Je vous présente la traduction de l'article «Comment le Boeing 737 Max Disaster ressemble à un développeur de logiciels» par Greg Travis. Il s’agira de savoir comment le désir du Boeing d’économiser de l’argent et de «couper les coins» pour des gains commerciaux, ainsi que la culture de «l’incompétence et de l’éthique» dans la communauté du développement ont entraîné la mort de 346 personnes. Je ne partage pas la position de l’auteur sur tout (en particulier, je pense que le facteur humain est beaucoup plus mauvais que le logiciel), mais il est difficile d’être en désaccord avec les principaux arguments.
Voici beaucoup de lettres. Si vous lisez la paresse, mais que vous voulez vous familiariser avec le sujet, alors sur Habré il y a la première version plus courte de cet article dans la traduction de
Vyacheslav Golovanov , il peut être trouvé
ici .
Les opinions exprimées dans cet article sont uniquement celles de l'auteur et ne sont pas la position de IEEE Spectrum ou IEEE ( environ Transl. - et le traducteur aussi :) ).
Je suis pilote avec 30 ans d'expérience et développeur de logiciels avec 40 ans d'expérience. J'ai beaucoup écrit sur l'aviation et le développement de logiciels. Le moment est venu d'écrire sur les deux choses en même temps.
Maintenant, toutes les nouvelles sont pleines de titres sur les
accidents du nouveau modèle d'avion Boeing 737 Max (Eng.) , Qui se sont produits littéralement un par un avec des avions fraîchement sortis. Pour une industrie dont l'existence dépend entièrement du sentiment de maîtrise et de sécurité absolu des clients, ces deux accidents représentent un grand danger existentiel. Et malgré le fait qu'au cours des dernières décennies, le nombre de morts dans des accidents d'avion a diminué, cette réussite n'est pas du tout une raison de trop de confiance en soi.
Boeing 737 MAX 8 de WestJet , acefitt , générique Creative Commons Attribution 2.0Le premier modèle de Boeing 737 est apparu pour la première fois en 1967, quand j'avais 3 ans. C'était un petit avion avec de petits moteurs et des systèmes de contrôle relativement simples.
Les compagnies aériennes (en particulier le sud-ouest américain) les aimaient pour leur simplicité, leur fiabilité et leur flexibilité. De plus, pour les piloter dans le cockpit au lieu des trois ou quatre personnes habituelles à l'époque, seuls deux membres d'équipage étaient nécessaires, ce qui a permis aux compagnies aériennes de commencer à économiser de manière significative. Parallèlement au développement du marché du transport aérien et à l'avènement des nouvelles technologies, le 737 a connu une croissance rapide et la complexité de l'électronique et de la mécanique a augmenté. Bien sûr, non seulement 737 ont augmenté, mais les avions de ligne nécessitent d'énormes investissements tant de la part de l'industrie aéronautique que des compagnies aériennes qui les achètent, c'est pourquoi ils ont tous deux été constamment agrandis.
Cependant, la plupart de ces forces du marché et de la technologie ont agi sur la base des intérêts économiques des entreprises et non dans l'intérêt de la sécurité des passagers. Les ingénieurs ont travaillé sans relâche pour réduire ce que l'industrie appelle le «coût par passager-kilomètre», c'est-à-dire le coût de livraison d'un passager du point A au point B.
Une grande partie de cette histoire d'optimisation concerne les moteurs.
Le Théorème d’Efficacité (efficacité) des moteurs thermiques de
Carnot dit que plus un moteur est chaud et chaud, plus il devient efficace. Ce principe est également valable pour le moteur de tronçonneuse et pour le turboréacteur.
Élémentaire. Le moyen le plus simple et le plus rapide de rendre un moteur plus efficace en termes de consommation de carburant par unité de puissance est de le rendre plus gros. C'est pourquoi le moteur Lycoming O-360 de mon petit Cessna a des pistons de la taille d'une grande plaque. Par conséquent, les moteurs diesel des navires sont de la taille d'une maison à trois étages. Et pour exactement la même raison, Boeing voulait installer les énormes moteurs CFM International LEAP dans le nouveau 737.
