L’ECAM (outil de surveillance électronique centralisée de l’avion) est un outil de surveillance des systèmes avion essentiel pour les pilotes d’Airbus. Il est censé afficher les messages de panne, ainsi que des informations permettant de faciliter le diagnostic et d’aider à orienter la prise de décision.
- Absence de message au poste indiquant clairement la détection par les systèmes avion d’une incohérence des vitesses mesurées (BEA page 203)
Dans la grande majorité des incidents antérieurs de givrage des sondes Pitot, un message de panne signalant une incohérence de donnée(s) mesurée(s) par les sondes s’est affiché à l’ECAM dans les secondes suivant le blocage des sondes :
NAV ADR Disagree ou NAV IAS Discrepancy
L’intérêt de ce message dans les secondes suivant la déconnexion du pilote automatique est d’orienter rapidement le diagnostic vers une possible anomalie de vitesses et, dans ce cas, vers la procédure IAS douteuses.
Malheureusement, ce type de message ne s’est affiché que 2 mn 39s après la déconnexion du pilote automatique alors que la situation de l’appareil était désespérée (décrochage profond).
Un des collèges d’experts précise que le fonctionnement est conforme à la conception de ce message le jour de l’accident et indique que les conditions retenues par le constructeur pour le faire apparaître n’avaient pas été réunies avant. Ces conditions : Deux ADR encore disponibles fournissant des informations de vitesse comportant un écart de plus de 16 nœuds.
Or, chaque fois que les barres de tendance sont réapparues les informations de vitesses erronées comportaient un écart inférieur à 16 nœuds. Malheureusement, une des hypothèses retenues par Airbus lors de l’évaluation du risque en Majeur excluait les cas rencontrés lors de l’accident de vitesses erronées proches (dont l’écart est inférieur à 16 nœuds).
La réglementation européenne CS25.1309 impose un message d’alarme lorsque le dysfonctionnement d’un système est de nature à entraîner une « unsafe condition » (Jugement correctionnel page 129).
Le fait que l’avion ait été certifié avec des hypothèses exclues qui ont cependant été rencontrées au cours de l’accident n’est-il pas une condition de mise en danger ? Le fait que l’évaluation du risque en Majeur ait été effectuée en ignorant des circonstances rencontrées plusieurs fois dans les incidents antérieurs ne justifiait-il pas un nouveau classement du risque plus dangereux ?
Note : Une enquête australienne sur un évènement de vitesses non fiables sur un Airbus a mis en lumière l'ECAM. Nous retenons les propos suivants :
Lorsqu'une information source est erronée dans un système complexe et interactif, il est important que les alertes et les procédures soient conçues pour s'assurer que l'équipage de conduite peut diagnostiquer correctement la source d'information erronée.
Airbus a indiqué à l'autorité australienne agir pour fournir à l'équipage de conduite la meilleure opportunité pour identifier un désaccord transitoire entre les vitesses et améliorer la détection de ces situations en introduisant une nouvelle fonction dite UAMM (unreliable airspeed mitigation means) qui sera disponible en retrofit sur les avions éligibles (Source : https://www.atsb.gov.au/safety-issues/AO-2015-107-SI-02 ) et a conçu une nouvelle alerte ECAM rouge : NAV ALL SPD UNCERTAIN (source : https://www.atsb.gov.au/safety-issues/AO-2015-107-SI-02 )
- Absence de message au poste indiquant clairement le dysfonctionnement des trois sondes Pitot
Seulement 9 secondes après le désengagement du pilote automatique, un message signalant le dysfonctionnement des trois sondes Pitot est envoyé au sol par l’avion (Jugement correctionnel page 128). Malheureusement, le concepteur avait fait le choix de ne pas diffuser cette information cruciale aux pilotes.
PROBE PITOT 1+2 / 2+3 / 1+3
Or un tel message au poste de pilotage aurait pu renvoyer vers une procédure (Anti Ice ALL PITOT HEAT ou CAPT (F/O)(STBY) PROBES HEAT) qui requérait de mettre le réchauffage des sondes sur ON pour surpasser le mode Sol, ce qui permet dans certaines conditions de récupérer un réchauffage nominal.
Jugement correctionnel page 129 : En tout état de cause, la compréhension de la situation, ou son diagnostic, est toujours, si on prend en compte le facteur humain, la meilleure garantie de choix de la bonne action. Il est apparu particulièrement inopportun que l’aéronef informe exclusivement la maintenance au sol, d’une panne… qui entraîne toute une série de conséquences sur le pilotage de l’avion et les procédures à appliquer… En optant pour ce choix d’affichage contestable, la société Airbus, en qualité de concepteur de l’avion, qui disposait du recul nécessaire pour améliorer les logiques d’affichage de son ECAM, a commis une imprudence… fautive qu’elle a d’ailleurs admis avoir corrigée ensuite.
Le BEA a, quant à lui, fait une recommandation pour qu’un avertissement spécifique soit fourni aux pilotes lorsque des surveillances se déclenchent afin de faciliter la compréhension de la situation (recommandation FRAN-2012-049, page 217 du rapport final).
La défense du constructeur consiste :
- à indiquer le nombre limité à 7 de lignes disponibles à l’ECAM et l’importance de messages tels que le désengagement du pilote automatique qui, sur tous les avions de ligne y compris sur l’A330, est matérialisé par une alarme sonore bien connue des pilotes et qui ne nécessite pas d’être doublée par un message spécifique à l’ECAM… Le représentant du constructeur donne trois items essentiels selon lui : déconnexion du PA, de l’auto poussée et passage en loi alternate (sans précision du type de loi). Il est regrettable qu’il n’ait pas regroupé les messages AP/ FD OFF comme dans sa procédure d’urgence, requérant de couper les directeurs de vol dans ces circonstances et ajouté quelques lignes à l’ECAM pour les problèmes complexes
- à préciser que les pilotes d’Airbus doivent agir avant de comprendre et qu’un message de diagnostic est inutile…
Le BEA précise page 207 : l’incompréhension de la situation à la déconnexion du PA et l’absence d’indication claire dans le poste de pilotage de l’incohérence des vitesses identifiée par les calculateurs sont des facteurs qui expliquent les causes de l’accident.
L’ECAM n’a pas eu un fonctionnement adapté à la situation, en ne favorisant pas la conscience de la situation par les pilotes et en ne leur permettant de faire un diagnostic rapide et fiable.
Il n’est pas question de savoir si un message d’information pertinent aurait conduit ou non les pilotes à appliquer la procédure de non-fiabilité des vitesses car celle-ci n’a pas été appliquée dans de nombreux autres évènements … mais plutôt de constater qu’un piège de plus était posé en omettant d’informer rapidement et clairement les pilotes d’un problème crucial détecté.
Aucun commentaire:
Enregistrer un commentaire