Il faudrait dupliquer ici certains échanges sur le 737 max.
Je le fais avec ce post de Vector, et d'autres échanges, à commencer par une réponse d'Eolien.
par
Vector le Mer 10 Avr 2019 - 18:55
On n'en sort pas, les pom-pom girls du MCAS contre les fans d'Airbus. Le problème n'est pas là...
Dans les commentaires de l'article d'Aerobuzz, Michel trémaud dit:
Les diverses discussions sur le MCAS des B737 série MAX sont l’occasion de rappeler que tout système et sous-système d’un avion fait l’objet d’une analyse de sécurité (System Safety Assessment – SSA), jadis couverte par le règlement FAR 25.1309.Cette analyse consiste à construire un « arbre de causalité » entre tous les composants constituant la fonction étudiée ; un taux de défaillance est attribué à chaque composant, ce qui permet in fine de définir le taux (probabilité) de défaillance de la fonction dans son ensemble.Plus la probabilité de défaillance d’une fonction est élevée, moins la sévérité de cette défaillance doit être importante (et inversement).Si nécessaire, la conception (architecture du système assurant la fonction étudiée) est revue afin de concilier les exigences de « probabilité vs sévérité ».L’architecture d’un système répond à des « règles de conception de haut niveau » et à des « principes » qui guident les concepteurs dans leur travail de développement et de conformité aux règlements de certification.Il serait intéressant de consulter la SSA du MACS … mais je ne pense pas qu’elle soit publiée un jour sur internet !Tout cela suppose que cette
analyse de sécurité a été
faite dans les règles.
Si c'est le cas, comment se fait-il que Boeing n'ait pas envisagé la possibilité d'une défaillance du capteur AOA ?
Et qu'on ait donné au MCAS la musculature d'un Schwartzenegger avec la tenacité d'un Stallone.
Moi aussi, j'aimerais bien voir la SSA du MCAS.
____
par
eolien le Mer 10 Avr 2019 - 21:45
Comète, ce débat tourne en rond .
Il se répète sans cesse la même question-reproche : pourquoi ne pas avoir conçu un avion sans ce défaut ? pourquoi ne pas avoir conçu un MCAS - 12 ab initio ?
Parce qu
'ils n'avaient pas imaginé le problème aérodynamique lié au Leap ni ce type de signal erroné d'AoA.
Vous allez me dire : c'était leur boulot d'y penser.
C'est le problème des accidents cause technique : il aurait fallu y penser avant ...
Le Concorde ? Il aurait fallu renforcer le dessous des ailes avant ...
L'AF 447 ? Il aurait fallu améliorer le réchauffage des sondes avant ...
Le Mont Saint Odile ? Il aurait fallu modifier l'ergonomie avant ...
etc ...
C'est la quête du monde parfait ...
------------------
par
Comète le Mer 10 Avr 2019 - 22:02
Non, bien sur, mais ce que je veux dire, c'est que vu que le MCAS n'était pas prévu au départ, donc dès le début de l'étude, qu'il a été rajouté après coup, de plus sur un avion d'origine ancienne tout mécanique, qui n'a que 2 AoA , est ce que Boeing et la FAA ( et autres ) n'ont pas certifié l'avion trop vite ou l'ont il assez étudié ?
Quid de l'interet de le cacher aux pilotes ce qui créé en plus une sacré surprise...et que dire qu'après le 1er crash la procédure n'était pas adaptée comme si Boeing s'était servi des pilotes de lignes comme pilotes d'éssais...Bien sur on ne peut tout prévoir mais
on ressent de la précipitation quand même dans l'ensemble.
Et
pourquoi ce type de signal erroné des AoA subitement ? A cause de quoi ? Il n'y a "que" 370 MAX en service et 2 fois ça leur tombe dessus en 5 mois…
Il y a à mon humble avis,
d'autre soucis que le MCAS, en fait je pense que
ce sont d'autres problèmes qui ont permis de mettre sur le devant de la scène les propres défauts de ce dernier, ce qui veut dire
une accumulation de défauts…En tout état de cause, ils n'ont pas interet à ce qu'une fois revenu en service il y ai un autre crash lié à ce système d'une façon ou d'une autre, ça signerai pour de bon la fin du modèle car pour le coup plus personne voudra monter dedans.
