Plaques de Reason, un exemple concret

Dans un précédent post, nous avons évoqué la modélisation imaginée par James REASON pour illustrer de manière simple les circonstances menant à un accident/incident: les fameuses plaques de Reason. Dans ce post, nous allons juste aller un peu plus loin en prenant un exemple concret orienté contrôle aérien.

Quatre plaques de Reason

Dans notre exemple qui ne se veut pas forcément complet, nous considérerons qu’il y a 4 plaques :

  • celle représentant le contrôleur aérien[1],
  • celle représentant le pilote [2],
  • celle représentant le filet de sauvegarde, un système d’alerte côté contrôle aérien (STCA pour Short Term Conflict Alert) permettant d’indiquer au contrôleur qu’il y a un risque de collision éventuel[3],
  • celle représentant le T.C.A.S. (Traffic Collision Avoidance System), un système équipant la quasi-totalité des avions de ligne permettant d’éviter une collision si deux avions se rapprochent trop.

Le contexte

Pour le rendre plus concret, nous prendrons un exemple réaliste. En l’occurrence, un vol décolle de Marseille-Provence vers le nord, à destination d’Orly. Il transite rapidement dans les espaces inférieurs de Marseille Radar et est transféré au secteur W en montée vers le niveau 190 pour un niveau planifié de croisière au FL320, le maximum qu’il puisse déposer actuellement sur cette route [4]. Dans notre cas, il existe un vol stable au niveau 270 qui transite tranquillement vers le sud-est vers la région de Saint-Tropez. Ce dernier vol se retrouve « à contresens » ou presque de notre décollage, ce pourquoi le contrôleur aura prévu une clairance initiale au FL260.

Une illustration de notre cas servant d'exemple

Une petite illustration très basique et synthétique de la situation qui sert de support à notre exemple.

Un première mouture qui déboucherait sur un incident

Le dialogue sol-bord pourrait être le suivant :

– Marseille, Chakram Airlines 34 Papa Oscar (CHK-34-PO), Bonjour, passons le niveau 165 en montée vers le niveau 190

– Chakram Airlines 34 P0, Marseille, Bonjour, Montez initialement[5] niveau 2 6 0, direct PIBAT

– Papa Oscar, montons initialement niveau 2 8 0 et direct PIBAT…

Quelques minutes plus tard, le vol CHK34PO approche du niveau 260 mais, le contrôleur n’ayant  pas entendu que le collationnement[6] du pilote était incorrect (280 au lieu de 260), il s’attend à voir l’avion stabiliser sous son autre vol au FL270.

Le filet de sauvegarde se déclenche environ 2 minutes avant que la situation ne devienne « critique ». Comme ce système ignore que l’avion est supposé s’arrêter au FL260[7], il se déclenche mais le contrôleur, toujours persuadé que le vol CHK34PO va s’arrêter au fameux niveau, s’occupe de gérer le reste de son trafic que nous supposerons soutenu. En effet, s’il n’était pas soutenu, une consigne prévoit, en cas de déclenchement du filet de sauvegarde, que le contrôleur confirme les clairances des avions en évolution concernés par l’alarme…

A peu près 1’30 plus tard, le contrôleur constate que l’avion passe le FL260 et avant d’avoir pu l’appeler, le pilote du CHK34PO annonce :

Chakram Airlines 34 Papa Oscar, TCAS Descent !

Cette communication sert à indiquer au contrôle aérien que le TCAS, une sécurité ultime embarquée à bord des avions vient de donner au pilote une instruction de descente pour éviter le percuter l’autre avion.

La version sans incident…

Les échanges entre les pilotes et le contrôleur aérien pourrait ressembler à :

– Marseille, Chakram Airlines 34 Papa Oscar (CHK-34-PO), Bonjour, passons le niveau 165 en montée vers le niveau 190

– Chakram Airlines 34 P0, Marseille, Bonjour, Montez initialement niveau 2 6 0, direct PIBAT

– Papa Oscar, montons niveau 2 8 0 et direct PIBAT…

– Papa Oscar, Négatif, montez niveau 2 6 0, je répète 2 6 0, cause trafic

– Papa Oscar, désolé, nous montons vers le niveau 260, 2 6 0

A l’inverse de la version précédente, le contrôleur détecte l’erreur du pilote au travers de son collationnement et répète l’instruction correcte. Le pilote accuse réception de l’instruction correcte.

