Recommended Posts

Citation

Crash d'Ethiopian Airlines: Le rapport d'enquête attendu jeudi, Boeing joue gros

 

Citation

La Nasa recrutée

L’agence fédérale de l’aviation (FAA), le régulateur aérien américain, a indiqué pour sa part mercredi créer un groupe d’action commune (JATR) avec la Nasa et des autorités de l’aviation civile internationale afin d’évaluer les modifications du 737 Max que Boeing est censé présenter dans les «prochaines semaines».

«Le JATR va évaluer les aspects du système automatique de vol du 737 Max (MCAS), y compris sa conception et les interactions des pilotes avec ce système pour déterminer s’il est conforme aux règlementations en vigueur et identifier si de nouvelles améliorations peuvent être faites», a déclaré le régulateur américain, dont les liens étroits avec Boeing ont soulevé des interrogations depuis l’accident d’Ethiopian Airlines.

Mercredi, Boeing a procédé à un vol d’essai testant ses modifications – avec son PDG à bord pour rassurer les investisseurs, et « tout s’est déroulé comme prévu », selon l’entreprise.

https://m.20minutes.fr/amp/a/2488851

Share this post


Link to post
Share on other sites
Il y a 10 heures, DEFA550 a dit :

Ce qui n'est pas incompatible avec tout ce que j'ai dit jusqu'ici

D'accord, donc quand vous dites que les autorités de régulations "n'ont aucun pouvoir de contrôle" ; ce n'est pas en contradiction avec le document que je produis, qui défini les missions, dont celle de l'inspection.

Bah non, il suffit d'en modifier insidieusement le sens ; démonstration :

J'ai mis en gras vos "ajouts" et "suppressions", qu'il vous reste maintenant à étayer :

Citation

Il va de soit que les prérogatives de la FAA ou de l'EASA, pour ne citer que celles-là, peuvent différer, notamment en ayant un rôle de contrôleur à postériori (inspections), s'agissant de la conception, la production, des personnels navigants, des aéroports, des compagnies aérienne, des mécaniciens, des organismes de maintenance, bref tout ce qui touche de près ou de loin à l'exploitation.

C'est sans doute ce que vous appelez de la vulgarisation...

Citation

J'ai plutôt l'impression de lire un juriste borné qui n'est intéressé que par la confirmation de sa perception des choses.

Au vue de ce qui précède, vous comprendrai que je vous renvoie le compliment, qui ne caractérise que vos propres turpitudes.

Share this post


Link to post
Share on other sites
il y a une heure, Cool Hand a dit :

J'ai mis en gras vos "ajouts" et "suppressions", qu'il vous reste maintenant à étayer

J'ai déjà étayé plus que de raison, et il n'y a pas de suppression de ma part. Si j'ai des compétences dans la rédaction d'études de sécurité, en maîtrise des risques et une licence FRA 66, je n'ai malheureusement pas celle qui permettrait de prêcher un converti avec succès.

Share this post


Link to post
Share on other sites

Si non :

Citation

Ethiopian Airlines (@flyethiopian) a tweeté : #Ethiopia|n Airlines Statement on the Preliminary Report of the Accident on ET 302

 

 

https://mobile.twitter.com/flyethiopian/status/1113719943537790976/photo/1

Edited by jojo (lo savoyârd)

Share this post


Link to post
Share on other sites
il y a 46 minutes, DEFA550 a dit :

J'ai déjà étayé plus que de raison, et il n'y a pas de suppression de ma part. Si j'ai des compétences dans la rédaction d'études de sécurité, en maîtrise des risques 

Ca n'en fait pas un argument. Mais ça tombe très bien, c'est justement ces compétences qui sont remises en question par ces tristes événements. Pas au niveau de la maintenance, mais  de la conception. On est en plein dans le sujet.

 

Share this post


Link to post
Share on other sites
il y a 44 minutes, Cool Hand a dit :

Ca n'en fait pas un argument.

Certes. Ca me donne juste des clés de lecture inaccessibles aux béotiens, et oui on est dans le sujet. Mais il y en a un de nous deux qui sait des choses, et l'autre qui croit tout savoir.

Bonne journée.

Share this post


Link to post
Share on other sites
Il y a 2 heures, jojo (lo savoyârd) a dit :

L'affaire n'est pas aussi tranchée que le laisse entendre Ethiopian Airlines. En effet l'équipage aurait réactivé le trim au moins une fois (4 fois selon d'autres sources), après l'avoir désactivé conformément à la procédure communiquée en novembre 2018, relançant une action du MCAS à chaque fois. Mais cette procédure prévoit que le trim doit rester coupé jusqu'à la fin du vol, donc il n'ont pas respecté l'intégralité de la procédure.

Ils avaient peut-être une raison pour sortir ainsi du sentier balisé, mais rien n'a filtré à ce sujet.

https://www.cbsnews.com/live-news/ethiopian-airlines-flight-302-crash-preliminary-report-today-live-updates-04-04-2019/

Share this post


Link to post
Share on other sites
Il y a 1 heure, DEFA550 a dit :

L'affaire n'est pas aussi tranchée que le laisse entendre Ethiopian Airlines. En effet l'équipage aurait réactivé le trim au moins une fois (4 fois selon d'autres sources), après l'avoir désactivé conformément à la procédure communiquée en novembre 2018, relançant une action du MCAS à chaque fois. Mais cette procédure prévoit que le trim doit rester coupé jusqu'à la fin du vol, donc il n'ont pas respecté l'intégralité de la procédure.

Ils avaient peut-être une raison pour sortir ainsi du sentier balisé, mais rien n'a filtré à ce sujet.

https://www.cbsnews.com/live-news/ethiopian-airlines-flight-302-crash-preliminary-report-today-live-updates-04-04-2019/

Oui, l'affaire n'est pas tranchée pusqu'il s'agit ici du prelimary report ...

Mais en tout état de cause, à cette heure, on peut relever les faits que :

- la gestion de l'assiette par MCAS semble là aussi défaillante. Ce systèm semble souffrir de dysfonctionnements ponctuels

- la procédure de déconnection du MCAS est tout sauf simple et sécure, ne disposant pas d'une commande (inter ...) "tout ou rien" par ex., agit en interaction étonnante avec d'autres commandes sous autorité des pilotes, elles (dont au moins le trim profondeur), ce qui peut ajouter à la confusion et biaiser la compréhension de la situation globale etc ... (je passe sur le stress occasionné qui doit être juste terrible pour l'équipage qui cherche à comprendre la marche tout sauf intuitive d'un système d'autorégulation d'AoA obscure et mystérieux au lieu de juste piloter durant le peu de secondes critiques qui les rattachent à la vie, eux et leurs passagers)

- l'assiette à cabrer peut-être jugée critique par le système évidemment lors de la phase de l'arrondi & montée initiale. Ce qui laisse très peu de temps à l'équipage lors de ces phases de vol pour entamer la procédure "bordélique" (à la date des accidents) si défaillance du système, soit 40 secondes pour le Lion Air avec peu de Badin et faible altitude. Élément temporel certainement un peu bâclé par Boeing alors que ce système doit surtout agir durant ces phases de vol critiques justement (risques décrochage basse altitude)

- aucune formation système spécifique pour les équipages 737 Max (à la date des accidents), une procédure brouillonne et complexe cachée au fond du manuel constructeur du style "c'est noté quelque part, on est clean"

- le logiciel MCAS a été mal conçu dès le début, et mal intégré dans le système global de commandes de vol

Bref, si la procédure de déconnection en cas de dysfonctionnement du système (censé ne pas être déconnecté puisque justement présent pour préserver des risques d'un pilotage, par ex. au décollage, un peu trop "vaillant" sur l'AoA de la part de l'équipage) est trop compliqué et peut prendre plus de temps que ne dispose concrètement les pilotes pour rétablir la situation, alors non seulement celle-ci ne sert pas à grand chose mais de plus aggrave encore un peu plus le premier problème qui est le dysfonctionnement du système lui-même.

Je ne sais pas comment Boeing a éprouvé son système avant d'en équiper la série des 737 Max, mais il y a eu un bug quelque part.

Bref on ajoute un problème au problème ... Tu le sais très bien, la grande majorité des accidents aériens sont la concéquence d'un enchaînement de problèmes, ce qui semble bien le cas ici. 

En celà Boeing & FAA doivent répondre et apporter explications et (sanctionner pour FAA) les modifications (et autres actions) vitales ...

Edited by jojo (lo savoyârd)

Share this post


Link to post
Share on other sites
Il y a 17 heures, jojo (lo savoyârd) a dit :

Oui, l'affaire n'est pas tranchée pusqu'il s'agit ici du prelimary report ...

J'ai écris : "L'affaire n'est pas aussi tranchée que le laisse entendre Ethiopian Airlines.". Ethiopian Airlines insiste sur le fait que l'équipage a respecté la procédure en intégralité, à priori pour rejeter toute la faute sur Boeing, ce qui n'est pas le cas. Ca n'a rien à voir avec le fait que ça sort d'un rapport préliminaire.

Il y a 17 heures, jojo (lo savoyârd) a dit :

- la gestion de l'assiette par MCAS semble là aussi défaillante. Ce systèm semble souffrir de dysfonctionnements ponctuels

Bien. Alors on va pinailler (encore que ! C'est important pour bien analyser le tout) : un fonctionnement intempestif n'est pas un dysfonctionnement du système en question, c'est un dysfonctionnement du dispositif de commande, voire de l'ensemble supérieur. Donc techniquement le MCAS a fait son boulot, mais le système de commande de vol souffre d'un dysfonctionnement qui provoque un fonctionnement intempestif du MCAS.

La gestion de l'assiette par le MCAS est correcte. L'information sur l'assiette est fausse.

Tant qu'on n'a pas compris ces principes de base ce n'est pas la peine d'aller plus loin, sauf peut-être pour meubler la discussion de comptoir au café du coin autour d'un verre entre potes.

Il y a 17 heures, jojo (lo savoyârd) a dit :

- la procédure de déconnection du MCAS est tout sauf simple et sécure, ne disposant pas d'une commande (inter ...) "tout ou rien" par ex., agit en interaction étonnante avec d'autres commandes sous autorité des pilotes, elles (dont au moins le trim profondeur), ce qui peut ajouter à la confusion et biaiser la compréhension de la situation globale etc ...