--------------
par
gocek Hier à 11:50
Tout le débat va porter sur le fait de savoir si l'AoA est devenu un paramètre de sécurité sur le Max.
Je pense qu'il y a une probabilité non négligeable, voire élevée >10%, que ce soit le cas.
Les conséquences seraient alors dramatiques pour Boeing. Car dans ce cas, la fiabilité nécessaire imposera à mon avis de passer à une configuration 2oo3. Impossible de certifier l'avion avec les configurations 1oo1 (actuelle) ou 1oo2 (proposée). 400 avions déjà fabriqués ou en cours de fabrication à recabler et à recertifier individuellement... (Le cauchemar de l'A380 à la puissance x).
D'où les annonces de Boeing pour suggérer qu'il s'agit d'un élément de confort et non de sécurité et la pression du gouvernement US sur les Européens pour les forcer à être accommodants (juste mon opinion bien sûr, en l'absence d''nfo sur les discussions entre Boeing et la FAA)
Sur les autres avions, le problème ne se pose pas puisque l'AoA n'est pas un paramètre de pilotage impliqué dans une chaîne de sécurité.
------------------
et voilà un nouveau point,
sur l'AoA :
https://aviationweek.com/commercial-aviation/ethiopian-crash-data-analysis-points-vane-detachment
par
Beochien Hier à 12:28
Merci LS.
Plutôt clair cette fois !
Donc, c'est bien un contrepoids (Merci Vector) qui a semé la pagaille après le probablement détachement (Ou pliage) de la palette d'AOA !
Pour le reste, le management de crise des pilotes, reste douteux.
Il aurait suffit que ... Mais ça ne s'est pas passé comme ça.
j'ai un peu de mal à me figurer le nombre de degrés de Trim en jeu, sans connaître la position initiale, les butées physiques etc, et celles atteintes, trop de + et de - pour avoir une idée des positions réelles.
Personne ne parle des valeurs absolues de Trim enregistrées ... Ca doit naviguer entre un - qq chose au décollage, et les peut être 3° en butée et à piquer, si j'ai bien compris
Je pourrais revenir sur la nécessité de plus de Sim, mais ça va encore énerver tout le monde
----------
par
eolien Hier à 12:49
@Gosek : je suis dans le même état d'esprit.
Lorsque le MCAS est désactivé sa fonction sécuritaire disparait,
d'où mes posts sur le classement dans l'analyse de sécurité : Major, Critic ou Catastrophic ?...
Une porte de sortie pour Boeing :
Si la source de l'aberration d'AoA a été identifiée et corrigée, l'occurrence d'un cas de désactivation du MCAS redevient extrêmement rare et une procédure LAND ASAP assortie de consignes de précautions (ex VLS + 5) pourrait alors être accordée.
En lois Alternates des protections des Airbus sont perdues .... sans parler de Direct LAW où il n'y a plus aucune protection.
Les "européens" (Airbus) seraient mal venus à trop en rajouter ...
---------------
par
gocek Hier à 13:13
Le passage en loi directe 'rend la main au pilote', pour reprendre une expression utilisée régulièrement sur ce forum. Il ne fait pas plonger l'avion. Airbus est très très confortable sur ce point. J'arrête ici de vous provoquer..
Il y a eu deux types de défaillance du signal AoA:
- ET: défaillance mécanique de la girouette - plusieurs articles en parlent
- LionAir: défaut dans le traitement du signal en aval de la girouette. Pas de cause identifiée encore à ma connaissance.
On part donc d'
éléments bien moins fiables que des Pitot.
En fonction du nouveau besoin d'intégrité de la fonction MCAS (besoin qui n'existe pas sur le NG)
il va peut-être falloir tripliquer le capteur, même si le niveau de criticité est seulement Critic et non Catastrophic. C'est ce qui est en train d'être évalué.
------------
par
Laurent Simon Hier à 13:48
Beochien a écrit:Bof on verra ...
Un MCAS V12, bien mou pour éviter une vraie cata, mais bien OK pour mieux gérer les entrées d'AoA, et autre gestion des alarmes, stick shaker et autres, et c'est déjà ça ...
Une seule intervention, et des circonstances compliquées, pour une seconde ... C'est plus politique qu'autre chose.
La
protection de l'enveloppe de vol à tout petits pas
Oui. Et si B n'a pas voulu parle du MCAS avant, c'est probablement aussi pour ne pas donner du crédit à l'approche de A dès les premiers A320
Juste une autre question ... pourquoi rien avec les volets sortis, même à 5° ou moins ... (Là je suis ignorant)
Oui. Je me pose les mêmes questions (mais probablement entre 5+ et 10° ?)
-------------
par
gocek Hier à 15:19
Beochien a écrit:Juste une autre question ... pourquoi rien avec les volets sortis, même à 5° ou moins ... (Là je suis ignorant)
Pure speculation de ma part : dans leur analyse du MCAS, Boeing a du prendre en compte l'apparition d'un défaut AoA activant le MCAS pendant une phase de décollage après V2. Ils ont sûrement vu le problème qui s'ensuivait. Irrattrapable.
Utiliser l'indicateur de position des volets (ou la commande) pour
neutraliser le MCAS dans cette phase critique leur permettait de régler ce point.
-------------
par
Vector Hier à 16:37
Est-ce que tout le problème ne vient pas de l'autorité que Boeing a voulu donner au MCAS qui devait être un système "cosmétique" pour pallier une difficulté inattendue relevée au cours des essais. La dépendance du système sur un capteur mécanique unique, à la portée des oiseaux et des FOD aurait dû attirer l'attention des certificateurs si une analyse de sécurité avait été correctement faite.
Selon les résultats de l'arbre des conséquences, il aurait fallu au minimum une recertification de ces aspects et une formation spécifique des pilotes. Bien sûr, avec une certaine bienveillance des autorités, on peut passer à travers les gouttes, mais apparemment pas à travers les conséquences.
Les statistiques finissent par avoir raison, même avec des probabilités de 10 puissance -7 !
par
gocek Hier à 18:18
Enfin une explication claire de ce qui s'est passé lors de la conception du MCAS :https://www.nytimes.com/2019/04/11/business/boeing-faa-mcas.html
Je fournirai plus tard une traduction, mais en résumé :
1) observation d'un comportement en vol différent entre MAX et NG lors de manœuvres à 'haute' vitesse (apparemment cruise)
2) création d'un MCAS 'light' dans le but (confort) d'obtenir des sensations similaires entre NG et Max
3) Validation de ce MCAS 'light' de confort par la FAA sans revue de sécurité car pas d'impact identifié sur une phase critique de vol.
4) observation lors des essais de décrochage d'un problème lié à la nouvelle position des moteurs
5) utilisation du MCAS, modifié en version lourde, pour corriger ce problème : augmentation de la vitesse de déplacement du compensateur (x4) etc. sans validation par la FAA et toujours pas d'étude de sécurité, alors que cet automatisme répondait désormais à un besoin de sécurité.
---------
par
Vector Hier à 19:05
Et voilà la traduction du NYTimes
Les modifications apportées au logiciel de vol du 737 Max ont échappé à l’examen minutieux la FAA Alors qu’il concevait son plus récent jet, Boeing a décidé de quadrupler la puissance d’un système automatisé qui pouvait pousser le nez de l’avion vers le bas, un mouvement qui a rendu difficile pour les pilotes des deux vols de reprendre la maîtrise de l’appareil.L’entreprise a également élargi l’utilisation du logiciel pour l’activer dans un plus grand nombre de situations, comme il l’a fait malencontreusement dans les deux écrasements mortels de l’avion, le 737 Max, au cours des derniers mois.Aucune de ces modifications au système d’anti-décrochage, connu sous le nom de MCAS, n’a fait l’objet d’un examen complet par la Federal Aviation Administration.Même si les fonctionnaires étaient au courant des changements, les modifications n’exigeaient pas un nouvel examen de la sécurité, selon trois personnes qui connaissent le processus. Ce n’était pas nécessaire en vertu des règles de la FAA puisque les changements n’avaient pas d’impact sur ce que l’Agence considère comme une phase de vol particulièrement critique ou risquée.Un nouvel examen aurait obligé les responsables de la FAA à examiner de plus près l’effet du système sur la sécurité globale de l’avion, ainsi que les conséquences possibles d’une défaillance. L’agence s’est plutôt fiée à une évaluation antérieure du système initial, qui était moins puissant et activé dans des circonstances plus limitées.Depuis les accidents — en Indonésie en octobre dernier et en Éthiopie le mois dernier —, les enquêteurs, les procureurs et les législateurs ont examiné ce qui n’allait pas, de la conception et de la certification à la formation et à l’intervention.Dans les deux cas, les autorités soupçonnent que des données erronées des capteurs ont déclenché le système anti-stall, révélant un point de défaillance unique sur l’avion. Les pilotes n’ont été informés du système qu’après l’écrasement de Lion Air en Indonésie, et même à ce moment-là, Boeing n’a pas entièrement expliqué ni compris les risques. La FAA a imparti une grande partie de la certification aux employés de Boeing, créant ainsi une relation intime entre la compagnie et son organisme de réglementation.Mais l’omission d’un nouvel examen de la sécurité par la FAA révèle une faiblesse inhérente au processus d’approbation, fournissant de nouveaux renseignements sur les défaillances qui ont fort probablement contribué aux accidents en Indonésie et en Éthiopie.La FAA est censée être la norme d’excellence dans la réglementation de l’aviation mondiale, avec les règles les plus strictes et les plus serrées pour la certification des avions. Mais l’erreur d’interprétation au sujet du MCAS a entamé la confiance dans la surveillance du gouvernement, ce qui soulève d’autres préoccupations à propos de sa capacité de résister à l’industrie ou d’éliminer les défauts de conception.Bien qu’on ne sache pas exactement quels fonctionnaires ont participé à l’examen du système anti-stall, ils ont suivi un ensemble de procédures bureaucratiques plutôt que d’adopter une approche proactive. Le résultat est que les fonctionnaires n’ont pas bien compris les risques d’un système plus énergique, capable de causer un écrasement en moins d’une minute.Les failles dangereuses du système automatisé de BoeingVoici pourquoi un système conçu pour stabiliser le 737 Max peut avoir causé deux accidents mortels en cinq mois. « Plus nous en savons, plus nous nous rendons compte de ce que nous ne savons pas », a déclaré John Cox, consultant en sécurité aérienne et ancien pilote de 737.La FAA a défendu son processus de certification, affirmant qu’elle a toujours produit des aéronefs sécuritaires. Un porte-parole de FAA a déclaré que les employés de l’agence ont passé collectivement plus de 110 000 heures à examiner le Max, y compris 297 vols d’essai.Le porte-parole a dit que les employés de FAA suivaient les règles de l’agence lorsqu’ils n’examinaient pas le changement. « Les modifications apportées au MCAS n’ont pas déclenché une évaluation supplémentaire de la sécurité parce qu’elles ne touchaient pas la phase la plus critique du vol, considérée comme étant les vitesses de croisière plus élevées », a déclaré un porte-parole de l’Agence. « À basse vitesse, des mouvements de contrôle plus importants sont souvent nécessaires. »Un porte-parole de Boeing a déclaré : « La FAA a examiné la configuration finale et les paramètres d’exploitation du MCAS pendant la certification de Max et a conclu qu’il satisfaisait à toutes les exigences de certification et réglementaires. »Le MCAS a été créé pour aider à rendre le comportement du 737 Max, semblable à celui de ses prédécesseurs, une partie de la stratégie de Boeing pour que l’avion soit construit plus rapidement et à moindre coût.