AF 447 : Ce que l’on attend du BEA le 2 juillet !

Je n’ai pas résisté à mettre la vidéo de Stéphane Guillon en entête de ce billet car elle a le mérite de résumer le problème sous une forme que, je l’admets, certains peuvent trouver douteuse. Si des proches des victimes de la catastrophe du vol AF 447 sont choqués, je m’en excuse mais je les invite à lire la suite.

Signalez ce contenu à notre équipe

michbret

Abonné·e de Mediapart

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

La mission du BEA est claire : Faire l’analyse technique factuelle des accidents et incidents afin d’établir au plus vite des recommandations de sécurité afin de prévenir de futurs accidents et incidents. A cette fin, le BEA est un organisme théoriquement indépendant des constructeurs, des compagnies aériennes, des aéroports, du contrôle aérien, …

Voici, la partie officielle du décor :

La mission du BEA est clairement rappelée sur son site en les termes :

« Il convient de préciser que l'enquête technique a pour seul objectif la prévention de futurs accidents. Pour cela, elle s'attache à déterminer et comprendre les circonstances d'un événement, à en identifier les causes et à en déduire des leçons de sécurité, sans rechercher les responsabilités ou fautes éventuelles. Son action est donc distincte de la démarche que peuvent conduire de leur côté les autorités judiciaires. »

De plus, il y a obligation de rendre le rapport public et l’OACI, dont la France est membre et signataire de la convention de Chicago, préconise la publication de rapports intermédiaires dès que les avancées de l’enquête suggèrent des mesures de précautions relatives à la sécurité aérienne.

Cependant, il y a un passif :

Les enquêtes précédentes sur les catastrophes importantes ayant eu lieu en France sèment le doute sur l’indépendance et la non collusion des entités concernées. Cela a été développé dans un précédent billet et je ne vais pas y revenir. Néanmoins, je ne suis pas le seul à exprimer des doutes sur l’indépendance et l’impartialité du BEA : Une commission parlementaire avait déjà soulevé le problème comme le rappelle L’EXPRESS.

Enfin, les faits récents consécutifs à la catastrophe ajoutent au trouble :

Cela concerne en particulier les aspects relatifs aux problèmes des Pitot. Il a fallut qu’internet puis la presse sorte l’information que la défaillance des Pitot était dans les premiers messages de pannes envoyés automatiquement par l’avion pour que le BEA daigne admettre, trois jours après, « l'incohérence des différentes vitesses mesurées ». Donc cela commence plutôt mal d’autant plus que les autres acteurs concernés ne trouvent rien de mieux que de :

menacer la presse (Le Figaro) d’un dépôt de plainte : Air France,
rappeler que ses avions sont surs et pilotables même avec les modèles de Pitot concernés : Airbus,
émettre une directive rappelant les consignes de pilotage en cas de défaillance de Pitot : BEA/EASA

Tout se passe comme si ces divers acteurs n’avaient pas intégré la modernité actuelle et pensaient gérer le problème en catimini, ou du moins une fois que le délire médiatique télévisuel serai retombé.

Pour information, messieurs, ces messages automatiques de maintenance (ACARS dans le jargon) sont envoyés par radio, VHF, UHF ou satellite et aisément captable et décodable par des amateurs avertis ou d’autres centres de contrôle (Ex Dakar) que celui de Roissy d’Air France. Les curieux trouveront des sites internet qui retranscrivent automatiquement les messages ACARS reçus à proximité des aéroports. Donc côté transparence du BEA et d’Air France qui les a reçus en temps réel, cela commence plutôt mal. On nous parle d’orage, de foudroiement, de panne électrique générale, …

Pour un résumé des évènements des quatre dernières semaines vous pouvez lire mes autres billets ou l’excellente synthèse de Thomas Cantaloube.

Quelques éléments complémentaires :

Personne ne dit que les Pitot sont la seule cause de la catastrophe mais néanmoins l’historique des incidents associés à leur défaillance est évocateur.