Il n'y a qu'un petit problème: le 737 d'origine était équipé de très petits moteurs selon les normes d'aujourd'hui, ce qui permettait de les placer facilement sous les ailes. Cependant, à mesure que le 737 augmentait de taille, ses moteurs augmentaient également et l'espace entre eux et le sol devenait de plus en plus petit.
Pour contourner ce problème, de nombreuses astuces ont été inventées (ou «hacks», comme les développeurs de logiciels les appellent). Par exemple, le plus visible et le plus évident pour le public est de changer la forme des entrées d'air de ronde à ovale afin de fournir plus d'espace sous le moteur.
Dans le cas du 737 Max, la situation est devenue critique. Le diamètre des pales des moteurs installés sur le 737 d'origine était de 100 cm (40 pouces), dans les nouveaux moteurs du 737 Max, le diamètre a augmenté à 176 cm. Avec une différence dans la ligne centrale de plus de 30 cm, vous ne pouvez plus rendre l'admission d'air si ovale que le moteur n'a pas commencé à gratter le sol.
Ensuite, il a été décidé de monter le moteur par le haut et de le déplacer vers l'avant et vers le haut par rapport à l'aile. Ceci, à son tour, a conduit au déplacement de la ligne axiale de la poussée du moteur. Maintenant, avec une augmentation de la puissance du moteur, l'avion a tendance à se câbler, c'est-à-dire au nez.
Pour référence: l'angle d'attaque d'un avion est l'angle entre la direction du vecteur vitesse du flux d'air entrant et le plan de l'aile. Imaginez que vous mettez la main par la fenêtre ouverte d'une voiture qui se déplace le long de l'autoroute. Si vous tenez votre paume presque parallèle au sol, ce sera un petit angle d'attaque; tournant votre paume autour du plan de la terre, vous augmenterez l'angle d'attaque. Lorsque l'angle d'attaque devient trop grand (supercritique), le décrochage aérodynamique se produit à la suite d'une perturbation du flux d'air. Vous pouvez le vérifier vous-même en mettant votre main par la fenêtre d'une voiture en mouvement: en tournant lentement la main, vous sentirez une force de levage croissante pousser votre main vers le haut jusqu'à ce que votre main tombe soudainement - il s'agit d'un décrochage du flux avec décrochage ultérieur.
Ainsi, il s'avère que la tendance à convertir avec l'augmentation de la puissance du moteur signifie en pratique un risque de développement ultérieur du décrochage de l'avion si les pilotes pressent le gaz (comme mon fils aime à le dire). Une telle évolution des événements devient particulièrement probable à basse vitesse de vol.
Pire encore, du fait que les nacelles du moteur sont si avancées et si volumineuses, elles créent elles-mêmes de la portance, notamment à grands angles d'attaque. Autrement dit, les gondoles ont encore aggravé la situation déjà mauvaise.
J'insiste: dans le 737 Max, les nacelles du moteur elles-mêmes aux angles d'attaque élevés fonctionnent comme des ailes et créent de la portance. De plus, le centre d'application de cette force est décalé très en avant par rapport au centre d'application de la force de levage de l'aile, ce qui, à son tour, conduit au fait que le 737 Max tend à augmenter encore plus l'angle d'attaque avec une augmentation de l'angle d'attaque. Et c'est le pire exemple d'incompétence en aérodynamique.
En soi, un changement de tangage avec un changement de puissance du moteur est un phénomène assez courant dans le contrôle des avions. Même mon petit Cessna lève un peu le nez tout en appliquant du gaz. Pendant la formation, les pilotes sont informés de ces difficultés et apprennent à les surmonter. Cependant, il existe certaines limites de sécurité fixées par les régulateurs que les pilotes eux-mêmes sont prêts à respecter.
