DesignSpark Electrical Logolinkedin
Ask a Question

Saturn : La fusée intelligente du programme Apollo

Crédit photo : NASA

Le film "First Man : le premier homme sur la lune", qui sort ce mois-ci en Grande-Bretagne, met en vedette la vie de Neil Armstrong, le premier homme à poser le pied sur la lune. Quasiment tout le monde a vu les images spectaculaires d'Armstrong et Aldrin manœuvrant leur LEM ressemblant à une araignée et se poser en douceur alors qu'il ne restait que quelques secondes de carburant. Pour le commun des mortels, le matériel Apollo se composait du module de commande et du LEM. Les ingénieurs se sont émerveillés devant la technologie des ordinateurs de guidage d'Apollo qui équipaient ces deux éléments. Tout le monde a oublié le reste du véhicule qui a lancé les astronautes sur leur route : cette merveille d'ingénierie qu'est la fusée Saturn V. Décollage très impressionnant, mais sa mission n'a duré que quelques minutes. Rien de bien sophistiqué, juste un très gros feu d'artifice, c'est bien ça ?

Apollo 6 : Le dernier vol d'essai non habité

Faux. Apollo 6 devait être le dernier essai non habité avant le premier vol habité d'Apollo 7. Les ennuis ont débuté avec le propulseur du premier étage (S-IC) juste avant l'essai lorsque des oscillations longitudinales (effet pogo) ont commencé. Cela aurait pu provoquer une défaillance structurelle, d'autant que des morceaux de la fusée plus haut se détachaient. Heureusement, tout a tenu et le second étage (S-II) s'est allumé après la séparation du premier étage. Les soupirs de soulagement dans la tour de contrôle ont toutefois été de courte durée : presque immédiatement, l'un des cinq moteurs a commencé à perdre de la puissance. Il s'est éteint automatiquement, et un deuxième moteur du même côté de la fusée s'est arrêté complètement. Apollo 6 était vraiment en difficulté : elle n'était pas conçue pour survivre à la défaillance de deux moteurs, ce qui provoquait une poussée fortement asymétrique au niveau du deuxième étage. Et pourtant la fusée estropiée a réussi à poursuivre sur la bonne trajectoire, et même si cela était de façon plutôt erratique, elle a réussi à se mettre en orbite. Cela aurait dû être un revers désastreux. Cependant, Apollo 7 a respecté le calendrier en utilisant la fusée Saturn 1B plus petite, tout comme Apollo 8 avec un véhicule Saturn V. Les défaillances d'Apollo 6 ont été rapidement identifiées et corrigées. L'effet pogo a été attribué à une instabilité dans le système de carburation, la chaleur de friction a provoqué l'expansion de l'air et de l'humidité emprisonnés, ce qui a forcé sur le revêtement extérieur, avant d'être réglé grâce à quelques trous de ventilation. La défaillance du premier moteur a été attribuée à un défaut dans la conception des conduites de carburant et une erreur de câblage a provoqué l'arrêt du deuxième moteur. La capacité de Saturn à mener à bien sa mission malgré tous ces problèmes a donné à la NASA l'assurance nécessaire pour l'utiliser pour un vol habité. Comment un simple feu d'artifice avait pu résister à autant de défaillances ?

L'Instrument Unit (IU) de Saturn

L'IU se composait d'un anneau d'un mètre de haut et d'environ 6,5 m de diamètre placé au-dessus du troisième étage (S-IVB) et contenant les composants électroniques de Saturn répartis sur sa surface interne.

La fusée Saturn V n'a jamais failli à sa mission consistant à mettre en toute sécurité trois astronautes sur l'orbite terrestre. Dans la terminologie moderne, c'était ce qu'on appelle une fusée intelligente contrôlée par un ordinateur numérique "intégré" tolérant aux défaillances, appelé le Launch Vehicle Digital Computer (LVDC, ordinateur numérique de lancement de véhicule). Saturn était vraiment autonome : une fois la fusée sur la rampe de lancement avec les réservoirs complètement remplis, il suffisait d'indiquer les coordonnées 3D de la destination dans le LVDC et d'appuyer sur le bouton de lancement. Les astronautes et la tour de contrôle n'avaient qu'à surveiller la télémétrie jusqu'à ce que le moteur S-IVB s'arrête au point voulu en orbite. Un lancement en orbites se faisait en trois phases :

