Mars climate orbiter ошибка

Катастрофические последствия программных ошибок

Практика не устает доказывать, что в любом ПО самая главная уязвимость — человеческий фактор. И неважно, появился ли баг из-за нехватки квалифицированности специалиста, выжил после долгих часов дебага в поисках ошибки, или считался хитро замаскировавшейся фичей. Среди некоторых разработчиков даже укрепилось мнение, что баги в принципе существуют всегда и везде. Но если ошибки абстрактны и сложно воспроизводимы в реальных условиях, то проблема не является критичной.

В идеальной ситуации баги исправляют все и сразу. Но в жизни всегда есть куча задач, отодвигающих полный и бесповоротный багфикс (новый функционал, срочные хотфиксы, расставленные приоритеты при исправлении багов). Это значит, что в первую очередь находятся и исправляются очевидные и явные проблемы. Остальные тихо ждут своего часа, превращаясь в бомбы замедленного действия. Иногда ошибки приводят не только к неприятностям в жизни рядового разработчика, но и вызывают настоящие катастрофы. Сегодня у нас подборка и объяснение самых кошмарных багов в истории разработки ПО.

Облучение и радиация

Знаменитый случай гибели нескольких человек, получивших смертельную дозу облучения во время сеансов радиационной терапии с применением медицинского ускорителя Therac-25. Ускорители подобного типа используют электроны для создания лучей высокой энергии, высокоточно уничтожающих опухоли. Но некоторые пациенты получили дозы не в несколько сотен рад, как предписывало лечение, а в 20 000 рад; доза в 1000 рад для человека считается несовместимой с жизнью, причем смерть может наступить сразу после облучения.

Всего один программист создал все ПО, используемое в аппаратах Therac — а это 20 тысяч инструкций, написанных на ассемблере. И при этом во всех Therac встречался один тот же пакет библиотек, содержащий ошибки.

Ускоритель Therac-25, ставший третьим в серии успешных аппаратов лучевой терапии, мог работать с рентгеновскими лучами до 25 МэВ. Несколько лет в середине 80-х аппараты Therac-25 работали безупречно, однако со временем начали накапливаться инциденты, повлекшие за собой тяжелые последствия: от ампутации конечностей до гибели пациентов.

Первое время баги просто не замечали, а все неполадки связывали с аппаратными сбоями. Программное обеспечение, безукоризненно проработавшее тысячи часов, воспринималось идеальным и безопасным. Никаких действий для предотвращения последствий возможных ошибок не предпринималось. Кроме того, выдаваемые оператору сообщения о критических с точки зрения безопасности ситуациях выглядели как рутинные. Производитель устройств расследовал каждый инцидент, но при этом не мог воспроизвести сбой. Потребовалось несколько лет исследований сторонних экспертов, привлеченных во время суда после череды смертей, чтобы сделать вывод о наличии большой плеяды именно программных ошибок.

Так при определенной последовательности ввода команд с клавиатуры происходил некорректный вызов процедур, влекущих за собой облучение любого произвольного участка тела пациента. Отсутствие на устройстве аппаратного блокиратора критических и продолжительных доз излучения усугубляло проблему.

Одна и та же переменная в ПО Therac-25, применялась как для анализа введенных чисел, так и для определения положения поворотного круга, отвечающего за направление излучателя. Поэтому при быстром вводе команд аппарат мог принять число дозы излучения за координаты места, куда нужно направить луч — например, прямо в мозг.

Иногда Therac-25 при расчете излучения делил на ноль и соответствующим образом увеличивал величины облучения до максимально возможных. Установка булевской переменной в значение «true» производилась командой «x=x+1» из-за чего с вероятностью 1/256 при нажатии кнопки «Set» программа могла пропустить информацию о некорректном положении излучателя.

Во внутренней документации производителя было обнаружено, что одно и то же сообщение об ошибке выдавалось как в случае ненадлежащей (малой) дозы облучения, так и для большой дозировки — отличить по сообщению об ошибке одно от другого было невозможно.

Если вы разработчик или (что еще лучше) тестировщик, этот случай стоит изучить досконально — есть хорошая статья в wiki, с нее можно начать, а затем ознакомьтесь с большой статьей девятнадцатилетней давности «Мифы о безопасном ПО: уроки знаменитых катастроф». История вобрала в себя большинство классических проблем тестирования.

Как ни печально, но проблемы Therac-25 не остались уникальными. В 2000 году серию аварий вызвал другой софт, точно так же просчитывающий нужную дозу облучения для пациентов, проходящих курс лучевой терапии.

Программное обеспечение Multidata позволяло медицинскому работнику рисовать на экране компьютера порядок размещения металлических блоков, предназначенных для защиты здоровых тканей от радиации. Но софт разрешал использовать только четыре защитных блока, в то время как врачи, в целях повышения безопасности, хотели использовать все пять.

Врачи воспользовались «лайфхаком». Оказалось, что в программе не предусмотрена защита от ввода некорректных данных — можно было нарисовать все пять блоков как один большой блок с отверстием в середине. В медицинском центре онкологии Панамы не понимали, что софт Multidata устанавливал разные показатели конфигурации в зависимости от того, как размещено отверстие: от направления его размещения рассчитывалась правильная доза облучения.
Из-за неверно введенных данных умерли восемь пациентов, в то время как еще 20 получили передозировку, повлекшую серьезные проблемы со здоровьем.

Блэкаут

Маленькая ошибка в программном обеспечении системы мониторинга работы оборудования General Electric Energy привела к тому, что 55 миллионов человек остались без электричества. На Восточном побережье США оказались обесточены жилые дома, школы, больницы, аэропорты.

14 августа 2003 года в 0:15 ночи оператор энергетической системы в Индиане с помощью инструмента мониторинга работы оборудования заметил небольшую проблему. Проблема вызвала раздражающий сигнал об ошибке, который оператор выключил. Оператору удалось за несколько минут решить все трудности, но он забыл перезапустить мониторинг — аварийный сигнал остался в выключенном положении.

