Le risque a été sous-estimé trois fois :
- Par l’étude de sécurité incomplète d’Airbus.
- Par l’absence de prise en considération de conditions compromettant la sécurité (« Unsafe Condition »).
- Par l’absence d‘analyse systémique des incidents graves précurseurs.
L’étude de sécurité
Le document de référence est l’AMC 25.1309 (AMC : Moyens Acceptables de Conformité).
Le classement d’un risque lié à une panne est défini par les effets maximums induits sur l’avion, les pilotes et les autres occupants auxquels est associée une gravité supposée des conséquences de la panne envisagée : Mineur, Majeur, Dangereux ou Catastrophique et un degré d’occurrence estimé (10⁻³ à 10⁻⁹) (Majeur : 10⁻⁵ = 1 cas pour 100 000 heures de vol).
A la demande de l’AESA (Agence Européenne pour la Sécurité de l’Aviation) Airbus a effectué, en novembre 2008, une réévaluation du risque lié à la perte des vitesses
L’AESA répond à la DGAC par courrier daté du 18 novembre 2008 qu’une évaluation du risque associé aux problèmes d’incohérence de vitesse est en cours d’étude avec Airbus et qu’elle informera la DGAC de ses conclusions. (Rapport BEA page 149).
Selon Airbus, le risque est classé « Majeur » à condition que la situation soit détectée de façon immanquable par les pilotes et que la situation puisse être gérée au moyen d’une procédure et d’un entraînement associés.
Dans son rapport final (page 148), le BEA a souligné qu’Airbus conclut chacune des 16 analyses par le constat que les systèmes ont fonctionné conformément à leur conception.
Mais Airbus n’a pas pris en compte les effets sur les pilotes. Ceux-ci étaient cependant très nombreux dans les événements précurseurs. Ils n’ont malheureusement pas été analysés avant l’accident :
· -pas d’application de la procédure correspondant à la perte des vitesses par incompréhension de la situation (BEA page 112 : difficulté à choisir une procédure en présence de nombreuses alarmes, difficulté à analyser la situation),
· -tendance à considérer comme incohérente l’alarme STALL qui surprend de nombreux équipages (BEA page 90),
· -réapparition des barres de tendance des FD alors que deux vitesses sont cohérentes entre elles mais erronées, avec réengagement d’un pilote automatique pendant deux évènements sur treize de perte de fiabilité des vitesses (BEA page 90).
Le classement « Majeur » du risque lié au blocage des sondes Pitot était également conditionné à un entraînement adéquat des pilotes. Il n’y avait pas d’entraînement à haute altitude.
Il était donc nécessaire de prendre en compte la situation en novembre 2008 et non l’analyse de sécurité d’Airbus datant de 1999 pour apprécier le risque, toute appréciation résultant d’une situation antérieure de plusieurs années ne sauraient suffire à exonérer quelconque responsabilité.
Vous trouverez des explications dans le diaporama présenté par les conseillers techniques de l’Association lors du procès correctionnel (vidéo) :
La réévaluation du risque par Airbus était incomplète pour une autre raison. Le risque de blocage à haute altitude des trois sondes Pitot en présence de paramètres de vitesse faux mais validés par les systèmes de l’avion était une condition de mise en danger. L’hypothèse de vitesses erronées proches et donc validées par conception avait été éliminée dans l’analyse de sécurité aboutissant au classement du risque en Majeur (colonnes « condition de panne » et « répercussions opérationnelles et comportement des systèmes avion » : par définition dans ce scénario les paramètres de vitesse erronés sont supposés avoir des valeurs dissimilaires et telles que les différences entre les vitesses, deux par deux, excèdent le seuil de comparaison, en fait 15 kt)
Des conditions compromettant la sécurité.
Une « consigne de navigabilité » (AD) apporte une réponse à une condition compromettant la sécurité (unsafe condition) selon le Règlement (EC) 1702/2003 (paragraphe 21A.3B) établissant des règles d'application pour la certification de navigabilité en vigueur au moment de l’accident.
