jeudi 3 avril 2014

L'histoire des commandes de vol électriques (2/3)

Malgré la grande réussite des commandes de vol de Concorde, il ne faut pas en rester là ! Ce n'est que la première génération de CDVE !

L'A320, la naissance d'une légende

En 1978, la SNIAS obtient le financement de 10 heures d'essais sur Concorde, pour l'équiper d'un mini-manche en, histoire de voir la réaction du pilote. En effet, tant qu'il fallait actionner des câbles, les pilotes avaient besoin d'un grand manche avec un débattement important…mais avec les CDVE, le manche devient un simple potentiomètre, et plus rien de justifie le grand volant de direction. Les essais sont concluants, et l'Aerospatiale renouvellera l'expérience en 1982 sur l'Airbus A300B2 n°3. Il ne s'agit pas à proprement parler de commandes de vol électroniques, car l'expérience est faite en bouclant le mini-manche sur le pilote automatique, ce qui permet de piloter l'avion via le manche. Airbus n'est pourtant pas le premier à faire cette expérience : l'USF l'a déjà faite sur un B-47E modifié, avec un mini-manche en tangage uniquement, entre 1967 et 1969.

Mini-manche monté sur Concorde

Au début des années 70, c'est une autre révolution qui se prépare : le numérique arrive en force, avec l'avènement du circuit-intégré. La NASA est la première à tester un appareil équipé de commandes de vol numériques. Il s'agit d'un F-8 "Crusader" bricolé et équipé d'un ordinateur de guidage d'Apollo, construit mais non utilisé suite à l'arrêt du programme lunaire !

Le F-8 "Crusader" de la NASA...
Avec à son bord un ordinateur de guidage d'Apollo (34 Ko de mémoire !)


Le F-16 entre en service en 1979, équipé de CDVE, mais avec des calculateurs analogiques, le numérique manquant encore de maturité. Il faudra attendre dix ans de plus et l'arrivée du F-16 Block 40 pour que les calculateurs numériques fassent leur apparition. En France, l'histoire est à peu près identique : le Mirage 2000 sera équipé de calculateurs analogiques sur ses premières versions, et c'est l'arrivée du Mirage 2000D, qui vole début 1991, qui introduira le premier la "révolution numérique" dans l'armée de l'air.

Le mini-manche monté sur Concorde préfigure le "side-stick" d'Airbus

Sur ces deux avions (F-16 et Mirage 2000), le but n'est plus de disposer d'une assistance au pilotage, mais bien de supprimer la timonerie des commandes de vol "classiques" qui est encombrante et demande de la main d'œuvre pour l'entretenir. On estime que sur l'A320, le passage aux CDVE à fait gagner 300kg de câbles, poulies et renvois en tout genre…Mais en plus, on peut exécuter les ordres des pilotes de manière instantanée, tout en tenant compte d'un grand nombre de paramètres extérieurs (altitude, vitesse, dérive due au vent etc…). On voit tout de suite la grande différence avec un système de compensation : il faut que le système soit "intelligent" (j'emploie le mot avec guillemet, car comme tout, l'intelligence est juste une manière de dire "peut synthétiser des informations complexes" et non pas "être créatif"). Il faut donc des logiciels complexes capables de gérer les commandes.

Schéma du pilote automatique sur Mirage 2000C : on voit l'importance des CDVE...

Logiciel…cette grande invention du 20ème siècle si mystérieuse…vous en manipulez tous les jours, et vous savez que un logiciel "ça plante"…que se passe-t-il si un logiciel de commandes de vol plante sur un avion ? Pour faire simple : il n'y a plus d'avion…il n'y a aucun droit à l'erreur : le système doit être parfait.

Mais aucun système n'est parfait...il faut donc s'assurer qu'aucune panne n'aura de conséquence catastrophique  sur l'avion, ou sur la capacité à le piloter. Pour cela il fallait "mesurer" le risque de chaque panne et en évaluer les conséquences. En aéronautique, un événement catastrophique doit avoir une probabilité d'occurrence de 10^-9, c'est-à-dire une chance sur un milliard d'arriver !

Voler en faisant confiance à des ordinateurs ? Comment faire ?


Cette classification des pannes permet de définir ce que l'avion peut supporter. Si une panne se produit toutes les 100 heures de vol, mais qu'elle n'a aucune gravité, on peut faire avec…par contre si cette panne est catastrophique (par catastrophique on entend : qui risque d'endommager l'avion au-delà de toute réparation ou de blesser et/ou tuer des passagers ou membres de l'équipage) alors ce n'est pas acceptable. C'est très schématisé, mais c'est le principe.

Pour l'A320, Airbus prend une décision risquée et très lourde de conséquences : l'avion sera piloté par des calculateurs, et ce sans aucun secours mécanique (contrairement à Concorde) …il n'y a donc plus droit à l'erreur ! Comment faire ? Méthodologie…tout est dans la méthodologie ! Il faut tout penser depuis le début : combien de calculateurs, quelles architectures, qui contrôle quoi : tout est précisément écrit et vérifié de manière indépendante, avant même que la première ligne de code soit écrite !

Le "side stick", caractéristique des appareils Airbus à CDVE


Airbus va ainsi créer un atelier logiciel. On nomme un chef de service qui reçoit sa mission simplement "tu recrutes 60 ingénieurs et tu te débrouilles !"…et comme personne ne savait démontrer la fiabilité d'un logiciel, il faudra mette au point une méthodologie de développement permettant de s'assurer de la qualité du logiciel exécutable. Airbus va ainsi mettre au point une méthode de SAO, "Spécifications Assistée par Ordinateur", qui permet de remplacer les mots par des schémas, rendant les spécifications beaucoup plus claires et moins sujet à interprétation. Il n'y a en effet rien de pire qu'une spécification pouvant être interprétée. Plus tard SAO va évoluer pour devenir SCADE ou "Safety Critical Application Development Environnement", logiciel encore utilisé aujourd'hui dans l'aéronautique et le spatial. C'est seulement après ces étapes que l'écriture du code à proprement parler pouvait commencer.

Grâce à SAO, le développement de l'A320 va suivre un processus itératif : la spécification SAO est codé sur un PC puis exécutée. Si le développeur est satisfait, il envoie le code au laboratoire de vol pour simulation, qui valide et recueille l'avis du pilote. Le code est ensuite retravaillé ou accepté.

Exemple de schéma bloc généré sous SAO pour Airbus

Comme il n'est pas possible de faire un calculateur avec suffisamment de fiabilité pour tenir l'objectif de 10^-9, il va falloir faire appel à une architecture à la fois
  • redondée, c'est à-dire mettre plusieurs calculateurs en parallèle de telle sorte que si l'un tombe en panne, les autres continuent à fonctionner correctement
  • "fail-safe", c'est-à dire que même en cas de panne, il ne faut pas provoquer de catastrophe et assurer la sécurité malgré tout. Concrètement, si un calculateur ne peut plus fonctionner correctement, il va se mettre en situation "dégradée", c'est-à-dire continuer de fonctionner mais avec un logiciel plus rudimentaire, qui sera moins confortable pour les passagers, mais qui continue de fonctionner quand même.

C'est ainsi que l'A320 possède pas moins de 7 calculateurs de commandes de vol:

  • 2 "ELACs"  (Elevator Aileron Computer)
  • 3 "SECs" (Spoiler Elevator Computer)
  • 2 "FAC" (Flight Augmentation Computer)


architecture des commandes de vol sur A320


Ces ordinateurs permettent de commander les surfaces de vol de l'appareil avec facilité. Les lois de commandes de vol programmées sont aussi adaptatives : elles réagissent différemment suivant que l'appareil est en phase de décollage, de croisière ou d'atterrissage.

L'avion peut continuer à voler avec un ou deux calculateurs en panne : C'est ce qu'on appelle chez Airbus l'architecture "monitorée" ou COM/MON ("Command" et "Monitoring"). Avec cette architecture, on trouve à l'intérieur d'un même boitier deux logiciels différents fonctionnant sur deux cartes électroniques différentes : la partie "Command" est le logiciel proprement dit, qui effectue ses calculs de sortie en fonction des entrées du système, et la partie "Monitoring" surveille que la première fait bien son travail…on place ainsi deux boîtiers en parallèle : si l'un détecte un problème, l'avion cesse de l'utiliser et passe sur le second, avec un avertissement au pilote.

Il y a trois systèmes hydrauliques indépendants sur A320

On notera que Boeing de son côté à choisi une approche différente : les différents calculateurs vont comparer leurs sorties, et Ils vont voter à majorité pour savoir si on peut continuer ou si l'un d'eux commence à donner des résultats bizarres et doit être éliminé de la boucle…il faut donc trois boitiers au minimum…contre deux pour un Airbus…

L'appareil possède en outre trois "lois", la loi normale, la loi "alternate" et la loi directe. La loi normale est celle qui est utilisée tout le temps, lorsque tout va bien. Elle possède toutes les caractéristiques de protection d'enveloppe de vol sur les trois axes, et limitation du facteur de charge pour ne pas abîmer l'appareil en cas de manœuvre sévère.

Boeing à choisi une architecture plus complexe avec des calculateurs plus simples...


Si un ou plusieurs équipements tombent en panne, on passe alors en loi "alternate". Dans ce mode, on perd les protections d'enveloppe de vol, même si on garde les protections en décrochage et facteur de charge. Cette loi est un mode dégradé mais qui permet encore de voler tout en offrant une certaine protection à l'équipage…pour info ça correspond à ce qui est utilisé comme loi de vol chez Boeing où il n'y a pas de protection de domaine de vol, juste une limite dissuasive !

En cas de gros pépin (panne de plusieurs calculateurs, par exemple), on passe en loi "directe". Dans ce cas, on perd toutes les protections d'enveloppe de vol, et on obtient un déplacement des commandes proportionnel au mouvement du side stick. Le trim doit être assuré manuellement. Pour info, ce mode très dégradé correspond à ce qui était utilisé en vol normal sur Concorde…

Donc en résumé très schématique : soit tout va bien , on pilote un Airbus, soit ça va moins bien, et c'est comme piloter un Boeing, soit tout va mal, et on pilote Concorde ! Le cas "catastrophe" de tout plante n'est encore jamais arrivé malgré des millions d'heure de vol avec ce système…

Arrivé le moment de présenter leur trouvailles à des pilotes..les pauvres ingénieurs d'Airbus ont bien failli y laisser des plumes : les pilotes sont unanimes "quoi des "protections' ? Qui nous empêchent de faire ce que l'on veut ??" (et encore j'ai édulcoré le discours, beaucoup plus "imagé" de l'époque…qui perdure encore aujourd'hui…

Airbus va donc introduire des protections du domaine de vol : protection contre les basses et haute vitesse, contre les fortes inclinaisons et le facteur de charge, à +2,5G maximum.

L'enveloppe de vol et ses protections associées (schéma valable sur A330)

Les pilotes restent pourtant convaincu qu'il faut maintenir l'autorité totale du pilote, qui peut ainsi "choisir sa propre mort" selon une expression un peu malheureuse…l'idée étant que le pilote préfère avoir autorité totale pour être sûr d'éviter tout obstacle…quitte à tordre les ailes. Pourtant Airbus a épluché les statistiques de plus de 10 millions d'heures de vol pour fixer ces limites. Sur toutes ces statistiques, la manœuvre d'évitement réussie la plus violente a été de "seulement" 1,7G ! Malgré cela, la méfiance des pilotes persiste.

Un autre incident qui a lieu à cette époque relance le débat des CDVE : un "Tornado" de la Luftwaffe s'écrase après avoir survolé une puissante station radio…on pense tout de suite que ses commandes de vol ont été brouillées par les émissions…pourtant ce n'est pas le cas. L'A320 fera des essais électromagnétiques après cela : un A320 avec moteurs en marche au sol sera bombardé par des rayonnements électromagnétiques particulièrement violents…et l'avion ne bronchera pas !

Panavia "Tornado"...l'accident n'était pas lié aux commandes de vol


L'A320 sera un succès sans précédant, malgré des accidents, dont aucun n'a pu être lié directement à une mauvaise conception ou une panne des commandes de vol. On entre ainsi dans la deuxième génération des commandes de vol électriques : l'ère du numérique.

On notera cependant que l'A320 n'est pas le premier appareil à posséder des calculateurs numériques : c'est en effet l'A310 qui avait été le premier à posséder des calculateurs numériques.

Boeing, pris de court, se doit de réagir : c'est l'acte de naissance du Boeing 777

1 commentaire: