 Bienvenue et merci d'écouter la traduction française de Boeing 737 MAX, les craches automatisées par Bernd Zika en direct du 36ème Chaos Communications Congress à Leipzig en Allemagne. Toutes les conférences seront traduites de l'allemand vers l'anglais et vice-versa, ainsi que dans une seconde langue, en l'occurrence, le français. Bernd va nous expliquer ce qui ne va pas dans l'itération actuelle du Boeing 737, qui existe depuis les années 70. Merci pour cette introduction. Je vois bien qu'il y a moins de gens que pour Edward Snowden, mais je ne suis pas déçu. Je suis très heureux de partager avec tant de personnes ma passion pour l'aviation. Voilà le résumé. Nous allons parler du 737 MAX. Je vais vous parler de l'avion, puis nous allons parler des accidents que l'on savait au début, ce qui est allé de travers. Nous allons ensuite faire une analyse causale, puis nous allons parler du système MCAS. C'est le système d'augmentation des manœuvres. Puis nous allons parler de la certification, et nous allons parler de son fonctionnement. Le fonctionnement est relativement le même aux Etats-Unis et en Europe, mais je vais ici parler plutôt des Etats-Unis, puisque c'est assez similaire chez nous. Je vais parler d'autres choses, et nous allons parler comment ce profit de l'avenir pour le 737 MAX, et puis j'ai quelques petits diapos bonus. Alors le 737 MAX, c'est la star de l'escadrie Boeing. C'est la 4ème iteration du meilleur appareil de Boeing, ou plutôt de celui qui s'est le mieux vendu. Le MAX est l'appareil et l'avion qui s'est vendu le plus rapidement de l'histoire des avions passagers. Il s'en est vendu 4000 en rien de temps. Le 1er accident s'est déroulé l'année dernière. C'était un avion passager de l'IONAir en Indonésie, qui est la 2ème compagnie à avoir acheté le plus de 737 MAX. Il s'est craché rapidement après son entrée en service. Il y a eu des drôles de choses qui ont été dites sur ce crash. Il semblerait qu'il y ait eu que le trim est fait descendre le nez de l'avion de manière non contrôlée. Le pilote peut contrer cela avec un interrupteur. Apparemment, un dispositif qui secoue la manœuvre de comment le manche s'est mis en route et le pilote avait des difficultés à contrôler l'avion. Apparemment, c'était un problème de MCAS et les pilotes n'en avaient jamais entendu parler. Ce qui s'est passé, c'est qu'a priori, Boeing savait qu'il avait peut-être un problème avec le MCAS, mais n'en a pas parlé. On aurait déclaré que des personnes chez Boeing et aux États-Unis et dans d'autres pays ont dit que c'était juste une incompétence de la part des pilotes parce qu'ils venaient d'un pays du tiers monde. Au début, on s'est dit que c'est juste un bug, peut-être que ça a été provoqué par une mauvaise maintenance, mais d'autres personnes ont commencé à s'inquiéter parce que les enregistrements de la boîte noire ont été publiés et nous allons voir bientôt qu'il y avait quelques petites incohérences. Ensuite, exactement le même avion, le 737 MAX, mais cette fois-ci de l'Ethiopan Airlines, c'est craché. Alors vous pouvez voir à gauche, le cratère est assez gros. Il s'est vraiment craché à haute vitesse et donc il a laissé un gros cratère. Il ne restait pas grand-chose. Je pense que les plus gros morceaux faisaient environ un mètre. Là aussi, les enregistrements de la boîte noire ont été publiés et là, elles sont lisibles et il y a d'autres incohérences et des parallèles attirés avec le crash de la compagnie indonésienne. Nous allons parler maintenant de l'avion. C'est la 4 immiterations. A chaque fois, il y avait des petits changements notamment au niveau des réacteurs. En général, en tout cas pour le NG, la 3e immiteration, les moteurs étaient très économiques. Dans la 2e immiteration, c'était une version analogique de l'original. Les moteurs étaient un peu plus gros et les moteurs étaient toujours aussi économiques, ce qui a continué le succès de la 1e immiteration. Ensuite vient le Next Generation, donc le 737 NG. Il y avait des nouvelles ailes avec des petits ailerons qui permettaient d'économiser du carburant, mais les moteurs étaient quasiment les mêmes, sauf que cette fois-ci, ils étaient contrôlés par ordinateurs. Boeing déclarait que ça allait probablement être le dernier 737 et qu'ils allaient développer un autre avion passager, super efficace, très bon marché qui allait remplir toutes sortes de promesses. Mais entre-temps, Airbus est devenu incontournable dans l'industrie aérodonétique. Il y avait toujours, Airbus utilisait une avionnik électronique et les avions Airbus étaient toujours assez hauts, ce qui leur permettait d'avoir des gros moteurs. La 320 était son plus grand succès et un jour, Airbus a déclaré qu'ils allaient faire un nouvel A320 avec des moteurs super économiques qui économiseraient 50% du carburant. De nombreux clients d'Airbus ont immédiatement commandé une flopée de ce qu'on appelle désormais la 320 NEO. D'autres compagnies qui étaient au paravent clientes de Boeing ont déclaré qu'après avoir vu le résultat époustouflant de la 320 NEO, elle allait probablement passer du 737 au 320. Et donc Boeing a réfléchi à une solution et celle-ci était d'aller rapidement développer un avion et conclusion, on a jeté tous les plans d'un nouvel appareil et en fait on a réutilisé le 637. Mais cette fois-ci, avec encore des plus gros moteurs, malheureusement il n'y avait pas assez de place sous l'avion pour mettre des plus gros moteurs et donc ce qu'on a fait c'est qu'on les a avancés au niveau des ailes. Et c'était, on peut dire que ce sont de bons moteurs, un peu de choses près aussi efficaces que ceux de la 320 NEO. Et c'est ainsi qu'est apparu la nouvelle version du 737, le 737 MAX. En analysant un accident, on utilise une analyse codale qui s'appelle pourquoi, parce que on fait certains tests contrefactuels. Donc on appelle ça un facteur nécessaire, causal. Si A n'était pas arrivé, du coup B ne serait pas arrivé non plus. Et il faut montrer pour toutes les possibilités que si l'un n'avait pas eu lieu, l'autre n'avait pas eu lieu, etc. Et donc voici, vous ne pouvez pas tout lire, mais c'est pas trop important, donc ça c'est une démonstration simplifiée. Donc ce que j'ai fait, ce que j'ai analysé sur cet accident, vous voyez que c'est pas très très simple. Vous en tant qu'informaticien, vous connaissez les arbres de possibilités et ça peut avoir des branches, etc. Et certaines choses sont des facteurs causaux et d'autres ont juste une influence et certaines à plusieurs niveaux même. Par exemple la vitesse de l'air et aussi ça influence le temps que les pilotes avaient pour manipuler l'avion. Donc voici les choses dont je vais vous parler. Donc on va parler du tangage qui n'a pas été commandé par les pilotes. On voit dans les boîtes noires, vous voyez la souris, donc voici la ligne bleue et c'est marqué tangage manuel et en orange tangage automatique. Et s'il y a un déplacement vers le bas, ça veut dire que l'avion est déplacé vers le bas pour abaisser le nez. Donc il faut tirer le manche vers soi. Donc comme on a vu, pour certaines phases, il y a un tangage automatique pour stabiliser l'appareil et durant le vol, nous voyons qu'il y a eu beaucoup de tangages du nez vers le bas automatique qui dure souvent 10 secondes. Et à chaque fois les pilotes doivent contrer le tangage manuel vers le haut et ils font cela avec leur pouce sur le manche. Donc à chaque fois l'appareil appliquait le trim vers le bas et les pilotes vers le haut. Ça s'est répété pendant longtemps et puis on voit que les pilotes ont commencé à faire des mouvements moins longs et la ligne bleue que vous voyez, bleu foncé, c'est le résultat de ces deux sources. Et vous voyez que ça descend et ça monte quasiment plus vu que les pilotes effectuent leur tangage de plus en plus court et du coup la situation de l'avion devient de plus en plus incontrôlable et s'écrase. Donc pour certaines raisons que je vais vous expliquer, les pilotes n'étaient plus capables de régler le tangage et l'avion s'est écrasé. Ça c'est seulement le graphe de l'un des accidents mais l'autre est semblable et c'est ce qu'on voit. Donc il y a un système connu qui était déjà connu avant sur le Boeing 737. Je pense que c'est disponible sur tous les anciens modèles, c'est-à-dire le système Speedtrim, qui règle un tangage automatique dans certaines situations. Mais les entrées qu'on voit de tangage automatique ne proviennent pas de ce système de Speedtrim. Donc ici, pour la première fois, le mot MK a survenu. Et nous allons parler un peu plus de ce qui a fait le 737 MAX un autre appareil que c'est prédécesseur et c'est les réacteurs. Donc ils sont beaucoup plus grands et pour que les nacelles aillent en dessous des ailes, il fallait les monter plus loin à l'avant. Et du coup les angles d'attaque étaient différents, plus grands. Donc ces nacelles augmentent la portée de l'avion et les critères de certification sont plutôt stricts. Et disent exactement comment les forces doivent être pour être certifiées. Et à cause des plus grands réacteurs, il y avait certains angles dans lesquels ces critères ne pouvaient pas être tenus. C'est pourquoi on a décidé d'introduire un peu de logiciels qui augmentent le tangage pour re-rentrer dans les critères de certification. Donc une raison était que l'appareil peut garder le même certificatif et que les pilotes peuvent changer dans la même compagnie entre plusieurs générations du 737 NG ou MAX. Donc il y a le même certificatif, il y a un tout petit entraînement, mais en général ils peuvent changer d'un jour à l'autre entre le NG et le MAX. Notre raison, il n'y avait pas vraiment d'autres différences. Boeing aurait pu changer l'atterrissage, enfin les roues, pour augmenter l'aérodynamique. J'aimerais pas dire pour stabiliser, parce que comme c'est, l'avion n'est pas instable véritablement, si tout l'électronique ne marche pas, c'est un avion qui se contrôle très bien en principe. Mais pour changer des grands changements mécaniques, ça aurait demandé une ressertification et rapporté des retards importants. Donc cette certification, on l'appelle grand father, donc patrie arcale en quelque sorte. L'avion a été certifié une fois et donc seulement certaines modifications doivent être ressertifiées, ce qui est plus simple et moins cher et beaucoup plus rapide. Donc voici un des critères de certification qui doit être rempli. J'ai enlevé certains mots qui ne sont pas importants, c'est toujours plutôt compliqué. C'était un processus où il faut ralentir d'une certaine mesure avec une certaine mesure de force. Donc en gros, la courbe de vitesse face à la force de manche ne peut pas être plus grande et plus petite que celle-ci. En regardant les caractéristiques européennes, ils ont juste converti les unités impériales en unités métriques. Mais du coup, il y a des valeurs très bizarres comme 11,79 km par heure par seconde. Donc c'est vraiment très bizarre comme texte et vous voyez de où ça vient. On peut pas avoir des nœuds, ils ont la même chose dans Chine ou en Russie, mais les critères dans la certification européenne doivent être en km par heure. J'aurais cru que si vous faites la conversion, vous pourrez utiliser des mètres par seconde, mais il suffisait km par heure, parce que je sais pas. À cause des changements aérodynamiques, le max n'emblesait pas tous les critères à la lettre. Donc il a fallu faire quelque chose. On ne pouvait pas faire une nouvelle conception mécanique, parce que ça prenait trop de temps. Et donc ils ont ajouté un petit logiciel dans un ordinateur qui existait déjà, qui mesure l'angle d'attaque, la vitesse et d'autres paramètres. Et ceci applique un trim de la gouverne de profondeur. Est-ce que vous arrivez à lire ? Donc voici un schéma des deux modes d'opération du MCAS simplifié au maximum. Le contrôle des commandes, l'ordinateur de commande est doublé, sauf que dans le MCAS, ce système est redondant, mais il utilise un sensor différent dans les deux redondances. Et il utilise toujours qu'un seul des deux sensors au même moment. Qu'est-ce qui pourrait mal se passer ? Je voudrais maintenant attirer votre intention sur cette ligne en rouge, angle d'attaque indiqué à gauche et en vert, angle d'attaque indiqué à droite. Donc c'est l'ascenseur donc je viens de vous parler. Ils sont enregistrés tous les deux, mais seulement un est pris en compte par le MCAS. Vous voyez ici qu'il y en a un qui indique des valeurs un petit peu assez proches de zéro et ça change un peu, c'est normal pour un décollage. Et alors on voit un moment que le MCAS s'active. Il est probable que c'était une ancienne version du logiciel. Je pense qu'il serait facile de croiser tout cela avec d'autres données. Je pense que c'est tout à fait faisable. Et donc dans ce cas là, le MCAS s'est activé. Pourquoi ? Pour moi c'est encore un peu un mystère. La gravité et la probabilité des différentes failles doit être audité. Il y a différentes catégories. Catastrophique, dangereux, majeur, mineur et aucun effet sur la sécurité. Pour des failles catastrophiques, il faut faire un gros audit de sécurité pour essayer au moins de diminuer les conséquences ou alors supprimer la cause. Voici les probabilités qui sont indiquées dans les critères de certification. Il y a souvent deux ordres de magnitude. C'est en général de 10 puissance moins 5 à 10 puissance moins 7 par heure. Donc c'est quelque chose et majeur. Ça n'a pas le droit d'arriver avec une probabilité probable et si c'est catastrophique, ça n'a pas le droit d'arriver avec quelque chose qui est extrêmement rare. Et pour mettre cela en perspective, les flottes avec le plus de vol arrivent à une centaine de millions d'heures de vol. Et donc même pour le 737 MAX 8, on est plutôt loin d'un milliard d'heures de vol. Donc on aurait peut-être attendu un de ces incidents parce que la distribution statistique, c'est justement là où arrive un des incidents. Mais certainement pas deux en moins de deux ans. Et viablement, la sévérité de ces incidents était catastrophique. Et il n'y a pas d'autre façon de le dire. Donc voici la partie relevante sur la contrôle de l'aviation qui a été violée. Donc l'avion doit démontrer un vol en sécurité et tous les systèmes qui peuvent éventuellement être en défaut ne doivent pas mettre en danger cette sécurité. Et du coup, l'analyse de danger doit être faite et la sévérité doit être assignée à chaque erreur. Donc l'activation involontaire de MKAS a été affectée, la sévérité majeure. Donc quelques blessures éventuellement, mais certainement pas un accident avec plusieurs centaines de morts. Et ainsi, certaines régulations disent que l'analyse qui aurait dû être faite n'a pas été faite vu que c'était juste classifié en tant que majeur et ce sont des résultats de l'analyse indonésienne qui est sans doute téléchargeable dans la version finale que je vais publier. Vous pouvez lire ça tout seul, ça ouvre pas mal de perspective. Donc seulement une analyse très limitée a été effectuée, ça a probablement pris quelques heures, mais elle n'a pas été aussi exhaustive qu'elle aurait dû être si l'incident a été caractérisé comme catastrophique. Certaines choses n'ont pas du tout été regardées du tout comme des grandes déflexions de stabiliseurs à haute vitesse, alors une activation du MKAS répétée parce qu'apparemment, le seul design du MKAS que l'autorité FAA avait vu était limité à une déflexion de 0,6 degrés à haute vitesse et une seule activation du MKAS. Cela a été changé. Il est toujours incertain comme en cela a pu arriver. Cela a été changé à plusieurs activations même à haute vitesse et chaque activation avait pu bouger le tangage à 2,5 degrés. Il n'y avait aucune limite de combien de fois le MKAS pouvait être activé. Ce qui n'avait également pas été considéré, c'est l'effet des caractéristiques de vol causés par des grands mouvements du stabilisateur ou de l'activation jusqu'à la limite du MKAS. Le MKAS ne peut pas bouger la compensation jusqu'à la limite mécanique mais juste à côté. Vous pouvez toujours redresser le compensateur sur le manche mais pas aussi loin que le MKAS peut le faire. Donc là, clairement, c'est bizarre que cela n'a pas été considéré et non plus pas aidé dans le rapport que l'autorité indonesienne avait vu que la tâche de travail des pilotes augmentait s'il fallait tirer sur le manche régulièrement avec une force équivalente de 40 ou 50 kilos continuellement parce que sinon on arrive dans une descente très rapide et cela montre qu'à la basse à l'altitude où ils étaient n'aurait pas été possible de sauver l'appareil et effectivement ça n'a pas marché. Ce qui n'avait pas non plus marché, considéré, c'est une faute du capteur d'incidence et la raison pourquoi l'MKAS avait été activé c'était justement qu'un des capteurs d'incidence avait montré une valeur beaucoup trop haute et cela n'a pas été inclus dans l'analyse. J'espère que vous pouvez voir c'est une sorte de schéma d'activation du MKAS il peut être activé de manière répétée mais seulement si le pilote utilise le trim électrique entre temps sinon il se désactive si le pilote utilise la roue manuelle et il le reste jusqu'à ce que le trim électrique est réutilisé donc quand le pilote pense qu'il fait quelque chose pour contrer le MKAS, en réalité il empire la situation mais cela ne se trouvait dans aucun manuel de pilote ça sera certainement ajouté par la suite et donc Boeing était sous une énorme pression parce qu'il devait absolument vendre un maximum de 737 je ne sais pas comment ça s'est passé en interne entre la FA et Boeing mais je pense qu'on peut facilement se dire qu'ils étaient sous une énorme pression je ne peux pas accuser qui que ce soit mais il semblerait que tout ne se passe pas très bien entre Boeing et la certification de la FA alors voilà comment la certification fonctionne l'idée originelle est la suivante un fabricant fabrique, un avion analyse et documente le comportement de cet avion ensuite la FA regarde puis elle approuve ou rejette cette documentation et là il y a déjà un point de conflit potentiel parce que la FA a un double mandat elle doit promouvoir l'aviation pour qu'elle soit plus efficace mais elle doit aussi assurer la sécurité de l'aviation et là je pense qu'il y a un conflit d'intérêt voici comment se dérouler la certification il y a 15-20 ans la FA a en tant que administration gouvernementale nomme un représentant le DER qui est employé par Boeing mais qui ne répond que à la FA cette personne va voir analyser tous les documents de Boeing va faire un rapport à la FA et puis ensuite la FA va voir l'entreprise et va lui dire ce qu'il faut faire ou pas ça a certainement amélioré la sécurité dans l'administration ça c'était il y a 15 ans aujourd'hui voilà comment ça marche la personne n'est plus un DER mais un AR toujours payé par Boeing mais elle est nommée par le gestionnaire de Boeing et elle va envoyer son rapport au gestionnaire de Boeing puis Boeing envoie d'autres rapports à la FA j'espère au moins qu'il le lise mais ils n'ont pas d'expertise venant des ingénieurs comme c'était le cas auparavant vous voyez le problème ? il faut dire que la plupart des avions qui ont été conçus ces dernières années ne sont pas horribles le 747 est relativement sûr le 777 l'est aussi tout ne va pas mal il y a un autre facteur le 737, même dans sa dernière version on n'est pas contrôlé par ordinateur ce n'est pas du fly by wire il y a quelques surfaces de contrôle qui sont gérées par ordinateur mais en réalité les contrôles ressemblent à ça bon là c'est probablement une ancienne version parce qu'il y a un peu de corrosion mais voilà comment fonctionnent les contrôles ça marche avec des poulies tout cela est assisté de manière hydraulique mais si les contrôles hydrauliques lâchent il reste les contrôles filaires qui permettront aux pilotes de se poser et dans les cas où ça ne marche pas c'est quand l'avion va très vite et que la déflexion des stabilisateurs est très élevée vous avez peut-être déjà vu cette vidéo on a testé ce cas de figure dans un simulateur qui reproduit exactement les forces notamment sur les manches de contrôle regardez les deux grosses roulettes noires au milieu ce sont les trimmanuels le système normal ne le ferait pas donc là, il essaye de compenser vers le haut parce que le système de tangage normal ne peut pas descendre aussi loin et là il essaye de remonter l'appareil de sa position et c'est connu de la boîte noire qu'elle était très basse donc certains gens ont dit éteins le système électrique mais vous voyez que les forces physiques sont vraiment très grandes quand vous voyez le capitaine à gauche ne peut même pas l'aider le pilote essaye de faire tourner le trim mais le capitaine ne peut pas l'aider parce qu'il doit tenir le manche il ne peut pas l'aider parce que sinon l'avion plongerait directement et voilà la situation à laquelle les pilotes ont été contrôlés ont été confrontés dans l'ordre des crashes et là il est bien clair ils vont se cracher autre chose que des pilotes de 1637 ont dit ne concernent que le runaway stabiliser il suffit de trimmer et la situation est résolue c'est quelque chose que tous les pilotes de 737 savent parce qu'il y a certaines situations dans lesquelles le moteur du trim ne s'arrête pas de fonctionner à cause d'un dans le défaut dans le système électrique mais tous les pilotes de 737 sont courants ils savent exactement ce qu'il doit faire lorsque ce cas de figure se présente il est écrit que le trim ne s'arrête pas de tourner mais il y a une checklist qui décrit exactement la procédure à suivre mais ici les symptômes sont très différents et les circonstances sont différentes donc peut-être que certains pilotes ont remarqué qu'ils se passaient quelque chose de bizarre avec le trim mais il semblerait que ce n'était pas ça il y a autre chose voilà le bruit que le stick shaker fait imaginez que ce bruit alors que le manchabalais vibre violemment et c'est exactement ce qu'a fait le stick shaker alors imaginez dans le vol d'avant ils ont volé pendant 1 heure avec ce bruit en permanence ce que fait ce stick shaker c'est vous dire que vous êtes au bord du décrochage alors que dans les vols qui se sont écrasés il n'allait pas du tout décrocher parce que l'avion avancé de manière normale à vitesse normale j'imagine que dans la plupart des pays et dans la plupart des compagnies aériennes ils auraient simplement fait demi-tour, ils auraient atterri et ils auraient essayé de réparer le problème chaque stick shaker est couplé à un capteur d'angle d'attaque de son côté alors est ce que le max va voler de nouveau c'est une question ouverte mais je pense que oui il est difficile de croire que ces 460 avions qui ont été construits qui sont parfois sur le parking des employés comme ici, vont être réduits à l'état de pièce détachée aucune compagnie ni Boeing ne serait content de cette situation il est clair que quelque chose va se passer ils vont essayer de résoudre le problème il y a une autre petite chose dans la certification des nouveaux appareils de Boeing est-ce que vous avez déjà vu ça ? le pot d'échappement de la batterie quel batterie a un pot d'échappement ? quelqu'un sait ? bien sûr il y en a qui le savent vous vous rappelez du Dreamliner le 787 ? il y a eu des feux de batterie dans ces Dreamliner il y a deux grosses batteries au lithium et la densité vous savez ce sont ces batteries qui prennent feu dans les smartphones elles sont très efficaces et elles sont relativement légères ces batteries ont pris feu sur certains vols si vous posez la question à un pilote quelle est la pire situation d'urgence que vous pouvez imaginer dans un vol ? ils vous diront un problème dans les commandes et un feu à bord et ces incendies sont arrivées une fois au sol et une fois en vol ces batteries ont dû répondre à des critères de certification spéciaux et il est écrit qu'elles ne doivent pas être extrêmement improbables ou plutôt un défaut dans les chargements doit être extrêmement rare la batterie ne doit pas émettre ne doit pas être explosif ou aucun gaz toxique doit être émis si la batterie si elle présente un défaut alors ces batteries sont dans la batterie et au cas où il y a ce pot d'échappement cela veut dire que les gaz ne peuvent pas s'accumuler voilà c'était la fin de ma petite conférence sur le 737 MAX je suis ouvert aux questions, merci vous êtes très à l'heure merci pour cette vidéo je vous remercie vous êtes très à l'heure merci pour cette présentation super importante on a le temps pour les questions et une discussion et pendant que vous faites la queue est-ce qu'on a des questions de l'internet l'ange signal, est-ce que ton micro fonctionne ? est-ce que tu penses que des tests de logiciels auraient pu sauver la situation ? oui, dans ce cas je pense que oui même si les tests de logiciels sont un problème parce que pour tester des logiciels à ce niveau de fiabilité il faut les tester pendant très longtemps donc pour arriver à une confidence de 99% que cela n'arrivera pas à 10 millions d'heures il faudrait tester 45 millions d'heures et il faut tester dans les mêmes conditions et apparemment personne n'a pensé à une erreur de capteur d'incidence donc je pense pas que le test de logiciels auraient aidé beaucoup merci pour ta présentation j'ai une question concernant l'immobilisation des appareils pourquoi est-ce que l'FA a attendu aussi longtemps avant d'immobiliser les appareils alors que les chinois l'avaient déjà fait oui, je suis d'accord, c'est une honte même après le premier récrasement ils ont fait une étude préliminaire et ont estimé que durant la durée de vie autour de 15 des appareils s'écraseraient donc tous les deux ou trois ans ils ont quand même attendu jusqu'à quatre jours après le deuxième accident d'immobiliser les appareils, c'est une honte absolue merci pour ta présentation j'ai une question concernant les décisions de design d'utiliser qu'un seul capteur d'incidence j'ai lu que Boeing a utilisé le MK7 avant et que dans celui-là les deux capteurs d'incidence avaient été utilisés pourquoi est-ce qu'il a eu un downgrade je connais pas le système militaire si c'est exactement la même chose mais si c'est le cas ça rendrait le choix encore plus bizarre merci pour la présentation comment est-ce qu'on teste ces demandes ces conditions comment est-ce qu'on sait que quelque chose aura un défaut tous les disponences moins vides etc oui en pratique c'est impossible si vous voulez une confidence réaliste que la probabilité d'erreur il faut tester ça à 4,5 milliards d'heures ce qui est impossible il y a des standards d'industrie pour l'aviation qui dit si vous avez des logiciels qui peuvent avoir des conséquences de cette sévérité dans ce cas il faut utiliser telle et telle méthode de développement très rigoureuse donc pratiquer les analyses très rigoureuse et si possible et certaines entreprises le font prouver formellement que le code est correct c'est un gros effort mais c'est comment on fait le genre de logiciel doit être développé au standard A ou apparemment ça n'a pas été fait il y a-t-il une question d'internet la conférence est surtout sur la MCAS mais en principe ce système avait déjà été développé pour le NG il y avait déjà eu quelques petits problèmes avec le max 2 il n'y avait pas vraiment de problèmes mécaniques mais plutôt aérodynamiques et il y avait déjà eu des modifications aérodynamiques avec le NG mais celui-ci a rempli toutes les certifications nécessaires le NG remplissait les certifications et le max ne les remplissait pas même le classique qui en principe avait les mêmes moteurs que le NG avec quelques problèmes et c'est pour ça qu'on a introduit le système de vitesse donc il y a déjà un système similaire le MCAS c'est juste un petit ajout d'algorithme vous voyez attacher vos ceintures et ne pas faire de bruit pendant qu'on peut entendre les questions ou si vous partez je vous demanderai d'être très silencieux le son retenu est-ce que la FAA a changé son processus de certification ou qu'en a-t-il des autres agences la FAA va probablement se mouvoir très lentement on n'a pas entendu parler de changements mais je dois dire que je n'ai pas vraiment étudié la question d'autres agences de certification travaillent différemment les chinois ont déclaré qu'ils n'allaient pas suivre le processus de certification de la FAA jusqu'à présent c'était le cas quand la FAA certifiait un avion toutes les autres suivaient en se disant que ce qu'a fait la FAA était probablement du bon boulot et ça va probablement changer merci bonjour merci, deux questions est-ce que tu as fait partie d'une enquête officielle ou est-ce que c'est ta propre analyse autre question j'ai entendu parler de ce logiciel qui a été sous traité en Inde première question non c'est mon analyse privée j'ai fait des analyses d'accidents j'ai fait des analyses d'accidents de mon métier pendant quelques années mais là c'est privé je n'ai rien entendu de telle mais j'ai entendu parler du fait que l'entreprise qui a créé ce logiciel est ony well si le logiciel est fait proprement d'après