… Boeing n’a pas pris en compte la charge de travail du pilote lors de la conception et du test du 737 MAX
Par Moon of Alabama − Le 29 septembre 2019
Les enquêteurs américains des incidents du 737 MAX ont publié leurs premières recommandations concernant les modifications requises sur l’avion le plus vendu de Boeing. Leur analyse des causes de l’accident confirme notre analyse antérieure.
Un récent article du New York Times Magazine, écrit par William Langewiesche, blâmait les pilotes pour le crash de deux avions 737 MAX. Nous avions vivement critiqué cette propagande amicale pour Boeing :
L’attitude de l’auteur consistant à "blâmer les pilotes" est bien exprimée dans ce paragraphe : "Depuis lors, les critiques ont vivement blâmé la difficulté de contrer le MCAS lorsque le système reçoit de fausses indications de blocage. Mais la vérité est qu’il est facile de contrer le MCAS - il suffit d’appuyer sur les fameux commutateurs pour le désactiver. De plus, lorsque vous avez un journal de maintenance qui indique le remplacement d’un capteur d’angle d’attaque deux jours auparavant, puis vous avez un vibreur associé qui s’agite tandis que l’autre vibreur reste silencieux, vous n’avez pas besoin d’un voyant lumineux idiot pour savoir ce qui se passe. En tout état de cause, la reconnaissance d’un désaccord en matière d’angle d’attaque - quel que soit le choix des pilotes - n’a aucune incidence sur cet accident, nous allons donc poursuivre." Une défaillance du capteur AoA et sa conséquence sur le MCAS entraînent les effets suivants : déconnexion imprévue du pilote automatique, avertissement sur la vitesse, alerte de désaccord d'altitude, de décrochage et, après l'intervention du MCAS, d'avertissement de vitesse excessive. Le manche à balai vacille, un claquement fort se fait entendre, plusieurs voyants clignotent ou deviennent rouges, plusieurs instruments de vol affichent des valeurs folles. Tout cela dans une phase de vol critique immédiatement après le décollage lorsque la charge de travail est déjà élevée. C’est cette multitude d’avertissements, dont chacun peut avoir plusieurs causes, qui surprend le pilote et rend impossible le diagnostic et la correction dans les 10 secondes de fonctionnement du MCAS. Affirmer que le "MCAS est facile à contrer" est une erreur flagrante quant à la charge de travail d'un pilote dans une situation aussi critique.
Après la publication de cet article, Langewiesche est passé sur CNBC où il a répété ses accusations diffamatoires :
"Cela équivaut seulement à un compensateur qui s'emballe". "Il n'y a jamais eu de raison de bloquer [le MAX] au sol". "La plus grande erreur de [Boeing] a été de surestimer la qualité des pilotes auxquels il vendait son avion".
La semaine dernière, le Bureau national de la sécurité des transports (NTSB) a publié une recommandation de 13 pages résultant de son enquête sur les incidents du 737 MAX. Il soutient fermement notre point de vue et contredit les affirmations de Langewiesche :
Le MCAS devient actif lorsque l’AoA [l'angle d'attaque] de l’avion dépasse un certain seuil. Ainsi, ces entrées erronées de capteur AoA ont entraîné l’activation du MCAS, lors des vols de l’accident, en fournissant des données au compensateur automatique. La donnée erronée élevée du capteur AoA, qui a entraîné l'activation du MCAS, a également provoqué plusieurs autres alertes et indications pour les équipages. Le vibreur du manche à balai s'est activé au cours des deux vols accidentés. De plus, des alertes de désaccord sur la VITESSE et l'ALTITUDE sont survenues sur les deux vols. L’équipage d’Ethiopian Airlines a également reçu l’alerte Master Caution. En outre, une fois les volets complètement rentrés, les données inattendues du stabilisateur ont obligé les pilotes à appliquer une force supplémentaire sur les manches à balai pour maintenir l’attitude de montée de l’avion. Plusieurs alertes et indications peuvent augmenter la charge de travail des pilotes, et la combinaison de ces alertes et indications n’a pas incité les pilotes de l’accident à exécuter immédiatement la procédure d'emballement du stabilisateur au décollage, lors de la première activation automatique du compensateur de stabilisation.
Les pilotes n’ont pas fait de faute. Plusieurs alarmes ont occupé leur attention. Les hypothèses de Boeing selon lesquelles les pilotes reconnaîtraient immédiatement un stabilisateur qui s’emballe et réagiraient de manière appropriée se sont révélées fausses :
Bien que les travaux du NTSB dans ce domaine soient en cours, sur la base d'informations préliminaires, nous craignons que les réponses du pilote accidenté à l'intervention non intentionnelle du MCAS ne soient pas compatibles avec les hypothèses sous-jacentes relatives à la reconnaissance du problème par le pilote [qui ignorait la présence du MCAS, NdT] et à la réponse utilisée par Boeing, en fonction des directives de la FAA, au sujet de l'évaluation des risques fonctionnels des systèmes de commandes de vol, y compris pour le MCAS, dans le cadre de la conception du 737 MAX.
