Vuelo Ariane V88

Vuelo inaugural fallido del Ariane 5, 1996

El vuelo Ariane V88 ^[1] fue el vuelo inaugural fallido del cohete Arianespace Ariane 5 , vehículo no. 501, el 4 de junio de 1996. Llevaba la nave espacial Cluster , una constelación de cuatro satélites de investigación de la Agencia Espacial Europea .

El lanzamiento terminó en fracaso debido a múltiples errores en el diseño del software: el código inactivo , destinado sólo al Ariane 4 , con una protección inadecuada contra el desbordamiento de enteros , provocó una excepción manejada de manera inapropiada, deteniendo todo el sistema de navegación inercial que de otro modo no se vería afectado . Esto provocó que el cohete se desviara de su trayectoria de vuelo 37 segundos después del lanzamiento, comenzara a desintegrarse bajo altas fuerzas aerodinámicas y finalmente se autodestruyera a través de su sistema automatizado de terminación de vuelo . La falla se conoce como uno de los errores de software más infames y costosos de la historia. ^[2] El fracaso resultó en una pérdida de más de 370 millones de dólares. ^[3]

Fallo de lanzamiento

Diagrama del Ariane 501 con los cuatro satélites del Cluster

Zona de caída de fragmentos del fallido lanzamiento del Ariane 501

Puntal de soporte recuperado de la estructura satélite.

El Ariane 5 reutilizó el código de la plataforma de referencia inercial del Ariane 4 , pero la primera parte de la trayectoria de vuelo del Ariane 5 se diferenciaba del Ariane 4 por tener valores de velocidad horizontal más altos. Esto provocó que un valor interno BH (sesgo horizontal) calculado en la función de alineación fuera inesperadamente alto. La función de alineación estuvo operativa durante aproximadamente 40 segundos de vuelo, que se basó en un requisito del Ariane 4, pero no sirvió para nada después del despegue en el Ariane 5. ^[4] Los valores mayores de BH causaron una conversión de datos de un 64 número de punto flotante de bits a un valor entero con signo de 16 bits se desborda y provoca una excepción de hardware . ^[5] Los programadores habían protegido sólo cuatro de siete variables críticas contra el desbordamiento para mantener dentro de un objetivo de carga de trabajo máxima requerida del 80% para la computadora del Sistema de Referencia Inercial a bordo, y se basaron en suposiciones que eran correctas para el Ariane 4, pero no Ariane 5, trayectoria sobre el posible rango de valores para las tres variables desprotegidas. ^[6] La excepción detuvo ambos módulos del sistema de referencia inercial, aunque estaban destinados a ser redundantes . El módulo activo presentó un patrón de bits de diagnóstico a la computadora de a bordo que fue interpretado como datos de vuelo, causando en particular desviaciones totales de las boquillas de los propulsores sólidos y del motor principal Vulcain . Esto provocó un ángulo de ataque de más de 20 grados, lo que provocó la separación de los propulsores del escenario principal, la activación del sistema de autodestrucción del lanzador y la destrucción del vuelo. ^[4]

El informe oficial sobre el accidente (realizado por una comisión de investigación presidida por Jacques-Louis Lions ) señala que "un tema subyacente en el desarrollo del Ariane 5 es la tendencia a mitigar los fallos aleatorios" . El proveedor del sistema de navegación inercial (SRI) ) solo estaba siguiendo la especificación que se le dio, que estipulaba que en caso de detectar cualquier excepción, el procesador debía detenerse. La excepción que ocurrió no se debió a una falla aleatoria sino a un error de diseño. La excepción fue detectada, pero manejada de manera inapropiada porque se había adoptado la opinión de que el software debía considerarse correcto hasta que se demostrara que tenía la culpa. [...] Aunque el fallo se debió a un error sistemático en el diseño del software, se pueden introducir mecanismos para mitigar este tipo de problema. Por ejemplo, las computadoras dentro de los SRI podrían haber seguido brindando sus mejores estimaciones de la información de actitud requerida . Hay motivos de preocupación de que se debería permitir, o incluso exigir, una excepción de software para provocar que un procesador se detenga mientras maneja equipos de misión crítica. De hecho, la pérdida de una función de software adecuada es peligrosa porque el mismo software se ejecuta en ambas unidades SRI. En el caso del Ariane 501, esto tuvo como resultado el apagado de dos unidades críticas de equipos que aún estaban en buen estado." ^[4]

Otras cuestiones identificadas en el informe se centraron en las pruebas: ^[4]

• El objetivo del proceso de revisión, en el que participan todos los principales socios del programa Ariane 5, es validar las decisiones de diseño y obtener la calificación de vuelo. En este proceso, no se analizaron completamente las limitaciones del software de alineación y no se tuvieron en cuenta las posibles implicaciones de permitirle seguir funcionando durante el vuelo.
• La especificación del sistema de referencia inercial y las pruebas realizadas a nivel de equipo no incluyeron específicamente los datos de la trayectoria del Ariane 5. En consecuencia, la función de realineación no se probó en condiciones de vuelo simuladas del Ariane 5 y no se descubrió el error de diseño.
• Habría sido técnicamente factible incluir casi todo el sistema de referencia inercial en las simulaciones generales del sistema que se realizaron. Por diversas razones, se decidió utilizar la salida simulada del sistema de referencia inercial, no el sistema real ni su simulación detallada. Si el sistema hubiera estado incluido, se podría haber detectado la falla. Las simulaciones post-vuelo se han realizado en ordenador con software del sistema de referencia inercial y con entorno simulado, incluyendo los datos reales de la trayectoria del vuelo del Ariane 501. Estas simulaciones han reproducido fielmente la cadena de acontecimientos que llevaron al fallo de los sistemas inerciales de referencia.

