L accident du vol AF447 Rio-Paris, un cas d étude pour la recherche en IHM

Documents pareils
2. La perte de contact avec l avion et le déclenchement des secours

RAPPORT INCIDENT GRAVE

Rapport. sur l incident survenu le 18 mars 2007 en croisière entre Lyon et Montpellier à l ATR immatriculé F-GVZY exploité par Airlinair

SYSTEME D ALARME CONNECTE. Guide d installation et d utilisation

Instruments de signalisation moteur et. Système central d'alarme. Instruments de signalisation moteur (suite) Variation des paramètres :

Nouveaux enjeux de recherche en sécurité routière liés à l'automatisation des véhicules : conséquences sur l'activité de conduite

ITIL V3. Transition des services : Principes et politiques

Business Talk IP Centrex. guide. web utilisateur. pour. les services standards

i7 0 Guide de référence rapide Français Document number: Date:

My Poker Manager Guide Utilisateur. Guide Utilisateur

M55 HD. Manuel Utilisateur

Politique et Standards Santé, Sécurité et Environnement

STAGE PILOTAGE ET ASCENDANCE

CENTRALE D ALARME SANS FILS

L'AUDIT DES SYSTEMES D'INFORMATION

GE Security. KILSEN série NK700 Centrale de détection et d alarme Incendie conventionelle. Manuel d utilisation

Guide utilisateur. Parrot MKi9100. Français. Parrot MKi9100 Guide utilisateur 1

Hotspot Mobile 4G HUAWEI E5776. Guide de démarrage rapide

Manuel de l utilisateur

À propos de cette page Recommandations pour le mot de passe... 26

TPM Totale Productive Maintenance

GUIDE DE PROGRAMMATION COMPLÉMENTAIRE DU SYSTÈME D ALARME DIAGRAL

Introduction à l informatique temps réel Pierre-Yves Duval (cppm)

Lignes directrices relatives à la réduction des débris spatiaux du Comité des utilisations pacifiques de l espace extra-atmosphérique

Le Guide Pratique des Processus Métiers

TABLEAU DE BORD : SYSTEME D INFORMATION ET OUTIL DE PILOTAGE DE LA PERFOMANCE

DOMONIAL CRT 500 HF. Notice Utilisateur EKZ C SECOM AUTOPROTECTION PILE A U SUPERVISION OUVERTURE ALARME INTRUSION ALARME TECHNIQUE

Hotspot Mobile 3G+ HUAWEI E587. Guide de démarrage rapide

Guide utilisateur. Sommaire

SOCIETE NATIONALE DES CHEMINS DE FER BELGES SPECIFICATION TECHNIQUE

Vous êtes. visé. Comment diminuer les risques et les impacts d une agression en milieu bancaire

Manuel programmation QUESTOR

RAPPORT INCIDENT GRAVE

RECOPLUS LOGICIEL DE GESTION DES RECOMMANDES NOTICE D UTILISATION DE RECOPLUS RESEAU. N de série

Service On Line : Gestion des Incidents

GUIDE DE PROGRAMMATION COMPLÉMENTAIRE DU SYSTÈME D ALARME DIAGRAL

Notes de lecture : Dan SPERBER & Deirdre WILSON, La pertinence

Les performances des banques en ligne chinoises en 2010 par Arthur Hamon - Asia Pacific Area Manager & Alain Petit - Responsable Benchmarks & Etudes

2 e partie de la composante majeure (8 points) Les questions prennent appui sur six documents A, B, C, D, E, F (voir pages suivantes).

Petit guide pratique de dépannage du système d alerte centralisée (modèles de 1980 à 1988)

uc : Cas d utilisation Top-Chair [Utilisation normale] Fauteuil Top-Chair Déplacer le fauteuil sur tous chemins «include» «include» «extend»

Systèmes de communications Aastra Poste Aastra Guide de l utilisateur

GUIDE AUX SERVICES SOS Emergency ET INFO Service

CRÉER UN COURS EN LIGNE

Principe et règles d audit

Notice Utilisateur EKZ A STORIA CRT 600 HF

NORME INTERNATIONALE D AUDIT 330 REPONSES DE L AUDITEUR AUX RISQUES EVALUES

Quelques réflexions introductives sur le rôle de la confiance dans le travail collaboratif

Systèmes et algorithmes répartis

PRIME/ESSENTIAL NAVIGATION QUICK START GUIDE

Modem LG LDU-1900D. Guide d utilisateur. LG Electronics

Identification des besoins : la méthode des Focus Group. Définition et descriptif de la méthode

MANUEL D UTILISATION (simplifié) DE LA CENTRALE LS-30

Concevoir et déployer un data warehouse

Groupe Eyrolles, 2006, ISBN :

TD de supervision. J.P. Chemla. Polytech Tours Département productique 2ème année

Détecteur de fumée. ALIMENTATION par pile 9V Communication. Modèle Ei 605C Optique. Description du produit. Fonctionnement

Manuel de l utilisateur. Soft-phone - Client VoIP 3CX Version 6.0

TP Détection d intrusion Sommaire

RAPPORT D OBSERVATIONS DEFINITIVES SUR LES COMPTES ET LA GESTION DE LA COMMUNE DE TARBES

Guide Utilisateur. Sommaire

1. Utilisation conforme à l usage prévu. 2. Propriétés. 3. Montage. Capteur de CO 2 AMUN

Diriger comme un pilote. Analyses économiques & Techniques aéronautiques au service de la croissance

Restaurer des données

CHECK-LIST F150 M F-GAQC. Aéroclub Saint Dizier - Robinson VISITE EXTERIEURE VISITE PRE-VOL EXTERIEURE. Dans le hangar

Dragon Naturally Speaking 13

MANUEL DE L UTILISATEUR

Board (Tablette) Manuel de l utilisateur. Windows 7 / XP / Vista

Exemple d utilisation des outils MicroSave-Africa au Brésil

C.6-6. Mode d'emploi utilisateur. Centrale d'alarme Filaire et sans fil. Fait par:

Le menu du jour, un outil au service de la mise en mémoire

Guide d utilisation du logiciel

Analyse des bruits de clavier d ordinateur

Kaba elolegic. Utilisation. Dok.-Nr.: k3elc801fr

Sciences de Gestion Spécialité : SYSTÈMES D INFORMATION DE GESTION

LE ROLE DES INCITATIONS MONETAIRES DANS LA DEMANDE DE SOINS : UNE EVALUATION EMPIRIQUE.

systèmes d alarme logisty.serenity

Norme comptable internationale 33 Résultat par action

Afin d accéder à votre messagerie personnelle, vous devez vous identifier par votre adresse mail et votre mot de passe :

Tutoriel. Votre site web en 30 minutes

L Edition Pilotée XL

Guide de l utilisateur

Manuel d utilisation 26 juin Tâche à effectuer : écrire un algorithme 2

Modulo Bank - Groupe E.S.C Chambéry - prérequis à la formation - doc. interne - Ecoute active.doc Page 1

Les Essentiels COLLECTION. Les règles de sécurité. pour le dépannage. des véhicules électriques. & hybrides. Commission

1. Insérez le DVD de support dans le lecteur optique. L onglet Drivers (Pilotes) apparaîtra si l Exécution automatique est activée.

Principes d AdWords. Quelques mots de présentation. Une audience large : les réseaux de ciblage. Réseau de recherche

MBR225. Le module a été conçu et réalisé conformément aux normes en vigueur portant sur la sûreté et la fiabilité des installations industrielles.

DAHER-SOCATA dévoile le TBM 900, son nouveau TBM

Guide de l utilisateur

LIVRE BLANC DECIDEUR. Newtest : contribution à ITIL. Newtest et ITIL...3. Gestion des niveaux de service - Service Level Management...

JEAN-LUC VIRUÉGA. Traçabilité. Outils, méthodes et pratiques. Éditions d Organisation, 2005 ISBN :

La sécurité physique et environnementale

Projet de Loi no 98 Loi modifiant la Loi sur l assurance médicament et d autres dispositions législatives

P E U G E O T A L E R T Z O N E S Y S T E M E D E N A V I GAT I O N S U R T A B L E T T E T A C T I L E

guide de rapide démarrage INCLUS! découverte 24h

Guide de l utilisateur Mikogo Version Windows

Merci d avoir choisi le Parrot CK3000, le mains-libres à reconnaissance vocale équipé de la technologie radio Bluetooth

COMPETENCE DE NIVEAU N1

Transcription:

L accint du vol AF447 Rio-Paris, un cas d étu pour la recherche en IHM Stéphane Conversy Stéphane Chatty Hélène Gaspard-Boulinc Jean-Luc Vinot Université Toulouse - ENAC 7 av. Edouard Belin, 31055 Toulouse, France prenom.nom@enac.fr RÉSUMÉ Le 1er Juin 2009, le vol AF447 Rio à Paris s abîmait dans l Océan Atlantique. Les expertises sécurité et judiciaires ont conclu à un rôle important s facteurs humains dans cet accint. Observant que nombreux éléments du rapport d enquête produit par le Bureau d Enquête et d Analyse du Ministère s Transports français peuvent être assimilés à s concepts connus l IHM, nous proposons d en faire un cas d étu pour la recherche en IHM. Après avoir introduit le vocabulaire aéronautique nécessaire à leur compréhension, nous reprenons les éléments du rapport en les assimilant, organisant puis traduisant dans s cadres conceptuels du modèle l action et l activité scientifique. Nous espérons ainsi favoriser s travaux recherche visant à une modélisation plus formelle l accint, ou encore à l intification d améliorations possibles dans les systèmes bord. Mots-clés : accint, aéronautique, théories l IHM ACM Classification Keywords : H.5.2 Information Interfaces and presentation : User Interfaces INTRODUCTION L appareil Airbus A330 du vol Air France AF447 du 1er Juin 2009 entre Rio et Paris s est abîmé dans l océan Atlantique, entraînant le décès s 228 personnes à son bord. Le Bureau d Enquêtes et d Analyses pour la sécurité l aviation civile (BEA) appartenant au Ministère s Transports Français a produit un rapport suite à une enquête sécurité sur les circonstances l accint [2]. Comme le BEA le stipule, «ses enquêtes ont pour unique objectif l amélioration la sécurité aérienne et ne visent nullement la détermination s fautes ou responsabilités». Le rapport vise néanmoins à analyser les causes et l enchaînement s conséquences qui ont conduit à l accint. Comme souvent dans tels cas, les causes peuvent être nombreuses. L aviation est un système socio-technique complexe composé d acteurs multiples (agences nationales et internationales, constructeurs, compagnies, organismes formation, pilotes etc.). Le rapport d enquête Permission to make digital or hard copies of all or part of this work for personal or classroom use is granted without fee provid that copies are not ma or distributed for profit or commercial advantage and that copies bear this notice and the full citation on the first page. Copyrights for components of this work owned by others than ACM must be honored. Abstracting with credit is permitted. To copy otherwise, or republish, to post on servers or to redistribute to lists, requires prior specific permission and/or a fee. Request permissions from Permissions@acm.org. IHM'14, October 28 31, 2014, Villeneuve d'ascq, France. Copyright 2014 ACM 978-1-4503-2935-4/14/10...$15.00 http://dx.doi.org/10.1145/2670444.2670459 comporte s sections concernant le déroulement du vol, les pilotes et leur comportement, le matériel, les conditions météorologiques. L enquête s appuie notamment sur les enregistrements effectués à bord dans ce qu on appelle communément les «boîtes noires». Le rapport semble exclure toute panne s systèmes embarqués, à l exception s capteurs appelés «sons Pitot». La défaillance ces sons est un cas prévu : les systèmes bord sont conçus pour y réagir, et ont eu le fonctionnement attendu par leurs concepteurs. C est donc une combinaison s comportements ces systèmes, s conditions vol et s réactions s pilotes, qui a donné une issue fatale à cette défaillance. Cela fait cet accint un cas d étu particulièrement pertinent pour la recherche en interaction homme-machine, d autant que le rapport fournit s éléments très détaillés. Le rapport offre s analyses sur les fonctionnements l interface homme-machine du cockpit, sur les raisonnements que les pilotes ont pu tenir vant les informations données par le système, et sur les interactions entre soussystème humains et matériels. Cette analyse se base sur les échanges verbaux, l enregistrement s actions effectuées par les pilotes et s réponses s sous-systèmes, et s simulations effectuées pour vérifier notamment le comportement s différentes sorties visuelles, auditives ou haptiques s sous-systèmes matériels. Pour qui comprend le vocabulaire aéronautique, cet ensemble données est très riche et rappelle en nombreux points s questions traitées par la recherche en IHM. Le présent article vise à rendre accessible ce cas d étu à la communauté académique l IHM. Le but est servir : à la formation s concepteurs systèmes, à tester que s modèles théoriques rennt compte fidèlement s phénomènes décrits, ou encore à la recherche sur la formation s pilotes ou sur la conception s systèmes embarqués. Pour cela, nous commençons par introduire le vocabulaire aéronautique nécessaire. Nous reprenons ensuite les extraits texte du rapport du BEA qui nous semblent les plus pertinents pour l IHM. Nous reproduisons d abord les conclusions du rapport liées à l interaction homme-machine et aux facteurs humains. Puis nous sélectionnons cinq phénomènes mentionnés dans le rapport. Pour chacun d entre eux, nous montrons comment il peut être relié aux cadres d analyse l IHM et l ergonomie, en particulier le modèle l action Norman [15], ou l épistémologie, en particulier l abduction [11]. 60 60

