ISO 14950:2004
(Main)Space systems — Unmanned spacecraft operability
Space systems — Unmanned spacecraft operability
ISO 14950:2003 defines the essential properties pertaining to the operation of unmanned spacecraft and defines requirements and guidelines for spacecraft on-board functions in order to enable a specified ground segment to operate the spacecraft in any nominal or predefined contingency situation.
Systèmes spatiaux — Opérabilité des véhicules spatiaux non habités
L'ISO 14950:2004 définit les propriétés indispensables liées à l'exploitation de satellites non habités et précise les exigences et les lignes directrices pour les fonctions embarquées du satellite afin de permettre l'exploitation du satellite à partir d'un segment sol spécifié, dans n'importe quelle situation nominale ou imprévue prédéfinie.
General Information
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 14950
First edition
2004-02-15
Space systems — Unmanned spacecraft
operability
Systèmes spatiaux — Opérabilité des satellites non habités
Reference number
©
ISO 2004
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO 2004
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2004 – All rights reserved
Contents Page
Foreword. iv
0 Introduction . iv
0.1 Spacecraft operation . v
0.2 Spacecraft operability. v
0.3 Conventions . vi
0.4 Guidelines for applicability . vi
1 Scope. 1
2 Normative references . 1
3 Terms and definitions. 1
4 Abbreviated terms. 6
5 Autonomy levels . 7
6 General requirements. 8
6.1 Observability . 8
6.2 Commandability . 8
6.3 Compatibility . 8
6.4 Security . 8
6.5 Safety. 8
6.6 Flexibility. 9
6.7 Efficiency . 9
6.8 Testability . 9
6.9 Applicability matrix. 10
7 Detailed requirements . 10
7.1 Spacecraft observability requirements. 10
7.2 Spacecraft commandability requirements . 12
7.3 Memory management . 14
7.4 On-board processing functions . 15
7.5 Equipment/subsystem-specific requirements . 19
Annex A (informative) Mission constants . 23
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 14950 was prepared by Technical Committee ISO/TC 20, Aircraft and space vehicles, Subcommittee
SC 14, Space systems and operations.
iv © ISO 2004 – All rights reserved
0 Introduction
0.1 Spacecraft operation
The operation of a spacecraft is an activity performed from a mission control centre in order to:
a) ensure availability of mission and science products/services or data;
b) carry out routine housekeeping operations;
c) recover from on-board contingencies;
d) manage on-board resources in order to maximize the provision of products/services and the mission
lifetime.
0.2 Spacecraft operability
The operability is a feature of the spacecraft itself that enables a specified ground segment comprising
hardware, software, personnel, and procedures, to operate the space segment during the complete mission
lifetime of the spacecraft, by using a minimum of resources, while maximizing the quality, quantity, and
availability (or timeliness of delivery) of mission products, without compromising spacecraft safety. The key
factors that determine the operability of a spacecraft are:
a) the ability to control the spacecraft in any nominal or non-nominal scenario in order to maintain the
mission availability;
b) the capability to manage on-board resources and to maximize the mission lifetime;
c) the extent to which its operations are routine and non-hazardous, thus minimizing ground segment
resources for all operations including fault avoidance and correction;
d) the flexibility of the design for spacecraft reconfiguration, including software, in orbit;
e) the reliability of operations and robustness against human error;
f) the simplicity of the space and ground segment required to fulfil the mission requirements and respect the
mission constraints;
g) the autonomous capability of the space systems;
h) the complexity and interdependence of the flight system.
Spacecraft operability can be quantified by the following measures:
the capability to detect abnormal trends or status and the speed of reconfiguration back to an operational
mission to minimize duration of outage;
the number of staff required to operate the spacecraft during the operational phase and to maintain the
ground segment;
the qualification level of staff required to perform operations;
the quantity and complexity of mission-specific knowledge required to perform operations.
Spacecraft operability is an input to total life cycle cost. Increased operability will, in general, decrease
operations and maintenance costs but increase development costs. Thus, specific operability goals should be
determined by careful balancing of costs, risks, and schedules for both procurement and
operations/maintenance.
The key objectives of this International Standard are:
to ensure that a spacecraft operates in a safe and cost-effective manner and may be operated with an
optimized workload;
to facilitate and/or enhance the tasks of preparation for, execution and evaluation of, spacecraft check-out
and mission operations activities;
to facilitate the tasks of spacecraft prime contractors when preparing a proposal in answer to an
international request for proposal (RFP).
This International Standard is written in such a way that technological advances will not invalidate the
International Standard. Thus, this International Standard is not project or machine specific.
The operation of the space segment to meet mission-specific requirements is outside the scope of this
International Standard.
0.3 Conventions
Requirements are identified by an acronym, which indicates the nature/grouping of the requirement, followed
by a serial number, and appear in bold type (e.g. OBSERV-0010). The serial number comprises four digits
starting at 0010 and is incremented by 10 to facilitate configuration control for later versions of the document.
Where a major requirement is broken down into subsidiary requirements, the serial number is extended to
reflect this structure (e.g. TEST-1010.1 would represent the first sub-requirement of requirement 1 relating to
testability). General operability requirements are numbered in the range 0010 to 0999, while detailed
operability requirements are numbered in the range 1010 to 1999.
Some of the detailed operability requirements in Clause 6 are only relevant for a given level of on-board
autonomy. In such cases, the corresponding autonomy level (as defined in Clause 4), is indicated as a super-
C3
script following the requirement ID. For example, FAULT-1100 .
Some requirements introduce quantities for which values cannot be defined across the board but will need to
be defined on a mission-by-mission basis (e.g. time intervals, response times, etc.). These are termed mission
constants and are identified within this International Standard in “<>” (for example, ) and,
where appropriate, typical values may be indicated. These mission constants are also summarised, for
information only, in Annex A.
0.4 Guidelines for applicability
This International Standard specifies a set of general operability requirements and a set of detailed operability
requirements. Many of the detailed operability requirements apply to specific on-board functions. The general
operability requirements are intended to be applicable to spacecraft missions of all classes (i.e. science,
telecommunications, meteorology, Earth observation, geostationary, low-Earth orbiting and interplanetary).
The steps for designing a new mission are normally:
a) the mission constraints are identified (e. g. design constraints, cost constraints);
b) the mission operations concept is developed, including the level of on-board autonomy for routine and
contingency operations;
c) the spacecraft is designed, based on a) and b) above.
The applicability of the detailed requirements in this International Standard should be determined during step
a). As indicated above, some of the detailed requirements are only applicable to a given level of autonomy.
During step c), the mission operations concept and the applicability of the detailed requirements may be
iterated.
vi © ISO 2004 – All rights reserved
INTERNATIONAL STANDARD ISO 14950:2004(E)
Space systems — Unmanned spacecraft operability
1 Scope
This International Standard defines the essential properties pertaining to the operation of unmanned
spacecraft and defines requirements and guidelines for spacecraft on-board functions in order to enable a
specified ground segment to operate the spacecraft in any nominal or predefined contingency situation.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 14620-1:2002, Space systems — Safety requirements — System safety
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1 General terms
3.1.1
commandability
ability of the ground to safely control and configure all the equipment and software on-board the spacecraft as
required for the execution of the nominal mission, for failure identification and recovery, for performance
assessment and for system maintenance subsequent to performance change and system degradation
3.1.2
compatibility
extent to which the design of the space segment conforms with the existing ground segment infrastructure (if
any) and with existing operational practices
3.1.3
efficiency
optimum distribution of tasks between the ground and space segments taking into account cost, complexity,
technology and reliability
3.1.4
flexibility
capacity to configure and make optimum use of
existing on-board functions,
space-Earth communications links,
any redundancy built into the design in order to meet reliability targets,
as well as the capacity to optimize mission products according to the mission events
3.1.5
observability
ability to acquire operationally significant information for physical and logical parameters on-board the
spacecraft
NOTE 1 This information is delivered to the ground through the telemetry channel and/or made available to on-board
processors.
NOTE 2 The definition of observable parameters is a key requirement for operating spacecraft, monitoring the
behaviour of all on-board systems, performing diagnosis of anomalies, and collecting sufficient information for feedback
into ground-based models.
3.1.6
operation
〈spacecraft〉 activity performed from a mission control centre
NOTE See the Introduction, 0.1, for further details defining spacecraft operation.
