Eine Million Zeilen Code

Die ATV-Flugsoftware ist exakt auf die komplexe Beschaffenheit des Raumfahrzeugs und seiner Mission zugeschnitten:

• Um die Anforderungen an Sicherheit und Verfügbarkeit zu erfüllen, wurde die elektrische und digitale Architektur (Avionik) des ATV vierfach redundant ausgelegt und besteht aus rund 50 Ausrüstungen (nominelle und redundante Sensoren und Servos), die von einem fehlertoleranten Zentralcomputer gesteuert werden. Dieser Computer besteht aus drei Rechnermodulen, die die Befehle der Fluganwendungssoftware (Flight Application Software, FAS) parallel ausführen.
• Vom Moment der Abtrennung von der Ariane-5-Trägerrakete über das Rendezvous- und Andockmanöver sowie die ISS-Unterstützung im angedockten Zustand bis zur Abdockphase, zum Verlassen der Umlaufbahn und zu seinem kontrollierten Absturz durchläuft das ATV im Laufe seiner Mission fast 100 verschiedene Betriebsarten.

Das Herzstück dieses Systems ist die ATV-Flugsoftware, die folgende Hauptaufgaben erfüllt:

Missionsmanagement und sequenzielle Aktivierung der verschiedenen Betriebsarten des Raumfahrzeugs anhand von rund 100 an Bord gespeicherten Missionsabläufen, Verarbeitung der vom Kontrollzentrum in Toulouse (ATV-CC) oder von der ISS erteilten Befehle.

Ausführung der verschiedenen Funktionen, die zur Gesamtmission des ATV Jules Verne beitragen. Dazu gehören insbesondere:

• die Flugsteuerungsalgorithmen für die Annäherung an die Station nach dem Bahneinschuss durch die Ariane 5 sowie für das De-Orbiting nach dem Abdocken von der ISS,
• die Algorithmen für Temperaturregelung und Bordstromüberwachung,
• die An- und Abdockfunktionen,
• die Funktionen zur Betankung und Bahnanhebung der Raumstation,
• die Funktionen zur Kommunikation mit den Bodenstationen und der ISS, usw.

Funktionskontrolle von Bordausrüstungen und Raumfahrzeug, Management der verschiedenen Konfigurationen (rund 200 mögliche Notfallkonfigurationen).

Die Komplexität der Software resultiert aus der hohen Anzahl und großen inneren Komplexität der Algorithmen, die zur Durchführung eines autonomen Rendezvous-Manövers nötig sind, ebenso wie aus der verarbeiteten Datenmenge und der Anzahl möglicher Konstellationen. Unterm Strich steckt in dieser Software:

• die Implementierung und Verifizierung von über 2.600 Funktionsanforderungen,
• rund eine Million Zeilen Ada-Code und Konfigurationsdaten (mehr als fünfmal soviel wie die Flugsoftware der Ariane 5)
• über 8.000 erfasste und an Bord verarbeitete Messdaten,
• zahlreiche offizielle Testkampagnen, sowohl bei Astrium intern als auch mit den Partnern RKK Energija und NASA, in deren Rahmen tausende Teststunden sowohl auf Simulatoren als auch auf Plattformen mit realen Ausrüstungen absolviert wurden. So umfasste zum Beispiel die Software-Validierungskampagne 700 Testszenarien, die den Flugrechner 15 Tage lang nonstop in Atem hielten. Die Ergebnisse wurden mit speziellen Programmen automatisch ausgewertet.

Die Annäherung an die Station darf die Sicherheit der ISS-Crew auf keinen Fall gefährden; insbesondere gilt es, das Risiko einer Kollision auszuschließen. Deshalb wird die Rendezvous-Phase von einer weiteren Software auf einem vom übrigen Raumfahrzeug unabhängigen Spezialrechner überwacht, die gegebenenfalls die Flugsteuerung vom Primärsystem übernimmt. Die Software lenkt das ATV mit einem Ausweichmanöver (Collision Avoidance Manoeuvre) auf eine Bahn, die es an der ISS vorbeiführt, und richtet es so aus, dass die Solarpaneele möglichst viel Energie aufnehmen.

Dieser Spezialrechner und seine Notfall-Software – die Monitoring and Safing Unit (MSU) – haben direkten Einfluss auf die Sicherheit der Station und müssen die allerhöchsten Entwicklungskriterien der ESA („Kategorie A“) erfüllen. Daher wurde die MSU-Software bewusst schlicht gehalten (30.000 Zeilen Ada-Code) und direkt in Maschinensprache getestet, wodurch sie maximale Fehler- und Ausfalltoleranz bietet. Dies wurde in intensiven Testkampagnen sichergestellt, die sowohl die normalen als auch die Notbetriebsfunktionen des ATV bis an die Grenze der Funktionsfähigkeit führten („Stress Testing“).

Diese ATV-Software ist ein seltener Fall – wenn nicht sogar der einzige – einer Kategorie-A-Software, die von Europas Raumfahrtindustrie entwickelt wurde.