La procédure de déconnection du MCAS est la procédure d'arrêt du compensateur électrique, simple et connue par tous les pilotes. Cette déconnection consiste à basculer deux interrupteurs au pied de la console centrale, ce qui neutralise immédiatement toute possibilité de commande du trim de profondeur par un moyen électrique. Le MCAS n'agit pas en interaction étonnante avec d'autres commandes sous autorité des pilotes, l'action sur la commande électrique de trim de profondeur par l'équipage ayant la priorité. Quant à la confusion et à la compréhension de la situation globale, c'était peut-être un argument pour l'accident de Lion Air, mais pas pour celui d'Ethiopian Airlines, les équipages ayant été informé. De plus, le fait que l'équipage de l'ET302 a appliqué la procédure ad hoc au moins une fois démontre qu'ils avaient bien identifié le problème.

Reste qu'ils se sont plantés quand même, ce qui laisse effectivement un doute sur le caractère "secure" de la procédure appliquée au MCAS dans son implémentation actuelle.

Il y a 17 heures, jojo (lo savoyârd) a dit :

- l'assiette à cabrer peut-être jugée critique par le système évidemment lors de la phase de l'arrondi & montée initiale. Ce qui laisse très peu de temps à l'équipage lors de ces phases de vol pour entamer la procédure "bordélique" (à la date des accidents) si défaillance du système, soit 40 secondes pour le Lion Air avec peu de Badin et faible altitude. Élément temporel certainement un peu bâclé par Boeing alors que ce système doit surtout agir durant ces phases de vol critiques justement (risques décrochage basse altitude)

L'assiette n'est pas la même chose que l'incidence. Les équipages ont eu du temps ; Ils ne sont pas tombés au sol dès que les roues ont quitté le bitume. L'équipage du Lion Air s'est battu contre l'avion pendant presque 3 minutes, pas 40 secondes. D'autre part, le MCAS est inopérant lorsque les volets sont sortis, ce qui élimine le problème durant les premières minutes de la montée initiale.

L'élément temporel pourrait en revanche être un facteur non négligeable, au sens où le temps de réaction de l'équipage face à un système de commande de vol agressif, mais aussi le temps d'action pour en neutraliser les effets, a manifestement une importance.

Il y a 17 heures, jojo (lo savoyârd) a dit :

- aucune formation système spécifique pour les équipages 737 Max (à la date des accidents), une procédure brouillonne et complexe cachée au fond du manuel constructeur du style "c'est noté quelque part, on est clean"

L'équipage du Lion Air n'était pas au courant de l'existence du MCAS mais connaissait la procédure adaptée à sa neutralisation qui est celle prévue pour stopper un déroulement de trim. L'équipage de la veille l'a d'ailleurs démontré. Pour autant, c'est un facteur ayant contribué à l'accident.

Pour Ethiopian Airlines, ça ne tient plus. L'AD 2018-23-51 est nécessairement parvenue jusqu'aux équipages concernés, qui ne pouvaient plus, passé cette date, ignorer l'existence du MCAS, sa fonction, ses spécificités, les circonstances et symptômes d'un fonctionnement intempestif, ni la procédure adaptée (simple rappel d'une procédure existante, connue, et pratiquée). Cette procédure n'était ni brouillonne, ni complexe, ni cachée.

En revanche, jusqu'à la publication de l'AD elle ne venait probablement pas à l'esprit des équipages compte tenu des informations qu'ils percevaient et de la représentation mentale (ou l'absence de) du problème (Lion Air).

Il y a 17 heures, jojo (lo savoyârd) a dit :

- le logiciel MCAS a été mal conçu dès le début, et mal intégré dans le système global de commandes de vol

Bref, si la procédure de déconnection en cas de dysfonctionnement du système (censé ne pas être déconnecté puisque justement présent pour préserver des risques d'un pilotage, par ex. au décollage, un peu trop "vaillant" sur l'AoA de la part de l'équipage) est trop compliqué et peut prendre plus de temps que ne dispose concrètement les pilotes pour rétablir la situation, alors non seulement celle-ci ne sert pas à grand chose mais de plus aggrave encore un peu plus le premier problème qui est le dysfonctionnement du système lui-même.

Je ne sais pas comment Boeing a éprouvé son système avant d'en équiper la série des 737 Max, mais il y a eu un bug quelque part.

Bref on ajoute un problème au problème ... Tu le sais très bien, la grande majorité des accidents aériens sont la concéquence d'un enchaînement de problèmes, ce qui semble bien le cas ici. 

En celà Boeing & FAA doivent répondre et apporter explications et (sanctionner pour FAA) les modifications (et autres actions) vitales ...

Après toutes ces approximations, tu en arrives donc à un jugement à l'emporte-pièce qui n'a aucun intérêt puisqu'il s'appuie sur une perception mal informée.

On peut admettre aujourd'hui que le logiciel MCAS est effectivement mal conçu depuis le début, et qu'il est mal intégré puisque mis en oeuvre en dépit du bon sens. Malheureusement il a fallu deux accidents pour pleinement s'en apercevoir.  Ca n'implique pas que c'était prévisible. Les planètes sont même plutôt bien alignées pour penser que ça ne l'était pas.

Le bug, c'est qu'ils sont passés à côté d'un enchaînement particulièrement délétère : dysfonctionnement des sondes d'incidence, fonctionnement intempestif (et répété) du MCAS, défaut de réaction ou réaction inappropriée de l'équipage. Il faut bien comprendre, et j'insiste là dessus, que le fonctionnement intempestif d'un système qui peut être neutralisé (= commande d'arrêt et fonction non indispensable à la poursuite du vol) n'est pas vu comme un problème majeur, à moins d'être très rapidement catastrophique au point de ne pas laisser à l'équipage un temps raisonnable pour réagir. Il est là, le bug ; Les équipages n'ont pas su, ou pas pu, faire ce qu'ils étaient supposés faire, ce qui ne veut pas dire non plus qu'ils sont responsables de cette situation.

Et c'est surtout Boeing qui doit répondre pour sécuriser son avion. L'acharnement inconsidéré envers la FAA me dépasse complètement.

  • Like 2
  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites
Il y a 22 heures, Cool Hand a dit :

Ca n'en fait pas un argument. Mais ça tombe très bien, c'est justement ces compétences qui sont remises en question par ces tristes événements. Pas au niveau de la maintenance, mais  de la conception. On est en plein dans le sujet.

 

Je ne suis pas bien sûr que vous fassiez la différence entre autoritée judiciaire, de tutelle, de certification ou de police ou de maitrise d'ouvrage et leur intervention chez le concepteur / fabricant. Aucune de ces autorités ne conçoit ni ne fabrique l'avion. Toutes se font donc communiquer des documents décrivant le projet pour se faire un avis. Dans certains cas ces autorités disposent de laboratoires et des compétences qui permettent de faire des mesures mais ces mesures sont toujours là pour s'assurer la conformités des mesures effectuées par l'industriel.

Le cas que je connais moi c'est la maitrise d'ouvrage. En fonction de ce que l'industriel nous envoyait on était chargé de se faire une idée et de demander de nouveaux documents pour préciser les points trop flous. J'utilisais aussi des logiciels permettant d'établir des métriques sur le logiciel de l'industriel mais à aucun moment je ne suis allé lire le programme pour savoir comment il était écrit.

Dans le cas d'une autorité de certification c'est peut être étonnant que le certificateur soit dans les locaux du constructeur et rémunéré par lui mais à la fin que la certification soit au frais du fabricant ne me choque pas et qu'ensuite l'organisation soit faite pour raccourcir le plus possible les délais ne me choque pas plus. La vrai question est qui est le donneur d'ordre du certificateur. 

 

Edited by herciv
  • Upvote 1

Share this post


Link to post
Share on other sites
il y a 7 minutes, herciv a dit :

La vrai question est qui est le donneur d'ordre du certificateur. 

La question est tendancieuse. Le "certificateur" a un objectif à atteindre : s'assurer que le produit fini répond à toutes les exigences légales, normatives et de sécurité. S'il ne le fait pas, ou pas correctement, il engage sa propre responsabilité. Et il s'en assure en vérifiant que les données du constructeur sont valides, analyses de conformité et études de sécurité comprises. Il n'est pas acteur dans le processus de certification, il est vérificateur.

Du coup, je me demande si par "certificateur" tu n'entendrai pas l'équipe chargée par le constructeur de conduire ce processus de certification afin de le remettre clé en main à l'approbation de la FAA (ce qui est tout à fait normal), ou s'il s'agit de la partie approbation proprement dite ce qui soulève évidemment quelques questions d'ordre éthique.

Sinon, plus généralement et pour couper court à certaines théories, l'aéronautique est un domaine où la traçabilité va jusqu'à savoir qui (personne physique) a fait quoi et quand, avec les responsabilités et les conséquences afférentes. Ne pas jouer le jeu est voué à un échec éclatant.

Share this post


Link to post
Share on other sites
il y a 4 minutes, DEFA550 a dit :

Du coup, je me demande si par "certificateur" tu n'entendrai pas l'équipe chargée par le constructeur de conduire ce processus de certification afin de le remettre clé en main à l'approbation de la FAA (ce qui est tout à fait normal), ou s'il s'agit de la partie approbation proprement dite ce qui soulève évidemment quelques questions d'ordre éthique.

En fait je faisais référence à cette info selon laquelle la FAA avait des agents installés chez BOEING.   La même info disait également que ces agents étaient rémunérés par BOEING ce que je met en doute en disant que bien que la charge de la certification soit supportée par BOEING (ce qui me parait normal), les agents de la FAA sont bien rémunéré par la FAA.

Share this post


Link to post
Share on other sites

D'accord. Avoir des agents de l'autorité de certification sur place n'est pas une anomalie en soit. Ca fait gagner du temps, le dialogue est plus facile, les informations circulent mieux, etc.

En revanche, cette autorité doit rester indépendante. J'ose espérer que même si la validation est opérée par des gens payés par Boeing, par une forme de sous-traitance, il y a quelqu'un de la FAA pour endosser la responsabilité pleine et entière de cette approbation.

Share this post


Link to post
Share on other sites

je ne connais pas la FAA pour te répondre mais il y a sûrement un directeur de programme quelque part qui doit représenter la personne morale. Mais je n'ai vu aucun article citant ce directeur.

Edited by herciv

Share this post


Link to post
Share on other sites

La rédaction du rapport complet sur l’accident du vol ET302 devrait prendre 6 mois à un an selon les éthiopiens. ( https://www.usinenouvelle.com/article/boeing-reconnait-des-similarites-entre-les-crashs-de-lion-air-et-ethiopian-airlines.N827265 ) Ils ne vont quand même pas clouer les 737 au sol aussi longtemps ???

Share this post


Link to post
Share on other sites
Il y a 3 heures, herciv a dit :

Je ne suis pas bien sûr que vous fassiez la différence entre autoritée judiciaire, de tutelle, de certification ou de police ou de maitrise d'ouvrage et leur intervention chez le concepteur / fabricant. Aucune de ces autorités ne conçoit ni ne fabrique l'avion.

Bonjour,

Qu'est-ce qui vous fait dire ça ?

Si j'évoque ces différentes autorités c'est qu'à peu près toutes, ont eu, ont ou auront un rôle à jouer dans cet accident.

Les autorités de certifications posent des exigences ; les constructeurs doivent les remplir et disposent d'outils pour démontrer qu'ils y répondent (ARP 4754 et 4761). Ces outils permettent de produire des analyses en sûreté de fonctionnement des systèmes de bord (FHA, SSA, PRA, ZSA, CMA). 

Citation

05:41:46 : Le copilote tente une action au trim manuel (roues de commande) et conclu après 8 secondes que ce n'est pas fonctionnel. (NB: Bizarre... Action trop courte pour se rendre compte de l'efficacité ou non du trim manuel).

Plus probablement, impossibilité physique du aux forces aérodynamiques (VMO). Ce qui expliquerait qu'ils aient réarmé les interrupteurs du STAB TRIM (avis de béotien)

  • Upvote 3

Share this post


Link to post
Share on other sites
Il y a 8 heures, DEFA550 a dit :

Bien. Alors on va pinailler (encore que ! C'est important pour bien analyser le tout)

Sans vouloir pinailler (!), oui il est important de bien comprendre pour bien analyser le tout, c'est mon souhait en ce qui me concerne, et donc merci pour le retour fouillé.

Citation

un fonctionnement intempestif n'est pas un dysfonctionnement du système en question, c'est un dysfonctionnement du dispositif de commande, voire de l'ensemble supérieur. Donc techniquement le MCAS a fait son boulot, mais le système de commande de vol souffre d'un dysfonctionnement qui provoque un fonctionnement intempestif du MCAS.

La gestion de l'assiette par le MCAS est correcte. L'information sur l'assiette est fausse.

Pour moi (qui n'engage que moi donc) c'est bien l'architecture global du système MCAS (dont le but du système est donc in fine d'empêcher un décrochage intempestif et involontaire) qui ne fait pas correctement le job, et celà même si la cause des dysfonctionnements prennent leurs sources au niveau des sondes d'incidence (qui font partie prennante du système puisque qu'alimentent le MCAS en données pour fonctionner, "le nourrit", la base même de ce système autonome).

Avoir conçu ce système (global de toute la chaîne) sans correctement anticiper et donc sans que le système ne puisse "corriger" (de quelque façon que ce soit) toutes défaillances possible d'une ou des deux sondes/capteurs AoA est pour moi une véritable question ...

Avec deux sondes / capteur AoA dans le système, en cas de défaillance d'une seule d'entre elle il semble que le MCAS perde les pédales, ne sachant laquelle des deux données différentielles des deux transmises au logiciel est la bonne à prendre en compte, ce qui semble parfaitement logique de base. Avec une sonde / capteur AoA de plus intégrée au système, donc trois (comme sur Airbus je crois), le système pourrait de façon autonome en éliminer une défaillante des trois par "simple" comparaison différentielle des données transmises, défininie par un seuil limite de tolérance prédéterminée. Bien sûr celà se limiterait à sécuriser la perte que d'une seule sonde / capteur, mais c'est juste de la redondance qui aurait peut-être pu sauver (?) un de ces appareils, voir peut-être les deux. Mais ce sont des supputations bien sûr ...

Soit, ok qu'il fut jugé suffisant d'alimenter le système MCAS avec les données des deux sondes AoA équipant le 737 Max : pourquoi alors le système (et là en l'occurence je parle bien du MCAS) n'a t-il pas été développé pour appréhender et gérer (correctement) ce cas de figure que peut-être la perte d'une des deux sondes ? Par exemple si différentiel trop important constaté entre les données fournies par les deux sondes, le système se désactive automatiquement en en informant l'équipage par un voyant quelconque ou autre truc du genre ? Ou tout autre garde-fou quelqu'il soit, peut importe tant que le système ne devienne pas fou ... Sur deux valeurs, si l'une d'entre-elle est faussées le système n'y voit plus rien, c'est pourtant (en théorie) simple à comprendre, et donc à prendre en compte ... Sachant que tout capteur est ultra sensible et donc comme tout équipement pointu potentiellement "fragile", la redondance à ce niveau n'est pas un luxe ... Y'a qu'à voir concernant les tubes Pitot / Prandtl ...

Bref, pour conclure et contrairement a toi, je dirais pour ma part que la gestion de l'assiette par le MCAS n'est pas correcte tout simplement car les sondes fournissant les informations de cette assiette font partie prenante de l'ensemble du système, et que celui-ci souffre soit de conception soit de capacité de gestion pour assurer correctement son autonomie attendue.

Il y a 8 heures, DEFA550 a dit :

Et c'est surtout Boeing qui doit répondre pour sécuriser son avion. L'acharnement inconsidéré envers la FAA me dépasse complètement.

Je ne vois pas où il y a acharnement ... Juste des questions légitimes, tout comme pour Boeing.

Pour le reste je suis d'accord ... Ai été un peu vite, entre deux choses, oui comme au comptoir je te l'accorde.

