydF4y2Ba都在计划阶段。许多公司正在发射巨型星座,大量的卫星旨在带来gydF4y2Ba宽带互联网接入gydF4y2Ba到地球上遥远而不相连的角落gydF4y2Ba
尽管如此,事实仍然是,一旦航天器离开地球,并在真空空间中以高超音速飞行,它几乎不可能修复设计中的故障。这促使两名航天工程师罕见地发出警告,他们在警告中呼吁航天工程界采取更多行动,消除一种特殊类型的破坏任务的错误,他们说,这种错误自航天诞生以来就“困扰”着航天事业。gydF4y2Ba
这些错误被称为符号错误,是多方面的。从最基本的角度来看,符号错误包括在软件或硬件中以错误的方式应用关键的设计参数——倒过来或倒过来。这种逆转包括在制导、导航和控制数据中错误地使用负数而不是正数(或相反),或者只是在电路中把电流切换到错误的方向。gydF4y2Ba
这并没有结束;符号错误还包括物理上的颠倒,如在电路板上安装加速度传感器的方向错误,得到组件的极性(如电解电容器),或可能颠倒用于航天器三维定位的电磁铁的方向。gydF4y2Ba
“太空探索是数千名工程师的成果,大约三分之二的航天器故障是由微小的工程错误造成的,”他说gydF4y2Ba保罗程gydF4y2Ba他是一家非盈利机构的高级项目负责人gydF4y2Ba航空航天公司gydF4y2Ba他和同事一起敲响了标识错误的警告gydF4y2Ba彼得CariangydF4y2Ba发表在《科学》杂志9月刊上的一篇论文中gydF4y2Ba太空安全工程杂志gydF4y2Ba.gydF4y2Ba
符号错误是导致航天器故障的最常见原因,排在小数点错误之前,或者是把英制单位和公制单位搞混了。符号错误是最重要的。”gydF4y2Ba
Cheng和Carian说,是时候解决符号错误了,他们在论文中采取了不同寻常的步骤,“恳求”太空工程师解决符号错误。原因不难理解:航天保险公司计算出,5.3%的卫星在发射进入轨道后的第一年就会丢失,42%的卫星在发射后的头两个月就会失效。gydF4y2Ba
与一些gydF4y2Ba15000年卫星gydF4y2Ba预计仅在这个十年就会发射,主要是作为巨型星座的一部分,失败率可能会导致严重的损失,并导致大量无法控制的太空垃圾留在轨道上启动。gydF4y2Ba
在阅读了一长串的航天器故障报告后,程和卡里安决定详细说明各种类型的符号错误是如何导致任务失败的,希望他们可以帮助工程师避免这些错误。gydF4y2Ba
带符号的传感器gydF4y2Ba
他们的第一个例子是美国国家航空航天局(NASA)gydF4y2Ba《创世纪》gydF4y2Ba该探测器于2001年发射,访问了距离地球约150万公里(约93.2万英里)的深空地点,在一个精致的铝晶圆基质中捕捉太阳风中的粒子。2004年9月,在创世纪号任务结束后重返地球的过程中,一个铅笔橡皮大小的减速传感器被称为agydF4y2BaggydF4y2Ba-switch的目的是在飞行器遇到地球稠密的大气层时感知减速,并在直升机在空中捕获之前启动制动伞和伞翼的展开。gydF4y2Ba
不幸的是,传感器安装颠倒了,因为没有人知道它一端的一个标记指示了它唯一能感知减速的方向。gydF4y2Ba
结果,创世纪号不加刹车地闯入了犹他州的沙漠,粉碎了几个珍贵的粒子收集晶片。这在当时同样令人费解gydF4y2BaggydF4y2Ba-switch在NASA的另一项任务中表现完美,gydF4y2Ba星尘号gydF4y2Ba它是在创世纪号两年前发射的,目的是对彗星尾部的尘埃进行采样。纯粹是机缘巧合gydF4y2BaggydF4y2Ba-开关已经正确安装在星尘号上,并通过了地面上的旋转测试。因此,Genesis团队觉得没有必要对他们的不同定向传感器电路布局进行旋转测试,因为他们不知道“新的布局已经取代了传统的布局”,正如研究人员所说。gydF4y2Ba
为了避免这种“极性意外”,卡里安和程建议,在整个航天器开发过程中,都应该跟踪符号敏感组件的方向。他们说,工程师们应该在CAD图纸上,以及组件存放的盒子上,留下关于标识敏感部件的警示,以警告存在“向后插入东西”的风险。gydF4y2Ba