C'est une tout autre chose lorsque la hauteur change avec l'augmentation de l'angle d'attaque. Un avion, déjà proche du point de décrochage aérodynamique, ne devrait en aucun cas avoir tendance à développer davantage cet effet. Cette propriété est appelée "instabilité dynamique", et la seule classe d'avions où elle est autorisée - les chasseurs - est équipée de catapultes pour les pilotes.
Tout le monde de l'aviation rêve d'un avion qui serait aussi naturel et facile à piloter que possible. Par exemple, lorsque vous modifiez la puissance du moteur, abaissez les volets ou sortez le train d'atterrissage, les conditions de vol ne devraient pas changer sensiblement, les roulis ne devraient pas se produire ou le tangage devrait changer - le comportement devrait rester prévisible.
La coque de l'avion (le fer lui-même) devrait initialement fonctionner aussi prévisiblement que possible, et ne pas nécessiter de «cloches et sifflets» supplémentaires. Ce canon d'aviation a été posé lors des premiers vols des frères Wright vers Kitty Hawk.
De toute évidence, le nouveau modèle Boeing 737 Max se plie trop le nez avec une traction accrue, surtout à des angles d'attaque déjà importants. Ils ont violé la plus ancienne loi de l'aviation et peut-être les critères de certification FAA (Federal Aviation Administration) aux États-Unis. Mais au lieu de revenir sur la planche à dessin et de réparer le corps de l'avion, Boeing a décidé de s'appuyer sur un certain
«système d'augmentation des caractéristiques de manœuvre» ( MCAS).
Boeing a résolu le problème du fer à l'aide d'un logiciel.
Je vais laisser une discussion sur l'émergence d'un langage d'entreprise (
environ. Trad.: Apparemment, l'auteur signifie que le nom "Système pour améliorer la maniabilité" ne signifie pas COMMENT il ne fait absolument rien qui est inhabituel pour les termes de l'aviation ) dans l'aviation lexique d'un autre article, mais notons que ce système pourrait être appelé différemment, par exemple, «Un moyen bon marché pour éviter un décrochage lorsque les pilotes le frappent», CWTPASWTPPI). Cependant, cela vaut probablement la peine de s'arrêter au MCAS.
Bien sûr, MCAS est une alternative beaucoup moins chère au traitement en profondeur de la cellule, étant donné la nécessité d'accueillir de nouveaux gros moteurs. Un tel traitement pourrait nécessiter, par exemple, un allongement du train d'atterrissage avant (qui ne pourrait alors pas s'insérer dans le fuselage lorsqu'il est tiré dans le corps), replier les ailes ou d'autres modifications similaires. Ce serait monstrueusement cher.
Tout le développement et la fabrication du Max 737 se sont déroulés sous les auspices du mythe "c'est le même bon vieux 737." Reconnaissez que ce n'est pas un vieux modèle, et alors la recertification prendrait des années et nécessiterait des millions de dollars.
"En fait, les pilotes autorisés à piloter le Boeing 737 en 1967 peuvent contrôler toutes les versions ultérieures du 737."
D'après un examen d'une version antérieure d'un article d'un des 737 pilotes de l'une des plus grandes compagnies aériennes.
Pire encore, de tels changements majeurs nécessiteraient non seulement une nouvelle certification par la FAA, mais également le développement d'un planeur Boeing complètement nouveau. Maintenant, nous parlons de très gros fonds, tant pour les avionneurs que pour les compagnies aériennes.
Et tout cela parce que l'argument principal du Boeing lors de la vente du 737 Max était qu'il s'agissait du même 737, et tout pilote volant sur des modèles précédents pourrait également contrôler Max - sans recyclage coûteux, obtenant un nouveau certificat et une nouvelle qualification. Les compagnies aériennes - et Southwest en sont un excellent exemple - ont tendance à préférer une flotte d'un type d'avion "standard". Ils préfèrent avoir un modèle d'avion unique qui peut être contrôlé par n'importe lequel de leurs pilotes, car les pilotes et les avions deviennent alors interchangeables, maximisant la flexibilité et minimisant les coûts.
D'une manière ou d'une autre, tout se résume à de l'argent, et MCAS est devenu une autre opportunité pour Boeing et ses clients de faire couler l'argent dans la bonne direction. La nécessité d'insister sur le fait que les caractéristiques de vol du 737 Max ne différaient pas des modèles 737 précédents était la clé de l'interchangeabilité de la flotte du 737 Max. C'était probablement la raison pour laquelle la documentation sur l'existence même de MCAS était cachée.
Si ce changement devenait soudainement trop perceptible, par exemple, il se reflétait dans le manuel de l'avion ou il ferait l'objet d'une attention particulière lorsque les pilotes suivraient une formation, alors quelqu'un - probablement quelqu'un des pilotes - se lèverait et dirait: Hé, quelque chose qui ne ressemble pas au 737. " Et l'argent coulerait dans la mauvaise direction.
Comme je l'ai déjà expliqué, vous pouvez mener une expérience avec un angle d'attaque par vous-même en mettant simplement votre main par la fenêtre d'une voiture en mouvement et en tournant votre paume. Ainsi, une machine aussi complexe qu'un avion a également l'équivalent mécanique d'une main exposée à partir d'une fenêtre - un capteur d'angle d'attaque.
Vous pouvez le remarquer à bord d'un avion. En règle générale, il y en a deux, un de chaque côté de l'avion, généralement juste sous les fenêtres du cockpit. Ne les confondez pas avec les tubes de Pitot (lisez-les ci-dessous). Le capteur d'angle d'attaque ressemble à une girouette, et le tube de Pitot ressemble à ... hmm, tube. Le capteur d'angle d'attaque ressemble à une girouette précisément parce qu'il s'agit d'une girouette. Son aile mécanique se déplace en réponse aux changements d'angle d'attaque.
Les tubes de Pitot mesurent la force avec laquelle le flux d'air «presse» sur l'avion, et le capteur d'angle d'attaque détermine la direction d'où provient ce flux. Puisque les tubes de Pitot, en fait, mesurent la pression, ils sont utilisés pour déterminer la vitesse de l'avion par rapport à l'air. Le capteur d'angle d'attaque détermine la direction de l'avion par rapport au flux.
Il y a deux ensembles de capteurs d'angle et deux ensembles de tubes de Pitot, un de chaque côté du fuselage. En règle générale, les instruments installés sur le côté du pilote principal prennent leurs lectures à partir de capteurs sur le même côté de la coque; de même, les instruments du deuxième pilote montrent les valeurs des capteurs de son côté du navire. Cette approche crée une redondance naturelle dans l'équipement, ce qui permet une validation croisée rapide et facile par n'importe lequel des pilotes. Si le copilote considère que son indicateur de vitesse est étrange, il peut le comparer avec l'appareil similaire sur le côté du pilote principal. Si les témoignages divergent, les pilotes découvrent lequel des appareils montre la vérité et lequel ment.
Il était une fois une plaisanterie selon laquelle, dans le futur, les avions pourront voler seuls, un pilote et un chien devront toujours s'asseoir dans le cockpit. Un pilote est nécessaire pour que les passagers soient plus calmes en se rendant compte qu'il y a quelqu'un à l'avant. Le chien doit mordre le pilote s'il essaie même de toucher quelque chose.
Dans le 737th, le Boeing a non seulement fabriqué des appareils et des capteurs de secours pour les avions, mais aussi un ordinateur de bord de secours, installant un ordinateur chacun à partir des pilotes principal et secondaire. Un ordinateur de vol fait beaucoup de choses utiles différentes, mais sa tâche principale est de piloter automatiquement l'avion quand on lui a dit de le faire, et de vérifier que le pilote n'a fait aucune erreur en mode pilote manuel. Le dernier paragraphe est intitulé «protection de la gamme des modes de vol».