les dans les règles de l'art et bien normalement tout va bien normalement tout doit être analysé et si rempli toutes les spécifications il n'y a pas de problème le problème n'est pas dans l'implementation mais dans la conception merci bonjour je n'ai peut-être pas bien compris mais j'ai l'impression que le problème se trouve surtout dans la concurrence ma question est la suivante est-ce que tu as des suggestions sur ce qui doit être changé pour éviter ce genre d'accident et ce genre de méprise à l'avenir surtout dans des systèmes qui sont aussi critiques je n'ai pas parlé ici de la racine du problème mais des différents problèmes rappele-toi ce graphique toutes les feuilles de l'arbre sont des causes qui peuvent être les causes principales je me suis juste arrêté assez tôt pour ne pas aller trop en profondeur mais en tout cas l'incompétence de Boeing est là une des raisons principales je n'ose pas imaginer que tu viennes de proposer d'abolir la concurrence mais en tout cas pour résoudre ce problème il va falloir avoir de bons ingénieurs et peut-être qu'il faudra payer de meilleurs salaires aux employés de la FAA parce que la plupart des bons ingénieurs vont chez Boeing plutôt que d'aller à la FAA et pourtant la FAA a besoin d'une énorme expertise pour certifier tous ces appareils j'ai entendu j'ai lu qu'il y avait une version du 737 MAX 8 qui permettait un troisième capteur d'incidence comme un backup mais ceci était une option payante et je n'ai pas trouvé de confirmation pour cela non, pas en tant qu'option payante il y avait quelque chose sur une option qui s'appelait c'était une option de sécurité je ne me rappelle pas ce que c'était peut-être que c'était un indicateur d'incidence c'est une option payante pour le 737 parce que le capteur il y a de toute façon par contre concernant un troisième capteur ça me surprendrait parce que ça c'est un grand changement donc il faudrait une grosse unité de calcul supplémentaire dont il y en a seulement deux et ça aurait pris un long temps de développement je suis sceptique concernant ce troisième indicateur d'incidence est-ce que tu reprendrais un 737 max si il était ressertifié je me suis attendu à cette question je n'ai pas encore vraiment une réponse donc ça te dépend comment est-ce que je vois la FAA et les ASA faire leur travail j'ai vu que j'ai vu que certains gens dire que l'arrivavion ne devrait jamais être ressertifié je pense qu'il le sera je vais regarder dans les détails comment la FAA travaillera et comment les ASA réagira et après peut-être que oui très bien merci dans ce cas on va prendre une autre question de l'audience est-ce que tu sais pourquoi le capteur d'incidence n'a pas donné les bonnes mesures oui il y a des théories mais je n'ai pas analysé ça précisément et à certaines histoire que dans le cas du vol indonésien c'était mal reassemblé mal remonté ça expliquerait pourquoi il y avait un offset constant il faut calculer que c'était exactement en regardant les données nues, il y avait un bit qui était de travers il faudrait que je relise cette section du rapport indonésien sur la maintenance qui ne répondait pas au standard donc une autre question moi je m'attendrais à ce que des avions modernes ont je ne sais pas la possibilité de déconnecter tous les systèmes électroniques, est-ce que c'est quelque chose qui existe ? non, vous ne pouvez pas déconnecter de l'automatique aujourd'hui parce que les nouveaux ordinateurs fly by wire, il n'y a plus de connexion entre les contrôles et les surfaces de contrôle donc tous les service depuis la trace en 20 pour tous les Boeing depuis le 787 sont complètement fly by wire 95% parce qu'il y a un service de contrôle qui est directement connecté un spoiler des deux côtés mais en gros il n'y a pas de possibilité il faut être sûr que le logiciel de contrôle est développé avec le standard le plus soutenu parce qu'on ne peut pas l'éteindre je vais dire comme ça un avion fly by wire seulement l'ordinateur peut contrôler les surfaces de contrôle il faut espérer qu'il valent son argent pensez à ça en montant dans l'avion la prochaine fois et un applaudissement à notre conférencier