3.1.7
operability
〈spacecraft〉 feature of the spacecraft itself that enables a specified ground segment to operate the space
segment during the complete mission lifetime of the spacecraft
NOTE See the Introduction, 0.2, for further details defining spacecraft operability.
3.1.8
safety
extent of on-board protection against failure and the provision of fail-safe modes of operation
3.1.9
security
extent of on-board protection against unauthorized access to on-board telecommand functions, jamming of
the telecommand channel, or corruption of the telecommand data, unauthorized access to telemetry data, or
the corruption of these data
3.1.10
testability
capability and ease with which the functions of the spacecraft and its interfaces and compatibility with ground
systems can be verified and validated
NOTE In particular, this relates to functions that do not form part of the current operational chains (i.e. redundant
functions).
3.2 Other terms
3.2.1
application process
on-board element capable of generating telemetry source data and receiving telecommand data
NOTE An application process can be implemented in software, firmware, or hardware. There are no restrictions on
the mapping between application processes and the usual functional subdivision of a spacecraft into subsystems and
payloads. In a relatively simple spacecraft, there can be a centralized application process that provides a number of
“dumb” platform subsystems and payloads with collection of housekeeping data, the distribution of device commands, on-
board scheduling, on-board monitoring, etc. In a more complex spacecraft, each subsystem and payload might be served
by its own independent application process. A given processor can host one or several application processes. However, it
is also possible that a given application process could be distributed across two or more processors.
3.2.2
autonomy
extent to which a spacecraft can handle nominal and/or contingency operations without ground intervention
2 © ISO 2004 – All rights reserved
3.2.3
chain
set of hardware and/or software units that operate together to achieve a given function
EXAMPLE An attitude and orbit-control-subsystem (AOCS) processor and its software and a set of AOCS sensors
and actuators together constitute an AOCS chain.
3.2.4
control loop
mechanisms to maintain a parameter or a set of parameters within prescribed limits
NOTE A control loop normally consists of a set of measurements and responses (commands) related according to a
function, algorithm, or set of rules.
3.2.5
device telecommand
telecommand that is routed to and executed by on-board hardware
EXAMPLE A relay switching telecommand or a telecommand to load an on-board register.
3.2.6
ground segment
all ground facilities and personnel involved in the preparation and/or execution of mission operations
3.2.7
high level telemetry
telemetry processed from the low level telemetry by an on-board application process
3.2.8
low level telemetry
elementary readable on-board information
EXAMPLE Register readout or relay status.
3.2.9
memory
any on-board memory area, whether main memory or storage memory, such as disk, tape, or bubble-memory
3.2.10
mission management
on-board functionality that allows a mission to undertake routine operations highly autonomously with the
minimum of ground intervention
3.2.11
mission manager
on-board function that supervises (or performs) the system-level mission management activities
NOTE 1 Future autonomy concepts foresee a distributed on-board “control authority” that is able to manage functions
at both system-level and subsystem-level.
NOTE 2 Within this concept, the mission manager supervises the execution of high-level instructions from the ground
expressed as mission goals.
NOTE 3 The mission manager performs all the system-level functions, while subsystem (and payload) managers
perform the subsystem-level functions.
3.2.12
no ground contact
period of time during a mission when ground contact is not possible due to the unavailability of the
telecommand/telemetry links
NOTE The reasons for this unavailability can include:
a) predictable events such as:
1) non-permanent visibility due to spacecraft orbit characteristics combined with radio frequency coverage of
telemetry and telecommand links;
2) time-shared access to the spacecraft;
b) unpredictable events such as:
1) spacecraft attitude depointing;
2) on-board failure of the telemetry and telecommand links;
3) ground station failure/unavailability;
4) link budget degradation.
3.2.13
on-board fault management
on-board functionality that allows the detection and management of on-board failures without ground
intervention
NOTE 1 The primary objective of on-board fault management is to ensure the survival of the spacecraft.
NOTE 2 Where possible without hazard to the spacecraft, and within the mission constraints, on-board fault
management shall maintain payload operations.
NOTE 3 In addition, on-board fault management should assist in rapid diagnosis and subsequent reconfiguration back
to an optimal operational status.
3.2.14
on-board monitoring
set of processing functions that is applied to a set of on-board parameters
NOTE 1 These functions can include limit/status/delta checking, the evaluation of statistics, including minimum and
maximum values over a time interval, etc.
NOTE 2 Detected events or evaluation results are telemetred to ground.
NOTE 3 The scope of the function can be even wider, e.g. to include the triggering of on-board actions in response to
detected events.
3.2.15
on-board operations scheduling
capability for controlling and executing commands that were loaded in advance from the ground
NOTE In its simplest form, the on-board operations schedule stores time-tagged commands loaded from the ground
and releases them to the destination application process when their on-board time is reached, but with no feedback being
generated by the destination application process.
4 © ISO 2004 – All rights reserved
3.2.16
on-board operations procedure
simple operations procedure that can be controlled from the ground (loaded, edited, started, stopped, etc.) or
can be invoked by the occurrence of a predefined on-board event
NOTE In its simplest implementation, an operations procedure can consist of a sequence of low-level commands,
historically referred to as a macrocommand.
3.2.17
parameter
elementary data item on-board
NOTE A parameter has a unique interpretation.
3.2.18
parameter validity
conditions that determine whether the interpretation of a given telemetry parameter is meaningful
EXAMPLE The angular output of a gyro may only have a valid engineering meaning if the power to the gyro is “on”
while at other times, the output may be random, or at best should not be relied upon.
NOTE Such a parameter is deemed conditionally valid, with its validity determined from the power status.
3.2.19
protection system
on-board function (implemented either in hardware or software) that is provided to monitor sensor or logic
readings and, based on their output, either direct or processed, to:
prevent the propagation of the failure at equipment or system level; or
reconfigure the spacecraft system or subsystem into a “safe” configuration
NOTE Subsequent analysis and recovery action will normally be performed by the ground.
3.2.20
space segment
those elements of the overall mission system that are operated in outer space
3.2.21
spacecraft
all subsystems (sometimes called the platform, the service module or the bus) plus any experiment or payload
elements (sometimes called the payload module)
3.2.22
spacecraft status
all the information necessary to assess the operational status of the spacecraft at a given time
EXAMPLE All the information needed to determine all the criteria driving operational decisions.
3.2.23
subsystem
any combination of units within the spacecraft platform that fulfils a well-defined and usually self-contained set
of on-board functions
3.2.24
survival mode
non-operational, temporary and safe-life mode of a spacecraft, defined to avoid its loss in case of contingency
(catastrophic or critical failure, aggressive environment, etc.)
3.2.25
telecommand criticality
importance of a telecommand in terms of the nature and significance of its on-board effect
NOTE Telecommand criticality levels are categorized as Levels A to D as defined in 3.2.25.1 to 3.2.25.4.
3.2.25.1
Level A
forbidden telecommand
telecommand that is not expected to be used for nominal or foreseeable contingency operations, that is
included for unforeseen contingency operations, and that could cause irreversible damage if executed at the
wrong time or in the wrong configuration
3.2.25.2
Level B
critical telecommand
telecommand that, if executed at the wrong time or in the wrong configuration, could cause irreversible loss or
damage for the mission (i.e. endanger the achievement of the primary mission objectives)
3.2.25.3
Level C
vital telecommand
telecommand that is not a critical telecommand but is essential to the success of the mission and, if sent at
the wrong time, could cause momentary loss of the mission
3.2.25.4
Level D
all the remaining commands
3.2.26
telecommand function
operationally self-contained control action that can comprise or invoke one or more lower level control actions
4 Abbreviated terms
AMF apogee motor firing
AOCS attitude and orbit control subsystem
CPU central processor unit
I/O input/output
ID identifier
LSW least significant word
MSW most significant word
EEPROM electrically erasable programmable read-only memory
RAM random access memory
RF radio frequency
RFP request for proposal
TT&C telemetry, tracking and command
6 © ISO 2004 – All rights reserved
5 Autonomy levels
Tables 1 and 2 identify a number of autonomy levels for routine and contingency operations in terms of the
corresponding on-board autonomous capabilities.
