accident du vol af 447 - jumboroger.fr · 2.2.4 recommandation ntsb a96‐56 non suivie 2.2.5...
TRANSCRIPT
1
ACCIDENT DU VOL AF 447
RAPPORT D’EXPERTISE JUDICIAIRE DU 21 JUIN 2012 PARTIES CIVILES OBSERVATIONS SUR LE RAPPPORT ET SES CONCLUSIONS
DEMANDES D’ACTES COMPLÉMENTAIRES Mémoire présenté par Gerard. Arnoux à l’intention des Conseils des Parties Civiles Avec la reprise des travaux d’Henri Marnet Cornus (Safety first) en particulier pour la partie 2.2
2
TABLES DES MATIÈRES 1) PRÉAMBULE 2) OBSERVATIONS
2.1‐ SUR LES DIRES D’EXPERTS : 2.1.1 Plaque Airbus 2.1.2 Plaque EASA
2.1.3 Plaque DGAC 2.1.4 Plaque BEA 2.1.5 Plaque AIR France 2.1.6 Plaque Équipage
2.2‐ SUR CE QUE LES EXPERTS ONT OMIS DE CONSTATER : 2.2.1 Défauts d’un équipement 2.2.2 Pas de limitations 2.2.3 Procédure « unreliable airspeed » inopportune 2.2.4 Recommandation NTSB A96‐56 non suivie
2.2.5 Normes de certification obsolètes en dépit recommandation BFU 2.2.6 Vulnérabilité des sondes Pitot aux cristaux de glace non évaluée
2.2.7 Absence d’alarme blocage Pitot 2.2.8 Fréquence de nettoyage des sondes Pitot insuffisante 2.2.9 Test Thales AA : non respect annexe 8 OACI 2.2.10 Analyse de sécurité incomplète pour le classement du risque 2.2.11 Classement du risque « Major » erroné 2.2.12 Non prise en compte d’une « unsafe condition » 2.2.13 Pas d’AD suite situation identique sonde Rosemount (AD DGAC 2001) 2.2.14 Absence de réactivité après le constat de Barcelone (2007) 2.2.15 Sib EASA juillet 2011 tardif 2.2.16 Passivité DGAC 2.2.17 Passivité BEA 2.2.18 Proposition CHSCT PN AF 2002 ignorée 2.2.19 Procédure récupération décrochage dangereuse 2.2.20 Risque de sortie du domaine de vol connu et identifié de longue date 2.3‐ SUR LES CONCLUSIONS DES EXPERTS 2.3.1 Causes de l’accident 2.3.2 Facteurs contributifs 2.3.3 L’accident aurait‐il pu être évité ? 3) DEMANDES D’ACTES 3.1‐ DEMANDE DE RÉPONSES AUX OBSERVATIONS DES PARTIES CIVILES 3.2‐ DEMANDE DE MISE A DISPOSITION DU DFDR
3.3‐ DEMANDE D’EVALUATION DES RISQUES : pannes multiples et perte redondance 3.4‐ DEMANDE DE RECONSTITUTION DE L’ÉVÉNEMENT 3.5‐ DEMANDE DE MISE SOUS SCELLÉS des calculateurs contemporains de l’accident
3
1) Préambule
Le rapport d’expertise judiciaire, incomplet dans ses conclusions, est conforme dans sa méthodologie à cette recommandation de l’OACI alors que le rapport du BEA Français ne l’est pas. Les experts judiciaires ont, ce faisant, clairement établi que : a) des défauts graves de conception, certains contraires aux exigences de certification et dont le lien de causalité n’est pas contestable, ont entrainé une situation potentiellement dangereuse parfaitement caractérisée. b) des négligences graves à l’origine d’une faillite généralisée du retour d’expérience au niveau de tous les acteurs du transport aérien (constructeur, tutelle, exploitants) qui n’ont pas effectué les diligences qui s’imposaient, ont permis à cet accident d’arriver. c) la perte de cet appareil ne saurait être imputé à la seule erreur supposée de l’équipage. Le modèle de Reason qui fait autorité en accidentologie, le confirme :
4
Afin de ne pas courir le risque de ne pas tirer tous les enseignements de cet accident utiles à la manifestation de la vérité et au delà à l’amélioration de la sécurité du transport aérien, il serait souhaitable que l’instruction progresse selon le principe que toutes les responsabilités soient établies sans exclusive alors que à ce jour, seules deux personnes morales font l’objet d’une mise en examen : La compagnie Air France et la société Airbus pour des motifs insuffisants. C’est pourquoi, l’instruction doit également se pencher sur le rôle joué dans cet accident par les Personnes Physiques travaillant pour le constructeur, les autorités de tutelle (DGAC/EASA), le BEA et le transporteur qui ont à l’évidence, les experts en ont fait le constat, ignoré l’abondant retour d’expérience disponible à tous les niveaux. Alors qu’il est clair qu’ils n’ont pas accompli les diligences normales que leurs attributions leurs imposaient compte tenu de la nature de leur mission de leur fonction ou de leurs compétences ainsi que du pouvoir et des moyens dont ils disposaient, ils doivent en rendre compte. Les observations et demandes d’actes visent également à établir toutes les causes de cet accident sans exclusive de telle sorte qu’il puisse être répondu sans ambiguïté et dans tous ses aspects à la question posée : Nous avons l'honneur de vous demander de bien vouloir répondre à la question suivante lorsque
5
vous serez arrivé au terme de vos investigations .• L'accident aurait il pu être évité, et dans l'affirmative, par quels moyens ? Plus généralement, vous voudrez bien faire toutes les observations utiles à la manifestation de la vérité.
2.0 OBSERVATIONS
21. Observations complémentaires sur les points clé relevés par les experts dans leur rapport
Nota : les extraits du dossier d’expertise sont cités en caractères noirs ; les observations et les documents joints des Parties civiles en caractères bleus. L’ordre de présentation suit la logique des plaques de Reason conservant la chronologie des experts.
2.1.1 Première plaque : Société AIRBUS 4.1.2.5 Suivi (les incidents et accidents) Les incidents et accidents tels que définis dans l'annexe XIII de l'OACI, et repris dans la directive européenne 94/56/CE, remplacée depuis octobre 2010 par le règlement européen N°996/2010. (Définitions en annexe 448), sont exploités par le service Product Safety. Les événements qui ne rentrent pas dans la catégorie des incidents graves et accidents cités ci dessus sont définis comme des « Occurrences ». Ces événements sont exploités et analysés par les services product Integrily et A330/340 Chief Engineer. Chaque « occurrence » est traitée suivant un processus qui répond aux exigences de suivi de navigabilité en liaison avec 1'EASA. Commentaire d'experts : AIRBUS est le concepteur de 1'A330, à ce litre il assume la responsabilité du suivi de navigabilité. La société AIRBUS s'est organisée pour traiter les incidents graves et les accidents conformément aux dispositions de la Directive européenne en vigueur au moment de l'accident. Les évènements reportés par les exploitants sont traités selon un processus qui répond aux exigences du suivi de navigabilité. 4.2.2.3.3 Les occurrences de givrage des sondes anémométriques, ont ainsi été classées « majeures », leur probabilité ne pouvait être supérieure à 10 -5. Airbus n'a pas retenu la qualification d' « unsafe condition ». Le classement du risque par Airbus répondait à une valeur quantitative (taux de une occurrence sur 100 000 vols) mais ignorait l’aspect qualitatif (dangerosité) qui n’a pas été pris en compte. Ces occurrences ont fait l'objet d'un traitement en réunion ARM (68ième et 69ieme) auprès de 1'EASA. Lors du «68th Airworthiness Review Meeting» (499) des 10 & 11 décembre 2008 (diffusion 6 février 2009) en présence des autorités de certification, le givrage des Pitots était à l'ordre du jour. « All of these events involved THALES pitot PN Cl 61 95AA, > This PN appears more sensitive to severe icing, These occurrences have been analysed and the impact on airworthiness has been found to be no more than Major, 4.2.2.6 Traitement des informations par Thalès Le 12 décembre un courrier récapitulatif des compagnies (502) ayant reportés des incidents de vitesses erronées est la première suite donnée. En mars 2009 THALES a proposé une informations aux exploitants Thales has performed a comparative tests campaign in icing wind tunnel • Performed at the maximum possibility of the tunnel • Real life, conditions cannol be reproduced (It could only partially be done in NASA facilitv at extreme costs
6
• Tests performed above the qualification requirements • When limits of pitot AA are reached: Pitol BA remains funclional and Air Data remains valid • Pitot BA is more robust than Pitot AA in icing conditions internal design improves robustness in icing Il est ici acté que la sonde Thales BA se comportait bien en conditions de givrage sévère quand la sonde Thales AA n’y parvenait pas. Commentaire d'experts L'évaluation du niveau de risque par le constructeur associant dangerosité et probabilité est conforme à la réglementation. Airbus a également mené et suivi des actions vis à vis de l'équipementier Thalès. Les retours des exploitants d'Airbus n'ont pas remonté au constructeur une dangerosité liée au pilotage, ou à la gestion de la situation dégradée, qui aurait pu influencer la perception du risque et avoir une conséquence sur le traitement des occurrences. C’est inexact : Air Caraïbes a bien remonté au constructeur une dangerosité liée au pilotage. Ce que confirment les experts dans leur commentaire cidessous : La dangerosité des évènements liés au givrage des sondes anémométriques en haute altitude a été sous estimée par les exploitants eux mêmes. La gestion séparée de la compagnie Air France et des autres exploitants français par l'Autorité de tutelle n'a pas permis de faire le lien entre la dangerosité perçue et exprimée par Air Caraïbes et les problèmes similaires vécus par Air France. AIRBUS n’a pas respecté ses obligations réglementaires en matière de suivi de navigabilité. Son interprétation des règlements de certification est abusive, raison pour laquelle le service « product safety » n’a pas considéré à tort l’existence d’une « unsafe condition ». Si l’organisation structurelle d’Airbus était conforme, l’analyse ne l’était pas dans la mesure où les incidents Pitot étaient bien des incidents graves au regard de la directive CE/96/54 (voir 2.2.10, 2.2.11 et 2.2.12). En outre, ils étaient bien considérés avant 2009 par la FAA Américaine comme étant potentiellement catastrophiques. En l’occurrence Airbus certifie aussi ses aéronefs aux Etats Unis et à ce titre se doit de se conformer aux règlements US qui leur sont donc parfaitement connus, en matière de suivi de navigabilité. Et ces règlements sont clairs : S’agissant des pannes constatées par le DFDR sur AF447, le classement du risque est considéré comme étant potentiellement « catastrophic » et le taux d’occurrence doit être « extremely improbable » c’est à dire 109, autrement dit ne doit pas normalement arriver dans toute la vie d’un modèle d’avion (cf. AC 2511A pages suivantes en vigueur au moment de l’accident). Les problèmes de givrage Pitot étaient identifiés par le BFU (BEA Allemand) depuis 1999. D’ailleurs Airbus en était tellement conscient qu’il s’adresse à la FAA US en septembre 2009 pour tenter de lui faire changer la formulation défavorable pour le constructeur de son AD (voir lettre ABI à la FAA cidessous) : To: U.S. Department of Transportation Docket Operations, M–30 1200 New Jersey Avenue, SE.
7
West Building Ground Floor Room W12-140 WASHINGTON, DC 20590, USA FROM
Marc LE-LOUER DATE
04 September 2009 PHONE
+33 (0)5 61 93 24 57 FAX
+33 (0)5 61 93 45 80 E-MAIL
[email protected] OUR REFERENCE
EALA_LR03D09021899 YOUR REFERENCE
Docket Number FAA–2009–0781; Directorate Identifier 2009–NM–111–AD; Amendment 39– 16004 Copy: FAA – Vladimir Ulyanov EASA – L. Gruz Airbus EA – Y. Régis Airbus EAL – F. Duclos Airbus GSE - F. Combes Subject: Airbus comments on Docket Number FAA–2009–0781; Directorate Identifier 2009–NM–111–AD; Amendment 39–16004; AD 2009–18–08 : Final rule; request for comments. Dear Sir, Airbus is pleased to provide comments on the FAA’s Final rule Docket Number FAA–2009–0781; Directorate Identifier 2009–NM–111–AD; Amendment 39–16004; AD 2009–18–08. In order to be consistent with the EASA text in the AD 2009-0195, we ask you to replace the sentence " airspeed discrepancies, which could lead to disconnection of the autopilot and/or autothrust functions, and reversion to flight control alternate law and consequent increased pilot workload. Depending on the prevailing airplane altitude and weather, this condition, if not corrected, could result in reduced control of the airplane" in the "Unsafe Condition" paragraph with the following sentence : "Airspeed discrepancies may lead in particular to disconnection of the autopilot and/or auto-thrust functions, and reversion to Flight Control Alternate law. Depending on the prevailing aéroplane altitude and weather environment, this condition could result in increased difficulty for the crew to control the aeroplane. Indeed, from the Handling Quality perspective the unreliable air speed event and the as per design consequences don't change the a/c contrability. It only increases the pilot workload to control the a/c. Secondly could you add the following sentence, which has been inserted in the EASA AD 2009- 0195 (sentence not included initially in the PAD 09-099). It presents the results of additional Pitot probe tests : "Preliminary results of additional wind tunnel testing conducted with the C16195BA probe during August 2009 are consistent with the qualification data of the probe and have not identified any safety issue regarding the probe behaviour within the icing envelope as defined in the appendix
8
La FAA n’a pas donné satisfaction à cette requête d’Airbus Et pour cause au vu du tableau AC 2511A cidessous daté du 21/06/2007. Ce tableau donne la position de la FAA en 2007, deux années avant l’accident quant aux exigences de certification concernant les indications de vitesses. Traduction : La perte de toutes les indications de vitesse y compris de secours doit être considérée au niveau du risque par rapport à la sécurité (« hazard classification ») comme étant catastrophique et devant être qualitativement (« qualitative probability ») comme extrêmement improbable. Et encore case 5 : l’affichage de vitesses trompeuses sur l’une des planches pilote associée à la perte de l’indicateur de secours (absence d’indication ou vitesse fausse) est une situations catastrophique. L’EASA s’était contentée de classer le risque comme « major » soit un taux acceptable d’occurrence de 105. Mais Airbus ne peut prétendre ignorer les règlements Américains, notamment la classification de la FAA qui s’applique bien aux aéronefs certifiés aux USA.
9
4.2.3 EXPLOITATiON DES ÉVÈNEMENTS DE GIVRAGE DE SONDES ANÉMOMÉTRIQUES. De mai 2008 à mars 2009, 9 incidents de givrage des sondes Pitot sont enregistrés sur la flotte A340/A330 d'Air France. Ces 9 cas concernent des sondes THALES AA.
6/21/07 AC 25-11A
32
loss of attitude primary display on one side in some flight phases (for example, during
takeoff).
2 Airspeed. The following table lists examples of safety objectives for
airspeed related failure conditions.
Table 4 Example Safety Objectives for Airspeed Failure Conditions
Failure Condition
Hazard Classification Qualitative Probability
Loss of all airspeed displays,
including standby display
Catastrophic Extremely Improbable
Loss of all primary airspeed
displays
Major – Hazardous(*) Remote - Extremely
Remote(*)
Display of misleading airspeed
information on both primary
displays, coupled with loss of stall
warning or loss of over-speed
warning
Catastrophic Extremely Improbable
Display of misleading airspeed
information of the standby display
(primary airspeed still available)
Major Remote
Display of misleading airspeed
information on one primary display
combined with a standby failure
(loss of airspeed or incorrect
airspeed)
Catastrophic Extremely Improbable
(**)
(*) System architecture and functional integration should be considered in determining
the classification within this range. This failure may result in a sufficiently large
reduction in safety margins to warrant a hazardous classification.
(**) Consistent with the “Loss of all airspeed display, including standby display” safety
objective, since the flightcrew may not be able to separate out the correct display.
10
4.2.3.1 Généralités Airbus n'a pas exploré de pistes techniques permettant d'éviter un givrage simultané de plusieurs sondes comme par exemple imposer un mixage de sondes de fabrication différentes, ce qui a été fait après l'accident et aurait pu améliorer la redondance du système. 4.2.3.2 L'alarme STALL WARNING est associée à une procédure qui n'apparaît pas dans le QRH, mais qui est citée en chapitre Navigation ATA 34 sans pour autant la développer. Le constructeur renvoie vers les techniques supplémentaires en chapitre commandes de vol. Les procédures existantes préconisées par le constructeur, ne répondent pas à la « signature » spécifique d'un évènement de givrage des sondes en croisière haute altitude. Elles comprennent 4 pages et ne sont pas suffisamment orientées vers le cas considéré. Par ailleurs, il est intéressant de noter que la Check-list associée à cette alarme majeure, renvoie à des procédures supplémentaires. Aucune action de mémoire n'est décrite dans ce cas par le constructeur. 4.4 DOCUMENTATION OPERATIONNELLE 4.4.1 Airbus Stall Warning FCTM (flight crew training manual) L'alarme STALL WARNING est une alarme rouge, elle est classée dans les procédures d'urgence. Elle est mentionnée dans le FCOM en 3.02.34 (ATA 34 Navigation) comme une procédure d'urgence « non ECAM» Elle ne comporte pas d'actions de mémoire, mentionne simplement que lorsque le seuil est franchi, une alarme continue « STALL ± CRICKET» est activée jusqu'à ce qu'une incidence correcte soit récupérée. Le FCOM renvoie à 3.04.27 qui sont les techniques supplémentaires. Cette procédure n'est pas décrite au QRH comme les procédures « non ECAM ». Le FCTM ne mentionne une action liée au Stall warning que en OP-020 page 5/14 (philosophie opérationnelle/commandes de vol) où il est écrit entre parenthèses au sujet de la loi Alternate «(comme par exemple en cas de Stall Warning, augmenter la poussée, réduire l'incidence et vérifier que les Aérofreins soient rentrés)» Il demeure difficile dans certains cas de conclure au diagnostic de vitesses erronées. C'est le cas des pertes d'indications de vitesse dues à des phénomènes simultanés de givrage des sondes Pitot en haute altitude. La signature de ce type d'événement n'est pas mentionnée dans la documentation qui l'exprime comme étant fortement improbable. Commentaire d'experts : Il est difficile, au vu de l'analyse du contenu documentaire, de comprendre la logique de la description de l'alarme STALL WARNING dans la documentation du constructeur Airbus. Cette alarme apparaît comme une procédure d'urgence non ECAM dans le FCOM en partie « Navigation ». Elle ne contient qu'un renvoi aux « Techniques Supplémentaires » en partie « Commandes de vol ». La procédure décrite dans la partie « Techniques Supplémentaires »fait référence au paramètre « Vitesse » qui est le paramètre défaillant dans ce cas de panne. Le QRH ne contient pas cette procédure d'urgence. Les experts ne précisent pas que c’est ce qui explique que l’entraînement à cette procédure ne faisait pas partie du référentiel et que par conséquent les équipages n’y étaient pas entrainés de façon récurrente. La description des systèmes ne fait pas mention du principe de fonctionnement de l'alarme Stail warning. (l'alarme Stall Warning prend ses informations sur les sondes d'incidence avec seuil de déclenchement variable). Le constructeur impose au pilote de réagir comme sur un avion conventionnel (sans commandes électriques). Sur les avions conventionnels, des procédures de récupération en cas d'alarme Stall existent et sont des actions à connaître de mémoire. La procédure Stall Warning n'est qu'une procédure de prévention et non de récupération. De plus, des protections complémentaires, comme les alarmes aussi dissuasives que « Stick Shaker » et « Stick Pusher » existent sur nombre d'avions conventionnels. Si la loi normale procure des protections très efficaces contre les excursions hors du domaine de vol, ceci n'est pas le cas en loi Alternate 2b et en loi directe.