Otra perspectiva del fracaso, basada en la ingeniería de sistemas , se centra en los requisitos: ^[7]

• Los rangos de variables como la velocidad horizontal y la cantidad BH calculada a partir de ella deberían haberse cuantificado explícitamente. En cambio, se asumió un rango de 16 bits.
• La tarea de alineación debería haberse desactivado en el momento adecuado. En cambio, la tarea de alineación se estaba ejecutando después del despegue.
• Se debería haber analizado un modelo de fallo de las plataformas de referencia inercial para garantizar que el servicio se prestara de forma continua durante todo el vuelo, en lugar de suponer que como máximo un módulo fallaría. En cambio, ambos módulos fallaron y, en lugar de cancelar el vuelo correctamente, los mensajes de diagnóstico de salida se interpretaron como datos de vuelo.

Carga útil

El cúmulo constaba de cuatro naves espaciales cilíndricas estabilizadas por giro de 1.200 kilogramos (2.600 libras) , alimentadas por células solares de 224 vatios. La nave espacial debía haber volado en formación tetraédrica y estaba destinada a realizar investigaciones sobre la magnetosfera de la Tierra . Los satélites se habrían colocado en órbitas muy elípticas; 17.200 por 120.600 kilómetros (10.700 por 74.900 millas), inclinado 90 grados con respecto al ecuador. ^[8]

Secuelas

Tras el fracaso, se construyeron cuatro satélites del Grupo II de reemplazo. Estos fueron lanzados en pares a bordo de cohetes Soyuz-U / Fregat en el año 2000.

El fracaso del lanzamiento llamó la atención del público en general, los políticos y los ejecutivos sobre los altos riesgos asociados con los sistemas informáticos complejos , lo que resultó en un mayor apoyo a la investigación para garantizar la confiabilidad de los sistemas críticos para la seguridad . El posterior análisis automatizado del código Ariane (escrito en Ada ) fue el primer ejemplo de análisis de código estático a gran escala mediante interpretación abstracta . ^[9]

El fracaso también perjudicó el excelente historial de éxitos de la familia de cohetes de la Agencia Espacial Europea, marcado por el alto índice de éxito del modelo Ariane 4. No fue hasta 2007 que los lanzamientos del Ariane 5 fueron reconocidos como tan fiables como los del modelo predecesor. ^[10]

Ver también

• El software Mars Climate Orbiter que había sido adaptado de un Mars Climate Orbiter anterior no se probó adecuadamente antes del lanzamiento.
• Computadora de guía Apollo: problema con PGNCS , otro caso en el que una computadora de guía de una nave espacial sufrió porque un subsistema se dejó funcionando de manera inapropiada
• Lista de errores de software

Referencias

1. Henrion, Jean Yves; Vallée, Thierry (1997). "V88 Ariane 501". Capcom Espacio .
2. Gleick, James (1 de diciembre de 1996). "Un error y un accidente". Revista del New York Times . Archivado desde el original el 20 de abril de 2012 . Consultado el 7 de abril de 2012 .
3. Dowson, Mark (marzo de 1997). "La falla del software Ariane 5". Notas de ingeniería de software de ACM SIGSOFT . 22 (2): 84. doi : 10.1145/251880.251992. S2CID  43439273.
4. JL LIONS (Presidente) (19 de julio de 1996). Falla de ARIANE 5 - Informe completo (Informe). Junta de Investigación creada por la ESA y el CNES. Archivado desde el original el 26 de abril de 2014.
5. Nuseibeh, Bashar (mayo de 1997). "Ariane 5: ¿Quién lo hizo?" (PDF) . Software IEEE . 14 (3): 15-16. doi :10.1109/MS.1997.589224. S2CID  206482665.
6. Jean-Marc Jézéquel, IRISA; Bertrand Meyer, ISE (enero de 1997). "Ponlo en el contrato: Las lecciones de Ariane". Computadora . 30 (2): 129-130. doi :10.1109/2.562936. Archivado desde el original el 4 de junio de 2016, vía Irisa.
7. Le Lann, Gérard (marzo de 1997). "Un análisis de la falla del vuelo 501 del Ariane 5: una perspectiva de ingeniería de sistemas". Actas de la conferencia internacional de 1997 sobre ingeniería de sistemas informáticos (ECBS'97) . Sociedad de Computación IEEE . págs. 339–346. doi :10.1109/ECBS.1997.581900. ISBN 0-8186-7889-5.
8. Krebs, Gunter. "Grupo 1, 2, 3, 4, 5, 6, 7, 8". Página espacial de Gunter . Consultado el 29 de noviembre de 2011 .
9. Faure, Christèle. "Historia de las tecnologías PolySpace" . Consultado el 3 de octubre de 2010 .
10. Todd, David (marzo de 2007). "Noticias de inteligencia espacial ASCEND" (PDF) . Archivado desde el original (PDF) el 14 de febrero de 2007.

Otras lecturas

• Thomas, LD (2007) Deficiencias de procesos de ingeniería de sistemas seleccionados y sus consecuencias. Acta Astronáutica, 61, 406–415.

enlaces externos

• Jacques-Louis Lions et al., Informe de la Junta de Investigación Ariane 501 ()
• Spaceflight Now – Cluster II – Ariane 501 explota en Wayback Machine (archivado el 25 de marzo de 2015), enlace directo al archivo de vídeo: imágenes de los últimos segundos del vuelo del cohete.
• Wired: los peores errores de software de la historia: un artículo sobre los 10 errores de software principales. La falla del software Ariane 5 Flight 501 se menciona como uno de estos errores.
• (en alemán) Ariane 5 – 501 (1–3): un buen artículo (en alemán) donde se proporciona el código real en cuestión.