University of Bielefeld - Faculty of technology | |
---|---|
Networks and distributed Systems
Research group of Prof. Peter B. Ladkin, Ph.D. |
|
Back to Abstracts of References and Incidents | Back to Root |
Avertissement:
L'analyse qui suit doit être lue en tenant compte des limites dans lesquelles s'inscrit
La conduite normale d'une enquête technique sur un accident. En particulier :
- les circuits organisés du retour d'expérience constituent la seule base disponible pour
évaluer l'ordre de grandeur de la fréquence d'une anomalie. Cette référence est peu fiable car
entachée de biais systématiques toujours orientés vers le sous -estimation des fréquences
d'occurrence;
- pour les raisons évidentes de limitation de la durée de l'enquête, la prise en compte
des anomalies ou incidents connus a été arrêtée pour cette analyse à la date du 1' décembre 1992.
21.1 - Principes et éléments d'analyse
21.11 - Présentation de la méthode générale
21.111 - On appelle dans la suite de ce rapport "scénario de l'accident" la séquence factuelle (non
Pour maintenir néanmoins cette exploration dans des dimensions acceptables, elle a remarqué que tous les événements composant un scénario n'avaient pas le même poids. Elle a en particulier identifié pour le cas du F-GGED un événement déterminant, dont la compréhension pouvait orienter de façon décisive celle de l'accident.
Cet événement est :
l'apparition et la non correction d'un taux moyen de descente de 3300 pieds par minute en approche au
lieu d'un taux d'environ 800 pieds par minute qui aurait permis de rester sur un plan d'approche de
3.3° à la vitesse nominale d'approche.
Cet événement est dénommé pour la suite "pivot" des scénarios, et la commission a concentré son exploration systématique sur cet événement pivot. Cependant la compréhension des mécanismes directs de l'accident ne se réduit pas à l'explication de cet événement, quel que soit son caractère critique. La réalisation de l'accident implique d'autres événements, d'autres conditions, d'autres circonstances, qui constituent globalement le scénario de l'accident.
165
21.112 - Dans un premier temps (§ 21.2), la commission s'est donc attachée à expliquer cet événement pivot par une séquence ou des coïncidences d'événements primaires, de type panne ou erreur, liés à lui par des relations directes de cause à effet. Dans la suite de ce rapport, on appellera une telle séquence un "générateur" de l'accident.
Pour tenter de déterminer le générateur de cet accident, on a construit d'abord sous la forme d'un arbre l'ensemble des générateurs potentiels. On a procédé en utilisant le principe de dichotomie: en partant de l'événement pivot, on a divisé l'espace de ses origines possibles en deux branches complémentaires que l'on a subdivisé à nouveau en deux branches complémentaires, et ainsi de suite jusqu'à trouver un sous-ensemble, soit indivisible, soit dont on pouvait connaître l'état de vérité ou estimer la probabilité globale.
On a procédé ensuite à él'élagage" de l'arbre à partir des éléments recueillis par l'enquête: données de vol enregistrées, renseignements fournis par l'examen ou
les expertises de l'épave, analyse des défaillances connues, témoignages, etc.
21.113 - Pour chaque branche, la conclusion de l'analyse a été choisie parmi l'une des trois suivantes:
-générateur réfuté: l'hypothèse (panne ou erreur) impliquée ne peut pas s'être produite, et/ou elle
n'a pas pu contribuer à l'événement pivot;
-générateur possible: l'hypothèse peut s'être produite et sa contribution potentielle au pivot
serait alors directe et essentielle.
-facteur contributif possible: l'hypothèse peut s'être produite, mais sa contribution potentielle
au pivot serait alors indirecte et secondaire.
Elle participerait seulement à un contexte favorisant l'événement pivot, ou à un autre
événement du scénario.
21.114 - Dans un deuxième temps (§ 21.3), la commission s'est attachée à compléter de façon détaillée le ou les scénarios de l'accident jugés possibles après élagage de l'arbre des générateurs. Elle a alors cherché à mettre en évidence les autres événements contributifs, et à établir la cohérence de l'hypothèse retenue avec la totalité des informations disponibles.