11
La documentation constructeur ne permettait pas aux équipages une bonne connaissance des systèmes. Le décrochage relève essentiellement de l’augmentation de l’incidence qui est une conséquence d’une diminution de la vitesse (absente en l’occurrence). Airbus n’a pas jugé utile d’équiper en standard ses avions d’indicateurs d’incidence sur le tableau de bord (c’est une option), alors que cet instrument permet de mesurer l’approche du décrochage et s’avère indispensable à sa récupération éventuelle. L’alarme Stall était considérée par la majorité des équipages comme non fiable. La procédure décrochage n’était pas classée en manœuvre d’urgence. Conséquemment, les équipages qui auraient du y être entrainés au moins une fois tous les trois ans ne l’étaient pas. Cet aéronef en loi dégradée (ALTN) s’avère aux dires d’experts, moins bien protégé qu’un avion d’ancienne génération et pourtant aucun entraînement au décrochage ni manœuvres d‘urgence de mémoire au décrochage n’étaient prévus par le constructeur qui estimait son avion suffisamment protégé. En fait, il l’est seulement en loi normale. Certaines consignes de récupération du décrochage étaient dangereuses et les procédures ont du être modifiées en mars 2010 en particulier la consigne demandant au PF d’appliquer la peine poussée (voir commentaire d’expert cidessus) laquelle a eu pour effet d’accroitre le moment à cabrer et donc l’incidence qui amène au décrochage. Selon le document fast signé de la main du vice Président formation et opérations aériennes AIRBUS cidessous : Traduction :
- Un entrainement spécifique aux situations inusuelles sera prévu sur les modèles d’aéronefs classiques
- Une information sur les principes de reconnaissance et de récupération des situations inusuelles sera fournie pour les aéronefs Airbus protégés, aux commandes de vol électriques, mais aucun entrainement spécifique n’est nécessaire.
Tout comme le Titanic ne pouvait pas couler, l’A330 ne pouvait pas décrocher Et l’entraînement au décrochage des pilotes d’Airbus de nouvelle génération n’était pas nécessaire ! « NO FURTHER COMMENT Mister Baud ! »
12
4.5.2 LE MAINTIEN DE LA NAVIGABILITÉ DE L 'AVION Au cours de cette dernière Check C. les 3 PHC (Probe Heat Computer) p/n 785620-2 ont été remplacés par des PHC modifiés p/n 785620-3 (AEO 33-30-0006-1/01/120) afin de mettre l'avion au
13
dernier standard. Le PHC est le calculateur qui gère le réchauffage des sondes (prise de pression totale « Pitot », prises de pression statique, sonde d'incidence, sonde de température totale) ainsi que le contrôle de son bon fonctionnement. CONCLUSIONS (rapport DGTA: En réponse à la mission ordonnée par le collège d'experts judiciaires, l'examen du processus de certification du système de dégivrage des sondes de l’A33O, l'examen de I 'analyse de sécurité des systèmes et des logiciels associés au PHC et / 'analyse de tous les « Service bulletin, » liés au PHC ont mis en lumière plusieurs faits marquants. L'analyse de sécurité identifie comme « Catastrophique », le scénario de défaillance « Undetected loss of two PHC » (Perte non-détectée de deux PHC). Le niveau de criticité /u Probe Heat computer, a été réduit du niveau Class A au niveau Class B from « critical»to «Essentiel». Les réponses apportées par l'avionneur lors de nos investigations ne permettent pas de comprendre la justification de celte réduction du niveau de criticité en regard des phases de certification de l'A 330. Au défaut originel bien documenté des sondes Pitot Thales AA, vient s’ajouter la modification intempestive (effectuée sans étude de sécurité) du système de réchauffage à l’été 2008 qui a considérablement aggravé le problème de givrage à haute altitude de ces capteurs (voir également en 7.3.1.2 réglementation non respectée). 5.3.2.2.2 Loi ALTERNATE 2 (ALTN2) - en cas de panne des 3 ADR, il n'y a pas de protection haute Vitesse. Commentaire d'experts La loi ALTERNATE 2 est une loi « hybride » qui combine loi normale de contrôle longitudinal par demande de facteur de charge et loi directe de contrôle latéral par commande directe des gouvernes. En cas de perte d'au moins deux ADR, la stabilité basse vitesse est perdue, il est surprenant que le trim.. automatique ne soit pas désactivé au voisinage de alpha PROT, Le fonctionnement du trim. du PHR (THS : trimable horizontal stabilizer) qui est parti en position presque maximum à cabrer à l’insu de l’équipage a contribué à réduire l’efficacité de la gouverne de profondeur (son autorité à piquer) quand le PF (pilot flying) a appliqué sans résultat notable un ordre au manche à piquer pendant 13 secondes. C’est un problème d’ergonomie relevé par les experts que le fait que le trim ne soit pas désactivé dans cette situation (stabilité basse vitesse). Outre que cette action n’a pas permis de réduire suffisamment l’assiette de l’avion, cette réponse faible à une action forte sur la profondeur a sans aucun doute participé de façon notable à l’incompréhension du PF. Avec le Trim dans cette position (13° à cabrer), l’avion après décrochage devenait irrécupérable quelque soient les actions des pilotes. Directeur de vol (FD) - Lorsque l’AP ou les AP sont en fonctionnement, les deux FD doivent être engagés, - Les deux FD doivent être dans le même état de fonctionnement soit ON, soit OFF. - Lorsque les FD sont utilisés, compte tenu de la dépendance des modes A/THR aux modes verticaux FD, les ordres FD doivent être suivis. Commentaire des experts Les automatismes de guidage fonctionnent en suivant des séquences définies dont le déroulement est présenté sur le FMA (partie supérieure du PFD). S 'il y a doute sur le fonctionnement des automatismes les FD doivent être désengagés (mis sur OFF). Dès lors que les FD (Directeurs de Vol) sont utilisés, les barres de tendance doivent être suivies. Commentaire d'expert: Le trim automatique, qui commande le déplacement du THS, un déplacement lent (0,31s). Il est commandé par la demande de facteur de charge correspondant au déplacement du manche.
14
6.3 SYNTHÈSE DU VOL DÉCOUPÉ EN SÉQUENCES CHANGEMENT DE CHANGEMENT DE MODE VERTICAL SUR LE FMA La barre de tendance horizontale est positionnée pour tenir l'assiette associée à la VS qui apparaît au FMA, (PFD 02h1 0.30) Les barres de tendances sont centrées pour une assiette de 6" et une vitesse verticale de 1400 en montée. Le suivi de la barre de tendance profondeur du Directeur de Vol a contribué au maintien d'une assiette à cabrer forte. Les indications du Directeur de Vol sont toujours à cabrer. Le PF qui avait maintenu une action sur le manche à piquer depuis 13 secondes environ ( débattement maxi) reprend une action à cabrer. Cette action est cohérente avec le suivi de la barre de tendance profondeur qui demande de prendre une assiette à cabrer plus forte pour respecter les 1400fl/mn en montée.. Sont confirmés, des affichages du directeur de vol (FD) inappropriés sur le tableau de bord (au PFD) demandant au pilote de cabrer fortement l’avion, ordres qu’il a majoritairement suivis alors qu’il était à l’évidence en recherche de repères fiables et se croyait en survitesse ; Or, Les FD ont fait l’objet de rien moins que de 4 AD (Airworthiness directives de l’EASA) depuis le crash (1 en 2010, 2 en 2011 et une en 2012 ci‐dessous), exigeant d’Airbus la modification des logiciels AP/FD. Les barres de tendance du directeur de vol sont réapparues en réversion de mode se centrant sur l’assiette instantanée à cabrer ordonnant au PF le maintien d’un vitesse verticale de 1400 pieds/minute alors qu’elles n’auraient pas dû. EASA AIRWORTHINESS DIRECTIVE AD No.: 2011-0199R1 Date: 17 February 2012 Note: This Airworthiness Directive (AD) is issued by EASA, acting in accordance with Regulation (EC) No 216/2008 on behalf of the European Community, its Member States and of the European third countries that participate in the activities of EASA under Article 66 of that Regulation. This AD is issued in accordance with EC 1702/2003, Part 21A.3B. In accordance with EC 2042/2003 Annex I, Part M.A.301, the continuing airworthiness of an aircraft shall be ensured by accomplishing any applicable ADs. Consequently, no person may operate an aircraft to which an AD applies, except in accordance with the requirements of that AD, unless otherwise specified by the Agency [EC 2042/2003 Annex I, Part M.A.303] or agreed with the Authority of the State of Registry [EC 216/2008, Article 14(4) exemption]. Type Approval Holderʼs Name : AIRBUS Type/Model designation(s) : A330 and A340-200/-300 aeroplanes TCDS Numbers: EASA.A.004 and EASA.A.015 Foreign AD: Not applicable Revision: This AD revises EASA AD 2011-0199 dated 27 October 2011. ATA 22, 27 Auto Flight / Flight Controls – Flight Control Primary Computer (FCPC) – Modification / Replacement Manufacturer(s): Airbus (formerly Airbus Industrie) Applicability: Airbus A330-201, A330-202, A330-203, A330-223, A330-223F, A330-243, A330-243F, A330-301, A330-302, A330-303, A330-321, A330-322, A330-323, A330-341, A330-342 and A330-343 aeroplanes, all manufacturer serial numbers, except those on which Airbus modification 201654 has been embodied in production, or Airbus Service Bulletin (SB) A330-27-3156 has been incorporated in service, and Airbus A340-211, A340-212, A340-213, A340-311, A340-312 and A340-313 aeroplanes, all manufacturer serial numbers.
15
Reason: It has been determined that, when there are significant differences between all airspeed sources, the flight controls of an Airbus A330 or A340 aeroplane will revert to alternate law, the autopilot (AP) and the auto-thrust (A/THR) automatically disconnect, and the Flight Directors (FD) bars are automatically removed. Further analyses have shown that, after such an event, if two airspeed sources become similar while still erroneous, the flight guidance computers will display the FD bars again, and enable the re-engagement of AP and A/THR. However, in some cases, the AP orders may be inappropriate, such as possible abrupt pitch command. In order to prevent such events which may, under specific circumstances, constitute an unsafe condition, EASA issued AD 2010-0271 to require an amendment of the Flight Manual to ensure that flight crews apply the appropriate operational procedure. Since that AD was issued, new FCPC software standards have been EASA AD No : 2011-0199R1 EASA Form 110 Page 2/3 developed that will inhibit autopilot engagement under unreliable airspeed conditions. Consequently, EASA issued AD 2011-0199 to require software standard upgrade of the three FCPCs by either modification or replacement, as follows: - software standard P11A/M20A on FCPC 2K2 hardware for A330-200/-300 aeroplanes, through Airbus Service Bulletin (SB) A330-27-3176, - software standard P12A/M21A on FCPC 2K1 hardware and M21A on FCPC 2K0 hardware for A330-200/-300 aeroplanes, through Airbus SB A330-27- 3177, - software standard L22A on FCPC 2K1 hardware and L22A on FCPC 2K0 hardware for A340-200/-300 aeroplanes, through Airbus SB A340-27-417 L’EASA confirme par cette AD l’existence d’une « unsafe condition » quant à la logique de fonctionnement des FD 5.7.1.3 .1 Alarme de décrochage 25.207 (c) Stall Warning Once initiated, stall warning must continue until the angle of attack is reduced to approxinately That at which stall warning began. Commentaire d'experts La certitude que l'exigence de certification CS25.203 est respectée n 'est pas prouvée en raison de la loi en facteur de charge active lors du décrochage. L'exigence de certification CS25.207 n'est pas respectée. La logique d’activation de l’alarme Stall n’était pas réglementaire et son fonctionnement inversé après le décrochage (elle retentissait quand le PF faisait le « bon geste » à piquer et s’arrêtait quand accentuait la situation de décrochage en positionnant le manche à cabrer) a ajouté de la confusion à l’incompréhension de l’équipage. 7.3.1.2 Réglementation JAR 25 1323 Instruments installation: Each system must have a heated pitot tube or an equivalent means of prevenhing malfonction due to icing. (Sec ACJ 25.1323(e)). JAR 25 1326 Pitot Heat indication system: 1f a flight instrument pitot heating system is installed, an indication system must be provided 10 indicate to the flight crew when that pitof heating system is not operating. JAR 2574191cc Protection: If certification for flight in icing conditions is desired, the aeroplane must be able to safely operate in the continuous maximum and intermittent maximum icing conditions ofAppendix C. To establish that the aeroplane can operate within continuous maximum and intermittent maximum conditions of Appendice C (Annexe N°17) (Sée AJ 25. 1419)
16
PHC Les performances de la version 785-620-3 du calculateur n'ont pas été évaluées au travers d'essais de qualification… Par ailleurs, les documents obtenus lors de nos investigations démontrent que les chaînes de dégivrage des sondes Captain et Stand-By ne sont pas indépendantes. Une panne simple peut faire dysfonctionner les deux chaînes simultanément……… Pour limiter le nombre de pannes intempestives au niveau du panneau d'alarme en cockpit, la version K9 de l'algorithme du Flight Warning Computer (FWC) a été modifiée parallèlement aux modifications du PHC. Depuis la version K9-0 du FW', lors d'une panne du PH, une temporisation de cinq secondes est attendue par le FWC avant de considérer la panne valide. Cette modification introduit le risque de non-détection d'une panne intermittente du PHC inférieure à cinq secondes. Les réponses obtenues aux différents questionnaires mettent en évidence que le comportement du PHC lors d'une phase de réinitialisation, en vol, suite à un effet Multi-Burst ou une microcoupure de l'alimentation du PHC n'est pas caractérisé précisément. En conditions givrantes, l'impact potentiel d'une telle défaillance sur le givrage des sondes Pitot n 'est pas connu actuellement. Suite à une microcoupure de l'alimentation des PHC, le givrage des sondes pourrait être envisagé si l'inertie de la capacité thermique des sondes Pitot n'est pas suffisante. Les éléments rappelés ci-dessus doivent être corrélés pour évaluer la robustesse de l'architecture du système de dégivrage de A330 face au scénario de défaillance « Catastrophique » : la panne temporaire non-détectée du système de dégivrage des sondes Pitot simultanément sur les voies Captain et Stand-Bv. Commentaire d'experts : En premier lieu, DGATA a cherché à évaluer la robustesse de l'architecture du système de réchauffage dessoudes Pitot des A330 en regard des exigences de certification. La réduction du classement de criticité du PHC a été observée (de Class A à Class B, c'est à dire: de « Critical » à « Essential ») alors que l'analyse de sécurité identifie comme « Catastrophic » le scénario de défaillance de 2 PHC non détectée. Les réponses apportées par AIRBUS ne permettent pas de comprendre la justification de cette réduction de criticité en regard des documents de certification de l’A330. .
