Cluster (engin spatial) - Cluster (spacecraft)

Groupe

Type de mission	Magnétosphérique
Opérateur	ESA
Identifiant COSPAR	2000-045A
SATCAT n°	26463
Propriétés du vaisseau spatial
Lancer la masse	1 200 kilogrammes (2 600 lb)
Début de mission
Date de lancement	12:34:06, 4 juin 1996 (UTC) ( 1996-06-04T12:34:06Z )
Fusée	Ariane 5G
Site de lancement	Kourou ELA-3
Fin de mission
Disposition	échec de lancement
Détruit	4 juin 1996 ( 1996-06-04 )
Insigne de mission quadrilatérale de l'ESA pour Cluster Horizon 2000 ←  SOHO Huygens  →

Cluster était une constellation de quatre vaisseaux spatiaux de l' Agence spatiale européenne qui ont été lancés lors du vol inaugural de la fusée Ariane 5 , le vol 501, et ont ensuite été perdus lorsque cette fusée n'a pas réussi à atteindre l'orbite. Le lancement, qui a eu lieu le mardi 4 juin 1996, s'est soldé par un échec dû à de multiples erreurs de conception du logiciel : Du code mort (en cours d'exécution, mais intentionnellement uniquement pour Ariane 4 ) avec une protection insuffisante contre les débordements d'entiers a conduit à une exception gérée de manière inappropriée —arrêt de l'ensemble du système de navigation inertielle qui, autrement, n'aurait pas été affecté. Cela a fait que la fusée a dévié de sa trajectoire de vol 37 secondes après le lancement, a commencé à se désintégrer sous des forces aérodynamiques élevées et s'est finalement autodétruite par son système automatisé de fin de vol . L'échec est devenu connu comme l'un des bogues logiciels les plus infâmes et les plus coûteux de l'histoire. L'échec a entraîné une perte de plus de 370 millions de dollars US.

Vaisseau spatial

Le cluster se composait de quatre engins spatiaux cylindriques de 1 200 kilogrammes (2 600 lb) à rotation stabilisée , alimentés par des cellules solaires de 224 watts. Les vaisseaux spatiaux devaient voler dans une formation tétraédrique et étaient destinés à mener des recherches sur la magnétosphère terrestre . Les satellites auraient été placés sur des orbites fortement elliptiques ; 17 200 par 120 600 kilomètres (10 700 par 74 900 mi), inclinés à 90 degrés par rapport à l'équateur.

Échec du lancement

Schéma de l'Ariane 501 avec les quatre satellites Cluster

Fragment de la zone de retombées du lancement raté d'Ariane 501

L'Ariane 5 a réutilisé la centrale inertielle de référence d' Ariane 4 , mais la trajectoire de vol d'Ariane 5 était très différente des modèles précédents.

La plus grande accélération horizontale a provoqué un débordement de la conversion de données d'un nombre à virgule flottante de 64 bits en une valeur entière signée de 16 bits et une exception matérielle . Des considérations d'efficacité avaient omis les vérifications de plage pour cette variable particulière, bien que les conversions d'autres variables dans le code soient protégées. L'exception a arrêté les plates-formes de référence, entraînant la destruction du vol.

Jambe de support récupérée de la structure du satellite

Bien qu'une erreur logicielle ait été identifiée comme la cause directe, cela a été considéré comme rendu possible par des défaillances de conception du système et des problèmes de gestion :