À l’origine, le système n’était conçu que pour intervenir dans de rares circonstances, à savoir des manœuvres à grande vitesse, afin de rendre l’avion plus fluide et prévisible pour les pilotes qui avaient l’habitude de piloter des 737 plus anciens, selon deux anciens employés de Boeing qui parlaient dans l’anonymat en raison des enquêtes ouvertes.Dans ces situations, le MCAS se limitait à déplacer le stabilisateur — la partie du plan qui agit sur la direction verticale de l’avion — d’environ 0,6 degré en environ 10 secondes.C’est à cette étape de la conception que la FAA a étudié la conception initiale du MCAS. Les avions n’avaient pas encore subi leurs premiers vols d’essai.Après le début des vols d’essai, au début de 2016, les pilotes de Boeing ont constaté que, juste avant un décrochage à diverses vitesses, le Max réagissait de façon moins prévisible qu’ils le souhaitaient. Ils ont donc suggéré d’utiliser le MCAS pour ces scénarios également, selon un ancien employé qui a une connaissance directe des conversations.Mais le système avait besoin de plus de puissance pour fonctionner dans un plus large éventail de situations.À des vitesses plus élevées, les commandes de vol sont plus sensibles et il faut moins de mouvement pour diriger l’avion. Songez à l’effet de tourner le volant d’une voiture à 70 milles à l’heure plutôt qu’à 30 milles à l’heure.Pour éviter les décrochages à basse vitesse, les mécaniciens de Boeing ont décidé que le MCAS devait déplacer le stabilisateur plus rapidement et de façon plus importante. Les ingénieurs de Boeing ont donc quadruplé l’ampleur du mouvement du stabilisateur en un cycle, à 2,5 degrés en moins de 10 secondes. Boeing a introduit le 737 Max comme solution fiable et économique pour le transport aérien au XXIe siècle. Après deux écrasements mortels, on pense que tous les appareils Max du monde ont été cloués au sol.« C’est une énorme différence », a déclaré Dennis Tajer, porte-parole du syndicat des pilotes d’American Airlines, qui a piloté des 737 pendant une décennie. « C’est la différence entre le vol contrôlé ou non. »La vitesse était une caractéristique déterminante pour la FAA. Les règles de l’Agence n’exige une étude supplémentaire que si les changements ont une incidence sur la façon dont l’avion évolue dans les phases de vol plus critiques, c’est-à-dire à des vitesses et à des altitudes élevées. Étant donné que les changements apportés au système anti-décrochage ont eu une incidence sur la façon dont il fonctionnait à des vitesses et à des altitudes plus basses, les employés de la FAA n’avaient pas besoin de les examiner de plus près.Le système dans son ensemble représente un écart important par rapport à la philosophie de conception de Boeing. Boeing a toujours favorisé le fait de donner aux pilotes le contrôle de leurs avions plutôt qu’à des systèmes de vol automatisés.« En créant le MCAS, ils ont violé un principe de longue date de Boeing voulant que les pilotes soient toujours aux commandes de l’avion », a déclaré Chesley B. Sullenberger III, le pilote à la retraite qui a atterri à bord d’un avion à réaction dans la rivière Hudson. « En atténuant un risque, ils en créaient un autre, plus grand. »Les risques manqués, par la FAA et Boeing, se sont répercutés sur d’autres décisions. Une explication détaillée du système n’a pas été incluse dans le manuel de l’avion. La FAA n’a pas demandé plus de formation à ce sujet. Même les pilotes d’essai de Boeing n’avaient pas été pleinement informés des effets du MCAS.