L'analyse de tous les SB et SIL liés aux PHC montre que ces PHC sont affectés d'un taux de défaillance important depuis 1998 (voir courbe de fiabilité des PHC en figure N° 12, page 14 du rapport DGA/TA). Afin de limiter le nombre d'alarmes (pouvant être de nature intempestive) présentées à l'équipage, des modifications ont été apportées au PHC. Ainsi, la version 785-620-3 (Tiret 3) a remplacé la version 785-620-2 (Tiret 2). Les trois PHC du F-GZCP (A330 du vol AF447) ont été remplacés par des le Il juillet 2008……………………. Par ailleurs, DGAITA a découvert une possibilité d'activation d'un « mode commun » de panne sur les PHC et.?. Cette possibilité de mode commun a pour conséquence non souhaitée, de mettre à mal le principe de redondance obligatoire sur les systèmes critiques de sécurité (cas des PHC). S’agissant des Pitot, il est confirmé par les experts que les exigences de réglementation afférentes au réchauffage, au domaine d’utilisation, aux alarmes à l’intention de l’équipage, à sa nécessaire redondance à défaut de laquelle la panne serait catastrophique, n’étaient pas respectées. La modification du système de réchauffage a été faite sans étude de sécurité. Le défaut des sondes Pitot est confirmé. Les dires d’experts contrastent néanmoins singulièrement avec leur conclusion ciaprès : 7.3.2.5 CONCL USIONS CONCERNANT LES SONDES ET LEUR SYSTEME DE RECHA UFA GE. • Les sondes Pitot ont givré et entraîné la déconnexion du pilote automatique. • L'analyse des différentes campagnes de qualification et certification des sondes a démontré une conformité au règlement CS25 en vigueur. • L'analyse du processus de certification des sondes n'a montré aucune anomalie. • Il est probable que les sondes ne givrent pas jusqu'à une concentration de cristaux de glace
17
de 4gr/l d'air, les cristaux ayant un diamètre de 20 microns. • Les 3 PHC ont été remplacés par une nouvelle version (dite -3 = tiret 3) en juillet 2008. Quelques incertitudes existent concernant la fiabilité de ces PHC. 2.1.2 Deuxième plaque : l’EASA Collecte et analyse des données pour l'amélioration de la sécurité aérienne. 4.1.4.3 ….These occurrences have been analysed and the impact on airworthiness has been found to be no more than Major, A cette date le domaine de risque était pourtant classé catastrophique par la FAA Américaine (voir cidessus AC25 11A du 21/06/2007) 4.3.2 CERTIFICATION DE L 'AIRBUS A330 L'Airbus A330 a été certifié le 23 janvier 1996. La version A330-203 a été certifiée le 20 novembre 2001 par la DGAC sous le Certificat de Type • N°184 (DGAC TC N°184). L'EASA a repris la responsabilité du Certificat de Type lors du transfert de compétences le 28 septembre 2003. La fiche de navigabilité (479) précise les éléments de certification de l'A330-203, notamment les conditions spéciales dérogatoires à la réglementation JAR 25. Commentaires des experts: L'absence des réponses de I'EASA n'a pas permis l'examen et l'analyse des sujets concernant l'autorité de certification, notamment les conditions spéciales dérogatoires à la réglementation JAR 25. Pourquoi les experts n’ontils pas posé cette question à la DGAC qui était responsable de la certification de l’A330 ?! 7.3.1.2 Réglementation L'atmosphère givrante correspond à une définition réglementaire qui est déclinée par des exigences techniques et décrite dans le règlement européen JAR 25. JAR 25 1323 Instruments installation: Each system must have a heated pitot tube or an equivalent means of preventing malfonction due to icing. (Sec ACJ 25.1323(e)). JAR 25 1326 Pitot Heat indication system: 1f a flight instrument pitot heating system is installed, an indication system must be provided to indicate to the flight crew when that pitot heating system is not operating. JAR 2574191cc Protection: If certification for flight in icing conditions is desired, the aeroplane must be able to safely operate in the continuous maximum and intermittent maximum icing conditions of Appendix C. To establish that the aeroplane can operate within continuous maximum and intermittent maximum conditions of Appendice C (Annexe N°17) (Sée AJ 25. 1419).
Les experts sont très peu diserts sur le rôle de l’EASA. Voir nos observations en 2.2.1 ; 2.2.2 ; 2.2.4 ; 2.2.5 ; 2.2.7 ; 2.2.8 ; 2.2.11 ; 2.2.12 à 2.2.15 et 2.2.20.
Reste que l’EASA a affirmé le 31 mars 2009 sous la plume de Mr. L… du « Certification Directorate » en réponse à une demande de la DGAC Française de l’automne 2008 qu’il n’y avait rien à changer à la certification des sondes Pitot de l’A330 alors que la réglementation de certification n’était à l’évidence, pas respectée.
« un revue détaillée des événements pour lesquels un givrage des sondes Pitot est suspecté, a été faite avec Airbus et qu’il ressort que :
18
- les événements reportés en 2008 ne modifient pas la position de l’EASA et que les conséquences de ces événements restent classées majeures
- L’augmentation de ces événements constatée en 2008 ne peut être expliquée à ce stade et qu’un bilan annuel a été demandé à Airbus afin de déterminer une tendance ;
- L’EASA conclut dans ce courrier qu’à ce stade la situation ne nécessite pas de rendre obligatoire un changement des sondfes Pitot sur la flotte A330.
2.1.3 Troisième plaque : LA DGAC (DIRECTION GÉNÉRALE DE L'AVIATION CIVILE) Analyse et traitement des incidents 4.1.5.8.5 Par DSACNO L'article EU OPS 1.420 fait obligation aux exploitants de rapporter à l'autorité de tutelle (DSAC NO pour AIR FRANCE) tous les événements, incidents et accidents survenus durant les opérations aériennes en transport public. En amont, le service analyse des vols, puis le service sécurité des vols de l'exploitant, ont obligation, après analyse, de proposer des mesures correctrices. DSAC NO a pour obligation de contrôler le respect du programme de sécurité des vols de l'exploitant, lequel programme doit, après avoir élaboré les mesures correctrices, assurer le contrôle de l'efficacité de ces mesures. Dans la pratique, le centre de coordination opérationnel d'Air France rapporte quotidiennement les incidents significatifs à DSAC NO. Un rapport mensuel des ASR est transmis avec un délai maximum de deux mois. Par ailleurs, AIR France envoie un relevé hebdomadaire des décisions prises en réunions RX2. Dans les cas d'incidents de navigabilité, DSAC NO vérifie que la notification est faite au constructeur. DSAC NO a une obligation réglementaire de vérifier que les incidents sont pris en compte par le système de prévention des accidents de l'exploitant. Depuis la mise en application de l'annexe 3 au règlement 3922/91 de 1' EU OPS, du 16/7/2008, la DGAC n'a plus autorité pour émettre des consignes opérationnelles. DSAC NO peut transmettre à 1' EASA certains sujets relatifs à la sécurité des vols. Dans le cadre du traitement de l'incident d'anomalie anémométrique par l'exploitant Air Caraïbes, relayé avec insistance auprès de la DSAC NORD son autorité de tutelle; DSAC NO, informée par cette dernière a rédigé un courrier circonstancié adressé à 1' EASA. Une telle démarche réactive n'a jamais été initiée par Air France. Commentaire d'experts La DCS, puis après le ler janvier 2009, la DSAC, dans leur mission de surveillance de la compagnie Air France, au travers, d'audits d'expertises et de contrôles impliquant divers services, ont oeuvré conformément à leurs obligations réglementaires. A la date de l'accident, les résultats des audits, expertises et contrôles exploités par DSAC NO, n’avaient pas révélé de non conformité en lien avec les causes de l'accident (maintenance, procédures, niveau professionnel, documentation). A la date de l'accident, les résultats des retours d'expérience et la fréquence des incidents n 'avaient pas permis de retenir les événements précurseurs comme thème important dans le cadre des activités de MEAS. L’audit DGAC sur l’aspect organisationnel d’Air France était conforme aux exigences réglementaires. En revanche DSACNO n’a pas satisfait à son obligation réglementaire de vérifier que, les incidents graves récurrents affectant la chaine anémométrique des A330/340 avaient bien été pris en compte par le système de prévention des accidents de l’exploitant. En effet le règlement EC N°216/2008 rend obligatoire une coopération renforcée dans le domaine de la sécurité aérienne entre la Commission, les Etats membres (DGAC nationales donc) et l’Agence (EASA) afin de détecter des conditions dangereuses et de prendre toutes les mesures appropriées pour y remédier. 4.2.1.1 Le retour d'expérience fait partie intégrante du maintien de la navigabilité des aéronefs. Les événements ou incidents sont classés en fonction de leur dangerosité et du nombre d'occurrences,
19
selon les normes de l'AMC 25-1309 § 7(a). Les Autorités de certification peuvent être amenés dans certains cas à émettre des consignes de navigabilité (CN ou AD Airworthiness Directive) qui peuvent modifier les équipements, les procédures de maintenance ou la documentation technique ou opérationnelle. Il est à ce titre important de considérer que la DGAC, Autorité de certification de 1'A330, avant le transfert de ses responsabilités vers I'EASA le 28 septembre 2003, avait déjà émis de telles consignes afin d'équiper les avions de matériel plus performant. On peut citer la CN 2001-354 émise le 18 août 2001, qui imposait le remplacement des sondes <Rosemount 0851 GR» par des sondes «Goodrich 0851 HL» ou des sondes «Sextant C 16195AA », répondant à des critères de qualification plus sévères. (Sextant a pris le nom de Thalès ultérieurement). 4.2.2.1 Tous ces ASR ont été transmis à la DSAC (13) et inscrits dans la base données ECCAIRS, aucun n'a été retenu pour analyse par la DSAC (DSAC/NO et MEAS) 4.2.2.3 Collecte et traitement des informations par la DGAC 4.2.2.3.1 DSACNO La DSAC/NO étant en charge directement de la surveillance d'Air France, elle a été destinataire des comptes rendus relatifs aux incidents de vitesses erronées d'Air France, mais pas des autres exploitants. L'OCV (Organisme du Contrôle en Vol dépendant de la DGAC) a alerté dans un courrier du 2 septembre 2009 la DSAC/NO en proposant la publication d'une consigne opérationnelle. 11 est bien dans les prérogatives de l 'Autorité Nationale d'émettre des consignes opérationnelles dans le cadre de la sécurité des vols, néanmoins cette proposition de L'OCV n'a pas été suivie • d'effet. La DSAC Nord a réagi rapidement lorsque les événements d'indications de vitesses erronées lui ont été signalés, non pas en analysant les incidents mais en diffusant une information aux exploitants dont elle avait la charge de la surveillance et en alertant sa hiérarchie directe (DSAC/NO). En effet la DSAC nord chargée de la surveillance des autres compagnies Françaises dont Air Caraïbes a traité le problème de façon appropriée et exemplaire ce qui contraste avec le laxisme flagrant de la DSAC en l’espèce. Le retour d’expérience n’a pas fonctionné. Pourtant l’OCV avait préconisé une consigne opérationnelle. Elle a été ignorée.
Au vu de ce qui figure déjà dans le rapport cidessus, nous contestons formellement le commentaire d’experts qui prétend que la DCS puis la DSCAC ont œuvré conformément à leurs obligations réglementaires (Voir également nos observations formulées en 2.2.1 ; 2.2.2 ; 2.2.5 ; 2.2.6 ; 2.2.7 ; 2.2.12 ; 2.2.13 ; 2.2.14 ; 2.2.20 mais surtout 2.2.16).
2.1.4 Quatrième plaque : Le BEA 4.1.6 BUREAU ENQUÊTES ET ANALYSES (BEA) 4.2.2.1 Parmi les ASR transmis au BE4 aucun n'a été retenu pour analyse (courrier du 15 oct 2010) 4.2.2.2 Collecte et traitement des informations par le bureau Enquêtes et Analyses Le BEA est informé de tous les accidents pour lesquels l'État Français est compétent. L'arrêté du 4 avril 2003 fixe la liste des incidents devant être portés à la connaissance du Bureau Enquêtes et Analyses. L'arrêté ne précise pas d'obligation d'enquête de sécurité pour les incidents qui lui sont rapportés. Le BEA est informé des accidents hors du domaine de compétence de l'Etat Français pour lesquels une enquête est menée, ce qui n'est pas le cas pour les incidents. Le BEA a considéré que les incidents d'indications de vitesses erronées ne constituaient pas « un risque immédiat tel qu'un accident aurait pu se produire ».
20
Le BEA avait bien une obligation d’enquête au regard de la directive CE/94/56 transposée en droit Français (Parution au Journal Officiel du 12/12/1994) :
ANNEXE -
DIRECTIVE 94/56/CE DU CONSEIL DU 21 NOVEMBRE 1994, ÉTABLISSANT LES PRINCIPES FONDAMENTAUX RÉGISSANT LES ENQUÊTES SUR LES ACCIDENTS ET
LES INCIDENTS DANS L'AVIATION CIVILE
Article premier
Objectif
La présente directive a pour but d'améliorer la sécurité aérienne en facilitant la réalisation diligente d'enquêtes techniques, dont l'objectif exclusif est la prévention de futurs accidents ou incidents.
Objective The purpose of this Directive is to improveair safety by facilitating the expeditious holding of investigations, the sole objective of which is the prevention of future accidents and incidents.
Article 4
Obligation d'enquête
1. Tout accident ou incident grave fait l'objet d'une enquête. Toutefois, les États membres peuvent prendre des mesures pour permettre la réalisation d'une enquête sur un incident non visé au premier alinéa si l'organisme d'enquête peut espérer en tirer des enseignements en matière de sécurité aérienne.
2. L'étendue des enquêtes et la procédure à suivre pour effectuer ces enquêtes sont déterminées par l'organisme d'enquête compte tenu des principes énoncés et de l'objectif visé par la présente directive et en fonction des enseignements qu'il entend tirer de l'accident ou de l'incident grave aux fins d'amélioration de la sécurité.
3. Les enquêtes visées au paragraphe 1 ne visent en aucun cas la détermination des fautes ou des responsabilités.
Obligation to investigate 1. Every accident or serious incident shall be the subject of an investigation.However, Member States may take measures to enable incidents not covered by the first subparagraph to be investigated when the investigating body may expect to draw air safety lessons from it. 2. The extent of investigations and the procedure to be followed in carrying out such investigations shall be determined by the investigating body, taking into account the principles and the objective of this Directive and depending on the lessons it expects to draw from the accident or serious incident for the improvement of safety. 3. The investigations referred to in paragraph 1 shall in no case be concerned with apportioning blame or liability.
Article 8
Rapport d'incident
1. Toute enquête sur un incident fait l'objet d'un rapport sous une forme appropriée au type et à la gravité de l'incident. Le rapport contient, le cas échéant, des recommandations de sécurité pertinentes. Il préserve l'anonymat des personnes impliquées dans l'incident.
21
2. Le rapport d'incident fait l'objet d'une circulation auprès des parties susceptibles de tirer bénéfice de ses conclusions en matière de sécurité.
Incident report 1. Any investigation into an incident shall be the subject of a report in a form appropriate to the type and seriousness of the incident. The report shall, where appropriate, contain relevant safety recommendations. The report shall protect the anonymity of the persons involved in the incident. 2. The incident report shall be circulated to the parties likely to benefit from its findings with regard to safety.
Article 9
Recommandations de sécurité
Les rapports et les recommandations de sécurité visés aux articles 7 et 8 sont communiqués aux entreprises ou autorités aéronautiques nationales intéressées. Des copies en sont transmises à la Commission. Les États membres prennent les mesures nécessaires pour assurer que les recommandations de sécurité formulées par les organismes ou entités d'enquête sont dûment prises en considération et, le cas échéant, suivies d'effet, sans préjudice de la réglementation communautaire.
Safety recommendations The reports and the safety recommendations referred to in Articles 7 and 8 shall be communicated to the undertakings or national aviation authorities concerned and copies forwarded to the Commission. Member States shall take the necessary measures to ensure that the safety recommendations made by the investigating bodies or entities are duly taken into consideration, and, whereappropriate, acted upon without préjudice to Community law.
Article 10
Une recommandation de sécurité ne constitue en aucun cas une présomption de faute ou de responsabilité dans un accident ou un incident. A safety recommendation shall in no case create a presumption of blame or liability for an accident or incident.
Annexe : Liste d'exemples d'incidents graves
Les incidents énumérés sont des exemples typiques d'incidents graves. Cette liste n'est pas exhaustive et n'est donnée qu'à titre indicatif en rapport avec la définition de l'expression "incident grave". - Des pannes multiples d'un ou de plusieurs systèmes de bord qui gênent fortement la conduite de l'aéronef. - Des pannes de systèmes, des phénomènes météorologiques, une évolution en dehors de l'enveloppe de vol approuvée ou d'autres occurrences qui pourraient avoir rendu difficile le contrôle de l'aéronef.
- Une panne de plus d'un système dans un système de redondance qui est obligatoire pour le guidage des vols et la navigation.
LIST OF EXAMPLES OF SERIOUS INCIDENTS The incidents listed below are typical examples of serious incidents. The list isnot exhaustive and only serves as a guideto the definition of 'serious incident'. - Multiple malfunctions of one or more aircraft systems that seriously affect the operation of the aircraft. -Failure of more than one system in a redundancy system which is mandatory for flight guidance and
22
navigation.
Le défaut des sondes Pitot qui entraine la panne de la chaine anémométrique avec passage en loi dégradée (ALTN) correspond exactement à la définition que donne l’article 10 :
des pannes multiples d’un ou plusieurs systèmes de bord qui gênent fortement la conduite de l’aéronef, c’est l’évidence même
une panne de plus d’un système dans un système de redondance qui est obligatoire pour le guidage des vols et de la navigation.
Ce que confirme le SIB de l’EASA n°2009-17 du 09/06/2009 :
The primary purpose of the Pitot static system is to provide the flight crew with airspeed information required to safely control the aircraft (la première fonction du système pitot est de donner aux pilotes la vitesse requise pour contrôler l’aéronef en toute sécurité).
La preuve en est à nouveau administrée en janvier 2013 par le BFU (BEA Allemand) :
Bilan des enquêtes ouvertes pendant la période du 21/01/2013 au 27/01/2013 Constructeur Activité Morts/blessés/indemnes Immat. / Modèle Dommages Description succincte Lieu Etat d'occurrence Date Heure locale Gestion Etat d'immat. Catégorie Exploitant Transport public : 2 enquêtes ouvertes Incident grave AIRBUS A330-300 Avion Catégorie d'occurrence : BIRD: Collision/quasi-collision avec oiseau(x) Royaume Uni (AAIB) 21/01/2013 AD Frankfurt 0 0 Perte totale des indications de vitesse en approche finale
Données préliminaires issues de la notification des autorités de l'Allemagne : Loss of all three airspeed indications during final aproach.
2.1.5 Cinquième plaque : Compagnie Air France
Précisions importantes sur l’organigramme AF : Le Dirigeant responsable était au jour de l’accident Monsieur X…, également Directeur Général adjoint de l’exploitation aérienne. Mais Monsieur X… venait de se voir confier au mois de mars 2009 cette fonction par Le Directeur Général Monsieur Y… qui assumait la responsabilité de Dirigeant responsable de facto depuis plusieurs années et ce jusqu’à quelques semaines de l’accident. C’est bien le D.G. Y… le Dirigeant responsable pendant toute la période recouvrant les événements précurseurs des sondes Pitot.
