Rapport d'enquête aéronautique A98H0003

2.14.3  Conception du RDB et analyses nécessaires

Dans le cadre du processus de certification, le RDB devait faire l'objet d'une analyse de sécurité, conformément aux dispositions de la FAR 25.1309. Cette analyse évalue les dangers qui se rattachent à la fois au fonctionnement du système et aux modes de défaillance. Les efforts qu'exige une telle analyse varient d'une évaluation qualitative, comme une évaluation des risques fonctionnels reposant sur le jugement d'un ingénieur expérimenté, à une évaluation quantitative complexe, comme une analyse des effets des modes de défaillance, laquelle comporte une analyse numérique des probabilités. La criticité fonctionnelle du RDB, établie par le demandeur du STC dans sa lettre d'intention adressée à la FAA, avait été qualifiée de « non essentielle, non requise »[117]. Une telle catégorisation doit permettre la réalisation d'une analyse qualitative reposant sur le jugement préalable d'un ingénieur et sur l'expérience préalable satisfaisante.

D'après l'analyse qualitative réalisée par SBA, l'impact opérationnel de ce STC sur la charge de travail et les procédures dans le poste de pilotage avait été jugé minime ou inexistant pendant toute la durée du projet du RDB. Par ailleurs, les autres parties qui avaient pris part à la conception, à la certification, à l'installation, à l'essai et à l'exploitation du réseau avaient toutes présumé que la désignation « non essentielle, non requise » confirmait que, peu importe qu'il soit défectueux ou qu'il fonctionne normalement, le RDB n'aurait aucun effet préjudiciable sur le pilotage de l'avion. Voilà pourquoi les seuls essais auxquels on avait soumis le RDB avaient été l'essai de brouillage électromagnétique et de radiofréquences ainsi que l'essai de défaillance du système. Ni l'un ni l'autre de ces essais n'était nécessaire pour déterminer si le RDB était alimenté de telle sorte qu'il entraverait une procédure d'urgence critique, comme celle qui consiste à débrancher les services électriques dans la cabine.

La désignation « non essentielle, non requise » a sans doute créé un climat où les précautions et les défenses normales qui auraient permis de déceler le vice de conception ont été limitées; toutefois, il y a également des lacunes dans la FAR 25.1309 susceptibles de permettre à certains vices de conception critiques de passer inaperçus.

Les dispositions de la FAR 25.1309 stipulent qu'il faut procéder à l'analyse de sécurité d'un système de manière à vérifier l'impact de son fonctionnement en service normal et en cas de défaillance. La première étape de ce processus est une évaluation de criticité fonctionnelle qui se concentre en général sur les conséquences d'une défaillance du système. Lorsque la conséquence d'une défaillance de système est jugée « minime », comme c'est le cas de la plupart des installations de divertissement de bord, l'analyse de sécurité du système est jugée complète. Toutefois, si les conséquences de la défaillance d'un système sont jugées « mineures » ou « majeures », uniquement parce que le système est capable de fonctionner correctement et de tomber en panne sans conséquences graves, cela ne confirme pas que le système a été intégré à l'avion en toute sécurité.

En général, une analyse d'intégration quantitative ou détaillée est réservée à la FAR 25.1309 aux systèmes dont les modes de défaillance sont réputés avoir une incidence « majeure » sur la sécurité des vols et des atterrissages. Ce processus sert à classer officieusement un système donné comme étant soit « essentiel », soit « non essentiel »; c'est pourquoi le RDB installé à bord de la flotte de MD-11 de Swissair portait la désignation « non essentielle, non requise ». De ce fait, aucun minimum d'analyse d'« intégration » quantitative n'était requis par la FAR 25.1309 pour assurer la compatibilité entre le système et les procédures de certification de type de l'aéronef, comme le délestage d'urgence. Une telle analyse aurait permis de savoir si le système avait été intégré d'une manière conforme au certificat de type du MD-11.


[117]    L'expression « sans danger » est employée dans la procédure canadienne d'approbation de type supplémentaire pour véhiculer l'idée que cette approbation de type supplémentaire ne fera pas courir de risques à la conception de type d'un aéronef.

Précédent | Suivant