Pour la FAA :

https://www.numerama.com/tech/478276-boeing-737-max-inspecteurs-pas-au-niveau-pilotes-mal-prepares-des-temoignages-accablent-la-faa.html/amp

Citation

C’est ce que révèle un courrier publié le 2 avril sur le site du Sénat outre-Atlantique, signé par Roger F. Wicker, un élu qui préside la commission sénatoriale du commerce, des sciences et des transports. Dans celle-ci, le parlementaire évoque des renseignements provenant de plusieurs lanceurs d’alerte à propos « d’une formation insuffisante et d’une certification inadéquate » des inspecteurs de la FAA.

L’impréparation des équipes de la FAA concerne notamment des employés qui étaient au sein du groupe d’évaluation du 737 MAX.

Je ne cite que çà, si non çà va passer pour de la maltraitance gratuite ... :mellow:

 

Edited by jojo (lo savoyârd)

Share this post


Link to post
Share on other sites
il y a 43 minutes, jojo (lo savoyârd) a dit :

Pour moi (qui n'engage que moi donc) c'est bien l'architecture global du système MCAS (dont le but du système est donc in fine d'empêcher un décrochage intempestif et involontaire) qui ne fait pas correctement le job, et celà même si la cause des dysfonctionnements prennent leurs sources au niveau des sondes d'incidence (qui font partie prennante du système puisque qu'alimentent le MCAS en données pour fonctionner, "le nourrit", la base même de ce système autonome).

Avoir conçu ce système (global de toute la chaîne) sans correctement anticiper et donc sans que le système ne puisse "corriger" (de quelque façon que ce soit) toutes défaillances possible d'une ou des deux sondes/capteurs AoA est pour moi une véritable question ...

Avec deux sondes / capteur AoA dans le système, en cas de défaillance d'une seule d'entre elle il semble que le MCAS perde les pédales, ne sachant laquelle des deux données différentielles des deux transmises au logiciel est la bonne à prendre en compte, ce qui semble parfaitement logique de base. Avec une sonde / capteur AoA de plus intégrée au système, donc trois (comme sur Airbus je crois), le système pourrait de façon autonome en éliminer une défaillante des trois par "simple" comparaison différentielle des données transmises, défininie par un seuil limite de tolérance prédéterminée. Bien sûr celà se limiterait à sécuriser la perte que d'une seule sonde / capteur, mais c'est juste de la redondance qui aurait peut-être pu sauver (?) un de ces appareils, voir peut-être les deux. Mais ce sont des supputations bien sûr ...

Soit, ok qu'il fut jugé suffisant d'alimenter le système MCAS avec les données des deux sondes AoA équipant le 737 Max : pourquoi alors le système (et là en l'occurence je parle bien du MCAS) n'a t-il pas été développé pour appréhender et gérer (correctement) ce cas de figure que peut-être la perte d'une des deux sondes ? Par exemple si différentiel trop important constaté entre les données fournies par les deux sondes, le système se désactive automatiquement en en informant l'équipage par un voyant quelconque ou autre truc du genre ? Ou tout autre garde-fou quelqu'il soit, peut importe tant que le système ne devienne pas fou ... Sur deux valeurs, si l'une d'entre-elle est faussées le système n'y voit plus rien, c'est pourtant (en théorie) simple à comprendre, et donc à prendre en compte ... Sachant que tout capteur est ultra sensible et donc comme tout équipement pointu potentiellement "fragile", la redondance à ce niveau n'est pas un luxe ... Y'a qu'à voir concernant les tubes Pitot / Prandtl ...

Bref, pour conclure et contrairement a toi, je dirais pour ma part que la gestion de l'assiette par le MCAS n'est pas correcte tout simplement car les sondes fournissant les informations de cette assiette font partie prenante de l'ensemble du système, et que celui-ci souffre soit de conception soit de capacité de gestion pour assurer correctement son autonomie attendue.

Tu ne peux pas faire l'économie de faire la distinction entre une fonction (protection contre le décrochage) et une implémentation (éléments individuels, dont la partie logicielle qui met en oeuvre cette fonction en s'appuyant sur des systèmes existants et déjà certifiés). C'est une question de méthode. Si tu cherches à régler le problème du MCAS en pensant "fonction", alors tu risques de passer à côté des problèmes connexes provoqués par les éléments qui composent cette fonction mais aussi d'autres fonctions. Par exemple, les deux rapports préliminaires mettent en évidence une anomalie sur les indications de vitesse et d'altitude du fait des erreurs de lecture de la sonde d'incidence associée. Si tu penses MCAS, tu passes à côté de ce problème là. D'accord, il n'a pas causé d'accident. Mais faut-il attendre qu'il y en ait un pour s'intéresser à un taux de nuisance apparemment très élevé (si on ajoute le "stick shaker") ? 

Le MCAS est conçu sur le même principe que le STS (Speed Trim System), qui actionne automatiquement le compensateur en fonction de la vitesse. Il prend une info là où elle est censée être, et actionne le trim électrique en conséquence. Ce n'est pas déconnant du tout. Si on creuse un peu plus, le MCAS prend son information d'incidence sur la sonde d'incidence droite ou gauche, selon le pilote en fonction. Oui, il n'exploite qu'une seule sonde, et non, ce n'est pas forcément déconnant non plus. La probabilité qu'il ne fonctionne pas en même temps que la sonde de référence et ne jugule pas un accroissement anormal de l'incidence lorsqu'il le devrait est sans doute très faible, en tout cas acceptable sinon il n'aurait pas pu être certifié (puisque c'est une mesure compensatoire liée aux modifications du comportement de l'avion avec les nouveaux moteurs).