Le 31 août 2009, l’AESA et Airbus interdisaient l’installation de la sonde Pitot Thalès AA sur les Airbus A330/340 par la publication de la « consigne de navigabilité » AD 2009-0195 en prétendant qu’il s’agissait d’une mesure de précaution à la suite d’une augmentation du nombre de notifications de la part des exploitants. Les cas de blocage des sondes Pitot ont alors presque totalement disparu. La règlementation ne prévoit pas la publication d’une « consigne de navigabilité » par mesure de précaution.
Lorsque le constructeur et/ou l’AESA détectent un problème qui n’est pas une condition de mise en danger (« unsafe condition ») l’AESA publie un bulletin d’information sur la sécurité (Safety Information Bulletin ou SIB) selon le document de suivi de navigabilité de l’AESA « Continuing Airworthiness of Type Design (CAP) » (paragraphe 7.1) daté de mars 2008.
Le fait que l’AESA ait publié une « consigne de navigabilité » pour éliminer la sonde Pitot Thalès AA signifie que l’Airbus A330 n’avait pas, avec cet équipement, un niveau de sécurité acceptable.
· Le 22 décembre 2010, l’AESA a également émis une consigne de navigabilité (AD 2010-0271) qui concerne les dangers, en présence de paramètres de vitesse proches mais erronés,
-de suivre les barres de tendance du directeur de vol lorsqu’elles sont présentes
-de réengager un pilote automatique.
Pas d’analyse systémique des incidents graves avant l’accident.
La Directive européenne 94/56/CE établit les principes fondamentaux régissant les enquêtes sur les accidents et les incidents dans l'aviation civile. Elle donne la définition et des exemples de l’incident grave :
Un « incident grave » est un incident dont les circonstances indiquent qu'un accident a failli se produire.
Parmi les exemples on trouve :
· -Des pannes multiples d'un ou de plusieurs systèmes de bord qui gênent fortement la conduite de l'aéronef.
· -Une panne de plus d'un système dans un système de redondance qui est obligatoire pour le guidage des vols et la navigation.
Selon le BEA page 35 de son rapport, la perte des vitesses affecte notamment les systèmes suivants :
· - le système de commandes de vol électriques ;
· - le système de gestion des moteurs ;
· - le système de gestion du vol et de guidage ;
· - l’avertisseur de proximité du sol ;
· - le transpondeur ;
· - le système de contrôle des becs et volets.
Donc le blocage de plusieurs sondes Pitot provoque bien :
· -des pannes multiples, de plusieurs systèmes de bord, qui gênent fortement la conduite de l'aéronef,
· -une panne de plus d’un système dans un système de redondance qui est obligatoire pour le guidage des vols et la navigation.
Si l’on s’en tient à la règlementation, 28 accidents avaient failli se produire avant celui d’AF 447.
Selon la Directive 94/56/CE, le blocage de plusieurs sondes Pitot est un incident grave qui doit donc faire l’objet d’une enquête par le BEA. Malheureusement, parmi les ASR transmis au BEA concernant le givrage de sondes Pitot aucun n'a fait l’objet d’une enquête suivie avant l’accident. Pourtant, le BEA a pour mission la sécurité aérienne au travers d’enquêtes et études de sécurité conduites en toute indépendance avec efficacité et impartialité pour la prévention des accidents.
De même, la DGAC et l’EASA, qui ont pour mission le maintien d’un niveau élevé de sécurité dans le transport aérien n’ont pas agi efficacement lors de la recrudescence des incidents graves. Le retour d’expérience a été globalement particulièrement défaillant.
Conclusion : Les cas sentinelles qui ont jalonné la période 2003/2009 n'ont pas entraîné la prise de conscience, l'étude, le développement et la mise en œuvre de mesures correctrices et de modifications techniques suffisantes pour contribuer réellement à la prévention de l'accident du 1er juin 2009.
Aucun commentaire:
Enregistrer un commentaire