НовостиСобытияКонференцииФорумыIT@Work
Идеи и практики автоматизации:

Блог

Почему же падают спутники?

Сергей Бобровский
07.12.2010 10:57:51

Ищем виновных в воскресном падении (пяти миллиардов рублей) трех спутников Глонасс в Тихий океан.
Возможных версий пять.


1) Бытовая.
Защищать мундир -- традиционная забава чиновников во всем мире. Как и в случае с аварийным падением Протона-М на Казахстан в 2007 г., в подобных случаях причиной обычно называется чуть ли не случайный "сбой управляющих систем" (вроде как Терминаторы сами по себе взбунтовались, восстание машин). Но это не причина, это следствие, а почему сам сбой-то возник?

Тем не менее, учитывая почти полностью растерянный и еле-еле восстанавливаемый по крупицам опыт производства-эксплуатации сложной техники, вероятность совсем уж случайного стечения обстоятельств, неумышленного человеческого фактора, все же будет достаточно высока -- 3%.

2) Криминальная.
"Половина бюджета программы Глонасс, по некоторым данным, просто разворовывается, заявил член-корреспондент российской академии космонавтики, доктор наук американского университета Джонса Гопкинса Юрий Караш...
Заказы размещаются в "карманных" фирмах руководства, и это размещение составляет около 40% всех расходов организаций, которые вовлечены в создание этой системы...".

Возможно, авария стала способом скрыть воровство на спутниках-пустышках ("все уже украдено до нас"), да еще и заработать на страховке.
Вероятность - 15%.

3) Конспирологическая.
Потенциальный противник испытал на Протоне-М новое сверхсекретное энергетическое оружие, дабы не дать окончательно развернуть группировку Глонасс. Сюда же отнесем атаку НЛО и т. п.

Это маловероятно, потому что тридцатилетняя ИТ-старушка Глонасс -- это как неуловимый Джо, которого никто и собирался уловлять. Потому что он уже никому не нужен. А лет через десять массовые альтернативные технологии позиционирования миллиметровой точности, встроенные в каждый мобильник, добьют и GPS.

Тем более, что "мы навсегда отстали от GPS, так же, как мы навсегда отстали в области производства бытовой аппаратуры, электроники и так далее..." (бывший начальник 4-го ЦНИИ МО РФ, доктор технических наук Владимир Дворкин).

Вероятность - 1%.

4) Виртуальная.
Хакеры (может, террористы, может, скрипт-кидди) проникли в ЦУП и взломали систему управления.
Однако ракета отклонилась от орбиты несильно (умышленно такую ситуацию подстроить ну совсем малореально), то есть роль сыграла все-таки погрешность, а не явный сбой или диверсия.
Вероятность - 1%.

5) Системная.

Вероятность - 80%.

"Ряд специалистов полагает, что к нерасчетному режиму работы двигателей, придавших ракете импульс выше необходимого, и уведших носитель на нештатную траекторию, привели ошибки в программном обеспечении, заложенным в бортовой вычислительный комплекс "Протона" (хм, грамотеи smile:) ).

Эта версия выглядит наиболее реалистичной, потому что причиной падения стал не критический сбой, а неточность в расчетах, возможно, накопившаяся погрешность. Остается выяснить, кого конкретно будут расстреливать -- стрелочников (программистов, математиков) или их начальников?

Протон-М (РН 8К82КМ) -- это наследник УР-500, задуманной еще в начале 1960-х для доставки к цели ядерных зарядов мощностью 100+ мегатонн. Выполнены сотни стартов носителя данного класса, и практически все успешны. В 2001 г. Протон, проектирующийся в ГКНПЦ имени М.В. Хруничева, переведен на цифровую систему управления, за счет чего вскоре взял рекордную полезную нагрузку в 3,7 тонны. Из десятков запусков этой модели только один завершился неудачей, в 2007 г.

Однако: большинство стартов Протона-М выполнялось с разгонным блоком "Бриз-М", и только для Глонасс использовалась другая модель -- ДМ (керосиновый движок, созданный для доставки советских космонавтов на Луну). Он обеспечивает большую точность вывода спутников на нужную орбиту, что для системы позиционирования весьма важно.

В декабрьском старте Протон-М впервые был интегрирован с обновленной модификацией ДМ-3, которая в 2002 г. уже благополучно утопила в том же Тихом океане европейский спутник "Астра-1К". Потому что из-за своей нештатной работы (подано больше топлива в двигатель) вывела спутник не на ту орбиту. Более того, точно такие же сбои случались с ДМ-3 и раньше -- да не один, а целых три раза.

Но, похоже, в данном случае это все же удивительное совпадение (хотя и грозно-прогностическое; кстати, этот Протон-М попал в аварию еще во время перевозки по ж/д). ДМ-3 отделился от Протона-М, когда тот двигался уже по неверной траектории (если, конечно, и тут не наврали, потому что сперва врали, что спутники все же выведены, но на нештатную орбиту). Так что причина все же либо в нарушении техпроцессов жизненного цикла сборки и обслуживания Протона, либо, что, по мнению успевших высказаться экспертов, наиболее вероятно, в софте (ПО создавалось НПЦ АП имени Пилюгина).

ДМ сам по себе достаточно надежен, Протон тоже. Нестыковка возникла на системном уровне, когда в одно целое объединялись разные подсистемы, ранее друг с другом в реальных условиях не работавшие. То ли была неверно учтена масса сильно загруженной тремя спутниками установки из-за пожадничавших не там где надо чиновников, то ли еще что, дело в другом.

Причина такого сбоя, очевидно, в том, что программная часть этой сложной системы систем была недостаточно протестирована.

