Et les voitures autonomes à venir…
Ah l’interface « homme/machine » !
Sur les recommandations de l’immensissime « Capitaine
Haddock » je me suis penché sur les analyses d’un de ses
confrères – l’excellent Christian ROGER qui inspire
largement ce post – lui-même ex-pilote, reconverti dans l’expertise des
accidents d’avion.
Une corporation qui se félicite de n’avoir pas
enregistré le moindre accident d’avion de plus de 20 places durant toute l’année
2017 (mais il paraît que c’est lié à « Trompe », sain de corps et d’esprit).
Pour tout vous dire, j’ai eu un exemplaire du dernier
rapport qui met en rage les familles des victimes qui voient s’envoler tout
espoir d’être « indemnisées » (de leur grande douleur d’avoir perdu un
proche) par le constructeur et la compagnie.
Ce qui restera à démontrer : La compagnie est
responsable de ses pilotes (et s’assure même pour ça…).
Un texte que j’ai eu en anglais (et moâ, l’anglais,
même en « immersion »… ce n’est pas ça). Mais qu’il s’agit de
dépasser pour prévoir que, la « machine-autonome », finalement, ça
pourrait ne pas être pour demain, ou alors seulement sur les autoroutes (et
encore…).
Un groupe d’experts diligentés par la Juge
d’instruction a sorti ce rapport le 21 décembre dernier, qui fait
essentiellement porter le chapeau aux pilotes « qui ont perdu le contrôle de l’avion ». C’est ce que nous en avions
dit de notre côté (il y a longtemps de ça), pour avoir refait sur simulateur le
parcours et les pannes de l’avion lors de son vol fatal.
De toute façon, à un moment ou à un autre, dans le
cockpit, si on ne regarde pas ses instruments, on est perdu, particulièrement
paumé.
C’est clair : Pour nier que les pilotes ont fait
des erreurs, il faudrait être ignare et/ou de mauvaise foi pour les absoudre.
Plus de huit ans après le crash de l’Airbus A330,
survenu le 1er juin 2009 au large du Brésil, assurant la liaison
Rio-Paris, la nouvelle contre-expertise judiciaire met l’accent sur la
responsabilité de l’équipage.
Un crash qui a fait 228 morts, tous les passagers et
membres de l’équipage. « Air-Transe » et Airbus avaient été mis en
examen en 2011 pour « homicides
involontaires » dans le cadre d’une information judiciaire ouverte à
Paris.
Dans leurs conclusions les experts établissent, comme « cause directe » de l’accident, la « perte de contrôle » de l’appareil
qui « résulte des actions inadaptées
en pilotage manuel » de l’équipage : Le pilotage manuel a été
imposé par la déconnexion du pilote automatique consécutive au givrage des sondes « Pitot »,
ajoutent-ils. Ce givrage des sondes est le point de départ de la catastrophe et
un élément-clé de l’enquête car il avait conduit à une incohérence des mesures
de vitesse de l’avion.
Mais pas seulement : Dans les « causes indirectes », ils listent
notamment une « insuffisance d’entraînement
de l’équipage au pilotage à haute altitude », un manque de formation
et l’absence initiale du commandant de bord. La seule mise en cause d’Airbus tient
dans « l’ambiguïté du classement de
la procédure Stall », (alarme de décrochage) dans la documentation du
constructeur comme dans celle de la compagnie.
L’expertise de 2012, ne disait pas vraiment autre
chose.
La question logique et restante pour l’heure sans
réponse reste de savoir comment un équipage bien entraîné qui pilotait un avion
de ligne moderne peut-il si soudainement perdre le contrôle de son avion
pendant un vol de routine ?
L’accident a précipité « l’inquiétude croissante de l’industrie de l’aviation au sujet de ces
accidents de « perte de contrôle », dont elle se demande s’ils ne seraient pas
une conséquence de la large automatisation du poste de pilotage. » À
mesure que la technologie est devenue plus sophistiquée, elle a repris de plus
en plus de fonctions auparavant exécutées par les pilotes, apportant d’énormes
améliorations à la sécurité aérienne. Pour les principaux avions à réaction,
cette amélioration sur plusieurs dizaines d’années aboutissait à accident
majeur pour 2,56 millions de vols en 2016.
Et l’année 2017 a été une année record, qui vient de
se terminer sans aucun crash dans l’aviation commerciale d’un avion de plus de
20 places, ce qui ne s’était jamais vu !
Mais même si la sécurité aérienne s’améliore, les
pertes de contrôle sont la cause la plus fréquente de décès dans l’aviation
commerciale aujourd’hui, représentant 43 % des décès dans 37 accidents entre
2010 et 2014.
Et d’analyser que la perte de contrôle se produit
généralement lorsque les pilotes ne reconnaissent pas et ne corrigent pas une
situation potentiellement dangereuse, ce qui amène un aéronef à entrer dans une
situation instable. De tels incidents sont généralement déclenchés par des
événements inattendus et inhabituels – comprenant souvent des conditions
multiples qui surviennent rarement ensemble – qui ne relèvent pas du répertoire
habituel de l’expérience pilote. Par exemple, il peut s’agir d’une combinaison
de conditions météorologiques inhabituelles, de lectures ambiguës ou de
comportement de la technologie et d’inexpérience du pilote – dont une ou deux
pourraient être acceptables, mais qui peuvent tout à fait submerger un
équipage. « C’est le principe du «
paradoxe du fromage suisse », modèle d’échec, lorsque les trous dans les
défenses organisationnelles s’alignent d’une manière qui n’avait pas été
prévue. » Ces incidents nécessitent une interprétation et des réponses
rapides, et c’est là que les choses peuvent mal tourner.
Devenir plus dépendant de la technologie peut en effet
éroder les compétences cognitives de base ou comment l’automatisation peut
limiter les capacités des pilotes à répondre à de tels incidents. L’automatisation
peut par conséquent provoquer des catastrophes inattendues qui, bien que peu
probables, peuvent survenir dans des conditions extrêmes.
Les avions commerciaux volent en pilote automatique la
plupart du temps. Pour les pilotes, l’automatisation garantit que les
opérations restent bien dans des limites sûres et prévisibles. Et ils passent
la majeure partie de leur temps à gérer et à surveiller leurs aéronefs et ses
automatismes plutôt qu’à les piloter activement.
L’automatisation des postes de pilotage, où les
instruments à aiguilles ont été remplacés par des « Glass cockpit », comprend un ensemble de
technologies qui remplissent plusieurs fonctions. Ils recueillent des
informations, les traitent, les intègrent et les présentent aux pilotes,
souvent de manière simplifiée, stylisée et intuitive. Grâce aux logiciels
installés par les concepteurs, les actions pilotes servent d’input à un système
de commande de vol qui détermine les mouvements des gouvernes de l’avion,
créant une interaction entre l’action du pilote et la réponse de l’aéronef.
Cela réduit le risque d’erreurs humaines dues à la surcharge, la fatigue et la
faillibilité, et empêche les manœuvres qui pourraient endommager la cellule et
mettre en danger l’avion.
L’automatisation offre une capacité de traitement de
données massives et une cohérence de réponse. Cependant, elle peut aussi
interférer avec le cycle de l’exécution, de la vérification et de l’action des
pilotes, ce qui est fondamental pour le contrôle et l’apprentissage. Si cela se
traduit par une surveillance moins active par les pilotes, la connaissance de
la situation et leur capacité à improviser face à des événements imprévus et
inconnus peuvent diminuer. Cette érosion peut être cachée jusqu’à ce qu’une
intervention humaine soit nécessaire, par exemple lorsque la technologie
fonctionne mal ou rencontre des conditions qu’elle ne reconnaît pas et qu’elle
ne peut pas traiter.
Personnellement, j’avais noté ce type de sources d’erreur
dans une des « boutiques que je gérais à milliards » où j’avais fait
installer par IBM (un X-Chinois) un logiciel d’approvisionnement pour soulager
et sécuriser les choix de mes « appros ». La machine traitait des
millions d’information pour déterminer les « commandes idéales » de
marchandises (prix, marges arrières, quantité, calendrier prévisionnel, promotions-fournisseur,
capacité de stockage, délai de livraison, disponibilité des équipes-réception,
saisonnalité, historique des ventes sur trois ans, calendrier du paiement,
disponibilité prévisionnelle de trésorerie, etc.) que les bonshommes validaient
ou non derrière leur écran.
Un truc fabuleux qui permettait à la fois d’écraser la
croissance de l’activité sans pour autant créer un poste supplémentaire
(bonhomme, local, ordinateur, téléphone, formation, etc.) et qui finalement a
dû faire gagner entre un et deux points de marge sur les achats (mais c’est difficile
à mesurer) à la « boutique-de-mon-boss ».
Jusqu’au jour où un fournisseur m’appelle affolé et me
demande pourquoi on avait commandé d’un coup pour 6 mois de marchandise…
Réflexe de « boss-délégué » : Je
défends mes équipes « becs & ongles » toutes griffes dehors, prêt
à mordre et lacérer l’impudent.
Mais c’était une konnerie de ma part.
Trois mois de marchandise à prix promotionnel, c’était
largement suffisant, sachant que cet industriel déstockait en promotion
globalement tous les deux mois.
Confort du bidule, l’appro’ avait laissé passer sans
se rendre compte, par confort et automatisme quotidien.
Des gars qui ont été rendus plus tard incapables de
bosser dès la première panne informatique (IBM, vous savez… bon, ce n’est pas
le sujet).
Revenons à l’AF 447. Il vole depuis 3 heures, de nuit
et au-dessus de l’Atlantique. Le givrage des sondes durera 29 secondes où des
capteurs de vitesse sur l’Airbus A330 ont provoqué des lectures anémométriques
incohérentes, ce qui a conduit l’ordinateur à déconnecter le pilote automatique
et à retirer la protection « de l’enveloppe de vol », puisqu’il était
programmé pour faire face à des données non fiables. Surpris, les pilotes
n’avaient pas d’autre solution immédiate que de reprendre le contrôle de
l’avion manuellement.
Sur ce, une chaîne de messages est alors apparue sur
les écrans devant les pilotes, donnant des informations cruciales sur l’état de
l’avion. Le pilotage était assuré par le copilote en place droite et il lui
appartenait de maintenir la trajectoire de vol manuellement, tandis que l’autre
copilote, en place gauche devait diagnostiquer le problème.
Malheureusement, les manœuvres pour stabiliser l’avion
ont eu exactement l’effet inverse. Cela était probablement dû à la combinaison
d’un effet de surprise et à une inexpérience du pilotage manuel en haute
altitude, aggravé par la réduction de la protection automatique.
En effet, plus on monte en haute altitude, plus
l’enveloppe de vol où doit se situer l’avion se restreint par rapport à ce
qu’elle est en basse altitude. Les pilotes utilisent rarement le pilotage
manuel à haute altitude, parce que c’est fastidieux et qu’il requiert un
pilotage « plus pointu » que dans les basses couches de l’atmosphère. D’autant
que ce type de pilotage est très peu enseigné durant les stages de
qualification. Le pilote tente de corriger un léger roulis qu’il avait lui-même
créé lorsque le pilote automatique s’est déconnecté, mais il a trop corrigé, («
over control » en termes pilotes), ce qui a fait rouler l’avion brusquement à
gauche et à droite plusieurs fois, du fait qu’il déplaçait son manche latéral
d’un côté à l’autre (et sur la fin jusqu’en butée). En même temps, alors que
c’était sans nécessité, il a également tiré sur le manche, ce qui a fait
grimper l’avion (3.000 pieds en 18 secondes) sans ajouter de poussée, ce qui a
provoqué une diminution de la vitesse jusqu’à ce que l’avion décroche et qu’il
commence à descendre rapidement, presque en chute libre (15.000 pieds/min).
En « parachute » m’en a dit « l’Ami-Râle »…
Aucun des trois pilotes chevronnés, dont le commandant
de Bord qui est entré dans le poste de pilotage 90 secondes après l’incident,
n’ont identifié un décrochage, alors que l’avion en manifestait plusieurs
indices et qu’un signal sonore « Stall » a retenti 75 fois jusqu’à l’impact
avec l’eau. Il faut dire que la logique de fonctionnement incohérente de cette
alerte ne les a pas aidés.
Sur tous les avions, l’instrument fondamental
permettant d’apprécier la situation spatiale est l’horizon artificiel,
indication gyroscopique qui restitue la situation spatiale (position du ciel et
de la Terre) associé à une maquette qui simule les ailes de l’avion. Cet
instrument permet d’évaluer l’angle d’inclinaison des ailes et les attitudes à
cabrer ou à piquer.
Aucun des trois pilotes n’a remarqué que :
1°) Les trois horizons artificiels qu’ils avaient sous
les yeux étaient en phase, ce qui donnait une certitude de leur bon
fonctionnement.
2°) La position de la maquette avion sur ces horizons
artificiels était aberrante, eu égard aux performances possibles de l’A 330 à
haute altitude. Dans une croisière normale au niveau 350, la maquette de
l’avion sur l’horizon artificiel est à + 2°.
Dès la déconnexion du pilote automatique, le copilote
en charge du pilotage cabre l’avion depuis les 2° de croisière jusqu’à 13°, ce
qui est énorme à 11.000 m d’altitude où le domaine de vol possible est très
étroit.
L’avion est toujours à ses 83 % de poussée valables en
croisière, mais sous l’effet du cabré, la vitesse s’écroule et l’altitude passe
de 35.000 à 38.000 pieds en 18 secondes. Ce n’est qu’en arrivant à 38.000 pieds
que la poussée est mise sur le cran « CLIMB » (montée) et elle atteint 104 % en
12 secondes.
3°) Le copilote gardant obstinément son manche très à
cabrer, à plus de 10° par rapport à l’horizontale, 1 minute et 30 secondes
après la déconnexion du pilote automatique, l’avion s’engage dans un décrochage
profond et descend à plus de 10.000 pieds/min.
L’altimètre, celui sur les écrans et ceux à aiguille
auraient dû les alerter.
Dès ce moment, 1,5 minute après la perte du PA, la
récupération du décrochage est une mission quasi-impossible, car pour ajouter à
l’erreur des pilotes, les automatismes ajoutent une impossibilité de rattrapage
en faisant passer le plan horizontal de la profondeur en position plein piquer.
Il aurait fallu environ 40 secondes pour corriger cette anomalie. La partie
était finie.
Il s’écoulera 4 minutes et 24 secondes entre la
déconnexion du pilote automatique et l’impact avec la mer, avec un manche qui
restera durant tout ce temps outrageusement à cabrer sauf durant 40 secondes où
le copilote figé sur son manche esquissera un léger mouvement de correction à
piquer.
Durant tout ce temps, le seul pilote qui fait état de
la situation de l’avion en lisant l’horizon artificiel est le Captain qui fait
remarquer « Assiette 10° », mais… c’est 3 secondes avant l’impact avec la mer !
L’explication probable, c’est qu’au lieu de suivre les
indications Assiette/Horizon artificiel, les pilotes ont voulu piloter leur
trajectoire avec ce que les pilotes appellent le « Directeur de vol », des
aiguilles mobiles, qui orientent le pilotage de l’inclinaison et du cabré pour
atteindre un objectif de trajectoire. Mais pour tous les pilotes bien
instruits, les instruments fondamentaux de la conduite du vol restent l’horizon
artificiel et sa maquette, auquel s’ajoute la poussée des moteurs.
Dans la confusion, le pilote aura mal interprété la
situation en disant que l’avion volait trop vite, a réduit la poussée et
esquissé un mouvement pour appliquer les aérofreins – le contraire de ce qui
était nécessaire pour récupérer le décrochage. Son voisin l’en a dissuadé et a
tenté de prendre le contrôle, mais celui « à la manœuvre » a continué
à essayer de piloter l’avion. À aucun moment, l’équipage n’a compris ce qui se
passait.