Mais appelons un chat un chat - c'est le chien très mordant de la blague.
Que fait MCAS? Ce système devrait abaisser le nez de l'avion s'il considère que le navire est au-delà des limites d'angles d'attaque acceptables afin d'éviter un décrochage aérodynamique. Boeing a installé des MCAS dans le 737 Max car les moteurs plus gros et leur nouvel emplacement rendaient le décrochage plus probable que dans les générations précédentes du modèle.
À ce moment, lorsque le MCAS remarque que l'angle d'attaque est devenu trop grand, il commande aux trimmers de l'avion (le système qui fait monter ou descendre l'avion) de pointer la proue du navire vers le bas. Elle fait aussi autre chose: indirectement, en utilisant ce que Boeing appelle le «Elevator Feel Computer» (ordinateur de détection d'ascenseur, EFC), elle pousse les roues de commande du pilote (barres que les pilotes poussent ou tirent pour lever ou baisser le nez). avion) vers le bas.
Dans le 737 Max, comme la plupart des autres avions de ligne modernes et même des voitures, un ordinateur surveille tous les processus, voire les contrôle directement. Dans de nombreux cas, il n'y a plus de connexion mécanique directe (c.-à-d. Câbles, conduites et tubes hydrauliques) entre les outils de commande du pilote et la véritable queue aérodynamique de l'aéronef, la quille et d'autres dispositifs qui font voler l'avion. Et s'il y a une telle connexion mécanique, l'ordinateur décide alors ce qu'il est permis au pilote de faire avec eux (et encore ce même chien mordant).
Cependant, il est important que les pilotes reçoivent une réponse physique sur tout ce qui se passe. Dans le bon vieux temps, lorsque les câbles reliaient les éléments de commande des pilotes au plumage, ils devaient tirer la barre avec beaucoup d'effort si l'avion était en panne. Ils devaient le forcer à pousser si l'avion prenait de l'altitude. Sous la supervision d'un ordinateur, les sensations naturelles de contrôle ont disparu. Le 737 Max n'a plus de «sensation naturelle».
Oui, en 737, il existe des systèmes hydrauliques redondants reliant les commandes avec lesquelles le pilote interagit et actionnant directement les ailerons et d'autres parties de l'avion. Cependant, ces systèmes hydrauliques sont si puissants qu'ils ne transmettent pas de rétroaction directe des forces aérodynamiques agissant sur les ailerons. Les pilotes ne ressentiront que ce que l'ordinateur leur fera ressentir. Et parfois les sensations ne sont pas si agréables.
Lorsque le calculateur de vol ordonne à l'avion de décliner du fait que le système MCAS a décidé qu'il était sur le point d'entrer dans le décrochage, une chaîne de moteurs et compensateurs fait avancer les gouvernails du cockpit. Et il s'est avéré que l'ordinateur peut mettre tant d'efforts dans les gouvernes que les pilotes, essayant de les tirer vers eux et de montrer à l'ordinateur qu'il fait quelque chose de complètement, complètement mal, sont rapidement épuisés.
En fait, le fait que le système ne permette pas au pilote de contrôler l'avion en tirant la barre sur lui était une décision délibérée des concepteurs du 737 Max. Parce que si les pilotes peuvent tirer la colonne de commande et rediriger le nez de l'avion vers le haut, quand le système MCAS dit qu'il devrait pointer vers le bas, alors quel est l'intérêt d'un tel système?
, MCAS , , , . , , ().
, MCAS, : «, 737», .
— . , , , , . . .
, , . , , , , , . «» , , . — .
737 Max — , . , .
, , , , . , , « ». . -. . — .
, — , , — .
. , , , , . , .
, , . , . , MCAS . , .
, MCAS . .
— HAL, .
— , , , .
MCAS , , , , , “” .
FAA . , , .
, , , FAA , . . FAA , , .
FAA : « , ?” : „ .” FAA: “ , .»