1. Sur la base de ces calculs, l'ordinateur principal a commandé aux tuyères d'appoint, et un peu plus tard à la tuyère du moteur principal également, d'effectuer une correction importante pour une déviation d'attitude qui ne s'était pas produite.
2. Un changement rapide d' attitude s'est produit, ce qui a provoqué la désintégration du lanceur à 39 secondes après H0 en raison des forces aérodynamiques.
3. Le système de référence inertiel d'Ariane 5 est essentiellement le même qu'un système utilisé par Ariane 4. La partie du logiciel qui a provoqué l'interruption des calculateurs de la centrale inertielle est utilisée avant le lancement pour aligner le système de référence inertielle et, dans Ariane 4, également pour permettre un réalignement rapide du système en cas de retard dans le compte à rebours. Cette fonction de réalignement, qui ne sert à rien sur Ariane 5, a néanmoins été conservée pour des raisons de banalisation et a permis, comme sur Ariane 4, de fonctionner pendant environ 40 secondes à partir du décollage.
4. Lors de la conception du logiciel de la centrale inertielle utilisé pour Ariane 4 et Ariane 5, il a été décidé qu'il n'était pas nécessaire de protéger le calculateur de la centrale inertielle d'une mise hors service par une valeur excessive de la variable liée à la vitesse horizontale, une protection prévue pour plusieurs autres variables du logiciel d'alignement. Lors de la prise de cette décision de conception, il n'a pas été analysé ou parfaitement compris quelles valeurs cette variable particulière pourrait prendre lorsque le logiciel d'alignement a été autorisé à fonctionner après le décollage.
5. Dans les vols d'Ariane 4 utilisant le même type de système de référence inertielle il n'y avait pas eu une telle défaillance car la trajectoire pendant les 40 premières secondes de vol est telle que la variable particulière liée à la vitesse horizontale ne peut atteindre, avec une marge opérationnelle adéquate, une valeur au-delà la limite présente dans le logiciel.
6. Ariane 5 a une accélération et une trajectoire initiales élevées, ce qui conduit à une accumulation de vitesse horizontale cinq fois plus rapide que pour Ariane 4. La vitesse horizontale plus élevée d'Ariane 5 a généré, dans le délai de 40 secondes, la valeur excessive qui a causé les calculateurs de la centrale inertielle à cesser de fonctionner.
7. Le processus de revue, qui implique tous les partenaires majeurs du programme Ariane 5, a pour objectif de valider les décisions de conception et d'obtenir la qualification en vol. Dans ce processus, les limites du logiciel d'alignement n'ont pas été entièrement analysées et les implications possibles de lui permettre de continuer à fonctionner pendant le vol n'ont pas été prises en compte.
8. La spécification du système de référence inertielle et les tests effectués au niveau des équipements n'incluaient pas spécifiquement les données de trajectoire d'Ariane 5. Par conséquent, la fonction de réalignement n'a pas été testée dans des conditions de vol simulées d'Ariane 5 et l'erreur de conception n'a pas été découverte.
9. Il aurait été techniquement possible d'inclure la quasi-totalité du système de référence inertielle dans les simulations globales du système qui ont été effectuées. Pour un certain nombre de raisons, il a été décidé d'utiliser la sortie simulée du système de référence inertielle, et non le système réel ou sa simulation détaillée. Si le système avait été inclus, la panne aurait pu être détectée.
10. Des simulations post-vol ont été réalisées sur ordinateur avec le logiciel de la centrale inertielle et avec un environnement simulé, incluant les données de trajectoire réelle du vol Ariane 501. Ces simulations ont fidèlement reproduit l'enchaînement des événements conduisant à la défaillance des systèmes de référence inertiels.

Conséquences

Suite à l'échec, quatre satellites Cluster II de remplacement ont été construits. Ceux-ci ont été lancés par paires à bord de fusées Soyouz-U / Fregat en 2000.

L'échec du lancement a attiré l'attention du grand public, des politiciens et des dirigeants sur les risques élevés associés aux systèmes informatiques complexes , entraînant un soutien accru à la recherche visant à garantir la fiabilité des systèmes critiques pour la sécurité . L'analyse automatisée ultérieure du code Ariane (écrit en Ada ) a été le premier exemple d' analyse de code statique à grande échelle par interprétation abstraite .

L'échec a également nui à l'excellent record de réussite de la famille de fusées de l'Agence spatiale européenne, établi par le taux de réussite élevé du modèle Ariane 4. Ce n'est qu'en 2007 que les lancements d'Ariane 5 ont été reconnus comme étant aussi fiables que ceux du modèle précédent.

Voir également

• Le logiciel Mars Climate Orbiter qui avait été adapté d'un précédent Mars Climate Orbiter n'a pas été correctement testé avant le lancement
• Ordinateur de guidage Apollo - Problème PGNCS , un autre cas où un ordinateur de guidage de vaisseau spatial a souffert d'un sous-système laissé en marche de manière inappropriée
• Liste des bogues logiciels

Les références

Lectures complémentaires

• Thomas, LD (2007) Certaines déficiences des processus d'ingénierie des systèmes et leurs conséquences. Acta Astronautica, 61, 406-415.

Liens externes

• Jacques-Louis Lions et al., rapport de la commission d'enquête Ariane 501 ()
• Spaceflight Now – Cluster II – Ariane 501 explose à la Wayback Machine (archivé le 25 mars 2015), lien direct vers fichier vidéo – Images des dernières secondes du vol de la fusée.
• Wired – Les pires bogues logiciels de l'histoire – Un article sur les 10 principaux bogues logiciels. Le problème du logiciel Ariane 5 Flight 501 est mentionné comme l'un de ces bugs.
• (en allemand) Ariane 5 – 501 (1–3) — Un bon article (en allemand) où le code en question est donné.