  • Lors du décollage, le propulseur S-1C soulève 3 000 tonnes dans la haute atmosphère, il fonctionne pendant tout juste deux minutes et accélère "l'empilement" jusqu'à environ 8 500 km/heure. Le LVDC dirige la fusée en "équilibrant" les tuyères du moteur selon une séquence temporelle prédéfinie. Il n'y a aucune correction de la part de la plate-forme gyroscopique embarquée de crainte que des corrections importantes ne soient appliquées et ne provoquent une contrainte excessive sur la structure. C'est durant cette période que "Max Q" est atteint, le point de pression maximale dû à la résistance atmosphérique. Le système de détection d'urgence (EDS) fonctionne en parallèle avec le LVDC. Il surveille les systèmes critiques, y compris son propre ensemble d'accéléromètres et de gyroscopes indépendants. L'EDS peut détecter si quelque chose de potentiellement catastrophique se produit et il est en mesure d'ordonner une interruption en lançant la fusée de secours qui libère la capsule. L'EDS fonctionne en mode automatique jusqu'à ce que Max Q soit atteint tout simplement parce que les astronautes peuvent ne pas être en mesure de réagir à temps à un avertissement. Après Max Q, l'EDS allume simplement un voyant devant le commandant, qui prend ou non la décision de tourner la poignée d'interruption qu'il tient entre les mains.
  • Le LVDC effectue la "mise en place" et démarre les moteurs S-II. Jusqu'à présent, la trajectoire de vol était proche de la verticale sous contrôle en boucle ouverte. La boucle de contrôle est maintenant fermée en enclenchant le système de commande de vol sur sa plate-forme gyroscopique pour diriger la fusée sur une trajectoire prédéfinie. En réalité, un pilote automatique est enclenché pour compenser la force du vent et les performances variables du moteur.
  • Enfin, le deuxième étage est éjecté et le S-IVB, également sur pilote automatique, prend le relais, jusqu'à ce que la position orbitale requise soit atteinte à une vitesse d'environ 28 000 km/heure.

Toutes ces actions prennent un peu plus de 11 minutes. Il reste toutefois deux tâches à accomplir à l'IU : définir la trajectoire de la lune et, une fois le LEM extrait, éjecter le S-IVB pour qu'il s'écrase ailleurs sur la surface lunaire.

Le calvaire d'Apollo 12

Les autres vols lunaires, du moins pour ce qui est de l'IU, se sont déroulés sans encombre, mis à part la grosse frayeur causée par Apollo 12. Cet événement à lui seul a justifié la décision de concevoir une fusée disposant de son propre système de contrôle (l'UI), indépendant de celui du module de commande. Peu de temps après le décollage, un éclair aveuglant a illuminé le cockpit : la foudre venait de frapper le vaisseau spatial. Les panneaux de commande ont immédiatement cessé de fonctionner ou ont été envahis de voyants d'avertissement. Dans la tour de contrôle, toute la télémétrie provenant de la fusée était déformée. L'EDS de Saturn était en mode automatique, mais cela n'a pas provoqué d'interruption parce que, comme tout le monde a pu s'en apercevoir, le S-IC fonctionnait encore normalement, toujours dans la bonne trajectoire. Pete Conrad, le commandant, agrippait la poignée d'interruption, et il hésitait quand ces mots obscurs, mais désormais célèbres, se sont fait entendre à la radio depuis CapCom : "Essayez de mettre le SCE sur Auxiliaire". L'astronaute Alan Bean a actionné le commutateur, tous les écrans du cockpit et la télémétrie sont revenus à la normale, et John Aaron, le contrôleur de vol EECOM, est devenu un héros national. Les autres "héros", l'IU et le LVDC, ont été largement oubliés.

Une leçon qui a failli coûter cher : ne lancez pas une fusée dans un nuage orageux. Le gaz ionisé du panache d'échappement avait formé une excellente connexion électrique entre la fusée et le portique, encourageant ainsi la foudre à frapper !

L'ordinateur numérique de lancement de véhicule (LVDC) de Saturn

Les sections fonctionnelles de base du LVDC seraient familières à tout ingénieur en informatique aujourd'hui : générateur d'horloge et logique de synchronisation, unité logique arithmétique, compteur de programme, RAM de programme, etc. De nos jours, toutes ces sections fonctionnelles seraient contenues dans une seule puce encapsulée de silicone, appelée microprocesseur. À titre de comparaison avec un microprocesseur moderne, voici quelques caractéristiques du LVDC :

  • Fréquence de l'horloge : 2 048 MHZ
  • Longueur de mot : 13 bits + 1 bit de parité
  • Système de bus : série
  • Cycles d'horloge par instruction : 168 (plus pour multiplier/diviser)
  • Vitesse de traitement : 12 190 instructions/s
  • Mémoire : noyaux magnétiques, jusqu'à 32 000 mots, duplex avec correction d'erreurs monobit

