Il y a deux exigences majeures:
3.1.1 Space systems shall be designed so that no two failures result in crew or passenger fatality or permanent disability (Requirement 34419).
3.1.6 Space systems shall not use emergency systems or contingency and emergency operations (such as fire suppression or crew escape) to satisfy the two-failure tolerance requirement or two-inadvertent action requirement (Requirement 34429).
A la lecture de la 3.1.1 on peut se dire qu'un système Fail Op/Fail Safe remplit la demande. Ariane 5 étant redondée complètement au niveau électrique (A4 ne l'était pas au niveau calculateur) la première panne permet de continuer la mission, la deuxième conduit à une évacuation de l'équipage. C'est un peu limite car le Fail Safe est obtenu par destruction du lanceur en cas de vol non habité et il est bien entendu que ce ne pourrait être le cas avec des hommes à bord. Il faut bien voir qu'en cas d'avarie ultime la séquence de destruction est déclenchée par la rupture de fils courant le long de la structure lanceur lorsque celle ci commence à perdre son intégrité. Il n'y a pas besoin d'avoir une système électrique foonctionnel pour y arriver. Sans compter le suivi optique à terre par l'opérateur de sauvegarde. Avec des hommes à bord il faudrait détecter la panne avant que le lanceur ne commence à se briser. Soit on fait une absolue confiance aux autotests, ce qui est déja le cas (une hypothèse forte du système est que les SRI comme les OBC sont capables de s'autodétecter en panne). Soit il faut passer à du triplex. C'est exactement ce qui était fait sur Hermès (quadruplex même).
On garde le lanceur et on remplace la case lanceur par la case du véhicule habité. C'est une option de design car on peut aussi garder une case lanceur et une case véhicule habité.
Là où cela se gate c'est que la deuxième exigence 3.1.6 exclut l'utilisation des moyens de sauvegarde en cas de deuxième panne. Sur une A5 ça ne marche plus du tout. Par exemple perdre les deux bus 1553 (en imaginant un pool calculo dans le véhicule habité) conduit à évacuer le lanceur fissa car il n'y a plus aucune commandabilité restante.
Conclusion, en appliquant le doc NASA au pied de la lettre côté électrique, il faut passer au moins en triplex sur les chaînes électriques lanceur et remplacer la case actuelle par une architecture en quadruplex au niveau calculateur. C'est pas gagné au niveau de la facture. Surtout si on veut en plus faire de la diversité logicielle. Sans compter, par ailleurs, les coûts de validation du bastringue.
Anecdotiquement je suis assez curieux de savoir si les Atlas sont en triplex?
J'ai lu dans un post que les redondances avaient été réduites sur A5 pour gagner de la charge utile. A ma connaissance ce n'est pas exact. Le design a toujours été en duplex depuis l'origine et l'est toujours. Comme mentionné on a même redondé le calculateur de vol qui ne l'était pas sur les Ariane 4 et précédentes.
Le rationnel de la redondance sur un lanceur non habité n'est pas tellement la sécurité, on peut toujours le détruire en vol, mais la probabilité de succès qui est un facteur économique et commercial important. L'ordre de grandeur du coût du système électrique est dans les 10% du coût total du lanceur, ne pas le redonder ne fait pas gagner grand chose au regard des coûts d'assurance qui prennent en compte la fiabilité pour fixer la facture.
Enfin, quant à la configuration d'un véhicule ailé au sommet du lanceur ou accroché sur le réservoir, ce n'est pas non plus une décision économique, comme il m'a semblé le lire, mais le résultat de considérations d'efforts aérodynamiques et de stabilité du composite. De ce point de vue, la configuration d'Hermès n'était pas très glorieuse, disons qu'il y a eu une certaine pudeur sur le sujet.... La plupart des lancements d'un véhicule ailé ont eu lieu en configuration 'sur réservoir':
Shuttle, Bourane et son homonyme qui était un missile de croisière à statoréacteurs de chez Lavochkine, Navaho américain et sans doute d'autres que je ne connais pas. Les contre exemples existent mais il s'agit en général de très petits véhicules limitant fortement les moments aérodynamiques sur la structure.
Bons Vols