Session 3 : Systèmes critiques LE DOMAINE DE VOL D UN AVION ET SON PILOTAGE Master Warning PFD ISIS Master Caution Le rapport du BEA décrit l accint du vol AF447 comme une sortie l avion son domaine vol, suite à un mauvais fonctionnement temporaire capteurs pression et aux réactions l équipage que cela a engendrées. Nous introduisons ci-ssous les éléments nécessaires pour comprendre les extraits du rapport. ECAM 61 Hautparleur Figure 70 : emplacement la zone d affichage s messages ECAM Le nombre lignes disponibles sur l ECAM pour l affichage s messages est 7. Si le nombre lignes nécessaires à l affichage tous les messages dépasse ce chiffre, une flèche verte pointant vers le bas apparaît pour indiquer que d autres messages priorité plus faibles ne sont pas affichés. Pour les faire apparaître, l équipage doit traiter les premiers messages puis les effacer. Il n est pas possible savoir si l un ou l autre s membres d équipage a effacé un ou plusieurs messages ECAM au cours l événement, aucune annonce à ce sujet n a été faite. Sistick Si l on retient l hypothèse qu aucun message n a été effacé et sans prendre en compte le message NAV TCAS FAULT, les états l ECAM à différentes heures auraient été les suivants : STALL STALL Figure 71 : affichages ECAM à différents instants (si aucun message n a été effacé) 103 F-GZCP - 1er juin 2009 Pilote Non en Fonction (PNF) Vol et domaine vol Pilote en Fonction (PF) Figure 1. Le cockpit et ses éléments [1] Pour qu un avion vole, il faut que l écoulement aérodynamique produise une force vers le haut suffisante par rapl écran vol primaire (PFD), sur lequel sont affichées port à son poids. Cette force «portance» dépend les informations considérées comme primordiales : vinombreux paramètres : vitesse par rapport à l air, angle tesse, horizon artificiel, altitu, cap (fig. 2) ; et l ISIS, d attaque du flux d air par rapport aux ailes Certaines (incince), système secours reprenant ceslesinformations ; ces vitessesun sont calculéespar le FMGEC, d autres par PRIM qui configuration s ailes (volets rentrés ou sortis), altitu. au FMGEC pour l affichage. Dans le cas du rejet s 3 ADR par les les transmettent l écran systèmes (ECAM), PRIM, un drapeau SPD LIM apparaît ensupervision bas et à droite s du banau vitesse et les sur lequel L avion ne vole en sécurité que s il reste dans son domaine affichées s produites protections sont perdues.sont La vitesse courante et lanotifications vitesse cible restent affichées.par Si les sous vol, défini par une combinaison s domaines valeur au moins une ADR est vali dans les FMGEC, la vitesse affichée systèmes mesure (fig. Vmax 3) etpeut les rester voyants Master Ward un côté et/ou Lorsque ux vitesses sont cohérentes entre elles, la flèche s différents paramètres. Ainsi, à l instar la vitesse du l autre.ning (rouge) et Master Caution (orange) qui signalent trend» est également affichée. Figure 70 dé: emplacement la zone d affichage s messages ECAMrespectif ; son, les vitesses compatibles avec le domaine«speed vol s notifications l ECAM niveau pennt la température l air et donc 1.6.9.5 l altitu : Présentation s informations sur le PFD lignes disponibles sur l ECAM l affichage s messages estvisuelle 7. Si l alarme pour décrochage, qui prévient façon l unité vitesse en nombre Le nombre Mach (rapport à la vitesse Un PFD en loi normale àet un PFD en loi alternate 2les sont présentésetci-après. Les (séquence (Master Warning qui clignote) sonore le nombre lignes nécessaires l affichage tous messages dépasse ce chiffre, du son) est donc plus pertinente qu en noeuds pour raiindications présentées sur ces PFD ne sont pas la représentation exacte celles qui en boucle quatre «buzz» quelques dixièmes sonner sur le domaine vol à haute Si l inciune flèchealtitu. verteauraient pointant vers le bas apparaît pour indiquer que d autres messages pu être affichées sur les PFD l équipage du vol AF 447. affichés. secon Pour («cricket»), etapparaître, message vocal «STALL» 472.755/92 Issue 4 la masse nce est trop gran ou STL la vitesse est tropplus faible, priorité faibles ne sont pas les faire l équipage doit («décrochage»)) que l avion est hors du domaine vol. d air ne porte plus l avion ; on dit qu il décroche. messages On sort puis les effacer. Il n est pas possible savoir si l un ou traiter les premiers d un décrochage en donnant à l avion une «assiette à pi Chevronsmessages verts matérialisant les au cours l autre sl incince. membres La d équipage a effacébarres un ou plusieurs ECAM quer», nez vers le bas, réduisant ainsi vatendance protections en attitus l événement, annonce à ce sujet n a été faite. leur maximum d incince diminue lorsqueaucune le nombre Mach augmente, ce qui signifie qu à Mach élevé (génévitesse Max Si l on entre retientenl hypothèse qu aucun message n a été effacé et sans prendre en compte le ralement à haute altitu), l avion «décrochage message NAV haut» à un angle d incince inférieur à TCAS celui FAULT, à vitesseles états l ECAM à différentes heures auraient été les suivants : faible. À haute vitesse, s phénomènes aérodynamiques provoquent une perte portance et s vibrations dangereuses pour l avion («survitesse»). Ces phénomènes n ont cependant pas été rencontrés sur les A330 [2]. La mesure s paramètres est effectuée par s capteurs physiques : les sons Pitot mesurent la pression d air totale dont on soustrait la pression statique pour obtenir la pression produite par la vitesse l avion et une mesure cette vitesse ; s gyroscopes mesurent l assiette et l inclinaison (à gauche ou à droite) ; s sons mesurent l incince. Les avions mornes comme l A330 sont pilotés par s sous-systèmes humains et automatiques en interaction [1]. Ce système hybri a notamment pour rôle faire en sorte que l avion reste dans son domaine vol. Vitesse Optimale Figure 2. PFD en loi Normale (d.) Figure 6 : PFD en loi normale Pilotage Figure 3. Master Warning & Caution (g.) et ECAM (d.) Deux pilotes sont aux commans (fig. 1[1]), le pilote en fonction (PF, à droite dans le cockpit lors l accint) et le pilote non en fonction (PNF, à gauche dans le cockpit). Chacun dispose dispositifs d entrée, notamment d un sistick (joystick isométrique latéral) revenant à sa position initiale quand il est relâché. Les mouvements longitudinaux sur le sistick ont une influence sur l assiette l avion, par s actions à «cabrer» (tirer pour faire monter le nez l avion) et à «piquer». Les mouvements latéraux ont une influence sur l inclinaison. Les instruments et appareil navigation permettent aux pilotes «voler aux instruments» dans les espaces aériens où cela est obligatoire, c est-à-dire voler sans condition visibilité. Cependant, les pilotes peuvent aussi utiliser s informations contexte : signaux visuels par le vitrage (p. ex. feux saint elme), ressenti s 41 vibrations l appareil (buffet, notamment en approche F-GZCP - 1 juin 2009 décrochage), sons extérieurs (bruit aérodynamique, cristaux glace), voire our d ozone en cas d orage. En revanche, la sensibilité s êtres humains aux accélérations lors d évolutions (montée/scente, virage) n est pas fiable, ce qui peut engendrer s problèmes d orientation spatiale. er Le dispositif sortie consiste en un ensemble d écrans, voyants et haut-parleurs et ceux qui concernent l accint sont : Figure 71 : affichages ECAM à différents instants (si aucun message n a été effacé) 61 103 F-GZCP - 1er juin 2009

