1 / 44

TD ARIANNE 5

TD ARIANNE 5. Analyse d'une situation ayant conduit à une catastrophe Il est rare en matière de génie logiciel qu'on ait des rapports détaillés sur les bugs ayant conduit à des catastrophes. En général ces rapports restent en interne et sont soigneusement cachés.

Download Presentation

TD ARIANNE 5

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. TD ARIANNE 5

  2. Analyse d'une situation ayant conduit à une catastrophe Il est rare en matière de génie logiciel qu'on ait des rapports détaillés sur les bugs ayant conduit à des catastrophes. En général ces rapports restent en interne et sont soigneusement cachés. Il est pourtant intéressant d'analyser une situation où un enchaînement de circonstances a conduit à un bug qui a provoqué une catastrophe : c'est le cas du bug de la fusée Ariane 501. Lors du premier tir de cette nouvelle série (Ariane V), un dysfonctionnement a provoqué I' explosion de la fusée peu après son départ. Le CNES a nommé une commission d'enquête externe et a diligenté une enquête. Nous avons la chance d'avoir le rapport de cette commission qui a conclu à un bug logiciel. Analysez ce rapport et voyez s'il n'était pas possible de déceler et de corriger I' erreur. Ce travail se fera ensemble après que chacun ait lu entièrement le rapport

  3. transporter une masse donnée (charge utile : 1 tonne ) à une altitude donnée (orbite 500 km) à une vitesse donnée (28 000 km/h en général). Ariane 5 développe au décollage une puissance de 1 400 tonnes 2 modes de propulsion: avec les carburants liquides ou les carburants solides, communément appelés poudre. Source : ESA

  4. Centrale Inertielle Merci à Olivier SITAL Source :

  5. 1. Introduction: V ème siècle 1852 1938 1969 1980 Terre

  6. Que demande-t-on à un navigateur classique? Position de la démarche : Nécessité de mettre au point des systèmes de navigation. • connaître la trajectoire, la position, la vitesse, l'accélération • connaître l'attitude ( orientation spatiale) du véhicule et les vitesses angulaires instantanées autour d'axes liés au véhicule. • De toute évidence il n'a pas fallu attendre le XXème siècle pour y parvenir, la preuve en est apportée par toutes les expéditions maritimes ou terrestres de nos plus grands aventuriers ou explorateurs. • Est-ce un problème de précision? • Non, essentiellement une question de sécurité pour les applications civiles et de discrétion pour les militaires.

  7. Que demande-t-on à un navigateur moderne? • Essentiellement de fournir les informations précédentes sans références externes ou du moins le minimum possible. En effet : •  Une capsule spatiale peut très bien se trouver derrière la lune et ne plus voir la terre ou se trouver en alignement avec la Terre et le Soleil et donc être dans l'impossibilité de communiquer avec la terre. •  Un avion doit pouvoir voler sans visibilité. •  Un avion militaire doit pouvoir pénétrer en territoire ennemi sans se faire repérer et donc sans émettre ou recevoir quoi que ce soit. •  Un sous marin est censé rester sous l'eau jusqu'à un mois, sans refaire surface et sans se faire repérer. Etc... • Un navigateur moderne doit donc pouvoir travailler en autonomie complète, sans références extérieures. Ceci n'exclut nullement la présence de systèmes annexes utilisant des références externes, pour des recalages, des confirmations et une sécurité redondante.

  8. 2. La centrale inertielle Constituants d’une centrale inertielle CALCULATEUR PLATE-FORMESTABILISEE GYROSCOPES ACCELEROMETRES CENTRALEINERTIELLE

  9. AXE TOUPIE MOUVEMENT RESULTANT FORCE APPLIQUEE VECTEUR ROTATION TOUPIE Nutation Y Précession AXE TOUPIE X Toupie θ Y’ X’ O 2.1 La toupie

  10. 2.2 Le gyroscope TOUPIE MOTEUR COUPLE AXE TOUPIE DETECTEUR SUSPENSION ELASTIQUE MOTEUR TOUPIE PALIER SUPPORT FIXE

  11. 2.3 L’accéléromètre Y X DETECTEUR AMPLI X F SERVOMOTEUR AVION

  12. Accéléromètre à cordes vibrantes

  13. Accéléromètre à quartz

  14. AZIMUT MOTEUR COUPLEROULIS INTERIEUR TANGAGE Az Gz Ay Gx, Gy MOTEUR COUPLETANGUAGE Ax MOTEUR COUPLEAZIMUT 2.4 La plate-forme stabilisée « Rafale » SAGEM DETECTEUR D’ANGLE PLAT CARDAN ROULIS INTERIEUR MOTEUR COUPLE ROULIS EXTERIEUR ROULIS ACCELERATION Z AZIMUT ACCELERATION Y TANGAGE ACCELERATION X COMMANDE MOTEUR COUPLE AXE Z RESOLVER DE CHANGEMENT DE COORDONNEES COMMANDE MOTEUR COUPLE AXE X & Y

  15. Formation Ingénieur 2007-2008 centre de Bordeaux

  16. Formation Ingénieur 2007-2008 centre de Bordeaux

  17. LE BOUCLAGE DE SCHÜLER ω=V/R A x 1/R Détect. Mot. C Vitesse GYRO Accél. VitesseInitiale + + PLATE-FORME CALCULATEUR Mot. C CARDAN =

  18. 2.5 La centrale inertielle • Combinaison d’une plate-forme stabilisée (gyroscopes, accéléromètres) et d’un calculateur. • Erreurs dues à la rotation terrestre : ω=15°/h; α=cap • ωt.cos(Lat).cos(α) sur Gx • ωt.cos(Lat).sin(α) sur Gy • ωt.sin(Lat) sur Gz • Erreurs dues au déplacement avion terre : • Vy/R sur Gx • Vx/R sur Gy

  19. 2.6 Les alignements • L’alignement normal • L’alignement rapide • L’alignement sur cap mémorisé • Les séquences élémentaires  : • L’initialisation ou le pré alignement • Une recherche de verticale • Une recherche de nord • Une estimation de dérive

  20. 2.7 La navigation • Maintient de la plateforme horizontale par rapport a la terre quels que soient les mouvements de l'avion. • Calcul des paramètres de navigation en temps réel: Longitude, latitude, altitude, vitesses, accélérations, roulis, tangage, cap… • Transmission sous forme digitales (DIGIBUS, ARINC) ou analogique (synchro. attitudes)

  21. 2.8 Les erreurs inertielles • Les erreurs bornées dans le temps: • Erreur initiale de position • Erreur initiale de vitesse • Erreur de verticale et de biais accéléromètrique • Erreur de facteur d’échelle d’accéléromètre • Les erreurs augmentant avec le temps: • Erreur de dérive gyroscopique • Erreur de facteur d’échelle gyroscopique

  22. CLASSE D'UN NAVIGATEUR INERTIEL: • La grandeur de la dérive limite la durée d'utilisation sans recalage. On distingue alors la qualité technologique par le niveau de cette dérive : • Classe engins : 0.1 à 0.01°/h • Classe aéronautique : 0.01 à 0.001°/h • Classe Sous-Marins : 0.001 à 0.0001°/h

  23. 3. La centrale inertielle à gyrolaser

  24. 3.1 Le gyrolaser MIROIR AXE SENSIBLE LASER MIROIR INTERFEROMETRE

  25. 3.2 Principe de fonctionnement Interféromètre Miroir M2 Miroir M1 LASER

  26. 3.3 Affichage des données TANGAGE CAP VITESSE Dérive Roulis FACTEUR DE CHARGE INCIDENCE V.V.I. HORIZON ARTIFICIEL ALTITUDE

  27. CONCLUSION • Centrale inertielle à plateforme stabilisée (gyroscope accordé) • Centrale inertielle à gyro laser • Hybridation GPS  accroissement de précision par recalage: • Vols longs courriers (distance franchissable > 8000 Nm) • Armements (missiles de croisière, bombe guidées)

  28. Centrale à inertieInertial Navigation System • La centrale à inertie (en anglais Inertial Navigation System, INS) est composée de 3 gyroscopes à 3 degrés de liberté et d'un trièdre d'accéléromètres. Après une phase de stabilisation, tous les mouvements de l'avion autour de la position de référence sont connus. Elle remplace donc l'horizon artificiel et le gyro directionnel. Par intégration des signaux des accéléromètres, les vitesses de l'avion selon les trois axes sont calculées dans le référentiel terrestre. La position de l'avion est ainsi calculée toujours dans le référentiel terrestre, faisant ainsi abstraction des mouvements dus aux courants aériens. La dérive de position est de l'ordre du mile marin à l'heure. Ce système est donc insuffisant pour déterminer l'altitude avec une précision suffisante. Pour corriger les défauts, il existe plusieurs méthodes dont le couplage barométrique ou encore le couplage avec un GPS. Les avions de ligne devant franchir les océans en empruntant les espaces MNPS sont équipés de trois centrales de ce type. On trouve deux types de centrale, celles qui sont équipées de gyroscopes mécaniques ou les plus modernes qui sont équipées de gyrolasers.

  29. Gyrolaser • Un gyrolaser est composé d'un circuit de lumière parcourant un triangle équilatéral. La source de lumière est appliquée au milieu de la base du triangle, ou elle est séparée en deux faisceaux vers les deux angles inférieurs du triangle où sont placés deux miroirs qui redirigent les deux faisceaux de lumière vers le troisième sommet. Si le triangle est animé d'un mouvement de rotation dans son plan, les vitesses de propagation des deux branches de lumière ne sont plus identiques. Une interférence est alors observable au sommet du triangle. Un détecteur peut alors compter les raies de cette interférence dont la fréquence est proportionnelle à la vitesse de rotation du triangle sur lui-même. En montant trois dispositifs de ce type selon un trièdre, et en traitant les signaux, il devient possible de déterminer tous les mouvements d'un avion selon ses trois axes comme avec un gyroscope mécanique. En ajoutant les accéléromètres et le traitement de leurs signaux, une centrale à inertie a été reconstituée.

  30. Équipementiers • http://www.bendixking.com/ • http://www.garmin.com/aviation/ • http://www.thalesgroup.com/aerospace/home/ • http://www.rockwellcollins.com/ • http://www.avidyne.com/ • http://www.smiths-aerospace.com/ • http://www.nsd.es.northropgrumman.com/

  31. Le problème ● L'attitude et la trajectoire de la fusée sont mesurées par un ordinateur à base de référence inertielle système. Il transmet les commandes pour les moteurs à maintenir l'attitude et la direction. ● Le logiciel a échoué , ce système et la sauvegarde du système ont également échoué. ● L’interprétation des commandes ont été interprétées comme des données réelles et transmises ● Les moteurs ont été orienté pour une position extrême imprévue sur la fusée.

  32. échec logiciels ● Une erreur de Software s'est produite lors de l'échec d'une tentative de convertir un 64-bit à virgule flottante vers nombre 16-bit signé a provoqué un overflow cad un débordement. ● Il n'y a pas de gestionnaire d'exception associés à une erreur de conversion de sorte que le logiciel a planté ● Le logiciel de sauvegarde redondant est une copie et se comporte exactement de la même manière.

  33. échec évitable? ● Les logiciels ont été réutilisés à partir de la version du Lanceur Ariane 4. Le calcul qui a entraîné de dépassement n’était pas utile à Ariane 5. ● les décisions qui avait été prises - Ne pas supprimer l'installation de ce soft, car cela pourrait introduire de nouvelles erreurs. - Pas de test des exceptions de débordement parce que le processeur était lourdement chargé. Pour des raisons de fiabilité, il a été jugé souhaitable de laisser une certaine capacité au processeur de rechange.

  34. Pourquoi pas Ariane 4? ● Les caractéristiques physiques d'Ariane 4 (plus petit lanceur) sont telles qu'il a une accélération et une vitesse horizontale plus faible que Ariane 5. ● La valeur de la variable sur Ariane 4 ne peut jamais atteindre un niveau de dépassement qui a provoqué un dépassement au cours de la période de lancement.

  35. Échec de la validation ● Comme l'installation qui a échoué ne devait pas se faire sur Ariane 5, il n'y avait aucune exigences associées. ● Comme il n'y avait pas d’exigences associés, il y avait pas de tests prévus de cette partie du logiciel et donc pas de possibilité de découvrir le problème. ● Au cours de l'essai du système, les simulateurs de système inertiel de référence ont été utilisés. Ils n’ont pas généré des signaux mettant un avant une défaillance possible puisque aucunes spécifications n’étaient associées!

  36. Revue de l'échec ● La conception et le code de tous les logiciels devraient être revus pour prévenir les erreurs pendant le processus de développement • Le logiciel du système inertiel de référence n'a pas été examiné parce qu'il a été utilisé dans une version précédente; • Les revues n’ont pas mises en avant de problème, ou, la définition des tests n’a pas révélé le problème; • Les revues n'ont pas appréciées les conséquences d’un d'arrêt du système lors d'un lancement.

  37. Leçons apprises ● Ne pas faire exécuter des codes logiciels dans les systèmes critiques, sauf si c’est vraiment nécessaire. ● Outre des essais de ce que le système doit faire avec les bonnes entrées, on doit également tester ce que le système ne devrait pas faire si on n’a pas les bonnes entrées ! ● Pas de réponse à un défaut d'exception autre qu’un arrêt des systèmes qui n'ont pas d'état de sécurité en cas de panne.

  38. Leçons apprises ● Dans des calculs critiques, toujours mieux revenir à des valeurs, même si les valeurs absolument correctes ne peuvent pas être calculé. ● Dans la mesure du possible, l'utilisation d équipements réels et pas de simulations. ● Améliorer le processus d'examen externe afin d'inclure tous les participants et l'examen des hypothèses formulées dans le code.

  39. Échec évitable Les développeurs d'Ariane-5 a fait une erreur critique et élémentaire. ● Ils ont conçu un système où une seul panne de composant peut causer l'échec de l'ensemble du système ● En règle générale, les systèmes critiques doivent toujours être conçues de manière à éviter un point de défaillance unique.

More Related