Dans un précédent post, nous avons évoqué la modélisation imaginée par James REASON pour illustrer de manière simple les circonstances menant à un accident/incident: les fameuses plaques de Reason. Dans ce post, nous allons juste aller un peu plus loin en prenant un exemple concret orienté contrôle aérien.
Quatre plaques de Reason
Dans notre exemple qui ne se veut pas forcément complet, nous considérerons qu’il y a 4 plaques :
- celle représentant le contrôleur aérien[1],
- celle représentant le pilote [2],
- celle représentant le filet de sauvegarde, un système d’alerte côté contrôle aérien (STCA pour Short Term Conflict Alert) permettant d’indiquer au contrôleur qu’il y a un risque de collision éventuel[3],
- celle représentant le T.C.A.S. (Traffic Collision Avoidance System), un système équipant la quasi-totalité des avions de ligne permettant d’éviter une collision si deux avions se rapprochent trop.
Le contexte
Pour le rendre plus concret, nous prendrons un exemple réaliste. En l’occurrence, un vol décolle de Marseille-Provence vers le nord, à destination d’Orly. Il transite rapidement dans les espaces inférieurs de Marseille Radar et est transféré au secteur W en montée vers le niveau 190 pour un niveau planifié de croisière au FL320, le maximum qu’il puisse déposer actuellement sur cette route [4]. Dans notre cas, il existe un vol stable au niveau 270 qui transite tranquillement vers le sud-est vers la région de Saint-Tropez. Ce dernier vol se retrouve « à contresens » ou presque de notre décollage, ce pourquoi le contrôleur aura prévu une clairance initiale au FL260.
Un première mouture qui déboucherait sur un incident
Un petit dialogue innocent
Le dialogue sol-bord pourrait être le suivant :
– Marseille, Chakram Airlines 34 Papa Oscar (CHK-34-PO), Bonjour, passons le niveau 165 en montée vers le niveau 190
– Chakram Airlines 34 P0, Marseille, Bonjour, Montez initialement[5] niveau 2 6 0, direct PIBAT
– Papa Oscar, montons initialement niveau 2 8 0 et direct PIBAT…
Pas si innocent que ça finalement
Quelques minutes plus tard, le vol CHK34PO approche du niveau 260 mais, le contrôleur n’ayant pas entendu que le collationnement du pilote était incorrect (280 au lieu de 260), il s’attend à voir l’avion stabiliser sous son autre vol au FL270.
Collationnement – une des plaques de Reason
Le collationnement (ou « read back ») consiste à répéter une instruction pour s’assurer que celui qui la reçoit l’a bien comprise. Les instructions devant être répétées sont définies dans la phraséologie. Le contrôleur peut « forcer » un collationnement en le notifiant au pilote. Ce collationnement pourrait jouer le jeu d’une de nos plaques de Reason.
Une sécurité côté contrôle : le filet de sauvegarde ou SCTA
Le filet de sauvegarde se déclenche environ 2 minutes avant que la situation ne devienne « critique ». Ce système ignore que l’avion est supposé s’arrêter au FL260. Il se déclenche donc mais le contrôleur, toujours persuadé que le vol CHK34PO va s’arrêter au fameux niveau, s’occupe de gérer le reste de son trafic que nous supposerons soutenu. En effet, une consigne prévoit normalement, en cas de déclenchement du filet de sauvegarde, que le contrôleur confirme les clairances des avions concernés.
Filet de sauvegarde – une des plaques de Reason
Le filet de sauvegarde français n’est pas renseigné et ne peut donc connaître l’altitude vers laquelle l’avion est autorisé. D’autres pays ont fait un choix différent en saisissant ce niveau. Dans leur cas, le filet ne se déclenchera qu’une fois le niveau autorisé franchi ce qui peut se révéler court pour rattraper la situation. En contrepartie, cette solution permet d’éviter des alertes non pertinentes.
A peu près 1’30 plus tard, le contrôleur constate que l’avion passe le FL260. Avant d’avoir pu l’appeler, le pilote du CHK34PO annonce :
Chakram Airlines 34 Papa Oscar, TCAS Descent !
