- Komputer penerbangan wahana berawak ke Bulan Orion memiliki arsitektur dengan ketahanan dan kemampuan kontrol otomatis yang jauh lebih baik dibanding sistem era Apollo, dan mengelola semua fungsi inti seperti penunjang kehidupan, daya, dan komunikasi
- Agar tetap beroperasi tanpa gangguan bahkan pada jarak 250 ribu mil di orbit Bulan, sistem ini dirancang untuk menahan kegagalan perangkat keras dan dampak radiasi melalui redundansi fisik dan logis serta banyak komputer penerbangan
- Setiap Flight Control Module (FCM) terdiri dari sepasang prosesor dengan proses verifikasi mandiri, sehingga total 8 CPU berjalan paralel, dan kesalahan diisolasi melalui desain fail-silent serta algoritme pemilihan output berbasis prioritas
- Sistem mempertahankan sinkronisasi penuh melalui Ethernet berbasis pemicu waktu dan arsitektur deterministik, serta secara otomatis mengoreksi hingga kesalahan satu bit dengan jaringan dan memori yang ditri-redundansi
- Jika semua sistem utama gagal, Backup Flight Software berbasis perangkat keras dan sistem operasi independen akan mengambil alih kendali; arsitektur ini dinilai sebagai model ketahanan always-on untuk sistem otonom di masa depan
Desain komputer tahan gangguan NASA untuk Artemis II
- Komputer penerbangan Artemis II memiliki arsitektur dengan ketahanan dan kemampuan kontrol otomatis yang jauh lebih baik dibanding komputer navigasi era Apollo
- Komputer Apollo menggunakan prosesor 1MHz dan memori sekitar 4KB, dengan kontrol utama berbasis sakelar manual atau relay
- Kapsul Orion pada Artemis II membuat komputer secara langsung mengelola semua fungsi inti seperti penunjang kehidupan, daya, dan komunikasi
- Karena kegagalan misi pada jarak 250 ribu mil di orbit Bulan tidak dapat dipulihkan, sistem harus tetap beroperasi tanpa henti meski menghadapi radiasi antariksa, bit flip, dan cacat perangkat keras
- NASA menyiapkan kegagalan perangkat keras melalui kabel redundan secara fisik, bidang jaringan yang redundan secara logis, dan banyak komputer penerbangan
-
The Power of Eight
- Orion mengadopsi arsitektur yang melampaui triple redundancy yang umum
- Dua Vehicle Management Computer (VMC) masing-masing memuat dua Flight Control Module (FCM), sehingga total ada 4 FCM
- Setiap FCM terdiri dari sepasang prosesor self-checking, sehingga total 8 CPU menjalankan perangkat lunak penerbangan secara paralel
- Sistem ini berbasis desain fail-silent, sehingga CPU yang mengalami kesalahan tidak mengirim keluaran salah dan langsung beralih ke keadaan diam
- Alih-alih voting mayoritas, sistem memakai algoritme pemilihan sumber berbasis prioritas untuk memilih keluaran dari kanal yang sehat
- NASA memperkirakan kesalahan sementara saat melintasi sabuk radiasi Van Allen, dan bahkan jika kehilangan 3 FCM selama hingga 22 detik, misi masih dapat berlanjut dengan FCM terakhir
- FCM yang berada dalam keadaan diam dapat ikut kembali saat penerbangan setelah di-reset dan disinkronkan ulang dengan modul lain
-
Menjaga operasi deterministik
- Untuk menjaga beberapa komputer independen tetap dalam sinkronisasi penuh (lockstep), diterapkan arsitektur deterministik (deterministic architecture)
- Orion menggunakan jaringan time-triggered Ethernet untuk mendistribusikan waktu ke seluruh sistem
- Perangkat lunak penerbangan dijalankan dalam major frame dan minor frame yang dikelola scheduler ARINC653
- Pemisahan waktu dan ruang menjamin input dan output selaras sempurna dengan jadwal jaringan
- Setiap FCM menerima input yang sama, menjalankan kode yang sama, dan menghasilkan output yang sama
- Setiap detik, clock drift pada FCM diukur lalu dikalibrasi ulang ke waktu referensi jaringan
- Aplikasi yang gagal memenuhi deadline otomatis beralih ke keadaan diam lalu disinkronkan ulang
- Perangkat keras memakai memori triple modular redundancy (TMR) untuk otomatis mengoreksi kesalahan satu bit, dan kartu antarmuka jaringan juga membandingkan jalur trafik ganda untuk menangani kesalahan dengan mekanisme fail-silent
- Jaringan ditri-redundansi menjadi tiga bidang independen, dan semua switch memiliki fungsi verifikasi mandiri
-
Sistem cadangan terakhir
- NASA juga menyiapkan diri terhadap common mode failure yang dapat memengaruhi semua kanal utama secara bersamaan
- Untuk itu dipasang sistem Backup Flight Software (BFS) secara terpisah
- BFS terdiri dari perangkat keras berbeda, sistem operasi berbeda, dan perangkat lunak penerbangan yang disederhanakan serta dikembangkan secara independen
- Jika sistem utama gagal, BFS secara otomatis mengambil alih kendali agar fase dinamis misi tetap dapat diselesaikan
- Setelah itu kru dapat mencoba memulihkan FCM utama
- Logika fail-silent memang penting, tetapi agar tidak ada kesalahan yang lolos tanpa terdeteksi, harus disertai watchdog timer dan pemantauan berlapis
- Sistem juga dirancang untuk tetap bertahan bahkan saat kehilangan daya total ("dead bus")
- Saat daya pulih, sistem otomatis masuk ke safe mode
- Panel surya diarahkan ke matahari untuk memulihkan daya, lalu wahana diposisikan dengan ekor menghadap matahari demi stabilisasi termal
- Setelah itu sistem mencoba membangun kembali komunikasi dengan Bumi, dan bila perlu kru dapat menyesuaikan perangkat penunjang kehidupan secara manual
-
Masa depan keandalan
- Perubahan dari Apollo ke Artemis menandai lonjakan besar dalam kompleksitas perangkat lunak
- Apollo masih memiliki cadangan mekanis, tetapi pada Artemis semua kendali ditangani perangkat lunak
- NASA menggunakan alur verifikasi modern yang mencakup simulasi seluruh lingkungan, stress test Monte Carlo, dan fault injection skala besar
- Dengan superkomputer, seluruh timeline penerbangan disimulasikan untuk memverifikasi apakah perangkat lunak dapat pulih secara fail-silent bahkan dalam kondisi kegagalan perangkat keras
- Arsitektur zero-tolerance pada Orion dinilai sebagai model ketahanan always-on yang dapat diterapkan di masa depan pada kendaraan otonom dan jaringan kontrol industri
Belum ada komentar.