La documentation de la NASA illustre le bond technologique entre les missions Apollo et le programme Artemis II. Elle met en lumière la complexité croissante des systèmes informatiques spatiaux. Contrairement aux équipements rudimentaires des années 1960, la capsule Orion repose sur une architecture « fail-silent » capable de détecter et d'isoler instantanément toute erreur de calcul causée par les radiations cosmiques. La documentation détaille une stratégie de redondance massive qui s'appuie sur huit processeurs synchronisés et un réseau Ethernet déterministe pour garantir une fiabilité absolue. D'autres couches de sécurité sont également présentes.La mission Artemis II a été lancée avec succès le 1er avril 2026 par la NASA. Il s'agit d'un vol spatial habité visant à effectuer un survol de la Lune. Près de 54 ans après Apollo 17, une nouvelle mission spatiale habitée permet à l'homme de se rapprocher une nouvelle fois de son satellite naturel. Artemis II valide les systèmes de survie du vaisseau spatial Orion pour des missions de longue durée, notamment Artemis III et les futures missions vers Mars.
Le système informatique embarqué à bord de la mission Artemis II n'a plus rien à voir avec celui de l'époque Apollo. Il est décrit comme « le système informatique le plus tolérant aux pannes jamais développé pour les vols spatiaux ». Communications of the ACM en révèle quelques détails impressionnants.
Artemis III : une évolution majeure depuis l'époque Apollo
Pour mémoire, les astronautes des missions Apollo se sont rendus sur la surface lunaire à l'aide d'un ordinateur de bord doté d'un processeur de 1 MHz et d'environ 4 kilo-octets (Ko) de mémoire effaçable, soutenu par une mémoire « rope » fixe plus importante. Bien qu'il s'agisse d'une merveille de l'ingénierie des années 1960, le champ d'action de l'Apollo Guidance Computer était ciblé et ne couvrait pas la boucle de contrôle de tous les systèmes.
Les commandes environnementales et d'alimentation critique étaient gérées par des moyens manuels ou électromécaniques. La mission Artemis II s'appuie sur l'un des systèmes informatiques les plus résistants aux pannes jamais conçus pour les vols spatiaux. L'architecture informatique de la capsule Orion gère « la quasi-totalité des fonctions critiques pour la sécurité du vaisseau », du système de survie à l'acheminement des communications.
Cette telle architecture logicielle exige une fiabilité absolue : à environ 400 000 kilomètres de la Terre, une panne est irrémédiable. Aucune intervention physique n'est possible pour réparer un composant défaillant. Par conséquent, chaque sous-système doit être conçu pour résister aux inversions de bits dues aux rayons cosmiques, aux blocages induits par les radiations et aux défaillances matérielles sans la moindre seconde d’interruption.
« Nous concevons toujours nos systèmes de manière à pallier les défaillances matérielles. Outre des câbles physiquement redondants, nous avons des plans de réseau logiquement redondants. Nous avons des ordinateurs de vol redondants. Tout cela est mis en place pour pallier une défaillance matérielle », a déclaré Nate Uitenbroek, responsable de l’intégration et de la vérification logicielles au sein du programme Orion au Centre spatial Johnson.
Une architecture révolutionnaire à "défaillance silencieuse"
Pour garantir une sécurité absolue, la NASA a mis en œuvre une architecture dite « fail-silent » reposant sur une redondance massive. Le vaisseau spatial utilise deux ordinateurs de gestion de véhicule, contenant chacun deux modules de commande de vol (FCM), pour un total de quatre modules. Chaque module est lui-même composé d'une paire de processeurs qui s'autovérifient, ce qui signifie que huit processeurs fonctionnent en parallèle.
Selon la documentation, la philosophie technique repose sur une conception « sans signalisation des défaillances ». Si une erreur de calcul est détectée suite à un impact de rayonnement, le module fautif cesse immédiatement de transmettre des données plutôt que d'envoyer une commande erronée aux propulseurs. Un algorithme de sélection prioritaire prend alors le relais en choisissant le flux de données du module sain suivant dans la liste.
« Un ordinateur défectueux tombera en panne silencieuse, plutôt que de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