Cette tragédie révèle clairement l’interaction entre
la technologie sophistiquée et les pilotes. Cela a commencé avec le transfert
soudain et inattendu du contrôle aux pilotes, dont l’un, inexpérimenté pour
voler à la main en altitude, a rendu bien pire une situation déjà difficile :
Un exercice de simulation après l’accident a démontré qu’en l’absence des
actions du copilote, l’AF 447 serait resté à son altitude de croisière après la
déconnexion du pilote automatique.
Avec le début du décrochage, il y avait beaucoup de
signaux sur ce qui se passait à la disposition des pilotes. Mais ils ont été
incapables de rassembler ces indices dans une interprétation valable, peut-être
parce qu’ils croyaient qu’un décrochage était impossible, puisque la
technologie du vol empêcherait normalement les pilotes de causer un décrochage.
La possibilité qu’un aéronef puisse se trouver dans
une situation très critique sans que l’équipage s’en aperçoive était
apparemment au-delà de ce que les concepteurs de systèmes d’aéronefs avaient
imaginé. Les caractéristiques conçues pour aider les pilotes dans des
circonstances normales ajoutent maintenant à leurs problèmes. Par exemple, pour
éviter les fausses alarmes, l’alarme de décrochage a été conçue pour se couper
lorsque la vitesse descendait en dessous d’une certaine vitesse non
exploitable, ce qu’indiquaient les sondes de vitesse durant la descente rapide
de l’AF 447. Cependant, lorsque les pilotes ont effectué deux fois les bonnes
actions de récupération (piqué), la vitesse a augmenté, ce qui a provoqué la
réactivation de l’alarme de décrochage, alors qu’une solution de rattrapage
valide était en cours. Tout cela a contribué à la difficulté des pilotes à
saisir la nature de leur situation.
Cette idée – que la même technologie qui permet aux
systèmes d’être efficaces et largement sans erreur crée également des
vulnérabilités systémiques qui entraînent des catastrophes occasionnelles – est
appelée « le paradoxe de systèmes presque totalement sûrs ». Ce paradoxe a des
implications pour le déploiement de la technologie dans de nombreuses
organisations, et pas seulement celles qui sont critiques pour la sécurité des
vols.
Une de ces implications est l’importance de la gestion
des transferts de la gestion des machines vers les humains, qui s’est mal passé
dans AF 447. Comme l’automatisation a gagné en complexité et en sophistication,
les conditions dans lesquelles de tels transferts sont susceptibles de se
produire ont également augmenté en nombre et en complexité.
Plus d’automatisation réduit le risque d’erreurs
humaines comme le montrent les excellents résultats 2017 sur la sécurité des
vols. Mais l’automatisation conduit également à l’érosion subtile des capacités
cognitives qui ne peuvent se manifester que dans des situations extrêmes et
inhabituelles.
Or, annuler les automatisations augmenterait à nouveau
le risque d’erreur humaine.
Kafkaïen.
Ce qui me fait penser que la « voiture-autonome »,
sans volant ni pédales comme on en a vu au dernier CES est une lourde konnerie.
Peut-être sur les autoroutes, et encore si les
conditions météos ne sont pas trop dégradées (la pluie et la neige brouillent
les capteurs, alors que le brouillard, pas du tout).
Notez que même s’il fait beau, il sera alors très
facile pour quelques terroristes de se servir de ces technologies pour
transformer n’importe drone, voiture, camionnette, camion en « arme fatale ».
Pas certain qu’on se passe donc d’un volant (d’autant
que tu peins une ligne blanche tout autour d’une voiture autonome et elle ne
peut aller nulle part !)
Et puis on l’a déjà vu avec la Tesla Model
S qui a tué son pilote qui regardait un DVD…
Notez que comme il n’avait pas posé les mains sur son
volant… il aurait fallu que la machine étouffe le moteur.
Quid d’un volant sur un drone en pilotage automatique ?
Aucun commentaire:
Enregistrer un commentaire