Cette communication sert à indiquer au contrôle aérien que le TCAS, une sécurité ultime embarquée à bord des avions vient de donner au pilote une instruction de descente. Le préavis du TCAS étant très court, il s’agit là d’éviter de percuter l’autre avion.
La version sans incident…
Les échanges entre les pilotes et le contrôleur aérien pourrait ressembler à :
– Marseille, Chakram Airlines 34 Papa Oscar (CHK-34-PO), Bonjour, passons le niveau 165 en montée vers le niveau 190
– Chakram Airlines 34 P0, Marseille, Bonjour, Montez initialement niveau 2 6 0, direct PIBAT
– Papa Oscar, montons niveau 2 8 0 et direct PIBAT…
– Papa Oscar, Négatif, montez niveau 2 6 0, je répète 2 6 0, cause trafic
– Papa Oscar, désolé, nous montons vers le niveau 260, 2 6 0
A l’inverse de la version précédente, le contrôleur détecte l’erreur du pilote au travers de son collationnement. Il lui répète alors l’instruction correcte. Le pilote accuse réception de l’instruction correcte.
Si nous reprenons le cheminement amenant à l’incident, même en restant sur l’hypothèse que le contrôleur n’a pas détecté l’erreur du pilote au travers de son collationnement, il serait encore possible d’éviter l’incident en rappelant la clairance lorsque le filet de sauvegarde se déclenche côté contrôle.
Cette procédure a justement été mise en place suite à des déclenchements de filets non suivis d’action et se terminant par des incidents. Rapport à nos plaques de Reason, le fait de devoir confirmer la clairance lors d’un déclenchement de filet de sauvegarde pourrait être vu comme un moyen de réduire l’un des trous dans la plaque du « contrôleur aérien ».
De l’intérêt de multiplier les plaques de reason…
Si nous reprenons notre cas débouchant sur l’incident, nous pourrions nous dire que le TCAS a sauvé la situation. Il faut se rappeler que l’obligation d’emport de ce système n’est pas si ancien que cela. Nous avons donc là, typiquement, l’illustration de l’apport en terme de sécurité d’une nouvelle plaque dans le système.
Dans la même veine, il existe des sécurités en place dans certains pays (Maastricht UAC par exemple) qui permettent d’alerter le contrôle aérien quand le pilote n’a pas saisi la même valeur que celle saisie par le contrôleur[6]. Dans notre illustration, avec ce système, le contrôleur aurait une alarme sur le niveau de vol autorisé du vol CHK34PO. Il aurait ainsi pu constater l’erreur de l’équipage. Là, encore, nous avons un exemple de plaques de Reason supplémentaires permettant de renforcer la sécurité.
- [1]Dans le contexte choisi pour notre exemple, les contrôleurs aériens travaillent en binômes ce qui permet une vérification croisée (ou cross-check) et réduit d’autant les risques d’erreur.↩
- [2]Les équipages fonctionnent en réalité sur une base de deux individus assumant des fonctions différentes. Là, encore, travailler en binômes permet des vérifications croisées (cross-check).↩
- [3]Le filet de sauvegarde ou STCA (Short Term Conflict Alert) permet de détecter un risque de collision entre deux volumes de sécurité autour des avions avec un horizon temporel de l’ordre de trois minutes. Ce délai est suffisant pour permettre au contrôleur aérien de corriger son éventuelle erreur. Par contre, les 30 dernières secondes seront plutôt exploitées par le TCAS.↩
- [4]Le niveau maximum planifié ne signifie pas que ce soit le niveau optimum pour le vol. Si le trafic le permet, il peut arriver que le vol soit autorisé plus haut.↩
- [5]Le « initial » permet de signifier au pilote que ce n’est qu’une étape et que le contrôleur a bien connaissance que le vol a demandé un niveau de croisière plus élevé.↩
- [6]Il s’agit de la surveillance enrichie. Les avions via l’ADS-B, par exemple, transmettent des données comme leur vitesse, le niveau sélectionné dans l’avion, etc…↩