INSTITUTO TECNOLOGICO DE COSTA RICA

MAESTRIA EN GERENCIA DE PROYECTOS

CURSO: Calidad en Proyectos de Desarrollo de Software

Caso Ariane 5 Vuelo 501

Elaborado por:
Diego Leiva Alfaro

Octubre 2011

Resumen: .............................................................................. 3 Anlisis de las actividades del ciclo de vida de software: ..... 6 Anlisis Causa Efecto: ........................................................... 8 Cmo se pudo haber evitado el accidente? ...................... 11 Fue el accidente un problema de verificacin o de validacin? .......................................................................... 11 Referencias Bibliogrficas ................................................... 12

Tabla de contenido

Resumen:
El 4 de junio de 1996, menos de un minuto despus del lanzamiento, el cohete francs Ariane 501 se autodestruy. Fue el primer lanzamiento de Ariane 5 series y, poco despus, fue indicado por el CNES (Centro Nacional de Estudios Espaciales) y ESA (Agencia Espacial Europea) que se conformara un comit presidido por el matemtico francs Jacques-Louis Lions de la Universidad de Francia para investigar lo ocurrido. En el proyecto global se invirtieron 10 aos de construccin y 7 mil millones de euros, lo que supuso un duro varapalo para la Agencia Espacial Europea (ESA) El objetivo era poner dos satlites de tres toneladas en rbita. En cambio el resultado fue que a los 39 segundos del lanzamiento el cohete se desintegr, perdiendo los dos caros satlites. La evaluacin de la comisin indica un error en el software de control como el origen del fracaso de la puesta en marcha. Basndose en la documentacin a disposicin de la junta que se cre en ese entonces, se concluye que las condiciones meteorolgicas en la plataforma de lanzamiento en Kourou, Guayana Francesa, en la maana del 4 de junio de 1996, eran aceptables para el lanzamiento. En particular, no haba riesgo de rayos y la intensidad de campo elctrico medido en el sitio era insignificante. La nica incertidumbre es si los criterios de visibilidad se cumpliran. La cuenta atrs se desarroll sin contratiempos hasta siete minutos antes de la prevista para el lanzamiento, cuando se dej en suspenso porque el criterio de visibilidad haba sido calificado como "insatisfactorio" como se predijo, sin embargo, estas condiciones mejoraron despus, lo que permiti la reanudacin de la cuenta regresiva. El encendido del motor Vulcain y los dos "refuerzos" se desarroll sin contratiempos, lo que lleva al despegue. El vuelo continu como las previsiones hasta aproximadamente 37 segundos despus del despegue, cuando

el vehculo se desvi bruscamente hacia el curso contrario, se rompi y explot. Una investigacin preliminar de los datos de vuelo mostr: Comportamiento de las condiciones de lanzamiento nominal, hasta 36 segundos despus del despegue. El origen de la falla fue rpidamente reducido por tanto al sistema de control, ms concretamente, los dos sistemas de referencia inercial (IRS), que obviamente se estrellaron casi simultneamente en alrededor de 36,7 segundos despus del despegue. Se pusieron a disposicin los datos de telemetra que se recibieron hasta los 42 segundos despus del despegue, la trayectoria de los datos de las estaciones de radar, las observaciones pticas (cmaras de infrarrojos y pticos) y los resultados de la inspeccin del material recuperado. Los datos de telemetra recibida en Kourou fue trasladado al CNES / Toulouse y luego se conviertieron en grficos en funcin del tiempo. La auto-destruccin del vehculo se produjo cerca de la plataforma de lanzamiento, a una altitud de aproximadamente 4000 metros. La recuperacin de los restos, esparcidos en un rea de aproximadamente 12 kilmetros cuadrados, se vio obstaculizada por el pantano en el que se encontraban. Aun as, fue posible reunir los dos SRI en los restos. De particular inters fue el que se estrell. Llevaba algunos datos de telemetra que no estaban disponibles (programado para transmitir esta informacin a la estacin de tierra slo para la unidad que fall primero). Los resultados del examen de esta unidad fueron muy tiles en el anlisis de la secuencia de la falta. En general, podemos decir que el sistema de control de vuelo de Ariane 5 no es muy novedoso, con el diseo estndar de esta naturaleza. La actitud de los vehculos y sus movimientos en el espacio se mide por un SRI. Tiene su propia computadora interna que calcula los ngulos y las velocidades basndose en la informacin de la plataforma de inercia, con giroscopios lser y acelermetros. Los datos del SRI se transmiten a travs del bus de datos a la computadora de a bordo
4

(OBC), que ejecuta el programa de vuelo y los controles de las boquillas de los "boosters" slidos y el motor Vulcain criognico a travs de servo-vlvulas y actuadores hidrulicos. Para aumentar la fiabilidad, hay una redundancia considerable a nivel de equipo. Dos SRI que funcionan en paralelo, con el mismo hardware y software. Mientras uno de ellos est en funcionamiento, el otro permanece en stand-by, y si el OBC detecta un fallo en el SRI, inmediatamente se pasa a la unidad de reserva, ya que esto est funcionando correctamente. Del mismo modo, existen dos organizaciones de base comunitaria y otras unidades del sistema de control de vuelo tienen sus reservas. El diseo utilizado en el SRI de Ariane 5 es casi idntico a la del Ariane 4, en particular con respecto al software.

Anlisis de las actividades del ciclo de vida de software:

Los problemas del Ariane 5, se puede decir que recaen sobre las fases de anlisis y pruebas del ciclo de vida del software o proyecto, esto porque si bien la elaboracin, diseo y construccin se ejecutaron con errores, lo que se construyo fue lo que realmente se solicit; Dentro de las actividades en ambas fases destacan: Problemas en el Anlisis 1) Se debieron haber contemplado mecanismos de proteccin de variables, para el caso de conversin de datos de un tipo de dato a otro (en este caso de punto flotante a entero) dentro del mdulo de alineacin.

2) No se realiz un anlisis del Ariane 5 detallado tomando en cuenta que no era igual que el Ariane 4, en un sistema de este tipo no se puede suponer algo de esta magnitud.

3) No se analizaron con detalle los valores extremos (mnimos y mximos) que hubiesen podido tener las variables de la funcin de alineacin de la plataforma. 4) El equipo de anlisis no estudi a fondo o no entendi el funcionamiento de la funcin de alineacin por lo que permiti que esta siguiera trabajando despus del despegue, cuando ya no era necesaria, provocando por ende la falla.

5) No se incluyeron dentro de las especificaciones del proyecto los datos correspondientes a la trayectoria del Ariane 5.

Problemas en las pruebas.

1) Durante las pruebas no se contemplaron los datos de trayectoria del Ariane 5, esta deficiencia viene desde el anlisis, sin embargo unas buenas pruebas quiz si hubiera notado esta deficiencia, por lo que los datos de pruebas no fueron los adecuados.

2) Se debieron haber realizado pruebas de estrs, para asegurarse que el comportamiento del sistema en situaciones extremas fuera el deseado. 3) Se asumi que el SRI, trabajaba en forma adecuada, por lo que este no se prob de manera integral con los dems componentes, lo cual hubiera llevado a una deteccin inmediata de la falla. 4) La cobertura de pruebas no fue la adecuada, por lo que se debieron haber propuesto mtricas de cobertura de pruebas, para que con base a estas se determinara si la prueba era completa o no.

Anlisis Causa Efecto:

Sobre la base de una amplia documentacin y datos disponibles, se puede establecer la siguiente cadena de acontecimientos sobre la destruccin del

vehculo y las causas que pueden haber causado tal efecto, esto desde la perspectiva de valorar el aseguramiento de la calidad del producto.

Causa
No realizar las pruebas al cohete a a El cohete altas cargas aerodinmicas

Efecto
comenz a derrumbarse

en alrededor de 39 segundos despus de

diferentes ngulos, incluso en los que despegar debido a las altas cargas son poco probables que sucedan. aerodinmicas causado por el ngulo de ataque de 20 grados, lo que condujo a la separacin de los "boosters" de sonido con la primera etapa del

vehculo, que de una vez disparo el mecanismo cohete. de autodestruccin del

No prever que los datos que se reciban Las desviaciones de la boquilla fueron de cierta fuente que no sea la esperada ordenadas por el CBO sobre la base de se consideren datos de vuelos reales. datos proporcionados por el SRI (SRI 2). Parte de los datos en ese momento no tena datos de vuelo, sin embargo, constituyen una secuencia de bits de equipo de diagnstico de SRI 2, que fue interpretado como datos de vuelo.

No realizar pruebas con datos que La anomala del software interno SRI se superaran el lmite permitido por el tipo produjeron durante la ejecucin de la de datos que se estaba utilizando, conversin de los datos de un nmero suponiendo que pudiesen existir de 64-bit de punto flotante a un entero de 16 bits de la seal. El valor del nmero de punto flotante fue mayor de lo que podra ser representado por entero de 16 bits con signo. El valores sumamente grandes.

resultado operativo fue un invlido. Las instrucciones de conversin de datos (en cdigo Ada) no estaban protegidas contra los errores en la operacin. No realizar pruebas donde se pueda El OBC no pudo cambiar a SRI (SRI 1), cambiar de SR 1 en rpido un tiempo ya que la unidad ya haba dejado de prever funcionar durante el ciclo anterior

sumamente

para

cualquier riesgo que se haya indicado (perodo de 72 milisegundos) paso lo en el anlisis previo. mismo que el SRI 2.

No realizar una correcta definicin de El error se produjo en una parte del requerimientos Ariane 5, especficos basndose para en el software que controla slo la alineacin las de la plataforma de inercia. Los

especificaciones del Ariane 4 como si resultados proporcionados por este todas aplicaran. mdulo slo son relevantes antes del despegue. Despus del despegue, esta funcin no sirve para nada. La funcin de alineacin est operativa durante 50 segundos despus del inicio del modo de vuelo del SRI (3 segundos antes del despegue de Ariane 5). En

consecuencia, despus del despegue, la funcin contina durante unos 40

9

segundos de vuelo. Esta secuencia se basa en un requisito del Ariane 4, que no es parte de la especificacin del Ariane 5. No realizar las pruebas del software en El error se produjo debido a un valor escenarios cuenta probables, diferentes tomando en inesperadamente alto de un resultado

velocidades, de la alineacin funcionamiento interno

alineacin, con valores muy muy altos y llamado BH (sesgo horizontal), que se todas las diferentes combinaciones que relaciona con la velocidad horizontal presentan las variables que pertenecan detectada por la plataforma. Esto se al contexto. calcula como un indicador de la

alineacin de precisin en el tiempo. El valor de BH era mucho mayor de lo esperado debido a la trayectoria inicial del Ariane 5 se diferencia de la trayectoria de Ariane-4 y los resultados en valores considerablemente ms altos para la velocidad horizontal No realizar un adecuado manejo de la El origen de la falla fue el error de excepciones y no prever mecanismos excepcin, en realidad tambin

de contingencia ante una excepcin de contribuy al fracaso el mecanismo de ndoles grave manejo de fallas, ya que contempla que en una vez presentada una falla, el contexto de la misma debe ser

almacenado en una memoria EEPROM y despus el SRI debe ser apagado.

10

Cmo se pudo haber evitado el accidente?

El accidente considero se pudo haber evitado mejorando los problemas descritos en los apartados anteriores, es decir en el anlisis y especificacin de requerimientos tuvo que haber sido ms riguroso con la especificacin de lo que realmente se quera, si se tomaban en cuenta aspectos de modelos anteriores se deban validar para ver si eran igual que en el Ariane 5, al igual que ejecutar desde el inicio un plan de aseguramiento de la calidad donde se certificara que se iban a realizar todas las pruebas de todos los diferentes escenarios que se poda presentar en el vuelo del Cohete.

Fue el accidente un problema de verificacin o de validacin?

El problema a mi parecer es de validacin, ya que lo que se construy cumple con lo que se especific, si bien es cierto que no se realizaron verificaciones obre ciertos escenarios que se poda presentar, nunca tampoco se pidi que el cohete funcionar bajo esas condiciones, es decir nunca estuvo en un requerimiento, y si no est presente en un requerimiento no se puede verificar, por lo tanto considero que se construy lo que se solicit an y con las fallas obvias que se demuestran que existan, pero al final el cohete obtenido al ser validado dentro del contexto donde se lanz no fue exitoso.

11

Referencias Bibliogrficas
http://www.sbmac.org.br/bol/bol-2/artigos/ariane5.html, visitada el 10 de octubre del 2011 http://members.fortunecity.com/bleon/maestria/analisis/ariane.htm visitada el 15 de octubre del 2011

12