News

Partager sur :

Autour et au-delà du B737MAX

12 février 2021 Articles
Publié par Joëlle STELLA
Vue 279 fois

par la CT 3AF Aviation Commerciale

 

1 - Préambule

Le contexte

L’expérience catastrophique de la mise en service du B737MAX a bouleversé le monde du transport aérien et au-delà, matériellement, moralement et psychologiquement. Certaines répercussions seront de longue durée.

L’histoire de l’aviation commerciale a montré qu’à chaque nouvelle génération d’avion le taux d’accidents mortels ne cessait de baisser en moyenne pour la flotte mondiale quoiqu’un pic relatif du taux d’accidents prenait place dans la phase initiale en service. Les dernières générations semblent refléter de façon nettement moins sensible cette tendance, comme illustré par les deux diagrammes ci-dessous extraits du rapport « A Statistical Analysis of Commercial Aviation Accidents 1958-2019 » d’Airbus.

 

 

Dans ce contexte « globalement rassurant » au niveau de la sécurité aérienne, les deux accidents fatals du B737MAX, dans un bref intervalle de temps, les publications parues et tout ce qui a été révélé à ce jour, ont secoué le secteur aéronautique, jetant un voile sombre mêlant stupéfaction, émotion, incompréhension et indignation.

Le B737 MAX est un avion très éloigné de la version originelle du B737, dérivé plus proche des B737-800/900, cependant il a été l’objet de modifications majeures pour satisfaire les exigences de performances, en « corrigeant » les impacts sur les qualités de vol par introduction de modifications systèmes et logiciels. Le B737MAX n’est pas à proprement parler un représentant d’une nouvelle génération d’avions. Le calcul statistique indiquerait sans doute un pic très élevé en termes de taux d’accident par heure de vol de cette version, mais ceci correspond à une situation très spécifique, non généralisable, liée selon toute apparence à des déficiences graves « hors-norme » dans l’application des modifications, faite sans tenir compte des règles de l’art, en matière de sécurité mais aussi en matière d’information fournie aux compagnies aériennes, en particulier à leurs pilotes.

Objectif de la réflexion

Il ne s’agit pas ici de replonger dans les circonstances, séquences, analyses des faits et causes ou explications, déjà largement couvertes par la presse générale et spécialisée, objets en outre d’analyse de la part des instances réglementant la Navigabilité. Il ne s’agit pas non plus de porter des jugements hâtifs ou accusations définitives, qui anticiperaient sur les conclusions qui ressortiront des rapports formels encore attendus.

Ces événements tragiques donnent et obligent cependant à réfléchir au-delà des analyses immédiates. Sans prétendre aucunement à l’exhaustivité, il est seulement ambitionné ici, de s’interroger en particulier sur la question de la délégation d’autorité dans les processus de certification (section 2), puis d’initier une réflexion mettant l’ensemble du sujet dans une perspective élargie (section 3).

 

2 - Jusqu’à quel point l’exercice de certification peut-il être délégué?

Le cas du B737MAX 

« Une Agence de certification défaillante, des procédures désuètes, un manque d'expertise qui la rend incapable d'examiner en profondeur les changements de conception du système anti-décrochage… » : les conclusions de la Joint Authorities Technical Review (JATR)* sont très sévères pour la Federal Aviation Administration. Les experts de la JATR, la structure internationale nommée en mars 2019 pour enquêter sur la certification du  « Maneuvering Characteristics Augmentation System » (MCAS) impliqué dans les accidents mortels de Lion Air et d'Ethiopian, reprochent notamment à l'agence fédérale américaine chargée des réglementations et des contrôles, d'avoir délégué des tâches de certification « de haut niveau » aux constructeurs eux-mêmes. Une pratique ancienne qui devra être revue en profondeur.

* la JATR réunit des experts de la FAA, de la NASA et de neuf autres autorités de régulation du trafic aérien : l'Agence européenne de la sécurité aérienne et des représentants de l'Australie, du Brésil, du Canada, de la Chine, du Japon, de l'Indonésie, de Singapour et des Emirats arabes unis.

  

 

Un « Major Change »

On peut en effet se poser des questions fondamentales sur le principe de certification qui a été suivi: faire évoluer un type au préalable certifié, en changeant les moteurs par des plus gros, les portant plus avant en allongeant les mâts réacteurs et par conséquent, avoir un impact direct sur le centre de gravité et un effet important sur la stabilité longitudinale (moment à cabrer bien plus important), constitue une évolution significative du type. De notre point de vue elle doit être considérée comme un « major change » (modification majeure), à examiner en tant que telle par l’autorité de certification.

En outre, pour éviter un effet de « pitch-up » (cabré), non récupérable en lisse à grande incidence, un automatisme de récupération a été introduit, non redondant, donc non surveillé, dont les équipages de conduite n’ont pas été informés, les laissant sans moyen de surpassement, en contradiction totale avec les règles de l’art.

Une Certification par délégation

D’un point de vue certification, comment se satisfaire de savoir que ce constructeur a certifié ce que nous considérons comme une modification majeure par application de la délégation d’approbation donnée par la FAA selon l’ODA (Organization Designation Authorization)** basée sur la reconnaissance de leur propre personnel (DER et/ou DAR) ?

** ODA : Organization Designation Authorization: ), a été adoptée en 2005 sous la pression du lobby aéronautique sur fond de dérégulation et de baisse du budget de l'agence américaine. Elle permet à l'avionneur de choisir les ingénieurs devant inspecter ses avions (DER ; Designated Engineering Representative, ou DAR  ( Designated Airworthioness representative)) la FAA apposant seulement son imprimatur.

« L'extension de délégation ne compromet pas en elle-même la sécurité si elle est suivie et supervisée par l’Autorité de tutelle. Mais dans le cas du programme B737 MAX, la FAA ne devait pas avoir une connaissance suffisante du MCAS ce qui, associé à sa faible implication, l'a rendue incapable de fournir une évaluation indépendante. » dit encore le JATR.

Le panel JATR ne remet pas en cause le principe du transfert par la FAA de l'évaluation de certains systèmes et logiciels du 737 MAX à Boeing.

Mais comment ne pas s’étonner qu’à l’intérieur de la FAA et chez le constructeur, parmi ceux qui étaient « investis de l’autorité FAA » pour approuver les modifications de conception, des personnes aient pu être soumises à de très fortes pressions internes (à en juger par de multiples articles, rapports et témoignages), qui si c’est avéré, les auraient conduites à donner un feu vert ?

Un DOA « Design Organization Approval », supporté par l’EASA, basé sur un Système d’assurance du système, avec un DOM (Design Organisation Manual) manuel reflétant les impératifs de surveillance de l’autorité), aurait pu normalement empêcher cette situation de par sa propre fonction d’assurance au niveau de la conception.

 

Le concept DOA

 

Le concept « DER » ou « DAR » utilisé dans le ODA ne devrait pas se satisfaire d’une appréciation individuelle, sans le support d’un système d’assurance de la conception, qui lui, prendra ou fera prendre toutes les garanties nécessaires avant de donner un accord par délégation de l’autorité.

Un mandat limité pour la JATR

Présidé par Christopher Hart, l'ancien président du « National Transportation Safety Board » (NTSB), l'agence civile indépendante du gouvernement qui enquête sur les accidents d'avion, la JATR.est mandatée pour se  prononcer sur la façon dont le MCAS a été approuvé en 2017 et faire des propositions. Ce panel n'a en revanche pas son mot à dire sur les améliorations que Boeing doit apporter à son logiciel afin d'obtenir le feu vert de la FAA. Feu vert qui permettrait aux 737 MAX  cloués au sol depuis mars 2019 de revoler aux Etats-Unis et dans le monde entier. Dans un communiqué publié alors, le nouvel administrateur de la FAA, Steven Dickson, fait savoir qu'il examinera les recommandations et « prendra les mesures appropriées ».