« » (“Designated Engineering Representative,” DER). , , FAA , .
, , , . , . DER , . , - , “ ".
, MCAS 737 Max , , . , , , .
: , MCAS, , 0.8 , , , .
, . , MCAS, , , , , . , ?
, — 737 Max. . 737 . . , , ( ), , . №3.
. , «» DER, .
. , , .
, 737 Max, . Cessna 172 1979 , . 737 (1955 1967).
, ( Garmin G5s) (CAN,
Controller Area Network ), . CAN Drive-by-Wire ( ),
ARINC , 737 Max.
. , 172, MCAS 737 Max. , 737 Max, , , , , , , Lion Air.
, « ” ( ), „“ . , Cessna, , , , . , „ “.
, $20,000 737 , . ?
, (“Supplemental Type Certificate,” STC). , FAA , Cessna 172 1979 Garmin , - , Cessna 172. .
, () ( ), , , . , .
, , , , .
, , . , , . , 172, , 172.
, , Cessna, , 737 Max.
: , , 737 Max , . , MCAS , , , . MCAS …
Une autre différence entre mon pilote automatique et le système avec le MCAS dans 737 Max est que les appareils connectés au bus CAN communiquent en permanence et effectuent des vérifications croisées, ce qui, apparemment, n'est pas le cas de MCAS. Par exemple, un pilote automatique interroge en permanence les deux ordinateurs de bord G5 pour déterminer l'emplacement. Si les données divergent, le système avertit le pilote et s'arrête, passant en mode de commande manuelle. Elle ne dirige pas l'avion dans le sol, si elle commence soudain à croire qu'il est sur le point de tomber.
Et probablement la plus grande différence est la force que le pilote doit exercer pour écraser les commandes du pilote automatique sur mon avion et sur le 737 Max. Dans mon 172, il y a encore des câbles qui connectent directement les commandes aux surfaces aérodynamiques. L'ordinateur est obligé d'appuyer sur les mêmes leviers que moi, et c'est beaucoup plus faible que moi. Si l'ordinateur décide à tort que l'avion commence à tomber, je peux facilement surmonter sa résistance.
Dans mon Cessna, l'homme sort toujours victorieux de la bataille avec le pilote automatique. Exactement la même philosophie a toujours été professée par Boeing dans le développement de ses avions, de plus, il a été utilisé contre son rival juré Airbus, qui a agi directement en face. Cependant, avec la sortie du 737 Max, le Boeing, semble-t-il, sans le dire à personne, a décidé de changer la stratégie de la relation entre l'homme et la machine et de changer tout aussi discrètement le mode d'emploi.
Toute cette saga avec 737 Max devrait nous apprendre non seulement que la complication entraîne des risques supplémentaires, et que la technologie a ses propres limites, mais aussi ce que nous devons avoir de vraies priorités. Aujourd'hui, l'essentiel est l'argent, pas la sécurité. Ils n'y pensent que dans la mesure où il est nécessaire de poursuivre le mouvement de l'argent dans la bonne direction. Le problème devient chaque jour plus aigu, car les appareils dépendent de plus en plus de ce qui est trop facile à changer - le logiciel.
Les défauts de l'appareil et du matériel, qu'il s'agisse de moteurs mal situés ou de joints toriques dispersés dans le froid, sont évidemment difficiles à corriger. Quand je dis «difficile», je veux dire «cher». En revanche, les défauts logiciels peuvent être corrigés rapidement et à moindre coût. Tout ce qui est requis est de simplement publier la mise à jour et de publier le patch. De plus, nous nous sommes assurés que les acheteurs considèrent désormais tout cela comme la norme - à la fois les mises à jour du système d'exploitation sur l'ordinateur et les correctifs installés automatiquement sur ma Tesla pendant que je dors.
Dans les années 1990, j'ai déjà écrit un article comparant la complexité relative des processeurs Intel Pentium, exprimée en nombre de transistors par puce, avec la complexité du nouveau système d'exploitation Microsoft Windows, exprimée en lignes de code source. Il s'est avéré qu'ils étaient relativement tout aussi complexes.
