Klastr (kosmická loď) - Cluster (spacecraft)

Klastr
Typ mise Magnetosférický
Operátor ESA
ID COSPARU 2000-045A
SATCAT č. 26463Upravte to na Wikidata
Vlastnosti kosmické lodi
Odpalovací mše 1 200 kilogramů
Začátek mise
Datum spuštění 12:34:06, 4. června 1996 (UTC) ( 1996-06-04T12: 34: 06Z )
Raketa Ariane 5G
Spusťte web Kourou ELA-3
Konec mise
Likvidace selhání spuštění
Zničeno 4. června 1996 ( 06.06.1996 )
Odznak klastrové mise
Odznaky čtyřstranné mise ESA pro Cluster
←  SOHO
Huygens  →
 

Cluster byl souhvězdím čtyř kosmických lodí Evropské kosmické agentury, které byly vypuštěny při prvním letu rakety Ariane 5 , letu 501, a následně ztraceny, když tato raketa nedokázala dosáhnout oběžné dráhy. Zahájení, které proběhlo v úterý 4. června 1996, skončilo neúspěchem kvůli několika chybám v designu softwaru: Mrtvý kód (běží, ale záměrně pouze pro Ariane 4 ) s nedostatečnou ochranou proti přetečení celého čísla vedl k výjimce, která byla zpracována nevhodně —Zastavení celého inerciálního navigačního systému, které by jinak nebylo ovlivněno. Výsledkem bylo, že se raketa 37 sekund po startu odklonila ze své letové dráhy, začala se rozpadat pod vysokými aerodynamickými silami a nakonec se sama zničila svým automatizovaným systémem ukončení letu . Neúspěch se stal známým jako jeden z nejznámějších a nejdražších softwarových chyb v historii. Selhání mělo za následek ztrátu více než 370 milionů USD.

Kosmická loď

Klastr se skládal ze čtyř válců o průměru 1200 kilogramů (2600 lb), stabilizovaných proti rotaci , poháněných solárními články o výkonu 224 wattů. Kosmická loď měla letět ve čtyřboké formaci a měla provádět výzkum magnetosféry Země . Družice by byly umístěny na vysoce eliptické dráhy; 17 200 na 120 600 kilometrů (10 700 na 74 900 mil), nakloněných o 90 stupňů k rovníku.

Selhání spuštění

Schéma Ariane 501 se čtyřmi klastrovými satelity
Fragmentová spadová zóna neúspěšného startu Ariane 501

Ariane 5 znovu použila inerciální referenční platformu z Ariane 4 , ale dráha letu Ariane 5 se značně lišila od předchozích modelů.

Čím větší je horizontální zrychlení způsobil konverzi dat z 64-bitového s plovoucí desetinnou čárkou čísla do 16-bitového podepsané celé číslo hodnoty k přepadu a způsobit výjimku hardwaru . Úvahy o účinnosti vynechaly kontroly rozsahu pro tuto konkrétní proměnnou, ačkoli převody jiných proměnných v kódu byly chráněny. Výjimka zastavila referenční platformy, což mělo za následek zničení letu.

Obnovená podpěrná vzpěra satelitní struktury

Přestože byla softwarová chyba identifikována jako přímá příčina, považovalo se to za možné díky chybám návrhu systému a problémům se správou:

  1. Na základě těchto výpočtů přikázal hlavní počítač posilovacím tryskám a o něco později také hlavní trysce motoru, aby provedly velkou korekci odchylky postoje, k níž nedošlo.
  2. Došlo k rychlé změně postoje , která způsobila, že se odpalovací zařízení rozpadlo 39 sekund po H0 v důsledku aerodynamických sil.
  3. Inerciální referenční systém Ariane 5 je v podstatě stejný jako systém používaný Ariane 4. Část softwaru, která způsobila přerušení počítačů inerciálního systému, se používá před spuštěním k vyrovnání inerciálního referenčního systému a v Ariane 4 také k povolení rychlé nové nastavení systému v případě pozdního pozastavení odpočítávání. Tato funkce přeskupení, která na Ariane 5 neslouží žádnému účelu, byla přesto zachována z důvodů shodnosti a umožnila, stejně jako v Ariane 4, pracovat přibližně 40 sekund od startu.
  4. Při návrhu softwaru inerciálního referenčního systému použitého pro Ariane 4 a Ariane 5 bylo rozhodnuto, že není nutné chránit počítač inerciálního systému před nefunkčností nadměrnou hodnotou proměnné související s horizontální rychlostí, ochrana poskytovaná pro několik dalších proměnných vyrovnávacího softwaru. Při přijímání tohoto rozhodnutí o návrhu nebylo analyzováno ani plně pochopeno, jaké hodnoty může tato konkrétní proměnná předpokládat, když byl umožněn software pro zarovnání pracovat po zvednutí.
  5. U letů Ariane 4 používajících stejný typ inerciálního referenčního systému nedošlo k žádnému takovému selhání, protože trajektorie během prvních 40 sekund letu je taková, že konkrétní proměnná související s horizontální rychlostí nemůže dosáhnout s odpovídajícím provozním rozpětím hodnotu za limit obsažený v softwaru.
  6. Ariane 5 má vysoké počáteční zrychlení a trajektorii, což vede k nárůstu horizontální rychlosti pětkrát rychlejšímu než u Ariane 4. Vyšší horizontální rychlost Ariane 5 generovala ve 40sekundovém časovém rámci nadměrnou hodnotu, která způsobila aby počítače inerciálního systému zastavily provoz.
  7. Účelem procesu kontroly, který zahrnuje všechny hlavní partnery programu Ariane 5, je ověřit rozhodnutí o návrhu a získat letovou kvalifikaci. V tomto procesu nebyla plně analyzována omezení vyrovnávacího softwaru a nebyly realizovány možné důsledky umožnění jeho pokračování v činnosti během letu.
  8. Specifikace inerciálního referenčního systému a zkoušky prováděné na úrovni zařízení konkrétně neobsahovaly údaje o trajektorii Ariane 5. V důsledku toho nebyla funkce přesměrování testována za simulovaných letových podmínek Ariane 5 a nebyla zjištěna chyba návrhu.
  9. Bylo by technicky proveditelné zahrnout téměř celý inerciální referenční systém do celkových simulací systému, které byly provedeny. Z mnoha důvodů bylo rozhodnuto použít simulovaný výstup inerciálního referenčního systému, nikoli skutečný systém nebo jeho podrobnou simulaci. Pokud by byl systém zahrnut, mohla by být porucha detekována.
  10. Postletové simulace byly provedeny na počítači se softwarem inerciálního referenčního systému a se simulovaným prostředím, včetně skutečných údajů o trajektorii z letu Ariane 501. Tyto simulace věrně reprodukovaly řetězec událostí vedoucích k selhání inerciálních referenčních systémů.

Následky

Po neúspěchu byly postaveny čtyři náhradní satelity Cluster II . Ty byly vypuštěny ve dvojicích na palubách raket Sojuz-U / Fregat v roce 2000.

Selhání při uvedení do provozu přineslo vysoká rizika spojená se složitými výpočetními systémy do pozornosti široké veřejnosti, politiků a vedoucích pracovníků , což vedlo k větší podpoře výzkumu zajišťujícího spolehlivost bezpečnostně důležitých systémů . Následná automatizovaná analýza kódu Ariane (napsaná v Adě ) byla prvním příkladem rozsáhlé statické analýzy kódu pomocí abstraktní interpretace .

Porucha také poškodila vynikající úspěch raketové rodiny Evropské kosmické agentury, který byl dán vysokou úspěšností modelu Ariane 4. Teprve v roce 2007 byly starty Ariane 5 uznány za stejně spolehlivé jako u předchůdce.

Viz také

Reference

Další čtení

  • Thomas, LD (2007) Vybrané nedostatky v procesech systémového inženýrství a jejich důsledky. Acta Astronautica, 61, 406–415.

externí odkazy