{"id":110020,"date":"2019-03-20T10:10:48","date_gmt":"2019-03-20T09:10:48","guid":{"rendered":"https:\/\/www.pauljorion.com\/blog\/?p=110020"},"modified":"2019-03-20T10:16:19","modified_gmt":"2019-03-20T09:16:19","slug":"du-pilotage-du-risque-aerien-en-presence-de-turbulences-capitalistes-par-timiota","status":"publish","type":"post","link":"https:\/\/www.pauljorion.com\/blog\/2019\/03\/20\/du-pilotage-du-risque-aerien-en-presence-de-turbulences-capitalistes-par-timiota\/","title":{"rendered":"Du pilotage du risque a\u00e9rien en pr\u00e9sence de turbulences capitalistes, par Timiota"},"content":{"rendered":"\r\n
\r\n

Ouvert aux commentaires.<\/p>\r\n<\/blockquote>\r\n\r\n\r\n\r\n

Il se confirme depuis peu de jours que la certification du\u00a0 Boeing 737Max et de son syst\u00e8me MCAS (celui qui a probablement pris le contr\u00f4le de fa\u00e7on aberrante en suivant un capteur erron\u00e9) est sujette \u00e0 caution. Une partie de la certification est faite par \u2026 Boeing lui-m\u00eame, habitude prise depuis de longues d\u00e9cennies pour ce qui ne semble pas critique, la FAA (autorit\u00e9 am\u00e9ricaine) aimant quand m\u00eame encore voir les gros morceaux elle-m\u00eame. Dans le cas d\u2019esp\u00e8ce, comme on peut le lire dans cet article du Seattle Times<\/a>, des modifications lourdes ont \u00e9t\u00e9 appliqu\u00e9es entre la certification (sur dossier) et la version livr\u00e9e, suite aux essais en vol, en estimant n\u00e9anmoins qu\u2019on pouvait ne pas parler de tout cela aux pilotes.<\/p>\r\n\r\n

<\/p>\r\n\r\n

On est l\u00e0 assez clairement dans le passage des limites. De quelles limites pr\u00e9cis\u00e9ment\u00a0?<\/p>\r\n

\u00a0Le principe de robustesse de design est bas\u00e9 essentiellement sur le dyptique \u00ab\u00a0la probabilit\u00e9 de panne du morceau\u00a0\u00bb < factoris\u00e9 par> \u00ab\u00a0les cons\u00e9quences de la panne\u00a0\u00bb. Il faut \u00e9videmment un arbre, pour faire monter les cons\u00e9quences vers le haut, depuis mettons un capteur jusqu\u2019\u00e0 la centrale d\u2019inertie, puis \u00e0 l\u2019avion tout entier. Je vais prendre les choses \u00e0 l\u2019envers de l\u2019ordre consacr\u00e9 pour ces choses l\u00e0 en ing\u00e9nierie, dont le nom est FEMA (Failure Mode and Effects Analysis<\/a>), page wiki sans Version Fran\u00e7aise (mais basque oui), et je vous passe le niveau un peu plus syst\u00e9mique de \u00ab Failure mode, effects and criticality analysis (FMECA) \u00bb.<\/p>\r\n\r\n\r\n\r\n

Le tableau essentiel est celui-ci\u00a0:<\/p>\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n
S\u00e9v\u00e9rit\u00e9 –><\/strong> Probabilit\u00e9<\/strong><\/td>\r\nI<\/strong><\/td>\r\nII<\/strong><\/td>\r\nIII<\/strong><\/td>\r\n\u00a0\u00a0\u00a0\u00a0 IV<\/strong> (Hazardous\u00a0?)<\/strong><\/td>\r\n\u00a0\u00a0\u00a0 V\u00a0\u00a0\u00a0 (Critical)<\/strong><\/td>\r\n\u00a0\u00a0\u00a0 VI\u00a0\u00a0\u00a0 (Catastrophic)<\/strong><\/td>\r\n<\/tr>\r\n
A<\/td>\r\nLow<\/td>\r\nLow<\/td>\r\nLow<\/td>\r\nLow<\/td>\r\nModerate<\/td>\r\nHigh<\/td>\r\n<\/tr>\r\n
B<\/td>\r\nLow<\/td>\r\nLow<\/td>\r\nLow<\/td>\r\nModerate<\/td>\r\nHigh<\/td>\r\nUnacceptable<\/td>\r\n<\/tr>\r\n
C<\/td>\r\nLow<\/td>\r\nLow<\/td>\r\nModerate<\/td>\r\nModerate<\/td>\r\nHigh<\/td>\r\nUnacceptable<\/td>\r\n<\/tr>\r\n
D<\/td>\r\nLow<\/td>\r\nModerate<\/td>\r\nModerate<\/td>\r\nHigh<\/td>\r\nUnacceptable<\/td>\r\nUnacceptable<\/td>\r\n<\/tr>\r\n
E<\/td>\r\nModerate<\/td>\r\nModerate<\/td>\r\nHigh<\/td>\r\nUnacceptable<\/td>\r\nUnacceptable<\/td>\r\nUnacceptable<\/td>\r\n<\/tr>\r\n<\/tbody>\r\n<\/table>\r\n\r\n\r\n\r\n

C\u2019est un mix de probabilit\u00e9 (de A=quasi-inimaginable \u00e0 E=Fr\u00e9quent) et de gravit\u00e9 (de I = sans effet \u00e0 V = critique, VI = catastrophique). Et il ne faut pas franchir s\u2019aventurer trop loin dans la ligne oblique \u00ab\u00a0Moderate\u00a0\u00bb, ne pas aller \u00e0 \u00ab\u00a0High\u00a0\u00bb.<\/p>\r\n\r\n\r\n\r\n