Отключение сигнала не стало основной причиной блэкаута. Но когда через несколько часов из-за контакта с деревом вырубились провисшие линии электропередачи в Огайо — об этом никто не узнал. Проблема приняла лавинообразный характер, перегруженные линии передачи и электростанции начали вырубаться в Онтарио, Нью-Йорке, Нью-Джерси, Мичигане и далее.

Ни один из операторов не заметил каскад ошибок, которые медленно убивали энергосистему, из-за единственного выключенного сигнала тревоги — никаких дублирующих систем на этот случай не предполагалось.

Mars Climate Orbiter

В 1998 году NASA потеряло спутник «Mars Climate Orbiter» стоимостью $ 125 млн из-за того, что субподрядчик, работавший над инженерными задачами, не перевел английские единицы измерения (фунты) в метрическую систему. В результате ошибки спутник после 286-дневного путешествия на большой скорости вошел в марсианскую атмосферу, где из-за возникших перегрузок его системы связи вышли из строя. Аппарат оказался на сто километров ниже планируемой орбиты и на 25 км ниже высоты, на которой еще можно было исправить ситуацию. В результате спутник разбился. Такая же участь постигла космический аппарат Mars Polar Lander.

Mariner 1

В 1962 году космический корабль «Mariner 1» был уничтожен с земли после старта из-за отклонения от курса. Авария возникла на ракете из-за программного обеспечения, в котором разработчик пропустил всего один символ. В результате корабль стоимостью 18 миллионов долларов (в деньгах тех лет) получал неверные управляющие сигналы.

При работе над системой управления ракетой программист переводил рукописные математические формулы в компьютерный код. Символ «верхнего тире» (индекса), он воспринял за обычное тире (или знак минус). Функция сглаживания стала отражать нормальные вариации скорости ракеты как критические и недопустимые.

Однако даже допущенная ошибка могла не привести к критическому сбою, но как назло антенна ракеты потеряла связь с наводящей системой на Земле, и управление взял на себя бортовой компьютер.

Запуск баллистических ракет

26 сентября 1983 года спутник эшелона «Око» системы предупреждения о ракетном нападении СССР ошибочно сообщил о запуске пяти баллистических ракет с территории США. Спутник находился на высокой эллиптической орбите, наблюдая за районами базирования ракет под таким углом, чтобы они находились на краю видимого диска Земли. Это позволяло обнаружить факт запуска на фоне темного космического пространства по инфракрасному излучению работающего ракетного двигателя. Кроме того, выбранное расположение спутника снижало вероятность засветок датчиков отраженным от облаков или снега солнечным светом.

После безупречного года работы внезапно выяснилось, что в один день при определенном положении спутника и Солнца свет отражается от облаков, расположенных на больших высотах, оставляя то самое инфракрасное излучение, которое компьютеры восприняли как след от ракет. Заступивший на боевое дежурство подполковник Станислав Петров усомнился в показаниях системы. Подозрение вызвало сообщение о пяти замеченных целях — в случае реального военного конфликта США одновременно произвели бы сотни пусков. Подполковник Петров решил, что это ложное срабатывание системы, и тем самым, вероятно, предотвратил Третью мировую войну.

Подобная ошибка, едва не повлекшая за собой глобальный ядерный конфликт, произошла и по другую сторону океана. 9 ноября 1979 года из-за сбоя компьютера воздушно-космической обороны Северной Америки была получена информация о начале ракетной атаки против США — в количестве 2200 запусков. В то же время спутники раннего предупреждения и радары показали, что никакой информации о советской атаке не поступало — только благодаря перепроверке данных, сделанной за 10 минут, не был отдан приказ о взаимном гарантированном уничтожении.

Причиной всему оказалась самая опасная уязвимость — человеческий фактор. Оператор компьютера, находящегося на боевом дежурстве, загрузил в него пленку с учебной программой, имитировавшей ситуацию массированной ракетной атаки.

За несколько первых лет работы Национального центра управления Объединенного командования аэрокосмической обороны США и Канады было зафиксировано 3703 ложных сигнала тревоги, большая часть из которых появилась из-за атмосферных явлений. Однако случались и компьютерные ошибки. Так один из «боевых» компьютеров 3 июня 1980 года показал постоянно меняющиеся цифры количества ракет, запущенных Советским Союзом. Проблема возникла из-за аппаратного сбоя в микросхеме.

Обновление софта и деление на 0

В 1997 американский ракетный крейсер «Йорктаун» (CG-48), на котором были установлены 27 компьютеров (Pentium-Pro на 200 МГц), решил поделить на ноль и полностью вышел из строя.
Компьютеры работали на Windows NT — и работали они ровно так, как вы и ожидаете, узнав название оси. В то время ВМФ США старался максимально широко использовать коммерческое ПО с целью снижения стоимости военной техники. Компьютеры же позволяли автоматизировать управление кораблем без участия человека.

На компьютеры «Йорктауна» поставили новую программу, управляющую двигателями. Один из операторов, занимавшийся калибровкой клапанов топливной системы, записал в одну из ячеек расчетной таблицы нулевое значение. 21 сентября 1997 года программа запустила операцию деления на этот самый ноль, началась цепная реакция, и ошибка быстро перекинулась на другие компьютеры локальной сети. В результате отказала вся компьютерная система «Йорктауна». Потребовалось почти три часа, чтобы подключить аварийную систему управления.

Схожая проблема с нулем возникла при испытании истребителя в Израиле. Безупречно работавший самолет на автопилоте пролетел над равнинной частью, над горной частью, над долиной реки Иордан и приблизился к Мертвому морю. В этот момент произошел сбой, автопилот выключился, и пилоты посадили истребитель на ручном управлении.

После долгих разбирательств удалось выяснить, что программы автопилота при вычислении параметров управления производили деление на значение текущей высоты истребителя над уровнем океана. Соответственно, у Мертвого моря, лежащего ниже уровня океана, высота становилась нулевой, провоцируя ошибку.

В мире найдется немало историй, когда обновление софта, совершаемое с самыми благими целями, могло повести за собой множество проблем. В 2008 году атомная электростанция в штате Джорджия (США) мощностью 1,759 МВт в экстренном режиме приостановила работу на 48 часов.

