Avion Numéro de dossier BEA hb-n110525 Incident grave, Près de Kuala Lumpur, le 25 mai 2011, DASSAULT - FALCON 7X, HB-JFN

Incident grave du Dassault Falcon 7X, immatriculé HB-JFN le 24/05/2011 à Subang (Malaisie)

Progression de l'enquête Clôturée  
Progress: 100%

Résumé

ORGANISATION DE L’ENQUETE

L’incident grave s’est produit dans l’espace aérien de la Malaisie. Le BEA a informé les autorités de l’aviation civile malaisiennes. Celles-ci lui ont alors délégué l’enquête.

En application des dispositions de l’Annexe 13 de l’OACI, des représentants accrédités et des conseillers de la Suisse (Etat d’immatriculation et d’exploitation de l’avion), des Etats-Unis (Etat de construction de l’équipement HSECU) et de la Malaisie (Etat d’occurrence) ont été associés à l’enquête.

Celle-ci a duré plus de quatre ans durant lesquels la détermination précise des circonstances et la récupération d’informations auprès de l’équipementier Rockwell-Collins se sont avérées difficiles. En particulier, des délais de réponses, pouvant atteindre plusieurs mois ont pu être observés. Ils ont été justifiés par le fait que l’enquête du BEA porte sur des facteurs organisationnels pouvant être à l’origine de l’incident grave et que les éléments de réponses nécessitaient du temps pour être récupérés.

3 - CONCLUSION

3.1 Faits établis par l’enquête

  • l’incident grave s’est produit dans le cadre d’un vol de convoyage ;
  • l’équipage détenait les licences et qualifications nécessaires pour effectuer le vol ;
  • l’avion avait un certificat de navigabilité en état de validité ; il était entretenu conformément à la réglementation ;
  • la masse et le centrage de l’avion se trouvaient à l’intérieur des limites opérationnelles ;
  • l’avion avait décollé de Nuremberg sans problème technique connu ;
  • une broche d’un composant du calculateur HSECU présentait un défaut de brasure ;
  • le défaut de brasure n’a pas été détecté lors de la production du HSECU ;
  • lors de la descente vers l’aérodrome de destination, à une altitude d’environ 13 000 ft, THS est passé en quinze secondes de sa position au neutre à sa butée à cabrer ;
  • le PF a repris les commandes et appliqué des ordres en butée à piquer ;
  • les ordres à piquer appliqués par le PF étant inefficaces, celui-ci a exécuté une manoeuvre de récupération en inclinant l’avion sur la droite jusqu’à 98 degrés d’inclinaison initialement ;
  • le PF avait réalisé ce type de manoeuvre à de nombreuses reprises au cours de sa carrière militaire ;
  • cette manoeuvre, transformant la ressource en virage, a permis de retrouver temporairement le contrôle en tangage de l’avion malgré une position du THS en butée à cabrer puis de stabiliser l’attitude de l’avion et sa vitesse ;
  • une surveillance de la température du moteur actionnant le THS a déclenché le changement de chaîne de commande du THS ; le contrôle de l’avion en tangage par les actions au mini-manche est alors redevenu possible ;
  • entre le début du mouvement à cabrer du THS et son retour en position d’équilibre, il s’est écoulé 2 minutes et 36 secondes. Pendant cette période, le facteur de charge a atteint 4,6 g ; l’altitude est passée de 13 000 à 22 500 ft ; la vitesse conventionnelle a évolué entre 300 et 125 kts ; l’assiette longitudinale a atteint 41 degrés ;
  • au cours de l’événement, des actions simultanées de pilotage ont été exercées par l’équipage durant deux périodes de neuf et douze secondes respectivement ;
  • ces phases d’actions simultanées de pilotage ont été gérées à l’aide des dispositifs d’indication visuelle, sonore et tactile, et des dispositifs de prise de priorité des commandes au mini-manche ;
  • aucun événement significatif n’a eu lieu avant le déroulement non commandé du THS ;
  • l’estimation des conséquences du type de défaillance correspondant à un défaut de brasure de l’inductance L4 était érronée dans la FMEA du HSECU ;
  • les processus de vérification et de validation de la FMEA réalisés par l’équipementier et le constructeur n’ont pas permis de détecter cette erreur. ;
  • le plus haut niveau d’assurance conception (DAL A) a été attribué aux modules des ACMU en charge du THS ainsi qu’au HSECU ;
  • les FMEA ne faisaient pas partie des documents à accepter par l’AESA lors de la certification de type du Falcon 7X ;
  • l’architecture du système de contrôle du THS était telle que la fonction de surveillance de la chaîne de commande et du bon fonctionnement du HSECU réalisée par l’ACMU dépendait de paramètres élaborés par le HSECU en charge du contrôle du THS.

