Кластер (космический корабль) - Cluster (spacecraft)
Тип миссии | Магнитосферный |
---|---|
Оператор | ЕКА |
COSPAR ID | 2000-045A |
SATCAT нет. | 26463 |
Свойства космического корабля | |
Стартовая масса | 1200 кг (2600 фунтов) |
Начало миссии | |
Дата запуска | 12:34:06, 4 июня 1996 г. (UTC) |
Ракета | Ariane 5G |
Запустить сайт | Куру ELA-3 |
Конец миссии | |
Утилизация | неудачный запуск |
Разрушен | 4 июня 1996 г. |
Четырехсторонний знак миссии ЕКА для Кластер |
Кластер было созвездие из четырех Европейское космическое агентство космических аппаратов, которые были запущены в первый полет Ариана 5 ракета, рейс 501, и впоследствии потеряна, когда эта ракета не смогла выйти на орбиту. Запуск, который состоялся во вторник, 4 июня 1996 года, закончился неудачей из-за множества ошибок в разработке программного обеспечения: Мертвый код (работает, но намеренно только для Ариана 4 ) с недостаточной защитой от целочисленное переполнение привело к исключение обработано неуместно - остановка всего инерциальная навигационная система это не повлияло бы на это иначе. Это привело к тому, что ракета отклонилась от траектории полета через 37 секунд после запуска, начала распадаться под воздействием высоких аэродинамических сил и, наконец, самоуничтожилась благодаря своей автоматизированной системе. система прекращения полета. Провал стал одним из самых печально известных и дорогих. программные ошибки в истории.[1] Авария привела к убыткам в размере более 370 миллионов долларов США.[2]
Космический корабль
Кластер состоял из четырех цилиндрических блоков массой 1200 кг (2600 фунтов), спин-стабилизированный космический корабль, работающий от солнечных батарей мощностью 224 Вт. Космический корабль должен был лететь в четырехгранный формации, и были предназначены для исследования земных магнитосфера. Спутники должны были быть выведены на высокоэллиптические орбиты; 17 200 на 120 600 километров (10700 на 74 900 миль), склонный под углом 90 градусов к экватору.[3]
Ошибка запуска
Эта секция нужны дополнительные цитаты для проверка.Май 2017 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Ariane 5 повторно использовал инерциальная опорная платформа от Ариана 4, но траектория полета Ariane 5 значительно отличалась от предыдущих моделей.
Большее горизонтальное ускорение вызвало преобразование данных из 64-битный плавающая точка номер в 16 бит подписанный целое число ценность для переполнение и вызвать аппаратное исключение. Из соображений эффективности не учитывались проверки диапазона для этой конкретной переменной, хотя преобразования других переменных в коде были защищены. Исключение остановило опорные платформы, что привело к разрушению полета.[4]
Хотя программная ошибка была определена как прямая причина, считалось, что это стало возможным из-за ошибок проектирования системы и проблем управления:[5]
- На основе этих расчетов главный компьютер дал команду форсункам ускорителей, а несколько позже и форсункам главного двигателя, сделать большую поправку на отклонение по высоте, которое не произошло.
- Быстрая смена отношение произошел, что привело к разрушению пусковой установки через 39 секунд после H0 из-за аэродинамических сил.
- Инерциальная система отсчета Ariane 5 по существу такая же, как и система, используемая Ariane 4. Часть программного обеспечения, которая вызвала прерывание работы компьютеров инерциальной системы, используется перед запуском для выравнивания инерциальной системы отсчета, а в Ariane 4 также для обеспечения быстрая перестройка системы в случае задержки отсчета времени. Эта функция перенастройки, которая не служит какой-либо цели на Ariane 5, тем не менее была сохранена по соображениям общности и позволила, как и в Ariane 4, работать в течение примерно 40 секунд после старта.
- При разработке программного обеспечения инерциальной системы отсчета, используемой для Ariane 4 и Ariane 5, было принято решение о том, что нет необходимости защищать компьютер инерциальной системы от выхода из строя из-за чрезмерного значения переменной, связанной с горизонтальной скоростью, защита предусмотрена для нескольких других переменных программного обеспечения для центровки. При принятии этого проектного решения не было проанализировано или полностью понято, какие значения может принимать эта конкретная переменная, когда программное обеспечение для центровки было разрешено работать после отрыва.
- В полетах Ariane 4 с использованием того же типа инерциальной системы отсчета не было такого отказа, потому что траектория в течение первых 40 секунд полета такова, что конкретная переменная, связанная с горизонтальной скоростью, не может достичь, с адекватным эксплуатационным запасом, значения за пределами предел, присутствующий в программном обеспечении.