Инженер компании, занимающейся технологическим обслуживанием станции, установил обновление на главный компьютер сети АЭС. Компьютер использовался для слежения за химическими данными и диагностики одной из основных систем электростанции. После установки обновлений компьютер штатно перезагрузился, стерев из памяти данные управляющих систем. Система безопасности станции восприняла потерю части данных как выброс радиоактивных веществ в системы охлаждения реактора. В результате автоматика подала сигнал тревоги и остановила все процессы на станции.

Инцидент с F-22

Двенадцать F-22 Raptor (истребитель пятого поколения, состоящий на вооружении США), стоимостью $ 140 млн за штуку, отправились в первый международный вылет в Окинаву. Все шло замечательно, пока эскадрилья не пересекла линию перемены даты, на западной стороне которой дата сдвинута на один день вперед относительно восточной. После пересечения условной линии все 12 истребителей одновременно выдали сообщение об ошибке, эквивалентной синему экрану смерти.

Самолеты потеряли доступы к данным о количестве топлива, датчикам скорости и высоты, частично нарушилась связь. В течение нескольких часов самые современные истребители Америки летели через океан совершенно беспомощными. В конце концов их удалось посадить только благодаря мастерству пилотов.

Так в чем же была ошибка? Проектировщики из Lockheed Martin даже не рассматривали вопрос о возможности пересечения линии перемены дат — им просто не пришло в голову, что где-то понадобится либо прибавлять, либо вычитать одни сутки.

Другие истории

В этой бескрайней теме есть еще несколько интересных историй. О них сложилось либо неправильное мнение, либо уже были подробные статьи на ГТ и Хабре.

Взрыв на советской газотранспортной системе в 1982 году из-за программных ошибок, заложенных ЦРУ. Эксперты категорически отрицают не только взрыв на газопроводе «Уренгой-Сургут-Челябинск» в 1982 году, но и вообще возможность возникновения такого взрыва.

Алгоритмическая ошибка привела к аварии самолета А-330 — в результате инцидента 119 пассажиров и членов экипажа получили ранения, из них 12 тяжелые.

Ракета-носитель Ariane 5 превратилась в «конфетти» 4 июня 1996 года — ошибка произошла в компоненте ПО, предназначенном для выполнения «регулировки» инерциальной платформы. Потеряно 500 млн долларов (стоимость ракеты с грузом).

Toyota: из-за корявой электроники и софта 89 человек погибли с 2000 по 2010 годы.

Источники:

habrahabr.ru/company/mailru/blog/227743
www.wikiwand.com/en/Therac-25
www.baselinemag.com/c/a/Projects-Processes/We-Did-Nothing-Wrong en.wikipedia.org/wiki/Northeast_blackout_of_2003
lps.co.nz/historical-project-failures-mars-climate-orbiter www.jpl.nasa.gov/missions/mariner-1
inosmi.ru/inrussia/20071229/238739.html
https://www.revolvy.com/main/index.php?s=USS%20Yorktown%20(CG-48)
www.defenseindustrydaily.com/f22-squadron-shot-down-by-the-international-date-line-03087

Даже самые талантливые и преданные своему делу ученые совершают большие ошибки.Вот история одной из таких ошибок, которая стоила NASA космического корабля для Марса стоимостью 125 миллионов долларов. И все это из-за путаницы в метрической системе.

Художественная концепция марсианского климатического орбитального аппарата. NASA

Mars Climate Orbiter

Mars Climate Orbiter (MCO) — 338-килограммовый (745 фунтовый) роботизированный космический зонд был запущен NASA 11 декабря 1998 года для изучения Красной планеты и в качестве ретранслятора связи для Mars Polar Lander.

Но по прибытии космического аппарата на Марс что-то пошло не так. «В 09:00:46 UT 23 сентября 1999 года орбитальный аппарат, как и планировалось, начал спуск на орбиту Марса. После прохождения за Марсом космический аппарат должен был восстановить контакт, но, к сожалению, никаких сигналов от него получено не было», — говорится в заявлении NASA.

NASA провело расследование и вскоре выяснило, что навигационная ошибка произошла из-за того, что команды с Земли были отправлены в английских единицах (фунт-секунда) без преобразования в метрический стандарт (Ньютон-секунда). И хотя это может кому-то показаться пустяком, астронавигация — очень точная наука, ошибка привела к тому, что орбитальный аппарат не вышел на запланированную орбиту.

MCO вошел в марсианскую атмосферу на высоте примерно 35 миль (57 километров), загорелся и распался на множество мелких фрагментов. В результате космический корабль был навсегда потерян.

Проблемы культуры

Инженер Ричард Кук, который в то время был руководителем марсианских проектов NASA, рассказал WIRED, что эта ошибка стала культовой. «С этого момента история с единицами измерения стала легендой,
примером в учебнике каждого ребенка», — сказал Кук. «Все были поражены, что мы не заметили этого».

Эта история свидетельствует о том, что даже самые лучшие замыслы могут иметь сбои. Такая простая вещь, как путаница в метрической системе, может иметь катастрофические последствия.

Однако Кук считает, что в этом инциденте было нечто большее, чем просто ошибка. В то время в NASA существовала единая корпоративная культура, в рамках которой сотрудников всё время заставляли работать слишком быстро.

«Лучше, быстрее, дешевле» — такова была мантра в то время», — сказал Кук. «Безусловно, в рамках этого проекта мы пытались сделать очень многое за ограниченные деньги». Возможно, лучший урок, который можно извлечь из этого трагического события, — не торопиться и не выбирать короткие пути для таких важных миссий, как исследование планет.

Судя по всему, NASA сделало правильные выводы, и теперь все миссии на Марс осуществляются на самом высоком уровне.

Источники:    
https://solarsystem.nasa.gov/missions/mars-climate-orbiter/in-depth/
https://www.wired.com/2010/11/1110mars-climate-observer-report/

Прохладная история про погодный зонд, НАСА и невнимательных менеджеров

Золотой фонд менеджерских косяков

Помните историю о том, как из-за одной переменной космическая ракета взорвалась в воздухе после старта? На этот раз ошибки в коде не было, но результат получился тот же самый: навсегда утрачен зонд с научным оборудованием на сумму 125 миллионов долларов.

