软件工程实践（16）A51讲解材料.ppt

由于一个称为BH(水平偏差)的内部校准功能结果的值出乎意料的大，运算错误就出现了。这个水平偏差是与平台敏感到的水平速度是相关联的，它的计算值表示了随时间变化的校准精度。 出现了新情况、新问题 BH值比预想的大很多，因为阿丽亚娜５轨道起始部分与阿丽亚娜４不同，存在更大的水平速度值。 没有认识到，或不负责任地忽略 产生故障的原因 错误的产生包括两个部分： 开发：为什么要这样编？ 检测：评审和检查为什么没有发现？ 软件开发方面： 从全报告看，故障分析委员会试图对事不对人，只对阿丽亚娜５的故障发表看法。（这也带来了一些含糊） 故障分析委员会避开了阿丽亚娜４的问题 但这是避不开的 对开发的全面分析可考虑这几个方面： 1。阿丽亚娜4的问题 2。阿丽亚娜5的问题 3。系统和观念的问题 4。其它可能的缺陷 阿丽亚娜4的问题主要为： 1。为什么有功能多余物？ 2。为什么缺少异常保护？ 3。为什么关机？ 为什么有功能多余物？ 很奇怪，报告只说了校准功能为什么要延长，却没有说为什么要延长到点火后的50秒，而不在点火时终止？ 可能是很难办，如得不到准确点火时间 否则就是一个大失误 为什么缺少异常保护？ 异常有很多类，除自定义的异常外，ADA支持五种预定义异常：约束异常、数值异常、程序异常、存储异常、任务异常 这里出现的转换异常可含在数值异常中。 阿丽亚娜4似乎考虑到了这些异常－这可 能与Ada的严格和可靠性设计要求有关 为什么缺少异常保护？ 七个变量在浮点数向整数转换时有危险 保护了四个 不全保护是因为SRI已占其能力的80％ 有异议 异议 保护工作在不出异常时不占多少资源 不保护，难道在真出现异常时还去为了保护余量而死机吗？（这是软件问题，软件没有冗余，要死全死） 为什么缺少异常保护？ 异常是否保护的决定不严谨。 三个变量（含BH）不保护的原因是：实 际已受限or有充足余量。 对BH，在阿丽亚娜5肯定错了，在阿丽亚娜4也危险（什么是充足？） 但该决定却被各方认可（怀疑也有走过场，或被不严谨的分析所混淆） 为什么关机？ 运算出错，如妥善处理，不一定就会造成飞行失败 可怕的是在异常处理的规格说明中规定：故障在数据总线上应该指示出来，故障的来龙去脉也应该贮存在EEPROM贮存器中，最后SRI处理器应关机 这个决定是致命的，重新启动是不可能的 为什么关机？ 上述决定是建立在自认：有异常必是硬件出错了，修也修不好，没办法，关机了事。 这是由严重的观念错误造成的。 观念错误： 传统思想：只注意硬件随机故障。从这个观点出发，异常或错误处理机制是为硬件随机故障设计的，硬件随机故障通过备份系统是能够得到解决。 这就导致对软件无冗余 也就导致两个正常工作的关键设备关机 观念错误： 软件在出现错误之前总被认为是正确的 除非被严格证明，总应假设软件中含有错误。 在设计时应考虑到软件会有异常（允许它出错并对此预防），有时必须假定它就有错并对此进行保护。以此来保护系统正常工作。 观念错误： 软件故障和硬件不太一样 硬件会在同样条件下由于老化等原因失效，软件确不会 对软件也应有冗余，而且是特殊的冗余，例如多版本软件等。 阿丽亚娜5的问题： 整个报告中对SRI软件功能和设计中的 问题都是针对阿丽亚娜4的SRI软件的 报告中介绍：阿丽亚娜5和阿丽亚娜4的SRI软件完全一样 报告把重点放在为什么阿丽亚娜5的检 测没有发现问题 因此... 怀疑： 阿丽亚娜5的SRI软件是在一个不充分的分析、评审下，决定完全重用阿丽亚娜4 的SRI软件的。（可能连软件的需求分 析都没有重做） 因此阿丽亚娜5的问题可能就是：系统规 格说明不全、软件重用分析不细、评审和测试问题 阿丽亚娜5： 不能相信阿丽亚娜5对SRI的规格说明会和阿丽亚娜4完全一样，多余的功能肯 定不会有了。但缺乏对验收测试和环境约束的明确规定。 这就是有关规范和标准不全或没有被严格执行、评审不充分的问题。 软件重用分析： 软件重用分析基于一个错误观点： 除非证明确有必要，要改变阿丽亚娜４中工作良好的软件是不明智的 即使如此，不对阿丽亚娜5与阿丽亚娜4的差异进行全面细致的分析，无疑是完全错误的 其它： 报告中对OBC软件的不足只字未提，但似乎还有一些疑义： 1。接口问题 2。对SRI的切换控制 3。自身的冗余 4。输出的合理性分析及切换 开发问题完 评审与测试： 在前面的假设下，估计SRI软件是这样形 成的： 首先有SRI（含软硬件）的规格说明（ 无阿丽亚娜4的附加需求，但也无针对 阿丽亚娜5的测试要求和操作限制） SRI分包商基于继承性，决定重用阿丽 亚娜4的SRI软件，至少对该决定的评审是不充分的 之后进行的一系列测试，一方面是由于规格说明中没有明确规定，另一方面是自身也没有主动去求细求全，再有