Le 29 octobre 2018 et le 10 mars 2019, deux Boeing 737 MAX se sont écrasés, entraînant la mort de tous les passagers et membres d’équipage. Ces deux crashs ont eu lieu dans des circonstances similaires et avec des appareils semblables. Selon les informations remontées, le crash serait dû à un dysfonctionnement logiciel. Un ingénieur et pilote, Gregory Travis, a fait des recherches sur les causes du crash, et décrit dans un article (voir références) les causes et motivations qui ont conduit à ces défaillances.
Dans cet article, je vais résumer son analyse.
Description des accidents
Les deux accidents sont dûs au dysfonctionnement d’un module logiciel du 737 MAX. Le module en question est le MCAS, un système de stabilisation anti-décrochage. Dans les deux cas, ce module a reçu des informations erronées d’un capteur AoA (angle-of-attack) qui permet de connaître l’inclinaison d’un avion. Ce capteur donnant de mauvaises informations, le MCAS a forcé l’appareil à pointer vers le bas, et cela a entraîné les deux crashs.
Il y a plusieurs causes qui ont poussé Boeing à introduire le MCAS dans le 737, que nous allons voir maintenant.
Problématique de remise en conformité
Dans le domaine de l’aviation, les réglementations n’autorisent les pilotes à piloter qu’un type d’avion à la fois. Cependant, plusieurs avions peuvent appartenir au même type si les similarités sont suffisantes. Cela permet aux compagnies aériennes plus de flexibilité au niveau de la gestion de leur flotte. C’est aussi la raison pour laquelle les constructeurs d’avion font en sorte d’avoir des appareils semblables d’une génération à l’autre. Dans le cas d’un nouveau modèle, la FAA (Fédération américaine de l’aviation) certifie que l’avion est conforme aux réglementations.
Dans le cadre du 737 MAX, Boeing était dans une situation compliquée après l’annonce du A320neo d’Airbus. En effet, ce nouvel A320 promettait une consommation de fuel au kilomètre inférieure aux avions sur le marché. L’A320 étant sur la même ligne de marché que le 737, Boeing a dû concevoir dans l’urgence un nouvel avion. Pour éviter le coût de la certification d’un nouvel appareil et la formation de pilotes, Boeing a décidé de partir sur une base de 737 NG et d’y ajouter des moteurs plus économiques.
Problématique des nouveaux moteurs
Ces moteurs posaient cependant un problème : ils étaient plus gros que leur prédécesseurs, et ne pouvaient pas être placés sous les ailes car il n’y aurait pas eu assez d’espace entre le sol et les moteurs lors du décollage.
La solution apportée par Boeing a été de décaler les moteurs vers l’avant, pour permettre de les surélever un peu. Ainsi, la carlingue du 737 restait la même, ce qui évitait de perdre du temps à redéfinir une structure et permettait de lancer le concurrent du A320neo plus tôt.
Problématique de l’aérodynamisme
Avec le déplacement des moteurs vers l’avant, l’aérodynamisme de l’avion a été modifié et le centre de poussée avancé. Cela a pour conséquence un cabrage de l’appareil quand le pilote augmente les gaz. Dans le cadre de la réglementation, des avions de même type doivent partager un cabrage similaire lors de l'accélération. Boeing a dû trouver une solution pour contrer ce cabrage et s’assurer que l’appareil reste dans la même catégorie que son prédécesseur.
Pour cela, plutôt que de trouver une solution physique, en corrigeant la structure de l’avion, Boeing a ajouté un composant logiciel : le MCAS. Ce module permet de corriger l’inclinaison de l’appareil lors de sa phase d’ascension au décollage pour assurer un comportement similaire au 737 NG.
Problématique de remise en conformité
Pour éviter une demande de recertification de la part de la FAA, l’ajout du MCAS a été fait discrètement, sans ajouter d’instructions spécifiques dans le manuel d’emploi du 737 MAX, sans faire de campagnes de formation pour les pilotes et sans informer les compagnies aériennes de son fonctionnement.
Les pilotes n’avaient donc pas connaissance de ce module, et ne savaient pas comment le désactiver en cas de dysfonctionnement.
Mauvaise implémentation du MCAS
Le problème du MCAS, c’est qu’il avait un certain nombre de vices de fabrication, qui ont entraîné un fonctionnement erratique.
Tout d’abord, la correction d’un problème physique par un ajout logiciel n’est pas la solution la plus simple. Il y a donc un ajout de complexité plus difficile à maîtriser.
Ensuite, ce module a été ajouté dans l’urgence, puisque Boeing devait rattraper son retard sur son rival Airbus. On peut facilement imaginer que ce cadre n’est pas propice au développement serein d’un tout nouveau module.
Troisièmement, le contrôle qualité des avions ne se fait plus directement par la FAA, mais par des ingénieurs internes aux constructeurs. C’est donc un validateur interne à Boeing qui a validé les changements apportés et notamment le module MCAS.
Enfin, ce module se base sur un capteur unique. Dans l’aviation, tous les capteurs sont redondés au moins une fois. Il y a une série de capteurs côté pilote et une série côté copilote. Lorsqu’une information semble erronée, le pilote peut regarder ce que remontent les capteurs du côté copilote, et il peut ensuite déduire si un capteur ne fonctionne pas. Il peut aussi déduire d’un ensemble de capteurs des données en recoupant les informations.
Dans le cadre du MCAS, le module n’a pas cette capacité. Il se base sur un seul capteur, et lui fait entièrement confiance. Pourtant, c’est un fait connu dans l’aviation que les capteurs, étant exposés à des conditions extrêmes, ont des périodes de dysfonctionnement au cours d’un vol. Dans les cas des ces deux crashs, le module MCAS a donc suivi les informations d’un capteur défaillant.
Conclusion
Ces crashs de 737 MAX mettent une fois encore en lumière un principe de notre société : au nom du profit, une entreprise peut prendre une série de décisions qui va mettre en péril la vie de milliers de personnes et conduire à la mort de centaines. Ces accidents auraient pu être évités, si à un seul des stades, la décision avait été autre. Si Boeing avait redessiné la structure du 737, il n’y aurait pas eu besoin du MCAS. Si le MCAS avait été conçu et implémenté avec plus de précautions et plus de temps, il aurait pu être plus fiable, notamment en se basant sur le résultat de plusieurs capteurs pour prendre sa décision. Enfin, si Boeing avait clairement explicité les conséquences de l’ajout du MCAS sur le 737 MAX, les pilotes auraient su comment réagir en cas de dysfonctionnement. Mais toutes ces dangereuses décisions ont été prises dans un seul but : permettre à Boeing de rester compétitif face à Airbus. La libre concurrence permet des produits de meilleure qualité paraît-il…
Références