Что произошло

История начинается в 1996 году, когда в США запускали ракету-носитель Ariane-5. Она пролетела 40 секунд, у неё случился программный сбой, и ракета взорвалась в воздухе. С тех пор в НАСА стали более тщательно проверять код и тестировать его в различных условиях. 

Два года спустя НАСА запустило научный космический зонд Mars Climate Orbiter — он должен был изучать климат Марса, а заодно работать вспомогательным маяком для навигации других научных зондов. 

В течение 9 месяцев полёта всё было отлично — «Орбитер» летел к Марсу по расчётной траектории. Но при заходе на орбиту связь с зондом была потеряна, а сам он распался на куски в атмосфере и упал на планету.

В чём причина

Расследование комиссии показало, что зонд должен был начать торможение перед заходом на орбиту на высоте 110 километров от поверхности Марса, но он начал тормозить только на 57 километрах. Из-за этого зонд вошёл в атмосферу планеты со слишком высокой скоростью и разрушился от перегрузок. 

Когда комиссия стала искать причины, которые вызвали такое позднее торможение, то сначала все подумали про ошибки в коде — после инцидента с Ariane-5 это была очевидная мысль. Но в коде всё было идеально — ни один модуль управления не выдал ошибку после сотни тестов.

Оказалось, что дело не в коде, а в разных системах измерения. Команда-подрядчик, которая писала софт для модуля управления, использовала в формулах и расчётах метрическую систему, а командный центр в НАСА — английскую (там где футы, дюймы, мили, фунты). Когда настало время корректировки скорости и высоты для выхода на орбиту, зонд ожидал данные в метрах и ньютонах, а получил в футах и фунт-силах. Программисты и менеджеры не согласовали с НАСА стандарты разработки и не проверили, какие именно данные и в каком виде будет получать конкретный модуль. 

В итоге вместо 110 000 метров зонд получил от НАСА 360 892 фута. Бортовой компьютер подумал, что лететь ещё долго, и не стал снижать скорость. В итоге зонд снизился на критическую высоту и не выдержал перегрузок. 

Что в итоге

Эта авария постепенно заставила НАСА пересмотреть свой подход к системам измерения. Они поняли, что международные компании-разработчики используют метрическую систему как стандартную для написания кода. Отказаться от подрядчиков НАСА не может, потому что у него нет такого штата высококвалифицированных программистов и инженеров, которые могут написать софт к любому модулю. 

В итоге с 2007 года НАСА использует метрическую систему измерений. Вот так невнимательность менеджеров и программистов поменяла стандарт в космической отрасли целой страны.

Многие студенты ненавидят математику, хотя мир работает на математике. Огромные суммы денег и оборудование стоимостью в миллионы долларов были потеряны просто потому, что кто-то допустил небольшую математическую ошибку.

10. Атака ракет типа «Скад» в войне в Персидском заливе

25 февраля 1991 года иракская ракета «Скад» нанесла удар по базе армии США в Даране, Саудовская Аравия, убив 28 солдат и ранив ещё 100. Катастрофа была неожиданной, если учесть, что база была защищена системой ПВО «Патриот». Расследования показали, что система не пыталась перехватить «Скад».

Ошибка была связана с программным обеспечением, питающим часы системы. Часы записывали время в десятых секундах (одна десятая секунды), но сохраняли эти данные в виде целого числа. Для этого они преобразовывали время в 24-битное число с плавающей точкой. Однако округление времени при их преобразовании привело к постепенному увеличению погрешности в работе системы. В результате система не смогла перехватить ракеты после 20 часов непрерывного использования.

Во время атаки рассматриваемая ракетная батарея «Патриот» проработала 100 часов. Разница во времени была такова, что она искала не в той части неба входящую ракету и поэтому не нашла цели. Армия США была проинформирована об этой проблеме с программным обеспечением и выпустила обновление 16 февраля. Обновление достигло базы в Дхаране 26 февраля, на следующий день после атаки.

Мы уже обсуждали этот случай подробнее тут в блоге — Как один маленький баг угробил 28 американцев

9. Испанская программа подводных лодок S-80

В 2003 году Испания запустила программу подводных лодок S-80 на сумму 2,7 миллиарда долларов для строительства чётырех дизель-электрических подводных лодок для ВМС Испании. Испания почти завершила строительство одной из них в 2013 году, когда обнаружила, что лодка на 70 тонн тяжелее, чем должна была быть. Испанский флот боялся, что подводная лодка никогда не всплывёт, если уйдёт под воду.

Подводная лодка оказалась тяжёлой после того, как кто-то поставил десятичную точку в неправильном месте во время вычислений. Никто не обнаружил ошибку, пока первая субмарина не была закончена, а остальные три уже строились. Позже Испания подписала контракт на 14 миллионов долларов с Electric Boat из Гротона, штат Коннектикут, чтобы те помогли им снизить вес 2200-тонной подводной лодки.

Вот тут мы обсуждали этот случай подробнее — https://masterok.livejournal.com/4625979.html

8. Рейс 143Air Canada

В июле 1983 года самолёт Boeing 767 Air Canada, летевший из Оттавы в Эдмонтон с 69 пассажирами и членами экипажа, вынужден был совершить аварийную посадку после того, как закончился запас топлива на высоте 12500 м. Двигатели внезапно потеряли мощность, и самолёт начал снижаться к земле. Он пролетел 100 километров до посадки в Гимли, Манитоба.

Он приземлился на ипподроме, который изначально был взлётно-посадочной полосой. К счастью, никто не погиб. Однако два человека получили лёгкие травмы, а носовая часть была разрушена. Эта посадка принесла Рейсу 143 прозвище «Планёр Гимли».

Авария была связана с ошибкой преобразования. Air Canada использовала британскую систему мер, но перешла на метрическую, которую уже использовал этот Boeing 767. Наземные экипажи Air Canada использовали британскую систему при заправке самолёта. Они измеряли топливо в фунтах вместо килограммов.