Position de la CT Aviation Commerciale sur la question de la délégation

Nous ne considérons pas que le principe de délégation est à rejeter, et préconisons plutôt d’en apprécier son contexte en rendant indépendant la « conception » du « design assurance ».

Un DOA tel que prôné par l’EASA a fait ses preuves : il assure l’indépendance de la décision. Certes le cheminement est complexe et lourd, mais est garant d’une stricte vérification de conformité aux bases règlementaires.

Il deviendra crucial dans le futur de préserver et de renforcer le principe d’évaluation indépendante dans la perspective de l'incorporation de systèmes avioniques très complexes faisant appel à l’apprentissage profond (peut-être dès 2024), pour lesquels la validation indispensable couvrant tous les cas critiques exigera du temps et des ressources qui ne devront pas être amputés, faute d’incompatibilité avec les exigences de sécurité.

 

La navigabilité des avions équipés de ces systèmes futurs et son maintien dépendront d’une telle capacité d’évaluation indépendante, non biaisée, non tronquée, activée en permanence, apte à compenser la perte de maîtrise déterministe inhérente à des systèmes ayant des comportements plus difficiles à prévoir.

Ceci est aussi une condition nécessaire à l’acceptabilité de tels systèmes, aux plans sociologique et psychologique.

 

3 - Des leçons à tirer en profondeur de l’expérience du B737 MAX 

Certaines évolutions engendrent-elles potentiellement des effets délétères ?

Les ingénieurs en aéronautique nés du baby-boom qui a suivi la seconde guerre mondiale, dont le parcours professionnel s’est effectué dans la période 1970 - 2010, ont vécu les mutations profondes de leur secteur (sans doute similaires à celles survenues dans d’autres domaines). D’une manière très schématique, le secteur était dominé d’abord par les « techniciens » (culminant avec le produit d’exception Concorde), puis ce monde a petit à petit évolué, en lien avec l’essor considérable de l’aviation commerciale (en termes de trafic, marché et chiffres d’affaires), spectaculaire en Europe qui partait d’une position très modeste, mais très important aussi aux USA. Ce secteur a ainsi connu une emprise devenue industrielle (Airbus Industrie en l’espèce, avec forte implication encore des États, concentration de l’aviation commerciale aux Etats-Unis) puis a connu, comme conséquence évidente une concurrence commerciale très intense qui s’accompagne aujourd’hui de la prégnance des objectifs financiers dans le duopole mondial.

En lien avec la montée exponentielle des enjeux financiers, les états-majors, les organigrammes et le travail quotidien ont reflété les changements, avec de nos jours, dans le management, une part plus grande des activités consacrées par des ingénieurs hautement qualifiés à alimenter des données de gestion, de statistiques et de « reporting ». Ceci a pour effet potentiel d’amputer l’approfondissement des questions techniques, le risque étant alors de substituer à la réflexion approfondie et collective, une communication élaborée, pouvant conduire à une illusion sur le niveau réel de technicité sous-tendant le travail effectué, avec en conséquence un impact sur la transmission de l’expérience et du savoir-faire, même à l’heure d’outils numériques sophistiqués.

Certes, la situation décrite ici de manière caricaturale ne s’applique pas uniformément ni systématiquement. Toutes les évolutions n’ont pas que des effets délétères, certaines sont inévitables, d’autres bénéfiques. Par ailleurs, jusqu’à un certain point, il était nécessaire qu’avec la montée des enjeux concurrentiels, la gestion financière soit contrôlée de manière plus exigeante qu’elle ne l’était. Il semble probable qu’une situation telle que schématiquement dépeinte ait pu jouer un rôle dans le cas du B737MAX, sur la base de ce que l’on en connait aujourd’hui, en termes de perte des règles de l’art de l’industrie, ce dont il faut prendre conscience et se prémunir.

