Accueil🇫🇷Chercher

Vol 501 d'Ariane 5

Le vol 501 est le vol inaugural du lanceur europĂ©en Ariane 5, qui a eu lieu le . Il s'est soldĂ© par un Ă©chec, causĂ© par un dysfonctionnement informatique (appelĂ© aussi bug), qui vit la fusĂ©e se briser et exploser en vol seulement 36,7 secondes après le dĂ©collage.

Schéma d'Ariane 5, avec les quatre satellites de la mission Cluster.

Explication simplifiée

La fusĂ©e a explosĂ© Ă  une altitude de 4 000 mètres au-dessus du centre spatial de Kourou, en Guyane. Il n'y a eu aucune victime, les dĂ©bris Ă©tant retombĂ©s relativement près du pas de tir et le vol Ă©tant inhabitĂ©.

L'incident, dĂ» Ă  un dĂ©passement d'entier dans les registres mĂ©moire des calculateurs Ă©lectroniques utilisĂ©s par le pilote automatique, a provoquĂ© la panne du système de navigation de la fusĂ©e, causant de fait sa destruction ainsi que celle de la charge utile. Cette charge utile Ă©tait constituĂ©e des quatre satellites de la mission Cluster, d'une valeur totale de 370 millions de dollars.

Analyse de l'incident

Chronologie des évènements

Le lancement a lieu le Ă  9 h 33 min 59 s GMT-3[1] (heure locale), avec 58 minutes de retard sur le planning prĂ©vu, en raison de mauvaises conditions mĂ©tĂ©o. Il s'agit alors du premier lancement de la fusĂ©e Ariane 5.

  • Ă€ 9 h 33, les moteurs de la fusĂ©e sont mis Ă  feu, et les deux systèmes de guidage inertiel (principal et secours) commencent Ă  mesurer les mouvements de rotation et d'accĂ©lĂ©ration de la fusĂ©e.
  • Après 37 secondes de vol, les fortes accĂ©lĂ©rations produites par l'Ă©volution de la fusĂ©e provoquent un dĂ©passement d'entier dans le calculateur du système de guidage inertiel principal, qui se met aussitĂ´t hors service. Le système de guidage de secours, identique au système principal, subit la mĂŞme avarie et s'arrĂŞte Ă  la mĂŞme seconde. Le pilote automatique, qui s'appuie justement sur les informations provenant de ces systèmes de guidage inertiels, n'a alors plus aucun moyen de contrĂ´ler la fusĂ©e. L'Ă©chec de la mission est inĂ©luctable.
  • 3 secondes plus tard, le pilote automatique se met en route. Ă€ la suite d'une mauvaise interprĂ©tation du signal de panne provenant des deux systèmes de guidage inertiels alors hors-service, le pilote automatique ordonne par erreur une violente correction de trajectoire. Les tuyères des deux accĂ©lĂ©rateurs Ă  poudre (EAP) et du moteur de l'Ă©tage central sont braquĂ©es jusqu'en butĂ©e, et la fusĂ©e part violemment en virage serrĂ©.
  • La fusĂ©e dĂ©vie brutalement de sa trajectoire, prĂ©sentant un dĂ©rapage important[Note 1], et les accĂ©lĂ©rateurs latĂ©raux (boosters) sont arrachĂ©s par le fort courant d'air relatif dĂ©centrĂ© faisant alors apparition. Cet Ă©vènement dĂ©clenche instantanĂ©ment le mĂ©canisme d'autodestruction prĂ©ventive de la fusĂ©e. Le contrĂ´leur de vol au sol, ayant perdu tout contact avec la fusĂ©e, tĂ©lĂ©commande Ă©galement sa destruction, mais la fusĂ©e a dĂ©jĂ  explosĂ©.
  • Les dĂ©bris de la fusĂ©e, qui se trouvent Ă  environ 4 000 m d'altitude, sont projetĂ©s au loin et s'Ă©parpillent sur une surface d'environ 12 km2 aux abords du centre spatial de Kourou, en Guyane française.