It should be noted that different autonomy levels may be implemented for routine and contingency operations
(i.e. the implementation of Level n for routine operations does not necessarily imply the implementation of the
same Level n for contingency operations).
The mission operations concept will dictate the choice of autonomy levels and the design of autonomous
functions for a given mission. This decision and design process should consider complexity implications on
the space and ground segments and should be optimized at the overall mission operations system level with
respect to mission return, risk, and cost. Typical factors to be taken into account will include:
mission product availability requirements;
propagation delay (where applicable);
ground station coverage;
potential communications outages due to orbital events (e.g. solar conjunction periods);
ground segment availability (considering potential failures and scheduled maintenance operations).
In general, the spacecraft will not be required to maintain its autonomy indefinitely, but rather for a defined
minimum interval of time, , which may have a different value for routine and contingency
operations. In determining the value of this parameter (these parameters) for a given mission, due
consideration should be given to such factors as:
the maximum period of “no ground contact” during different mission phases, for spacecraft with
intermittent ground coverage;
the maximum period of ground segment outages, either predictable (e.g. scheduled maintenance
operations) or non-predictable (e.g. recovery from failures);
the reaction time for the ground to respond to on-board anomalies (anomaly-dependent).
Table 1 — Autonomy levels for routine operations
Level Description
R1 Real-time commanding is required for all on-board reconfigurations.
Autonomous execution of all predictable and time-dependent operations, for a
R2
limited period, on the basis of pre-programmed commands from ground.
R3 Capability to store mission products on-board without loss.
Event-driven on-board control capabilities (e.g. power management and
R4
autonomous navigation).
On-board operations planning and mission product optimization to maximize
R5
mission product return.
Table 2 — Autonomy levels for contingency operations
Level Description
Survival mode switching in the event of failures that can be critical for survival
C1 (e.g. a power supply short circuit or loss of attitude). No automatic attempt to
continue mission product generation.
Redundancy switching for vital functions with the objective of continuing
C2 mission product generation (problem analysis and reconfiguration back to
prime chain performed under ground control).
C3 Fully autonomous fault management
6 General requirements
6.1 Observability
OBSERV-0010 The space segment shall provide visibility of its internal status and configuration to the
mission control system in sufficient detail and within time delays consistent with nominal
and non-nominal operations.
6.2 Commandability
CMD-0010 Control functions (telecommands) shall be provided at each level of the design hierarchy to
enable mission objectives to be achieved under all foreseeable circumstances (including
the use of redundant equipment where required to meet the overall system reliability
requirements).
6.3 Compatibility
COMPAT-0020 The space segment design shall be compatible with the availability and capacity of the
space-to-Earth communication links for both routine and contingency operations.
6.4 Security
SECUR-0010 The space segment shall be adequately protected against intentional or unintentional
access by unauthorized parties.
6.5 Safety
The safety activities related to the following safety requirements shall be performed in accordance with
ISO 14620-1.
SAFETY-0010 No single command shall lead to the loss of the space segment.
SAFETY-0030 No single operational error shall result in a failure, and no single failure shall result in
another failure. Exceptions to this requirement shall be identified, part of contractual
requirements, dealt with in accordance with the safety programme defined in ISO 14620-1,
and, where possible, operational contingency procedures shall be defined to mitigate the
results of such failures.
SAFETY-0040 The design of the space segment shall be such that all foreseeable on-board failure
potentially leading to the loss of the space segment can be averted either by autonomous
on-board action when outside ground contact or by clear, unambiguous and timely
notification of the problem to the ground. In the latter case, a well-defined recovery
procedure shall exist.
8 © ISO 2004 – All rights reserved
SAFETY-0050 It shall be ensured that any reconfiguration of the spacecraft (required for offline testing or
any other purpose) shall be such that no single failure either in a control function or in any
other element leads to a hazardous on-board situation.
6.6 Flexibility
FLEX-0010 The on-board systems shall be configurable to comply with the desired controllability.
FLEX-0020 The spacecraft shall have the capability to operate with the prime and redundant
equipment with the same operability characteristics.
FLEX-0030 The spacecraft shall be configurable such that permanent work-around solutions can be
introduced in the event of non-recoverable failure.
FLEX-0050 Any selection and operation of redundant equipment shall be reversible without loss of
functionality.
FLEX-0050.1 Constraints or monitoring of redundant equipment shall be clearly identified.
FLEX-0060 In case of contingency operations, inputs and outputs of the on-board functions shall be
accessible from the ground for workarounds.
FLEX-0060.1 It shall be possible to replace on-board functions by ground functions.
FLEX-0070 The allocation of budgets for on-board resources during the design phase shall consider
spare capacities of for each subsystem and each payload in
order to ensure flexibility during the mission.
FLEX-0080 At any point in the mission, it shall be possible to determine the remaining mission lifetime
with an accuracy compatible with the mission requirements.
6.7 Efficiency
EFFIC-0010 Allocation of functionality between the space and ground segment shall be performed to
balance together all the following considerations:
a) System operation/maintenance costs and risks can usually be reduced by performing
most functions on-board.
b) Development costs and risks for the combined space and ground segments can
usually be reduced by performing most functions on the ground. (See CLOOP-0010
for exceptions.)
c) Repetitive operations can sometimes be performed more efficiently on-board due to
issues such as transmission delays, visibility times, amount of information/telemetry
available, command rates, and reuse of other on-board functions.
d) The ground segment is inherently more flexible than the space segment due to
accessibility and less stringent resource limitations (mass, power, etc.).
6.8 Testability
TEST-0010 Each application process shall provide the capability to perform a set of end-to-end test
functions.
EXAMPLE Tests exercised under ground control to verify end-to-end performance. Provision of an
end-to-end test function should be considered.
TEST-0020 An “are you alive” function shall be provided for testing the end-to-end connection between
the ground and an application process.
TEST-0030 It shall be possible to check redundant on-board functions in an “off-line” manner (i.e. in
parallel with the prime function, but without any disturbance to it).
TEST-0040 Adequate observability and commandability shall be provided to assess the proper
functioning at the redundant cross-strapped level.
TEST-0050 It shall be possible to check a redundant unit prior to switchover.
TEST-0060 It shall be possible to load and check redundant memory prior to switchover.
TEST-0070 It shall be possible to verify, by independent means, that all critical on-board
measurements reliably reflect the values of the parameters they represent under all
predictable levels of noise sources (whether radiative, capacitive, inductive, or impulsive).
Critical measurements are those parameters specifically identified in the space segment
contractual requirement as absolutely necessary to meet mission objectives.
6.9 Applicability matrix
An applicability matrix shall be issued by either the spacecraft procuring or supplying organisation, stating
whether each requirement shall be applicable. For requirements that are not applicable, a justification shall be
supplied.
7 Detailed requirements
7.1 Spacecraft observability requirements
7.1.1 Telemetry design
TMDES-1010 Standard telemetry reporting mechanisms shall be provided that allow access to all the
data required to determine the status of the spacecraft and to monitor the execution of all
nominal operations and foreseen contingency operations for the spacecraft platform
subsystems and the payload. As a goal, this shall include:
a) the status of all relays and switches;
b) the power status of all units connected to the spacecraft bus;
c) the status of all on-board equipment and software;
d) all sensor readings;
e) the contents of all registers;
f) an indication of all on-board events affecting operations;
g) an indication of all actions taken by on-board autonomous functions;
h) the parameters used by monitoring or reconfiguration logic;
i) the status of all autonomous functions (enable/inhibit);
j) the status of all safety devices (triggered/not triggered);
k) the condition/status of deployable mechanisms and covers;
10 © ISO 2004 – All rights reserved
l) the separation status of any separated or deployed piece of equipment.
This data shall be telemetred to the ground in a complete, unambiguous and timely
manner.
Where these goals cannot be met, other observables shall be identified to determine the
status of the listed parameters.
TMDES-1020 The current state of the spacecraft and any anomalous condition that requires ground
intervention shall be available in a sub-set of data.
TMDES-1020.1 An appropriate reserved bandwidth shall be provided for this data (even though it may not
always be used).
TMDES-1030 Parameters that indicate vital spacecraft health functions shall be provided with redundant
telemetry (e.g. primary bus current, voltage, propellant tank pressure, etc.).