166
21.121 - L'arbre des générateurs
L'annexe 14 présente l'arborescence schématique des hypothèses qui ont été explorées comme explication potentielle de l'événement pivot (apparition et maintien d'un taux de descente de 3300 pieds par minute en approche pour une valeur de référence de 800 pieds par minute environ).
Note : Cette recherche concerne dans certains cas beaucoup plus te mécanisme de la mise
en descente que celui de son maintien. Ce que l'on cherche alors en toute rigueur, ce sont les
mécanismes susceptibles de déclencher une telle descente, et compatibles avec une détection
difficile de l'anomalie.
La présentation de cette arborescence obéit aux
principes suivants:
- chaque branche représente un ensemble d'hypothèses,
et deux branches issues d'un même parent sont complémentaires;
- le rang (Rl, R2, etc) d'une branche mesure le nombre de dichotomies effectuées depuis l'événement
pivot pour atteindre cette branche;
(n-1), le chiffre 0" si on passe du rang n au rang (n-1) en parcourant la branche de gauche et le
chiffre 1" si on emprunte la branche de droite (directions définies face à la figure).
La construction de l'arborescence a d'abord conduit
à définir deux branches principales:
- la branche 0" regroupe l'ensemble des hypothèses dans lesquelles le taux de descente élevé résulte de
la réaction normale de l'avion aux actions de l'équipage sur les commandes;
- la branche 1" regroupe l'ensemble des hypothèses dans lesquelles le taux de descente ne résulte pas de
la réaction normale de l'avion aux actions de l'équipage sur les commandes.
21.122 - Contenu de la branche 0
21.122.1 - Dans ce premier ensemble, qu'on intitulera par la suite "taux de descente effectivement commandé par l'équipage", et qui regroupe tous les cas où l'avion a répondu normalement aux actions de l'équipage sur les commandes, on a d'abord distingué l'ensemble des commandes volontaires (branche 00), et l'ensemble des commandes effectuées involontairement (branche 01), c'est à dire sans
167
que l'équipage ait une conscience correcte de ce qu'il demande réellement à l'avion par l'intermédiaire des
commandes de vol (manuelles ou automatiques).
21.122.2 - En développant la branche 00, on a
examiné séparément:
- (branche 000): l'ensemble des hypothèses pour lesquelles la commande volontaire d'un taux de
descente très élevé résulterait d'une erreur de positionnement, induite par une anomalie dans les
données de navigation présentées à l'équipage par l'instrumentation de bord, et provoquée par une
anomalie concernant soit les stations au sol (branche 0000), soit l'installation de bord
(branche 0001).
- (branche 001): l'ensemble des hypothèses pour lesquelles la commande volontaire ne résulte pas
d'anomalies d'information présentées à l'équipage.
21.122.3 - En développant la branche 01,. on a
distingué:
- les cas où l'équipage disposait d'une conscience correcte du mode vertical activé sur le pilote
automatique (branche 011). La commande involontaire d'un taux de descente anormal
supposait alors une conscience incorrecte de la valeur commandée ellemême, et on s'est attaché à
en identifier les sources possibles qui apparaissent dans les branches de rang supérieur.
-les cas au contraire où sa conscience du mode vertical actif n'était pas conforme à la réalité
(branche 010).n Dans ce cadre, on a identifié et analysé séparément deux mécanismes d'erreur: une
absence d'action de changement de mode (branche 0100), et une erreur dans l'exécution du
changement de mode (branche 0101).
21.123 - contenu de la branche 1:
21.123.1 - Dans ce deuxième ensemble, qui regroupe toutes les hypothèses où le taux de descente élevé ne résulte pas de la réaction normale de l'avion aux actions de l'équipage sur les commandes, on a isolé les cas (branche 10) où l'embardée verticale résulterait d'une défaillance de l'un des moyens de pilotage et de contrôle de la trajectoire longitudinale (chaîne de profondeur et moteurs).
En explorant cette branche 10, on a d'abord distingué les cas de perte de la poussée (branche 100) des autres hypothèses. Celles-ci, regroupées dans la branche 101, concernent les défaillances de la chaîne de commande de profondeur, depuis le panneau de commande des modes de
168
pilotage automatique Jusqu'aux servocommandes elles mêmes. Ces défaillances ont été explorées
systématiquement en utilisant la nomenclature ATA, et en examinant d'une part (branche 1010) les composantes fonctionnelles de la chaîne situées en amont de la prise en compte de la consigne (VS ou FPA) par le FMGC, et d'autre part (branche 1011) les composantes fonctionnelles situées en aval, chargées du traitement et de l'application de la consigne.
