Geekly articles weekly

Comment un crash d'avion peut améliorer l'analyse informatique

Le soir du 16 août 1987, le vol 255 de Northwest Airlines a décollé de l'aéroport de Détroit. Il s'est écrasé une minute plus tard et 156 personnes sont mortes dans l'accident. L'erreur apparemment évidente des pilotes a conduit à des recherches impliquant la NASA, des changements dans la conception des avions et des procédures de vol. Cette histoire concerne également la gestion de la qualité, la gestion de projet et la question de la culpabilité et des sanctions non seulement pour les collectionneurs du Soyouz MS-10 blessé, mais aussi pour les personnes qui ont fait des erreurs dans votre travail.


Photo de la scène de l'accident des archives du Bureau of Aviation Incident

Catastrophe


La soirée du 16 août 1987 à Détroit n'a pas plu au temps. Un orage approchait, et l'équipage du vol 255 de Northwest Airlines était pressé de poursuivre le vol - Détroit était le troisième des cinq aéroports sur la route, et le retard était déjà d'une demi-heure. Selon la loi de la méchanceté, la direction du vent a changé et les contrôleurs ont redirigé l'avion vers une autre voie. C'était le plus court de tout l'aéroport, le copilote a donc dû recompter la masse de l'avion et son kilométrage au décollage pour s'assurer qu'il était possible de décoller. Le problème ne vient pas seul - le soir, sous la pluie, l'équipage s'est perdu sur les voies de circulation, et lorsque l'avion est finalement allé sur la piste, le décalage horaire était déjà de 45 minutes.

Le décollage a eu lieu à 20h44, et il est immédiatement devenu clair que quelque chose s'était complètement passé - un avertissement sur le danger de décrochage a retenti dans le cockpit, l'avion ne voulait pas prendre d'altitude et a basculé d'un côté à l'autre. Après quelques secondes, il s'est écrasé dans un poteau d'éclairage dans un parking, a perdu une partie de l'aile et, déjà incontrôlable, est tombé sur une autoroute, l'a glissé le long du viaduc, s'écraser dans lequel il s'est complètement effondré. Les deux pilotes, quatre agents de bord, 149 passagers et deux personnes dans une voiture écrasée ont été tués dans l'accident. Cinq autres personnes sur le terrain ont été blessées. La seule survivante était Cecilia Chin, quatre ans, qui a perdu son père, sa mère et son frère aîné dans une catastrophe.


Schéma de vol, source

Enquête


Les preuves matérielles et les données des "boîtes noires" ont montré une chose étonnante - un équipage expérimenté et professionnel a fait une erreur complètement "enfantine" - a oublié de libérer les volets!


Décollage de la famille MD-80 similaire à une photo accidentée de Wikimedia Commons


Photo agrandie, la mécanisation des ailes est clairement visible

Un petit programme éducatif. Les lattes et les volets sont des surfaces spéciales qui dévient et / ou s'étendent à l'avant et à l'arrière de l'aile pour créer une portance supplémentaire à basse vitesse. Utilisé pour le décollage et l'atterrissage.


L'enquête a montré que ce n'était pas seulement les volets qui avaient été oubliés, mais toute une carte de vol (liste de contrôle) de plusieurs points qui devait être effectuée sur le taxi. Pendant le décollage, l'équipage a même laissé entendre qu'il avait raté quelque chose - l'ordinateur de bord n'était pas en mode vol et le contrôle de traction ne s'est pas allumé. Mais une personne, surtout dans des conditions de stress et de hâte, est capable de ne rien remarquer ni oublier - l'équipage a ignoré l'invite et n'a pas interrompu le décollage.

Il n'y a pas moins de questions, au contraire. Juste au cas où l'équipage aurait oublié de préparer l'avion au décollage, un système spécial a été créé qui était censé signaler que les volets et les lattes n'étaient pas en position de décollage. Mais pour une raison quelconque, elle était silencieuse. De plus, le signal du danger de décrochage devait provenir de deux haut-parleurs pour plus de fiabilité et provenir d'un seul. Une enquête officielle a révélé que, pour une raison inconnue, l'interrupteur P-40 a été ouvert, qui est situé derrière le siège gauche - cet interrupteur a simultanément déclenché un avertissement concernant une configuration incassable et l'un des haut-parleurs du système d'avertissement de décrochage. Le panneau avec cet interrupteur a été gravement endommagé lors de l'accident, et il n'a pas fonctionné pour déterminer si l'interrupteur s'est cassé ou s'il a été éteint manuellement. Mais une histoire est une preuve indirecte très importante.


Panneau de commutation à gauche de la cabine du MD-80, source

Dans le cadre de l'enquête, un enquêteur du National Transportation Safety Council (NTSB) John Clark a demandé au pilote du même type avec un MD-80 écrasé d'afficher divers avertissements. Le pilote a également reproduit l'avertissement correct de décrochage de deux haut-parleurs et une indication des volets qui n'ont pas été libérés. Pour démontrer le signal monophonique émis lors d'un vol fatidique, l'un des canaux a dû être déconnecté. Et le pilote a dit: «Bien sûr, je ne l'ai jamais fait, mais certains disent qu'ils désactivent spécifiquement l'avertissement concernant les volets non déclenchés, car cela fonctionne souvent à tort sur le taxi et est très ennuyeux», après quoi, sans regarder, j'ai atteint le commutateur Le P-40 derrière lui et avec un mouvement clairement familier l'éteignit. Et sur le panneau de commutation autour du P-40, il y avait plus de saleté, comme s'il allumait et éteignait constamment ...

Ainsi, la conclusion apparemment évidente «erreur pilote» a en fait masqué deux gros problèmes:

  1. Il y a un problème avec les cartes de contrôle, car elles sont oubliées de s'exécuter.
  2. Si nous supprimons les fausses alarmes du système d'alerte pour les volets non déclenchés, les pilotes seront tentés de le désactiver.

Je vais le répéter spécialement - des professionnels expérimentés font aussi des erreurs. Tenter de rectifier la situation par des mesures répressives irait à l'encontre de l'enquête et non de la cause - l'équipage du vol 255 n'était pas irresponsable et, bien sûr, ne voulait pas mourir et emmener des innocents dans la tombe. Le commandant du navire a travaillé pour cette compagnie aérienne pendant 31 ans, le copilote a effectué un vol de plusieurs milliers d'heures, tous deux, selon des collègues, étaient de bons pilotes, mais cela n'a pas aidé du tout.

Hélas, ils n'ont pas pu trouver de solutions rapidement - l'année suivante, pour la même raison (ils ont oublié de libérer les volets), un avion d'un autre modèle s'est écrasé, un Boeing 727, à Dallas. Sur les 108 personnes à bord, 14 sont décédées. Il y a cependant eu davantage de fautes d'équipage - les pilotes ont clairement enfreint la règle du cockpit "stérile" et ont parlé avec une hôtesse de l'air qui était entrée avant le décollage. Mais sur l'enregistrement de l'enregistreur vocal, le copilote dit que les volets sont libérés à angle droit, bien que ce ne soit pas le cas.

Le problème des cartes de contrôle a été traité à la NASA. En conséquence, des recommandations d'amélioration sont apparues, en commençant par la longueur des listes de contrôle et en se terminant par la police dans laquelle elles ont été imprimées. De plus, les ordinateurs ont été activement introduits dans l'aviation à la fin des années 80, et les listes de contrôle ont commencé à devenir électroniques - l'ordinateur se souvient non seulement de l'endroit où vous vous êtes arrêté si vous étiez distrait, mais vérifie également si vous avez fait ce que vous avez marqué comme fait. Mais, hélas, il y a encore quelque chose à améliorer - la catastrophe d'An-148 en février de cette année s'est produite parce que les pilotes ont reporté l'un des points de la liste de contrôle et ont oublié de l'exécuter plus tard (par souci d'équité, il convient de noter que les concepteurs de l'avion ont également échoué - cet élément ne peut pas être Cela s'est fait à l'avance dans une ambiance détendue).

Les faux positifs ont été supprimés non seulement sur le MD-80, mais aussi sur d'autres machines - ils ont changé les exigences pour le système dans son ensemble, de sorte que les vols sont devenus plus sûrs.

Et où est l'informatique?


L'histoire du vol 255, à mon avis, porte des conclusions que nous pouvons appliquer chez nous en informatique.

  • L'organisation doit être ouverte au changement - si quelqu'un voit que quelque chose ne va pas, il vaut mieux qu'il ait la possibilité d'en parler et d'être entendu, et non puni.
  • Lors de l'analyse de ce qui s'est passé, le fakap doit s'efforcer de trouver les véritables raisons et ne pas rechercher les coupables. La correction des problèmes est plus importante que la punition.

Une méthodologie pour la mise en œuvre de ces principes est appelée autopsie sans blâme. L'option utilisée dans l'entreprise où je travaille s'appelle solution sans blâme, SWOB. Permettez-moi de citer brièvement ses principes:

Objectifs:
  • L'incident est enquêté par des employés qui lui sont liés, dans le seul but d'établir qu'il est possible d'améliorer et / ou d'apprendre de leurs erreurs (celui qui ne fait rien ne se trompe pas).
  • Enregistrez les conclusions pour les autres équipes afin qu'elles puissent apprendre de nouvelles choses et / ou proposer des idées.


Important:
  • L'amélioration des processus est l'affaire de tous.
  • Tout le monde sera entendu.
  • Les autorités sont ouvertes au nouveau.


Promesses:
  • N'ayez pas peur de creuser profondément et d'exprimer des raisons même désagréables. Personne ne sera jamais puni pour avoir participé à un SWOB ou quoi que ce soit découvert sur un SWOB.
  • Intolérable seulement le manque de respect l'un envers l'autre.


Faits saillants organisationnels:
  • Choisissez un facilitateur indépendant qui prendra des notes et animera la discussion. Les animateurs choisissent une personne respectée, c'est donc un honneur d'être. Mais le leadership ne peut pas être choisi comme facilitateur.
  • Il est préférable de réaliser un SWOB avec pas tout à fait juste après le fakap pour se calmer, mais aussi pas trop tard pour que les gens n'oublient pas ce qui s'est passé. Idéal pour une semaine après le problème.
  • Format de documentation: d'abord une description de l'événement, puis des idées pour améliorer les processus.


Conclusion


Si les pilotes pouvaient faire comprendre aux concepteurs que les fausses alarmes du système d'alerte pour les volets non déclenchés sont très gênantes, alors il ne pourrait pas y avoir de catastrophe sur le vol 255. Aucune nouvelle n'a encore été reçue sur le MS-10 Union concernant la façon dont le capteur était plié , mais dans le cas de l'introduction d'analogues SWOB, les scénarios suivants sont tout à fait possibles:
  • Les cueilleurs ont accidentellement plié le capteur, mais sachant qu'ils ne seraient pas punis pour reddition, ils ont signalé que le capteur avait été remplacé, il n'y a pas eu d'accident.
  • Les cueilleurs n'ont pas compris certaines opérations, sachant qu'ils ne seraient pas punis, ont rapporté cela, leur a-t-on appris, il n'y a pas eu d'accident.
  • Les collectionneurs ont constaté qu'il était gênant de travailler, sachant qu'ils ne seraient pas punis, en ont parlé, les processus ont changé, il n'y a pas eu d'accident.

Il n'y a pas de solution miracle, mais les idées SWOB peuvent aider chacun d'entre vous. Bonne chance dans l'amélioration des processus!

Source: https://habr.com/ru/post/fr430024/

More articles:


All Articles