« C’est là que réside le problème avec le changement de conception : ces taux de braquage ne nous ont jamais été expliqués », a déclaré un pilote d’essai, Matthew Menza.M. Menza a dit qu’il avait revu la documentation qu’il a toujours et qu’il n’a pas vu la mention du taux de déplacement du MCAS. « Ils ne nous ont certainement rien dit au sujet des taux de braquage, a-t-il dit, et j’aurais certainement aimé le savoir. »L’augmentation de la puissance du système a également été aggravée par sa conception : le logiciel s’est engagé à plusieurs reprises si le capteur a laissé entendre qu’il était nécessaire d’éviter un décrochage. Lors de l’écrasement de Lion Air, les données ont montré que les pilotes, qui ne connaissaient pas l’existence du MCAS, se sont battus pour le contrôle de l’avion, car il repoussait le nez vers le bas chaque fois qu’ils le tiraient vers le haut.Peu de gens ont vraiment compris à quel point le système serait puissant. Ce n’est qu’après la catastrophe de Lion Air, qui a tué les 189 personnes à bord, que l’information a été entièrement divulguée. Lors du vol d’Ethiopian Airlines, les pilotes ont eu de la difficulté à reprendre la maîtrise de l’appareil après que le MCAS s’est engagé au moins trois fois.Le mois dernier, lors de simulations de vol qui recréent les problèmes du vol de Lion Air, les pilotes américains ont été surpris de la force du MCAS. Ils disposaient essentiellement de moins de 40 secondes pour corriger manuellement une défaillance du système avant l’écrasement.Les mises à jour du logiciel par Boeing, que la FAA aura à approuver, répondront à certaines des préoccupations concernant le système anti-stall. Les changements limiteront le système à une seule intervention dans la plupart des cas. Et ils empêcheront le MCAS de pousser le nez de l’avion vers le bas au-delà de ce qu’un pilote pourrait contrer en tirant sur les commandes.Boeing avait espéré fournir le correctif logiciel à la FAA, mais il a été retardé de plusieurs semaines. Par conséquent, on s’attend à ce que la suspension des vols du jet s’éternise. Southwest Airlines et American Airlines ont déjà annulé certains vols en mai.------------- par
Vector Hier à 19:48
Moi je trouve que
ça correspond bien à ce que je présumais: laxisme généralisé.Pression des commerciaux, études raccourcies au minimum, examen minimal de la FAA (les modifs ne concernent pas les régimes critiques), le MCAS est un faux-nez qui fera passer le MAX pour un NG amélioré, ah les pilotes d'essai râlent, on va muscler le MCAS, inutile d'embêter la FAA avec des détails, le capteur AoA ne nous a jamais fait d'embêtements (pourvou que sa doure !) et on livre à tout va.
Quand on tire trop sur la ficelle (le câble) on risque d'avoir des surprises.
Ma fille travaille comme ingénieur de la sécurité des procédés dans une multinationale de la chimie et elle doit souvent lutter contre ce genre d'attitudes. Qui se souvient de Seveso ?
L'article est bien construit et j'aime la réflexion du pilote d'essai...
par
Laurent Simon Hier à 20:32
Merci beaucoup à vous deux (gocek et Vector) !
Ceci confirme l'
analogie que j'avais l'intention de partager ici,
avec les travaux de la Nasa au sujet des risques, sur
la navette spatiale,
travaux publiés fin 2011, notamment avec un sous-titre évocateur
"
We were lucky !".
Les risques recalculés alors montraient que
la probabilité d'un accident étaient très très supérieurs (1 sur 9 !) à ceux calculés antérieurement (du genre 1 sur 100 000) ..
Et ceci parce que certains risques 'mineurs' avaient été antérieurement sous-estimés !!!https://www.npr.org/2011/03/04/134265291/early-space-shuttle-flights-riskier-than-estimated?t=1554971889579
https://oiir.hq.nasa.gov/asap/documents/2011_ASAP_Annual_Report.pdf Risques à partir de la page 8
https://forum.nasaspaceflight.com/index.php?topic=24392.0
Early shuttle missions had 1 in 9 chance of catastrophe
https://ntrs.nasa.gov/archive/nasa/casi.ntrs.nasa.gov/20120001369.pdf
Voir aussi :
https://ntrs.nasa.gov/archive/nasa/casi.ntrs.nasa.gov/20100036684.pdf
https://ntrs.nasa.gov/archive/nasa/casi.ntrs.nasa.gov/20110004917.pdf
par
Laurent Simon Aujourd'hui à 6:54
En fait, le point commun entre cette mauvaise gestion du MCAS sur le Max et la sous-estimation des risques avec la navette spatiale, c'est
la sous-estimation des interdépendancesc'est-à-dire
la sous-estimation de la complexité.
C'est pour cela que je vais dupliquer une partie de ces échanges sur le fil "simple, compliqué, complexe"
https://avia.superforum.fr/t2030p50-simple-complique-complexe-la-difference
Accueil
Portail
Galerie
S'enregistrer
Connexion
par 
?!...Si oui, pourquoi n'en a-t-on pas fait aussi copie dans la mémoire du PA 