Один килограмм равен 2,2 фунта. Это означало, что у самолёта было всего около половины количества топлива, необходимого для завершения полёта. Пилоты не заметили расхождений, потому что датчик топлива не работал. Наземные экипажи использовали капельные палочки для измерения топлива во время заполнения резервуаров.

Интересно, что наземные экипажи ошиблись дважды. Первый раз в Монреале, а второй – в Оттаве. Самолёт совершил перелёт из Монреаля в Оттаву без происшествий, но буквально столкнулся с проблемами, когда летел из Оттавы в Эдмонтон.

7. Потопление «Вазы»

10 августа 1628 года Швеция запустила новый, хорошо вооружённый и большой военный корабль: «Ваза». Судно едва проплыло 20 минут, когда затонуло менее чем в миле от берега. Тридцать человек погибли в результате потопления. Корабль был позже найден в 20-м веке и сейчас хранится в Музее Вазы.

Историки измерили весь корабль и обнаружили, что его строители использовали две разные единицы измерения. Одной был шведский фут, а другой – амстердамский фут. Шведский фут составляет 30,48 см, в то время как амстердамский – 27,94 см.

Разница между обеими единицами измерения привела к тому, что одна сторона оказалась тяжелее другой. Вот почему корабль наклонился в сторону и быстро затонул после того, как по нему ударили два порыва ветра. Историки добавляют, что влияние ветра было усугублено тем фактом, что верх корабля был тяжелее его дна.

Была у нас про это тема — Корабль на час

6. Крушение Mars Climate Orbiter

Mars Climate Orbiter был совместным проектом компании Lockheed Martin и NASA / JPL стоимостью 125 миллионов долларов. Проект получил неловкое завершение, когда орбитальный аппарат, скорее всего, потерпел крушение на Марсе из-за простой ошибки преобразования в 1999 году. Lockheed Martin использовал британскую систему мер при программировании программного обеспечения, но НАСА использовало метрическую систему.

Инженеры НАСА обнаружили бы ошибку, если бы обратили внимание. Однако они этого не сделали. Никто не понимал, что что-то не так во время девятимесячного путешествия Mars Climate Orbiter на Марс. Ошибка стала очевидной только тогда, когда НАСА потеряло связь с орбитальным аппаратом.

В ответ на инцидент Джон Логсдон из Института космической политики Университета имени Джорджа Вашингтона сказал, что всё это было «глупо». Джон Пайк из Федерации американских учёных добавил: «Было неловко потерять космический корабль из-за такой простой математической ошибки».

5. Взрыв ракеты Ariane 5

4 июня 1996 года ракета Ariane 5 Европейского космического агентства взорвалась через 37 секунд после взлёта. На борту космического корабля находились четыре спутника. Ракета и спутники стоили 370 миллионов долларов. Авария была связана с целочисленной ошибкой переполнения в программном обеспечении, используемом для запуска ракеты.

Целочисленное переполнение – это математическая ошибка, которая возникает, когда числа, сгенерированные системой, превышают объём памяти этой системы. Ariane 5 работала на 16-битном программном обеспечении, способном хранить числа до 32767. Ракете удалось создать числа намного больше этого.

Европейское космическое агентство использовало то же программное обеспечение, что и в ракетах Ariane 4. У них были проблемы с Ariane 5, потому что она была быстрее, чем Ariane 4. Чем быстрее, тем больше числа. Программное обеспечение не может обрабатывать большие показания, из-за чего ракета становится негодной. Наземный контроль приказал самоуничтожиться.

4. Выплата дивидендов и выкуп акций Банка Америки

В 2014 году Банк Америки показал, что впервые после финансового кризиса 2008 года он прошёл стресс-тест Федеральной резервной системы. Банк добавил, что собирается выплатить дивиденды своим акционерам и выкупить акции на 4 миллиарда долларов. Позже банк отозвал заявление и обнаружил, что допустил некоторые ошибки.

Банк Америки не прошёл стресс-тест. Он только думал, что сделал это, потому что допустил ошибку в определении стоимости некоторых облигаций, принадлежащих его дочерней компании, Merrill Lynch. Акционеры были недовольны, и акции банка упали на 9 миллиардов долларов (пять процентов от общей стоимости) в тот же день, когда была обнаружена ошибка.

3. Проблема моста в Лауфенбурге

Некоторое время назад Германия и Швейцария договорились построить мост через Рейн между своими городами по обе стороны, оба под названием Лауфенбург. В соответствии с соглашением, каждая страна должна была начать строительство со своей стороны реки и встретиться посередине. Мост близился к завершению в 2003 году, когда обе страны поняли, что одна половина моста была на 54 сантиметра выше, чем другая.

Ошибка возникла из-за того, что каждая страна по-своему определила термин «уровень моря». Большинство стран используют разные методы определения уровня моря, учитывая, что он не везде одинаков. Германия для его определения использует Северное море, а Швейцария предпочитает Средиземное.

Разница между соответствующими уровнями моря в этих странах составляла 27 сантиметров. Германия и Швейцария знали об этом и учли это в своих расчётах. Тем не менее, кто-то сделал так, что несоответствие удвоилось, в результате чего одна сторона моста стала на 54 сантиметра выше, чем следовало.

2. Проблема негабаритного поезда во Франции

В 2014 году Societe Nationale des Chemins de Fer francai (SNCF), государственный железнодорожный оператор Франции, обнаружил, что его новые скоростные поезда были слишком широкими для 1300 станций по всей стране. Проблема заключалась в том, что он заказал 1860 поездов у Alstom из Франции и Bombardier из Канады. SNCF определил, что необходимо уменьшить ширину поездов, чтобы станции могли их разместить. Ошибка обошлась в миллионы евро.

Этот инцидент вызвал некоторое недовольство во Франции; Министр транспорта назвал это «комично трагическим». Canard Enchaine, еженедельная сатирическая газета, сделала карикатуру, в которой пассажирам на платформе было приказано «втянуть животы», когда один из новых поездов подошёл к станции.