TMDES-1040 Telemetry information shall be provided from direct measurements rather than secondary
effects. In particular, the complete status of the spacecraft shall be derivable from the
telemetry and other observables without the need for reference to the telecommand history
or any record of on-board autonomous actions.
TMDES-1050 In some cases, parameters can change value for very short time periods. If it is necessary,
for operational reasons, to detect such occurrences (e.g. as an indication of an on-board
failure) and no adequate telemetry sampling of the parameter can be provided, the event
shall be stored and the stored value shall be telemetred.
TMDES-1060 For equipment in hot redundancy, telemetry shall be implemented to allow an independent
and unambiguous status evaluation of each chain. For elements in redundancy, the loss or
failure of one channel shall not prevent access to the telemetry of the other channel.
TMDES-1070 Parameters valid only when other conditions are satisfied shall be determinable
unambiguously from the telemetry.
TMDES-1080 Processors/memory auto-test results and diagnoses shall be available through telemetry.
TMDES-1090 The value of analogue parameters shall be derivable from telemetry such that the
resolution and range is appropriate for monitoring purposes in all nominal and foreseen
contingency situations.
TMDES-1100 Suitable sampling sequences and frequencies shall be provided for all related parameters
that require direct correlation or combination for the purposes of performance evaluation.
TMDES-1110 All reconfigurations shall end with an unambiguously known and observable state of all
involved units and software.
TMDES-1120 Telemetry shall be provided to isolate any identified failure at least down to function or
equipment level.
7.1.2 Telemetry timing information
TIMING-1010 For different operational purposes (e.g. detailed performance evaluation, data or event
correlation at the time of on-board anomalies, etc.) it shall be possible via analysis to
establish the original on-board sampling time of the telemetry parameters.
TIMING-1010.1 For anomaly troubleshooting, it shall be possible to establish this information retroactively
in time.
TIMING-1010.2 It shall be possible to determine the absolute (on-board) sampling time of parameters to an
accuracy of (can be parameter-specific).
TIMING-1010.3 It shall be possible to determine the relative sampling time of any two parameters to an
accuracy of .
TIMING-1020 Timing information shall be provided in the telemetry that allows the correlation of on-board
time with ground time with an accuracy of .
TIMING-1030 All timing information in the telemetry shall be synchronized with a single on-board master
clock or synchronization signal.
7.1.3 Diagnostic mode
DIAG-1010 Under all foreseen operational conditions, sufficient telemetry bandwidth shall be available
to allow the ground to select (by telecommand) a set of telemetry data to be sampled at a
high rate for investigation purposes. The essential characteristics of this capability are the
following:
DIAG-1010.1 Access shall be available to all on-board parameters.
DIAG-1010.2 It shall be possible to sample a given telemetry parameter at any sampling rate down to a
minimum sampling interval .
7.2 Spacecraft commandability requirements
7.2.1 Telecommand design
TCDES-1010 No telecommand shall contribute to permanent loss of the telecommand function.
TCDES-1020 All telecommands shall always have the same action definition during the mission.
TCDES-1030 Repetition of the same telecommand shall be possible without any detrimental effect on
the spacecraft unless the command is forbidden (Level A) or critical (Level B).
TCDES-1040 For frequent or elementary operations, it is recommended that on-board functions be
defined to limit the ground action to a small number of high level/goal oriented commands
(this number will be function-specific).
TCDES-1050 If a device telecommand executes more than one control action, these actions shall be
strictly operationally related, so they constitute a single logical telecommand function.
EXAMPLE A device telecommand shall not put a battery in trickle charge and at the same time
switch on a heater, unless these operations are always strictly related.
TCDES-1060 Where more than one device telecommand is required to invoke a given function, it shall
be possible to “pack” such device telecommands within a single telecommand protocol unit.
A telecommand protocol unit being a set of commands with minimal spacing and designed
to provide efficiency in transmitting multipart telecommands.
TCDES-1070 The ground shall have the capability to command all equipment/functions of the spacecraft
required to operate the spacecraft under all nominal and foreseen contingency conditions.
This shall include:
a) the configuration of all relays or on-board logic;
b) the loading/updating of all operational parameters and registers;
12 © ISO 2004 – All rights reserved
c) the loading/updating of all monitoring and reconfiguration criteria;
d) the loading/dumping of re-programmable memory areas.
TCDES-1080 It shall be possible to command all on-board devices individually from the ground (i.e. if a
device is normally commanded using a telecommand function generated by on-board
process, it shall nevertheless be possible for the ground to issue a device telecommand
destined solely for that device).
TCDES-1100 The operation of reconfiguring on-board units or switching between on-board functions
shall not affect the status, configuration, or continued proper operation of any other unit or
function.
TCDES-1110 Where necessary to meet critical mission requirement, it shall be possible to pre-configure
units in the “off” state to come on in any desired configuration.
EXAMPLE The bolometer inhibition status of an infrared attitude sensor.
TCDES-1120 There shall be no requirement for the ground to send telecommands, as the result of
anomalies detected from the telemetry, with a response time of less than
(typically 1 min).
TCDES-1130 The level or value of an on-board register or counter shall only be adjusted (from the
ground) by the use of a register load telecommand (i.e. on/off pulses shall not be used).
TCDES-1140 For in-orbit operation, the conditions under which a configuration-dependent telecommand
may be sent (or may not be sent) shall be determinable unambiguously from the telemetry
indicating the status of the spacecraft.
7.2.2 Critical telecommands
The defini
...
NORME ISO
INTERNATIONALE 14950
Première édition
2004-02-15
Systèmes spatiaux — Opérabilité des
véhicules spatiaux non habités
Space systems — Unmanned spacecraft operability
Numéro de référence
©
ISO 2004
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
© ISO 2004
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2004 – Tous droits réservés
Sommaire Page
Avant-propos. iv
0 Introduction . v
0.1 Opération d’un véhicule spatial. v
0.2 Opérabilité d’un véhicule spatial. v
0.3 Conventions . vi
0.4 Lignes directrices pour l’applicabilité . vi
1 Domaine d'application. 1
2 Références normatives. 1
3 Termes et définitions . 1
4 Termes abrégés. 6
5 Niveaux d’autonomie . 7
6 Exigences générales. 8
6.1 Observabilité . 8
6.2 Contrôlabilité . 8
6.3 Compatibilité . 8
6.4 Sécurité . 8
6.5 Sûreté . 9
6.6 Flexibilité. 9
6.7 Efficacité . 9
6.8 Aptitude aux essais . 10
6.9 Matrices d’applicabilité. 10
7 Exigences détaillées . 11
7.1 Exigences pour l’observabilité du véhicule spatial. 11
7.2 Exigences relatives à la contrôlabilité du véhicule spatial. 13
7.3 Gestion de la mémoire. 15
7.4 Fonctions de traitement de bord . 16
7.5 Exigences spécifiques aux équipements/sous-systèmes. 21
Annexe A (informative) Constantes de la mission. 25
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 14950 a été élaborée par le comité technique ISO/TC 20, Aéronautique et espace, sous-comité SC 14,
Systèmes spatiaux, développement et mise en œuvre.
iv © ISO 2004 – Tous droits réservés
0 Introduction
0.1 Opération d’un véhicule spatial
L’opération d’un véhicule spatial est une activité exécutée à partir d’un centre de contrôle de mission, afin de:
a) garantir la disponibilité des produits/services ou données scientifiques et de la mission;
b) exécuter les opérations de servitude courantes;
c) pallier les imprévus à bord du véhicule spatial;
d) gérer les ressources de bord, afin d’optimiser la fourniture des produits/services et la durée de vie de la
mission.