Ce ne sont pas les pilotes qui ont échoué. Le système a été conçu de manière à rendre extrêmement difficile, voire impossible, le pilotage dans les délais impartis.
Boeing n’a jamais analysé ni testé l’intégralité de la chaîne d’événements qui résulterait d’une défaillance d’un capteur d’angle d’attaque. Boeing a testé une défaillance du MCAS, mais uniquement en tant qu’incident isolé, et non comme cela se produirait dans la vie réelle :
Pour effectuer ces tests sur simulateur, Boeing a provoqué une donnée de compensation qui simulerait le déplacement du stabilisateur à une vitesse et une durée compatibles avec la fonction MCAS. L'utilisation de cette méthode pour créer un danger a eu les conséquences suivantes : rotation de la molette du stabilisateur, augmentation des forces agissant sur le manche à balai et indication que l'avion était en piqué. Boeing a indiqué au NTSB que cette évaluation était axée sur la réponse du pilote aux opérations MCAS non commandées, quelle que soit la cause sous-jacente. Ainsi, les modes de défaillance spécifiques pouvant conduire à une activation du MCAS non commandée (telle qu'une entrée AoA élevée erronée dans le MCAS) n'ont pas été simulés dans le cadre de ces tests de validation de l'évaluation du risque fonctionnel. Par conséquent, des effets supplémentaires sur le poste de pilotage (tels que les alertes désaccord de vitesse et d'altitude et l’activation du vibreur) résultant de la même défaillance sous-jacente (par exemple, un AoA erroné) n’ont pas été simulés et ne figuraient pas dans le rapport d’évaluation de la sécurité du stabilisateur examinée par le NTSB.
Une défaillance de l’AoA déclenche un certain nombre d’alertes et les pilotes ont besoin de temps pour les résoudre. Une défaillance du système MCAS ne laisse pas le temps de régler quoi que ce soit. Les pilotes doivent réagir immédiatement. Mais ils ne peuvent pas le faire lorsque plusieurs autres alarmes causées par la défaillance de l’AoA exigent également leur attention.
Boeing a construit le MAX comme la quatrième génération d’un avion conçu dans les années 1960. À chaque génération, de nouveaux systèmes d’alarmes ont été ajoutés et certifiés. Mais chaque système ajouté n’a été testé que de manière isolée. Une nouvelle analyse de l’arbre de pannes pour l’ensemble de l’avion n’était pas nécessaire car la certification initiale du premier 737 était toujours acceptée comme base. Aucun test sur simulateur n’a été effectué pour vérifier la capacité des pilotes à faire face à plusieurs alarmes qui se produisent lorsqu’un défaut provoque la défaillance de plusieurs systèmes ou instruments interdépendants. Si Boeing avait formulé des hypothèses réalistes sur le temps de réaction du pilote à plusieurs alarmes, le MCAS aurait dû être mis en œuvre différemment.
Le NTSB recommande à Boeing et aux autres fabricants de procéder à de nouvelles évaluations de la sécurité des systèmes en tenant compte des effets de toutes les alarmes et indications du poste de pilotage sur le temps de réaction des pilotes lorsqu’ils réagissent à une défaillance des systèmes de contrôle de vol. Il demande des modifications de conception des systèmes d’alarme et une formation supplémentaire. Le NTSB recommande à la Federal Aviation Administration et aux autres régulateurs d’inclure ces exigences dans leurs règles générales en matière de certification des aéronefs.
Les recommandations du NTSB inciteront probablement la FAA à exiger des modifications supplémentaires sur le 737 MAX actuellement cloué au sol. Ils semblent également pousser la FAA à exiger une formation supplémentaire des pilotes.
Le rapport du NTSB est une mauvaise nouvelle pour Boeing. La plupart des avions concurrents sont beaucoup plus récents que le 737 et possèdent plusieurs capteurs électroniques qui peuvent être facilement combinés pour trier et hiérarchiser les alarmes. Le 737 MAX est encore largement basé sur les anciens systèmes mécaniques et électriques de ses prédécesseurs. Cela rend difficile l’ajout d’un système qui coordonne et hiérarchise la cascade d’alarmes pouvant survenir lors de certains événements. Les changements nécessaires viendront s’ajouter aux autres changements réclamés avec force par les régulateurs internationaux.
Il faudra probablement plusieurs mois avant que le 737 MAX soit à nouveau certifié et puisse retourner dans les airs. Boeing produit toujours 42 MAX par mois. Il faudra probablement arrêter la chaîne de production jusqu’à ce que des solutions valables pour toutes les questions en suspens soient prêtes à être mises en œuvre.
Moon of Alabama
Traduit par jj, relu par Hervé pour le Saker Francophone