Vol 501 d'Ariane 5

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Vol 501 d'Ariane 5

Le vol 501 d'Ariane 5 est un vol inaugural qui a eu lieu le 4 juin 1996 et qui c'est soldé par un echec, causé par un dysfonctionnement informatique (appelé aussi bug). La fusée s'est brisée et a explosé en vol, 36,7 secondes après le décollage, à la suite d'une panne du système de navigation.

L'incident, dû à un dépassement d'entier dans les appareils informatiques utilisés par le pilote automatique, a provoqué la destruction de la fusée ainsi que la charge utile – 4 sondes de la mission Cluster – d'une valeur totale de 370 millions de dollars.

La fusée a explosé à une altitude de 4 000 mètres au-dessus du centre spatial de Kourou, en Guyane française. L'incident n'a fait aucune victime (la fusée n'était pas habitée).

Chronologie des événements[modifier | modifier le code]

Schéma d'Ariane 5 avec les quatre satellites Cluster

Le lancement a lieu le 4 juin 1996 à h 35, avec une heure de retard en raison de mauvaises conditions météo. Il s'agit du premier lancement de la fusée Ariane 5. À h 35, les moteurs de la fusée se mettent en route, et les deux systèmes de guidage inertiel (le système principal et de secours) commencent à mesurer les mouvements de rotation et d'accélération de la fusée.

Après 37 secondes de vol, les fortes accélérations de la fusée provoquent un dépassement d'entier dans le calculateur du système de guidage inertiel principal, qui se met aussitôt hors service. Le système de guidage de secours (identique à l'autre) subit la même avarie, et s'arrête à la même seconde. Le pilote automatique, qui s'appuie sur les informations provenant du système de guidage inertiel, n'a alors plus aucun moyen de contrôler la fusée. L'échec de la mission est inéluctable.

3 secondes plus tard, le pilote automatique se met en route. Suite à une mauvaise interprétation du signal de panne des deux guidages inertiels hors service, le pilote automatique provoque une violente correction de trajectoire. Les tuyères des boosters et du moteur principal sont tournées jusqu'en butée, et la fusée part en virage serré.

La fusée dérape de sa trajectoire, et les boosters sont arrachés par le courant d'air décentré. Ce qui déclenche le mécanisme d'auto-destruction préventive de la fusée. Le contrôleur de vol au sol, ayant perdu tout contact avec la fusée, télécommande son auto-destruction, cependant la fusée a déjà explosé. Les débris de la fusée, qui se trouvait à environ 4 000 m d'altitude, sont projetés au loin et s'éparpillent sur une surface d'environ 12 km2 aux abords du centre spatial de Kourou, en Guyane française.

Causes[modifier | modifier le code]

Un système de guidage inertiel est un ensemble composé d'un appareil informatique, d'accéléromètres et de gyroscopes qui permettent de mesurer les mouvements effectués par un véhicule. L'appareil informatique calcule la position, la vitesse et l'inclinaison du véhicule sur la base des mesures d'accélération et de rotation obtenues par les capteurs. C'est un équipement standard dans les bateaux, les avions, les missiles et les véhicules spatiaux.

Le système de guidage inertiel qui se trouvait dans la fusée Ariane 5 est le même que celui qui équipait les précédents modèles de la fusée Ariane. Le plan de vol d'Ariane 5 diffère de celui d'Ariane 4, sa trajectoire est différente et les accélérations sont 5 fois plus fortes. Les valeurs élevées mesurées par les accéléromètres ont provoqué un dépassement de capacité lors du calcul de la position géographique de la fusée par le dispositif informatique du système de guidage.

Tout comme pour Ariane 4, le système de guidage inertiel est en mode de calibrage durant les premières secondes du vol, quand l'incident s'est produit. Le calibrage est maintenu jusqu'au démarrage du pilote automatique après 40 secondes de vol. Sur Ariane 5, il n'est plus nécessaire de maintenir le mode de calibrage au début du vol, il a néanmoins été maintenu pour des raisons de commodité.

L'ordinateur de bord reconnaît la défaillance du système de guidage inertiel principal. En cas de défaillance, l'ordinateur de bord se branche au système de guidage inertiel de secours. Il n'a pas reconnu la défaillance du système de secours, et interprété le signal de panne de celui-ci comme une information de trajectoire de la fusée – trajectoire très différente de celle que la fusée suivait. L'ordinateur a alors commandé une violente correction de trajectoire suite à une déviation qui n'a en fait jamais eu lieu.

Le virage serré demandé par l'ordinateur de bord a provoqué un dérapage de la fusée. L'angle d'incidence de plus de 20 degrés dû au dérapage a arraché un des moteurs d'appoint. Un interrupteur de sécurité déclenche l'auto-destruction préventive de la fusée en cas de détachement accidentel des moteurs d'appoint à basse altitude, ceci en vue d'éviter des victimes au sol suite à un crash de la fusée.

Enquête[modifier | modifier le code]

Le vol a été largement suivi, par caméra, radar, et télémesures et le dysfonctionnement du système de guidage inertiel a été rapidement cerné par l'équipe d'enquête comme étant la cause de l'incident.

Les informations des télémesures ont été envoyées au Centre national d'études spatiales de Toulouse, en France pour analyse, tandis qu'une équipe sur place s'affairait à récupérer les débris de la fusée. La priorité a été donnée aux débris qui présentaient un risque d'incendie, tels que des réserves de carburant non brûlé.

La récupération des débris a été rendue difficile, du fait que cette région est essentiellement composée de mangroves et de savanes, gorgées d'eau après la saison des pluies qui venait de se terminer. Des pièces lourdes telles que les tuyères – pesant plusieurs tonnes – ont été retrouvées sous plusieurs mètres d'eau, profondément enfoncées dans la vase, et n'ont jamais été retirées.

