Aero-News (Airbus) – Fin octobre, Airbus demande aux compagnies aériennes de maintenir au sol 6 000 A320, à la suite d’un incident survenu en vol. L’entreprise l’explique par une mise à jour logicielle qui serait plus sensible aux rayonnements cosmiques. Si ce genre de problèmes existe, ils sont cependant détectés immédiatement en temps normal.
Le 30 octobre dernier, un vol de Cancún vers le New Jersey de la compagnie JetBlue a rapidement chuté en plein vol, avant que les pilotes puissent rétablir sa trajectoire, au bout de quelques secondes. Après un atterrissage en urgence en Floride, quelques passagers ont reçu des soins. À la suite de cet incident, Airbus a dû changer en urgence un logiciel de pilotage dans 6000 appareils de la famille A320. On a évoqué une « perturbation par une particule isolée » et le rôle des éruptions solaires. Qu’en est-il ?
Le palliatif proposé par Airbus est de faire revenir la version de certains logiciels de pilotage à une version antérieure. Sur les forums spécialisés, on spécule sur les causes techniques de ce dysfonctionnement, sur d’éventuelles fonctionnalités ajoutées entre ces deux versions, qui seraient insuffisamment protégées contre les effets que des rayonnements cosmiques peuvent avoir dans les composants informatiques. Il vaut mieux, toutefois, attendre le rapport officiel de l’enquête sur l’incident. En attendant, nous pouvons revenir sur l’explication invoquée et en quoi elle peut surprendre.
Les rayons cosmiques, ennemis de nos systèmes électroniques
La Terre est en permanence bombardée par des particules venant de l’espace – du Soleil ou de corps plus lointains. La plupart de ces particules sont déviées par le champ magnétique terrestre, une autre partie est absorbée ou transformée par l’atmosphère, mais certaines d’entre elles peuvent atteindre la surface terrestre. Elles forment une partie de la radioactivité naturelle, et sont plus abondantes en périodes d’éruption solaire.
Ces particules arrivant de l’espace ont des effets variés. Dans les régions polaires, moins protégées par le champ magnétique terrestre, elles provoquent de magnifiques aurores dans le ciel de nuit. On leur attribue également les flashes lumineux que les astronautes perçoivent dans leurs yeux. Comme il s’agit de rayonnements ionisants, les particules reçues peuvent avoir des effets sur la santé. Ainsi, Thomas Pesquet, en six mois de séjour dans la station spatiale internationale, a bien dépassé le quota annuel maximum d’exposition aux radiations permis pour un travailleur français.
Les particules issues de l’espace peuvent provoquer des dysfonctionnements dans les circuits électroniques. Par exemple, dans les années 1990, des composants électroniques de puissance, notamment conçus pour des trains, grillaient pour des raisons mystérieuses. Pour trier parmi les diverses hypothèses envisagées, on a essayé ces composants à la surface et dans une mine de sel, sous 140 mètres de roche : les problèmes ne se produisaient pas dans la mine ! Une fois le problème identifié, on a pu concevoir des composants et des modes d’utilisation beaucoup moins vulnérables.
Qu’est-ce qu’une perturbation par une particule isolée ?
Il est plus courant que, plutôt que de griller un composant, les particules modifient une donnée qui y est stockée. Les ordinateurs retiennent les informations sous forme de 0 et de 1, et une particule peut provoquer le basculement d’un 0 en 1 ou l’inverse, ce qu’on appelle une « perturbation par une particule isolée », ou single event upset en anglais.
En 2003, dans la commune belge de Schaerbeek, une liste a obtenu lors d’une élection un excès de précisément 4 096 voix, ce qui correspond exactement au basculement d’un 0 en 1 à l’intérieur d’un nombre écrit en binaire. Un tel basculement s’expliquerait par un single event upset.
Bien évidemment, et notamment pour les applications aérospatiales, particulièrement exposées, on a développé des parades. Certaines parades sont matérielles : par exemple, les mémoires vives peuvent être munies de codes correcteurs d’erreurs fondés sur du matériel spécifique pour coder et décoder très rapidement. C’est habituellement le cas de la mémoire vive des serveurs, les machines qui stockent des données dans les data centers, mais pas des ordinateurs de bureau ou des portables, du fait de leur coût. Ces codes permettent de corriger à coup sûr certaines erreurs et, dans d’autres cas, d’au moins signaler qu’il s’est passé quelque chose d’incorrect.
D’autres parades sont logicielles : procéder régulièrement à certaines vérifications, dupliquer des données à conserver sur de longues durées, éviter de garder trop longtemps des données dans des mémoires vulnérables, enregistrer certaines informations importantes d’une façon telle que le basculement d’un chiffre fournit une valeur absurde, donc détectable… Les possibilités sont nombreuses. Il y a par ailleurs des protocoles de test, y compris consistant à placer les circuits dans le faisceau d’un accélérateur de particules (grand instrument de sciences physiques).
