Analyse d’accident AirAsia: Qui ou quel échec?
Quelques jours seulement après Noël l’année dernière, AirAsia Vol 8051 se rendre à Singapour tragiquement plongé dans la mer. L’Indonésie a achevé son enquête sur l’accident et vient de publier le rapport final. La couverture médiatique, en particulier en Asie, est grande. Les histoires sont encadrées par une erreur pilote mais, en tant que technologues, il y a des leçons à apprendre plus profondément dans le rapport.
L’Airbus A320 est un système à fly-by-fil impliquant qu’il n’y a pas de liaison mécanique entre les pilotes et les surfaces de contrôle. Tout est électronique et bon nombre d’un vol est sous contrôle automatique. Malheureusement, cela implique également que des pilotes ne passent pas beaucoup de temps à voler un avion, éventuellement moins d’une minute, selon un rapport.
Voici le scénario établi par le rapport indonésien: un système informatique de limite de voyages de gouvernail de voyage alarmé quatre fois. Les pilotes ont effacé les alarmes après des procédures normales. Après la cinquième alarme, l’avion a roulé au-delà de 45 degrés, grimpé rapidement, calé et est tombé.
Erreur pilote?
Les titres de médias se concentrent sur ces dernières étapes de la chaîne d’échec, en partie parce que les pilotes n’ont jamais été formés pour gérer le type de contrariété survenue. Ce n’était pas seulement l’airasie qui a omis cette formation sur l’A320. Toutes les compagnies aériennes ont fait parce que Airbus, le fabricant d’aéronefs, ne s’attendait pas à ce que l’aéronef ait jamais eu des contrariétés extrêmes. Notez que la France, en tant que pays hôte de Airbus, a participé à l’enquête.
En tant que technologues que nous devons examiner plus loin. La cause des racines techniques a été des joints de soudure fissurés sur des cartes de circuit imprimé pour le système de contrôle de limite de gouvernail. Ce système limite la quantité de mouvement de gouvernail à grande vitesse. Un point essentiel est que ce même système a échoué 23 fois en 2014. Cela a été considéré comme des dommages mineurs et jamais fixé.
Comme dans de nombreuses situations, la chaîne d’échec est une cascade de défaillances humaines pour répondre correctement à une faute technique. Little discuté dans de nombreux rapports est la façon dont les pilotes ont tenté de réparer la cinquième faute de contrôle du gouvernail. Ils ont suivi des procédures normales pour les premiers défauts, mais la dernière fois qu’ils ont ouvert et réinitialisent un disjoncteur en vol. D’une manière ou d’une autre, cela impliquait que l’autothrust et le pilote automatique ont été déconnectés et jamais restaurés. Cela mettez les pilotes uniquement en contrôle du plan à travers le système à fly-by-fil.
Séquence tragique des événements
Pour résumer, voici les trois échecs essentiels:
Mauvais joint soudure,
Cyclisme le disjoncteur,
Formation de récupération inadéquate.
Nous ne tiendrons pas compte de l’erreur de ne pas dépanner correctement le tableau. C’est un échec humain, mais aussi une question de politique plus importante pour AirAsia et non directement technique.
Les mauvaises articulations de soudure se produisent malgré les meilleurs efforts pour les éviter dans la fabrication. Le diagnostic d’une défaillance conjointe intermittente peut être un cauchemar afin que nous puissions sympathiser avec les responsables de l’aéronef. Dans quelle mesure nous devrions-nous traiter des échecs intermittents dans des systèmes vitaux ou essentiels? Clairement, le système vérifiait son intégrité car il a conservé des avertissements tout au long de 2014. Est-il possible de refuser un système de fonctionner si un certain nombre d’échecs se produisent? Je suggérerais qu’après 6 défauts, cela pourrait avoir une alerte accrue, comme le refusant de démarrer lorsqu’il est alimenté dans un environnement sûr (c’est-à-dire garé sur le sol). Essentiellement, le système dit: “Je sais que je suis mauvais, me répète maintenant.”
Disjoncteur d’aéronefs
Pourquoi les pilotes sont-ils en désordre avec le disjoncteur? Un rapport indique que le pilote a vu un cycle de maintenance d’un disjoncteur pour effacer une faute. C’est bien sur le sol mais pas dans les airs. Pourquoi un pilote essaie-t-il que cela, notamment parce qu’il existe des avis de pilote pour ne pas réinitialiser les disjoncteurs à moins que le système ne soit critique? Le système de contrôle Voici une fonctionnalité de sécurité, mais pas vitale, alors pourquoi ne pas simplement le laisser tomber?
Les gens en général deviennent trop à l’aise avec la technologie parce que cela abonde. Il y a toutes sortes de blagues sur les parents non techniques faisant quelque chose de fou sur un ordinateur, car la même action fixe autre chose.
Malheureusement, cela implique généralement que les gens ne savent pas ce qu’ils ne savent pas. Dans ce cas, les pilotes semblaient ne pas connaître le cyclisme que le disjoncteur perturberait d’autres systèmes. Oui, cela semble inhabituel que cela se produirait et je ne peux pas en discuter parce que je ne sais pas pourquoi cela se produirait. Si cela semble être vrai, il semble être un problème systémique qui doit être adressé. Dans notre travail, nous devons nous assurer que les échecs dans une partie d’un système ne boutent pas les parties critiques ailleurs.
Les pilotes n’étaient pas formés pour gérer le vol bouleversé parce que même Airbus, le fabricant d’aéronefs, ne s’attendait pas à ce que l’aéronef ait jamais été contrariés aussi extrêmement extrêmes. Je suppose que depuis que Murphy n’est pas français, ils ne s’attendent pas à ce que ses effets se produisent là. Cette hypothèse dérivée probablement de l’aéronef étant fly-by-fil. L’attente étant l’aéronef ne se laisserait pas se contrarier de ce degré. Mais les systèmes de vol automatiques ont été perturbés par le cyclisme du disjoncteur.
Emballer
Les échecs dans des systèmes complexes prennentbeaucoup d’efforts pour suivre. Dans cette situation, nous voyons comment trois actions distinctes entraînent l’échec avec un quatrième, l’échec de la maintenance, contribuant grandement. Cela souligne que l’échec total aurait pu être évité à plusieurs reprises: si les joints de soudure n’avaient pas échoué. Si les pilotes n’avaient pas cyclé le disjoncteur. Si les pilotes avaient restauré les ordinateurs de vol automatiques. Si les pilotes avaient réagi correctement après la contrainte.
Même comme les pirates, nous devons garder à l’esprit quand et comment les défaillances peuvent survenir. Nous avons écrit des articles sur des serrures de porte électroniques créées par des pirates informatiques. Comment entrez-vous si la puissance s’éteint ou si une mauvaise articulation de soudure échoue après quelques centaines d’ouvertures et de fermetures de porte? J’espère qu’un essentiel remplacera l’électronique. Heureusement, beaucoup de hacks que nous voyons ne sont pas critiques. Heureusement, les échecs ne feraient pas la vie en danger. Gardons-le comme ça.