21.123.2 - La branche complémentaire (11) regroupe alors toutes les autres causes possibles d'embardée verticale: perte de contrôle aérodynamique d'une part (branche 110), et d' autre part tous les autres cas (qui comprennent essentiellement les ruptures structurales en vol) (branche 111).
L'ensemble des documents et enregistrements disponibles, ainsi que les études, essais et recherches
effectués et rapportés au chapitre 117 du présent rapport, permettent d'établir les éléments suivants
concernant la phase de régulation radar et l'approche finale:
- les enregistrements QAR et CVR montrent que le commandant de bord était aux commandes (PF) et que
le pilote automatique n°l était engagé jusqu'à l'accident. L' auto-poussée est restée engagée en
mode SPEED ;
- le mode de pilotage automatique était un mode sélecté (par opposition au mode "managé") . En effet, la vitesse d'évolution de l'avion ne correspond pas à la vitesse cible en mode managé
avant la sortie des hypersustentateurs pour l'altitude de 5000 ft et le cost index 55 presque
certainement prise en compte par le FMS (valeur inscrite dans la COROUTE) . On remarque qu'elle
est cohérente avec la vitesse managée pour la croisière vers Strasbourg).
- les études rapportées au § 117.5 montrent qu'il n'y a pas eu de changement de mode de pilotage
automatique pendant le dernier virage et la mise en descente (à l'exception du dégagement du mode ALT
pour commander la mise en descente), et que le mode actif pendant cette phase du vol était
presque certainement la référence HDG-VS;
moyens de navigation, ou des instruments de bord (voir la transcription du CVR en annexe);
169
- l'enregistrement QAR montre qu'aucun des deux FMGC n'était déclaré en panne;
- la trajectoire du F-GGED a pu être reconstituée avec une bonne précision en utilisant notamment
l'enregistrement du radioaltimètre (voir § 117.8). La trajectoire enregistrée FMGC1 présente avec cette
trajectoire de référence un écart latéral maximum d'environ 0,15NM. Compte tenu de la précision du calcul
de position FMGC en mode DME/DME, ceci est une indication de fonctionnement correct du FMGC1 pour la navigation horizontale (voir § 117.342).
- la database utilisée par le F-GGED déclarait le VOR et le TACAN non coimplantés. Dans ces conditions les FMGC du FGGED n'ont jamais exploité le VOR STR pour le calcul de position en approche finale.
- l'enregistrement QAR indique que les deux récepteurs VOR étaient accordés sur STR pendant le virage de
procédure, que le commandant de bord a sélecté le mode ROSE VOR sur son écran de navigation au début du virage de procédure, et qu'il a conservé ce mode jusqu'à l'accident à l'exception d'une période d'une dizaine de secondes, où il est repassé sur le mode ARC NAV, alors qu'i venait de recevoir du contrâle l'information ...vous êtes à quatre nautiques d'ANDLO ... travers gauche d'ANDLO."
21.2 - analyse de la branche 0: hypothèse d'une trajectoire effectivement commandée par l'équipage
21.21 - Branche 00 : trajectoire commandée volontairement
21.211 - branche 000 : commande volontaire suite à une erreur de positionnement induite par les données présentées à l'équipage
21.211.1 - Branche 000 0: origine de l'erreur dans les systèmes de radionavigation au sol
21.211.11 - Le fonctionnement de la station au sol TACAN a fait l'objet d'une vérification en vol dans les jours suivant l'accident (voir § 117.4), et cette vérification n'a mis en évidence aucune anomalie. Par ailleurs, un majorant des erreurs attribuables à la station sol (erreur de retard systématique, erreur dues aux multitrajets) peut être évalué à 0,25NM.
Une erreur de cet ordre de grandeur sur la distance ne peut pas avoir contribué à l'accident. Ceci permet de réfuter les hypothèses contenues dans la branche 000 01 de l'arbre des générateurs.
170
Peter B. Ladkin, 1999-02-08 | |
by Michael Blume |