Mehr und besser testen: Boeing Starliner Crash Debriefing beendet

Die NASA und Boeing haben im Dezember eine Analyse des Boeing Starliner-Flugs abgeschlossen. Ich möchte Sie daran erinnern, dass beim ersten unbemannten Teststart des neuen Raumfahrzeugs das Flugprogramm nur teilweise abgeschlossen wurde, das Andocken an die ISS fehlschlug, die Missionsdauer auf zwei Tage verkürzt werden musste und das Raumfahrzeug zweimal fast vollständig verloren ging. Der Bericht wurde nicht vollständig veröffentlicht, aber es ist bekannt, dass 80 Empfehlungen erneut die Bedeutung strenger und Qualitätsprüfungen hervorheben.





Boeing Starliner Nachflugdienst, Foto NASA / Bill Ingalls



Zweimal fast verloren



In der NASA-Terminologie wurde die Mission als "fast verloren mit breiter Medienberichterstattung" ("High Visibility Close Call") anerkannt. Die nächste Amtszeit ist der Unfall mit dem Verlust des Schiffes und möglicherweise dem Verlust von Leben. Der Status ist ziemlich selten und das letzte Mal wurde er als Situation bezeichnet, als der Astronaut Luca Parmitano 2013 während eines Weltraumspaziergangs aufgrund eines verstopften Filters des Wasserkühlsystems fast in einem Raumanzug ertrank.



Der erste Fehler zeigte sich 31 Minuten nach dem Start. Das Raumschiff führte nicht das erwartete Manöver durch, um von seiner ursprünglichen Umlaufbahn auf die Flugbahn zur ISS umzuschalten. MCC versuchte, die Situation zu korrigieren, aber als böse wurden diese Versuche mit Kommunikationsproblemen überlagert, und infolgedessen befand sich Starliner in einer Umlaufbahn, die für ein Rendezvous mit der ISS und mit leeren Kraftstofftanks ungeeignet war. Aufgrund eines Fehlers im Code synchronisierte das Raumschiff den Flugzeit-Timer nicht zu Beginn des Countdowns, sondern 11 Stunden vor dem Start mit dem Trägerraketen. Infolgedessen glaubte der Bordcomputer, dass sich das Schiff in einer anderen Flugphase befand als in der Realität.





Trennung der Abteile des Staliner-Schiffes, ein Rahmen aus dem Boeing-Video



Der zweite Fehler hatte keine Zeit, sich zu beweisen. Aufgrund des ersten Problems begannen NASA- und Boeing-Experten, den Code zu analysieren, um festzustellen, ob wir noch etwas verpasst haben. Und wie sich herausstellte, nicht umsonst. Während der Landung sollte das Raumschiff nach einem Bremsmanöver in ein Sinkfahrzeug und ein Servicemodul aufgeteilt werden (in der obigen Abbildung gezeigt, durchlaufen fast alle Raumfahrzeuge ein ähnliches Verfahren, z. B. wird Sojus in drei Abteile unterteilt, und Crew Draron setzt das Servicemodul zuvor zurück Bremsen). Nach der Trennung musste das Servicemodul ein Manöver ausführen, um sich vom Schiff zu entfernen. Aufgrund eines Fehlers im Code wurde die Prozedur jedoch falsch an die Steuerung übertragen, die den Prozess steuert. Infolgedessen könnte das Servicemodul das Abstiegsfahrzeug treffen und dort Probleme verursachen.



Das dritte Problem war nicht so kritisch, aber ich habe viel Blut vom Bodenpersonal getrunken. Während der gesamten Mission hatte das Schiff Probleme mit der Kommunikation mit dem Boden, was es schwierig machte, es vom MCC aus zu kontrollieren, und im Falle eines bemannten Fluges würde es zu Schwierigkeiten bei den Verhandlungen mit den Astronauten führen.