Il est évident que chez Air France, l’on ne s’est pas précipité pour corriger le défaut malgré les incidents observés dont certains plutôt graves (cf. Quantas même si ce n’est pas le même modèle de centrale inertielle – ADIRU). D’autres compagnies comme Air Caraïbes ont réagi différemment en changeant dans le mois suivant le premier incident.

Hors, le « principe de précaution », parfois galvaudé par nos politiques, est à la base de toute la logique de l’OACI concernant la gestion et prévention des incidents ou accidents aériens, et ce depuis de très nombreuses années. Au niveau national, c’est de la responsabilité du BEA. Au sein d’une compagnie aérienne, il s’agit d’exploiter et de transmettre les « retours d’expérience » (REX) (compte rendu d’incident faits par les pilotes) pour améliorer la sécurité.

Je ne vais pas rentrer dans les détails, mais pour ceux que cela intéresse, deux sites internet en français analysent de manière critique la gestion du remplacement des Pitot sur les années précédent la catastrophe :

· Le site d’un ex commandant de bord

· Le site d’eurocockpit

Enfin, cerise sur le gâteau :

L’équivalent américain du BEA, le NTSB a ouvert une enquête sur le même problème. Comme légalement, il n’est pas habilité à enquêter sur le crash du vol AF 447, il s’appuie sur deux incidents mineurs - au sens sans conséquences graves - (un A330 et un A340) avec exactement la même séquence initiale de pannes que celle observée sur le vol AF 447. D’aucuns y verront une tentative politique de déstabilisation d’Airbus, d’autres une inquiétude légitime sur la sécurité après un mois de silence du BEA et de l’EASA … Néanmoins, c’est un signe car en général les autorités américaines et européennes se complètent tacitement. Le premier reprenant systématiquement les directives de l’autre et vice versa. De plus, sauf en cas de crash grave, les américains s’occupent plutôt de leur avions et les européens des leurs !

Et alors !

Tout d’abord, ne tombons pas dans un amalgame : Air France est une compagnie sérieuse, a la culture de la sécurité et les avions y sont correctement entretenus. Dit d’une autre manière, si toutes les compagnies aériennes avaient le niveau de professionnalisme d’Air France, le transport aérien serait beaucoup plus sur au niveau mondial.

Bien sur, il est possible de critiquer la « lenteur » d’Air France sur le remplacement des Pitot douteux. Néanmoins, rien ne l’obligeait à les changer (car pas d’ « Airworthiness Directive - AD » émanant du BEA/EASA – seulement un bulletin de service d’Airbus signalant le problème et recommandant le changement). Néanmoins, malgré l’absence d’obligation, Air France avait lancé un programme de changement des Pitot qui n’avait pas encore atteint l’Airbus A332 F-GZCP qui a disparu lors du vol AF 447.

De même, les avions d’Airbus sont parmi les plus fiables du monde. Même Boeing qui est à un niveau comparable de fiabilité le reconnait : à lire. Airbus émet des bulletins de service(SB) suite à des problèmes constatés : Mais c’est du rôle des autorités de contrôle (BEA/EASA) de les rendre obligatoire dans leur application sous la forme d’une AD (Airworthiness Directive).

Je suis plus critique sur le BEA et je me pose les questions suivantes :

En 2001, Airbus avait émis un bulletin de service (SB) relatif à des problèmes sur les Pitot. Cela avait été transformé en AD. Cela n’a pas été le cas suite au SD émis par Airbus concernant le modèle des Pitot soupçonnés dans le contexte de crash du vol AF 447 !?
Aucun des incidents similaires n’est dans la base du BEA !? Oubli de transmission d’Air France ou lacune du BEA dans sa mission de sécurité (ne pas oublier l’hypothèse de manque de moyens car c’est un service qui dépend de l’état côté financement – Donc si l’on fait comme dans le reste de la fonction publique …).
Etc.