Le fait est que le MCAS n'est pas incriminé pour ça (une défaillance), mais pour un fonctionnement intempestif. Tu peux multiplier les sondes à l'envie pour éliminer ce risque, ou éteindre le système s'il se met en route lorsqu'il ne faut pas. A ton avis, c'est quoi le plus fiable ?

Pour faire simple, tu fais fausse route en concentrant toute ton attention sur le MCAS. C'est un contributeur aux deux accidents mais il n'y a pas que ça à analyser. Multiplier les sondes rendra sans doute le problème plus rare, mais ça ne l'éliminera pas. Au mieux c'est un plan B.

Quant à la gestion de l'assiette, je maintiens ma position. Le système a bien fonctionné mais sur la base d'informations fausses. Il ne fonctionnera pas mieux si tu lui donnes de bonnes informations, en revanche tu limitera les fonctionnements intempestifs.

La "bonne" réponse est beaucoup plus complexe que de tripler les sondes. Il ne suffit pas d'éviter une action intempestive au trim, il faut comprendre un tas d'anomalies misent en lumière par ces deux accidents (sondes fragiles, MCAS agressif, charge de travail de l'équipage en situation dégradée, efficacité de la procédure déroulement de trim (poursuite du vol), risque de sur-vitesse, etc).

  • Upvote 2

Share this post


Link to post
Share on other sites
Il y a 5 heures, jojo (lo savoyârd) a dit :

Je ne vois pas où il y a acharnement ... Juste des questions légitimes, tout comme pour Boeing.

C'est non seulement légitime pour le MCAS, et ça va peut être l'être pour l'AD non-opérationnelle.

Citation

Tu ne peux pas faire l'économie de faire la distinction entre une fonction (protection contre le décrochage) et une implémentation (éléments individuels, dont la partie logicielle qui met en oeuvre cette fonction en s'appuyant sur des systèmes existants et déjà certifiés). C'est une question de méthode. Si tu cherches à régler le problème du MCAS en pensant "fonction", alors tu risques de passer à côté des problèmes connexes provoqués par les éléments qui composent cette fonction mais aussi d'autres fonctions. Par exemple, les deux rapports préliminaires mettent en évidence une anomalie sur les indications de vitesse et d'altitude du fait des erreurs de lecture de la sonde d'incidence associée. Si tu penses MCAS, tu passes à côté de ce problème là. D'accord, il n'a pas causé d'accident. Mais faut-il attendre qu'il y en ait un pour s'intéresser à un taux de nuisance apparemment très élevé (si on ajoute le "stick shaker") ? 

Bien sur qu'il faut penser "fonction". C'est d'ailleurs de la fonction que les constructeurs partent pour réaliser leurs analyses de sécurité :

- Ils identifient les fonctions souhaitées 

- Ils recherchent les conditions défaillantes liées à chaque fonction pour déterminer les possibles configurations de panne, avec des outils tels que les "arbres de défaillances" (1) ou les "graphiques de Markov" (2).

- Ils définissent une criticité pour chaque configuration de panne en fonction de ses effets 

- Ils en déduisent des exigences (normes à respecter en fonction de la criticité) pour prévenir chaque panne ou maintenir leurs conséquences à un niveau acceptable 

- Ils démontrent que l’étude est complète et que les résultats sont conformes à la réglementation  : la probabilité d’occurrence de chaque panne est inférieure ou égale à l’objectif déduit de la criticité. 

J'aimerais bien voir la gueule de l'arbre des défaillances lié au MCAS...

Citation

Le fait est que le MCAS n'est pas incriminé pour ça (une défaillance), mais pour un fonctionnement intempestif.

Un fonctionnement intempestif est une défaillance. Dans le cas qui nous occupe, une défaillance grave.

Citation

Pour faire simple, tu fais fausse route en concentrant toute ton attention sur le MCAS. C'est un contributeur aux deux accidents mais il n'y a pas que ça à analyser. Multiplier les sondes rendra sans doute le problème plus rare, mais ça ne l'éliminera pas. Au mieux c'est un plan B.

Entièrement d'accord, il y a d'autres choses à analyser (3). Le plan B en question faisait parti de ce que souhaitait proposer Boeing, non pas multiplier les sondes mais au moins les comparer afin de pouvoir désactiver le MCAS. Dans ce cas, se pose la question de la poursuite du vol sans ; est-ce acceptable (LAND ASAP) ? Ce serait tout de même un moindre mal.

3 sondes, c'est comme ça fonctionnent les Airbus depuis le 320, ça fonctionne plutôt bien, même s'il y a eu quelques pannes et que les deux systèmes sont peut être difficilement comparable.

(1) https://fr.wikipedia.org/wiki/Arbre_de_défaillances

(2) http://www.unit.eu/cours/cyberrisques/etage_3_aurelie/co/Module_Etage_3_synthese_61.html

(3) https://www.lesechos.fr/industrie-services/air-defense/boeing-a-trouve-une-seconde-faille-dans-le-logiciel-du-737-max-1006938

Edited by Cool Hand
  • Upvote 2

Share this post


Link to post
Share on other sites

Et bien ! Vos grandes discussions d'ingénieurs et de process et de prodedures me dépassent !:amusec:

Revenons aux conséquences industrielles de cette interdiction de vol. Boeing se retrouve contraint de réduire sa cadence industrielle.

 https://www.lepoint.fr/monde/accidents-boeing-va-produire-dix-avions-737-max-de-moins-par-mois-05-04-2019-2306124_24.php

Ça va, il ne s'agit que d'une petite diminution pour l'instant mais si l'arrêt se prolonge de quelques mois, les conséquences risque d'être catastrophique avec un arrêt de la chaîne de montage avec tout les innombrables sous traitant impactés. 