Rapport d’expert : « En tant que Dirigeant Responsable, il a tout pouvoir pour faire adopter les mesures qu'il juge indispensables à la sécurité de l'exploitation . Il nomme au sein de l'entreprise le responsable qualité acceptable par les services compétents, chargé de la supervision du système qualité, de la mise en oeuvre d'actions correctives et de la cohérence avec le système de management Qualité Sécurité Environnement.
23
4.1.1.2.2 Le Système Qualité Le Système Qualité répond à une obligation réglementaire définie dans la réglementation • européenne EU-OPS: « L'exploitant met en place un système qualité et désigne un responsable de la qualité chargé de surveiller la conformité avec les procédures requises, et leur adéquation, pour assurer la sécurité des pratiques opérationnelles sûres et la navigabilité des avions. Ce contrôle doit comporter un système de retour de l 'information au dirigeant responsable Afin que les mesures correctives nécessaires soient prises. » Si ces retours ont eu lieu, ils n’ont pas été suivis d’effet. 4.1.1.2.3 Direction des Opérations Aériennes La Direction des Opérations Aériennes est placée sous l'autorité du Directeur Général Adjoint Opérations Aériennes et Qualité. Monsieur X… assumait cette fonction. Le Directeur des Opérations Aériennes est responsable de la formation réglementaire des personnels navigants. A ce titre, il est chargé de transmettre à l'autorité de tutelle pour approbation, les programmes de formation et de maintien des compétences. C’était la fonction de Mr.X1… 4.1.1.3 Organisation de la sécurité des vols 4.1.1.3.1 Direction de la sécurité La Direction de la Sécurité est placée sous l'autorité de la Direction Générale des Opérations Aériennes. Elle est chargée de la mise en place du SGS (Système de gestion de la sécurité). A ce titre: - Elle propose une politique de sécurité au Dirigeant Responsable. - Elle établit une cartographie et un système de gestion des risques. - Elle pilote le système de retour d'expérience (entre autre les réunions RX2, le contenu de ces réunions et décrit en annexe 4I2) - Elle propose des axes de formation et met en place les moyens humains et matériels de la direction. Monsieur X2… assumait cette fonction en particulier au niveau des réunions RX2 qui ont eu à traiter sans aucune efficacité des problèmes de sondes pitot. 4.1. 1.3.2 Service Prévention et Analyse des Vols Ce service conduit les programmes de retour d'expérience en matière de sécurité des vols. Le Service Prévention et Analyse des Vols est destinataire des ASR L'ASR (Air Safety Report) est un compte rendu rédigé par un agent sur tout événement concernant la sécurité des vols. 4.1. 1.3.2 Service Prévention et Analyse des Vols Ce service conduit les programmes de retour d'expérience en matière de sécurité des vols. Le Service Prévention et Analyse des Vols est destinataire des ASR L'ASR (Air Safety Report) est un compte rendu rédigé par un agent sur tout événement concernant la sécurité des vols. Monsieur X3… assumait cette fonction. Commentaire d'experts. L 'information très documentée transmise par les services de sécurité des vols d'Air Caraïbes, XL Airways ou Corsairfly, à l'attention de leurs pilotes tranche avec la simplicité de la note OSV d'Air France. 4.2.3.2 La procédure UNRELL4BLE SPEED INDICATION et l'alarme STALL WARNING Commentaire d'experts : Chez Air France la publication, d'une note qui se limite à l'information aux équipages, et de plus, sans référence à la procédure à appliquer en de telles circonstances, ne reflète pas qu'une analyse de l'adaptation des procédures à la situation ait été menée. Des consignes auraient pu être transmises de façon plus claire et surtout une information cohérente sur le déroulements de ces évènements. La note OSV fait référence à la consultation des RCT (renseignements complémentaires techniques) qui ne contiennent aucune information sur ce sujet dans le dossier de vol du vol AF 447. Les pilotes avaient déjà fait part à la compagnie de l'activation de l'alarme STALL
24
WARNING, aucune information sur ce sujet ne transparaît. Une réflexion menée sur le sujet aurait pu révéler que les procédures anormales complémentaires sensées être réalisées en « DO LIST » (lire puis effectuer l'action) ne sont pas le lieu de classement idéal pour une procédure restituée de mémoire. Ce constat avait également été déjà fait par le CHSCT PN en 2002 mais avait été ignoré par la direction (voir en partie 2.18). Au regard de l'obligation de son propre système de prévention, Air France a réagi avec une note tardive et inefficace aux équipages, malgré un incident significatif le 14 juillet 2008 et 5 cas reportés ensuite. 4.2.4.3.6.3 Questionnés sur l'efficacité de la note d'information OSV parue en novembre 2008, certains équipages nous ont confié qu'ils ne l'avaient pas vu passer (distribuée dans des casiers déjà très encombrés par beaucoup d'autres formulaires) et la majorité pense qu'elle n'apporte pas de réponse en terme de comportement Division de VoI A330/340 4.1.1.5.1 Chef de Division Le Chef de la division de vol A330/340 est un PNT dont la fonction est d'organiser la production de l'effectif PNT de la division pour réaliser le programme des vol A330 et A340 défini par l'entreprise. Il a également sous son autorité le suivi de l'exploitation de la flotte et le niveau professionnel du personnel navigant technique. A ce titre, il gère l'actualisation et le maintien des compétences des pilotes qualifiés sur A330 et A340, conformément aux dispositions réglementaires. Le chef de la division de vol est sous l'autorité du Directeur des Opérations Aériennes. Le Chef de la Division A330/340 a pris connaissance des incidents de vitesse erronées lors de la rédaction de la note OSV de novembre 2008 (voir audition du Chef de Division A330). Retours de l'exploitant 4.2.4.3.6.1 Qu'est-ce qui a manqué 80% des équipages estiment que l'information sur le phénomène a manqué. Retour ASR .
78% des pilotes n'ont eu aucun retour ou réponse de l'exploitant (Air France). 22% ont eu une réponse ou un entretien avec un responsable de division suite à leur demande. Beaucoup se sont plaints d'un contact difficile (au sens de difficile à joindre) avec leurs responsables de division. 4.2.4.3.6.3 Étiez-vous informés ou préparés A l'époque du déroulement des incidents, les équipages n'étaient pas préparés à les affronter. Ils estiment que la révision des procédures « VOL AVEC IAS DOUTEUSES après décollage n'ont rien en commun avec le déroulement du phénomène et les perturbations associées. Le chef de division depuis le 1/11/2008 était Mr X4… mais pendant la période antérieure recouvrant les incidents Pitot le chef de division précédent était de longue date Mr. X5… 4.1.1.5.2 L'Officier de Sécurité des vols L'officier de sécurité des vols est chargé de maintenir un niveau de culture et d'information de la sécurité des vols au sein de la division A330 et A340. L'Officier de Sécurité des Vols est placé sous l'autorité du Directeur des Opérations Aériennes. L'OSV participe à la classification des ASR, il reçoit les équipages qui se présentent spontanément à la suite d'un incident. Une réunion mensuelle réunit les OSV des divisions de vol en présence du Directeur des Operations Aériennes au cours de laquelle les incidents sont passés en revue. Monsieur X3 … assumait cette fonction. L'audition de l'Officier Sécurité des Vols de la Division A330/340 est jointe en annexe a 367 4.2.2.1 Aucun des vols Air France concernés par un événement de givrage de sonde aérodynamique, n'a fait l’objet d'étude approfondie de la part du service sécurité des vols, et ce malgré la requête de certains commandants de bord, qui auraient souhaité participer à ces travaux. On peut citer le vol du 16 août 2008, CDG-TNR qui a généré des écarts de trajectoire verticale importants associés à un
25
message de type « Mayday ». De la même façon que pour le chef de division, deux OSV se sont succédés à la division 330/340 (période à préciser). Mr.X6... Il avait été destinataire de l’ASR très détaillé du vol CDGTNR qui aurait du déclencher l’alerte rouge. 4.1.1.5.3 Le Responsable Technique Le rôle du Responsable Technique de la Division A330/340 est de s'assurer de la conformité de l'exploitation de la flotte A330/ et A340 avec le manuel d'exploitation déposé par l'entreprise. Le responsable Technique est placé sous l'autorité du Chef de Division. Le responsable Technique est ampliataire des ASR. L'audition du Responsable Technique de la Division A330/340 est jointe en annexe (369) Les experts commettent ici une erreur en confondant le bureau technique (BIT animé par Mr. X7…) qui n’a qu’un rôle de collecte de l’information (et de vérification de conformité réglementaire) qui constitue en fait une courroie de transmission vers d’autres services décisionnaires en particulier celui du développement technique (QO.NA) dont le Directeur au moment de l’accident était Mr. X8... QONA était le service qui outre les services de maintenance, communiquait avec Airbus. 4.1.1.5.4 Le Responsable Niveau Professionnel Le Responsable Niveau Professionnel est chargé du suivi réglementaire des équipages au niveau de leur licence, il est responsable de l'entraînement et du contrôle périodique ( ECP) des équipages. Le responsable Niveau Professionnel est placé sous l'autorité du Chef de Division. Pas seulement ; Mr. X9… était également responsable de l’élaboration des programmes de maintien de compétences au simulateur. Ces programmes doivent prendre en compte les incidents constatés en exploitation en coordination avec le Chef de division. 4.4.2 Commentaire d’experts Le travail de traduction et de présentation des procédures anormales par Air France est considérable et fournit un confort de présentation et de lecture appréciable à ses pilotes. Sur le point particulier de l'alarme STALL WARN1NG, l'intention initiale du constructeur est détournée la procédure d'urgence non ECAM ne comporte pas de référence de renvoi vers une procédure complémentaire, et la procédure anormale complémentaire mentionnant le STALL WARNING est « bridée » par une limitation à n'être réalisée qu'en «do list ». Commentaire d'experts Le QRH (quick reference handbook) Air France est plus complet que le QRH Airbus, il contient des aides mémoire et des procédures adaptés aux opérations de la Compagnie. Tout comme le QRH Airbus, Le QRH Air Fronce ne fait pas apparaître 1a procédure d'urgence non ECAM « Stall Warning . Le QRH Air France mentionne cependant l'existence de la procédure Stall Warning dans la liste des procédures anormales complémentaires. 4.1.1.5.4 Organisation de la Maintenance Les tâches de maintien de navigabilité consistent en: 1. La remise en état de tout défaut ou dommage affectant la sécurité de l'exploitation, Au sein de cette organisation est intégré, conformément à la réglementation, un système de recueil est d'analyse du retour d'expérience. C'est le service Assurance Qualité Entretien qui est en charge de le faire vivre. 4.2.1.1 Le code de l'Aviation Civile, qui transcrit dans le droit national la Directive 2003/42/CE mentionne dans son article R 722-7 les personnes qui doivent transmettre les comptes rendus d'événements. « a) L'exploitant et le commandant de bord d'un aéronef à turbine ou exploité par une entreprise détenant un certificat de transporteur aérien; « b) Tout agent assurant les tâches de conception, de construction, d'entretien ou de modification
26
d'un aéronef à turbine ou exploité par une entreprise détenant un certificat de transporteur aérien ou de tout équipement ou pièce s 'y rapportant; « c) Tout agent qui délivre des certificats d'autorisation de remise en service après des opérations d'entretien d'un aéronef à turbine ou exploité par une entreprise détenant un certificat de transporteur aérien Il s'agit donc de l'exploitant (Compagnie Aérienne), du Commandant de Bord, du constructeur (AIRBUS), des équipementiers (THALES.....), et des agents prononçant l'approbation pour remise en service (APRS) après des opérations d'entretien. Autrement dit la maintenance (DM Division du matériel), point qui semble singulièrement occulté par les experts 4.2.2 TRAITEMENT DES ÉVÈNEMENTS AF 4.2.2.1 Collecte Des réunions hebdomadaires nommées RX2 ont pour objectif l'examen des incidents significatifs dans le cadre de la prévention des risques opérations aériennes. Tous les représentants des acteurs concernés sont présents, en particulier ceux de l'exploitation aérienne et de la maintenance. Commentaire d'experts : Les ASR émis par les équipages d'Air Fiance ont circulé dans la compagnie. Les complaintes reportées sur les ATL (comptes rendus mécaniques) ont été traités simultanément par les services techniques. Les services techniques ont été les principaux acteurs du traitement de ces anomalies auprès d’Airbus. Autrement dit la DM 4.5.2 LE MAINTIEN DE LA NAVIGABILITÉ DE L 'AVION La gestion de la maintenance est appelée « la gestion du maintien de la navigabilité ». Au sein de cette organisation est intégré, conformément à la réglementation, un système de recueil est d'analyse du retour d'expérience. C'est le service Assurance Qualité Entretien qui est en charge de le faire vivre. (§ 4.1.1.7) Autrement dit la DM De mai 2008 à mars 2009, 9 incidents de givrage des sondes Pitot sont enregistrés sur la flotte A340/A330 d'Air France. Ces 9 cas concernent des sondes THALES AA. Le rôle de la maintenance AF a été sous évalué par les experts : La maintenance Air France n’a pas respecté les obligations réglementaires énumérées ici par les experts. A tout le moins, le manque de réactivité de la maintenance et son manque de proactivité ont sembletil été ignorés par les experts. Monsieur X10… était le Directeur de la maintenance et Monsieur X11… son responsable qualité. Il n’ont pas assumé le maintien de la navigabilité de l’aéronef notamment en n’exigeant pas du constructeur une solution rapide au problème des sondes Pitot, en n’intervenant que sur panne et en ne procédant pas à des inspections préventives ni tenu compte du retour d’expérience bien documenté par les services d’entretien comme indiqué ciaprès : Fiche dʼanalyse dʼévénement Technique n" 1/1 Date lundi : 14 juillet 2008 Matricule ayant subi lʼévénement: F-GLZL Escale de départ NRT : Escale réelle dʼarrivée CDG No de vol : AF 279/1 Titre: F/CTL ALT Law : perte dʼindication anémométriques Description: FL 310 in severe icing conditions capt IAS suddenly drop to 140 kts followed by alarm NAV IAS discrepancy. Switched to air data CAPT3. 2 minutes later F/o IAS also become erratic.
27
Uncommanded AP + ATHR disconnection + Flight CTL ALTN LAW + Auto FLT REAC W/S Fault Actions entreprises : Inspection pitots selon AMN 349-11-15-PB601 Trouvé trous dʼévacuation bouchés sur les 3 pitots (2 sur CDB1, OPL1, secours) Flushing des pitots effectué selon AMN34-11… - Eau éjectée du Pitot. 3 trous de drainage débouchés (tuyauteries démontées soufflées/rebranchées). Bite test. IR/ADR BFG F-GZCB: le 30 mars 2009. Avion équipé des sondes AA S/N 4525 et 5061. L'examen de ces sondes a montré une obstruction totale d'un drain de la sonde N° 5061. Les débits moyens mesurés sont très différents entre les deux sondes (24 cl/min pour 4525 et 9.1 cl/min pour 5061). Cette valeur faible s'explique par un des deux drains obstrué.
Pour Clore ce chapitre consacré aux cinq premières plaques de Reason nous avons relevé une affirmation étonnante de la part des experts judiciaires :
4.2.1.3 Il est important de noter que de nombreux événements ont été reportés après l'accident du vol AF 447. Cette affirmation est tout à fait surprenante dans la mesure où 4 incidents seulement sont répertoriés par les experts après la perte d’AF 447. Les circonstances de ces 4 occurrences ne sont pas explicitées, les modèles de sonde équipant les avions concernés ne sont pas mentionnés ce qui est regrettable d’autant que des obstructions Pitot peuvent résulter d’autres causes que les cristaux de glace telles que une accumulation de débris ou « bur » (insectes, poussières, impact avec oiseaux etc…). Reste que depuis l’application de l’AD par Air France, pas un seul incident Pitot n’a été répertorié de mi2009 à début 2013 sur 170 machines volant tous les jours dans la compagnie (L’actuel Directeur général adjoint Directeur des opérations aériennes d’Air France l’a confirmé publiquement). Reste que sur les 43 événement étudiés par les experts, seuls 3 concernent des sondes Pitot Goodrich alors que plus de 80% des avions de la flotte mondiale était équipés avec des sondes Goodrich ce qui fait un taux d’occurrence de la sonde Goodrich extrêmement faible par rapport à la sonde Thales (de l’ordre de 1,5%). Une telle affirmation (4.2.1.3) pourrait faire accroire l’idée que le remplacement de la sonde Thales par la sonde Goodrich (imposé par l’AD EASA et FAA), n’aurait pas été déterminante ; alors que c’est faux ; elle l’a bien été et cela a été démontré par une arithmétique de base. Il est consternant de constater à cet égard qu’aucune étude n’a été effectuée par l’expertise judiciaire sur les performances de la sonde Pitot Goodrich qui équipe aujourd’hui la totalité de la flotte mondiale, laquelle était disponible et fonctionnait de façon satisfaisante depuis 1996.
2.1.6 Sixième plaque : l’EQUIPAGE
4.2. 3EXPLOITATiON DES ÉVÈNEMENTS DE GIVRAGE DE SONDES ANÉMOMÉTRIQUES. 4.2.3.1 Généralités
Eléments particulièrement significatifs du rapport :
28
Les équipages récupèrent donc brutalement un avion en pilotage manuel et dans ce cas l'effet de surprise prouvé par la réaction disproportionnée des pilotes, n'est pas négligeable. Les givrages des sondes anémométriques en haute altitude ont, sur les avions de type Airbus, une signature spécifique et leurs impacts sur les systèmes et les automatismes sont particulièrement déroutants. Une information sur le déroulement et les conséquences de ces évènements, en terme de dégradation des indications instrumentales, recomposition automatique des systèmes et automatismes, logique de décalage du seuil de l'alarme STALL aurait été cependant très utile aux équipages qui ont souvent manifesté leur incompréhension face à certaines alarmes et notamment les raisons de l'activation de l'alarme STALL WARNING. 4.2.3.2 La procédure UNRELIABLE SPEED INDICATION et l'alarme STALL WARNING Cette procédure est effectivement prévue pour lever le doute sur des indications de vitesses différentes (écart entre deux ou plusieurs instruments). Pour autant, la problématique des pilotes, dans le cas du givrage de sonde anémométrique, est d'être déstabilisés par des alarmes multiples. Ainsi le diagnostic de vitesses erronées n'est pas évident, et si tant est qu'il soit fait, car l'ordre de perception des symptômes peut varier en fonction de l'attention portée aux instruments de vol au moment de la panne. La phase de contrôle de vol devient très rapidement prioritaire et dès qu'elle s'active elle est fortement consommatrice des ressources de l'équipage. L'alarme STALL WARNING est associée à une procédure qui n'apparaît pas dans le QRH, mais qui est citée en chapitre Navigation ATA 34 sans pour autant la développer. Le constructeur renvoie vers les techniques supplémentaires en chapitre commandes de vol. Le détail sur cette procédure n'existe chez Air France qu'en procédure anormale complémentaires dans le manuel d'exploitation en ATA 27 « commandes de vol ». Cette procédure préconise d'afficher la pleine poussée (TOGA) et de diminuer l'assiette de l'avion et après récupération initiale, de maintenir la vitesse au dessus de VSW (vitesse déclenchant l'alarme de décrochage). Cette action est en opposition avec le début de la procédure UNRELIABLE SPEED INDC/ADR CHECK PROC qui demandait à monter, et d'autre part elle fait référence à respecter une vitesse qui dans ce cas précis est sensée être indiquée de façon erronée. Dans la suite de la procédure UNRELIABLE SPEED INDICATION, certaines recommandations comme par exemple, de vérifier que les paramètres affichés garantissent un maintien de vitesse adaptée par analyse de l'assiette de l'avion, sont particulièrement difficiles à appliquer en conditions turbulentes, conditions reportées par la majorité des pilotes â qui des incidents similaires sont arrivés (proximité de nuages à fort développement vertical). ÉTUDE SUR LE VÉCU DES ÉVÈNEMENTS PAR LES ÉQUIPAGES D'AIR FRANCE 4.2.4.1 L'alarme STALL WARNING est vécue comme très préoccupante par les équipages et a été interprétée systématiquement comme peu vraisemblable. Elle n'a jamais été suivie d'action par les équipages. Pourtant dans le mental d'un pilote, cette alarme est l'annonce de la chute imminente de l'avion et du risque de perte de contrôle. Procédure IAS douteuses (UNRELIABLE SPEED INDIC / ADR CHECK PROC), qui comprend des actions de mémoire à restituer, suivies de plusieurs pages de traitement de panne. Seul un équipage sur neuf, a cherché à appliquer cette procédure. Elle est pourtant la procédure préconisée par le constructeur pour gérer cette situation. • STALL Aucun équipage n'a suivi la procédure« STALL WARNING », malgré la manifestation souvent gênante et oppressante de cette alarme, la jugeant incohérente. A ce stade les experts ne prennent pas en considération le fait que sous stress intense le premier sens humain qui ne perçoit plus d’information c’est l’ouïe. Plus de la moitié pilotes interrogés ont estimé la dangerosité du phénomène comme faible, 12% l'ont jugé moyenne et 35% l'ont estimé forte. La dangerosité est un élément intéressant à considérer car il intervient dans la classification des incidents, et notamment pour définir un incident grave. La dangerosité est à distinguer du nombre d'occurrences d'un phénomène. Certains modèles d'estimation des risques masquent la dangerosité par la faible probabilité d'occurrence. En ce qui nous concerne, si la dangerosité a été ressentie comme relativement faible, c'est que
29
l'équipage a eu le sentiment de maîtriser la situation en ne faisant rien, mais conscient que ce ne serait pas longtemps supportable.
Affirmation surprenante des experts au regard du fait que 35% des équipages ont perçu le phénomène comme dangereux, ce qui n’est pas à proprement parler « relativement faible » !
4.4.1 Airbus Le choix d'appliquer la procédure «unreliable speed indication » dépend avant tout du diagnostic des pilotes. Sans préparation ou information, ce dernier reste aléatoire. Stall Warning FCTM OP 2Op 5/14 Le QRH ne contient pas cette procédure d'urgence. Les experts ne précisent pas que c’est ce qui explique que l’entraînement à cette procédure ne faisait pas partie du référentiel et que par conséquent les équipages n’y étaient pas entrainés de façon récurrente. 6.3 S YNTIIÈSE VOL DÉCOUPÉ EN SÉQUENCES Points remarquables ayant participé à l’incompréhension de la situation par l’équipage : 6.4 TEMOIGNAGES AF 443 744 3h avant Selon le témoin, le problème de givrage des sondes Pitot sur A330/A340 est surtout connu de la communauté des pilotes depuis l’accident de FAF 447. Les actions de l'équipage sont en lien avec l'environnement constaté et aux informations disponibles mais ne répondent pas une procédure en vigueur sur ce type d'avion. Développement: Le pilote réagit à l'alarme sonore Cavalry Charge en reprenant manuellement les commandes et ses premières actions sont cohérentes avec la recherche de la maitrise de la trajectoire par réaction réflexe de pilotage en fonction des informations disponibles (Manche à gauche pour corriger l'inclinaison à droite et à cabrer pour corriger l'écart d'altitude inférieure et revenir à l'altitude sélectée) Ceci est conforme à l'indication de la barre de tendance du directeur de vol dont l'ordre de guidage est à cabrer pendant 1,5 sec. 02h10.04 à 021,10.14 L'équipage réagit sans stress apparent à la première alarme en restituant une procédure connue et assimilée : contrôle de la trajectoire et actions immédiates. Pendant toute cette séquence la turbulence est forte avec une amplitude de O. 8g à 1,58g rendant la lecture des instruments difficile et le pilotage imprécis. En effet à haute altitude les commandes de vol sont plus sensibles en roulis en en loi ALTERNA TE 2, ce qui rend le pilotage difficile et imprécis. Le mode de réversion V/S conduit â avoir des barres de tendance centrées. En effet le mode de guidage vertical est sorti du mode maintien d'altitude (A L T CRZ 02h10. 06). Le FD a été inactif à 02h10.20 pour être actif de nouveau à 02h10.25. A cet instant le mode de guidage visible sur le FMA (Indicateurs de Mode d'automatisme) est automatiquement activé en • mode V/S car l'avion est en dehors de la zone de capture d'altitude. La particularité de ce mode de réversion est de prendre comme référence de guidage vertical la vitesse verticale instantanée. Les barres de tendance sont actives et se positionnent naturellement centrées. CHANGEMENT DE MODE VERTICAL SUR LE FMA La barre de tendance horizontale est positionnée pour tenir l'assiette associée à la VS qui apparaît au FMA, (PFD 02h10.30) Le PNF guide le PF pour la maîtrise de la trajectoire verticale en s 'appuyant sur un diagnostic validé, mais change de projet d'action sans s'assurer de la mise en descente réelle de l'avion. La commutation des sources ADR et IR est la recherche d'une information valide et non le résultat d'une analyse ou l'application d'une procédure. Les barres de tendances sont centrées pour une assiette de 6" et une vitesse verticale de 1400 en montée. Le suivi de la barre de tendance profondeur du Directeur de Vol a contribué au maintien d'une assiette à cabrer forte.
30
Les indications du Directeur de Vol sont toujours à cabrer. Le PF qui avait maintenu une action sur le manche à piquer depuis 13 secondes environ ( débattement maxi) reprend une action à cabrer. Cette action est cohérente avec le suivi de la barre de tendance profondeur qui demande de prendre une assiette à cabrer plus forte pour respecter les 1400fl/mn en montée.. Le constructeur a tenté devant d’autres instances, de s’exonérer de ce défaut révélé après l’accident (étudié en détail au niveau de la plaque Airbus), en arguant du fait que la manœuvre d’urgence demande de couper les FD. C’est exact ; mais qui va penser à couper un instrument qui ne fonctionne plus et dont les indications ont disparu du tableau de bord, sans un entrainement régulier à une telle gestuelle?! De la même manière le bouton poussoir (push button) FD est le même utilisé au FCU pour la mise en service ou hors service des FD ; si bien que le fait d’appuyer à nouveau sur un push button éteint pourrait avoir l’effet inverse que celui préconisé et réactiver le FD. BUFFET : Ce phénomène n'a pas de reproduction fidèle au simulateur et les pilotes n'ont pas d'image mentale" pour le «BUFFET » ou < BUFFETING il est plus généralement assimilé à des vibrations hautes vitesses que basses vitesses. Le phénomène de « BUFFET » n'est pas signalé dans la procédure « STALL WARNING 32 », il sera seulement signalé après l'accident dans la procédure « STALL RECOVERY 33 A 02h10. 31 l'inclinaison à droite augmente brutalement et le PF a une action en butée sur le manche en roulis à gauche. Une seconde plus tard l'assiette passe de 16° à 8° à cabrer alors que le manche est en secteur arrière (à cabrer). Le FD est toujours actif avec un guidage vertical à cabrer: Le PF annonce clairement qu'il n'a plus le contrôle de l'avion malgré les commandes en butée à cabrer et à gauche. Commentaire d'experts : L'équipage perçoit la situation anormale mais ne peut élaborer un diagnostic en raison d'éléments contradictoires : Alarme STALL, pleine poussée, assiette affichée eu accord avec les barres de tendance. La perte de contrôle est réelle, perçue par le PF comme une vitesse élevée et par le PNF comme la perte des commandes de vol du coté PNF L'alarme STALL a un fonctionnement inversé pour une vitesse mesurée inférieure à 60kts. Le fonctionnement inversé de l'alarme de décrochage ajoute à la confusion sur l'action sur le manche et le pilotage de l'avion. La loi ALTERNA TE 2B reste active hors du domaine de vol connu limitant l'action de la gouverne de profondeur et perturbant la stabilité longitudinale naturelle. Cette situation n’est pas conforme au fonctionnement prévu (per design) de l’avion qui aurait du passer en loi de situations inusuelles pour cause de nombre de mach (0,2) insuffisant ou d’angle d’incidence (40°) trop important. 6.4 TEMOIGNAGES IBERIA : Un emport de carburant supplémentaire pour les évitements, de deux tonnes. Le vol Iberia se trouvait à environ 80 à 100 miles nautiques du vol AF 447. La décision d'évitement a été prise avec une anticipation normale dans ce type de situation. L'image radar qui a motivé la décision d'évitement, correspondait à la situation météorologique réelle que traversait l'A F44 7. Lors de l'entrée du vol AF447 dans la zone nuageuse active, l'image radar correspondant à cette situation, analysée par l'équipage Iberia, a provoqué une décision d'un évitement très important de la part de cet équipage. Cette déclaration n 'est pas confirmée par l'enregistrement des communications. 6.4.10. 7 Vol Lufthansa 507 Le vol Lufthansa 507 a volé sur la route UN 873 avec environ 27 minutes d'avance sur le vol L'équipage a fait état d'une déviation de trajectoire d'environ 10 miles nautiques prés du point ORARO. Commentaire d'experts: Ce témoignage indirect montre que, du fait de la situation météorologique, les déviations de trajectoires étaient relativement importantes ce jour là entre les points ORARO et TASIL entre 01h00 et 02h20 au moins.
31
Le Commandant du vol AF 447 avait lui aussi décidé d’un emport carburant supplémentaire de 2 tonnes tout comme l’équipage du vol Ibéria. Les experts évoquent des déviations de trajectoires importantes quand l’amplitude de celle du vol Ibéria n’est pas précisée ici et n’a pas été communiquée au contrôle aérien ce qui laisse supposer qu’elle était relativement faible alors que celle du vol LH est confirmée très faible. En fait sur les 9 avions dans la zone dans l’heure de la perte de contrôle du vol AF 447, un seul, AF 459 en provenance de Sao Paulo qui se trouvait à 550 km d’AF 447 a fait un évitement significatif de l’ordre de 75 NM (135 km). Selon le BEA le vol Ibéria aurait fait un évitement de 30NM soit une modification de trajectoire de 4 mn le temps d’éviter un cumulonimbus et non pas une zone perturbée. Pour LH ça fait 1mn15 secondes. Rien de plus que l’équipage d’AF 447. Pour les 7 avions considérés dans le tableau cidessous (source BEA), si on exclut le Sao Paulo qui a réalisé une modification de trajectoire significative et le dernier à plus de 3h de vol d’AF447, l’écart moyen n’a été que de 18 NM soit 2mn 25secondes d’altération de cap, technique habituellement utilisée pour éviter des noyaux orageux. Contrairement à ce qu’affirment les experts les déviations de trajectoire n’ont pas été importantes ; elles n’avaient pas pour objet de contourner la zone perturbée. Leurs amplitudes était relativement faibles et n’avaient pour objet que de contourner des noyaux orageux, noyés dans la masse nuageuse à l’exception notable du vol AF 459. Par ailleurs, beaucoup de suppositions erronées ont été faites par les non professionnels sur le désir du PF de voir l’avion s ‘alléger et la température devenir plus froide pour tenter de gagner 2000 pieds. Pour un pilote il est important de préciser qu’il ne s’agit en aucun cas d’une tentative d’évitement par le haut dans une zone ou les cumulonimbus peuvent culminer à 50 000 pieds (ce que chacun sait) mais de passer au dessus de la couche de nuages traversée pour avoir une vue de clair de lune de la situation et le positionnement des cumulonimbus en question qui ne sont pas forcément noyés dans la masse (Embedded) . Enfin les experts qui ont analysé dans le détail à partir du CVR le comportement individuel et collectif des pilotes, la communication au sein de l’équipage et l’environnement sonore dans le cockpit et à l’aide du DFDR, les informations disponibles et visuelles dans le poste de pilotage, l’état de l’avion et de ses systèmes, les effets sur le comportement de l’avion des actions de pilotage nous parlent peu des effets sur le comportement de l’équipage des actions de l’avion et de ses systèmes après que « l’unsafe condition » se soit manifestée. On peut ainsi relever de façon non exhaustive ce qui a pu contribuer à l’incompréhension de l’équipage : Vitesses trompeuses :
‐ Absence d’alarme spécifique blocage Pitot ‐ Pas de message clair à l’ECAM et facilement interprétable de perte de cohérence de
vitesses ‐ logique de traitement de panne à l’ECAM non adaptée quand des pannes mineures
ou secondaires dissimulent des avertissements graves à l’équipage (overflow) ‐ Les alarmes sonores qui se couvrent mutuellement (l’écart d’altitude omniprésent) ‐ Pas d’indicateur d’incidence sur le tableau de bord ‐ Altimètres et variomètres transitoirement faux à l’origine de la première action sur
le manche à cabrer ‐ FD qui ordonne de faire le contraire de ce qu’il faut faire (réflexe « pavlovien » des
32
pilotes de nouvelle génération formés à suivre rigoureusement les barres de tendance du FD)
‐ L’alarme de décrochage a un fonctionnement inversé quand l’aéronef est décroché ‐ Le trim. déroule à plein cabré sans avertissement à l’équipage ‐ Le trim. augmente l’instabilité et aide l’aéronef à sortir du domaine de vol (défaut
de stabilité basse vitesse) ‐ Les mini manches non conjugués ne permettent pas au pilote PNF de savoir ce que
fait l’autre pilote PF
7.4.2 SIMULATEUR Cinq séances de simulateur ont été réalisées par les pilotes du collège d'experts, quatre avant la découverte des enregistreurs et une, trois mois après l'exploitation du DFDR. Commentaire d'experts : Il ressort, comme lors de la séance précédente, que les pannes, les alarmes associées, les affichages sur l'ECAM et les traitements de ces pannes sont conformes à la documentation AIRBUS, ou AIR FRANCE, en vigueur au moment de l'accident. Il est une nouvelle fois constaté l'impossibilité de programmer une panne d'indications de vitesses équivalente à celle subie par l'AF447. Le déclenchement de la panne intitulée « BLOCAGES DES SONDES PI TOT», dans toutes ses variantes, ne correspond pas à la panne subie par I 'AF44 7. Il est également constaté là encore, dans certains cas, la complexité des situations générées par les pannes affectant ces systèmes. Les experts reconnaissent que la succession de pannes qui ont affecté le Vol AF 447 relèvent d’une situation qui n’a pu être reproduite par eux au simulateur.
!"#$%"&'(%)"*+!&$"!+,'-%.'/0$.'.&('&1'233'%!'&1'245'
!
!
Vol UN Direction F L Région H eure Déviation
Remarques
AF459 873 AMS-EUR 350 ORARO 02h40 Oui 75 !"#$%&#'()*+,#-.+/0+123#'143/#5/#4&%13*#5/#678!",92*1+123#4%13#&%5%& :
Cal : échos de couleur verte et jaune : Max : échos couleurs jaune et rouge
AF415 866 AMS-EUR 350 CRUDE 01h42 Oui 20 !"#$%&#'(;</*+
AF401 866 AMS-EUR 350 CRUDE 01h57 Oui 25 !"#$%&#'(;</*+
ELY010 866 AMS-EUR 350 CRUDE 02h37 Non
KLM792 866 AMS-EUR 350 CRUDE 02h17 Oui 25 Nm par '(;</*+
IBE6024 873 AMS-EUR 370 ORARO 02h16 Non : judiciaire
Oui : BEA
Selon BEA, déviation de 30 Nm pour éviter des CB à fort développement
=/&+10%',#!23#&.$/&+2&1./#5%3*#'%#02""<310%+123#%=/0#'(>?@
LH507 873 AMS-EUR 350 ORARO 01h35 Non : Judiciaire
Oui : BEA
Pour le BEA le LH *(/*+# 5.&2<+.# 5/# 68 !"# A# '(;</*+B# 0%5# %<# 0/3+&/# 5/#
'(%"%*#3<%4/<C, Témoignage équipage D#&1/3#5(%32&"%'B normal business
TAM8089 873 EUR-AMS 400 ORARO 02h46 Oui E/# ?>F# # *(/*+# 5.&2<+.# 5/# 67 !"# A# '(;</*+B# cad %<# 0/3+&/# 5/# '(%"%*#
nuageux à 02.36
TAM8098 866 AMS-EUR 370 CRUDE 03.10 Non
Moins significatif car décalage 5/#$'<*#5(<3/#G/<&/
AMS : Amérique du Sud
EUR : Europe
33
22 Eléments pertinents non pris en compte ou non identifiées par les experts judiciaires
2.2.1 Défaut d’un équipement > Responsabilité AIRBUS/DGAC/EASA/BEA :
Les sondes Pitot Thalès AA ne fonctionnent pas dans une partie de l'enveloppe opérationnelle de l’A330, en présence de cristaux de glace aux alentours des amas convectifs à haute altitude à cause d’un défaut de conception. Ceci est contraire au:
JAR 25.1309 (a). The equipment, systems, and installations whose functioning is required by the JAR and national operating regulations must be designed to ensure that they perform their intended functions under any foreseeable operating conditions (annexe 1G) et au RÈGLEMENT (CE) No 216/2008. Page 54 : 1.c.2. L'aéronef, y compris les systèmes, équipements et dispositifs nécessaires pour la certification de type ou au titre des règles d'exploitation, doit fonctionner comme prévu dans toutes les conditions d'utilisation prévisibles dans toute l'enveloppe opérationnelle de l'aéronef et suffisamment au‐delà, en tenant dûment compte de l'environnement opérationnel du système, de l'équipement ou du dispositif. (annexe 2G)
Description du défaut : rapport final du BEA page 42
En page 61 du rapport final des experts judiciaires on peut lire : « Les problèmes d'obstruction de sondes anémométriques sont inhérents à la conception même de ces sondes et ils ont de tous temps existé. » Certes, mais ces problèmes d’obstruction répertoriés ci‐dessous, peuvent tous être évités par l’application d’une procédure opérationnelle ou de maintenance.
34
1‐ Cache Pitot en place : visite pré‐vol 2‐ Tuyau déconnecté, fuite : entretien préventif 3‐ Obstruction des tuyaux par des déchets : nettoyage régulier des drains 4‐ Cendres d’origine volcanique : interdiction de pénétrer dans les zones répertoriées par NOTAM 5‐ Givrage : entretien réchauffage Pitot‐ zones de givrage sévère répertoriées par SIGMET et évitées 6‐ Présence d’insectes dans les sondes : mise en place des caches Pitot 7‐ Panne ADM : entretien préventif 8‐ Sondes endommagées : visite pré‐vol et post vol
Dans le cas du blocage des sondes Pitot Thalès AA par des cristaux de glace à haute altitude aux alentours des amas convectifs, il n’y a aucune procédure permettant d’éviter le problème. C’est un défaut lié à l’architecture des sondes et à la capacité de réchauffage insuffisante.
REMPLACEMENT INAPROPRIÉ DES PHC (PROB HEAT COMPUTEUR) DES PITOTS : S’agissant de la capacité de réchauffage justement, l’analyse de 43 événements par les experts montre une importante recrudescence de blocages pitot après le mois de mai 2008. La liste de ces pannes pitot n’est certainement pas exhaustive du fait de la difficulté à récupérer les ASR les plus anciens. Pour autant, le fait que 4 compagnies aériennes aient sollicité dans le courant de l’été 2008 les autorités chargées de la sécurité aérienne ainsi que le constructeur, démontre bien que la situation était devenue fortement préoccupante et nous interpelle par la brutale augmentation des incidents. Entre 1998 (date commercialisation de l’A330) et 2006, il semblerait que les phénomènes d’obstruction des sondes soient faibles : 1 par an de 2003 à 2005; 3 en 2006 ; 4 en 2007 (ce qui est vraisemblable compte tenu de l’augmentation de la flotte). Puis brutalement 17 en 2008 et 10 avant l’accident en 2009 soit une moyenne de 20 sur les 12 mois de cette année 2009. Les experts ont dit ne pas pourvoir expliquer scientifiquement le phénomène. Pourtant si on écarte les hypothèses suivantes :
• Un changement météorologique ou une augmentation à haute altitude des cristaux de glace paraissent tout à fait improbable sur une période aussi courte.
• Une insuffisance de maintenance ou un vieillissement des sondes qui auraient conduits à une obturation du drain, est également impossible pour expliquer à elle seule cette recrudescence (Remarque : Lors de l’analyse des 2 cas de blocage des sondes AA de la
compagnie XL Airways, Thalès a constaté la corrosion des 6 sondes AA). Mais : o Les A330 étaient commercialisés depuis une dizaine d’années avant l’accident, o L’A330 de l’AF447 n’avait que 4 ans au moment de l’accident,
o Le dernier entretien des sondes de l’A330 de l’AF447 avait eu lieu seulement un an avant l’accident et capitalisait environ 4.000 heures de vols depuis juillet 2008 au moment de l’accident depuis cette dernière opération de maintenance,
o Au moins 4 compagnies ont été confrontées à ce problème
La seule cause possible pouvant expliquer un taux d’occurrence 5 fois supérieur aux années précédentes ne peut se justifier que par la modification par Airbus du système de réchauffage, modification effectuée sans étude de sécurité. Ce que les experts nous confirment : 4.5.2.2 Visites de maintenance en base La dernière check C (CO2) a été réalisée par Air France dans ses installations d'ORLY du 6 au 17 juillet 2008, l'avion totalisait 14 675 Heures de vol et 2 106 Cycles. A chaque check C, l'alimentation électrique des capteurs est vérifiée, les tubes Pitot et le circuit pneumatique de pression totale sont nettoyés (soufflage).
35
Au cours de cette dernière Check C. les 3 PHC (Probe Heat Computer) pIn 785620-2 ont été
remplacés par des PHC modifiés p/n 785620-3 (AEO 33-30-0006-1/01/120) afin de mettre l'avion au dernier standard. Les modifications ainsi apportées aux PHC et FWC visaient à réduire les messages intempestifs de pannes de PHC destinés aux équipages via l’ECAM. Pour ce faire, une augmentation du délai de temporisation (25ms à 5s) a été intégrée dans les algorithmes sans qu’une analyse de sécurité ait été réalisée au préalable. Il est probable que cette modification ait retardé (ou interrompu) le chauffage des 3 sondes pitot, créant un important bouchon de glace. Quoiqu’il en soit, cette modification apportée à la chaîne anémométrique ne va faire qu’empirer les choses comme le rapport de la GTA inclus dans le rapport d’expertise le confirme (voir en 2.1).
2.2.2 Pas de limitations > Responsabilité AIRBUS/DGAC/EASA :
Les sondes Pitot Thalès AA ne fonctionnant pas dans certaines circonstances, des limitations d’utilisation auraient dues être établies conformément au
RÈGLEMENT (CE) No 216/2008. Page 54 : 2.a.1. Les types d'exploitation pour lesquels l'aéronef est agréé doivent être déterminés et les restrictions et informations nécessaires pour assurer la sécurité de l'exploitation, y compris les limitations et performances environnementales, doivent être établies. (annexe 2G)
et au
JAR 25.1524 Systems and equipment limitations All limitations applicable to functional equipment and systems installations, and which are considered necessary for safe operation, must be established. (annexe 3G)
2.2.3 Une procédure opérationnelle inopportune > Responsabilité AIRBUS:
Procédure « Unreliable airspeed » : Une procédure opérationnelle n’est pas destinée à pallier le défaut d’un équipement mais un mauvais fonctionnement ou une panne de celui‐ci :
JAR 25.1585 Operating procedures (a) Information and instructions regarding operating procedures must be furnished (see ACJ 25.1585(a) in substantial accord with the categories described below — (1) /…/ (2) Other procedures peculiar to the particular type or model encountered in connection with routine operations including malfunction cases and failure conditions, involving the use of special systems and/or the alternative use of regular systems not considered as emergency procedures (annexe 4G)
2.2.4 Non suivi de la recommandation A‐96‐56 du NTSB > Responsabilité EASA :
En 1996, le NTSB recommandait à la FAA que les avions ne pénètrent pas dans la partie de leur domaine de vol où il est connu qu’un équipement ne fonctionne pas correctement.
As a result of its investigation of this accident, the National Transportation Safety Board recommends that the Federal Aviation Administration: Revise the icing certification testing regulation to ensure that airplanes are properly tested for all conditions in which they are authorized to operate, or are otherwise shown to be capable of safe flight into such conditions. If
36
safe operations cannot be demonstrated by the manufacturer, operational limitations should be imposed to prohibit flight in such conditions and flightcrews should be provided with the means to positively determine when they are in icing conditions that exceed the limits for aircraft certification. (Class II, Priority Action) (A‐96‐56) (annexe 5G)
2.2.5 Normes de certification des sondes Pitot maintenues obsolètes malgré la recommandation du BFU en 1999 > Responsabilité DGAC puis EASA :
En janvier 1999, suite à un incident grave survenu à Frankfurt le 5 avril 1998, le BFU allemand recommandait la modification des normes de certification des sondes Pitot, les normes en vigueur pouvant être la cause d’accidents.
01/99 The specification for the Pitot tubes should be changed so as to allow unrestricted flight operations in heavy rain and under severe icing conditions. (annexe 6G)
L’EASA avait fait le constat du caractère obsolète des ces normes au cours d’un colloque en septembre 2007 à Séville (annexe 7G slide 27)
Le 31 août 2009, après l’accident du vol AF 447, l’EASA entreprenait la modification des normes de certification des sondes Pitot par la diffusion de la NPA 2009‐08. Le BEA faisait à nouveau cette recommandation dans son 2ème rapport d’étape, confirmant ainsi son importance
2.2.6 Non évaluation de la vulnérabilité des sondes Pitot aux cristaux de glace et du test de leur bon fonctionnement dans ces conditions lors de la certification de l’A330 > Responsabilité AIRBUS/DGAC :
Le JAR 25 recommande l’évaluation de la vulnérabilité des sondes Pitot aux cristaux de glace et le test de leur bon fonctionnement dans ces conditions [ACJ 25.1419.4] (annexe 8G). Airbus et la DGAC ont négligé d’établir le bon fonctionnement des sondes Pitot en présence de cristaux de glace lors de la certification de l’A 330.
ACJ 25.1419. 4 Ice Crystal Conditions. An assessment should be made into the vulnerability of the aeroplane and its systems to ice crystal conditions. 4.1 The parts most likely to be vulnerable are — b. Pitot heads, 4.3 Where any doubt exists as to the safe operation in ice crystal conditions appropriate tests should be conducted to establish the proper functioning of the system likely to be affected.
37
2.2.7 Absence d’alarme spécifique « blocage Pitot » > Responsabilité AIRBUS/DGAC/EASA :
JAR 25.1309(c) Warning information must be provided to alert the crew to unsafe system operating conditions, and to enable them to take appropriate corrective action. Systems, controls, and associated monitoring and warning means must be designed to minimize crew errors which could create additional hazards. (annexe 1G)
2.2.8 Fréquence de nettoyage des sondes insuffisante > Responsabilité
AIRBUS/EASA/AF (retour d’expérience) :
Airbus a fixé la fréquence du nettoyage des sondes toutes les visites de type « C » c'est‐à‐dire tous les 21 mois environ depuis août 2006. Le constructeur Bombardier a eu le même problème sur certaines sondes équipant ses DHC‐8. Transports Canada est intervenu de façon énergique par une AD CF‐2005‐15R1 du 23 juin 2008 pour imposer un nettoyage toutes les 600h de vol, c’est‐à‐dire tous les 4 mois environ (annexe 9G)
2.2.9 Tests effectués par Thales ne respectent pas l’Annexe 8 de l’OACI > Responsabilité AIRBUS (le constructeur est l’intégrateur de tous les systèmes) :
L’Annexe 8 de l’OACI recommande que les tests des équipements soient effectués de telle manière qu’ils donnent l’assurance que ces équipements sont fiables et qu’ils fonctionnent correctement dans les conditions prévues. (annexe 10G)
Les tests effectués par Thales en mars 2009 sur les sondes Pitot AA ne respectent pas l’Annexe 8 de l’OACI
38
Constat de Thalès (annexe 11G)
IAS discrepancies in cruise at FL > 300 and low SAT (<‐50°C) / Tests performed up to Mach 0.5 and –35°C (perf max of wind tunnel) / Real life conditions cannot be reproduced in the tunnel
2.2.10 Analyse de sécurité incomplète lors du classement du risque > Responsabilité AIRBUS :
L’analyse de sécurité classant le risque « Majeur », s’est bornée aux systèmes et à une évaluation quantitative en ne prenant pas en compte les effets sur les pilotes l’évaluation qualitative.
Page 148 du rapport final du BEA :
Or, le classement d’un risque est caractérisé par les effets maximum induits (gravité)
• sur l’avion, • sur les pilotes • sur les autres occupants.
39
2.2.11 Classement « major » du risque erroné > Responsabilité EASA :
Rapport des experts judiciaires page 345 :
2.2 La dangerosité des incidents a été sous‐estimée.
A.‐ Le BEA nous dit (page 206 du rapport final) que le classement « Majeur » n’est pas vérifié dans le contexte de l’accident à cause en particulier de « l’échec des tentatives de compréhension de la situation »…
40
…et on peut déduire du paragraphe ci‐dessous (page 112 rapport final du BEA) que ce classement n’est pas vérifié par l’examen des événements antérieurs : l’incompréhension de la situation diminue la capacité des équipages à effectuer leurs tâches
Les effets induits sur les pilotes classent le risque « HAZARDOUS »
Le classement « MAJOR » d’un risque induit seulement pour les pilotes « une augmentation significative de la charge de travail »
Le classement « HAZARDOUS » d’un risque prévoit que les pilotes auront « des difficultés à effectuer leurs tâches »
41
En octobre 2007, la communauté de l’aviation civile savait que lors du blocage des sondes Pitot, les pilotes avaient des difficultés pour comprendre la situation et pour piloter l’avion (rapport des experts judiciaires page 72)
B.‐ Au moment de l’accident, la réglementation en vigueur affirmait que la perte des informations primaires de vitesse est un risque dont la probabilité d’occurrence doit être « Extremely Remote » c'est‐à‐dire ‹1/10⁷, une probabilité qui classe le risque « HAZARDOUS ». (annexe 12G)
C.‐ En 2007, au cours du colloque qui s’est tenu en septembre à Séville, l’EASA s’est inquiétée d’un nombre « significatif » de cas d’incohérence des vitesses mesurées pouvant aller jusqu’à provoquer l’indication de vitesses « trompeuses », événement considéré « at least HAZARDOUS » par l’EASA.
42
Le 11 septembre 2009, Patrick GOUDOU, directeur exécutif de l’EASA, affirmait dans un courrier adressé à Monsieur Gérard ARNOUX, alors Président du syndicat SPAF (annexe 13G), qu’aucune limite n’avait été franchie dans la navigabilité car « aucun cas de fourniture non détectée de vitesses trompeuses n’est à déplorer »
Or, dans un document daté du 9 juillet 2010 (annexe 14G), l’EASA fait état de cas de blocage des sondes Pitot par des cristaux de glace ayant entraîné l’indications de vitesses trompeuses dans la période 1988/2003.
43
2.2.12 Non prise en compte d’une « unsafe condition » > Responsabilité AIRBUS/BEA/DGAC/EASA/AF :
La définition de l’« unsafe condition » est donnée dans l’AMC 21 A 3b (b):
Evénement de nature à occasionner des victimes, avec généralement la destruction de l’avion ou de nature à réduire la capacité de l’avion ou de l’équipage à gérer des conditions dégradées qui amènent à :
‐Une réduction importante des marges de sécurité ou des capacités fonctionnelles ; ‐Une détresse physique ou charge de travail excessive qui ne permet plus à l’équipage d’assurer ses tâches avec précision ou de les mener à terme ; ‐La survenue de blessures graves ou mortelles à au moins un occupant de l’avion.
Sauf s’il est démontré que la probabilité de cet événement est dans les limites définies par les normes de certification.
Note : Les équipements d’un avion doivent fonctionner dans tout son domaine de vol et on admet qu’il peut y avoir des pannes dont la probabilité d’occurrence ne doit pas dépasser un seuil défini par la gravité du risque (minor, major, hazardous, catastrophic). Dans le cas du blocage des sondes Pitot, il ne peut être retenu de probabilité d’occurrence car il ne s’agit pas d’une panne mais d’un défaut. Le constructeur et le régulateur ont l’obligation d’éliminer tous les défauts d’un avion.
A.‐L’évidence de l’UNSAFE CONDITION
10 août 2009 : L’EASA et Airbus procèdent en urgence à l’élimination de la sonde Pitot Thalès AA en diffusant une « airworthiness directive » (AD).