0.2 Opérabilité d’un véhicule spatial
L'opérabilité est une caractéristique intrinsèque d'un véhicule spatial permettant l'exploitation du segment
spatial pendant la durée de vie complète de la mission du véhicule spatial, à partir d'un segment sol spécifié
comprenant les matériels, les logiciels, le personnel et les procédures, en utilisant un minimum de ressources
et en optimisant la qualité, la quantité et la disponibilité (ou les délais de livraison) des produits de la mission
sans compromettre la sécurité du véhicule spatial. Les facteurs clés définissant l'opérabilité d’un véhicule
spatial sont les suivants:
a) la capacité à contrôler le véhicule spatial dans n’importe quel scénario, nominal ou pas, afin de conserver
la disponibilité de la mission;
b) l’aptitude à gérer les ressources de bord et à optimiser la durée de vie de la mission;
c) le caractère répétitif et non risqué de ces opérations permettant ainsi de minimiser les ressources des
segments sol pour toutes les opérations comprenant la prévention et la correction des pannes;
d) la flexibilité de la conception pour la reconfiguration du véhicule spatial en orbite, comprenant le logiciel;
e) la fiabilité des opérations et la tolérance à l’erreur humaine;
f) la simplicité des segments spatiaux et sol nécessaires pour satisfaire au mieux aux exigences de la
mission et pour en respecter les contraintes;
g) la capacité autonome des systèmes spatiaux;
h) la complexité et l’interdépendance du système de vol.
L’opérabilité du véhicule spatial peut être quantifiée par les mesures suivantes:
la capacité à détecter des tendances ou des états anormaux et la vitesse de reconfiguration au retour
d’une mission opérationnelle pour minimiser la durée de la panne;
le nombre de personnes nécessaires pour faire fonctionner le véhicule spatial pendant sa phase
d’exploitation et pour assurer la maintenance du segment sol;
le niveau de qualification du personnel exigé pour effectuer ces opérations;
l’étendue et la complexité des connaissances pour des missions particulières nécessaires pour effectuer
ces opérations.
L’opérabilité du véhicule spatial est une donnée à prendre en compte dans le coût total du cycle de vie d’un
véhicule spatial. En général, augmenter l’opérabilité réduit les coûts de maintenance et d’exploitation mais
accroît les coûts liés au développement. Aussi convient-il de définir les objectifs propres à l'opérabilité en
maintenant soigneusement l’équilibre entre les coûts, les risques et les calendriers, à la fois pour
l’approvisionnement, l’exploitation et la maintenance.
Les objectifs clés de la présente Norme internationale sont les suivants:
s’assurer que le véhicule spatial fonctionne de manière sûre et rentable et qu’il peut être exploité avec
une charge de travail optimisée;
faciliter et/ou mettre en valeur les travaux de préparation, d’exécution et d’évaluation du contrôle du
véhicule spatial et des activités d’opérations de mission;
faciliter les travaux des maîtres d’œuvre du véhicule spatial, au moment de la préparation d’une
proposition en réponse à un appel d’offres (RFP) international.
La présente Norme internationale est rédigée de telle sorte que les progrès technologiques ne l’invalideront
pas. Ainsi, elle n’est pas propre à un projet ou à une machine.
L'exploitation du segment spatial de manière à répondre aux exigences particulières d’une mission n’est pas
traitée dans la présente Norme internationale.
0.3 Conventions
Chaque exigence est identifiée par un acronyme qui indique la nature et le groupe de l’exigence, suivi d’un
numéro de série en caractère gras (par exemple OBSERV-0010). Ce numéro de série comprend 4 chiffres et
la numérotation commence à 0010. Ce numéro est incrémenté de 10 pour faciliter le contrôle de la
configuration des versions ultérieures du document. Lorsqu’une exigence importante est divisée en exigences
secondaires, un chiffre est ajouté au numéro de série pour refléter la structure (par exemple TEST-1010.1
correspond à la première sous-exigence de l’exigence 1 liée à l’aptitude aux essais). Les exigences
d’opérabilité générales sont numérotées de 0010 à 0999, tandis que les exigences d’opérabilité détaillées
sont numérotées de 1010 à 1999.
Certaines de ces exigences d’opérabilité détaillées définies dans l’Article 6 sont pertinentes uniquement pour
un niveau donné d’autonomie de bord. Dans ce cas, le niveau d’autonomie correspondant (comme défini
dans l’Article 4) est indiqué sous forme d’exposant suivant l’identificateur de l'exigence. Par exemple
C3
FAULT-1100 .
Certaines exigences précisent les quantités pour lesquelles des valeurs ne peuvent être définies dans le
tableau; ces valeurs devront cependant être définies par mission (exemples: laps de temps, temps de
réponse, etc.). Elles sont nommées constantes de la mission et identifiées dans la présente Norme
internationale par des «<>» (par exemple ) et, le cas échéant, des valeurs types
peuvent être indiquées. Ces constantes de mission sont aussi récapitulées à titre indicatif dans l’Annexe A.
0.4 Lignes directrices pour l’applicabilité
La présente Norme internationale spécifie un ensemble d'exigences d’opérabilité générales ainsi qu’un
ensemble d'exigences d’opérabilité détaillées. La plupart des exigences d’opérabilité détaillées s’appliquent à
des fonctions particulières de bord. Les exigences d’opérabilité générales sont destinées à être applicables
aux missions véhicule spatial de toutes les classes (c’est-à-dire science, télécommunications, météorologie,
observation de la Terre, géostationnaire, à basse orbite et interplanétaire).
vi © ISO 2004 – Tous droits réservés
Les étapes de la conception d’une nouvelle mission sont en général comme suit:
a) l’identification des contraintes de la mission (par exemple contraintes liées à la conception, au coût);
b) le développement du concept des opérations de la mission, incluant le niveau d’autonomie de bord pour
des opérations imprévues et de routine;
c) la conception du véhicule spatial selon les étapes a) et b) ci-dessus.
Il convient que l’applicabilité des exigences détaillées de la présente Norme internationale soit définie lors de
l’étape a). Comme indiqué ci-dessus, certaines de ces exigences détaillées ne sont applicables qu’à un
niveau d’autonomie donné.
Au cours de l’étape c), le concept des opérations de missions et l’applicabilité des exigences détaillées peut
être itéré.
NORME INTERNATIONALE ISO 14950:2004(F)
Systèmes spatiaux — Opérabilité des véhicules spatiaux non
habités
1 Domaine d'application
La présente Norme internationale définit les propriétés indispensables liées à l'exploitation de véhicules
spatiaux non habités et précise les exigences et les lignes directrices pour les fonctions embarquées du
véhicule spatial afin de permettre l'exploitation du véhicule spatial à partir d'un segment sol spécifié, dans
n’importe quelle situation nominale ou imprévue prédéfinie.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO 14620-1:2002, Systèmes spatiaux — Exigences de sécurité — Sécurité système
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
3.1 Termes généraux
3.1.1
contrôlabilité
capacité du sol à contrôler et à configurer sans risque tous les équipements et les logiciels embarqués du
véhicule spatial, comme exigé pour la réalisation de la mission nominale, l’identification des pannes et la
reprise, l’évaluation des performances et la maintenance des systèmes faisant suite au changement des
performances et à la détérioration des systèmes
3.1.2
compatibilité
degré de conformité entre la conception du segment spatial et l’infrastructure existante du segment sol (le cas
échéant) et les pratiques opérationnelles existantes
3.1.3
efficacité
optimisation de la répartition des tâches entre les segments sol et spatiaux en tenant compte des coûts, de la
complexité, de la technologie et de la fiabilité
3.1.4
flexibilité
capacité à configurer et à optimiser l’utilisation
des fonctions de bord existantes,
des liaisons de communications Terre-espace,
de toute redondance intégrée à la conception afin de satisfaire aux objectifs de fiabilité,
ainsi que la capacité à optimiser les produits des missions en fonction de leurs événements
3.1.5
observabilité
capacité à acquérir des informations importantes en termes d’exploitation concernant les paramètres
physiques et logiques à bord du véhicule spatial
NOTE 1 Cette information est fournie au segment sol par voie de télémesure et/ou disponible pour les processeurs
embarqués.
NOTE 2 La définition des paramètres observables est une exigence clé pour exploiter le véhicule spatial, contrôler le
comportement de tous les systèmes embarqués, faire un diagnostic des anomalies et recueillir les informations suffisantes
pour un retour d’expérience vers des modèles basés au sol.
3.1.6
opération
〈véhicule spatial〉 activité exécutée à partir d’un centre de contrôle de mission
NOTE Voir l’Introduction, 0.1, pour plus de détails définissant l’opération d’un véhicule spatial.
3.1.7
opérabilité
〈véhicule spatial〉 caractéristique intrinsèque d'un véhicule spatial permettant l'exploitation du segment spatial
pendant la durée de vie complète de la mission du véhicule spatial, à partir d’un segment sol spécifié
NOTE Voir l’Introduction, 0.2, pour plus de détails définissant l’opérabilité d’un véhicule spatial.