Regardez la Fig.2 qui montre un LVDC dont le capot avant a été retiré. Il y a de nombreux petits modules enfichables à l'intérieur, chacun composé de deux cartes de circuit imprimé montées dos à dos. Chaque circuit imprimé contient jusqu'à 35 circuits ressemblant à des circuits intégrés modernes. En fait, ce sont eux-mêmes de minuscules circuits imprimés contenant quelques puces à diodes ou à transistors et des résistances sous un cache en céramique, connectés pour fournir, par exemple, une porte logique NOR à quatre entrées. Ils ressemblent à des circuits intégrés modernes à 14 broches à montage en surface (CMS), à la différence que l'extrémité "puce" de la broche est en forme de pince qui agrippe un patin sur le bord du minuscule circuit imprimé. Ils peuvent donc être retirés simplement en les faisant glisser latéralement et en laissant les broches sur place. J'imagine que ce système de remplacement rapide a été utilisé, car bon nombre de ces minuscules modules soudés à la main n'ont pas fonctionné lors du test initial, ou ils sont tombés en panne lors des tests de contrainte qui ont suivi. Un tableau de bord en état de marche aurait alors été recouvert d'époxy pour tout fixer en place. Il existe encore très peu de documentation détaillée sur le LVDC et ces informations proviennent d'un "démontage" récent ici.

C'est là que les choses se compliquent vraiment. Le LVDC se compose en fait de trois processeurs identiques fonctionnant en parallèle, ce qui lui confère une redondance modulaire triple (TMR). Les circuits tripliqués n'ont pas beaucoup d'intérêt sauf s'il existe un moyen d'identifier le composant défaillant et d'atténuer ses effets. Le LVDC utilise une logique de vote (Fig.3) pour surveiller les bus série entre les sections fonctionnelles de chaque processeur.

Chaque bit de données passe par la logique du votant puis à la section suivante. Normalement, les trois entrées de chaque votant seront identiques, soit 000 ou 111, donc les trois entrées seront 000 ou 111. Mais, si un seul bit est inversé, de sorte que l'entrée devienne, disons 100 ou 110, vous pouvez voir dans la table de vérité que les sorties seront encore 000 ou 111 par une décision majoritaire. L'erreur, permanente ou transitoire, est détectée automatiquement. Un effet secondaire indésirable est que des défauts peuvent être masqués lors des vérifications avant le vol. Ceci est évité en ajoutant la porte Exclusive-OR à 3 entrées, comme indiqué. La sortie de la porte EXOR est 0 lorsque toutes ses entrées sont identiques : 000 ou 111. Tout ce qui est différent entraînera une sortie logique 1 signalant une erreur. Le signal d'erreur détectée n'est surveillé que lors des vérifications effectuées juste avant le lancement, ce qui évite que la mission ne commence avec un matériel déjà défectueux !

La mémoire pouvait être divisée en deux blocs redondants (mode duplex). Chaque bloc contenait les mêmes données ou codes de programme. Un mot était lu à partir d'un bloc et le bit de parité vérifié. Si une erreur était indiquée, le mot correspondant était lu dans l'autre bloc, puis réécrit dans le premier bloc pour corriger l'erreur.

Pas une tâche facile

Le code de programme du LVDC contrôlait le fonctionnement de systèmes non seulement complexes, mais extrêmement puissants et dangereux. Les cinq moteurs gigantesques du premier étage développaient une puissance de 60 gigawatts, alimentés par cinq pompes de 53 000 chevaux avec un débit de 2,5 tonnes à la seconde. Une petite erreur de programmation et Neil Armstrong n'aurait pas survécu au lancement, et encore moins atterri sur la lune. Songez-y la prochaine fois que vous déboguez un code de programme…

Post-scriptum

Des systèmes informatiques extrêmement fiables utilisant des composants redondants sont un élément important de la conception aéronautique militaire et commerciale depuis les années 1960. De nos jours, c'est quelque chose de crucial pour garantir la sécurité des véhicules équipés de systèmes électroniques d'aide à la conduite, et bien évidemment des véhicules autonomes. Les concepteurs programment de plus en plus des FPGA avec plusieurs cœurs de processeur "souples". Des outils sont maintenant disponibles pour analyser la configuration du FPGA et savoir où insérer la logique de vote afin d'atteindre le niveau de fiabilité souhaité. L'héritage du LVDC pourrait bien être d'éviter qu'une défaillance dans les systèmes de votre véhicule ne provoque un jour un accident. La mission de Saturn était courte et le TMR a donné au LVDC 99,6 % de chance de fonctionner correctement pendant 250 heures. Les voitures de demain auront besoin de bien mieux que cela.

Si vous avez des questions sur des aspects pratiques, suivez mes messages sur Twitter. Je mets des liens vers des articles intéressants sur l'électronique et les nouvelles technologies, je retweete des publications que j'ai repérées sur les robots, l'exploration spatiale et d'autres sujets.

Engineer, PhD, lecturer, freelance technical writer, blogger & tweeter interested in robots, AI, planetary explorers and all things electronic. STEM ambassador. Designed, built and programmed my first microcomputer in 1976. Still learning, still building, still coding today.

13 Nov 2018, 16:22

Commentaires