负号混乱gydF4y2Ba
信号错误只需要这样的基本措施就可以消除,这一点在日本x射线太空望远镜的轨道解体中也很明显gydF4y2Ba什么啊gydF4y2Ba这距离2016年2月发射仅一个月。问题是:未经检查的无线软件更新。gydF4y2Ba
由日本宇宙航空研究开发机构(JAXA)发射的用于探测黑洞物理的Hitomi需要在轨道上进行软件更新,以帮助其推进器稳定望远镜,当它的轨道使其越过被称为南大西洋异常的磁干扰时,它的“星跟踪器”导航系统被打乱。这次更新包括一个改进的推进器发射算法和一个新的数据查找表。但是,这个表是手动修改的,程序员没有被告知要将6个负数转换为正数。其结果是,失控的推进器点火使望远镜陷入无情的旋转,向心力使它脱落了之前的大型太阳能电池板gydF4y2Ba分成11个部分gydF4y2Ba美国联合太空行动中心(JSpOC)负责监测太空碎片。gydF4y2Ba
卡里安和程说,在推进器信号出现错误之前,望远镜的稳定性问题“完全可以解决”gydF4y2Ba无节制的gydF4y2Ba.他们的结论是,“卫星注定要失败,不是因为缺乏奇特的控制工具,而是因为他们没有注意基本的(软件)安全实践。”gydF4y2Ba
只有扭矩,没有动作gydF4y2Ba
类似的缺乏软件和硬件工程师之间的沟通导致了NASA和波士顿大学的损失gydF4y2Ba犬gydF4y2Ba1999年卫星;一个用来提供扭矩使卫星的太阳能电池板指向太阳的电磁铁线圈必须重新定位,这样它才能适应一个外壳,“但没有人告诉软件开发人员这一变化,”卡里安和程指出。“梗犬变得无法控制,在救援人员赶来之前就耗尽了电池。”gydF4y2Ba
电池耗尽也打击了船长,一个gydF4y2Ba美俄合资企业gydF4y2Ba在1995年,。利用太阳能阵列模拟器进行的地面测试已经证实,航天器本身正在吸取能量,并为电池充电,但一个明显的错误隐藏在杂草中:卫星实际的太阳能阵列的线路是向后连接的,所以在太空中,它没有给电池充电,而是耗尽了电池。结果是:立即失去了任务。gydF4y2Ba
不仅是卫星和太空探测器出现了信号错误;Aerospace Corp.指出,火箭也很容易受到攻击。2013年7月,俄罗斯的质子- m火箭升空,并立即飞行gydF4y2Ba回到地面上gydF4y2Ba因为它的角速度传感器安装颠倒了,尽管gydF4y2Ba标着“往上走”gydF4y2Ba.2020年11月,一枚欧洲织女星火箭(连同它携带的法国和西班牙卫星)丢失,原因是控制火箭发动机转向喷嘴的线路gydF4y2Ba是有线向后gydF4y2Ba,反转每个方向指令。gydF4y2Ba
这些以及其他许多警示信号给可靠系统领域的专家留下了深刻的印象。gydF4y2Ba
Peter Ladkin是一位专门研究系统安全和根本原因的工程师gydF4y2Ba失效分析gydF4y2Ba他把卡里安和陈的论文描述为一项“令人着迷的工作”,强调了“许多设备在视觉上是对称的,但在功能上是不对称的”这一事实所固有的风险。gydF4y2Ba
然而,由于大多数被报道的宇宙错误与不正确的设计和/或安装有关,Ladkin倾向于对非软件相关的符号错误使用不同的标签。他说:“我将其中大多数称为‘功能错位错误’,而不是简单的符号错误。”gydF4y2Ba
伦敦城市大学软件可靠性中心主任Lorenzo Strigini认为,Cheng和Carian通过引起人们对符号错误问题的注意,已经“完成了一项重要的服务”。然而,他有一个保留意见。gydF4y2Ba
“有一个特殊的错误类别的想法,其中颠倒电容,在软件声明中输入错误的符号,是相似的,是一个聪明的想法,但它是不需要走太远。这是一种巧妙的抽象,有助于他们阐明重要的一点,即同样的抽象原则适用于防御两者。”gydF4y2Ba
保罗是gydF4y2Ba是一名在英国伦敦工作的科技记者、作家和编辑gydF4y2Ba
没有发现记录gydF4y2Ba