Artemis II marcó el regreso de la humanidad a la vecindad lunar tras más de cincuenta años, y la NASA ha aprovechado la misión para detallar públicamente la sofisticada arquitectura informática que hace posible un vuelo de esta complejidad. Mientras que el programa Apollo confiaba en un procesador de un megahercio con cuatro kilobytes de memoria para tareas específicas, la cápsula Orión de Artemis II gestiona prácticamente todas las funciones críticas para la seguridad, incluyendo el soporte vital y el enrutamiento de comunicaciones, a través de una red de computadoras distribuidas.

El corazón del sistema lo constituyen dos Computadoras de Gestión de Vehículo, cada una con dos Módulos de Control de Vuelo, lo que suma un total de cuatro módulos. Dentro de cada módulo hay un par de procesadores que se autocontrolan mutuamente, dando como resultado ocho unidades de procesamiento que operan en paralelo. La estrategia se conoce como “Power of Eight” y, según Nate Uitenbroek, responsable de integración y verificación de software de la misión, “podemos perder tres módulos de control de vuelo en veintidós segundos y seguir funcionando de forma segura con el último módulo”. Si un procesador comete un error de cálculo debido a la radiación del espacio profundo, el sistema detecta la anomalía y silencia el módulo en lugar de transmitir un resultado incorrecto, un enfoque denominado “arquitectura de fallo silencioso”.

El funcionamiento en paralelo de múltiples computadoras requiere una disciplina arquitectónica estricta para evitar derivas de temporización. El sistema emplea Ethernet temporizado, un scheduler compatible con ARINC653 que opera dentro de “marcos mayores” divididos en “marcos menores”, y técnicas de partición temporal y espacial que garantizan que las entradas y salidas se alineen perfectamente con el calendario de la red. Cada segundo se mide la deriva de cada módulo individual y se recalibra su reloj local; si una aplicación pierde una deadline, el módulo es silenciado, reiniciado y resincronizado en pleno vuelo.

Como capa final de protección contra fallos de modo común —errores de software presentes en todos los canales primarios simultáneamente—, Orióntransporta un Software de Respaldo de Vuelo completamente independiente. Este sistema corre en hardware diferente, utiliza un sistema operativo distinto y fue desarrollado por un equipo separado del sistema primario. Según la NASA, este software se ejecuta constantemente en segundo plano y está preparado para asumir el control si el sistema principal falla, llevando la nave a una “fase de reposo” desde la que la tripulación puede intentar la recuperación. La arquitectura ha sido validada mediante simulaciones de Monte Carlo y pruebas de inyección de fallos a gran escala en supercomputadoras de alto rendimiento.

Lee la historia completa en Ars Technica.