Ошибка произошла потому, что французские вокзалы различаются по размеру. SNCF знал об этом и просил Reseau ferre de France (RFF), который отвечал за пути, измерить пространство возле путей. У SNCF и RFF возникли некоторые проблемы после того, как выяснилось, что RFF пропустил 1300 старых станций в своих первоначальных расчётах. Эти станции были уже, чем другие. Было слишком поздно, так как некоторые поезда уже доставили, а другие находились в стадии строительства.

1. Ошибка муниципального совета Амстердама на 188 миллионов евро

В декабре 2013 года финансовое управление городского совета Амстердама отправило 188 миллионов евро более чем 10000 бедных семей, проживающих в городе. Позже город обнаружил, что совершил ошибку в платежах. Изначально планировалось направить 1,8 миллиона евро, а не 188 миллионов евро.

Платёжное программное обеспечение было запрограммировано в центах, а не в евро. Люди получили 15500 евро вместо 155 евро и в одном случае 34000 евро вместо 340 евро.

К счастью, город смог вернуть все деньги, за исключением 2,4 миллиона евро, когда в новостях ошибка была обнародована. Ожидалось, что городу будет сложно вернуть 1,2 миллиона евро. Это значительная сумма вместе с 300000 евро, которые город уже потратил на ликвидацию последствий бедствия.

[источники]

Источники:

http://muz4in.net/news/10_prostykh_no_dorogostojashhikh_matematicheskikh_oshibok_v_istorii/2019-09-05-50057

Хотя небольшие ошибки в суждении в наших повседневныхжизнях — будь то забывание кошелька дома или запирание ключей в автомобиле — конечно же, раздражают, ставки там часто относительно низкие. Однако в редких случаях в истории одна маленькая ошибка приводила к срыву миссии, массовому разрушению или даже смерти. Ниже описаны шесть небольших просчётов, которые вызвали огромные исторические катастрофы.

Разность временных зон стала причиной провала операции в Заливе свиней

Кубинские контрреволюционеры, члены Штурмовой бригады 2506, после их захвата во время операции в Заливе свиней, Куба, в апреле 1961 года

В апреле 1961 года ЦРУ объединило силы с кубинскими эмигрантами-контрреволюционерами, чтобы предпринять военное вторжение на Кубу с целью свержения коммунистического режима Фиделя Кастро. Когда эта операция с треском провалилась, она заняло позорное место в американской истории и оставила большое пятно на президентстве Джона Ф. Кеннеди, который её одобрил.

И причиной провала этой операции была одна маленькая ошибка её разработчиков. Кеннеди разрешил, чтобы эскадрилья американских самолётов осуществляла поддержку вторжения путём сопровождения бомбардировщиков B-26. Однако бомбардировщики прибыли к побережью Кубы на час раньше их сопровождения и, оставшись без защиты, были легко сбиты кубинцами, а без воздушной поддержки вторжение потерпело поражение, в результате чего было убито более 100 человек (и в десять раз больше было взято в плен).

Почему же сопровождение опоздало? ЦРУ и Пентагон не учли разницу во времени между Никарагуа, откуда вылетели самолёты сопровождения, и Кубой.

Христофор Колумб допустил один большой просчёт
Хотя спустя много веков после своей смерти Христофор Колумб остаётся известным как первый европеец, ступивший на землю Америки, это не было его начальной целью. Его первоначальным намерением было открытие более короткого торгового пути между Европой и Азией. Как многим, наверное, известно, прибыльность этого предприятия обеспечила Колумбу финансовую поддержку испанской короны.

Высадка Христофора Колумба в Вест-Индии на картине художника Джона Вандерлина

Однако многие могут не знать, что начальная цель не была достигнута. Колумб и его команда сделали один неправильный расчёт, который заставил его прийти к выводу, что Азия намного ближе к Европе, чем на самом деле. Колумб ошибочно считал, что один градус долготы равен 57 милям (около 92 км), в то время как на самом деле он равен 69 милям (чуть больше 111 км). При умножении на 360 градусов, из которых состоит круг, ошибка вылилась в громадный просчёт.

Таким образом, Колумб отправился на запад в Азию, считая, что она находится недалеко от побережья Северной Африки. Между тем, Азия была намного дальше, чем он думал, и он лишь добрался до Америки.

Смертельный ракетный удар, вызванный просчётом на десятые доли секунды

Запуск ракет «Патриот» для перехвата иракской ракеты Р-17 над Тель-Авивом 12 февраля 1991 года

Во время войны в Персидском заливе США и их союзники управляли системой противоракетных комплексов «Патриот», служивших для перехвата ракет противника собственными ракетами. Перехватом ракет управляла компьютерная программа, но 25 февраля 1991 года в системе произошёл сбой. Иракская баллистическая ракета Р-17 попала в американские казармы, в результате чего были убиты 28 и ранены 100 солдат.

Эта ошибка произошла из-за неправильного использования системы. Её первоначальные разработчики не рассчитывали, что программа будет непрерывно работать больше 14 часов. А на момент сбоя она непрерывно работала больше 100 часов.

Опасность продолжительных периодов непрерывной работы системы состояла в том, что её внутренние часы не могли отслеживать десятые доли секунды, и, таким образом, через большие промежутки времени эти часы начинали показывать неправильное время, что является большой проблемой в системе, предназначенной для точного перехвата ракет.

Виновниками работы системы в течение слишком большого периода времени были наземные войска. Ожидая ракетного удара, они решили не перезагружать систему, опасаясь, что он может быть нанесён во время перезагрузки. Эта предосторожность стоила человеческих жизней.

Заблудившаяся собака стала причиной войны

Лига наций. 1920 год

Собаки часто создают разногласия между соседями. Обычными причинами разногласий является лай поздним вечером или справление большой нужды на газоне соседа. Но если соседи являются соперничающими государствами, разногласия могут быть намного серьёзнее.

Между Грецией и Болгарией были натянутые отношения в 1925 году. Обе страны претендовали на Македонию и конфликтовали из-за этой территории. И вот 18 октября 1925 года, когда отношения между ними уже и так были очень напряжёнными, греческий пограничник не уследил за своей собакой, и она забежала на болгарскую территорию. Будучи верным хозяином, пограничник побежал за своей собакой и был сразу застрелен болгарскими пограничниками.