3.1.8
sûreté
importance de la protection à bord contre toute défaillance et fourniture des modes de fonctionnement de
sécurité intégrée
3.1.9
sécurité
importance de la protection à bord contre des accès non autorisés aux fonctions de télécommandes
embarquées et aux données de télémesure, le brouillage du canal télécommande ou l’altération des données
de télécommande ou de télémesure
3.1.10
aptitude aux essais
capacité à vérifier et à valider facilement les fonctions du véhicule spatial, ses interfaces et sa compatibilité
avec les systèmes au sol
NOTE Cela concerne en particulier les fonctions qui ne font pas partie des chaînes opérationnelles actuelles
(c’est-à-dire les fonctions redondantes)
3.2 Autres termes
3.2.1
procédé d’application
élément embarqué capable de générer des données source de télémesure et de recevoir des données de
télécommande
NOTE Un procédé d’application peut être mis en œuvre dans le logiciel, le progiciel ou le matériel. Il n’y a aucune
restriction sur le système cartographique entre les procédés d’application et la sous-division fonctionnelle habituelle d’un
véhicule spatial en sous-systèmes et en charges utiles. Dans un véhicule spatial de conception relativement simple, il peut
y avoir un procédé d’application centralisé qui indique un certain nombre de sous-systèmes de plates-formes et de
charges utiles passifs avec un ensemble de données de servitude, la répartition des commandes de périphériques, la
2 © ISO 2004 – Tous droits réservés
programmation de bord, la surveillance embarquée, etc. Dans un véhicule spatial de conception plus complexe, chaque
sous-système et charge utile pourraient être pris en charge par leur propre procédé d’application indépendant. Un
processeur donné peut recevoir un ou plusieurs procédés d’application. Cependant, il est également possible qu’un
procédé d’application donné puisse être réparti sur deux ou plusieurs processeurs.
3.2.2
autonomie
capacité d’un véhicule spatial à traiter des opérations nominales et/ou imprévues sans l’intervention du sol
3.2.3
chaîne
ensemble de matériel et/ou de logiciels qui fonctionnent ensemble pour exécuter une fonction donnée
EXEMPLE Un processeur du système de contrôle d’attitude et d’orbite (SCAO) et son logiciel ainsi qu’un groupe de
senseurs SCAO et de vérins constituent une chaîne SCAO.
3.2.4
boucle d’asservissement
mécanismes permettant de maintenir un paramètre ou un ensemble de paramètres dans des limites définies
NOTE Une boucle d’asservissement est normalement constituée d’un ensemble de mesures et de réponses
(commandes) associées selon une fonction, un algorithme ou un ensemble de règles.
3.2.5
télécommande de périphérique
télécommande acheminée vers un matériel embarqué qui l’exécute
EXEMPLE Une télécommande de commutation à relais ou une télécommande pour charger un registre de bord.
3.2.6
segment sol
toutes les installations au sol ainsi que le personnel impliqués dans la préparation et/ou l’exécution des
opérations de mission
3.2.7
télémesure de haut niveau
télémesure calculée à partir de la télémesure de bas niveau par un procédé d’application embarqué
3.2.8
télémesure de bas niveau
niveau élémentaire d’informations lisibles à bord
EXEMPLE Relevé de registre ou état relais.
3.2.9
mémoire
toute zone de mémoire embarquée (mémoire principale ou mémoire de stockage), telle que disquettes,
cassettes ou mémoire à bulles
3.2.10
gestion de mission
fonctionnalités de bord qui permettent à une mission d’entreprendre des opérations de routine à haute
autonomie avec un minimum d’interventions du sol
3.2.11
responsable de mission
fonction de bord dont le rôle est de superviser (ou d’accomplir) les activités de gestion de mission au niveau
du système
NOTE 1 Des concepts d’autonomie prévoient à l’avenir une «autorité de contrôle» embarquée répartie, capable de
gérer les fonctions à la fois au niveau des systèmes et des sous-systèmes.
NOTE 2 Dans ce concept, le responsable de mission supervise l’exécution des instructions de haut niveau à partir du
sol, sous forme d’objectifs de mission.
NOTE 3 Le responsable de mission effectue toutes les fonctions au niveau des systèmes, tandis que les responsables
des sous-systèmes (et de la charge utile) exécutent les fonctions au niveau des sous-systèmes.
3.2.12
aucun contact sol
période au cours d'une mission pendant laquelle le contact sol n’est pas possible du fait de l’indisponibilité
des liaisons télécommande/télémesure
NOTE Cette indisponibilité peut s’expliquer comme suit:
a) événements prévisibles, tels que:
1) visibilité non permanente liée aux caractéristiques en orbite du véhicule spatial, associées à la couverture de
fréquence radio des liaisons télémesure et télécommande;
2) accès en temps partagé au véhicule spatial;
b) événements imprévisibles, tels que:
1) dépointage d’attitude du véhicule spatial;
2) panne à bord du véhicule spatial des liaisons télémesure et télécommande;
3) panne/indisponibilité de la station sol;
4) dégradation du bilan de liaison.
3.2.13
gestion des pannes à bord
fonctionnalité de bord qui permet la détection et la gestion des pannes à bord sans l’intervention du sol
NOTE 1 L’objectif principal de la gestion des pannes à bord est d’assurer la survie du véhicule spatial.
NOTE 2 Si possible sans risque pour le véhicule spatial, et en respectant les contraintes de la mission, la gestion des
pannes à bord doit maintenir les opérations de charge utile.
NOTE 3 De plus, il convient que la gestion des pannes à bord permette un diagnostic rapide et une reconfiguration
ultérieure pour un retour à un état opérationnel nominal.
3.2.14
surveillance embarquée
ensemble de fonctions de traitement qui s’applique à un ensemble de paramètres de bord
NOTE 1 Ces fonctions peuvent inclure le contrôle des états/limites/delta, l’évaluation des statistiques, incluant les
valeurs minimales et maximales sur un certain laps de temps, etc.
NOTE 2 Des événements détectés ou des résultats d’évaluation sont télémesurés au sol.
NOTE 3 La portée de cette fonction peut être plus grande, en incluant, par exemple, le déclenchement des actions à
bord en réponse aux événements détectés.
3.2.15
programmation des opérations de bord
capacité à contrôler et à exécuter les commandes chargées par avance à partir du sol
NOTE Dans sa forme la plus simple, la programmation des opérations de bord enregistre les commandes
programmées dans le temps, chargées à partir du sol, et les réintègre vers le procédé d’application destinataire lorsque le
temps à bord est atteint (aucun retour d’expérience n’est généré par le procédé d’application destinataire).
4 © ISO 2004 – Tous droits réservés
3.2.16
procédure des opérations de bord
procédure simple des opérations qui peut être contrôlée à partir du sol (chargée, éditée, amorcée, arrêtée,
etc.) ou qui peut être sollicitée par un événement à bord prédéfini
NOTE Dans sa mise en œuvre la plus simple, une procédure des opérations peut être constituée d’une séquence de
commandes de bas niveau (quelquefois référencée historiquement comme une macrocommande).
3.2.17
paramètre
donnée élémentaire embarquée
NOTE Un paramètre possède une interprétation univoque.
3.2.18
validité des paramètres
conditions qui déterminent si l’interprétation d’un paramètre de télémesure donné a un sens
EXEMPLE La sortie angulaire d’un gyro peut avoir un sens valable seulement en termes d’ingénierie si
l’alimentation vers celui-ci est «on», tandis qu’à d’autres moments, la sortie peut être aléatoire (ou au mieux, il convient de
ne pas s’appuyer dessus).
NOTE Un paramètre de ce type est considéré comme valide si sa validité est déterminée à partir de l’état de
l’alimentation.
3.2.19
système de protection
fonction embarquée (mise en œuvre dans le matériel ou le logiciel) qui est fournie pour contrôler des
senseurs ou des relevés logiques et qui, en fonction de ces données de sortie, qu’elles soient directes ou
traitées, permet
d’éviter la propagation des pannes au niveau équipement ou système;
de reconfigurer le système ou le sous-système du véhicule spatial vers une configuration «sûre»
NOTE Une analyse ultérieure et une action de reprise seront normalement effectuées par le sol.
3.2.20
segment spatial
éléments du système global de la mission qui sont exploités dans l’espace extra-atmosphérique
3.2.21
véhicule spatial
tous les sous-systèmes (parfois appelés plate-forme, module service ou bus) ainsi que toute expérience ou
éléments de la charge utile (parfois appelés module de charge utile)
3.2.22
état du véhicule spatial
toutes les informations nécessaires pour évaluer l’état opérationnel du véhicule spatial à un moment donné
EXEMPLE Toutes les informations nécessaires pour déterminer tous les critères servant de base aux décisions
opérationnelles.
3.2.23
sous-système
toute combinaison d’unités au sein de la plate-forme véhicule spatial qui remplit un ensemble de fonctions
embarquées bien définies et généralement autonomes
3.2.24
mode de survie
mode de vie d’un véhicule spatial non opérationnel, temporaire et sécurisé, défini pour éviter sa perte dans
des situations imprévues (panne catastrophique ou critique, environnement agressif, etc.)
3.2.25
criticité des télécommandes
importance d’une télécommande en termes de nature et signification de ses effets de bord
NOTE Les niveaux de criticité des télécommandes sont classés du Niveau A au Niveau D selon 3.2.25.1 à 3.2.25.4.
3.2.25.1
Niveau A
télécommande interdite
télécommande qui n'est pas prévue pour être utilisée pour des opérations d’urgence prévisibles ou nominales,
qui est comprise pour des opérations imprévues et qui pourrait causer des dégâts irréversibles si elle est
exécutée au mauvais moment ou sous une configuration incorrecte
3.2.25.2
Niveau B
télécommande critique
télécommande qui pourrait causer des pertes ou des dégâts irréversibles pour la mission (c’est-à-dire
empêcher que les objectifs principaux de la mission ne soient atteints) si elle est exécutée au mauvais
moment ou sous une configuration incorrecte
3.2.25.3
Niveau C
télécommande vitale
télécommande qui n'est pas critique, mais qui est essentielle pour le succès de la mission et qui pourrait
causer une perte temporaire de la mission, si elle est exécutée au mauvais moment
3.2.25.4
Niveau D
concerne toutes les autres commandes
3.2.26
fonction de télécommande
action de commande autonome du point de vue opérationnel qui peut inclure ou solliciter un ou plusieurs
niveaux inférieurs d’action de commande
4 Termes abrégés
AMF mise à feu du moteur d’apogée (apogee motor firing)
CPU unité centrale de traitement (central processor unit)
EEPROM mémoire morte effaçable programmable électriquement (electrically erasable programmable
read-only memory)
E/S entrée/sortie
FR fréquence radio
ID identificateur
LSW mot de poids faible (least significant word)
MSW mot de poids fort (most significant word)
6 © ISO 2004 – Tous droits réservés
RAM mémoire vive (random access memory)
RFP appel d’offres (request for proposal)
SCAO système de contrôle d'attitude et d'orbite
TT&C télémesure, localisation et commande (telemetry, tracking and command)
5 Niveaux d’autonomie
Les Tableaux 1 et 2 indiquent un certain nombre de niveaux d’autonomie pour des opérations imprévues et
de routine en termes de capacités correspondantes autonomes à bord.
Il convient de remarquer que ces différents niveaux d’autonomie peuvent être mis en œuvre pour des
opérations imprévues et de routine (c’est-à-dire, la mise en œuvre d’un niveau n pour des opérations de
routine n'implique pas nécessairement celle du même niveau n pour des opérations imprévues).
Le concept des opérations de mission dictera le choix des niveaux d’autonomie et de conception des
fonctions autonomes pour une mission donnée. Dans le cadre de ce procédé de décision et la conception, il
convient de prendre en considération les implications complexes dans les segments spatiaux et sol. Il
convient également d’optimiser ledit procédé au niveau système de l’ensemble des opérations de mission
relatif au retour de mission, aux risques et au coût. Les facteurs types à prendre en compte sont les suivants:
exigences de disponibilité des produits de mission;
délai de propagation (le cas échéant);
couverture de la station sol;
éventuelles interruptions des communications liées à des événements orbitaux (par exemple des
périodes de conjonctions solaires);
disponibilité du segment sol (en tenant compte des pannes éventuelles et des opérations de maintenance
programmées).
En général, il ne sera pas nécessaire pour le véhicule spatial de maintenir indéfiniment son autonomie, mais
plutôt sur un laps de temps minimal défini, , qui peut avoir une valeur différente pour les
opérations imprévues et de routine. En déterminant la valeur de ce paramètre (ces paramètres) pour une
mission donnée, il convient de prendre en considération certains facteurs, comme:
la période maximale du «non-contact avec le sol» pendant les différentes phases de la mission, pour un
véhicule spatial ayant une couverture au sol intermittente;
la période maximale des interruptions avec le sol, qu’elles soient prévisibles (par exemple des opérations
de maintenance programmées) ou imprévisibles (par exemple reprise après des pannes);
le temps de réponse du sol pour répondre aux anomalies de bord (en fonction des anomalies).
Tableau 1 — Niveaux d’autonomie pour des opérations de routine
Niveau Description
R1 Commandes en temps réel nécessaires pour toutes les reconfigurations de bord.
R2 Exécution autonome de toutes les opérations prévisibles en fonction du temps,
pour une période limitée, sur la base des commandes préprogrammées à partir du
sol.
R3 Capacité à enregistrer les produits de mission à bord sans aucune perte.
R4 Capacités de commande de bord déclenchées par des événements (par exemple
gestion de puissance et navigation autonome).
R5 Planification des opérations de bord et optimisation maximale des produits de
mission à leur retour.
Tableau 2 — Niveaux d’autonomie pour des opérations imprévues
Niveau Description
C1 Mode de survie déclenché en cas de panne pouvant s’avérer critique pour la survie
(par exemple court-circuit électrique ou perte d’attitude). Aucune tentative
automatique pour continuer la génération des produits de mission.
C2 Redondance déclenchée pour les fonctions vitales avec pour objectif de continuer
la génération des produits de mission (analyse du problème et reconfiguration de
retour vers la chaîne principale effectuée sous le contrôle du sol).
C3 Gestion des pannes entièrement autonome.
6 Exigences générales
6.1 Observabilité
OBSERV-0010 Le segment spatial doit fournir une visibilité suffisamment détaillée de son état interne et de
sa configuration au système de contrôle de mission et ce, dans des délais cohérents par
rapport aux opérations nominales ou non nominales.
6.2 Contrôlabilité
CMD-0010 Des fonctions de contrôle (télécommandes) doivent être fournies à chaque niveau de la
conception afin que les objectifs de la mission puissent être atteints dans tous les cas de
figure prévisibles (comprenant l’utilisation des équipements redondants, si nécessaire, pour
satisfaire à l’ensemble des exigences de fiabilité du système).
6.3 Compatibilité
COMPAT-0020 La conception du segment spatial doit tenir compte de la disponibilité et des capacités des
liaisons de communications Terre-espace, pour les opérations de routine et de secours.
6.4 Sécurité
SECUR-0010 Le segment spatial doit être protégé de façon adéquate contre tout accès volontaire ou
involontaire par des parties non autorisées.
8 © ISO 2004 – Tous droits réservés
6.5 Sûreté
Les activités de sûreté relatives aux exigences de sûreté suivantes doivent être réalisées conformément à
l’ISO 14620-1.
SAFETY-0010 Aucune commande simple ne doit entraîner la perte du segment spatial.
SAFETY-0030 Aucune erreur opérateur ne doit entraîner une panne, et aucune panne ne doit entraîner
une autre panne. Les exceptions doivent être identifiées dans les exigences contractuelles,
traitées en conformité avec le programme de sécurité défini dans l’ISO 14620-1 et, si
possible, des procédures opérationnelles de cas imprévus doivent être définies pour
atténuer les risques de ces pannes.
SAFETY-0040 La conception du segment spatial doit être telle que toute panne prévisible pouvant
conduire à la perte du segment spatial puisse être évitée soit par une action autonome à
bord dans le cas où le contact avec le sol est rompu, soit par une notification au sol claire,
ponctuelle et non ambiguë du problème. Dans ce cas, il doit exister une procédure de
reprise bien définie.