62 Systèmes d ai au pilotage Les ais au pilotage concernant l accint sont : les calculateurs comman vol, qui interprète les ordres du pilote au sistick pour orienter les gouvernes. L objectif du système est rendre le vol sûr, économique et confortable pour les passagers [1]; le pilote et la poussée automatiques (resp. PA et A/THR), qui ont entre autres pour rôle décharger les pilotes humains la tâche d atteindre et maintenir les consignes renseignées par les pilotes (consignes simples comme le cap ou plus élaborées comme une trajectoire d approche) le directeur vol (FD), qui donne s indications aux pilotes sur les actions à effectuer sur le PFD (cabrer, piquer, à g., à d.) avec les barres tendance pour suivre les consignes trajectoire retenues. Les systèmes d ai au pilotage ont plusieurs mos fonctionnement. Ceux du calculateur comman vol sont appelés lois pilotage. Ces lois définissent la présence ou non d asservissements automatiques, la fonction transfert entre les périphériques d entrée et les systèmes physiques l avion, ainsi que l existence ou non protections contre s commans qui feraient sortir l avion du domaine vol. Les changements d une loi à l autre se font à l initiative s pilotes mais peuvent aussi être déclenchés automatiquement par s événements extérieurs (par ex. s pertes mesure vitesse). Dans le cas du vol AF447, les lois qui nous intéressent sont les lois «normale», «alternate» et «alternate 2». Par exemple, en loi «normale», les traductions s mans en inclinaison par le sistick se font en fonction d objectifs sécurité mais aussi confort. En loi «alternate 2», l angle latéral du sistick contrôle directement les ailerons. Les inclinaisons du sistick n ont donc pas les mêmes effets sur le comportement l avion. Les automatismes offrent aussi s protections : il est difficile pour les pilotes faire sortir l avion du domaine vol. Ainsi, en loi normale il faut insister sur le sistick pour dépasser 33 d inclinaison, alors que ces protections sont levées en loi alternate 2. Les protections sont d autant plus utiles qu en haute altitu le domaine vol est réduit : la vitesse croisière est relativement proche tant du décrochage bas que du décrochage haut. les marges entre l incince décrochage d un côté et la survitesse l autre côté sont limitées. Lorsque les protections sont désactivées, il appartient alors aux pilotes seuls respecter le domaine vol. Ils disposent pour cela d instruments bord qui affichent les granurs pertinentes (vitesse, attitu l avion, etc), d alarmes sonores et visuelles, d une documentation fournissant s tableaux valeurs pré-calculées, et valeurs à connaître mémoire (memory items) dans le cadre procédures d urgence, comme par exemple la procédure «IAS (Indicated Aircraft Speed)» douteuse qui aurait due être appliquée dans le cas présent. LE RAPPORT DU BEA ET L IHM Dans cet article, nous sélectionnons uniquement les faits et analyses du BEA qui nous semblent accessibles à la modélisation en utilisant le corpus théorique l interaction homme-machine. Ce choix impose s précautions lecture. Tout d abord, malgré nos efforts notre sélection peut présenter s erreurs ou mauvaises interprétations. Le lecteur est invité à se référer au rapport du BEA en cas doute. Ensuite, notre sélection peut induire le lecteur en erreur sur les causes l accint. Le lecteur est invité à garr en tête qu il existe d autres faits importants, absents seulement parce qu ils ne nous semblent pas accessibles aux modèles l IHM. En particulier, nous nous limitons à une phase précise du vol, celle qui débute à 2 h 10 min 05 par le givrage s sons Pitot et le débrayage du sous-système Pilote Automatique. Certaines causes l accint trouvent leurs racines bien avant cet instant, et sont liées au fonctionnement du système homme-machine, qu il s agisse l entraînement s pilotes ou s choix d organisation l équipage pour ce vol. Mais les rnières minutes sont celles qui relèvent le plus clairement l interaction homme-machine et ses modèles. Nous reproduisons ci-ssous le synopsis l accint et la synthèse s faits et l analyse s causes par le BEA. Puis, dans les sections suivantes, nous nous focaliserons sur une série phénomènes mis en évince dans l analyse et nous les relierons à s théories l IHM. Synopsis l accint Vers 2 h 08, l équipage effectue une déviation 12 grés vers la gauche, probablement pour éviter s échos détectés par le radar météo. A 2 h 10 min 05, vraisemblablement à la suite l obstruction s sons Pitot par s cristaux glace, les indications vitesse viennent erronées et s automatismes se désengagent. La trajectoire l avion n est pas maîtrisée par les ux copilotes. Ils sont rejoints 1 minute 30 plus tard par le commandant bord, alors que l avion est dans une situation décrochage qui se prolonge jusqu à la collision avec la mer, à 2 h 14 min 28. (p19) Analyse par le BEA L objectif s travaux sur les facteurs humains a été d examiner le sous-ensemble ces dispositions qui concernent les comportements et compétences attendus s équipages pour la situation rencontrée. [...] Au-là la simple découverte d une explication psychologiquement probable, vraisemblable ou plausible aux comportements constatés, il s agissait aussi d évaluer le gré spécificité ou généricité s réponses comportementales constatées : sont-elles spécifiques à cet équipage particulier, partagées par tous les équipages la compagnie ou encore généralisables à tous les équipages? (p107) Faits établis par l enquête : Les systèmes l avion ont détecté une incohérence s vitesses mesurées. La loi comman vol s est reconfigurée en loi alternate 2B. Aucun message panne n indique clairement à l ECAM la détection par les systèmes d une incohérence s vitesses mesurées. 62

63 Les pilotes ont détecté une anomalie par l alarme déconnexion du pilote automatique qui les a surpris. Bien qu ayant intifié et annoncé la perte s indications vitesse, aucun s ux copilotes n a appelé la procédure «IAS douteuse». Les directeurs vol n ont pas été désengagés. La vitesse affichée sur le PFD gauche a été erronée pendant 29 secons, la vitesse l ISIS pendant 54 secons, et la vitesse affichée sur le PFD droit pendant au maximum 61 secons. En moins d une minute après le désengagement du pilote automatique, l avion est sorti son domaine vol à la suite d actions pilotage inadaptées. Les barres tendance ont disparu puis réapparu à plusieurs reprises en changeant plusieurs fois mo. L approche du décrochage a été caractérisée par l activation l alarme puis l apparition buffet. En l absence la présentation s vitesses limites sur le banau vitesse du PFD, l alarme décrochage sonore n est confirmée par aucune indication visuelle spécifique. L alarme décrochage a retenti façon continue pendant 54 secons. Aucun s pilotes n a fait référence à l alarme décrochage ni au buffet. L incince est le paramètre qui permet d activer l alarme décrochage ; si les valeurs d incinces viennent invalis, l alarme s arrête. Par conception, lorsque les valeurs vitesse sont mesurées inférieures à 60 kt, les valeurs d incince mesurées sont invalidées. L incince l avion n est pas directement présentée aux pilotes. (p203) Causes l accint (extraits) : L équipage, progressivement déstructuré, n a vraisemblablement jamais compris qu il était confronté à une «simple» perte s trois sources anémométriques. Dans son état actuel, la reconnaissance l alarme décrochage, même associée au buffet, suppose que l équipage attribue à l alarme une «légitimité» minimum. [...] Lorsqu une action l équipage est attendue, il est toujours supposé qu il aura une capacité maîtrise initiale la trajectoire et diagnostic rapi permettant d intifier la bonne entrée dans le dictionnaire procédures. Un équipage peut être confronté à une situation imprévue entraînant une perte momentanée mais profon compréhension. [...] Lors cet événement, l incapacité à maîtriser initialement la trajectoire a aussi rendu impossible la compréhension la situation et l accès à la solution prévue. (p205) L accint résulte la succession s événements suivants : l incohérence temporaire entre les vitesses mesurées, vraisemblablement à la suite l obstruction s sons Pitot par s cristaux glace ayant entraîné notamment la déconnexion du pilote automatique et le passage en loi alternate ; les actions inappropriées sur les commans déstabilisant la trajectoire ; l absence lien, la part l équipage, entre la perte s vitesses annoncée et la procédure adaptée ; l intification tardive par le pilote non-volant (PNF) l écart trajectoire et la correction insuffisante par le pilote volant (PF) ; la non intification par l équipage l approche du décrochage, l absence réaction immédiate et la sortie du domaine vol ; l absence diagnostic la part l équipage la situation décrochage et en conséquence l absence d actions permettant la récupérer. (p205) Ces événements peuvent trouver leurs explications dans la combinaison s facteurs suivants : les mécanismes retour d expérience l ensemble s acteurs qui n ont pas permis [...] détecter la nonapplication récurrente la procédure relative aux pertes d informations vitesses et d y remédier, un travail en équipage affaibli par : l incompréhension la situation à la déconnexion du PA, l absence d indication claire dans le poste pilotage l incohérence s vitesses intifiée par les calculateurs ; (p207) De cette analyse faite par le BEA nous avons sélectionné cinq phénomènes (noté P1 à P5) qui nous semblent à la fois jouer un rôle significatif dans l analyse et constituer s exemples d application modèles disponibles. P1 : NON DÉTECTION DES CHANGEMENTS DE MODE En cas d incint, il est attendu du PF et du PNF reprendre en main la stabilité l avion, puis d analyser l événement. Ici, il existe un doute sur l intification du changement loi. La saillance l anomalie vitesse étant très faible vant celle la déconnexion du pilote automatique, l équipage détecte un problème par cette déconnexion et non par la perte s indications vitesse. Pour les mêmes raisons saillance, il est probable que l équipage n a pas encore perçu le passage en loi alternate et la déconnexion l A/THR. (p180) L équipage va néanmoins se construire un début représentation mentale la situation une dizaine secons 63