À peu près à la même époque, il s'est avéré que les versions antérieures des processeurs Pentium étaient sujettes à un bogue appelé l'
erreur FDIV . Seul un petit nombre d'utilisateurs de Pentium (environ Transl.: Scientifiques et mathématiciens) pourraient avoir rencontré des problèmes avec celui-ci. Des défauts similaires ont été trouvés dans Windows, qui n'a également affecté qu'une petite partie des utilisateurs du système d'exploitation.
Cependant, les implications pour Intel et Microsoft étaient fondamentalement différentes. De petits correctifs logiciels ont été systématiquement publiés pour Windows, tandis qu'Intel a dû retirer tous les processeurs défectueux en 1994. Cela a coûté à l'entreprise 475 millions de dollars, soit plus de 800 millions aux prix d'aujourd'hui.
À mon avis, la relative simplicité et le manque de coûts matériels importants lors de la mise à jour des logiciels ont conduit au développement d'une culture de la paresse dans la communauté des développeurs. De plus, du fait que les logiciels contrôlent de plus en plus le "matériel", cette culture de la paresse commence à pénétrer dans le développement de la technologie - par exemple dans la construction aéronautique. De moins en moins, nous accordons une attention particulière au développement d'une conception correcte et simple de l'équipement, car il est si simple de corriger le défaut à l'aide d'un logiciel.
Chaque fois qu'une nouvelle mise à jour sort pour mon Tesla, l'ordinateur de vol Garmin de mon Cessna, le thermostat Nest ou le téléviseur de ma maison, je réalise une fois de plus qu'aucune de ces choses n'a été vraiment sortie de l'usine. Parce que leurs créateurs ont réalisé que ce n'était pas nécessaire. Le travail peut être terminé un peu plus tard en publiant la prochaine mise à jour.
»Je suis ingénieur réseau, un ancien programmeur qui a écrit des logiciels pour l'avionique d'avion. Il était toujours curieux que nous devions esquiver dur pour mettre une nouvelle carte mère dans un ordinateur certifié, et le logiciel ne nécessitait aucune certification (à l'exception des restrictions générales comme «ne peut pas fonctionner sous Windows» ou «doit être écrit en C ++»). C'est vrai, c'était il y a environ 10 ans, j'espère que les choses sont différentes maintenant. "
- Anonyme, à partir de la correspondance personnelle
Boeing installe actuellement une nouvelle mise à jour pour l'ordinateur de bord et le MCAS 737 Max. Je n'en suis pas sûr, mais je pense que cette mise à jour se concentrera principalement sur deux choses:
La première consiste à enseigner au logiciel à recouper l'instrumentation, comme le font les pilotes. Autrement dit, si un capteur de l'angle d'attaque commence à signaler que l'avion est sur le point de tomber, et l'autre capteur ne le fait pas, c'est-à-dire, l'espoir est que le système ne dirigera plus immédiatement l'avion avec son nez dans le sol, mais informera d'abord les pilotes du conflit dans les lectures des capteurs.
La seconde consiste à abandonner la stratégie «tirer d'abord, vous poserez des questions plus tard», c'est-à-dire commencer à chercher différentes sources au lieu d'une seule.
Pour la vie de moi, je ne comprends pas comment il s'est avéré que ces deux principes de base de l'industrie aéronautique, les fondements de la pensée qui ont fidèlement servi l'industrie jusqu'à présent, pouvaient être oubliés lors du développement de MCAS. Je ne sais pas et je ne comprends pas quel processus dans le travail de DER a tellement cassé qu'il a fait un défaut si fondamental dans le projet.
Je soupçonne que la raison se situe à peu près au même endroit que la raison pour laquelle Boeing souhaite fournir de plus gros moteurs et éviter les coûts élevés qui y sont associés - le
désir de manger du fromage gratuit , qui, comme chacun le sait, ne se produit que dans une souricière.