3.2 Causes de l’incident grave

Un défaut de brasure au niveau d’une broche d’un composant du HSECU a conduit ce calculateur a?envoyer des ordres erronés à cabrer au moteur actionnant le THS, et à fournir aux systèmes en charge de la surveillance de son fonctionnement des valeurs erronées indiquant une évolution à piquer de cette gouverne. Ce défaut unique a ainsi conduit à des défaillances simultanées sur les chaînes de contrôle et de surveillance du THS qui n’ont été détectées par aucun système et qui ont suffi pour provoquer le déroulement non commandé du THS en loi normale.

Les facteurs suivants ont contribué à l’incident grave :

  • un défaut de production et l’absence de détection de ce défaut avant la mise en service du HSECU ;
  • l’évaluation imprécise des conséquences des types de panne considérés dans la FMEA du HSECU, la validation de cette FMEA et d’une manière générale la variabilité des résultats fournis par une FMEA, qui peuvent dépendre de facteurs humains et organisationnels propres à l’équipementier ;
  • l’absence de moyens de détection d’éventuelles erreurs dans les FMEA d’équipements considérés comme critiques au cours du processus d’analyse de sécurité et de certification de l’avion, les FMEA ne faisant pas l‘objet d’une vérification détaillée par l’avionneur ou par l’AESA ;
  • les limites du processus de vérification par l’avionneur de la SSA et les limites du processus de son acceptation par l’AESA, dans la mesure où la synthèse de cette SSA mentionnait le déroulement non commandé de THS en loi normale alors qu’aucune combinaison de pannes pouvant conduire à un tel déroulement ne figurait dans les résultats détaillés, et bien que le HSECU ait été identifié comme un équipement critique pour lequel un dysfonctionnement ou une erreur de conception peuvent conduire à une situation catastrophique ;
  • l’architecture du système de commande du THS dont les chaînes de surveillance et de contrôle dépendaient l’une de l’autre, empêchant, dans le cas de l’événement, la détection du dysfonctionnement du HSECU et la reconfiguration vers une chaîne de commande redondante.

Ainsi, cet événement met en défaut des dispositions sensées répondre à l’exigence réglementaire de certification selon laquelle une défaillance unique d’un élément d’un système ou d’un équipement au cours d’un vol ne devrait pas conduire à un déroulement non commandé d’une commande de vol primaire vers une position indésirable.

Le déroulement non commandé du THS en loi normale, événement qui ne fait pas l’objet de procédure particulière ou de formation pour les équipages, a été soudain et de forte amplitude. Malgré l’effet de surprise, l’équipage a pu récupérer et conserver le contrôle de l’avion avec le THS en butée à cabrer par :

  • l’application immédiate et adaptée d’une technique de récupération des situations avec des prises d’assiettes excessives qui s’explique par la formation et l’entraînement reçus par le PF au cours de sa carrière militaire ;
  • la coordination entre les deux membres d’équipage qui a permis d’assurer et de conserver la répartition des tâches jusqu’au retour à des conditions de vol normales malgré l’application à deux reprises d’actions simultanées de pilotage sur leur mini-manche.

Le déclenchement d’une surveillance en température deux à trois minutes après le début du déroulement du THS a permis de récupérer la pilotabilité de l’avion jusqu’à la fin du vol en basculant vers une chaîne de commande fonctionnelle et, par conséquent, en retrouvant l’équilibre en tangage.

4 - RECOMMANDATIONS DE SECURITE

Rappel : conformément aux dispositions de l’article 17.3 du règlement n° 996/2010 du Parlement européen et du Conseil du 20 octobre 2010 sur les enquêtes et la prévention des accidents et des incidents dans l’aviation civile, une recommandation de sécurité ne constitue en aucun cas une présomption de faute ou de responsabilité dans un accident, un incident grave ou un incident. Les destinataires des recommandations de sécurité rendent compte à l’autorité responsable des enquêtes de sécurité qui les a émises, des mesures prises ou à l’étude pour assurer leur mise en oeuvre, dans les conditions prévues par l’article 18 du règlement précité.

4.1 Méthodes complémentaires aux FMEA

L’enquête, au travers de l’incident grave survenu au Dassault Falcon 7X exploité par JetLink et immatriculé HB-JFN tend à montrer que les moyens permettant de détecter les erreurs qui pourraient figurer dans des analyses de mode de défaillances et de leurs effets (FMEA) sont insuffisants, notamment lorsqu’il s’agit d’équipements considérés comme critiques. Ce constat s’appuie sur d’autres accidents. Elle présente également les limites des FMEA qui, s’ils sont bien adaptés aux systèmes simples et aux défaillances matérielles pour lesquels ils ont été créés il y a plusieurs décennies, paraissent moins efficaces pour des équipements électroniques ou logiciels.

C’est pourquoi le BEA recommande que :

  • L’AESA, en coordination avec la FAA, la SAE et EUROCAE(1), évalue et propose des méthodes alternatives ou complémentaires aux FMEA pour les équipements électroniques et logiciels. [Recommandation 2016-002]
  • la FAA, en coordination avec l’AESA et la SAE et EUROCAE, évalue et propose des méthodes alternatives ou complémentaires aux FMEA pour les équipements électroniques et logiciels. [Recommandation 2016-003]

4.2 Indépendance entre chaînes de commande et de surveillance

L’indépendance entre des chaînes de commande et de surveillance ainsi que la vérification de cette indépendance constituent des éléments clés de la sécurité d’un système. Elles ne sont pas explicitement exigées par les spécifications de certification. Certaines erreurs qui peuvent exister dans les analyses de sécurité sont difficiles, voire impossibles à détecter à partir des standards techniques disponibles, que ce soit lors de leur vérification et validation par l’organisme de conception ou lors de leur acceptation par les autorités en charge de la certification. Dans le cas de cet incident grave, un simple défaut de brasure a suffi pour provoquer des défaillances non détectées sur ces deux chaînes et le déroulement non-commandé d’une commande de vol primaire vers une position indésirable. C’est pourquoi le BEA recommande que :

  • L’AESA, en coordination avec la FAA, la SAE et EUROCAE, développe des moyens ou méthodes permettant de consolider lors des analyses de sécurité les vérifications de l’indépendance entre les chaînes de commande et de surveillance d’un système. [Recommandation 2016-004]
  • la FAA, en coordination avec l’AESA, la SAE et EUROCAE, développe des moyens ou méthodes permettant de consolider lors des analyses de sécurité les vérifications de l’indépendance entre les chaînes de commande et de surveillance d’un système. [Recommandation 2016-005]

4.3 Entraînement à la prise de priorité sur avions équipés de manches non conjugués mécaniquement

L’enquête a montré que l’entraînement à la reprise des commandes sur manches non conjugués mécaniquement tel qu’il est effectué actuellement lors de la formation initiale et en entraînement périodique ne permet pas de garantir le maintien de compétence des équipages dans ce domaine. Il apparaît alors nécessaire, dans le cadre des OSD de prendre en compte les procédures spécifiques relatives à la reprise de commandes sur les aéronefs équipés de manches non conjugués.

Ce constat a également été fait lors de l’enquête relative à l’accident survenu le 29 mars 2013 à Lyon Saint-Exupéry (69) à l’Airbus A321 immatriculé SX-BHS exploité par Hermes Airlines et affrété par Air Méditerranée(2)et pour lequel le BEA a recommandé que :

  • « l’AESA, en coordination avec les constructeurs, s’assure que les futurs programmes définis dans le cadre des OSD comportent une formation initiale et des entraînements périodiques à la prise de priorité sur avions équipés de manches non conjugués. [Recommandation 2015-024] »

(1)Acronyme de EURopean Organisation for Civil Aviation Equipment, organisme européen établissant des règles de standardisation des systèmes utilisés par l’aviation civile.

(2)www.bea. aero/docspa/2013/ sx-s130329/pdf/ sx-s130329.pdf

Publication

Pour télécharger le(s) rapport(s), cliquez sur le(s) lien(s) ci-dessous :