Peut être déjà posté ici, désolé si c'est le cas: https://www.seattletimes.com/business/boeing-aerospace/failed-certification-faa-missed-safety-issues-in-the-737-max-system-implicated-in-the-lion-air-crash/
Et en Français (approximatif):
Dimanche 17 mars 2019.
Les responsables de la Federal Aviation Administration ont poussé ses ingénieurs à déléguer à Boeing la responsabilité d’évaluer la sécurité du 737 MAX. Mais les ingénieurs en sécurité qui connaissaient bien les documents ont partagé des détails montrant que l'analyse comportait des défauts cruciaux.
Dominic Gates Par Dominic Gates
Journaliste aéronautique du Seattle Times
Alors que Boeing s'acharnait en 2015 pour rattraper Airbus et certifier son nouveau 737 MAX, les responsables de la Federal Aviation Administration (FAA) ont poussé les ingénieurs de la sécurité de l'agence à déléguer les évaluations de la sécurité à Boeing et à approuver rapidement l'analyse résultante.
Mais l'analyse initiale de sécurité fournie par Boeing à la FAA pour un nouveau système de contrôle de vol sur le MAX - un rapport utilisé pour certifier que l'avion était sûr à voler - comportait plusieurs failles cruciales.
Ce système de contrôle de vol, appelé MCAS (Système d’augmentation des caractéristiques de manoeuvre), fait maintenant l’objet d’un examen minutieux après deux accidents survenus à l’avion en moins de cinq mois qui ont abouti à l’ordre donné mercredi par la FAA de faire échouer l’appareil.
Les ingénieurs actuels et anciens directement impliqués dans les évaluations ou familiarisés avec le document ont partagé des informations détaillées sur «l'analyse de la sécurité du système» de Boeing, ce que The Seattle Times a confirmé.
L'analyse de sécurité:Nous avons minimisé la puissance du nouveau système de contrôle de vol, conçu pour faire pivoter la queue horizontale et abaisser le nez de l'avion afin d'éviter un décrochage. Lorsque les avions sont ensuite entrés en service, le MCAS était capable de déplacer la queue plus de quatre fois plus loin que ce qui était indiqué dans le document d'analyse de la sécurité initiale.
Impossible de prendre en compte la manière dont le système pourrait se réinitialiser à chaque intervention du pilote, ce qui lui aurait manqué l'impact potentiel du système en poussant à plusieurs reprises le nez de l'avion vers le bas.
Évalué une défaillance du système comme un niveau inférieur au niveau «catastrophique». Cependant, même ce niveau de danger «dangereux» aurait dû empêcher l'activation du système sur la base d'une entrée provenant d'un seul capteur - et pourtant, c'est ainsi qu'il a été conçu.
Les personnes qui ont parlé au Seattle Times et qui ont partagé les détails de l'analyse de la sécurité ont toutes parlé sous le couvert de l'anonymat pour protéger leurs emplois à la FAA et dans d'autres organisations aéronautiques.
Boeing et la FAA ont été informées des détails de cette histoire et ont été invitées à répondre, il y a 11 jours, avant le deuxième crash d'un 737 MAX dimanche dernier .
Vendredi soir, la FAA a déclaré avoir suivi son processus de certification standard sur le MAX. Citant une semaine occupée, un porte-parole a déclaré que l'agence était «incapable de se pencher sur des enquêtes détaillées».
Boeing a répondu samedi avec une déclaration selon laquelle "la FAA a pris en compte la configuration finale et les paramètres de fonctionnement du MCAS lors de la certification MAX, et a conclu qu'elle répondait à toutes les exigences de certification et réglementaires."
En ajoutant qu'il est «incapable de commenter… à cause de l'enquête en cours» sur les accidents, Boeing n'a pas répondu directement à la description détaillée des failles de la certification MCAS, au-delà de dire «il y a quelques erreurs de personnalisation importantes».
Plusieurs experts techniques de la FAA ont déclaré que l'accident de Lion Air en octobre, dans lequel les enquêteurs indonésiens avaient clairement impliqué le MCAS, n'est que le dernier indicateur en date du fait que la délégation de l'agence en matière de certification des avions est allée trop loin et qu'il est inapproprié que les employés de Boeing aient tant d’autorité sur les analyses de sécurité des avions à réaction Boeing.
«Nous devons nous assurer que la FAA est beaucoup plus impliquée dans les évaluations des défaillances et les hypothèses qui les sous-tendent», a déclaré un ingénieur de sécurité de la FAA.