Грецию очень разозлило это убийство, и она вторглась в Болгарию, захватив город Петрич, в результате чего, по некоторым подсчётам, погибло больше 100 человек. Таким образом, один солдат, который не держал свою собаку на поводке, спровоцировал военный конфликт, который смогло уладить лишь вмешательство Лиги Наций.

Покушение на эрцгерцога Франца-Фердинанда было фарсом

Франц-Фердинанд и его жена София покидают Гилдхолл в Сараево в день покушения

Хотя такие затаённые силы, как необузданный национализм, возможно, были более сильными факторами Первой мировой войны, искрой, которая разожгла невообразимо жестокий и разрушительный конфликт, было покушение на австрийского эрцгерцога Франца-Фердинанда.

28 июня 1914 года шесть сербских убийц решили убить Фердинанда в Сараево. Хотя они выполнили свою задачу, в способе, которым они это сделали, было много мелких ошибок, которые изменили ход истории.

Убийцы стояли в разных местах на пути следования Фердинанда. Первые два убийцы не справились со своей задачей. Третий убийца бросил бомбу в машину эрцгерцога, но она от неё отскочила и не причинила никому вреда. Следующие два убийцы были слишком напуганы этими неудачами, чтобы действовать. И, наконец, шестой убийца ушёл со своего места в надежде на другую возможность.

Удача повернулась лицом к убийце (Гаврило Принцип), и водитель сделал неправильный поворот, неожиданно оказавшись на улице, где в то время был убийца. Водитель, собираясь сдать задом и исправить ошибку, остановился как раз перед убийцей, который выстрелил в машину и убил Фердинанда и его жену.

Арест Гаврилы Принципа сразу после убийства эрцгерцога

Миссия Mars Climate Orbiter: потеря космического аппарата в результате ошибки в единицах измерения

Схема ошибки во время миссии Mars Climate Orbiter, которая привела к потере космического аппарата

Поездка в иностранную страну, в которой используется другая система единиц измерения, может быть мелким раздражающим фактором для туристов, пытающихся на ходу преобразовывать ограничения скорости, температуры и объёмы. Но ошибка такого рода обычно приводит всего лишь к лёгкому расстройству.

Однако в случае космических путешествий типа американской миссии Mars Climate Orbiter, ошибка в единицах измерения может стать причиной провала многомиллионной миссии.

11 декабря 1998 года Mars Climate Orbiter находился в полёте почти год, когда он потерял связь с НАСА. Аппарат вошёл в орбиту Марса под слишком крутым углом и в результате развалился в атмосфере Марса.

Причиной того, что несколько сотен миллионов долларов, потраченных на исследование, планирование и оборудование, превратились в пыль, стало небольшое расхождение в единицах измерения. Использовавшееся программное обеспечение измеряло тягу ракетного двигателя в фунтах в секунду, а не в ньютонах в секунду. Если бы инженеры проверили единицы измерения, проект, возможно, закончился бы успешно.

источник

Хроника происшествий, аварий и катастроф, связанных с программными ошибками

Цена программной ошибки сегодня неизмеримо возросла: взрываются ракеты, падают самолеты, нарушаются графики движения поездов, наконец, гибнут пациенты клиник, нарушаются поставки продукции и товаропроизводители несут огромные убытки, а потребители не могут купить нужный товар.

Инциденты с Therac-25 1985–1987

В 1985–87 гг. 6 человек получили смертельную дозу облучения во время сеансов радиационной терапии с применением медицинского ускорителя Therac-25 (количество пациентов, также подвергшихся переоблучению, но выживших, точно не известно).
Расследование показало, что непосредственной причиной инцидентов была программмная ошибка, однако основные ошибки были сделаны на стадии проектирования оборудования и системы автоматизации.

Катастрофа Ariane 5 4 июня 1996 г

Первый запуск ракеты-носителя Ariane 5 – детища и гордости Европейского Сообщества закончился взрывом через неполные 40 сек. полета. Автоподрыв 50-метровой ракеты произошел в районе ее запуска с космодрома во Французской Гвиане. За предшествующие годы ракеты серии Ariane семь раз терпели аварии, но эта побила все рекорды по вызванным ею убыткам. Только находившееся на борту научное оборудование потянуло на пол-миллиарда долларов, не говоря о прочих разноообразных издержках; а астрономические цифры «упущенной выгоды» от несостоявшихся коммерческих запусков и потеря репутации надежного перевозчика в очень конкурентном секторе мировой экономики («стоимость рынка» к 2000 г. должна превысить 60 млрд. долл.) с трудом поддаются оценке. В тоже время предыдущая модель – ракета Ariane 4 – успешно запускалась более 100 раз.

Произошедшая с Ariane 5 катастрофа имела исключительно большой резонанс – и по причине беспрецедентных материальных потерь, и вследствие очень оперативного расследования, характеризовавшегося к тому же открытостью результатов. В результате данное событие вошло в историю не только космонавтики, но и программной инженерии.
Расследование показало, что причиной аварии стала допущенная (и не выявленная при тестировании) программная ошибка, связаная с некорректным повторным использованием программного обеспечения и отсутствием точной спецификации повторно-используемого модуля.

межпланетный зонд «Galileo»

31 января 1999 Американский межпланетный зонд «Galileo» (20298 / 1989 084B), вращающийся по орбите вокруг Юпитера, совершил очередной пролет близ Европы. Часть научной информации, собранной во время сближения, была утеряна вследствии сбоя в работе программного обеспечения.

Источник: http://www.pereplet.ru/space/chrono/1999.html

Mars Climate Orbiter 23 сентября 1999 года

Аппарат для исследования Марса Mars Climate Orbiter был запущен 11 декабря 1998 года. Следом за ним был также запущен Mars Polar Lander — 3 января 1999. Оба аппарата были потеряны вскоре после того, как они достигли красной планеты. Эти два космических корабля стоили NASA около 327,6 миллиона долларов, потраченных на их создание и функционирование. Причина аварии Mars Polar Lander осталась невыясненной.