Effets globaux des pressions indues dans le cas du B737MAX

Le cas du Boeing 737 MAX (deux accidents fatals, 346 morts) est révélateur, illustrant de manière tragique un enchaînement funeste de décisions liées selon toute apparence à une pression commerciale donc financière énorme pesant non seulement sur les processus de certification comme expliqué ci-dessus, mais déjà à la base sur la définition des modifications majeures de cette version (lancée « en urgence » pour affronter la concurrence). Il en a résulté des lacunes dans les analyses de sécurité, au mépris des principes les plus élémentaires (cas de pannes, redondances, etc.), à un point qui reste incompréhensible à ce jour, le tout aggravé par des pratiques de délégation « sans filet » de l’agence de sécurité au constructeur, des procédures d’information et d’entraînement des équipages incomplètes, un manque de réaction aux avertissements des ingénieurs d’essais de Boeing semble-t-il, aux incidents précurseurs en service, au premier accident.

La situation s’est développée autour du cas bien particulier d’un avion dérivé d’une version ancienne, poussée aux limites, dans le but de produire en temps utile un concurrent, parce qu’un nouvel avion arriverait trop tard sur le marché. On connaît l’ordre de grandeur du coût final pour Boeing : 20 ou 25 milliards de $, ou plus ? (du même ordre de grandeur que pour le développement d’un nouvel avion !), 1 an ½ ou 2 ans de retard (?), une image de marque écornée… Ce fiasco est une sévère leçon pour toute l’industrie, les constructeurs, avionneurs et motoristes, toutes les autorités de certification, et évidemment au-delà du périmètre de l’aviation.

On notera au passage que le principe de la délégation de certification en soi n’est pas remis en cause, pourvu qu’il soit accompagné comme en Europe d’un système de « design assurance » indépendant de la conception (voir plus haut).

On notera également que l’automatisation des systèmes en soi n’est pas perçue comme facteur d’accroissement des risques : au contraire, elle est un atout qui permet de les diminuer, comme l’indique l’amélioration du niveau de sécurité d’une génération d’avion à la suivante, et cela se poursuivra, mais ces évolutions ne dispensent pas d’appliquer les principes et les méthodes intangibles d’assurance de la sécurité, en les adaptant chaque fois que nécessaire aux nouvelles technologies et configurations.

Penser au futur…

Le constat du cas du B737MAX est d’autant plus inquiétant que les tendances à des choix de court terme sous très fortes contraintes financières parce que concurrentielles, vont être de plus en plus prégnantes. Il est donc crucial que l’expérience douloureuse du B737MAX soit mise à profit pour faire un véritable « examen de conscience », impliquant tous les acteurs concernés, le suivi des correctifs indispensables à tous les niveaux, ce qui n’est évidemment pas une mince affaire…

Il est tentant de rapprocher ce qui est décrit ici de la situation qui existe dans d’autres domaines et filières, partout en fait où il est essentiel de préserver un équilibre entre les divers critères de fonctionnement, notamment dans les domaines scientifiques, techniques, industriels et opérationnels, où la sécurité est une exigence. Pondérer les critères techniques, économiques, commerciaux et financiers, en fonction des objectifs poursuivis, est impératif dans les structures organisationnelles, la mise en œuvre des moyens, les mécanismes de prise de décision. Ceci est indispensable, comme l’équilibre des pouvoirs en démocratie, la prédominance de l’un sur les autres dans la gouvernance comme au sein de toutes les organisations, étant très dommageable. Il est néanmoins essentiel, au moment de prendre des décisions, que les critères dont dépendent les objectifs de sécurité restent prioritaires.

 




Aucun commentaire

Vous devez être connecté pour laisser un commentaire. Connectez-vous.