#30 ¿Quien ha dicho que los requisitos no son absolutísimos? No habrás visto salir esa afirmación por mi boca
Por ninguna parte leeras que haya escrito que GMV deba saltarse algun requisito.
Es cierto que existe un periodo de simulación de al menos 6 meses donde un conjunto de responsables de cada empresa implicada mas los responsables de mision se dedican a putear al software. Y es cierto que estos testeos no han demostrado ser suficientes. Estos tests son de conjunto y analizan comportamientos interrelacionados.
Sin embargo, y como bien sabrás, antes de estos testeos de conjunto cada empresa de software involucrada está obligada a someter a cada uno de sus programas a testeos unitarios para comprobar el correcto funcionamiento del mismo.
En este caso GMV debería haber realizado un testeo de su software(que supongo habrán logicamente hecho porque su contrato así lo requiere) y deberían haber detectado en los mismos un fallo tan crítico como la caída a plomo ante un fallo de uno de los sensores. Te recuerdo que el software encargado a GMV es el que toma la decisión de cortar motores tras un fallo en un sensor.
La unica cosa con la que no estoy de acuerdo contigo es que el cliente conozca mejor los requisitos que la propia GMV. O mejor dicho, estoy absolutamente de acuerdo que los requisitos definidos por el contratista son de obligatoria aplicación, pero es obligación de GMV de comprobar que son, además, suficientes y no entran en conflicto entre ellos para crear un control lo suficientemente robusto.
Supongamos varios escenarios posibles:
1) El contratista en los diagramas de flujo, requisitos, ha definido el comportamiento de como debe actuar el control robusto ante la señal del sistema inercial pero se le olvida definir que debe hacer ante el fallo del mismo.
Cuando el programador de GMV llega al punto de programar la respuesta del controlador detecta que el contratista no le ha definido este comportamiento ante señal anómala. Supongamos que entonces GMV entiende que al no definirle un comportamiento puede implementarlo como le de la gana. Y así lo hace. Cuando llegue el momento de realizar el testeo unitario(el testeo propio de GMV) al controlador, el testeo debe ser lo suficientemente amplio(intensivo y extensivo)como para comprobar que la decisión tomada por el controlador no lleva a pegarse un "vejigazo" contra el suelo. Probablemente además, aunque depende de los controles de calidad internos de GMV, el programador haya creado un test particular, red flag, para precisamente esta situación no definida contractualmente y así asegurar que el controlador funciona, ante esta situacion, correctamente.
En este caso a GMV se le puede achacar el hecho de que su decisión ha llevado al desastre de la misión y un testeo insuficiente.
2) Supongamos que GMV al programar el controlador se da cuenta de que existe este requisito necesario que el contratista no le ha dado. GMV que no es tonta y para cubrirse las espaldas le solicita al contratista que le defina como debe comportarse el controlador ante el fallo del sensor. El contratista le define un comportamiento que debe seguir y GMV lo implementa. GMV debería señalar este suceso con una bandera roja para que al realizar el testeo este caso se testeara a conciencia al ser un cambio a posteriori(los cuales son facil de que entren en conflicto con otros criterios ya implementados). Supongamos que ni contratista ni GMV se dan cuenta pero este cambio genera un desastre. Cuando llega a la fase de testeo interno de GMV, los tests que deben ser lo suficientemente intensivos y extensivos reflejan este desastre y se solicita un nuevo comportamiento al contratista.
En este caso GMV es culpable de no realizar los suficientes tests internos para detectar requisitos incoherentes.
3) A GMV se le pasa unos requisitos correctos de como se debe comportar el controlador ante el fallo del sensor inercial pero GMV lo implementa incorrectamente. GMV es culpable de un incorrecto desarrollo.
4) A GMV se le pasa unos requisitos correctos pero uno de ellos aunque definido desde el principio es incorrecto(el comportamiento ante señal anomala inercial). En este caso GMV deberia haber creado un test para esta situación ya que viene definida en los requisitos.
En este caso GMV es culpable de no haber desarrollado este test unitario ante comportamiento anómalo.

El unico caso en el que se salva GMV es en el caso de que GMV hubiese detectado en los tests este fallo y hubiese informado al contratista, el cual decidiese ignorar esta situación.

Te pondría enlaces a criterios de calidad, unit tests, normativa de proyectos, pero creo que te las sabes

¿Sabes lo que pasa? Que muchas veces el la creacion de tests se deja para el final, que a veces por ser lo ultimo y con el tiempo apremiante no son lo suficientemente extensivos, y que a veces se pueden saltar ciertoa criterios de calidad internos.

Obviamente la pelota se lanzará entre el que desarrolló la ingeniería de detalle, los requisitos y GMV. Y en ese embrollo se quedará todo.

De todas formas algo pasa en la ESA con sus tests y las de sus contratas porque en las uñtimas misiones han habido grandes cagadas en mayusculas que sencillos tests habrían detectado. Pero eso lo dejo para otro comentario.