En effet, en sortant 50 avions par mois que l'on ne peut pas vendre, ca va poser un gros problème dans la trésorerie même si il leur reste le militaire et les autres avions de lignes qui rapportent. Mais bon, le désert de Moyave est assez grand pour stocker plus de 100 ans de production de 737 Max.:bloblaugh:

Par contre le trou financier sera gigantesque

 

Share this post


Link to post
Share on other sites

L'article ci-dessous reprend un peu ce que j'ai écrit plus haut ...

Citation

Un système automatique basé sur une seule mesure

Deux petites girouettes sont placées sur le nez de l’appareil, et mesurent « l’angle d’attaque » (l’incidence), qui conduit à un décrochage quand il est trop élevé. Avec deux sondes, quand les mesures divergent, il est impossible de savoir laquelle a tort (c’est pour cette raison que l’A320neo en a trois). Le MCAS s’active donc dès qu’une sonde envoie une mesure inquiétante.

« Je ne m’explique pas comment le MCAS a été déployé sans tester son comportement en cas de données erronées, qui peuvent conduire à des commandes automatiques infinies de compensation », s’étonne le consultant Peter Lemme, qui a travaillé 16 ans chez Boeing comme ingénieur avionique. Certains accusent le constructeur d’avoir ainsi créé un « point unique de défaillance », alors que l’aéronautique multiplie les redondances pour les composants critiques. Mais Boeing a un point de vue différent, car un pilote peut simplement désactiver le MCAS en cas de souci. En théorie.

Des pilotes mal entraînés

Boeing a effectué le moins de modifications possible sur le 737 Max pour que les pilotes certifiés sur le 737 puissent passer sur son petit frère sans avoir besoin de suivre une longue formation coûteuse. Un pilote américain a raconté anonymement la procédure au site Quartz : il a suivi un tutoriel vidéo de deux heures. Selon lui, le MCAS n’était mentionné à aucun moment avant le crash de Lion Air. Selon les enregistrements dans la cabine, il semble que les pilotes de la compagnie indonésienne n’aient pas été au courant de l’existence de ce système. Après ce crash, Boeing a modifié la formation. Les pilotes d’Ethiopian Airlines, eux, ont suivi les procédures d’urgence préconisée par le constructeur, selon les autorités. Le rapport ne précise pas s’ils n’ont pas réussi à désactiver le MCAS, ou s’il est réenclenché automatiquement, précipitant l’avion vers le sol à près de 1.000 km/h.

La FAA critiquée

Les enquêtes officielles et des fuites dans les médias ont montré des dysfonctionnements dans la certification du 737 Max en raison de la relation étroite entre Boeing et de l’autorité de régulation de l’aviation civile (FAA). Alors que Boeing était engagé dans une course contre la montre face à Airbus, la FAA a délégué une partie de son travail de certification au constructeur. Devant le Congrès, le patron de la FAA a reconnu ce point mais il l’a assuré : « Nous n’autorisons pas l’auto-certification. » Après avoir initialement résisté, l’agence a finalement ordonné que tous les 737 Max soient cloués au sol. Et alors que Boeing lui a présenté ses modifications, la FAA lui a ordonné de devoir sa copie début avril.

Citation

Des modifications attendues

Boeing a déjà annoncé plusieurs modifications de son système MCAS :

* il se basera sur les mesures des deux sondes pour s’activer

* le nombre de corrections automatiques sera limité

* les pilotes pourront plus facilement passer outre manuellement

* un témoin lumineux indiquant un problème avec l’angle d’attaque sera disponible en série (il s’agissait jusque-là d’une option payante)

* la formation des pilotes sera revue

Vendredi, Boeing a juré qu’il prendrait « toutes les mesures supplémentaires nécessaires » et annoncé qu’il allait réexaminer les procédés de conception et de développement de ses avions. La sécurité de centaines de millions de passagers en dépend.

=> j'y vois bien le " le plan B" ! (entre-autres) ...

https://m.20minutes.fr/amp/a/2490491

Edited by jojo (lo savoyârd)

Share this post


Link to post
Share on other sites

 

Eh ben non ... C'est pourtant pas un Max ! :biggrin:

Citation

Quand un passager se retrouve seul à bord d’un Boeing 737

Skirmantas Strimaitis était seul à bord d’un Boeing 737 lors d'un vol entre Vilnius (Lituanie) et Bergame (Italie).

photo-capture-twitter-1554366533.jpg

https://www.vosgesmatin.fr/insolite/2019/04/04/quand-un-passager-se-retrouve-seul-a-bord-d-un-boeing-737

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Member Statistics

    5,406
    Total Members
    1,550
    Most Online
    Le Chlick
    Newest Member
    Le Chlick
    Joined
  • Forum Statistics

    20,697
    Total Topics
    1,245,193
    Total Posts
  • Blog Statistics

    3
    Total Blogs
    2
    Total Entries