64 après la déconnexion du PA par l intification d une anomalie s informations vitesse. Toutefois il ne précise pas le nombre sources vitesses perdues. L annonce la perte s vitesses est quasi simultanée par les ux pilotes. (p181) Lorsque l une s trois vitesses s écarte trop s ux autres, elle est automatiquement rejetée par les PRIM et la valeur votée vient alors la moyenne s ux valeurs restantes. Mais si l écart entre ces ux valeurs restantes vient trop grand, les PRIM les rejettent et la loi pilotage vient alternate 2. (p40) Il n existe cependant aucune indication explicite, en hors du drapeau SPD LIM rouge à côté du banau vitesse, du niveau loi alternate dans laquelle se trouve l avion. Le message ECAM associé au passage en loi alternate, quelle qu elle soit, porte la mention «PROT LOST» ; cependant toutes les protections ne sont pas perdues, puisque la protection en facteur charge reste disponible, et que s protections réduites peuvent également exister. L intification précise s conséquences d une reconfiguration en loi alternate est donc compliquée. (p193) Ces problèmes réfèrent à la gestion s mos d une interface. Un mo est un état l interface dans lequel les mêmes actions s utilisateurs sont interprétées différemment s autres mos. Les mos posent ux problèmes aux utilisateurs : celui leur perception, et celui la mémorisation s actions possibles et leurs effets. La perception du mo courant est d autant plus problématique si l initiative du changement mo est celle l appareil et non s opérateurs humains, et que ce changement n est pas perçu. Pour l AF447, les pilotes n ont pas perçu immédiatement le passage en loi (ou mo) alternate 2. Ils n ont pas non plus inféré un tel déclenchement, qui dépend notamment du nombre sources vitesse perdues : 1 vitesse perdue! alternate, 2 vitesses perdues! alternate 2. Les concepteurs d IHM préconisent d éviter les mos [16, 19] dans la mesure du possible car ils sont source nombreuses erreurs. Pourtant, le vol d un avion présente une telle combinatoire qu il est difficile d éviter l utilisation mos. Il serait donc utile d approfondir le rôle s mos pour les systèmes complexes : est-il possible les éliminer, et dans la négative comment rendre leur perception plus immédiate? P2 : ADAPTATION AU CHANGEMENT DE LOI Dès les premières secons après le désengagement du pilote automatique, le PF a dû reprendre le pilotage l attitu l avion et s adapter au changement loi pilotage, sans avoir pris conscience ce changement. Le PF est immédiatement absorbé par le pilotage en roulis dont les oscillations peuvent s expliquer par : une action initiale sur le mini-manche, forte amplitu sous l effet la surprise ; l entretien s oscillations, le temps d adapter son pilotage à haute altitu, qui plus est dans une loi pilotage inhabituelle en roulis (loi directe). Le caractère excessif s actions du PF peut s expliquer par la surprise et la charge émotionnelle à la déconnexion du PA, amplifiées par l absence formation pratique s équipages au vol à haute altitu, surcroît avec s lois comman vol inhabituelles. (p179) Dans le cas l accint, le PF a cherché à contrôler le roulis, même si l amplitu ses actions a finalement entretenu ces mouvements ; l action à cabrer relativement forte qu il applique dans le même temps a pu, entre autres hypothèses, trouver son origine dans une certaine difficulté à intégrer la différence type loi comman et donc la différence type pilotage à adopter entre les ux axes. (p194) Les changement lois pilotage corresponnt à s changements fonctions transfert. Les fonctions transfert réfèrent aux relations entre les mouvements dans l espace contrôle (ici le sistick) et l espace résultat (ici l attitu l avion)[3]. Nous n avons pas connaissance travaux sur les performances l adaptation «dynamique» s utilisateurs à un changement fonction transfert, qu ils en soient conscients ou pas. Mieux comprendre ces performances et les coûts cognitifs induits pourrait air à préparer les pilotes à ces changements, ou à revoir s choix conception si nécessaire. P3 : DIFFICULTÉS DE PERCEPTION Le BEA émet l hypothèse que durant les premières secons après la perte s informations vitesse, les pilotes ont pu éprouver s difficultés à percevoir et organiser les informations émises en leur direction. Saturation audio et tentative pour y remédier Il est à noter que, pendant cette pério 46 secons entre la déconnexion du pilote automatique et l activation l alarme STALL 2 [2 pour uxième activation], l alarme C-chord [qui indique une différence d altitu mesurée et prévue] a sonné sur une durée cumulée trente-quatre secons, dont trente-et-une manière continue, et l alarme STALL 1 pendant ux secons. L alarme C-chord a donc saturé l environnement sonore du poste pilotage. Elle n a pas été annulée par l équipage. Cette ambiance sonore a certainement contribué à altérer la réponse l équipage à la situation. A 2 h 10 min 47, l un s membres d équipage a annulé l alarme Master Caution qui était active puis 2 h 10 min 05. Il a pour cela appuyé sur le bouton poussoir au FCU, qui était alors allumé en ambre. [L ]alarme [C-Chord] est annulable par appui sur le bouton poussoir Master Warning, qui n est pas allumé, situé juste à côté du bouton poussoir Master Caution. Il est possible que cette action d appui sur le bouton Master Caution ait été une action réflexe à la constatation visuelle que le bouton était allumé. Il est cependant aussi envisageable qu elle ait été faite dans l intention d annuler l alarme C-Chord afin désaturer l ambiance sonore dans le poste pilotage. (p194) Signifiant Le problème l appui potentiellement erroné réfère au concept «signifiant» [15]. Les signifiants (signifiers) réfèrent à tout indicateur perceptible (marque visuelle, 64