Причина потери Mars Climate Orbiter залючается в программно-человеческой ошибке, которая превела к тому, что одно подразделение учавствовашее в проекте считало «в дюймах», а другое — «в метрах», прчем выяснилось это уже после потери аппарата.

Подробнее см. Мэтт Тэллес, Юань Хсих, глава из книги «Наука отладки»

Авария ракеты-носителя «Зенит» 12 марта 2000 г.

Запуск ракеты-носителя «Зенит» 12 марта 2000 по программе «Морской старт» (Sea Launch) закончился он аварией. Через несколько минут после старта ракета «Зенит» отклонилась от курса и не смогла вывести на заданную орбиту первый спутник для системы сотовой телефонной связи ICO Global Communications. После аварии участники консорциума Sea Launch образовали несколько комиссий для расследования ее причины. В опубликованных выводах экспертов компании Боинг причиной сбоя называется программная ошибка. Из-за этой ошибки не был закрыт клапан в пневматической системе второй ступени ракеты. Эта система ответственна за выполнение нескольких операций, в том числе за работу рулевого двигателя этой ступени. Из-за того, что клапан не был закрыт, давление в пневматической системе упало больше, чем на 60% от заданного. Поэтому двигатель не смог развить необходимую тягу, а ракета, соответственно, не смогла выйти на заданную орбиту.

Источник: InfoArt News Agency

Выброс радиоактивного вещества в Западной Австралии декабрь 2001

На заводе по переработке урана в Западной Австралии в конце декабря 2001 года произошел выброс радиоактивного вещества. Расследование инцидента показало, что произошел он из-за «логической ошибки» в программном обеспечении компьютеров, установленных на заводе. Разработчиком этого ПО является компания Amec Engineering.

Как сообщается, из-за этой ошибки во время проведения регламентных работ произошло отключение питания системы жидкостного охлаждения. В этой ситуации должны были автоматически отключиться насосы, качающих охлаждающую жидкость, но этого не произошло. Прежде чем персонал успел сделать это вручную, давление в трубопроводах возросло, и один из них не выдержал.

По заявлению компании Heathgate Resources, обслуживающей завод, софтверная фирма Amec исправила ошибку в ПО и вновь проверила работу всей компьютерной системы завода. Название программного продукта, в котором была обнаружена ошибка, не сообщается.

Источник: http://businesspress.ru/newspaper/article_mId_37_aId_100349.html

Катастрофа шаттла Columbia 1 февраля 2003 г.

Космический шаттл Columbia сгорел при входе в атмосферу на высоте порядка 62 километров над территорией штата Техас. Все семеро астронавтов, находившихся на борту челнока, погибли.

Вероятно, что одним из косвенных виновников катастрофы стала программа MS PowerPoint, используемая в NASA для подготовки красивых
презентаций.

По сообщению газеты The New York Times, комиссия по расследованию катастрофы корабля Columbia утверждает, что чрезмерная страсть сотрудников NASA к программе PowerPoint стала одной из причин гибели челнока и семи членов его экипажа. По мнению экспертов, составленный при помощи PowerPoint отчет о повреждениях теплозащитного покрытия крыльев космоплана представлял собой практически нечитаемый слайд.

Вместо того чтобы нарисовать схемы при помощи обычного листка бумаги и
шариковой ручки, служащий NASA, ответственный за составление отчета, подготовил макет на компьютере. Служащий не забыл украсить свой документ кружевами и финтифлюшками из клипартовского арсенала PowerPoint, успешно достигнув главной цели, которую обычно ставят перед собой авторы презентаций: ему удалось создать предельно запутанный, но очень внушительный отчет, вселяющий в аудиторию смутный трепет перед лицом полиграфических возможностей современных компьютеров и не несущий абсолютно никакой информации.

В итоге, дефект просто потерялся под грудой стрелочек и графиков, а корабль отправился в свой последний полет с неисправной обшивкой.

Источник:http://forum.cta.ru/forum_posts.asp?TID=191&KW=%F5%F0%EE%ED%E8%EA%E0

A310 — катастрофы

Как минимум 5 авиакатастроф самолетов A310 можно связать с ошибками в программном обеспечении

ЕГАИС июнь — август 2006

В начале июня 2006 г внедрение Единой государственной автоматизированной информационной системы учета алкогольной продукции (ЕГАИС) практически парализовало оптовые поставки алкоголя в торговые сети России. Участники рынка заявляли, что система «постоянно виснет» и «дает сбои». Поступали жалобы и на технические ограничения системы. Так, число одновременных подключений к ЕГАИС ограничено десятью. Кроме того, в системе отсутствуют номенклатурные справочники со списками предприятий-производителей и товарных позиций.

См. [1]

Программа, которая должна быть установлена на компьютере пользователя системы, при размере в три мегабайта, требует для работы гигабайта памяти и трех гигагерц тактовой частоты процессора, но при этом все равно умудряется безбожно тормозить, половина интерфейса которой — на английском, а другая половина — на русском, а в окне сообщения об ошибке пишет «Game over».

В начале августа 2006 в докладе, направленном министром финансов премьеру Михаилу Фрадкову (07 aигуста 2006) признается что ЕГАИС фактически не работает.

«К причинам сложившейся ситуации относится неготовность технических средств и программного обеспечения ЕГАИС, — говорится в документе. — Это до сих пор не позволяет получить в ходе работы ЕГАИС информацию об объемах поставленной и отпущенной в розничную сеть продукции. ЕГАИС на данный момент не позволяет осуществлять мониторинг рынка».

См. Расследование «ФК-Новости». ВСЯ ПРАВДА ОБ ЕГАИС

Смотри также

• Программная ошибка

Ссылки

• Дмитрий Волков Цена программной ошибки / Открытые системы #06/1998
• Валерий Аджиев Мифы о безопасном ПО: уроки знаменитых катастроф * «Открытые системы» #06/1998 (Инциденты с Therac-25 и Катастрофа Ariane 5)
• Десятка глупейших багов, которые подпортили мир
• ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ 1996
• Segrio. $500 млн за строчку кода или стоимость ошибок ПО в космосе