Certification d'un nouveau système de contrôle de volContre la longue tradition de Boeing consistant à donner au pilote le contrôle complet de l'avion, le nouveau système de contrôle de vol automatique MCAS du MAX a été conçu pour agir en arrière-plan, sans intervention du pilote.
C'était nécessaire parce que les moteurs beaucoup plus gros du MAX devaient être placés plus loin sur l'aile, ce qui modifiait la portance aérodynamique de la cellule.
Conçu pour ne s'activer automatiquement que dans la situation extrême de vol d'un décrochage à grande vitesse, ce coup de pied supplémentaire en bas du nez donnerait à l'avion la même sensation pour un pilote que les modèles plus anciens, le 737.
Les ingénieurs de Boeing autorisés à travailler pour le compte de la FAA ont mis au point le System Safety Analysis for MCAS, document qui a été partagé avec les autorités de réglementation de la sécurité aérienne étrangères en Europe, au Canada et ailleurs dans le monde.
Le document, "développé pour assurer le fonctionnement sûr du 737 MAX", concluait que le système était conforme à toutes les réglementations applicables de la FAA.
Pourtant, des données de boîte noire récupérées après l'accident de Lion Air indiquent qu'un seul capteur défectueux - une girouette à l'extérieur du fuselage mesurant "l'angle d'attaque" de l'avion, l'angle entre le flux d'air et l'aile - a déclenché plusieurs fois le MCAS. vol mortel, initiant un bras de fer alors que le système poussait à plusieurs reprises le nez de l'avion vers le bas et que les pilotes luttaient avec les commandes pour le relever, avant le crash final.
Mercredi, lors de l'annonce de l'échouement du 737 MAX, la FAA a cité des similitudes dans la trajectoire de vol du vol Lion Air et dans le crash du vol 302 d'Ethiopian Airlines dimanche dernier.
Les enquêteurs ont également découvert le vérin de l'avion éthiopien , une pièce déplaçant la queue horizontale de l'avion, qui indiquait que la queue horizontale du jet était dans une position inhabituelle - avec MCAS comme raison possible.
Délégué à BoeingLa FAA, invoquant le manque de financement et de ressources, a au fil des années délégué à Boeing le pouvoir croissant d’assumer davantage de travaux de certification de la sécurité de ses propres avions.
Au début de la certification du 737 MAX, l'équipe d'ingénierie de la sécurité de la FAA a divisé les évaluations techniques qui seraient déléguées à Boeing par rapport à celles qu'elles jugeaient plus critiques et seraient conservées au sein de la FAA.
Cependant, plusieurs experts techniques de la FAA ont déclaré lors d'entretiens que, à mesure que la certification se poursuivait, les responsables les incitaient à accélérer le processus. Le développement du MAX accusait neuf mois de retard sur son rival Airbus A320neo. Le temps presse pour Boeing.
Un ancien ingénieur en sécurité de la FAA, directement impliqué dans la certification du système MAX, a déclaré qu'à mi-parcours du processus de certification, «la direction nous a demandé de réévaluer les tâches qui seraient déléguées. La direction a pensé que nous avions trop retenu les efforts de la FAA.
«Il y avait une pression constante pour réévaluer nos décisions initiales», a déclaré l'ancien ingénieur. «Et même après l'avoir réévalué… la direction a poursuivi ses discussions sur la délégation d'un nombre encore plus grand d'éléments à la société Boeing.»
Même les travaux retenus, tels que la révision des documents techniques fournis par Boeing, ont parfois été réduits.
"Il n'y a pas eu d'examen complet et approprié des documents", a ajouté l'ancien ingénieur. “L’examen a été précipité pour atteindre certaines dates de certification.”
Lorsque le personnel technique de la FAA disposait de suffisamment de temps pour mener à bien un examen, les responsables signaient parfois les documents eux-mêmes ou déléguaient leur examen à Boeing.
"Les responsables de la FAA, et non les experts techniques de l'agence, ont l'autorité de délégation en dernier ressort", a déclaré l'ingénieur.
Limite inexacteDans cette atmosphère, l’analyse de la sécurité du système sur MCAS, un des nombreux documents nécessaires à la certification, a été déléguée à Boeing.
Le document Boeing original fourni à la FAA incluait une description spécifiant une limite du mouvement possible de la queue horizontale du système, une limite de 0,6 degré sur un maximum physique d'un peu moins de 5 degrés de piqué.