Zwei kritische Probleme, von denen jedes ohne die Intervention des Kundencenters zum Verlust des Schiffes geführt hätte, traten während der Entwurfs- und Entwicklungsphase auf und konnten während der Testphase zahlreiche Kontrollen durchlaufen. Beide Probleme waren durch Tests erkennbar, und Boeings Prozesse hätten sie finden und beheben können und sollen.



Was zu tun ist?



Der vollständige Bericht enthält geschützte Informationen und Informationen zu Geschäftsgeheimnissen, daher hat die NASA nur einen allgemeinen Überblick veröffentlicht, der immer noch sehr interessant ist.



21 Empfehlungen stehen in direktem Zusammenhang mit Tests. Zunächst müssen die Integrationstests sowohl auf Hardware- als auch auf Softwareebene verbessert werden. In meinem eigenen Namen stelle ich fest, dass Fehler, die in der Phase der Integrationstests nicht erkannt wurden, immer noch einen großen Anteil an den Ursachen von Weltraumunfällen haben. Darüber hinaus ist es vor jedem Flug erforderlich, eine „Generalprobe“ mit maximaler Beteiligung der Flugausrüstung durchzuführen, ihr Verhalten und ihre Einschränkungen zu analysieren und die erkannten Lücken in den Simulationen zu beseitigen.



10 Empfehlungen wurden den Anforderungen zugeordnet, beziehen sich aber auch auf Tests. Anforderungen mit mehreren Bedingungen sollten besser analysiert und die Entscheidungsabdeckung erhöht werden - die Testabdeckung der Bedingungen im Code. Ich möchte Sie daran erinnern, dass 100% Entscheidungsschutz 100% Kontoauszug bedeutet, aber nicht umgekehrt.



35 Empfehlungen sollten Prozesse verbessern. Und je nachdem, was zur Verbesserung vorgeschlagen wird, ist es möglich, die entdeckten Probleme zu rekonstruieren. Durch die Stärkung der Codeüberprüfung und der Testdaten sollte das Problem dadurch behoben werden, dass weder beim Schreiben des Codes (für die Codeüberprüfung) noch beim Testen (die Testdaten waren offensichtlich unzureichend) Fehler im Code festgestellt wurden. Eine stärkere Einbeziehung von Experten in sicherheitskritischen Bereichen sollte Kompetenzlücken beseitigen. Und der Vorschlag für Änderungen in der Dokumentation der Entscheidungskommissionen sollte die Situation korrigieren, in der Entwicklungs- und Testfehler nicht bemerkt wurden oder eine zu niedrige Priorität für die Beseitigung erhalten haben.



Die 7 Empfehlungen sind Codekorrekturen, die Fehler unter Berücksichtigung der Flugzeit und des Verfahrens zum Trennen des Servicemoduls beheben und den Antennenauswahlalgorithmus zuverlässiger machen.



Die letzten 7 Empfehlungen beziehen sich auf Organisationsstruktur und Hardware. Änderungen warten auf die Organisationsstruktur von Sicherheitsnachrichten (um Nachrichten besser weiterzuleiten "wir haben hier ein wichtiges Problem"), sollte das externe Audit verbessert werden und ein zusätzlicher Filter in das Schiffsdesign eingeführt werden, um vor Störungen außerhalb des Bandes zu schützen.



Liebe Lektion



Trotz der Tatsache, dass die Geschichte des Notfluges nichts Freudiges enthält, wird sie dazu dienen, die Prozesse zur Schaffung von Weltraumtechnologie und Flugsicherheit zu verbessern. Es ist natürlich sehr ärgerlich, Produktionsfehler zu übersehen, die beim Testen lange vor dem Flug hätten gefunden werden können und sollen. Jetzt sollten die ersten Testflüge eher die Richtigkeit der getroffenen Entscheidungen bestätigen, als unbemerkte Probleme zu erkennen. Der Testflug war sehr lehrreich, aber auch sehr teuer. Boeing muss nun auf eigene Kosten einen weiteren Teststart durchführen, um sicherzustellen, dass das Schiff sicher und flugfähig ist. Das genaue Datum ist noch nicht bekannt, der November 2020 ist geplant.



All Articles