Ah oui, le \u00ab\u00a0Catastrophique\u00a0<\/strong>\u00bb, c\u2019est la perte de passagers (ou de charge transport\u00e9e d\u2019une valeur de 1 Million de $). Mais \u00e0 la limite la perte du gros de l\u2019avion (le fuselage, \u00ab\u00a0the hull\u00a0\u00bb) sans tuer les gens, c\u2019est pas trop grave. C\u2019est le cas de l\u2019amerrissage du capitaine Sullenberger sur l\u2019Hudson pour le vol US Airways 1549 (un Airbus A 320) par exemple. \u00ab\u00a0Critique<\/strong>\u00a0\u00bb, vous risquez de blesser des passagers, 1 mort maxi (mauvaise r\u00e9ponse \u00e0 une m\u00e9ga turbulence et vous volez au plafond, d\u00e9compression mais l\u2019oxyg\u00e8ne est l\u00e0 etc.).<\/p>\r\n\r\n\r\n\r\n

On a deux ou trois autres choses qu\u2019on rajoute\u00a0: quel est le d\u00e9lai avant qu\u2019on se rende compte de la panne (bout d\u2019aile cass\u00e9e\u00a0: c\u2019est tout de suite\u00a0; \u00a0fuitouille d\u2019huile\u00a0: \u00e0 la r\u00e9vision de la semaine ou des deux mois).<\/p>\r\n\r\n\r\n\r\n

Toujours est-il qu\u2019il est tentant de r\u00e9trograder d\u2019un cran (de droite \u00e0 gauche et\/ou\u00a0 de bas en haut) une panne donn\u00e9e. Et il semble que la non redondance dans l\u2019analyse des capteurs (apparemment le cas du MCAS du Boeing 737 Max, dont le correcteur se basait sur un seul capteur et ne tiquait pas si ce capteur d\u00e9connait m\u00eame au sol) aurait d\u00fb le mettre\u00a0 dans \u00ab\u00a0High\u00a0\u00bb et V ou VI, alors que cela a termin\u00e9 dans Moderate et IV ou V (sch\u00e9matiquement, car ces notions sont renum\u00e9rot\u00e9e dans le vrai standard en usage\u00a0: ARP4754<\/a> et ARP4761<\/a> ).<\/p>\r\n\r\n\r\n\r\n

On pourra se rappeler que la tentation de minimiser les risques dans la finance est sensiblement mue par les m\u00eames ressorts, faisant fi de toute \u2019\u2019philia\u2019\u2019 me dit Aristote dans mon oreillette : profiter cupidement des opportunit\u00e9s en se disant que \u00ab pour l\u2019instant tout va bien \u00bb. Notamment parce que les suppos\u00e9s r\u00e9gulateurs se sont arrang\u00e9s soit pour \u00eatre pay\u00e9s par les fauteurs (audit) soit, lorsqu\u2019ils sont dans le service officiel de contr\u00f4le (SEC aux USA, COB en France), pour \u00eatre un peu leurs copains quand m\u00eame. Et en cas d\u2019accident \u00ab catastrophique \u00bb (Crise de 2008 \/Crash du Lion air, pour filer l\u2019analogie) ne pas trop changer les choses, se contenter d\u2019une br\u00e8ve formation suppl\u00e9mentaire pour dire qu\u2019il y a un petit quelque chose de nouveau, un peu comme la loi Dodd-Frank s\u2019est content\u00e9e d\u2019un m\u00e9nage fort modeste dans les pratiques des investisseurs et des banques.\u00a0Et un peu comme en France on autorise toujours les paris (options purement sp\u00e9culatives) depuis la lev\u00e9e de leur interdiction en 1885 ; (\u00ab l\u2019exception de jeu \u00bb : Le Code p\u00e9nal, dans son article 421 r\u00e9primait d\u2019une amende et d\u2019une peine de prison tout parieur qui aurait effectu\u00e9 un pari sur un \u2018effet public\u2019).<\/p>\r\n\r\n\r\n\r\n

Nous allons finir par une d\u00e9clinaison un peu plus concr\u00e8te \u00e0 titre d\u2019exemple. Tout d\u2019abord on rappelle que le standard de panne est de 1 pour 1 milliard d\u2019heures de vol (10^-9 d\u2019occurrence pour 1), ce qui, comme je l\u2019ai expliqu\u00e9 l\u2019autre jour<\/a>, correspond \u00e0 moins\u00a0d\u2019une panne sur une tr\u00e8s grosse flotte (>3000 avions) sur 30 ans. L\u2019exemple ci-dessous tir\u00e9 de What are the design parameters for airliner safety ?<\/a> explique un peu mieux comment on d\u00e9compose cette probabilit\u00e9 de 10^-9 en pratique, du fait qu\u2019on se r\u00e9f\u00e8re \u00e0 un vol moyen un peu id\u00e9alis\u00e9\u00a0: la probabilit\u00e9 de panne est le premier segment, la fraction de temps o\u00f9 le syst\u00e8me \u00e9tudi\u00e9 est cens\u00e9 servir est le second segment. En dessous (en anglais) l\u2019explication pour le pilote auto (Cruise autopilot) et le Autoland (atterissage auto)\u00a0:<\/p>\r\n\r\n\r\n\r\n

\"\"<\/figure>\r\n\r\n\r\n\r\n

If we take the cruise autopilot as an example: <\/em><\/p>\r\n\r\n\r\n\r\n