Cette limite a été ultérieurement augmentée après que des tests en vol eurent montré qu'un mouvement plus puissant de la queue était nécessaire pour éviter un décrochage à grande vitesse, lorsque l'avion risquait de perdre la portance et de descendre en spirale.
Le comportement d'un avion dans un décrochage à grand angle d'attaque est difficile à modéliser à l'avance uniquement par analyse. Par conséquent, comme les pilotes d'essais effectuent des procédures de récupération de décrochage lors des essais en vol sur un nouvel avion, il n'est pas rare d'ajuster le contrôle logiciel pour affiner les performances du jet.
Après le crash du vol 610 de Lion Air, Boeing a pour la première fois fourni aux compagnies aériennes des informations détaillées sur MCAS. Le bulletin de Boeing aux compagnies aériennes indiquait que la limite de commande de MCAS était de 2,5 degrés.
Ce nombre était nouveau pour les ingénieurs de la FAA qui avaient vu 0,6 degré lors de l'évaluation de la sécurité.
"La FAA pensait que l'avion avait été conçu avec une limite de 0,6, et c'est également ce que pensaient les autorités de réglementation étrangères", a déclaré un ingénieur de la FAA. "Cela fait une différence dans votre évaluation du danger en cause."
La limite supérieure signifiait que chaque fois que le MCAS était déclenché, il provoquait un mouvement de la queue beaucoup plus important que celui spécifié dans ce document d'analyse de la sûreté d'origine.
L'ancien ingénieur de sécurité de la FAA qui travaillait sur la certification MAX et un ancien ingénieur des commandes de vol de Boeing qui travaillait pour le MAX en tant que représentant autorisé de la FAA ont tous deux déclaré que ces analyses de sécurité devaient être mises à jour pour refléter les informations les plus précises sur l'aéronef essais en vol suivants.
"Les chiffres devraient correspondre à la conception qui a été testée et mise en service", a déclaré l'ancien ingénieur de la FAA.
Mais tous deux ont déclaré que des accords avaient parfois été conclus pour mettre à jour les documents uniquement à une date ultérieure.
"Il est possible que les derniers chiffres ne soient pas indiqués, tant qu'ils ont été examinés et qu'ils ont conclu que les différences ne changeraient pas les conclusions ou la gravité de l'évaluation des dangers", a déclaré l'ancien ingénieur des commandes de vol de Boeing.
Si le document final d'analyse de la sûreté a été mis à jour en partie, il contenait certainement encore la limite de 0,6 à certains endroits et la mise à jour n'a pas été largement communiquée au sein de l'équipe d'évaluation technique de la FAA.
«Aucun des ingénieurs n’était au courant d’une limite supérieure», a déclaré un deuxième ingénieur actuel de la FAA.
La différence par rapport à ce nombre est amplifiée par un autre élément de l'analyse de la sécurité du système: la limite du pouvoir du système en matière de déplacement de la queue s'applique à chaque déclenchement du MCAS. Et cela peut être déclenché plusieurs fois, comme c'était le cas pour le vol Lion Air.
Un ingénieur de sécurité de la FAA a déclaré que chaque fois que les pilotes du vol Lion Air réinitialiseraient les commutateurs de leurs colonnes de contrôle pour relever le nez, MCAS se réactiverait et «autoriserait de nouvelles augmentations de 2,5 degrés».
"Donc, une fois qu'ils ont poussé plusieurs fois, ils étaient à l'arrêt complet", ce qui signifie toute l'étendue du pivot de queue, a-t-il déclaré.
Peter Lemme, ancien ingénieur des commandes de vol chez Boeing, qui est désormais consultant en avionique et en communications par satellite, a déclaré que, étant donné que MCAS se réinitialisait chaque fois qu'il était utilisé, "il dispose effectivement d'une autorité illimitée".
Faire pivoter la queue horizontale, appelée techniquement le stabilisateur, jusqu'à la butée finale donne au nez de l'avion la poussée maximale possible vers le bas.
"Il avait toute autorité pour déplacer le stabilisateur de la totalité du montant", a déclaré Lemme. «Ce n'était pas nécessaire. Personne n'aurait dû accepter de lui donner une autorité illimitée. "
Sur le vol Lion Air, lorsque le MCAS a abaissé le nez de l’avion, le commandant de bord l’a fait remonter à l’ aide des interrupteurs au pouce situés sur la colonne de commande. Toujours sous la fausse mesure d’angle d’attaque, le système MCAS a réagi à chaque fois pour faire pivoter la queue horizontale et abaisser à nouveau le nez.