Comment conclure :

Modestement d’abord, car le sujet est complexe et la vérité sera difficile à établir surtout si l’on ne retrouve pas les boites noires et cela semble mal engagé malgré les moyens conséquents mis en œuvre ...

Néanmoins il est des éléments sur lesquels nous savons que le BEA a des informations factuelles :

Les messages ACARS (panne / maintenance) envoyés automatiquement : Publiez les officiellement !
Les gros débris retrouvés (dérive, spoiler, caissons de cabine, …) OK Probablement trot tôt pour en déduire une conclusion … Mais quand même, leur position dans l’avion, leur position dans l’océan, la cassure de la dérive en composite proche de son embase, etc. Des indicateurs d’une désintégration en l’air ou à la surface de la mer.
Les corps retrouvés et leur répartition dans l’océan.
Au moins onze sont identifiés, donc on connait leur position dans l’avion et au repêchage ! Encore des indicateur d’une désintégration en l’air ou à la surface de la mer.
L’état des corps des victimes. Par pudeur, je ne vais pas détailler, mais une mine d’information.
etc.

Et je pourrai continuer longtemps sur le sujet.

Donc, Jeudi 2 Juillet, nous verrons bien quel niveau de transparence le BEA va daigner montrer !

Post Scriptum :

Pour ceux qui s’y connaissent, voici la dernière interprétation des messages ACARS effectuée par des pilotes professionnels. Les messages sont remis dans l’ordre « probable » des évènements compte tenu de l’analyse des systèmes de l’avion. C’est assez proche de mon analyse initiale.

L’original se trouve sur le site d’airliners. Les messages les plus intéressants sont sous les pseudonymes Pihero et Mandala499.

Certain parts really gave some puzzling and befuddlement (is that even a word?)... stuff like, why did the NAV DISAGREE come out so late, and why was there an IR problem when we're suspecting an ADR problem... etc, etc, etc. The clues lie much deeper than originally thought, and again, the Air Caraibes internal technical note provided one of the best assistance in understanding the AF447 ACARS messages... of course, technical drawings, wirings, fault isolation possibilities of the CMC messages... the documents I have (which is still far from what's required) already 153 pages... with many more pages to print and scour through.

This is still far from finished... The stuff Pihero posted still have some further reading to cross check, like, how does the Air Data Module work such as air data sampling rates, self data storage, how it starts and reboots when needed, data filtering functions, and what functions it carries in each probe (certain documents reveal multiple functions), etc, etc.... And then how come an ADR affect the IR functions of the ADIRUs, etc etc, denergizing ADIRU after ADR switch off doesn't give the OFF light, etc etc... and many many more stuff...

All the above, must then be cross checked with the background systems information and general logic (from the FCOMs) to cross check further interrelationships between components and modules, where the data is pooled and channeled to downstream users and via which processors etc.

This does put a test to my systems engineering knowledge to the limit from previous works (which coincidentally, involved ADRs and IRs, and integration into NAV and output displays, etc)...

We have some way to go... but this is what's deduced for the moment... The expanded explanation is incomplete, it is subject to change, subject to ammendments, and albeit backed by documentation, there's no guarantee that this is correct... but then, it's better than just picking stuff out of the air.

This is the list reordered...

0209 START
0210 34-11-15-0 FLR EFCS2
EFCS1, AFS - PROBE PITOT 1+2/2+3/1+3 (9DA)
9DA=HEATING ELEMENT PITOT 1 (6DA1/PHC1)
Heating Element Pitot 1 suspected failed.

0210 27-93-34-0 FLR EFCS1
EFCS2-FCPC2(2CE2) WRG:ADIRU1 BUS ADR1-2 TO FCPC2
No Data from ADIRU 1, ADR 1 & 2 no sending signal to FCPC2
No ADR Data from ADIRU 1 to PRIM2.

0210 27-90-45-5 WRN MXSTAT
EFCS1
ERROR NOTICED - Air Data Fluctuation/Inconsistency

0210 27-90-45-0 WRN MXSTAT
EFCS2
ERROR NOTICED - Air Data Fluctuation/Inconsistency

0210 22-10-00-0 WRN AUTO FLT
AP OFF
Autopilot Shut off for safety, result loss of 2 Valid Air Data Channels.
This prevents faulty Air Data from affecting autopilot into making the wrong actions.
Commence AP/FD FAULT ISOLATION PROCEDURE
System Filter & Check:
- DISAGREE AOA Sensor Data in FCPCs
- DISAGREE PITOT PROBE Data in FCPCs
- FAIL ADIRU 1 and 2
- FAIL ADIRU 1 and 3
- FAIL ADIRU 2 and 3
- FAIL ADIRUs

0210 22-62-01-0 WRN AUTO FLT
REAC W/S DET FAULT
Loss of 2 ADRs, autopilot cannot provide Windshear Protection.

0210 27-91-00-5 WRN F/CTL
ALTN LAW
2 ADR REJECTED, NAV DISAGREE NOT YET CONCLUDED - FAULT ISOLATION IN PROGRESS

0210 22-83-00-2 WRN FLAG
LEFT PFD LIMIT
Rejected ADR still feeding data to PFD
If there is valid ADR, it's not being selected for LEFT seat.

0210 22-83-01-2 WRN FLAG
RIGHT PFD SPD LIMIT
Rejected ADR still feeding data to PFD
If there is valid ADR, it's not being selected for RIGHT seat.

0210 22-30-02-5 WRN AUTO FLT
A/THR OFF
Autothrust Shut off for safety, result loss of 2 Valid Air Data Channels.
This prevents faulty Air Data from affecting Autothrust into making the wrong actions.

0210 34-43-00-5 WRN NAV
TCAS FAULT
Loss of ADR1 to Transponder 1 (if selected) or Loss of ADR2 to Transponder2 (if selected)
Loss of Mode C.
This is downstream of loss of ADR.

0210 22-83-00-1 WRN FLAG
LEFT PFD NO F/D
Automatic Flight System (AFS/FMGC) loss of 2 ADR sources.
Safety mechanism, prevents erroneous F/D for pilot to follow

0210 22-83-01-1 WRN FLAG
RIGHT PFD NO F/D
Automatic Flight System (AFS/FMGC) loss of 2 ADR sources.
Safety mechanism, prevents erroneous F/D for pilot to follow

0210 27-23-02-0 WRN F/CTL
RUD TRV LIM FAULT
Loss valid of ADR Data (require 2 ADRs) for FMGC/AFS
FMGC Flight Envelope Module locks in Rudder Travel for safety.

0211 34-12-34-0 FLR IR2
EFCS1X,IR1,IR3, ADIRU2 (1FP2)
ADIRU2(1FP2) - ADR2 self monitoring & PHC rejects own data
Loss of discrete data from ADR2 = PITOT 2, STATIC 2L, STATIC 2R, TAT 2, AOA 2.
NAV DISAGREE CONCLUSION DELAYED - ADDITIONAL FAILURES - RECOMMENCE FAULT ISOL

0211 34-12-00-0 FLR ISIS
ISIS (22FN-10FC) SPEED OR MACH FUNCTION
SUSPECT LOSS OF ADIRU1 AND/OR ADIRU3 FOR ISIS MACH
Suspect Loss of ADIRU3
NAV DISAGREE CONCLUSION DELAYED - ADDITIONAL FAILURES - RECOMMENCE FAULT ISOL

0211 34-12-00-1 WRN FLAG
LEFT PFD NO FPV

0211 34-12-01-1 WRN FLAG
RIGHT PFD NO FPV

0212 34-10-40-0 WRN NAV
ADR DISAGREE
NAV DISAGREE DISCOVERED - FAULT ISOLATION COMPLETED
Due to no further ADR faults occuring.

