ARIANE 5

Otro ejemplo documentado sobre el daño ocasionado por software mal diseñado es el de la explosión del lanzamiento del Ariane 5 el 4 de Junio de 1996, cuando a 40 segundos después de la iniciación de la secuencia de vuelo, la lanzadera se desvió de su ruta, se partió y explotó. En el proyecto global se invirtieron 10 años de construcción y 7 mil millones de euros, lo que supuso un duro varapalo para la Agencia Espacial Europea (ESA).

El objetivo era poner dos satélites de tres toneladas en órbita. En cambio el resultado fue que a los 39 segundos del lanzamiento el cohete se desintegra, perdiendo los dos caros satélites.

A los 36,7 segundos el software de guiado inercial produce overflow al convertir un número representado en 64 bits (float) a 16 bits (int). Caída del sistema de backup, a los 0.05 segundos caída del sistema principal. El sistema de control principal recibe datos de diagnóstico que interpreta como datos de vuelo (ha cambiado la posición del cohete).Fuerte reacción para corregir la trayectoria. Desintegración por la fuerza aerodinámica. Autodestrucción. Causas: El sistema de guiado inercial es el mismo que en Arianne 4, por lo que no se prevé protección contra este overflow ya que estas comprobaciones se hacen en otro lugar, y no se había producido nunca. 

La velocidad horizontal de Ariane 5 es cinco veces superior a la de su antecesor, lo que provoca este overflow. Las especificaciones y pruebas realizadas no lo tuvieron en cuenta.«La excepción de sofware interna del SRI fue causada durante la ejecución de una conversión de datos desde coma flotante a 64 bits hasta valor entero con signo de 16 bits.

El número en coma flotante que fue convertido tenía un valor mayor del que podía ser representado por un entero con signo de 16 bits. Esto dio lugar a un Error de Operando. Las instrucciones de conversión de datos (en código Ada) no estaban protegidas de causar un Error de Operando, aunque otras conversiones de variables comparables en el mismo lugar en el código estaban protegidas.