Les données de la boîte noire publiées dans le rapport d'enquête préliminaire montrent qu'après ce cycle répété 21 fois, le commandant de bord a cédé le contrôle au premier officier. Comme le MCAS a enfoncé le nez deux ou trois fois plus, le premier officier a réagi en ne donnant que deux coups de pouce.
À une limite de 2,5 degrés, deux cycles de MCAS sans correction auraient suffi pour atteindre l’effet de piqué maximal.
Dans les dernières secondes, les données de la boîte noire indiquent que le commandant de bord a repris le contrôle et s’est relevé avec une grande force. Mais c'était trop tard. L'avion a plongé dans la mer à plus de 500 km / h.
Échec du système sur un seul capteurL’analyse de la sécurité du système de Boeing en ce qui concerne le MCAS a révélé que lors d’un vol normal, l’activation du MCAS à l’autorité supposée maximale de 0,6 degré était considérée comme une «défaillance majeure», ce qui signifiait qu’elle pouvait causer une détresse physique aux personnes. dans l'avion, mais pas la mort.
Dans le cas d'une manoeuvre extrême, notamment lorsque l'avion se trouve dans une spirale descendante inclinée, l'activation du MCAS a été classée dans la catégorie «défaillance dangereuse», ce qui signifie qu'elle pourrait causer des blessures graves ou mortelles à un petit nombre de passagers. C'est toujours un niveau en dessous d'une "défaillance catastrophique", ce qui représente la perte de l'avion avec de multiples morts.
L'ancien ingénieur des commandes de vol de Boeing qui travaillait sur la certification MAX pour le compte de la FAA a déclaré que le fait qu'un système sur un jet puisse compter sur une entrée de capteur ou sur deux, dépend de la classification de défaillance figurant dans l'analyse de sécurité du système.
Il a précisé que pratiquement tous les équipements d'un avion commercial, y compris les divers capteurs, sont suffisamment fiables pour satisfaire à l'exigence de "défaillance majeure", selon laquelle la probabilité d'une défaillance doit être inférieure à un sur 100 000. De tels systèmes sont donc généralement autorisés à s’appuyer sur un seul capteur d’entrée.
Mais lorsque les conséquences sont jugées plus graves, avec une exigence de «défaillance dangereuse» exigeant une probabilité plus stricte de un sur 10 millions, un système doit généralement avoir au moins deux canaux d’entrée distincts au cas où l’un se détraquerait.
Selon l'analyse de la sécurité du système effectuée par Boeing, une défaillance du système MCAS constituerait des problèmes «dangereux», selon l'ancien ingénieur des commandes de vol Lemme, car le système est déclenché par la lecture d'un capteur à angle d'attaque unique.
«Un mode de défaillance dangereuse dépendant d'un seul capteur, je ne pense pas que ça passe», a déclaré Lemme.
Comme tous les 737, le MAX dispose en fait de deux capteurs, un de chaque côté du fuselage près du cockpit. Mais le MCAS a été conçu pour prendre la lecture d'un seul d'entre eux.
Lemme a déclaré que Boeing aurait pu concevoir le système de manière à comparer les lectures des deux palettes, ce qui indiquerait si l'une d'elles était très éloignée.
Sinon, le système aurait pu être conçu pour vérifier l'exactitude de la lecture de l'angle d'attaque alors que l'avion roulait au sol avant le décollage, moment où l'angle d'attaque devrait indiquer zéro.
«Ils auraient pu concevoir un système à deux canaux. Ou bien ils auraient pu tester la valeur de l'angle d'attaque au sol », a déclaré Lemme. "Je ne sais pas pourquoi ils ne l'ont pas fait."
Les données de la boîte noire fournies dans le rapport d'enquête préliminaire montrent que les lectures des deux capteurs différaient d'environ 20 degrés non seulement pendant le vol mais aussi pendant que l'avion avait roulé au sol avant le décollage.
Pas de formation, pas d'informationAprès le crash de Lion Air, 737 pilotes MAX du monde entier ont été informés de l'existence du MCAS et de la procédure à suivre si le système était déclenché de manière inappropriée.
Boeing insiste sur le fait que les pilotes à bord du vol Lion Air auraient dû reconnaître que le stabilisateur horizontal se déplaçait de manière intempestive et réagir avec une procédure de liste de contrôle standard permettant au pilote de gérer ce que l'on appelle "le stabilisateur en fuite".
S'ils l'avaient fait, les pilotes auraient appuyé sur des interrupteurs de coupure et désactivé le mouvement automatique du stabilisateur.
Boeing a fait remarquer que les pilotes de l'avion la veille de l'accident avaient eu un comportement similaire à celui du vol 610 et qu'ils l'avaient fait exactement comme suit: ils ont actionné les interrupteurs de désactivation des stabilisateurs, repris le contrôle et poursuivi le reste du vol.
Cependant, des pilotes et des experts de l'aviation disent que ce qui s'est passé sur le vol Lion Air ne ressemble pas à un échappé en stabilisateur standard , car il est défini comme un mouvement continu et non commandé de la queue.
Lors du vol en question, le mouvement de la queue n’était pas continu; les pilotes ont pu contrer le mouvement de piqué plusieurs fois.
De plus, le MCAS a modifié la réponse de la colonne de commande au mouvement du stabilisateur. Le fait de tirer sur la colonne interrompt normalement tout mouvement de piqué du stabilisateur, mais avec le MCAS activé, cette fonction de colonne de commande était désactivée.
Ces différences auraient certainement pu dérouter les pilotes de Lion Air quant à ce qui se passait.
Comme le MCAS n'était censé s'activer que dans des circonstances extrêmes, loin de l'enveloppe de vol normale, Boeing a décidé que 737 pilotes n'avaient besoin d'aucune formation supplémentaire sur le système - et qu'ils n'avaient même pas besoin de le savoir. Cela n’a pas été mentionné dans leurs manuels de vol.
Cette position a permis au nouvel avion de gagner une «qualification de type» commune avec les modèles 737 existants, ce qui permet aux compagnies aériennes de minimiser la formation des pilotes passant au MAX.
Dennis Tajer, porte-parole de la Allied Pilots Association chez American Airlines, a déclaré que sa formation pour passer de l'ancien cockpit de modèle 737 NG à un nouveau 737 MAX consistait en un peu plus d'une session d'une heure sur iPad, sans formation de simulateur.
Minimiser la formation de transition des pilotes MAX représentait une importante économie de coûts pour les clients des compagnies aériennes de Boeing, un argument de vente essentiel pour l'avion à réaction, qui a enregistré plus de 5 000 commandes.
Le site Web de la société a présenté l'avion aux compagnies aériennes en lui promettant qu '«en construisant votre flotte de 737 MAX, des millions de dollars seront économisés grâce à sa compatibilité avec la 737 de nouvelle génération».
À la suite de l'accident, les responsables syndicaux des pilotes américains et de Southwest Airlines ont reproché à Boeing de ne fournir aucune information sur MCAS, ni sur son éventuel dysfonctionnement, dans les manuels du pilote du 737 MAX.
Un ingénieur de sécurité de la FAA a déclaré que le manque d'informations préalables aurait pu être crucial dans le crash de Lion Air.
L'analyse de la sécurité du système effectuée par Boeing supposait que «les pilotes reconnaissent ce qui se passait comme un emballement et coupent les commutateurs», a déclaré l'ingénieur. «Les hypothèses ici sont incorrectes. Les facteurs humains n'ont pas été correctement évalués. "
Lundi, avant l’échouement du 737 MAX, Boeing a décrit «une amélioration du logiciel de contrôle de vol du 737 MAX», qu’il développe depuis peu après le crash de Lion Air.
Selon un briefing détaillé de la FAA à l'intention des législateurs, Boeing modifiera le logiciel MCAS afin de permettre au système d'entrer des données provenant des deux capteurs d'angle d'attaque.
Cela limitera également la quantité de MCAS pouvant déplacer la queue horizontale en réponse à un signal erroné. Et une fois activé, le système ne démarrera que pour un cycle, plutôt que plusieurs fois.
Boeing prévoit également de mettre à jour les exigences en matière de formation des pilotes et les manuels de l'équipage de conduite afin d'inclure le MCAS.
Ces modifications proposées reflètent les critiques formulées par les ingénieurs de sécurité dans cette histoire. Ils avaient parlé au Seattle Times avant le crash de l'Ethiopie.
La FAA a annoncé qu'elle rendrait obligatoire la solution logicielle de Boeing dans une consigne de navigabilité au plus tard en avril.
Face aux actions en justice intentées par les familles des personnes tuées, Boeing devra expliquer pourquoi ces correctifs ne faisaient pas partie du système original. Et la FAA devra défendre sa certification du système comme étant sûr.