Des commandes de vol électriques touchées par une panne
Voyons maintenant les implications pour l’aviation. La transmission des ordres des pilotes de ligne à leurs gouvernes, les parties mobiles de l’avion qui permettent de contrôler sa trajectoire, se faisait historiquement par des systèmes de câbles, de poulies ou de circuits hydrauliques assez compliqués. Il faut en plus assurer la redondance, c’est-à-dire prévoir plusieurs modes de transmission en cas de panne. Depuis les années 1980, les nouveaux modèles d’avions utilisent des commandes de vol électriques, c’est-à-dire que ces transmissions mécaniques sont remplacées par des câblages et des calculateurs électroniques.
Ces calculateurs diminuent la charge de pilotage (ils automatisent des actions que les pilotes devraient sinon faire manuellement) ainsi que la sécurité. Ils peuvent vérifier si les pilotes commandent une manœuvre qui sortirait l’avion du domaine des manœuvres qu’il peut faire en sécurité, et peuvent par exemple prévenir le décrochage. La panne qui a valu le rappel des avions Airbus concerne un calculateur appelé ELAC, qui commande les élévateurs et les ailerons, qui sont respectivement des gouvernes situées sur le stabilisateur arrière de l’avion et sur l’arrière du bout des ailes.
Les commandes de vol sont particulièrement sécurisées
Un point qui peut tout d’abord nous rassurer est que les problèmes de particules venues de l’espace se produisent plutôt à haute altitude, lorsqu’il y a moins d’atmosphère protectrice, alors que les étapes les plus dangereuses dans un vol sont plutôt le décollage et l’atterrissage. Ceci n’excuse cependant pas le dysfonctionnement constaté. Voyons un peu pourquoi ce problème n’aurait pas dû se produire.
Les calculateurs informatisés d’aviation civile sont classés, suivant les standards internationaux de l’aviation civile, en cinq niveaux de criticité, selon la sévérité des conséquences possibles d’un dysfonctionnement : du niveau A, où un dysfonctionnement peut provoquer une catastrophe aérienne, au niveau E, où il n’y aurait pas de conséquences pour la sécurité de l’aéronef. Les commandes de vol électriques sont du niveau A, elles sont donc soumises aux normes les plus sévères. On peut donc raisonnablement supposer que les commandes de vol des A320 sont équipées de mécanismes de détection et/ou de remédiation de dysfonctionnements, y compris dus aux radiations.
Sur les Airbus A330/A340, par exemple, il existe deux niveaux de commande de vol, primaires et secondaires. Il y a trois boîtiers de commandes primaires, et lorsqu’un boîtier a subi un problème, il est temporairement désactivé – ce n’est pas grave, car il en a deux autres pour le relayer. S’il y avait un problème générique sur les commandes primaires, on pourrait fonctionner avec les commandes secondaires, qui utilisent d’autres types de composants.
Chaque boîtier de commande de vol primaire consiste en deux calculateurs, l’un qui commande les gouvernes, l’autre qui surveille celui qui commande – ils doivent produire environ les mêmes résultats, sinon le système détecte que quelque chose ne va pas. Normalement, sur un tel système, en cas de dysfonctionnement d’un des calculateurs, le problème est rapidement détecté, le boîtier est désactivé, on passe sur un autre et une chute comme celle qui s’est passée en octobre est impossible.
Pourquoi les systèmes n’ont-ils pas détecté le problème ?
J’ai personnellement travaillé sur l’analyseur statique Astrée, un outil destiné à vérifier que des logiciels de contrôle ne se mettent jamais dans des situations d’erreur. Il a notamment été utilisé par Airbus sur ses commandes de vol électriques. J’ai eu l’occasion, au fil des années, d’apprécier le sérieux et la volonté de cette société de se doter d’approches à la pointe de l’état de l’art en matière de technologies logicielles, notamment de vérification formelle.
Plus récemment, j’ai également travaillé sur des contre-mesures à des erreurs de fonctionnement informatique provoquées volontairement à l’aide de rayonnements électromagnétiques. Il existe en effet la possibilité que des personnes induisent volontairement des pannes afin de les exploiter dans un but frauduleux, c’est donc nécessaire de travailler à prévenir ces tentatives pour des cartes à puce et d’autres équipements sécurisés.
L’hypothèse qu’il s’agisse bien d’une perturbation par une particule isolée reste plausible, mais il est surprenant qu’il ait fallu plusieurs secondes pour traiter le problème. Le système de sécurité du boîtier de commande affecté par l’irradiation aurait dû détecter l’incident, le boîtier touché aurait dû être automatiquement désactivé et l’avion basculé sur un autre, en secours. Il faut donc attendre d’autres éléments pour déterminer si c’est la bonne explication, et comment cela a pu alors se produire, ou si d’autres scénarios sont à envisager.