Si nous reprenons le cheminement amenant à l’incident, même en restant sur l’hypothèse que le contrôleur n’a pas détecté l’erreur du pilote au travers de son collationnement, il serait encore possible d’éviter l’incident en rappelant la clairance lorsque le filet de sauvegarde se déclenche côté contrôle. Cette procédure a justement été mise en place suite à des déclenchements de filets non suivis d’action et se terminant par des incidents. Rapport à nos plaques de Reason, le fait de devoir confirmer la clairance lors d’un déclenchement de filet de sauvegarde pourrait être vu comme un moyen de réduire l’un des trous dans la plaque du « contrôleur aérien ».

De l’intérêt de multiplier les plaques de reason…

Si nous reprenons notre cas débouchant sur l’incident, nous pourrions nous dire que la présence du TCAS a sauvé la situation or il faut se rappeler que l’emport de ce système n’est pas si ancien que cela. Nous avons donc là, typiquement, l’illustration de l’apport en terme de sécurité d’une nouvelle plaque dans le système.

Dans la même veine, il existe des sécurités en place dans certains pays (Maastricht UAC par exemple) qui permettent d’alerter le contrôle aérien quand le pilote n’a pas saisi la même valeur que celle saisie par le contrôleur[8]. Dans notre exemple d’illustration, avec ce système, le contrôleur aurait eu une alarme sur le niveau de vol clairé du vol CHK34PO et il aurait pu constater l’erreur de l’équipage. Là, encore, nous avons un exemple de plaques de Reason supplémentaire permettant de renforcer la sécurité.

  1. [1]Dans le contexte choisi pour notre exemple, les contrôleurs aériens travaillent en binômes ce qui permet une vérification croisée (ou cross-check) et réduit d’autant les risques d’erreur.
  2. [2]Les équipages fonctionnent en réalité sur une base de deux individus assumant des fonctions différentes. Là, encore, travailler en binômes permet des vérifications croisées (cross-check).
  3. [3]Le filet de sauvegarde ou STCA (Short Term Conflict Alert) permet de détecter un risque de collision entre deux volumes de sécurité autour des avions avec un horizon temporel de l’ordre de trois minutes. Ce délai est suffisant pour permettre au contrôleur aérien de corriger son éventuelle erreur. Par contre, les 30 dernières secondes seront plutôt exploitées par le TCAS.
  4. [4]Le niveau maximum planifié ne signifie pas que ce soit le niveau optimum pour le vol. Si le trafic le permet, il peut arriver que le vol soit autorisé plus haut.
  5. [5]Le « initial » permet de signifier au pilote que ce n’est qu’une étape et que le contrôleur a bien connaissance que le vol a demandé un niveau de croisière plus élevé.
  6. [6]Le collationnement (read back en Anglais) consiste à répéter une instruction pour s’assurer que celui qui l’a donné a bien été compris par celui qui l’a reçu. Les instructions devant être répétées sont définies dans la phraséologie. Le contrôleur peut « forcer » un collationnement en le notifiant au pilote.
  7. [7]Le filet de sauvegarde français n’est pas renseigné et ne peut donc connaître l’altitude vers laquelle l’avion est autorisé. D’autres pays ont fait un choix différent en saisissant ce niveau. Dans leur cas, le filet ne se déclenchera qu’une fois le niveau autorisé franchi ce qui peut se révéler court pour rattraper une situation qui dérape. En contrepartie, cette solution permet d’éviter des alertes non pertinentes.
  8. [8]Il s’agit de la surveillance enrichie. Les avions via l’ADS-B, par exemple, transmettent des données comme leur vitesse, le niveau sélectionné dans l’avion, etc…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *