Accueil > Sécurité industrielle > Et s’il fallait revoir toute la conception des avions modernes (...)
Accident de l’Airbus A320 AF 447 Rio - Paris
Et s’il fallait revoir toute la conception des avions modernes ?
Les "tubes de Pitot" ne sont pas seuls en cause
jeudi 23 août 2012, par
Dès les premiers éléments connus de l’accident de l’A330 qui effectuait le vol Rio - Paris AF 447, et bien avant le premier rapport du BEA, les sondes "Pitot" (ou "tubes de Pitot", comme on disait autrefois) furent incriminées. Pour les pilotes, cela ne faisait pas l’ombre d’un doute : sans connaissance de sa vitesse, et sans repère visuel, il est impossible de tenir correctement l’assiette d’un avion et le risque de décrochage est alors présent.
Pourtant, résumer l’explication de l’accident à la seule défaillance des tubes de Pitot, c’est en même temps accuser l’A330 -et tous les avions de sa génération- d’un grave manque de "robustesse". Comment un seul défaut, dont on ne peut garantir qu’il n’arrivera jamais de surcroît, peut-il conduire à un accident ?
Que le givrage des sondes Pitot de l’avion soient un élément déterminant fort de l’accident, n’est plus contestable. La lecture du rapport final du BEA n’est pourtant pas un exercice inutile. Comme toujours il faut se garder du bon vieux réflexe d’expert qui n’écoute que son intuition : "ce long document ne fait qu’établir une minutieuse description des circonstances, mais l’élément saillant en tant que fait déterminant est connu depuis le début de l’affaire.".
En vérité, le rapport du BEA révèle bien d’autres choses. Pour peu qu’on veuille bien se défaire de l’idée qu’un phénomène complexe puisse n’avoir qu’une seule cause, ou une cause principale. Cette erreur, pourtant bien identifiée par la psychologie cognitive [1] reste solidement implantée dans nos structures mentales (à tel point qu’on puisse soupçonner un défaut intrinsèque aux réseaux de neurones [2]) et les ingénieurs n’y échappent pas.
Afin d’essayer de s’en libérer, il est peut être utile de commencer par se poser la question : de la longueur ou de la largeur d’un rectangle, quelle est la dimension la plus susceptible d’annuler sa superficie ?
Revenez à cette question à chaque fois que vous êtes tenté de chercher, parmi un faisceau de causes, une "plus importante que les autres"...
Revenons à notre Airbus A330 chahuté dans le ciel de l’Atlantique, sans doute pas loin de cette région que les Guillaumet, Saint-Exupéry et les marins avant eux appelaient le "Pot au noir". Je passe sur les choix stratégiques de l’équipage au moment de l’entrée dans cette zone. Je ne suis pas qualifié pour en parler et, selon le rapport du BEA, il n’y a rien de contestable dans les choix de l’équipage à ce moment là. Et, autant prévenir les partisans de "l’erreur humaine" : mon propos, comme toujours dans cette rubrique, n’est pas de chercher s’il y a eu ou non erreur humaine. Je le répète : il est absurde de dire qu’il n’y aurait pas eu d’erreur et malhonnête d’employer le conditionnel. La question que je me pose est toujours la même : quelles erreurs ont été commises, par qui ont elles été commises et comment sont elles survenues ?
En l’occurrence, je ne crois pas que les pilotes aient commis de faute, dans le sens où ce qu’ils ont fait était normal pour l’état de l’art et où leur interprétation de la situation était biaisée par l’interface homme-machine. C’est bien elle qui est en cause. Et par conséquent, ses concepteurs.
L’enchaînement des faits
Venons en au moment fatidique où le pilote automatique se déconnecte.
A ce moment, il se produit en réalité trois choses :
perte de l’information vitesse, due au givrage des sondes Pitot ; déconnexion du pilote automatique ; passage des commandes de vol électrique en "loi alternate", consécutif à la perte de l’information vitesse.
La déconnexion du pilote automatique et les turbulences se traduisent par un départ en roulis, que le pilote cherche à contrer à la main après avoir annoncé oralement, comme il se doit "j’ai les commandes".
Bien que cette déconnexion soit due à la perte de l’information vitesse, c’est d’abord la déconnexion elle-même qui est apparue aux pilotes. Ce n’est que dix secondes plus tard qu’ils perçoivent la perte de l’information vitesse [3].
La suite, minutieusement décrite dans le rapport du BEA, peut être résumée comme suit : le pilote cherche à contrer le roulis et, volontairement ou non, exerce en même temps une légère action à cabrer. Il est tout à fait possible, compte tenu des informations qui sont affichées à ce moment sur le tableau de bord, qu’il ait même pensé que le principal risque était un risque de survitesse. Auquel cas, son action à cabrer est tout à fait justifiée : elle ne constitue pas une erreur. C’est pourtant elle qui sera, quelques instants plus tard, à l’origine du décrochage.
Je ne m’étends pas sur les aspects cognitifs évoqués par le rapport du BEA, qui sont tout à fait clairs : pour la même raison que nous avons immédiatement identifié les tubes de Pitot comme cause de l’accident, ils ont immédiatement identifié la turbulence comme cause de la déconnexion du pilote automatique. Et ignoré le reste... la capacité limitée de notre mémoire de travail est la cause de ce type d’erreur et elle ne peut pas être reprochée aux pilotes. Il a fallu d’abord qu’ils traitent le problème de la trajectoire de l’avion avant d’analyser la situation.
Malheureusement, la réaction première du pilote fut inappropriée, et ils n’avaient ensuite aucun moyen de s’en rendre compte.
A partir du moment où le pilote automatique se déconnecte, il semble que le pilote en fonction ait toujours pensé être en survitesse ou en risque de survitesse, et qu’aucune indication contraire [4] n’ait permis aux deux pilotes de se rendre compte qu’ils étaient proches du décrochage.
L’analyse du BEA
Le rapport du BEA tente d’expliquer les actions à cabrer du pilote (PF) par une intention préalable de sortir de la couche nuageuse, intention qu’il aurait gardé comme objectif d’action au détriment de la perception des signaux lui indiquant que ce n’était peut-être pas une bonne idée. Du point de vue de la psychologie cognitive, cette explication semble tenir la route. L’intention du pilote est supposée à partir d’une conversation qu’il a eu avec le commandant de bord avant que celui-ci n’aille prendre son repos.
Cette explication n’est pourtant pas pleinement satisfaisante. Pourquoi un objectif tactique (sortir de la couche nuageuse) a-t-il pris le dessus sur ce qui est a priori une base du pilotage ? Et surtout, les faits semblent contredire cette explication :
"Le PNF constate que l’avion monte et demande plusieurs fois de suite au PF de redescendre. Ce dernier fait alors plusieurs actions à piquer qui ont pour conséquence de réduire l’assiette et la vitesse verticale. L’avion se trouve vers 37 000 ft et continue à monter." (rapport final du BEA).
Le PNF (pilot non flying) demande au PF (pilot flying) de redescendre et celui-ci obtempère. Il semble donc avoir renoncé à son objectif de sortir de la couche nuageuse. Mais l’avion continue de monter : autrement dit le PF pense avoir repris une assiette à piquer alors qu’en réalité, il n’a fait que réduire l’assiette à cabrer. Et le PNF ne semble pas percevoir l’anomalie. Il lit l’ECAM (écran de l’ordinateur de bord) et les informations qu’il y trouve semblent confirmer le risque de survitesse : alors que le risque imminent est le décrochage, l’ECAM rappelle la vitesse maximale à ne pas dépasser...
La question reste entière. Pourquoi le PF a-t-il cabré l’avion lorsqu’il l’a repris en main, et pourquoi a-t-il systématiquement sous-évalué l’action à piquer nécessaire, après avoir perdu l’information vitesse ?
Retour aux bases du pilotage
Car, même si cela n’a rien d’évident pour le béotien, la tenue de l’assiette est un élément fondamental du pilotage, de la sécurité de l’avion, et cabrer l’avion n’est jamais une bonne idée lorsqu’on a un doute sur son assiette réelle et sa vitesse.
Le geste du pilote est d’autant plus surprenant qu’il avait son brevet de pilote de planeur : même s’il était le moins expérimenté des trois pilotes à bord, on ne peut lui faire le procès de ne pas connaître les gestes élémentaires du pilotage et notamment celui de "rendre la main" s’il le faut [5].
Paradoxalement, et malgré les remarques justes du BEA sur l’influence des informations présentées aux pilotes, inappropriées pour la construction d’une représentation exacte de la situation, le rapport ne souligne aucunement un autre problème d’ordre psychomoteur : le passage de la loi "normale" à la "loi alternate" des commandes de vol électriques.
Qu’est-ce que ça veut dire ?
Dans un avion de ce type, les commandes de l’avion [6] n’agissent pas directement sur les gouvernes. Un calculateur effectue des corrections sur les gestes des pilotes pour leur interdire de sortir du domaine de vol stable de l’avion et leur donner l’impression que l’avion est naturellement stable.
Ce n’est pas le cas. Il faut ici entrer dans quelques détails aérodynamiques. Disons simplement que sur un avion classique, l’empennage assure la stabilité naturelle de l’avion mais au prix d’une résistance aérodynamique "improductive", ou pour être exacte : non portante. La queue de l’avion le freine et, en même temps, tend à le cabrer tandis que son poids tend à le faire piquer. La conjugaison de ces deux forces contradictoires assure sa stabilité car une légère variation de l’assiette (à cabrer, par exemple) entraîne une variation de l’effet de l’empennage, qui compense la variation et ramène l’avion dans sa position de vol normal. Le pilote peut tranquillement lâcher le manche : l’avion garde à peu près son assiette et sa vitesse.
Il est séduisant, pour améliorer les performances de l’avion, de modifier l’empennage de façon à ce qu’il contribue lui aussi à la portance. Ceci permet de réduire d’autant la taille des ailes et ainsi, de réduire globalement la résistance aérodynamique de l’ensemble de la voilure.
Le problème est que, si l’on fait ainsi, l’empennage perd son rôle d’équilibreur naturel et, au contraire, à tendance à amplifier toute variation d’assiette. L’avion ainsi conçu est alors très instable et demanderait au pilote une vigilance de tous les instants. Ils serait extrêmement fatiguant à piloter et potentiellement dangereux.
Mais l’apparition des commandes de vol électriques a permis de "jouer avec le feu". Grâce aux calculateurs évoqués plus haut, il est tout à fait possible de réaliser un avion naturellement instable mais dans lequel le pilote n’a pas d’effort particulier à faire pour maintenir l’assiette : le calculateur s’en charge.
Des machines trop intelligentes pour être dociles ?
Revenons aux lois "normales", "alternate" et "loi directe". En résumé : en loi normale, le manche n’agit pas directement sur les gouvernes mais commande, en assiette, un "facteur de charge" et, en roulis, un taux de roulis. Il y a de plus des protections : même si le pilote met le manche en butée, les limites de l’avion ne seront pas dépassées (pas de dépassement du facteur de charge maximal, pas de décrochage, pas de survitesse).
En loi alternate, le comportement en assiette est le même mais en roulis, le manche commande directement les gouvernes (la position du manche ne détermine plus directement un taux de roulis). Pour être complet, précisons qu’il existe trois lois alternate : alternate 1, alternate 2 et alternate 2B, légèrement différentes notamment en matière de protections.
Enfin en loi directe, le manche commande directement les gouvernes de roulis et de profondeur, il n’y a aucune protection.
Pour éviter que l’avion parte en survitesse ou en perte de vitesse, les calculateurs ont besoin... de connaître la vitesse. Nous revenons aux sondes Pitot.
Mais si le givrage des sondes Pitot est bien le premier évènement qui survient, et en entraîne d’autres, doit-on pour autant les incriminer et elles seules ?
Autrement dit : est-il judicieux que cette défaillance, déjà très pénalisante pour le pilotage, entraîne automatiquement un changement de comportement de l’avion ?
Imaginez-vous rattraper la trajectoire de votre automobile si, lors de l’éclatement d’un pneu, par exemple, l’assistance de la direction cessait immédiatement de fonctionner ? Un ingénieur vous expliquerait certainement qu’une direction assistée offre trop peu de résistance aux gestes du conducteur et que suite à l’éclatement d’un pneu, il y aurait un risque d’embardée du véhicule. Mais le conducteur, au moment précis où il a besoin de réagir vite et avec précision, ne peut agir que par automatisme (au sens de la psychologie cognitive). Il n’a donc certainement pas besoin que la relation entre ses gestes et les réactions du véhicule change à ce moment, bien au contraire !
C’est pourtant ce qui est demandé aux pilotes de ligne, et qui fut notamment demandé aux pilotes du vol AF 447... précisément au moment où ils auraient dû bénéficier de la fiabilité de leurs gestes de métier, ils se sont retrouvés avec entre les mains une machine qui répondait d’une façon différente de la façon habituelle.
Que dire de plus ?
Entre la théorie du vol et une pratique en partie contradictoire, acquise lors de l’exercice quotidien de son métier, nul doute que ce sont les gestes acquis sur A330 en "loi normale" qui l’ont emporté. Et il n’est pas possible d’exclure que les plus jeunes pilotes -qui ont toujours volé sur des machines à commandes de vol électriques- acquièrent par la force de la répétition, de mauvais gestes. Par exemple, négliger la tenue de l’assiette dans la plupart des cas -parce que le système, en général, le tolère. Et ce n’est pas à l’occasion de formations, ou dans des circonstances accidentelles, que l’on peut acquérir les bons automatismes.
Voir en ligne : Le rapport du BEA
L’A330 serait-il dangereux dès lors que ses sondes Pitot sont givrées ? Ce serait pour le moins inquiétant. Je crois qu’il y a eu dans ce cas, en réalité, conjonction d’au moins quatre facteurs : celui, particulier, de la perte de l’information vitesse ; celui, plus général, de la profusion mal ordonnée d’informations présentées aux pilotes ; celui des effets pervers qu’ont les commandes de vol électrique sur leurs gestes de base ; enfin et surtout, l’aberration qui consiste à modifier automatiquement la loi des commandes de vol pendant une situation critique !
Il est peut-être temps que les ingénieurs en systèmes aéronautiques revoient leurs certitudes et se demandent sérieusement si toute fonction de confort réalisable par l’informatique est nécessairement judicieuse. Leurs collègues ergonomes, dont je ne serais pas surpris qu’ils soient habituellement sollicités, pour la forme, lorsque les décisions sont déjà prises, auraient certainement souvent un avis pertinent à leur donner.
[1] Cf. James Reason, L’Erreur humaine, 1986
[2] Une explication possible est la suivante. Un faisceau d’indices, de stimuli, peut être entièrement mémorisé par un unique neurone situé en sortie du réseau. L’état du neurone (axone "actif" ou non) synthétise en quelque sorte les entrées du réseau : telles synapses dépassent le seuil d’activation, telles autres sont en deçà. On peut faire l’hypothèse que, pour économiser l’usage des neurones, tout ensemble d’informations présent en entrée d’un réseau et qui peut être ainsi synthétisé par l’activation d’un seul neurone terminal, tend effectivement à libérer les neurones d’entrée et à ne conserver de trace que sur le neurone terminal. Mais, en procédant ainsi, il y a perte des détails présents en entrée du réseau et de nombreuses informations qui auraient pu être associées à d’autres, par interconnexions avec d’autres réseaux.
[3] Cet ordre chronologique de perception consciente n’est pas sans conséquence. Par la suite, tout raisonnement des pilotes sur une relation de cause à effet, établira une relation entre turbulence et déconnexion du PA, et négligera la relation réelle qui était entre perte de l’information vitesse et déconnexion du PA. Ce que Reason appelle heuristique anti-boucle s’oppose au réexamen d’une question perçue comme déjà examinée. Cette focalisation est renforcée par la réaction d’urgence intellectuelle, c’est-à-dire le sentiment de ne pas avoir le temps de prendre son temps.
[4] A l’exception de l’alarme de décrochage, qui s’est déclenchée brièvement à plusieurs reprises. Le rapport souligne par ailleurs que l’identification du décrochage n’était pas évidente, plusieurs pilotes avaient déjà mis en doute la pertinence de l’alarme dans des situations semblables en raison de l’incohérence qu’ils percevaient entre cette alarme et le comportement de l’avion : l’alarme se déclenche avant les symptômes habituels du décrochage. Enfin, il n’est pas inutile de souligner qu’une véritable alarme devrait être visuelle, et non auditive : notre mémoire de travail périphérique filtre les informations et accorde la priorité aux informations visuelles. Plusieurs exemples d’alarmes sonores négligées par les pilotes -train d’atterrissage non verrouillé, etc.- confirment leur faible utilité.
[5] "rendre la main", c’est-à-dire accompagner l’aéronef à piquer en cas de décrochage, est un geste que l’on apprend à faire en formation de pilote de planeur
[6] Le manche tout au moins. Sauf erreur de ma part, le palonnier agit toujours directement sur la gouverne de symétrie