Centrales inertielles

Un système de guidage inertiel, parfois également désigné « plateforme inertielle », est un ensemble composé d'un calculateur interne, d'accéléromètres et de gyroscopes, qui permettent de mesurer les mouvements effectués par un véhicule par rapport à un repère fixe dans l'espace, en trois dimensions. Le calculateur détermine la position, la vitesse et l'inclinaison du véhicule, sur la base des mesures d'accélération et de rotation angulaire obtenues par les capteurs des accéléromètres et des gyroscopes. C'est un équipement standard dans les bateaux, les avions, les missiles et les véhicules spatiaux.

Le système de guidage inertiel qui se trouvait dans la fusée Ariane 5 était le même que celui qui équipait les précédents modèles de la fusée Ariane. Toutefois, le plan de vol suivi par Ariane 5 lors de son lancement diffère beaucoup de celui d'Ariane 4 : sa trajectoire est différente et les accélérations infligées aux instruments par la fusée sont cinq fois plus fortes que celles que produisait son aînée. Les valeurs trop élevées mesurées par les accéléromètres ont provoqué un dépassement de capacité, lors du calcul de la position géographique de la fusée par le dispositif informatique du système de guidage, ce qui a causé son plantage.

Tout comme pour Ariane 4, le système de guidage inertiel d'Ariane 5 est maintenu en mode alignement (calibrage) durant les quarante premières secondes du vol, suivi ensuite par l'allumage du pilote automatique. C'est dans cette période de quarante secondes qu'a justement eu lieu l'incident. Sur Ariane 5, il n'était normalement plus nécessaire de maintenir le mode de calibrage au début du vol, mais il a néanmoins été maintenu pour des raisons de commodité.

Ordinateur de bord

Lorsque l'ordinateur de bord de la fusée détecte une défaillance de la plateforme de guidage inertiel principale, il bascule automatiquement sur celle de secours. Dans le cas du Vol 501 d'Ariane 5, il n'a malheureusement pas détecté le fait que la plateforme de secours était également en panne pour les mêmes causes que la principale, et a continué à interpréter les signaux qu'elle produisait. Ces signaux de panne ont induit en erreur l'ordinateur de bord, qui les a interprété et a ordonné une correction de trajectoire brutale à la fusée, qui s'est alors complètement écarté du plan de vol prévu. L'ordinateur de bord croyait avoir corrigé une trajectoire à la suite d'une déviation qui n'avait en fait jamais eu lieu. La cause semblerait liée à une erreur informatique dans la programmation d'une bribe de code - non corrigée - et pourtant utilisée à diverses reprises sur les écrans de ces développeurs.

Le « braquage en butée des tuyères » a porté l'incidence du lanceur à 20°, ce qui a généré de telles charges aérodynamiques que l'un des deux étage d'accélération à poudre s'est arraché[2]. Cette perte de l'un des deux boosters déclenche instantanément l'autodestruction de la fusée, une mesure de sécurité visant à éviter les dégâts au sol que causerait la retombée d'un étage « en un seul morceau ».

EnquĂŞte

Vol 501 d'Ariane 5 et délimitation de la zone des retombées de débris.

Le vol a été largement suivi, par caméra, radar et télémesures, et le dysfonctionnement du système de guidage inertiel a été rapidement cerné par l'équipe d'enquête comme étant la cause de l'incident.

Les informations des télémesures ont été envoyées pour analyse au Centre national d'études spatiales de Toulouse, en France, tandis qu'une équipe sur place s'affairait à récupérer les débris de la fusée. La priorité a été donnée aux débris qui présentaient un risque d'incendie, tels que des réserves d'ergols non brûlés. La récupération des débris a été particulièrement difficile, du fait que cette région est essentiellement composée de mangroves et de savanes gorgées d'eau, après la saison des pluies qui venait de se terminer. Des pièces lourdes telles que les tuyères — pesant plusieurs tonnes — ont été retrouvées sous plusieurs mètres d'eau, profondément enfoncées dans la vase, et n'en ont jamais été retirées.