65 son, toucher, goût, force) qui communique un comportement adéquat à une personne. Les signifiants peuvent être s signes, s labels, et s ssins placés à s endroits appropriés comme s textes «pousser», «tirer» ou «sortie» sur les portes, ou s flèches et s diagrammes qui indiquent ce qui peut être manipulés et la direction manipulation, ou d autres instructions. Un bon signifiant communique aux gens qui utilisent un appareil son objectif, sa structure et son mo opératoire. Ici, l alarme C-Chord est une alarme niveau «Warning», mais le bouton «Master Warning» qui permet les couper n est pas allumé. Le bouton «Master Caution» est lui allumé, et a pu signifier à l utilisateur qu il permettait d éteindre l alarme. De plus, le résultat infructueux son action, contraire au fonctionnement attendu, a peut-être perturbé l utilisateur. Notification Les alarmes sonores sont quant à elles s «notifications». Une notification est un signifiant temporaire (passant d un état non-perceptible à perceptible) déclenché par un sous-système (généralement automatique) à stination d un autre sous-système (généralement humain). Les notifications sont nécessaires dans le cas où les actions déclenchées par l utilisateur ont s effets dans un futur au-là leur mémoire immédiate, ou dans les interfaces type supervision, pour lesquelles le mon physique évolue façon indépendante s actions l utilisateur. Sans les notifications, l utilisateur est engagé dans un processus surveillance, potentiellement coûteux en ressources. Une notification doit capter l attention l utilisateur [20]. Elles doivent donc utiliser un signifiant compatible avec les capacités perception, notamment en contexte dégradé : ajout d une marque visuelle vibrante en périphérie d une taille optique élevée, son couvrant les sons d environnement (moteur, vent) et vibrant en hauteur, vibration d un manche sistick, etc [5]. Une fois l attention détectée, la notification ne doit pas gêner l activité l utilisateur. Si plusieurs notifications se déroulent simultanément, elles doivent être hiérarchisées par l appareil. Dans le cas du cockpit l A330, cette fonction est assurée par le choix l alarme sonore à diffuser (alternance entre C-Chord et STALL), et par l affichage messages dans l ECAM avec s cos couleur correspondant au niveau d alarme. Enfin, une notification se doit d être informative et doit convoyer un message détaillé à l utilisateur. Signifiants, Rétroaction et Transaction les conditions vol nuit en IMC rennt plus difficile la surveillance s attitus (assiette en particulier). (p180) Les signifiants peuvent être délibérés et intentionnels (un message «pousser» sur une porte) ou accintel et non intentionnel. Dans le cas s cockpits, les pilotes utilisent l horizon artificiel pour percevoir l attitu l avion mais peuvent s air la vue extérieure. Pour l AF447, la nuit et l absence lumières au-ssus l océan ne permettent pas profiter ce signifiant. l approche d un décrochage sur un avion classique est toujours associée à un effort à cabrer plus en plus prononcé. Ce n est pas le cas sur l A330 en loi alternate. Il en résulte notamment que dans cette loi pilotage l avion, mis dans une configuration où la poussée n est pas suffisante pour maintenir la vitesse sur la trajectoire, finirait par décrocher sans action sur le manche. Il apparaît que cette absence stabilité statique positive a pu contribuer à l absence d intification par le PF l approche du décrochage. (p194) le PNF dit «commans à gauche», prend la priorité et donne une action brève en butée à gauche ; le PF reprend presque immédiatement la priorité sans aucune annonce et continue à piloter. (p25) Il est à noter que les actions appliquées par un pilote sur un mini-manche ne sont pas facilement observables par l autre. (p180) La rétroaction (feedback) est le signifiant qui communique le résultat d une action : allumage d un voyant, émission d un «clic» etc. 1 Les commans électriques l A330 évitent aux pilotes s efforts physiques pour piloter l appareil. Il n y a donc pas retroaction haptique sur le sistick liée aux phénomènes physiques («stabilité statique positive»), à moins que la retroaction soit reproduite par s systèmes à retour d efforts. Ce n est pas le cas s A330, et ceci a pu constituer une s raisons intifiées par le BEA à la non-intification l approche du décrochage. Par ailleurs, il n y a pas rétroaction dans le sistick du PNF s actions du PF sur son sistick [15]. Ceci réfère à la notion collecticiels, ces systèmes dont les interactions sont conçues pour favoriser la conscience s activités s co-équipiers, et en particulier la transaction/feedthrough [7] (dont la terminologie est construite sur le modèle du terme rétroaction/feedback : «renseigner à travers l interface» envers un équipier plutôt que «renseigner en retour» envers soi-même). Evolutions l ECAM De la déconnexion du pilote automatique à l activation l alarme STALL 2, nombreux messages se sont affichés à l ECAM. Aucun ces messages n a aidé l équipage à intifier le problème lié à l anomalie vitesse. Par ailleurs, la gestion s priorités s différents messages a provoqué s changements d affichage rapis et ainsi rendu encore plus compliquée l analyse et la compréhension la situation. (p194) L ECAM est l appareil qui affiche les notifications en cours. L arrivée nouvelles notifications modifie l affichage, et notamment l ordre s messages selon la dimension Y l écran. Les changements d affichage se font immédiatement, ce qui rend difficile la perception l occurrence d un changement si celui-ci a lieu alors que les pilotes ne regarnt pas l ECAM (vision périphérique) [17], et ce qui rend difficile la compréhension du réordonnancement s messages même si les utilisateurs sont en train le regarr [14, 17]. 1 Norman semble assimiler les notifications et les rétroactions [15]. Nous divergeons sur ce point et les distinguons : la rétroaction doit être immédiate pour être comprise comme telle. 65

66 P4 : PILOTAGE DE L AVION Au-là la reprise en main s premières secons, le PF doit reprendre à sa charge le pilotage l avion dans le but retrouver une situation stable et une trajectoire sûre, laissant le temps choisir une procédure d urgence ou d explorer le problème. Ici, le PF n est pas parvenu à atteindre une situation stable. En premier lieu, on attend l équipage qu il assure le contrôle l avion et le suivi la trajectoire. (p108) Les premières perturbations s vitesses 1 et 2 interviennent vers 2 h 10 min 04, engendrant la déconnexion du pilote automatique, marquée par une alarme visuelle et sonore (charge cavalerie). L équipage ne perçoit pas forcément ces pertes furtives s informations vitesses et les baisses d altitus associées. La première diminution prolongée (au moins 5 secons) la vitesse sur le PFD droit débute au plus tard à 2 h 10 min 07. Elle entraîne une baisse l altitu affichée sur ce PFD d environ 330 ft. A partir 2 h 10 min 08, la vitesse vient aberrante à gauche. La saillance l anomalie vitesse étant très faible vant celle la déconnexion du pilote automatique, l équipage détecte un problème par cette déconnexion et non par la perte s indications vitesse. Par une action réflexe, il réagit comme il l a appris en reprenant en pilotage manuel (annonce «j ai les commans» par le PF, accusé réception par le PNF). (p180) Si la première réaction excessive à cabrer du PF peut donc être comprise, il n en va pas même la persistance cette action qui va provoquer un important écart trajectoire verticale. [...] Il reste un certain nombre d éléments d explication possible : une focalisation l attention sur le roulis, la vitesse, ou encore sur l ECAM, au détriment la surveillance l assiette ; un déclenchement plus ou moins conscient, sous l effet la surprise et du stress, du plan d action (monter) souhaité par le PF avant la déconnexion du pilote automatique ; [...] (p179) Les oscillations d assiette dans les secons qui suivent l activation l alarme décrochage montrent que le pilotage l avion était manifestement délicat et a probablement monopolisé l attention du PF. Dans cette phase, la maquette avion [représentation référence l avion sur l horizon artificiel] sur le PFD était proche la barre horizontale du directeur vol [FD], en moyenne légèrement supérieure. Le PF a probablement cherché à suivre l évolution cette barre, sans avoir intégré le changement du mo longitudinal engagé. (p187) Note : la procédure «vol avec IAS douteuse» prévoit désactiver les FD, pour éviter la présentation d ordres potentiellement non pertinents. (p188) Afin reprendre le contrôle l appareil, le pilote exécute s actions et évalue le résultat ces actions en percevant le mon qui l entoure. Ces processus peuvent être modélisés avec le «cycle l action» [15] (fig. 4). Quand s personnes utilisent un appareil, elles doivent faire face à ux «gouffres» (gulfs) : le Gouffre l Exécution, où elles essaient comprendre comment opérer, et le gouffre l Evaluation, où elles essaient comprendre ce qui est arrivé après avoir opéré. La figure 4 montre ux instanciations ce modèle pour le PF. Le premier cycle concerne la déconnexion du pilote automatique : le PF la perçoit avec l alarme sonore C-Chord, mais il ne perçoit pas la perte s vitesses. Le uxième cycle montre l activité du pilote pour maîtriser la trajectoire. L alarme STALL 1 retentie tronquée puis s arrête, pendant que le PF suit A330 les indications flight controls du directeur - EFCS vol affichées sur le PFD : tout Roll control en contrant les inclinaisons, il met à cabrer l appareil. Gouffre l'exécution Planifier Spécifier Exécuter Buts Mon Comparer Interpréter Percevoir "j'ai les commans" Cavalry charge Planifier Autopilot commands Spécifier Exécuter Buts Sistick commands Mon Figure 4. Cycles STL l action 472.755/92 Issue du 4 PF Comparer Interpréter Percevoir Gouffre l'évaluation PRIM (1) (2) (3) STA... SEC (1) (2) P5 : RECHERCHE DU PROBLÈME (OU ABDUCTION) Le cycle l action est une simplification la réalité mais constitue cependant un cadre utile pour comprendre les actions humaines. En particulier, en cas fonctionnement inattendu, les utilisateurs remettent en cause les éléments afférents aux concepts cités par Norman : signifiants, rétroactions, notifications. C est notamment durant ces situations qu ils cherchent à comprendre les causes s notifications présentes. Ainsi, il est attendu s pilotes qu ils explorent la nature du problème pour intifier les actions permettant d y remédier, voire d éventuelles procédures d urgences à appliquer. Il est alors prévu que l équipage détectera l anomalie, qu il «fera sens» éventuellement cette détection [...] A partir s informations disponibles à l ECAM, l équipage doit analyser et confirmer la nature la défaillance avant d entreprendre toute action traitement la panne [...] L application règles suppose non seulement leur connaissance, mais aussi la reconnaissance leurs conditions d applicabilité, et donc une bonne intification plus une certaine interprétation l anomalie. La construction d une réponse par appel aux connaissances suppose une incorporation l anomalie dans la représentation mentale la situation, qui peut passer par une struction/reconstruction celle-ci, très coûteuse en ressources et chronophage. [...] Ainsi, la perception correcte la situation par un équipage, qui permet d améliorer la fiabilité et la rapidité diagnostic et décision, est liée non seulement à la manière dont la situation est présentée à cet équipage (interfaces, paramètres) mais aussi à sa formation et à son expérience. (p108) SPLRS 2, 4,5 NORM 3 PRIM FAIL SPLRS 3, 66

67 Un processus d abduction L activité que doit conduire le PNF est un processus d abduction : «le processus permettant d expliquer un phénomène ou une observation à partir certains faits, événements ou lois. [...] Dans le domaine médical par exemple, le diagnostic final explique les signes et les symptômes d un patient en supposant un dysfonctionnement tel qu une maladie ou une fracture» [11]. Le BEA exprime les éléments nécessaires à l aboutissement d un tel processus : [il faut] que [l]es signes [du problème] soient crédibles et pertinents ; [...] que les indications disponibles relatives à l anomalie soient très rapiment intifiables afin que les éventuelles actions immédiates mémoire visant à stabiliser la situation soient déclenchées, ou que l intification la procédure applicable soit faite correctement. En particulier, il est important que les interfaces habituellement porteuses s informations d anomalie affichent ou du moins permettent ce diagnostic initial, compte tenu s compétences minimales attendues d un équipage. [...] qu il n y ait pas signaux ou d informations disponibles suggérant s actions différentes ou incitant l équipage à une reconstruction préalable la compréhension la situation. (p198) Les pilotes cherchent donc à éliminer s signifiants douteux, ou à chercher s cohérences entre les signifiants, à comprendre les conséquences leurs actions, voire à agir pour tester s hypothèses. Crédibilité s signifiants L alarme STALL se déclenche une première fois (STALL 1) dès le débrayage du PA pendant 2 secons. De telles activations [ l alarme décrochage STALL 1] sont la conséquence l augmentation locale l incince ; elles sont donc transitoires et se manifestent généralement par une alarme tronquée (seule la voix synthétique «STALL, STALL» résonne, parfois incomplète). Les événements antérieurs étudiés (alarme décrochage dans le cadre d une anomalie vitesse en croisière) montrent cependant que d autres équipages n ont pas réagi comme attendu à la proximité du décrochage et ont eu tendance à considérer l alarme comme non pertinente. De ce fait, il faut considérer que le comportement l équipage AF 447 est probablement reproductible en ce qui concerne la non-réaction à l alarme STALL 1. De telles activations furtives peuvent paraître inappropriées et nuire à la crédibilité globale d une alarme qui n est quasiment jamais rencontrée par les équipages en qualification type, en vol ou en entraînement. (p195) Les activations furtives l alarme après la déconnexion du pilote automatique ont pu amener l équipage à douter sa crédibilité. De plus, la présence du directeur vol conduisant à afficher une assiette à cabrer a pu conforter le PF dans l idée que l alarme décrochage n était pas pertinente. Lors s événements antérieurs étudiés, les équipages ont fréquemment fait part leurs doutes sur la pertinence l alarme. (p187) Invisibilité s signifiants L équipage est uniquement informé s conséquences du déclenchement ces surveillances : déconnexion du PA et l A/THR, passage en loi alternate, etc. Aucun message panne ne conduit à intifier l origine ces autres pannes, le rejet s ADR et s mesures vitesse en particulier. (p194) Incompréhension s conséquences Cependant, le PF a pu assimiler l activation l alarme [STALL] à une conséquence la réduction poussée qu il avait appliquée quatre secons plus tôt ; il aurait alors appliqué la pleine poussée pour revenir à la situation antérieure. Quelques secons plus tard, le PF a verbalisé «je suis en TOGA, hein?». Soit il a douté d avoir placé les commans poussée dans le cran TOGA [poussée assurant une montée sûre à basse altitu] comme il en avait l intention, soit il n a pas compris pourquoi cette action était inefficace pour arrêter l alarme décrochage. Ce second cas indiquerait alors que le PF a eu une représentation erronée du modèle vol l avion, espérant une efficacité la poussée TOGA à haute altitu et une assiette douze grés, similaire à celle délivrée dans les basses couches. Le résultat infructueux ses actions a peut-être renforcé sa méfiance vis-à-vis l alarme. (p187) Actions pour tester s hypothèses Les ux pilotes exécutent s actions afin confirmer ou d infirmer s hypothèses. La désactivation la fonction THRUST LOCK par le PF est le signe d une recherche d information. Le PF a donc pu être saturé par son investissement immédiat et naturel dans la tentative comprendre la situation, venu s ajouter à sa charge déjà élevée pilotage. (p182) Le PNF a quant à lui actionné le système d antigivrage la voilure après avoir lu l ECAM, ce qui laisse penser qu il a alors perçu une problématique givrage fort. Le bruit s cristaux glace sur le pare-brise, assimilé à la pluie par d autres équipages, a pu le conforter dans la perception d un risque associé. Les symptômes perçus ont pu apparaître à l équipage comme s anomalies complémentaires à celle s indications vitesse et sembler composer un syndrome global beaucoup plus complexe que la seule perte s indications anémométriques. (p183) Il a également agi sur le rotacteur ATT/HDG et verbalisé cette action («je te mets en ATT...»). Ce changement source inertielle, qui a posteriori n était pas nécessaire, peut indiquer que son diagnostic sur la panne n était pas complètement délimité. Pour lui, les informations vitesse étaient incohérentes mais il n excluait peut-être pas que les informations inertielles le soient aussi. Après avoir modifié la source ADR, le «qu est-ce que c est que ça» du PNF semble marquer son incompréhension totale face au résultat cette action car la vitesse affichée côté droit était toujours erronée. Il semble alors dépassé. (p184) 67

68 Ce processus d abduction peut être modélisé par le cycle l action. Les pilotes ont effectué plusieurs cycles, durant lesquels ils ont agi et évalué les conséquences leurs actions. Durant ces cycles, en émettant et testant s hypothèses fonctionnement, ils reconstruisent ce qu on appelle un modèle conceptuel. Modèle conceptuel Un modèle conceptuel est une explication, généralement très simplifiée, du fonctionnement d un appareil [15]. Par exemple, les interfaces informatiques reposent sur un modèle conceptuel basé sur s fichiers et s répertoires. Les modèles conceptuels fournissent une compréhension l appareil, s prédictions sur comment l appareil va se comporter, et s solutions quand ce qui se passe ne concor pas avec ce qui a été planifié. Ils sont considérés comme l élément le plus déterminant l utilisabilité s systèmes interactifs [12, 9]. Sans utiliser cette dénomination, le BEA évoque les modèles conceptuels : En l absence d indication vitesse fiable, la compréhension la physique globale du vol à haute altitu par une approche synthétique s bilans énergétiques, équilibres forces, plafonds sustentation et propulsion, aurait pu considérablement air les pilotes à anticiper la dégradation rapi la situation et à prendre à temps la mesure corrective adéquate : la mise en scente. [...] Le Manuel Aéronautique Complémentaire d Air France expose d une façon très détaillée, sur 38 pages, la physique du vol Haute Altitu avec s exemples cas réels. Ces connaissances font également partie l enseignement théorique censé être dispensé à un sta avancé la formation d un futur pilote ligne (ATPL théorique, performances en QT, etc.). La trajectoire en montée, initialement plus ou moins volontaire l équipage mais maintenue trop longtemps, est probablement un indice d une assimilation insuffisante ces notions théoriques. (p190) Les modèles conceptuels décrits dans les manuels techniques peuvent être complexes. Ils doivent cependant être compatibles avec les capacités cognitives s utilisateurs à qui ils sont stinés ainsi qu avec les tâches qui leur incombent dans un contexte donné. Modèle conceptuel l alarme décrochage La surdité inattentionnelle [6] a été évoquée à propos l alarme décrochage, mais le BEA n a pas retenu cette explication. Plusieurs passages du rapport suggèrent plutôt qu un s modèles conceptuels utilisés par les pilotes n était pas suffisant pour comprendre la situation. Jusqu à la fin du vol, les valeurs d incince sont revenues successivement valis et invalis. A chaque fois qu au moins une valeur revenait vali, l alarme décrochage se réactivait, et à chaque fois que les incinces étaient invalis, l alarme s arrêtait. [...] Plusieurs actions à piquer ont provoqué une diminution l assiette et l incince dont les valeurs sont revenues valis, telle sorte qu une action franche à piquer s est traduite par la réactivation l alarme décrochage. Il semble que le PF ait, au moins à ux reprises, réagi par une action à cabrer dont les conséquences ont été une augmentation l incince, une diminution s vitesses mesurées et, par conséquent, l arrêt l alarme décrochage. Jusqu à la fin du vol, aucune valeur d incince vali n a été inférieure à 35. (p196) sons d'incince incince incince > seuil? décrochage marche/arrêt signal d'alarme sons Pitot pression calcul vitesse vitesse vitesse < 60kts? incince invali connexion/déconnexion sous-système alarme signifiant décrochage Figure 5. Modèles conceptuels du fonctionnement l alarme décrochage (non-grisé : modèle du PF, grisé : modèle plus réel) connecté déconnecté arrêt incince > seuil (décrochage) (incince vali) vitesse > 60 kts marche STALL vitesse < 60 kts (incince invali) Figure 6. Modèles conceptuels s états et transitions du signifiant décrochage (non-grisé : modèle du PF, grisé : modèle plus réel) La fig. 5 représente ux modèles conceptuels du fonctionnement l alarme décrochage : le modèle supposé du PF, et un modèle plus réaliste qui illustre l absence signifiant en cas vitesse faible. La fig. 6 montre les modèles conceptuels s états et transitions du signifiant décrochage. Le PF a peut-être pensé que l alarme passe l état «arrêt» à «marche» quand elle retentit, alors qu elle est passée l état «marche-déconnecté» à «marche-connecté». Les ux états «arrêt-connecté» et «marche-déconnecté» ont s signifiants similaires (silence), ce qui les rend indiscernables. Le PF a peut-être constaté que les conséquences ses actions sont inverses ce que prévoit son modèle conceptuel : en général, les actions à piquer sont censées faire sortir du décrochage, alors qu elles ont signalé ici une entrée décrochage. Inférant peut-être que son action à piquer déclenche un décrochage, le PF stoppe son action en cabrant, ce qui coupe l alarme en la faisant passer à l état «marche-déconnecté» (et non à «arrêt»). Mais au-là l ergonomie l alarme, il est probable que la présentation d une information synthétique sur la physique globale du vol (incince, bilan énergétique, domaine vol) pourrait air les pilotes à «faire sens» l alarme et à prendre à temps les mesures correctives adéquates. [...] En résumé les facteurs suivants sont nature à diminuer la performance attendue d un équipage : l absence scription du fonctionnement l alarme décrochage (schéma principe ou ordre granur s seuils, par exemple) dans la documentation ; (p196) En conséquence, le BEA recomman que : l AESA impose revoir les conditions fonctionnement l alarme décrochage en vol lorsque les mesures vitesse sont très faibles. (p218) 68

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back