0213 27-90-02-5 WRN F/CTL
PRIM1 FAULT

0213 27-90-04-0WRN F/CTL
SEC1 FAULT

0213 22-83-34-9FLR AFS
FMGEC1(1CA1)

0214 34-10-36-0WRN MXSTAT
ADR2
RESULT OF 32-12-34-0

0214 21-31-00-2WRN ADVSRY
CABIN VERTICAL SPEED
LOSS OF ADR DATA

------------
Be warned, the above is still incomplete. More cross checking is needed. The failures here aren't simply upstream faults leading to downstream failures, but there are some "same level" data feed, and "upstream" data feeds... and I do not guarantee the above is correct.

Mandala499

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

6 commentaires

Transparence et probité — Parti pris

Nicolas Sarkozy a raison : ce n’est pas lui qu’on humilie, c’est la France

L’ancien président de la République a donné dimanche une interview au « Journal du dimanche », avec cette citation pour titre : « Ce n’est pas moi qui suis humilié, mais la France ». Il faut le prendre au mot : rarement une affaire aura autant avili une démocratie.

par Fabrice Arfi et Michaël Hajdenberg
Justice — Long format

Notre édition spéciale sur l’affaire libyenne

Quand Mediapart a révélé l’affaire libyenne en 2011, personne n’y croyait. Quatorze ans et quelque 160 articles plus tard, certains doutent encore, tant les faits défient le sens commun. Retrouvez notre page spéciale qui regroupe tout notre travail.

par La rédaction de Mediapart
France — Reportage

Procès de Saint-Étienne, jour 6 : « Gaël Perdriau ne peut pas rester maire »

Prison et inéligibilité ont été requises à l’encontre du maire de Saint-Étienne. D’après le ministère public, Gaël Perdriau est le « décideur » du piège « infâme » tendu à son premier adjoint. « Votre décision doit le contraindre à quitter ses mandats », a demandé la représentante du parquet au tribunal.

par Antton Rouget
Habitat — Enquête

Passoires thermiques : cet ultime cadeau de François Bayrou aux propriétaires

Cet été, le gouvernement a procédé à une modification du calcul du diagnostic de performance énergétique (DPE) des logements. À la clé, la disparition automatique de 850 000 logements du statut de passoires énergétiques. Il savait pourtant qu’il s’agit « d’une aberration scientifique ».

par Lucie Delaporte

Billet de blog

Une justice sans haine et sans passe-droit

La condamnation de Nicolas Sarkozy à la peine de 5 ans d’emprisonnement assortie d’un mandat de dépôt différé avec exécution provisoire est violemment attaquée par une partie de la classe politique comme le fruit d’un « acharnement » de la justice. Les coups portés aujourd’hui contre l’autorité judiciaire ne font que confirmer l'urgence de lutter contre les atteintes à la probité.

par Syndicat de la magistrature
Billet de blog

Sur les désarrois de Jérome Jaffré

Vendredi 26 septembre, France Inter consacrait son débat avec « l'invité du 8h20 » à l'analyse de la condamnation de Sarkozy. Le politologue Jérôme Jaffré y a fait part d'un singulier « bouleversement ».

par Paul Alliès
Billet de blog

Jugement Sarkozy : la piteuse diversion contre Mediapart

Depuis l’annonce de la condamnation à cinq ans de prison ferme avec mandat de dépôt différé de Nicolas Sarkozy, l’ancien président de la République et ce qu’il lui reste de proches multiplient les attaques contre notre journal, à l’origine des premières révélations dans cette affaire. Mise au point de la direction éditoriale.

par La rédaction de Mediapart
Billet de blog

Schadenfreude : respirer après l’impunité

Voir Sarkozy condamné, lever son verre à la mort de Le Pen, s’avouer soulagé devant l’effritement des intouchables. Rire quand certains chutent n’est pas de la cruauté mais un souffle repris. Ce texte dit sa Schadenfreude et déroule la litanie des mots qui salissent, des figures qui vacillent et des statues qui se fissurent enfin.

par nadia kamali