Cette AD a été émise par l’EASA en accord avec le paragraphe 21A.3B du Règlement EC N° 1702/2003
Commission Regulation (EC) No. 1702/2003 (annexe 15G)
21A.3B Consignes de navigabilité Une consigne de navigabilité désigne un document délivré ou adopté par l'EASA qui impose des actions à effectuer sur un aéronef pour le remettre à un niveau de sécurité acceptable, lorsqu'il est constaté qu'autrement, le niveau de sécurité de cet aéronef peut être compromis. L'EASA doit délivrer une consigne de navigabilité lorsqu’elle a déterminé qu'une condition compromettant la sécurité [unsafe condition] existait dans un aéronef
B.‐ La confirmation de « l’UNSAFE CONDITION » par la FAA
8 septembre 2009 : La FAA procède en urgence à l’élimination de la sonde Pitot AA par l’AD 2009‐18‐08 (annexe 16G) en précisant que c’est la réponse à une « unsafe condition » (Dans le document 14 CFR part 39.5, la FAA affirme qu’une « airworthiness directive » n’est publiée qu’en réponse à une « unsafe condition »)
Page 3 : La FAA présente ainsi le document : The European Aviation Safety Agency (EASA), which is the Technical Agent for the Member States of the European Community, has issued a Notification of a Proposal to Issue an Airworthiness Directive (PAD), PAD 09‐099, dated August 10, 2009 (referred to after this as “the EASA PAD”), to correct an unsafe condition for certain Airbus Model A330‐200 and ‐300 series airplanes, Model A340‐200 and ‐300 series airplanes, and Model A340‐541 and ‐642 airplanes.
44
Page 5 : la FAA détermine qu’une « unsafe condition » résulte du défaut des sondes Thalès AA
“/…/ we have reviewed the numerous airspeed anomalies recently reported on Model A330 and A340 airplanes. Based on our review, we have determined that an unsafe condition exists and immediate airworthiness action for the Model A330 and A340 fleet is warranted.”
Page 7: la FAA considère qu’une « airworthiness directive » (AD) doit être publiée immédiatement et sans la concertation habituelle
Because an unsafe condition exists that requires the immediate adoption of this AD, we find that notice and opportunity for prior public comment hereon are impracticable and that good cause exists for making this amendment effective in less than 30 days.
C.‐ L’obligation d’agir de l’ensemble de la communauté de l’aviation civile
a. Éliminer l’unsafe condition
REGULATION (EC) No 216/2008 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 20 February 2008 (annexe 17G)
(15) The effective functioning of a Community civil aviation safety scheme in the fields covered by this Regulation requires strengthened cooperation between the Commission, the Member States and the Agency to detect unsafe conditions and take remedial measures as appropriate.
b. Informer les pilotes
ANNEX 1. 1.c.4. Information needed for the safe conduct of the flight and information concerning unsafe conditions must be provided to the crew, (annexe 18G)
2.2.13 Situation identique à celle de 2001 avec la sonde Pitot Rosemount > Responsabilité AIRBUS/BEA/DGAC/EASA :
Le 8 août 2001, la DGAC éliminait la sonde Pitot Rosemount au moyen d’une consigne de navigabilité (annexe 19G) en ces termes :
Des opérateurs ont rapporté des cas de pertes ou de fluctuations d’indications de vitesses avion dans des conditions météorologiques sévères. Suite à investigation, la cause de ces anomalies s’avérerait être la présence de cristaux de glaces et/ou d’eau dans les sondes Pitot de type ROSEMOUNT P/N 0851GR dans des limites supérieures aux spécifications d’origine. L’installation sur avion de sondes Pitot nouvellement certifiées et qui répondent à des critères de qualification plus sévères est rendue impérative.
La DGAC et Airbus avaient donc déterminé en 2001 qu'une condition compromettant la sécurité (unsafe condition) existait pour l’A330 et qu’il fallait le remettre à un niveau de sécurité acceptable par l’émission d’une consigne de navigabilité.
Suite aux nombreux ASR transmis par les commandants de bord, notamment en 2008, la situation suivante était connue des Autorités de certification et de régulation, de contrôle des compagnies aériennes et du BEA bien avant le 1er juin 2009 :
Cas de pertes ou de fluctuations d’indications de vitesses avion dans des conditions météorologiques sévères. La cause de ces anomalies étant la présence de cristaux de glaces
45
dans les sondes Pitot de type THALES AA dans des limites supérieures aux spécifications d’origine.
La situation était donc similaire à celle de 2001. Pourtant, l’installation sur l’A 330 de sondes Pitot répondant à des critères de qualification plus sévères n’a pas été rendue impérative, comme en 2001, par l’émission d’une consigne de navigabilité avant le 1er juin 2009. Cela a été fait après l’accident. En effet :
En septembre 2008, La DGAC sollicitait l’EASA sur l’opportunité de rendre obligatoire le remplacement des sondes AA par les sondes BA par l’émission d’une consigne de navigabilité.
En mars 2009, l’EASA répondait à la DGAC que « l’unsafe condition » n’était pas démontrée et qu’il n’était pas nécessaire de rendre le remplacement de la sonde AA obligatoire. La DGAC décidait de rester solidaire de l’EASA.
2.2.14 Absence de réactivité après le constat d’octobre 2007 à Barcelone > Responsabilité EASA/DGAC/BEA/AF :
En page 72 de leur rapport final, les experts judiciaires nous donnent une information très importante : la communauté de l’aviation civile savait bien avant l’accident du vol AF 447 que les pilotes avaient des difficultés pour comprendre ce qu’il se passait suite au blocage des sondes Pitot et pour piloter l’avion, et savait également que les pilotes devaient avoir une bonne connaissance des symptômes afin de détecter rapidement le problème et prendre les bonnes décisions. Ce constat avait été fait lors de la 14th Flight Safety Conference de Barcelone du 15 au 18 octobre 2007.
L’EASA, Airbus, la DGAC, le BEA et Air France n’ont pas fait le nécessaire pour résoudre les difficultés des pilotes et leur apporter les connaissances nécessaires
2.2.15 SIB de l’EASA juillet 2011 tardif > Responsabilité EASA :
28 juillet 2011 : Dans un « Safety Information Bulletin » (SIB No: 2011‐22), l’EASA informe les exploitants (annexe 20G) que les normes retenues pour la certification des avions en condition de givrage ne prennent pas en compte certains phénomènes comme les cristaux de glace ou les pluies verglaçantes. De façon pratique, cela signifie que les équipements de protection contre le givrage (notamment les sondes Pitot) peuvent ne pas convenir à toutes les conditions qui se présentent. L’EASA recommande que les compagnies aériennes réexaminent les procédures en vigueur et, si nécessaire les modifient ou les mettent au point.
Ce SIB aurait dû être publié avant l’accident, dès le constat d’octobre 2007 à Barcelone. Il aurait peut‐être engagé les exploitants à choisir pour leurs avions les routes les plus favorables évitant les alentours des amas convectifs à haute altitude : UN 741 pour AF 447.
2.2.16 Passivité de la DGAC > Responsabilité DGAC :
La DGAC était en charge de la certification et du suivi de la navigabilité jusqu’en 2003, puis l’EASA a pris le relais. Dès la confirmation du défaut de la sonde Pitot Thalès AA en 1999, dont elle avait assuré la certification, la DGAC devait l’éliminer ou diffuser une consigne opérationnelle du genre : « Les avions équipés de sondes Pitot Thalès AA doivent éviter les cristaux de glace et les fortes pluies ». Cette consigne opérationnelle avait d’ailleurs été préconisée par l’OCV (office de contrôle en vol) mais avait été ignorée.
46
En fonction des éléments qu’elle ne pouvait ignorer en tant qu’Autorité Nationale chargée de maintenir la sécurité du transport aérien à son plus haut niveau, la DGAC avait le pouvoir de contester le classement « MAJOR » du risque lié au blocage des sondes Pitot Thalès AA défini par l’EASA, de déterminer qu’une « unsafe condition » existait et d’engager l’EASA à supprimer la sonde Pitot Thalès AA comme elle l’avait fait en 2001 pour la sonde Pitot Rosemount pour les mêmes raisons. Mais la DGAC est restée solidaire de l’EASA.
2.2.17 Passivité du BEA > Responsabilité BEA :
Avant l’accident, le BEA estimait que les nombreux événements précurseurs de présentaient pas d’intérêt pour la sécurité des vols.
Après l’accident, le BEA a entrepris l’analyse de ces évènements ce qui l’a conduit à émettre en urgence (décembre 2009) une recommandation de sécurité pour que les normes de certification des sondes Pitot soient modifiées. Par cette recommandation, le BEA a admis, sans le dire, qu’il s’était trompé dans son appréciation des faits.
Le blocage des sondes Pitot entraîne des pannes multiples des systèmes qui gênent fortement la conduite de l’avion. C’est un incident grave au sens de la Directive européenne n° 94/56/CE.
Le BEA avait l’obligation d’enquêter et d’émettre éventuellement des recommandations.
Pannes multiples consécutives au blocage des sondes Pitot auxquelles il faut ajouter l’incohérence des vitesses présentées aux pilotes et les fausses alarmes de décrochage : (Extrait du rapport d’étape N°3 du BEA)
48
Ces pannes multiples gênent fortement la conduite de l’A 330
Le rapport émis par la compagnie Air Caraïbes Atlantique (octobre 2008), dont le BEA devait avoir connaissance, dans lequel l’OSV fait état d’un contexte « extrêmement chargé » (annexe 21G) et l’ASR rédigé par le CDB du vol AF 908 (août 2008) au cours duquel l’équipage a lancé un message de détresse (annexe 22G) confirmaient le classement « incident grave ».
2.2.18 Décrochage. La proposition prémonitoire du CHSCT‐PN d’Air France > Responsabilité AF :
Le CHSCT PN d’Air France avait fait le constat dès 2002 de l’insuffisance de la prise en compte du risque de décrochage sur les avions de type Airbus. Le CHSCT PN d’Air France avait fait en conséquence une proposition de modification des procédures et check‐list associées dans la documentation pour créer une manœuvre d’urgence de récupération du décrochage de l’Airbus A320 (procédure similaire pour l’A330). Cette proposition a été ignorée par les instances de la compagnie mais reprise par le BEA et Airbus en 2010 après les accidents d’un A320 à Perpignan en novembre 2008 et du vol AF 447.
2.2.19 Une procédure de récupération du décrochage dangereuse > Responsabilité AIRBUS :
Dans le document intitulé « What is stall »publié en janvier 2011 dans la revue « The Airbus Safety Magazine » (annexe 23G), Jacques ROSAY, ancien chef pilote d’essais, affirme paragraphe 9 qu’un Airbus peut se trouver dans une situation irrécupérable après un décrochage si on applique la poussée maximale sur les réacteurs :
49
It is important to know that if such a thrust increase was applied when the aircraft is already stalled, the longitudinal effect would bring the aircraft further into the stall, to a situation possibly unrecoverable.
C’est ce qui était demandé aux pilotes d’appliquer avant la modification de 2010 et c’est ce que les pilotes du vol AF 447 on fait à 02h11 alors que l’A330 avait déjà décroché (2h10 et 54sec)
2.2.19 Le risque de la sortie du domaine de vol avait été identifié > Responsabilité DGAC/EASA/BEA/AIRBUS :
Le 27 juin 2001, la FAA publie l’AD 2001‐13‐13 (annexe 24G page 2) en précisant que la perte ou la présentation de vitesses erronées sur les avions de types Airbus A330/340 peut entraîner la sortie du domaine de vol
The Direction Generale de l'Aviation Civile (DGAC), which is the airworthiness authority for France, notified the FAA that an unsafe condition may exist on all Airbus Model A330 and A340 series airplanes. The DGAC advises that operators have reported several cases of sudden fluctuation of airspeed indications (including calibrated airspeed, true airspeed, and Mach) in cruise during severe icing conditions. Lost or erroneous airspeed indications could result in lack of sufficient information for the flight crew to safely operate the airplane, and consequent inadvertent excursions outside the normal flight envelope.
Le 4 décembre 2002, La FAA rend obligatoire le remplacement de la sonde Rosemount par les sondes Goodrich et Thalès AA en particulier sur les avions de types Airbus A330/340 (annexe 25G) en précisant qu’il y a un risque de sortie du domaine de vol
This action is necessary to prevent loss or fluctuation of indicated airspeed, which could result in inadvertent excursions outside the normal flight envelope.
En conclusion : Tout le monde connaissait le défaut des sondes pitot; la dangerosité de ce problème était bien connue de longue date par tous les protagonistes; personne n’a rien fait !
…il est regrettable que les experts judiciaires n’aient pas fait une véritable analyse systémique des causes de cet accident à travers le modèle de REASON. Si les 4 dernières minutes du vol décrivent « comment » cet accident a eu lieu, c’est l’accumulation de conditions dangereuses latentes qui expliquent « pourquoi ».
Extrait du Manuel de Gestion de la Sécurité de l’OACI (annexe 26G) :
2.3Observations sur les conclusions des experts
2.3.1 Causes
La mission qui a été confiée aux experts était la suivante : « Nous avons l'honneur de vous prier de bien vouloir déterminer les causes de l'accident de l'aéronef AIRBUS A330-200 effectuant le vol AF 447 en provenance de RIO DE JANEIRO et à destination de PARIS CHARLES DE GAULLE qui s'est produit premier juin 2009. »
50
Les points N° 1.1 et 1 .2 répondent à cette question. EN RÉPONSE À LEUR MISSION, LES EXPERTS ONT DÉTERMINÉ LES CAUSES SUIVANTES: 1.1 L'appareil a heurté la mer à la suite du décrochage et de la perte de contrôle. 1.2 Le décrochage a été initié par une trajectoire non maîtrisée, alors que survenait la perte de données de pression totale du fait du givrage des sondes Pitot accompagnée des alarmes et de la dégradation des systèmes associés. Cette façon de présenter les choses sous forme de périphrase est curieuse ; la formulation suivante élaborée à partir des éléments factuels pointés par les experts judiciaires euxmêmes dans leur rapport et confirmés par la NASA, l’agence spatiale Américaine semble plus proche de la réalité des faits : L’appareil a pénétré dans un nuage de cristaux de glace, assez commun dans la zone traversée, mais incompatible avec les spécifications des capteurs qui l’équipaient, ce dont l’équipage n’était pas informé. Les sondes Pitot ont commencé à givrer sans que l’équipage n’en soit alerté. Le blocage des sondes Pitot a entrainé par la perte totale de la chaine anémométrique, le passage de l’aéronef d’un mode de vol normal (Normal law) à un mode dégradé (Alternate law) sans automatismes (autres que le PHR) et sans plus aucune protection du domaine de vol. Dès les premiers instants des informations trompeuses de vitesse, d’altitude et de vitesse verticale ont été présentés aux pilotes. Les pilotes ont ensuite du gérer brutalement, manuellement en turbulence, la trajectoire avec des commandes de vol qui réagissaient de façon inhabituelle (« plus sensibles à haute altitude »). « Les givrages des sondes anémométriques en haute altitude ont, sur les avions de type Airbus, une signature spécifique et leurs impacts sur les systèmes et les automatismes sont particulièrement déroutants » ce qui n’a pas permis aux pilotes « déstabilisés par des alarmes multiples » et en apparence contradictoires de comprendre la situation qui n’était pas décodée de façon claire sur l’écran ECAM. La réapparition inopportune des barres de tendance du directeur de vol a fait que : « Les barres de tendances » étaient « centrées pour une assiette de 6° et une vitesse verticale de 1400 pieds minutes en montée. Le suivi de la barre de tendance profondeur du Directeur de Vol a contribué au maintien d'une assiette à cabrer forte» jusqu’au décrochage. L’application de la pleine poussée par le PF, conformément à la procédure recommandée par Airbus a crée un moment supplémentaire à cabrer qui a rapproché l’avion de l ‘incidence de décrochage. Le trim. automatique (PHR ou THS) en l’absence de toute protection basse vitesse a aidé le pilote à sortir l’aéronef du domaine de vol en soulageant l’effort sur la gouverne de profondeur et à l’inverse, en réduisant son autorité quand le manche a été temporairement positionné à piquer. « L'équipage perçoit la situation anormale mais ne peut élaborer un diagnostic en raison d'éléments contradictoires : Alarme STALL, pleine poussée, assiette affichée eu accord avec les barres de tendance ». Le buffet buffeting inconnu des pilotes est perçu par le PF comme l’effet d’une survitesse. L’aéronef a alors atteint l’incidence maximale de sustentation et a décroché en sous vitesse. C’est la perte de contrôle.
51
Pendant la chute « l'alarme STALL a un fonctionnement inversé pour une vitesse mesurée inférieure à 60kts. Le fonctionnement inversé de l'alarme de décrochage ajoute à la confusion sur l'action sur le manche et le pilotage de l'avion ». « La loi ALTERNATE 2B reste active hors du domaine de vol connu limitant l'action de la gouverne de profondeur et perturbant la stabilité longitudinale naturelle » quand la Loi de situations inusuelles aurait du s’activer. Le PNF n’est pas conscient des actions sur le manche du PF, les manches n’étant pas conjugués. L’appareil termine sa chute dans l’océan. C’est donc bien le défaut connu de longue date des sondes Pitot Thales AA qui déclenche la séquence catastrophique. Les sondes Pitot Thales AA constituent la cause patente directe de l’accident sans que cette cause ne soit exclusive des autres causes latentes. La confirmation nous en est donnée par l’EASA, l’agence Européenne qui publie le 09/06/2009 le SIB N° 200917 suivant : « The primary purpose of the Pitot static system is to provide the flight crew with airspeed information required to safely control the aircraft » Deux jours plus tard Le 8 septembre 2009 : La FAA procède en urgence à l’élimination de la sonde Pitot AA par l’AD 20091808 en précisant que c’est la réponse à une « unsafe condition ». La FAA présente ainsi le document : The European Aviation Safety Agency (EASA), which is the Technical Agent for the Member States of the European Community, has issued a Notification of a Proposal to Issue an Airworthiness Directive (PAD), dated August 10, 2009 (referred to after this as “the EASA PAD”), to correct an unsafe condition for certain Airbus Model A330/200 and 300 series airplanes… Conclusions de la NASA WHAT IS, HAPPENING ? MISHAP EVENT SEQUENCE‐CLIMB The Captain leaves the cockpit to rest. The Pilot Flying (PF) and Pilot Not Flying (PNF) remain to navigate storms at 35,000’. It is night. Only cockpit instruments and alarms inform the crew on aircraft state. •AF447 enters icing. PF reduces thrust for passenger comfort. Ice crystals block all three pitot probes, sending erratic data to computers, which impose ―Alternate Law‖ to disconnect autopilot, and cancel automatic stall protection. Many warnings appear on Electronic Centralized Aircraft Monitoring (ECAMS) display. Green needles on Flight Director (FD) disappear and then reappear, calling for climb. Airspeed indication climbs also due to erroneous data. Confused by conflicting cues, PF raises aircraft pitch to climb. Unknown to the crew, the actual speed of the A330 now drops dangerously close to stall, in conditions the crew has never trained for. Manual controllability is poor in the thin air, and AF447 climbs 2,000 ft. in seconds under still-reduced thrust. The aircraft is about to stall, but the pilots struggle to interpret many cockpit cues and cannot comprehend actual state.ECAMS display PNF: “What is that?”
52
Onboard Angle-of-Attack (AOA) sensors alert the computer to impending stall AOA (critical angle between the aircraft path and the relative wind). In the mishap aircraft, AOA was not displayed to the pilots, only the computers. Impending stall AOA would trigger an aural tone and red MASTER CAUTION light. •Still confused, the crew tries to control the flight path. Flight Director needles disappear and re-appear, this time in vertical speed mode, not altitude capture mode; pitch down is called for and PNF says, ―according to all three you’re climbing. PF reduces pitch but does not descend. •ECAMS cues and classroom training would imply the need for the Airbus/Air France emergency procedure “Unreliable Airspeed Indication” but the crew still fights to understand what is wrong and keep the plane from apparently overspeeding. Actual airspeed decays for 46 seconds from autopilot disconnect until the STALL warning tone sounds for 34 seconds. The cockpit is now saturated with sound and visual alerts,but only the tone warns of approach to stall. The aircraft would have encountered aerodynamic stall buffet which the crew could have misinterpreted as weather turbulence. They do not acknowledge the tone. •Departing controlled flight into a full stall condition, still nose-up, the A330 flight control system automatically ―trims the elevator to maintain the commanded high-pitch attitude because the Alternate Law has removed stall prevention controls. Now, AF447 is stalled and configured to stay that way without an aggressive nose-down command from the pilot. When the crew increases engine thrust, the moment arm from the underwing engines only serves to force the stalled aircraft’s nose higher. MISHAP EVENT SEQUENCE‐DESCENT/IMPACT Chart shows PF side stick inputs in orange, and Flight Director needle orders in green. Red band is stall warning. •Voice recording indicates the crew remains confused to the end. The PNF and Captain (who returned one minute into the over 4-minute descent) never realize the PF had his side stick commanding nose-up until he tells them at 50 seconds before impact, “but I’ve been at maxi nose-up for awhile.” •Airbus A330 side stick controllers are not cross-connected. The PNF cannot feel PF inputs via the other side stick. •AF447 pancakes into the Atlantic at over 100 mph. The passengers had received no word from the crew of any problem NOTA : shéma suivant source BEA
53
RELEVANCE TO NASA : Design of human-operated, complex systems can easily surpass operator capabilities. When the operator is the safety feature of last resort, the operator’s systems knowledge should surpass the ―how‖ behind normal and irregular procedures, and explain the ―why‖ of system behavior. Good design allows the operator to troubleshoot problems with speed and confidence. No A330 pilots could even practice full stall recoveries in the simulator under accurate conditions because test data for actual A330 stalls were never required to be collected. Planning to collect test data for the worst credible scenarios—not just the most likely—is a
54
wise investment for high-value, low-risk projects.
•Cockpit AOA indicators were an optional, not standard, feature offered by Airbus. Involve the operators early to determine instrumentation requirements.
•Extensive reliance on automation for normal operations can undermine a time-critical, successful operator recovery from an off-nominal event. If there is a manual mode, operators must become and remain proficient in its use.
•There is no single right answer to the issue of human control versus machine control in human-machine interfaces. But as the need for human intervention follows the value of the system, the need for high-fidelity experience in compound failure scenarios, not just a single component or feature, becomes essential to timely action. 2.3.2 Facteurs contributifs « Nous avons l'honneur de vous demander de bien vouloir répondre à la question suivante lorsque vous serez arrivé au terme de vos investigations. L'accident aurait il pu être évité, et dans l'affirmative, par quels moyens ? »
Les points N° 2.1, 2-2, 3.1, 3.3.4.1, 5.3, 6.1, 6.16.3, 6.4, 6.5, 7,1 répondent à cette question.
LES EXPERTS ONT IDENTIFIÉ LES FACTEURS SUIVANTS AYANT CONTRIBUÉ AUX CAUSES DE L'ACCIDENT: 2.1 Le déficit d'information aux équipages concernant le givrage des sondes en altitude est contributif de l'effet de surprise. Responsabilité Airbus/Air France/EASA/DGAC/BEA 2.2 La dangerosité des incidents a été sous-estimée. Responsabilité Airbus/Air France /EASA/DGAC/BEA 3.1 La procédure « IAS douteuses », procédure non ECAM, bien, qu’adaptée à la situation, était inadéquate au vu des symptômes perceptibles. Responsabilité Airbus 3.2 La manoeuvre d'urgence STALL RECOVERY (récupération du décrochage n 'existait pas. Responsabilité Airbus: non entrainement des équipages 3.3 Les conditions d'application de la procédure STALL WARNING définies dans la documentation n 'étaient pas adaptées à ('urgence de la situation. Responsabilité Airbus/Air France 4.1 Le phénomène des cristaux de glace était officiellement ignoré (n'était pas pris en compte dans les définitions réglementaires) Responsabilité EASA/DGAC/BEA 4.2 Conditions de vol défavorables: de nuit, en turbulence et sans références visuelles extérieures. Normales à cette latitude en cette saison 4.3 Fatigue maximale dans phase basse du cycle circadien. Oui et le PNF n’avait pas réussi à dormir pendant son tour de repos
55
5.1 Le CdB n'a pas assumé ses responsabilités managériales. (il a inhibé la volonté de bien faire du copilote). Interprétation subjective et quoiqu’il en soit, sans rapport avec l’accident 5.2 La suppléance du Commandant de Bord n'a pas été préparée. Elle a pu être organisée pendant la préparation du vol à Rio (?) 5.3 Pas d'exigences particulières complémentaires â la compétence copilote, définie par l'exploitant, pour assumer la fonction de suppléant du CDB Responsabilité Air France 5.4 Pas de respect par l'équipage de la philosophie de traitement de panne en réponse aux alarmes. La panne n’ayant jamais été identifiée faute de référentiels adaptés (formation, procédures et check lists) ; l’équipage n’a jamais pu dépasser le stade de tentative de maintien de la trajectoire. 5.5 Pas de réaction appropriée â l'alarme STALL Warning. Alarme occultée que ce soit pour des raisons de crédibilité et de fiabilité Ou encore de stress auditif 6. 1 Le givrage simultané des trois sondes Pitot Constitue, de fait, une perte de redondance dont les conséquences sur le respect de la réglementation n'ont pas été évaluées. Responsabilité Airbus (défaut) 6.2 Donnée de pression totale invalide utilisée par les systèmes. (Notamment, Altimètre, Variomètre, Alarme écart d'altitude, puis désactivation de l'alarme STALL Warning. ..... ) Responsabilité Airbus : blocage des sonde pitot (défaut clairement identifié) Alarme Stall non réglementaire (défaut) 6.3 Apparition intermittente des informations générant des changements involontaires de mode de guidage (FMA, FD, Speedtape, notamment les indications des barres de tendance du Directeur de Vol (FD) positionnées (centrées) pour adopter une assiette à cabrer élevée. Responsabilité Airbus : défaut du logiciel FD 6.4 La loi de pilotage ALTN2B, loi hybride, ne garantit pas la stabilité longitudinale pour des vitesses inférieures à la vitesse de décrochage (VSIg) Responsabilité Airbus : défaut de la logique d’activation du trim. du PHR 6.5 Le Trim automatique du THS n’est pas désactivé en dessous de la vitesse minimale de vol (VLS.) en loi ALN T2B Idem défaut 6.6 Un mode commun u été identifié dans l'architecture de fonctionnement du PHC et des modifications ont été réalisées sans analyse de sécurité Responsabilité Airbus : défaut du PHC des sondes Pitot à l’origine de l’aggravation des incidents 7.1 Les spécifications de certification (CS25), notamment les définitions décrites dans l'appendice C, n'ont pas évolué à la suite des incidents de perte d'indication de vitesse • .
depuis 2004. Responsabilité EASA d’autant que la FAA les avait actualisées en 2007
56
7.2 L'absence des réponses de I'EASA n'a pas permis l'examen et l'analyse des sujets concernant l'autorité de certification. Responsabilité EASA 2.3.3 L’accident auraitil pu être évité ? Les experts ne répondent pas complètement à la question posée par l’instruction. Le modèle de James REASON permet lui de répondre aisément à cette question : L’accident pouvaitil être évité ? Dans l’affirmative, comment ?
Les plaques de Reason représentent des systèmes. Ces systèmes ne sont pas parfaits et comportent des trous qui représentent les défauts et les faiblesses de la plaque à laquelle ils se rattachent. (à rapprocher des failles systémiques du MGS de l’OACI).
La ligne de force de l’accident (ici représentée par un fil rouge) se propage de plaque en plaque si les trous qui ont pour origine des problèmes organisationnels, des négligences, des fautes ou des diligences non accomplies, sont dans une conjoncture telle, qu’ils sont alignés.
57
Il suffit donc qu’un seul trou soit bouché pour rendre la plaque étanche à cet endroit et empêcher la ligne de faille de se propager et de prospérer.
Et dans cette éventualité, l’accident est évité.
64
La Nasa ne fait pas état d’une éventuelle erreur de l’équipage.
Elle parle de complexité des systèmes, d’ergonomie, d’interface homme machine, d’insuffisances d’équipement, de problèmes de certification etc…
Les experts après avoir pointé dans leurs propres conclusions :
‐ le déficit d’information des pilotes ‐ la dangerosité des incidents sousestimée ‐ la procédure IAS douteuse inadéquate ‐ la procédure de décrochage aux conditions non adaptées à l’urgence de la
situation ‐ l’absence de manoeuvre d’urgence ‐ le défaut d’entraînement à ces manoeuvres ‐ l’alarme Stall warning peu alertante et non réglementaire ‐ la forte dégradation des systèmes de bord ‐ le piège (mortel) constitué par le défaut du logiciel FD ‐ la stabilité longitudinale non assurée en loi ALTN2B ‐ la logique de fonctionnement du trim. automatique ne permettant pas
d’assurer la stabilité basse vitesse
Peuventils encore désigner la « trajectoire non maîtrisée » par les pilotes sans conclure clairement sur le rôle prédominant joué par le défaut des sondes Pitot !
65
Liens de causalité entre les sondes Pitot et l’accident
• Un lien de causalité direct
Le lien de causalité direct est établi lorsque la faute de l’auteur constitue le paramètre déterminant dans la réalisation du dommage (jurisprudence constante). En l’occurrence, la non prise en compte par tous les responsables concernés de la situation dangereuse et la non élimination de la sonde Pitot défectueuse constituent le paramètre déterminant dans la réalisation de l’accident.
• Un lien de causalité certain
L’accident se rattache de manière certaine, par une relation de cause à effet, avec la non prise en compte de la situation dangereuse et la non élimination de la sonde Pitot défectueuse.
• L’indifférence d’un lien de causalité exclusif
Il n’est en revanche pas nécessaire que ce lien de causalité soit exclusif du dommage.
Ainsi, même si les pilotes devaient être tenus en partie responsables de l’accident par l’expertise judiciaire, la responsabilité pénale de l’EASA, de la DGAC et du BEA peut être retenue.
3.0 Suggestion de demandes d’actes complémentaires
3.1 Prise en compte des observations des parties civiles :
‐ Que les experts veuillent bien avoir l’obligeance de répondre aux observations formulées en 2.1 sur le contenu de leur rapport.
‐ Que les experts se prononcent sur le bien fondé des éléments pertinents portés à leur connaissance en 2.2, non pris en compte ou non identifiées par leur rapport.
‐ Que les experts veuillent bien examiner les observations exposées en 2.3 et notamment le document d’analyse de la NASA US avant de conclure, afin que l’instruction puisse en tirer toutes les conséquences pour la suite de la procédure pénale.
3.2 DFDR : Que la justice mette à la disposition des parties civiles qui en feraient la demande, les enregistrements informatiques au format EXCEL et les listings des enregistrements bruts en unités physiques (feet, knots, degrés, etc.) du DFDR pour tous les vols qui ont été enregistrés sur le DFDR du AF447.
One basic requirement is however, that the detailed FDR data will be disclosed beforehand.
66
3.3 Evaluation du risque par les experts par rapport à la panne de modes communs multiples et la perte de redondance qui en découle au regard des exigences de certification selon requête du professeur Hüttig ci‐dessous :
1. Risk assessment of system failure modes
The expert report (and also the BEA official accident investigation report) not addresses the procedures and results applied for this type of aircraft following the required risk assessment and evaluation as far as multiple sensor failures (e.g. triple fault of speed signals) are concerned. This risk assessment is required along the original certification process and later on within the continuing surveillance function by the type certificate holder (Airbus) as well as the certifying agency (DGAC, JAA, EASA) to comply with adequate reliability tracking and ensure continuous airworthiness. Procedures are laid down in the respective Acceptable Means of Compliance (AMC) relevant to the particular system Certification Standards (CS) along with amendments during the period 1990 until 2009 addressing the respective state-of-the art.
Answers to following questions should be provided:
a) What was the calculated risk level for single, double and triple sensor failures during original certification?
b) Was there proof that with a double or triple failure the functional integrity of the Electronic Flight Control System is ensured and how? Remark: ref. conclusion 6.6 (common mode of the THS)?
c) Was consideration taken into account about the time sequence of signal failures occurring (e.g. simultaneous or within 1 – 2 -3 seconds)?
d) With regard to the required reliability tracking, how did the certificate holder and the responsible oversight agency make reconsiderations of the original risk assessment in light of pitot probe icing incidents occurred within the period of 10 years before the AF 447 accident? What had been the results of this risk level re-assessment and actions on system level?
e) By which considerations and proofs it was ensured, that with the likelihood of double and triple failure occurrences, the aircraft under stable and un-accelerated flight conditions maintains this status until the pilot can positively take over control and continue with reduced but accurate information (the Flight Director behavior in the 2009 accident suggests a negative effect on this principle, ref. conclusion 6.3) ?
3.4 Simulation : que la Justice ordonne la reconstitution du scénario de l’accident qui n’a pu être reproduit au simulateur par les experts au moyen du simulateur Airbus à Toulouse avec un protocole mis au point conjointement et sous le contrôle du professeur Hüttig (expert aéronautique pour HOIP).
2. Simulation of the accident scenario and comparison with the retrieved data from the Flight Data Recorder (FDR)
To ensure that the aircraft behavior following the sensor failures in the AF 447 accident sequence is unbiased and purely the result of the pilot side-stick inputs, a simulation is (still) requested. Contrary to the experts statement (and BEA statements), ref. page ……?, we argue that this investigation is technical possible and necessary. The necessity
67
is also seen indispensable in view of other previous A330 incidents with air and inertial data failures (e.g. Quantas 72) and resulting in unexplained aircraft behavior prior to pilot side-stick inputs.
A simulation, however, requires certain technical prerequisites, such as
- suitable simulation facility (e.g. with Airbus),
- soft- and hardware changes to the simulation, e.g. manipulation of speed values used in the simulation process, insertion of pilot side-stick inputs according FDR data,
- implementing additional data recording features,
- detailed scenario set-up and conditions, for which the simulation runs will be performed (the scenarios have also to cover a certain range of diversity with respect to non-recorded FDR data like the 3. air speed input).
The technical details have to elaborated and approved beforehand in a “Simulation Test Requirement Document” and respecting the technical characteristics of the simulation facility once chosen. The simulation facility and the implemented manipulations should be accepted along an own “Qualification Test Guide (QTG)” by all involved parties before starting the simulator tests.
A simulation is believed to be technically feasible with Airbus facilities (under close supervision of the Civil Parties and its nominated experts and strictly adhering to the agreed Test Requirement Document and after a technical acceptance as mentioned before).
However, the simulation also could be performed at other facilities using the technical expertise and technical infrastructure by our independent technical experts. A cost estimate could be provided with a proposal for a suitable and accessible simulation facility.
3.5 Mise sous scellés par la Justice de calculateurs PRIM ; SEC ; FMGC identiques (serial numbers and part numbers) et logiciels de même type que ceux utilisés par le FGZCP pour réaliser dans les conditions les plus proches de l’accident cette simulation.
A further immediate measure to be requested and taken is, that it is ordered to take into judicial custody the respective software of all relevant electronic flight control computers (PRIM and SEC) and the Flight Management Guidance Computer (FMGEC) as they were used on AF 447 and specified in the report. Provisioning should be arranged through the spares department of any A 330 operator (e.g. Air France, Air Caraïbes, Lufthansa) and not Airbus to ensure absence of any doubts about the resemblance of this software with the software embodied on the AF 447 aircraft (the software was subject to various changes after June 01, 2009!).
Gerard Arnoux Commandant de bord Airbus A 320 AF (qualifié Airbus depuis 1994) Conseiller technique des Associations de Familles de victimes des crashes de St Odile, Sao Paulo, West Caribbean, Phüket, St Barth et AF 447. Représentant du syndicat « Spaf » auprès de la Cour d’appel de Colmar dans le procès du Mont Saint Odile.
68
Désigné en qualité de Président d’organisations professionnelles de pilotes auprès des Juges d’Instruction en charge du dossier AF447 pour représenter différentes parties civiles, syndicats PNT et PNC Air France. Désigné par le CHSCT PNC AF pour l’assister dans l’enquête sur AF447 Conseiller technique des Associations de Familles de victimes AF447 Françaises « Entraide et Solidarité » et Allemandes HIOP. Porte parole de l’association de familles de victimes Brésiliennes AFVV447 Fait à Paris le 8 février 2013