La récupération des deux systèmes de guidage inertiel parmi les débris de la fusée, et l'analyse des informations encore présentes dans la mémoire des appareils a permis de retracer avec précision les dernières secondes du vol. L'enquête s'est portée sur le cahier des charges du système de navigation, et les essais en laboratoire nécessaires pour obtenir l'autorisation de vol. Des simulations de vol après-coup, utilisant les systèmes de guidage inertiel et l'ordinateur de bord dans les conditions de vol réalistes d'Ariane 5, ont reproduit les évènements qui ont conduit à l'explosion de la fusée. Les résultats correspondaient aux informations retrouvées dans les mémoires des appareils qui ont servi durant le vol.

Gilles Kahn est intervenu en tant que membre de la commission d'enquĂŞte sur le vol 501 d'Ariane 5 (1996), comme coauteur avec Didier Lombard, permettant de rendre explicite le bug informatique sous-jacent.

Conclusions

Fragment d'un des satellites Cluster.

Dans le rapport de la commission d'enquête, les points suivants ont été soulevés :

  • Des essais de chaines fonctionnelles sur table ont en principe lieu avant le dĂ©collage. En effet une centrale inertielle mesure des grandeurs physiques, telles qu'accĂ©lĂ©ration et vitesse angulaire, qui sont très difficiles Ă  reproduire en laboratoire. Les essais en laboratoire consistent Ă  remplacer les mesures de la centrale inertielle par des valeurs simulĂ©es artificiellement. La rĂ©ussite de ces simulations est une condition nĂ©cessaire pour obtenir le certificat d'aptitude au vol. Le système de navigation, utilisĂ© depuis longtemps sur Ariane 4, Ă©tait rĂ©putĂ© fiable et le Centre national d'Ă©tudes spatiales a tout simplement demandĂ© Ă  ne pas effectuer les simulations de vol pour ces appareils, ce qui devait ainsi lui permettre d'Ă©conomiser 800 000 francs sur le coĂ»t des prĂ©paratifs avant lancement. Or, si ces chaines Ă©taient fonctionnelles sur Ariane 4, elles se sont rĂ©vĂ©lĂ©es non compatibles avec le nouveau lanceur. RĂ©alisĂ©es en laboratoire après la catastrophe, ces simulations ont justement permis de vĂ©rifier que l'accident Ă©tait inĂ©luctable.
  • Le bug qui a causĂ© la mise hors service des systèmes de guidage-pilotage Ă  centrales inertielles est causĂ© par la procĂ©dure d'Ă©talonnage de l'appareil. Dans un usage normal, cet Ă©talonnage s'effectue au sol et mesure donc de très faibles valeurs d'accĂ©lĂ©ration puisque la fusĂ©e est immobile. Pour ce faire, le logiciel transcrit les mesures d’accĂ©lĂ©rations horizontale et verticale (des flottants codĂ©s sur 64 bits) en entiers signĂ©s codĂ©s sur 16 bits. Or, le programme Ariane 4 a fait le choix de laisser l'appareil en mode calibrage une quarantaine de secondes[2] après le dĂ©collage. Ce choix qui date du dĂ©but du programme Ariane, plus de dix ans avant l'accident, Ă©tait motivĂ© par le fait que sur les premières fusĂ©es Ariane, en cas de report du dĂ©collage, il Ă©tait nĂ©cessaire de relancer la procĂ©dure de calibrage, qui durait plus de 45 minutes. Cette fonctionnalitĂ©, hĂ©ritĂ©e d'Ariane 4 n'a plus d'utilitĂ© pour Ariane 5 et a parasitĂ© son système de navigation inertielle.
  • Pour ne pas saturer la mesure de l’accĂ©lĂ©ration verticale au dĂ©collage, le logiciel effectue un Ă©crĂŞtage de sa reprĂ©sentation entière Ă  -32768 et +32767 (extremums pour 16 bits) pour ne pas gĂ©nĂ©rer de message d'erreur de dĂ©passement d'entier. Mais cette prĂ©caution n'a pas Ă©tĂ© prise pour l'accĂ©lĂ©ration horizontale car le risque de saturation n'Ă©tait pas identifiĂ© pour Ariane 4. Malheureusement, il se produit avec Ariane 5, plus puissante et qui gĂ©nère des accĂ©lĂ©rations de vol plus Ă©levĂ©es. Faute de protection, un signal d'erreur a donc Ă©tĂ© envoyĂ©[2] - [3].
  • L'arrĂŞt automatique du système de guidage inertiel principal, en cas d'avarie, Ă©tait un choix de conception dĂ©cidĂ© longtemps avant l'incident. La possibilitĂ© d'une avarie simultanĂ©e des deux systèmes de guidage (principal et secours) n'avait pas Ă©tĂ© envisagĂ©e et ses consĂ©quences n'avaient donc pas Ă©tĂ© anticipĂ©es avant le dĂ©collage d'Ariane 5. D'une manière gĂ©nĂ©rale, le cahier des charges du programme Ariane est axĂ© sur des erreurs alĂ©atoires et momentanĂ©es des appareils. Dans ces cas, un appareil de secours identique fait gĂ©nĂ©ralement l'affaire. Le problème vient du fait que les deux appareils Ă©taient de conception strictement identiques et, de ce fait, ce qui cause la panne de l'un d'entre eux a toutes les raisons de mettre en dĂ©faut le deuxième. On a donc un mode de dĂ©faillance commun conduisant Ă  « perdre » les deux centrales en mĂŞme temps, ce qui laisse le pilotage automatique de la fusĂ©e dans le flou le plus complet.
  • En effet, selon le cahier des charges de la centrale inertielle, une erreur informatique au sein de l'appareil doit entraĂ®ner son arrĂŞt immĂ©diat, l'erreur doit ĂŞtre inscrite dans une mĂ©moire permanente de l'appareil (EEPROM), et un signal de panne doit ĂŞtre transmis aux autres appareils. C'est le choix de conception d'arrĂŞter l'appareil en cas d'incident qui a Ă©tĂ© fatal Ă  Ariane 5.

