F — Logiciel, autonomie & navigation¶
P16 — Incapacité du logiciel à gérer un événement non prévu¶
Description. Le code doit affronter des mois d'aléas que personne n'a anticipés : capteur qui ment, météo extrême, état mécanique dégradé, combinaisons rares.
Le risque n°1 prédit
L'analyse Peruagus (plus de 200 événements identifiés) attribue « la plus grande contribution à l'échec (18 %) … à l'incapacité du Pixhawk (et du code) à gérer un événement hors fonctionnement normal ».
Historique / cause.
| Bateau | Année | Bug |
|---|---|---|
| ABoat Time | 2015 | Bug de logique de cap → droit sur la Nouvelle-Écosse |
| Endeavour | 2020 | Condition « sud jusqu'à 4°O » jamais atteinte, arrêt à 3,5°O → échoué à Jersey |
| Pinta | 2010 | « L'ordinateur principal aurait défailli » — bateau jamais retrouvé |
Impact. Blocage, dérive, route erronée → toutes les conséquences en cascade (échouage, capture, perte). Potentiellement la cause d'échec dominante d'un engin moderne bien étanche.
Solution principale : S10 — Architecture logicielle
P17 — Failsafe dangereux, bugs temporels et figeage du calculateur¶
Description. Les modes de repli doivent être sûrs, et le système doit survivre 100+ jours sans dérive temporelle ni saturation.
Historique / cause.
L'erreur fatale de référence : SB Wave (2017)
Après une panne d'antenne satellite, le failsafe tentait de revenir au point de départ. Le bateau a parcouru ~4 500 km en 2 mois puis a été ramassé par un pêcheur à mi-Atlantique.
Autres risques temporels longue durée :
- Débordement de
millis(), saturation des logs - Usure de la flash
- Figeage du calculateur sans redémarrage (absence de watchdog)
Impact. Un failsafe mal conçu peut activement détruire une mission par ailleurs réussie. Un overflow non audité peut figer le bateau après des semaines.
Solutions : S10 — Architecture logicielle · S11 — Watchdog
P18 — Navigation : tenue de cap, perte de capteurs, données corrompues¶
Description. Suivre une route par waypoints en s'appuyant sur GPS, compas/magnétomètre et IMU, dont chacun peut défaillir.
Historique / cause.
- Panne/dérive de compas, magnétomètre, IMU
- Perte de lock GPS ou données erronées
- Les robots voiliers de l'ENSTA ont montré qu'on peut se passer de capteur de vent — utile pour un motorisé
- Le « weaving » (P9) est aussi un problème de navigation/asservissement
Impact. Cap dévié, route fausse, sur-consommation ; au pire, blocage.
Solution principale : S12 — Navigation ArduPilot
P19 — Validation insuffisante (le système n'a jamais été éprouvé sur la durée)¶
Description. Un système non testé en conditions longues échouera en mer.
Historique / cause.
- Plusieurs entrées ont été lancées sans tests convaincants (l'ENSTA note a posteriori que « des tests probants auraient sans doute été nécessaires avant de lancer le robot »)
- À l'inverse, SB Met avait passé des mois en mer du Nord avant de réussir
- Peruagus a fait tourner son moteur 3 000+ heures au banc
Impact. C'est la cause racine « invisible » de la plupart des autres échecs.
Solution principale : S13 — Validation SITL & soak test