Boeing 737 MAX: de petites économies qui finissent par coûter très cher

On commence à y voir un peu plus clair sur les causes probables des deux accidents qui ont conduit à l'arrêt des vols de cet avion, et ni l'autorité américaine (FAA) ni Boeing n'en sortiront indemnes.

Comme dans le cas de l'accident du vol Paris-Rio d'Air France, tout est parti d'un défaut de fonctionnement des senseurs qui alimentent le pilote automatique. Dans le cas du Paris-Rio, c'était les tubes Pitot qui avaient givré, et ce dysfonctionnement avait été aggravé jusqu'à une issue fatale par de grossières erreurs des pilotes (le rapport d'enquête est accablant pour l'équipage) et aussi par une mauvaise ergonomie de la présentation des informations.

Dans le cas des Boeing 737 MAX, il s'agissait d'un dysfonctionnement des sondes d'angle d'attaque (sous le sigle AoA en anglais) qui envoyaient des informations erronées au logiciel MCAS censé éviter des décrochages.

Petit à petit les langues se délient, et les révélations qui émergent depuis quelques semaines montrent à quel point le poids des contraintes économiques et le souci de faire face rapidement à la concurrence peuvent amener les constructeurs à prendre des options qui se révèlent ultérieurement catastrophiques.

Pour comprendre toute cette histoire, il faut se souvenir que le 737 MAX fut lancé dans la précipitation pour faire face à la concurrence d'Airbus, et plus précisément au succès commercial de l'A320 remotorisé (baptisé A320 Neo).

Boeing envisageait de remplacer le B737 (qui reste à ce jour le dernier avion occidental largement diffusé à voler avec des commandes mécaniques au lieu du "fly-by-wire" imposé par Airbus et auquel Boeing s'est rallié pour ses modèles les plus récents B777 et B787)  par un avion plus moderne à commandes électriques et utilisant massivement les composites. Mais cela aurait pris du temps, car qui dit nouvel avion, dit nouvelle certification de type et nouvelle formation des pilotes, et, face au succès du nouveau court-moyen courrier d'Airbus, il fut décidé par la direction de Boeing de se contenter de remotoriser le B737 avec des moteurs plus gros.
Première erreur, de nature stratégique, qui est à la racine de toutes les autres.

Les nouveaux moteurs étant plus gros et le B737 étant bas sur pattes il fallut augmenter la hauteur du train d'atterrissage (très légèrement pour rester dans les normes du point de vue des critères techniques de l'évacuation d'urgence) et décaler les moteurs vers l'avant, ce qui rendit l'avion instable.

Pour pallier cet inconvénient, les ingénieurs de Boeing développèrent une verrue logicielle (le fameux MCAS) qui fut greffée sur le système de pilotage automatique et dont la fonction était d'éviter que l'instabilité ne se termine en décrochage. Ce MCAS est alimenté en information sur l'angle d'attaque par deux sondes AoA. De cette manière, en circonscrivant les modifications du système de pilotage à un seul module logiciel, Boeing pouvait se contenter de faire certifier ce MCAS au lieu de reprendre une coûteuse et longue certification complète (la certification initiale des moteurs étant assurée par leur fabricant, il suffisait de s'assurer par ailleurs de la compatibilité des nouveaux moteurs avec les caractéristiques structurelles de l'avion, ce qui n'était pas un problème, pour recevoir le feu vert des autorités). La FAA joua le jeu et délégua l'essentiel du travail de certification aux ingénieurs de Boeing, comme elle en a pris l'habitude sous la contrainte des restrictions budgétaires (il n'y a pas que chez nous que les services publics sont réduits à la portion congrue...)

La criticité de ces sondes AoA pour le bon fonctionnement du MCAS avait conduit à en installer deux. Pourtant, dans les avions modernes, les équipements les plus critiques sont triplés et en cas de dysfonctionnement d'un des capteurs triplés, un vote majoritaire (à "deux-contre-un") permet d'éliminer les données erronées. Mais pour des raisons de coûts (et peut-être de connectique et/ou de capacité de traitement, cela reste un point à éclaircir) il fut décidé de se contenter de deux sondes AoA. Deuxième erreur, de conception, celle-là.

Le problème est qu'avec seulement deux capteurs, s'ils sont en désaccord, on ne sait pas lequel est avarié; face à ce problème insoluble, Boeing adopta le principe de base de l'ingénierie Shadok: "S'il n'y a pas de solution, c'est qu'il n'y a pas de problème" et l'on décida de ne transmettre au MCAS que les données d'un seul des deux capteurs, tout en signalant éventuellement qu'un désaccord existait entre les deux sondes, y compris par un signal lumineux dans le cockpit, signal qui devait conduire les pilotes à débrancher le MCAS et à repasser en pilotage manuel. Mais les premières analyses de l'accident de l'avion d'Ethiopian Airlines semblent montrer que les pilotes n'ont pas réussi à neutraliser le MCAS bien qu'ils aient suivi les instructions données dans le manuel. Or, contrairement aux avions modernes qui disposent de manuels électroniques en ligne, les B737 n'ont que des manuels papier, ce qui ne facilite pas la résolution des problèmes en situation d'urgence: on bute ici à nouveau sur l'obsolescence technique de ce modèle d'avion dont l'informatique embarquée est insuffisamment puissante.

Mais cette fonction de signalisation n'était en fait qu'une option (payante) alors que la documentation à disposition des pilotes pouvait leur faire croire qu'elle était systématiquement installée.Troisième erreur.

L'information actuellement disponible à ce sujet est encore assez confuse: il semble que chez certains clients, même n'ayant pas acheté l'option, la signalisation du désaccord entre les sondes AoA ait été installée quand même... Boeing a évidemment promis de l'installer gratuitement en rétrofit sur tous les 737 MAX déjà en service.

NorthWest Airlines, qui est le plus gros client du 737 MAX, découvrit le pot-aux-roses l'an passé et des inspecteurs de la FAA envisagèrent à l'été 2018 de suspendre les vols des 737 MAX jusqu'à avoir tiré l'affaire au clair. Mais ils se laissèrent convaincre par Boeing et surtout ne firent pas remonter l'information vers leur direction, ce qui montre une mauvaise appréciation de la gravité potentielle du problème. Quatrième erreur, très certainement imputable aux relations incestueuses qui existent de longue date entre Boeing et la FAA.

Bref, en s'entêtant à prolonger l'existence d'un type d'avion obsolète, et en voulant poser des rustines sur un système dépassé, Boeing s'est plongé (et la FAA avec lui) dans une crise qui va encore durer longtemps (vu tous les problèmes révélés par cette histoire, venir raconter aux clients et actionnaires de Boeing que le MCAS sera recertifié d'ici quelques semaines me semble relever du "wishful thinking"... et si une telle recertification avait effectivement lieu ce serait très inquiétant) et qui va lui coûter très cher, à la fois financièrement et en termes de confiance des compagnies et des pilotes: que ceux qui veulent encore voler dans un B737 MAX lèvent le doigt...

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.