La récupération des deux systèmes de guidage inertiel parmi les débris de la fusée, et l'analyse des informations encore présentes dans la mémoire des appareils a permis de retracer avec précision les dernières secondes du vol.

L'enquête s'est portée sur le cahier des charges du système de navigation, et les essais en laboratoire nécessaires pour obtenir l'autorisation de vol.

Des simulations de vol après-coup, utilisant les systèmes de guidage inertiel et l'ordinateur de bord, dans les conditions de vol d'Ariane 5 ont reproduit les événements qui ont conduit à l'explosion de la fusée. Les résultats correspondaient aux informations retrouvées dans les mémoires des appareils qui ont servi durant le vol.

Gilles Kahn est intervenu en tant que membre de la commission d'enquête sur le vol 501 d'Ariane 5 (1996), comme coauteur avec Didier Lombard, permettant de rendre explicite le bug informatique sous-jacent.

Conclusions[modifier | modifier le code]

Fragment du satellite

Dans le rapport de la commission d'enquête, les points suivants ont été soulevés :

Des simulations en laboratoire ont en principe lieu avant le décollage. La réussite des simulations est nécessaire pour obtenir le certificat de vol. Le système de navigation, utilisé depuis longtemps sur Ariane 4, étant réputé fiable, le Centre national d'études spatiales a demandé de ne pas faire de simulations de vol pour ces appareils, et ainsi économiser 800 000 frs sur le coût des préparatifs.

Réalisées après la catastrophe, les simulations en laboratoire ont permis de vérifier que l'explosion était inéluctable.

Le bug informatique qui a causé la mise hors service des systèmes de guidage par inertie a eu lieu durant la procédure d’étalonnage de l'appareil. L’étalonnage mesure de très faibles valeurs lorsque la fusée est immobile, et n'est pas protégée contre les valeurs élevées qui peuvent être mesurées durant le vol.

Le choix de laisser l'appareil en mode calibrage après le décollage date du début du programme Ariane, plus de dix ans avant l'incident. Il est motivé par le fait que sur les premières fusées Ariane, en cas de retardement du décollage, il était nécessaire de relancer le calibrage, qui durait plus de 45 minutes. Ce n'est plus le cas avec Ariane 5.

L'arrêt automatique du système de guidage inertiel principal en cas d'avarie était un choix de conception décidé longtemps avant l'incident. L'avarie simultanée des deux systèmes de guidage (principal et secours) n'avait pas été envisagée et les conséquences n'avaient pas été anticipées avant le décollage de Ariane 5.

D'une manière générale, le cahier des charges du programme Ariane est tourné sur les erreurs aléatoires et momentanées des appareils. Dans ces cas, un appareil de secours identique fait généralement l'affaire. En cas de défaut de construction des appareils, deux appareils identiques sont susceptibles de tomber en panne en même temps.

Une centrale inertielle mesure des grandeurs physiques telles qu'accélération et vitesse angulaire, qui sont très difficiles à reproduire en laboratoire. Les essais en laboratoires consistent à remplacer les mesures de la centrale inertielle par de fausses valeurs. La vérification de l'ensemble centrale inertielle + ordinateur de bord ne peut se faire que lors des vols d'essai (une pratique courante dans l'industrie aéronautique et astronautique).

Selon le cahier des charges de la centrale inertielle, une erreur informatique au sein de l'appareil doit entraîner son arrêt immédiat, l'erreur doit être inscrite dans une mémoire permanente de l'appareil (EEPROM), et un signal de panne doit être transmis aux autres appareils. C'est le choix de conception d'arrêter l'appareil en cas d'incident qui a été fatal à Ariane 5.

Le calculateur de la centrale inertielle est équipé de protections qui évitent qu'une erreur informatique se produise en cas de mesure trop élevée. Pour certaines valeurs, il est physiquement impossible d'atteindre la limite, ou alors il existe une large marge de sécurité, et il a été décidé de ne pas mettre de protection. Ces décisions de protection ont été prises de concert entre différents contractants, durant le programme spatial Ariane 4. C'est le dépassement d'une valeur non protégée qui a provoqué l'incident.

Après enquête, les ingénieurs du CNES se sont aperçus que par mesure d'économie, le logiciel de navigation de la fusée Ariane 5 était celui qui avait été conçu pour Ariane 4. Mais cela a suffi pour créer une incompatibilité entre le logiciel et le matériel.

Tout tenait à une seule petite variable : celle allouée à l'accélération horizontale. En effet, l'accélération maximum d'Ariane 4 était d'environ 64, la variable a été codée sur 8 bits. En base binaire, cela fait 2^8=256 valeurs possibles (256 combinaisons de 8 bits), suffisant pour coder la valeur 64 qui s'écrit 1000000 et nécessite 7 bits. Mais Ariane 5 était plus véloce : son accélération pouvait atteindre la valeur 300 (qui vaut 100101100 en binaire et nécessite 9 bits). Ainsi, la variable codée sur 8 bits a connu un dépassement de capacité puisque son emplacement mémoire n'était pas assez grand pour accepter une valeur aussi grande, il aurait fallu la coder sur un bit de plus, à savoir 9, ce qui nous aurait fait 2^9=512 comme valeur limite, alors suffisant pour coder la valeur 300. De ce dépassement de capacité a résulté une valeur absurde dans la variable, ne correspondant pas à la réalité. Par effet domino, le logiciel décida de l'autodestruction de la fusée à partir de cette donnée erronée.

Voir aussi[modifier | modifier le code]

Liens externes[modifier | modifier le code]

Notes et références[modifier | modifier le code]