SAFETY-0050 Toute reconfiguration du véhicule spatial (exigée pour des essais en différé ou dans tout
autre but) doit être telle qu’aucune panne, dans une fonction de contrôle ou dans tout autre
élément, n’entraîne une situation dangereuse à bord.
6.6 Flexibilité
FLEX-0010 Les systèmes embarqués doivent être configurables pour être cohérents avec la
contrôlabilité désirée.
FLEX-0020 Le véhicule spatial doit avoir la capacité de fonctionner avec n’importe quel équipement
principal ou redondant ayant les mêmes caractéristiques d’opérabilité.
FLEX-0030 Le véhicule spatial doit être configurable de telle sorte que des solutions définitives de
contournement puissent être introduites en cas de panne non récupérable.
FLEX-0050 Toute sélection ou opération d’un équipement redondant doit être réversible sans perte de
fonctionnalité.
FLEX-0050.1 Les contraintes particulières ou les règles de surveillance d'un équipement redondant
doivent être clairement identifiées.
FLEX-0060 Les entrées et les sorties des fonctions de bord doivent être accessibles du sol pour des
solutions de contournement en cas d’opérations imprévues.
FLEX-0060.1 Les fonctions de bord doivent pouvoir être remplacées par des fonctions au sol.
FLEX-0070 L’allocation des budgets pour les ressources de bord pendant la phase de conception doit
prendre en compte les capacités de secours du pour chaque
sous-système et chaque charge utile afin d’assurer une certaine flexibilité lors de la mission.
FLEX-0080 À tout moment de la mission, sa durée de vie restante doit pouvoir être déterminée avec
précision en accord avec les exigences de la mission.
6.7 Efficacité
EFFIC-0010 L’attribution d’une fonctionnalité entre les segments spatial et sol doit être effectuée de
manière à trouver un équilibre entre les points suivants:
a) Les coûts et les risques de maintenance/exploitation du système peuvent
généralement être réduits en effectuant la plupart des fonctions à bord.
b) Les coûts et les risques de développement pour les segments spatial et sol associés
peuvent généralement être réduits en effectuant la plupart des fonctions au sol. (Voir
CLOOP-0010 pour les exceptions.)
c) Les opérations répétitives peuvent quelquefois être effectuées de manière plus efficace
à bord grâce, par exemple aux délais de transmission, aux temps de visibilité, à la
quantité d’informations/télémesure disponibles, aux flux de commande et à la
réutilisation d’autres fonctions de bord.
d) Le segment sol est, par nature, plus flexible que le segment spatial grâce à sa facilité
d’accès et à des restrictions de ressources moins rigoureuses (masse, puissance, etc.).
6.8 Aptitude aux essais
TEST-0010 Chaque procédé d’application doit permettre d’exécuter un ensemble de fonctions d’essais
de bout en bout.
EXEMPLE Essais effectués sous le contrôle du sol pour vérifier les performances de bout en bout.
Il convient de prendre en considération la fourniture d’une fonction d’essai de bout en bout.
TEST-0020 Une fonction «êtes-vous en vie» doit être fournie pour des essais de connexion de bout en
bout entre le sol et le procédé d’application.
TEST-0030 Les fonctions de bord redondantes doivent pouvoir être vérifiées d’une manière «différée»
(c’est-à-dire en parallèle avec la fonction principale mais sans aucune interférence sur cette
dernière).
TEST-0040 Une observabilité et une contrôlabilité appropriées doivent être fournies pour évaluer le bon
fonctionnement au niveau de l'interconnexion redondante.
TEST-0050 Une unité redondante doit pouvoir être vérifiée avant sa commutation.
TEST-0060 Une mémoire redondante doit pouvoir être chargée et vérifiée avant sa commutation.
TEST-0070 Il faut pouvoir vérifier par des moyens indépendants que toutes les mesures critiques de
bord reflètent de façon fiable les valeurs des paramètres qu’elles représentent, sous tous
les niveaux prévisibles des sources de bruit (radiative, capacitive, inductive ou impulsive).
Les mesures critiques correspondent aux paramètres spécifiques identifiés dans l’exigence
contractuelle du segment spatial comme étant absolument nécessaires pour atteindre les
objectifs de la mission.
6.9 Matrices d’applicabilité
Une matrice d’applicabilité doit être émise par l’organisation chargée de l’approvisionnement ou de la
fourniture du véhicule spatial. Cette matrice doit préciser si toutes les exigences sont applicables. Pour les
exigences non applicables, un justificatif doit être fourni.
10 © ISO 2004 – Tous droits réservés
7 Exigences détaillées
7.1 Exigences pour l’observabilité du véhicule spatial
7.1.1 Conception de la télémesure
TMDES-1010 Des mécanismes de télémesure standard doivent être prévus pour permettre l’accès à
toutes les données nécessaires pour déterminer l’état du véhicule spatial et pour contrôler
l’exécution de toutes les opérations nominales et des opérations d’urgence prévues des
sous-systèmes de la plate-forme véhicule spatial et de la charge utile, c’est-à-dire:
a) l’état de tous les relais et commutateurs;
b) l’état de la puissance de toutes les unités connectées au bus véhicule spatial;
c) l’état de tous les équipements et logiciels embarqués;
d) tous les relevés des senseurs;
e) le contenu de tous les registres;
f) l’indication de tous les événements de bord ayant un impact sur les opérations;
g) l’indication de toutes les actions exécutées par les fonctions autonomes de bord;
h) les paramètres utilisés pour la logique de surveillance et de reconfiguration;
i) l’état de toutes les fonctions autonomes (activer/interdire);
j) l’état de tous les dispositifs de sécurité (enclenchés/ non enclenchés);
k) l’état/la condition des mécanismes déployables et de leurs couvertures;
l) l'état de séparation de tout équipement séparé ou déployé.
Ces données doivent être télémesurées vers le sol d’une manière complète, non ambiguë
et à temps.
Si ces objectifs ne peuvent pas être atteints, d’autres facteurs visibles doivent être identifiés
afin de déterminer l’état des paramètres énumérés.
TMDES-1020 L'état actuel du véhicule spatial et de toute condition anormale nécessitant une intervention
du sol doivent être disponibles dans un sous-ensemble de données.
TMDES-1020.1 Une largeur de bande réservée et adéquate doit être fournie pour ces données (même si
elle n’est pas toujours utilisée).
TMDES-1030 Les paramètres indiquant les fonctions sanitaires vitales du véhicule spatial doivent être
fournis avec une télémesure redondante (par exemple le courant principal du bus, la
tension, la pression des réservoirs à propergol, etc.).
TMDES-1040 Les informations de télémesure doivent être fournies à partir des mesures directes au lieu
des effets secondaires. L’état complet du véhicule spatial doit notamment pouvoir être
obtenu à partir de la télémesure et d’autres facteurs visibles sans avoir besoin de faire
référence à l’historique des télécommandes ou à tout autre registre des actions de bord
autonomes.
TMDES-1050 Dans certains cas, les paramètres peuvent changer de valeur pendant des périodes de
temps très courtes. S’il est nécessaire de détecter de tels événements pour des raisons
opérationnelles (par exemple une indication de panne à bord) et qu’aucun échantillonnage
de télémesure adéquat de ce paramètre ne puisse être fourni, l’événement doit être
enregistré et la valeur enregistrée télémesurée.
TMDES-1060 Pour les équipements en redondance prioritaire, la télémesure doit être mise en œuvre pour
permettre une évaluation indépendante et non ambiguë de l’état de chaque chaîne. Pour
des éléments en redondance, la perte ou la panne d’une voie ne doit pas empêcher l’accès
à la télémesure de l’autre voie.
TMDES-1070 La télémesure doit permettre de déterminer sans ambiguïté les paramètres valides
seulement quand d'autres conditions sont satisfaites.
TMDES-1080 Les résultats et les diagnostics autotest de processeurs/mémoire doivent être disponibles
par l’intermédiaire de la télémesure.
TMDES-1090 La valeur des paramètres analogiques doit pouvoir être obtenue à partir de la télémesure
de sorte que la résolution et la portée soient appropriées aux besoins de surveillance dans
toutes les situations d’urgence prévues et nominales.
TMDES-1100
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...