- Ariane 5 имеет высокое начальное ускорение и траекторию, что приводит к нарастанию горизонтальной скорости в пять раз быстрее, чем у Ariane 4. Более высокая горизонтальная скорость Ariane 5 сгенерировала за 40-секундный период чрезмерное значение, которое привело прекратить работу компьютеров инерциальной системы.
- Целью процесса проверки, в котором участвуют все основные партнеры программы Ariane 5, является проверка проектных решений и получение летной квалификации. В этом процессе ограничения программного обеспечения для центровки не были полностью проанализированы, и не были реализованы возможные последствия того, чтобы оно продолжало функционировать во время полета.
- Спецификация инерциальной системы отсчета и испытания, проведенные на уровне оборудования, не включали конкретно данные о траектории Ariane 5. Следовательно, функция перенастройки не тестировалась в смоделированных условиях полета Ariane 5, и ошибка конструкции не была обнаружена.
- Было бы технически возможно включить почти всю инерциальную систему отсчета в общее моделирование системы, которое было выполнено. По ряду причин было решено использовать смоделированные выходные данные инерциальной системы отсчета, а не реальную систему или ее подробное моделирование. Если бы система была включена, сбой мог бы быть обнаружен.
- Послеполетное моделирование проводилось на компьютере с программным обеспечением инерциальной системы отсчета и с моделируемой средой, включая фактические данные о траектории полета Ariane 501. Это моделирование точно воспроизвело цепочку событий, ведущих к отказу инерциальных систем отсчета.
Последствия
После отказа четыре замены Кластер II были построены спутники. Их запускали парами на борт Союз-У /Фрегат ракеты в 2000 году.
Провал запуска привлек внимание широкой общественности, политиков и политиков к высоким рискам, связанным со сложными вычислительными системами. руководители, что привело к усилению поддержки исследований по обеспечению надежности критические системы безопасности. Последующий автоматизированный анализ Ariane код (написано в Ада ) был первым примером масштабного статический анализ кода к абстрактная интерпретация.[6]
Неудача также нанесла ущерб отличному успеху семейства ракет Европейского космического агентства, установленному высокой долей успеха модели Ariane 4. Лишь в 2007 году запуски Ariane 5 были признаны такими же надежными, как и запуски предшествующей модели.[7][требуется проверка ]
Смотрите также
- Марсианский климатический орбитальный аппарат программное обеспечение, которое было адаптировано из более раннего Mars Climate Orbiter, не было должным образом протестировано перед запуском
- Компьютер наведения Apollo - проблема с PGNCS, еще один случай, когда компьютер наведения космического корабля пострадал из-за того, что подсистема была неправильно оставлена работающей
- Список ошибок программного обеспечения
Рекомендации
- ^ Глейк, Джеймс (1 декабря 1996 г.). "Ошибка и авария". Журнал New York Times. Получено 7 апреля 2012.
- ^ Доусон, М. (март 1997 г.). «Ошибка программного обеспечения Ariane 5». Примечания по разработке программного обеспечения. 22 (2): 84. Дои:10.1145/251880.251992.
- ^ Кребс, Гюнтер. «Кластер 1, 2, 3, 4, 5, 6, 7, 8». Страница космоса Гюнтера. Получено 29 ноябрь 2011.
- ^ Нусейбе, Башар (май 1997 г.). «Ариана 5: Кто, Даннит?» (PDF). Программное обеспечение IEEE. 14 (3): 15–16. Дои:10.1109 / MS.1997.589224.
- ^ Ле Ланн, Жерар (март 1997 г.). «Анализ отказа Ariane 5 Flight 501 - с точки зрения системной инженерии». Труды международной конференции 1997 г. по проектированию компьютерных систем (ECBS'97). IEEE Computer Society. С. 339–346. ISBN 0-8186-7889-5.
- ^ Фор, Кристель. "История PolySpace Technologies". Получено 3 октября 2010.
- ^ Тодд, Дэвид (март 2007 г.). "Новости космической разведки ASCEND".
дальнейшее чтение
- Томас, Л. (2007) Избранные недостатки процессов системного проектирования и их последствия. Acta Astronautica, 61, 406–415.
внешняя ссылка
- Жак Луи Лайонс и другие., Отчет комиссии по расследованию Ariane 501 ()
- Космический полет сейчас - кластер II - взрывается Ariane 501 на Wayback Machine (архивировано 25 марта 2015 г.), прямая ссылка на видео файл - Кадры последних секунд полета ракеты.
- Проводная связь - худшие ошибки программного обеспечения в истории - Статья о 10 основных ошибках программного обеспечения. Программный сбой Ariane 5 Flight 501 упоминается как одна из этих ошибок.
- (на немецком) Ариан 5 - 501 (1–3) - Хорошая статья (на немецком языке), в которой дан актуальный рассматриваемый код.