Возможно, сроки поджимали (конец года...) -- в таком случае виноват тот, кто давил на тестировщиков сверху.

Возможно, на полноценное тестирование не хватило финансирования. Почему?
Либо не дали сверху (тогда см. вариант со сроками), либо сами неверно распланировали бюджет (тем более, что опыт подобной интеграции у разработчиков уже имелся), либо деньги действительно разворовали. На мой взгляд, в данном случае выстрелила комбинация всех этих трех обстоятельств. То есть и бюрократические традиции, и раздолбайство/неквалифицированность, и распил. Виноватых в таких "системных" случаях как бы и нету ("социально-экономическая обстановка в стране виновата" etc).

Но коли ликвидировать такие сбои напрямую невозможно, есть альтернативные решения. Вот так, например, эту проблему решают американские вояки -- исключением людей из жизненного цикла отладки софта. Можно, конечно, просто закупать подобные зарубежные технологии, но в силу своей специфики, это примерно то же, что использовать в АЭС или ПАК ФА закрытую проприетарную зарубежную электронику.

Софт в таких мегапроектах уже сегодня определяет 80% их функциональности, и эта доля дальше будет только расти. Поэтому реальное преступление, гораздо худшее, нежели распил (потому что по мере повсеместной оцифровки обещает все более и более серьезные и масштабные катастрофы) -- это неразвитие ключевых областей программной инженерии, ответственных за автоматические доказательство правильности исходных текстов и исполняемого кода, всяческую верификацию, блокирование потенциально сбойных мест и т. д. Тем более, что, по меркам подобных проектов, инвестиции в метапрограммирование нужны просто копеечные.

Комментариев: 8

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

07.12.2010 21:46:28

Классный обзор версий!

Самый лучший из тех, которые я видел.

Но только те, кому надо, выводов из него не сделаютsmile:(
Ну не верю я в торжество добра и справедливости smile:(
Не в сказке живем, а в условиях дикого капитализма, где главный принцип звучит так: "Ты есть то, чем ты владеешь".

А ведь наши программеры неизменно являются победителями всевозможных общемировых олимпиад. То есть грамотные кадры (светлые головы) у нас есть. Вот только грамотно их расставить почему-то не могут. Или просто не хотят. Дабы не мешали пилить бабки узкому кругу ограниченных людей.

08.12.2010 11:09:11

Наверное, тут еще дело в том, что в госструктурах типа Пилюгинской зарплаты несравнимо низки в сравнении с рыночными. Спрос на программистов высокий (на днях видел приглашение флеш-программиста на 120 тыс), конкурировать с частными фирмами невозможно.

В США тоже эта проблема есть, но там работающим в госорганизациях дают кучу бонусов, которые с лихвой компенсируют разницу. У нас же низкооплачиваемыми гос-программистами работают наверное одни студенты да пенсионеры.

Шалыто
03.01.2011 14:14:51

Сергей, посмотрите, пожалуйста, "Заметки о мотивации" (в любом поисковике). Думаю будет интересно.

12.01.2011 10:28:03

Анатолий Абрамович, спасибо!

08.12.2010 11:42:26

Это у рядовых сотрудников госструктур зарплаты не очень большие.

А топ-менеджмент госструктур получает, надо полагать, не меньше, чем топ-менеджмент структур коммерческих. Взять хотя бы непотопляемого Чубайса...

К тому же в госструктурах обычно неплохой соцпакет. Которым, опять же, в наибольшей степени пользуется топ-менеджмент.

К зарплатам и продукции рядовых программистов применим принцип треугольника “цена-качество-скорость”: нельзя за небольшие деньги быстро получить качественный код. Чудес не бывает. Разве что в виде исключения.

08.12.2010 22:42:31

Кстати, по последним сводкам, возможная причина все же бытовая. В ДМ-3 вроде как по рассеянности закачали лишнюю тонну (!) керосина, а в бортовой системе остались старые параметры. Этот случай смоделировали, и расчетная траектория совпала с реальной. Ппц.

Удивительно тогда, почему средства телеметрии не отслеживают такие вопиющие отклонения реальных параметров системы от заданных.

Алекс
08.12.2010 14:39:42

А у меня такое мнение.
Для чего нужна вся эта дорогостоящая хрень (ну, для распила - это ясно, у нас дорогу в стенку могут построить, лишь бы распил был), если воевать-то никто не захочет? Гляньте, что в армии делается. Нижние чины служить не хотят (служить - в настоящем смысле этого слова, а не так, как сейчас это делается).
А верхние - побочные заработки собирают, имуществом торгуют. Случись что серьезное - и что? Возьмут взятку, как было в Ираке, и забьют на всё. Можно будет нас без сопротивления брать. Или с минимальным.
Принцип-то железный уже у нас сформировался: деньги превыше всего.
Кризис-то СИСТЕМНЫЙ, тут Глонассами не поможешь.
Это для руководства как валерьянка - типа всё хорошо, броня крепка и танки наши быстры...

Я с 60-х годов в ящиках работал. Во что всё теперь превратили - рыдать хочется...

08.12.2010 23:58:02

На National Geographic (моя любимая телепрограмма) есть серия передач "Катастрофы". В каждой серии на основании сохранившихся документов и воспоминаний очевидцев буквально по минутам воссоздается та или иная крупная (в основном -- авиационная или космическая) катастрофа. Так вот -- одной причины катастрофы практически никогда не бывает. Но всегда имеет место роковое стечение обстоятельств. Обычно двух, трех или даже четырех. Так что в рассматриваемом случае понемногу могли сыграть все версии, перечисленные Сергеем Бобровским.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии