stringtranslate.com

Vuelo del Ariane V88

El vuelo Ariane V88 [1] fue el fallido vuelo inaugural del cohete Arianespace Ariane 5 , vehículo n.º 501, el 4 de junio de 1996. Transportaba la nave espacial Cluster , una constelación de cuatro satélites de investigación de la Agencia Espacial Europea .

El lanzamiento terminó en fracaso debido a múltiples errores en el diseño del software: código muerto , destinado solo para Ariane 4 , con protección inadecuada contra el desbordamiento de enteros condujo a una excepción manejada de manera inapropiada, deteniendo todo el sistema de navegación inercial que de otro modo no habría sido afectado . Esto provocó que el cohete se desviara de su trayectoria de vuelo 37 segundos después del lanzamiento, comenzando a desintegrarse bajo altas fuerzas aerodinámicas y finalmente autodestruyéndose a través de su sistema automatizado de terminación de vuelo . El fallo se ha conocido como uno de los errores de software más infames y costosos de la historia. [2] El fallo resultó en una pérdida de más de US$370 millones. [3]

Fallo de lanzamiento

Diagrama del Ariane 501 con los cuatro satélites Cluster
Fragmento de la zona de impacto del fallido lanzamiento del Ariane 501
Puntal de soporte recuperado de la estructura del satélite

El Ariane 5 reutilizó el código de la plataforma de referencia inercial del Ariane 4 , pero la primera parte de la trayectoria de vuelo del Ariane 5 difería de la del Ariane 4 al tener valores de velocidad horizontal más altos. Esto provocó que un valor interno BH (sesgo horizontal) calculado en la función de alineación fuera inesperadamente alto. La función de alineación estuvo operativa durante aproximadamente 40 segundos de vuelo, lo que se basó en un requisito del Ariane 4, pero no sirvió para nada después del despegue del Ariane 5. [4] Los valores mayores de BH provocaron que una conversión de datos de un número de punto flotante de 64 bits a un valor entero con signo de 16 bits se desbordara y provocara una excepción de hardware . [5] Los programadores habían protegido sólo cuatro de las siete variables críticas contra el desbordamiento para mantenerse dentro de un objetivo de carga de trabajo máxima requerida del 80% para la computadora del Sistema de Referencia Inercial de a bordo, y se basaron en suposiciones que eran correctas para la trayectoria de Ariane 4, pero no para Ariane 5, con respecto al posible rango de valores para las tres variables desprotegidas. [6] La excepción detuvo ambos módulos del sistema de referencia inercial, aunque estaban destinados a ser redundantes . El módulo activo presentó un patrón de bits de diagnóstico a la computadora de a bordo que se interpretó como datos de vuelo, en particular causando desviaciones completas de la boquilla de los propulsores sólidos y el motor principal Vulcain . Esto llevó a un ángulo de ataque de más de 20 grados, causando la separación de los propulsores de la etapa principal, la activación del sistema de autodestrucción del lanzador y la destrucción del vuelo. [4]

El informe oficial sobre el accidente (realizado por una comisión de investigación dirigida por Jacques-Louis Lions ) señaló que "Un tema subyacente en el desarrollo de Ariane 5 es el sesgo hacia la mitigación de fallos aleatorios . El proveedor del sistema de navegación inercial (SRI) sólo estaba siguiendo la especificación que se le dio, que estipulaba que en caso de detectarse cualquier excepción, el procesador debía detenerse. La excepción que ocurrió no se debió a un fallo aleatorio sino a un error de diseño. La excepción fue detectada, pero manejada inapropiadamente porque se había adoptado la opinión de que el software debe considerarse correcto hasta que se demuestre que es defectuoso. [...] Aunque el fallo se debió a un error sistemático de diseño de software, se pueden introducir mecanismos para mitigar este tipo de problema. Por ejemplo, los ordenadores dentro de los SRI podrían haber seguido proporcionando sus mejores estimaciones de la información de actitud requerida . Hay motivos para preocuparse de que se permita, o incluso se exija, una excepción de software para hacer que un procesador se detenga mientras maneja equipo crítico para la misión. De hecho, la pérdida de una función de software adecuada es peligrosa porque el mismo software se ejecuta en ambas unidades SRI. En el caso del Ariane 501, esto dio lugar a la desconexión de dos unidades críticas de equipo que aún se encontraban en buen estado". [4]

Otras cuestiones identificadas en el informe se centraron en las pruebas: [4]

Otra perspectiva del fracaso, basada en la ingeniería de sistemas , se centra en los requisitos: [7]

Carga útil

Cluster estaba formado por cuatro naves espaciales cilíndricas de 1.200 kilogramos (2.600 libras) estabilizadas por rotación , alimentadas por células solares de 224 vatios. Las naves espaciales debían haber volado en una formación tetraédrica y estaban destinadas a realizar investigaciones sobre la magnetosfera de la Tierra . Los satélites se habrían colocado en órbitas altamente elípticas; 17.200 por 120.600 kilómetros (10.700 por 74.900 millas), inclinadas 90 grados respecto del ecuador. [8]

Secuelas

Tras el fracaso, se construyeron cuatro satélites Cluster II de reemplazo, que se lanzaron en pares a bordo de cohetes Soyuz-U / Fregat en 2000.

El fracaso del lanzamiento hizo que el público en general, los políticos y los ejecutivos se dieran cuenta de los altos riesgos asociados a los sistemas informáticos complejos , lo que dio lugar a un mayor apoyo a la investigación para garantizar la fiabilidad de los sistemas críticos para la seguridad . El posterior análisis automatizado del código Ariane (escrito en Ada ) fue el primer ejemplo de análisis de código estático a gran escala mediante interpretación abstracta . [9]

El fracaso también dañó el excelente historial de éxitos de la familia de cohetes de la Agencia Espacial Europea, establecido por la alta tasa de éxito del modelo Ariane 4. No fue hasta 2007 que los lanzamientos del Ariane 5 fueron reconocidos como tan confiables como los del modelo predecesor. [10]

Véase también

Referencias

  1. ^ Henrion, Jean Yves; Vallée, Thierry (1997). "V88 Ariane 501". Capcom Espacio .
  2. ^ Gleick, James (1 de diciembre de 1996). "Un error y un accidente". New York Times Magazine . Archivado desde el original el 20 de abril de 2012. Consultado el 7 de abril de 2012 .
  3. ^ Dowson, Mark (marzo de 1997). "El fallo del software del Ariane 5". Notas de ingeniería de software de ACM SIGSOFT . 22 (2): 84. doi :10.1145/251880.251992. S2CID  43439273.
  4. ^ abcd Lions, JL (19 de julio de 1996). Fallo de ARIANE 5: informe completo (informe). Comisión de investigación creada por la ESA y el CNES. Archivado desde el original el 26 de abril de 2014.
  5. ^ Nuseibeh, Bashar (mayo de 1997). "Ariane 5: ¿Quién lo hizo?" (PDF) . IEEE Software . 14 (3): 15–16. doi :10.1109/MS.1997.589224. S2CID  206482665.
  6. ^ Jézéquel, Jean-Marc; Meyer, Bertrand (enero de 1997). «Póngalo en el contrato: las lecciones de Ariane». Computer . 30 (2): 129–130. doi :10.1109/2.562936. Archivado desde el original el 4 de junio de 2016 – vía Irisa.
  7. ^ Le Lann, Gérard (marzo de 1997). "An Analysis of the Ariane 5 Flight 501 Failure – A System Engineering Perspective". Actas de la conferencia internacional de 1997 sobre ingeniería de sistemas informáticos (ECBS'97) . IEEE Computer Society . págs. 339–346. doi :10.1109/ECBS.1997.581900. ISBN. 0-8186-7889-5.
  8. ^ Krebs, Gunter. «Cluster 1, 2, 3, 4, 5, 6, 7, 8». Página espacial de Gunter . Consultado el 29 de noviembre de 2011 .
  9. ^ Faure, Christèle. «Historia de PolySpace Technologies» . Consultado el 3 de octubre de 2010 .
  10. ^ Todd, David (marzo de 2007). "ASCEND Space Intelligence News" (PDF) . Archivado desde el original (PDF) el 14 de febrero de 2007.

Lectura adicional

Enlaces externos