Après enquête, les ingénieurs du CNES se sont aperçus que par mesure d'économie, le logiciel de navigation de la fusée Ariane 5 était celui qui avait été conçu pour Ariane 4[4], ce qui a induit une incompatibilité entre le logiciel et le matériel.

Tout tenait au maintien de la fonction d'alignement (décidée pour Ariane 4 mais inutile pour Ariane 5) et à la valeur de l'accélération horizontale, plus élevée sur Ariane 5 mais pour laquelle il n'avait pas été prévu de protection contre le risque d'être saturés par une valeur trop grande (car il existait une marge de sécurité suffisante sur Ariane 4). C'est pourtant le dépassement d'une valeur non protégée qui a provoqué la mise en panne des deux centrales inertielles. La centrale active (SRI 2) a émis des messages d'erreur ASCII qui ont été interprété comme des données de vol produisant un comportement inadapté du lanceur (braquage de tuyères) et sa destruction sous des charges aérodynamiques hors norme. En conséquence, le logiciel décida de l'autodestruction de la fusée[5].

C'est ainsi que, par effet domino, la saturation d'une donnée inutile, a conduit à la perte du vol.

Notes et références

Notes

  1. En aéronautique, un dérapage décrit le phénomène selon lequel un aéronef vole en suivant une direction précise, mais dont son axe longitudinal est décalé par rapport à la route suivie. Cette manœuvre, qu'elle soit volontaire ou non, est normalement contrôlée ou corrigée par la gouverne de lacet.

Références

[6]

  1. (en) Ariane 501 Inquiry Board, ARIANE 5 Flight 501 Failure, Paris, , 60 p. (lire en ligne [PDF]), Page 5, Paragraphe 3.
  2. J.-L. Lions, « Rapport de la commission d'enquête Ariane 501 : Échec du vol Ariane 501 », Astrosurf, (consulté le )
  3. https://linuxfr.org/news/bogues-de-logiciel-et-bogues-de-management-737-max-et-autres-catastrophes#toc-code-source-ada-du-bo%C3%AEtier
  4. Improving Software Testing: Technical and Organizational Developments, Tim A. Majchrzak
  5. Pr_J.-L._Lions1996">Pr J.-L. Lions, « ARIANE 5 Flight 501 Failure - Report by the Inquiry Board »,
  6. « Rapport de la Commission d'enquête Ariane 501 », sur deschamp.free.fr, (consulté le )

Voir aussi

Articles connexes

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.