OPINION. « Airbus A320 : le jour où Airbus a décidé de ne pas devenir Boeing »
latribune.fr

Charles Cuvelliez et Jean-Jacques Quisquater
DR
latribune.fr

Charles Cuvelliez et Jean-Jacques Quisquater
DR
Par Charles Cuvelliez et Jean-Jacques Quisquater (*)
On imagine la difficulté qu’a eue Airbus à prendre la décision radicale d’immobiliser les Airbus A320, non pas pour remplacer le logiciel qui a posé problème lors du vol JetBlue le 30 octobre dernier par une version corrigée mais pour réinstaller l’ancienne version. Airbus devra donc à nouveau immobiliser ses A320 (au fil de l’eau cette fois) pour réinstaller la version corrigée.
Le logiciel concerné pilote l’Elevator Aileron Computer (ELAC), un calculateur de commandes de vol équipant l’A320 — le modèle d’avion le plus vendu au monde. Il interprète les actions du pilote et les transforme en mouvements précis des gouvernes de profondeur (pour le tangage, soit l’orientation du nez de l’appareil) et des ailerons (pour le roulis), à partir des données issues de nombreux capteurs. Il se met entre le pilote et l’avion pour corriger toute manœuvre dangereuse. Ce principe, connu sous le nom de fly-by-wire, c’est ce qui fait (notamment) des vols commerciaux les moyens de transport les plus sûrs. L’A320 fut d’ailleurs pionnier dans cette technologie.
La version L104 du logiciel, celle qui a donné des sueurs froides au vol de JetBlue qui s’est mis baisser en altitude sans crier gare, avait pour objectif de maintenir ces protections même en conditions dégradées, en cas de défaillance d’un ou plusieurs systèmes de sécurité — perte d’ordinateurs, de capteurs ou panne hydraulique, par exemple. L’idée est que L104 puisse retarder le décrochage et conserver l’appareil dans son domaine de vol autorisé. Il y avait aussi une élégante protection additionnelle contre les doubles pannes (la perte simultanée des deux ordinateurs de bord appelés Flight Augmentation Computers ou FAC essentiels à la stabilité, la coordination et la protection automatique du vol).
Mais voilà que s’en mêle un invité surprise : de forts rayonnements solaires qui peuvent altérer les données de vol traitées par les systèmes de bord, provoquant des mouvements incontrôlés des gouvernes de profondeur. Car Airbus a dû pousser les investigations très loin pour qu’un mois après l’incident JetBlue du 30 octobre, il rappelle tous les avions après s’être rendu compte qu’un tel phénomène rarissime de corruption de donnés pourrait même pousser l’appareil au-delà de ses limites structurelles et le faire décrocher.
En cause : les éruptions solaires, qui émettent un rayonnement ionisant susceptible de corrompre les données électroniques. Ce type d’anomalie, connue sous le nom d’« événement unique » (SEE), se produit lorsqu’une particule chargée — proton ou rayon cosmique — heurte un semi-conducteur et perturbe son fonctionnement. Les effets peuvent prendre diverses formes : un pic de tension (SET), un basculement de bit (SEU) ou une interruption complète d’un système (SEFI). Le champ des valeurs possibles des données avant et après tous les cas possibles de corruption a dû être soigneusement analysé.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Le phénomène est connu : les satellites y sont forcément très exposés. Pour s’en prémunir, les constructeurs multiplient les protections matérielles et logicielles — blindages, cages de Faraday, redondance des calculs et algorithmes correcteurs sont les protections matérielles et logicielles qui les protègent. On joue aussi sur le caractère ponctuel (et non permanent) de ces perturbations en étalant dans le temps les mesures de protection.
On devra comprendre pourquoi les deux calculateurs de commandes de vol (ELAC) ont pu être simultanément touchés lors du vol JetBlue et peuvent l’être donc à tout moment dans tout autre A320. Normalement, l’un pilote, l’autre surveille et reprend la main en cas de défaillance. Si la corruption de données n’a pas été interprétée comme une panne, l’ELAC de réserve n’avait pas à se substituer au premier. Faute d’un mécanisme de « vote » — qui supposerait un troisième ELAC pour départager les décisions —, le système ne pouvait pas trancher qui a fait l’erreur sur deux données différentes.
Il est rare, dans le domaine de la sécurité logicielle, de revenir à une version précédente pour corriger une vulnérabilité. Un « rollback », comme on dit, n’intervient généralement que lorsque la mise à jour censée renforcer la sécurité s’avère, ironie du sort, exposée à un tout autre risque. Plus souvent, un retour arrière se justifie par des problèmes de compatibilité de la nouvelle version avec d’autres systèmes constatés après coup, mais alors la sécurité est la victime. Ici, c’est la sécurité qui est à l’origine du rollback.
Contrairement à Boeing, qui n’avait réagi qu’après deux accidents meurtriers du 737 MAX, Airbus choisit d’agir dès le premier signal faible. Le constructeur a détecté un risque inédit : une corruption de données causée par le rayonnement solaire, susceptible d’amener l’appareil à franchir ses limites structurelles. En comparaison, le risque que la version L104 visait initialement à réduire est connu, maitrisable par un pilote.
Entre un risque inconnu, aléatoire et un risque connu maitrisable aujourd’hui, améliorable dans le futur, Airbus a choisi. Il faut savoir écouter les signaux précurseurs pour éviter les accidents. Airbus l’a fait et la bourse a été bien ingrate avec elle.
Comme souvent dans l’histoire de l’aviation, chaque catastrophe a été précédée de signaux ignorés. Cette fois, Airbus a préféré les écouter — même si, paradoxalement, la Bourse ne semble pas lui en savoir gré.
______
(*) Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université de Bruxelles Jean-Jacques Quisquater, Ecole Polytechnique de Louvain, Université de Louvain et MIT
latribune.fr