L'accent mis sur la nécessité de développer des systèmes aussi simples que possible est bien démontré par Charles Parrow, sociologue à l'Université de Yale, et auteur du livre 1984
Normal Accidents: Living With High-Risk Technologies . Toute l'essence du livre est contenue dans le titre. Parrow fait valoir que la défaillance du système est un résultat normal du fonctionnement de tout système complexe avec des composants étroitement liés, lorsque le comportement d'un composant affecte directement le comportement d'un autre. Bien que de telles erreurs puissent sembler être causées individuellement par un dysfonctionnement technique ou un processus interrompu, elles doivent en fait être considérées comme faisant partie intégrante du système lui-même. Ce sont les accidents «attendus».
Ce problème n'est ressenti nulle part plus aigu que dans les systèmes conçus pour améliorer la sécurité. Chaque nouvelle modification apportée, chaque complication devient de moins en moins efficace et conduit finalement à des résultats complètement négatifs. Imposer un correctif au-dessus d'un autre dans le but d'augmenter la sécurité conduit finalement à sa réduction.
C'est ce que l'ancien principe d'ingénierie de conception nous dit - "Le plus simple sera le mieux" (
"Keep it simple, stupid" , KISS), et sa version aviation: "Simplifier, puis ajouter de la légèreté" ("Simplifier, puis ajouter de la légèreté" )
L'un des principes fondamentaux de la FAA dans la certification des avions à l'époque d'Eisenhower était une alliance particulière de simplicité: les avions ne devraient pas montrer de changements de tangage significatifs avec un changement de puissance du moteur. Cette exigence est apparue lors de l'existence d'une relation directe entre les commandes d'un pilote dans le cockpit et le plumage d'un aéronef. Cette exigence - lorsqu'elle a été rédigée - a justement imposé une exigence de simplicité à la conception de la cellule elle-même. Maintenant, entre l'homme et la machine, une couche de logiciels est apparue, et personne ne sait avec certitude ce qui s'y passe réellement. Les choses sont devenues trop compliquées à comprendre.
Je ne peux pas sortir de ma tête les parallèles entre les catastrophes du 737 Max et la
navette spatiale Challenger . L'accident du Challenger s'est produit parce que les gens ont suivi les instructions, et non l'inverse - une autre illustration de catastrophes «normales». Les règles stipulaient qu'avant de lancer la navette, une conférence était nécessaire pour assurer une préparation complète au vol. Personne n'a dit que lors de la prise de décision, il ne fallait pas accorder trop de poids aux conséquences politiques possibles qui pourraient survenir en raison du report du lancement. Toutes les données d'entrée ont été soigneusement pesées selon le processus établi, la plupart ont convenu de lancer. Et sept personnes ont péri.
Dans le cas du 737 Max, tout a également été fait selon toutes les règles. Les règles stipulent que le tangage de l'avion ne devrait pas trop changer lorsque la puissance du moteur change et que l'ingénieur désigné (DER) a le droit de signer tout changement visant à résoudre ce problème. Il n'y a rien dans les règles que le DER ne devrait pas être guidé par des considérations commerciales lors de la prise de décision. Et maintenant, 346 personnes sont mortes.
Il est fort probable que le MCAS, conçu pour améliorer la sécurité des vols, ait tué plus de personnes qu'il n'aurait jamais pu en sauver. Pas besoin d'essayer de le réparer avec une nouvelle augmentation de la complexité, des logiciels supplémentaires. Il doit juste être supprimé.
À propos de l'auteur
Greg Travis - écrivain, directeur du développement logiciel, pilote, propriétaire d'aéronef. En 1977, à l'âge de 13 ans, il crée Note, l'une des premières plateformes de médias sociaux; son temps de vol est supérieur à 2000 heures, il contrôle tout, des planeurs au Boeing 757 (dans un simulateur avec simulation complète des mouvements).