• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 05/12/2019

Placez le système embarqué dans son environnement

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Familiarisez-vous avec le Penser Système

Le cas d'étude choisi dans ce cours a pour but de mettre en exergue la prise en compte de la sûreté de fonctionnement, et plus particulièrement de la sécurité dans la conception des systèmes embarqués et des objets connectés. Nous allons nous intéresser au « confort » des passagers à bord d’un avion. Quel rapport y-a-t-il entre le confort des passagers et la sécurité ?

Fonctions contribuant au confort des passagers

Confort des passagers : évalué dans la réglementation. Divertissement des passagers : les systèmes de divertissement font l'objet d'analyses de sécurité.
Prise en compte de la sécurité dans la conception des systèmes embarqués et des objets connectés

Dans la réglementation, le "confort passager" fait partie des critères d'évaluation de la gravité d'un événement redouté. Il correspond à des appréciations et des évaluations d’inconfort, de blessure ou de mort des occupants de l’avion, qu’il s’agisse de passagers ou de membres d’équipage. Il est donc pris en compte dans la conception d’un avion. Le confort traite ainsi de critères physiques (blessures, chocs, morts), de critères physiologiques liés à la perception du bruit, de la température, de l'éclairage, des odeurs, des effets ressentis comme les « trous d’airs » ou les secousses dans l'avion, etc.

Nous allons explorer la fonction confort des passagers dans un contexte où l’avion traverse une zone turbulente avec de fortes variations d’accélération. Vous avez l’impression d’être secoué, d’être écrasé dans votre siège ou au contraire de vous envoler, un peu comme si vous étiez sur les montagnes russes d’un parc d’attraction. L’effet physiologique ressenti peut être agréable ou désagréable, mais l’effet réel de ce que l’on nomme « la force g » peut s’avérer dangereux pour l’être humain. Nous avons des seuils de tolérance.

Des g positifs, dirigés vers le haut, font descendre le sang dans les pieds d'une personne assise ou debout. La résistance aux g positifs varie d'une personne à l'autre, mais généralement on considère qu'on peut résister à 5 g sans perdre connaissance.

Les g positifs provoquent des problèmes cérébraux et oculaires. Si on augmente progressivement la force g (comme dans une centrifugeuse), on observe les différents symptômes suivants :

  • voile gris, le sujet perd la perception des couleurs ; ce symptôme est facilement réversible lorsque la cause cesse ;

  • vision du tunnel, la vision périphérique disparaît progressivement ;

  • voile noir, la vision disparaît sans perte de connaissance ;

  • « black-out », c'est-à-dire perte de connaissance ;

  • mort, si la force g n'est pas réduite rapidement.

La tolérance humaine dépend de :

  • l'amplitude de la force g ;

  • la durée pendant laquelle elle est présente ;

  • la direction sous laquelle elle agit ;

  • l'endroit où elle est appliquée ;

  • la posture du corps.

Au niveau de la sécurité de l’avion, il faut s’assurer que quelle que soit la zone de turbulence traversée :

  • la structure de l’avion reste intègre ;

  • le pilote est en mesure de piloter ;

  • les passagers se situent dans le seuil de tolérance « réglementaire ».

Nous touchons par le biais de cet exemple la complexité de cette fonction « confort ». Elle connecte et intègre des disciplines classiques d’un métier d’avionneur telles que l’aérodynamique, les calculs de structure, les systèmes « nerveux » de l’avion qui vont commander les gouvernes dans ces zones turbulentes, avec des disciplines qui relèvent de la médecine ; la physiologie sensorielle, par exemple.

Après avoir traité les fondamentaux de la sûreté de fonctionnement à travers ce cas, nous vous amènerons à rêver notre futur proche, qui n’est plus tout à fait de la science-fiction puisque nous y travaillons déjà, pour toucher du doigt les problèmes de sécurité qu’il peut soulever.

Prise en compte de la cybersécurité

Chacun, insensiblement, utilise de plus en plus d’objets connectés : des GPS et téléphones portables aux bracelets connectés, etc. Les passagers qui montent à bord d’un avion souhaitent rester connectés et embarquer avec eux leur réseau social connecté. Pour y satisfaire, il faut utiliser des technologies de transmission de données via des réseaux de communication qui varient suivant les zones survolées, terrestres ou maritimes. Il peut s’agir de transmissions par HF, VHF ou par satellites. Ce type de communications, déjà utilisées pour les systèmes de l’aéronef et des applications spécifiques aux compagnies aériennes, impose la prise en compte de la cybersécurité dans la conception de nos architectures.

L’avion est considéré comme un élément du trafic aérien. Il fait ainsi partie de ce que l’on appelle un système de systèmes.

Imaginons un scénario futuriste : les avions sont interconnectés, les turbulences rencontrées et détectées par un avion permettent à un autre de les éviter, le système autonome intelligent peut prendre la décision de changer de route ou de réduire sa vitesse. Tous les transports de passagers au sol sont informés pour réagir dynamiquement à la nouvelle situation.

D’un point de vue architecture, on s’oriente ainsi vers un réseau hétérogène et global (les avions, les gestionnaires de trafic aérien, les compagnies aériennes, les passagers, les services de secours, les transports au sol sont tous interconnectés). Il nous faudra anticiper ces nouveautés technologiques pour nous y préparer.

Une partie prenante est un acteur plus ou moins concerné ou plus ou moins impacté par notre projet ou par notre système. Nous identifions les éléments significatifs de l’environnement avec lequel le système embarqué interagit : les parties prenantes et les systèmes externes.

Découvrez comment appliquer le Penser Système à la sûreté de fonctionnement

Rappelons-nous ce que nous entendons par Penser Système. Il s’agit d’appréhender globalement une situation, d’appréhender et d’intégrer différents points de vue dans une vue globale. À quoi cela sert-il ? Le Penser Système permet de se poser les bonnes questions au bon moment. Ce mode de pensée aiguise la compréhension globale d’une situation et intervient dans les prises de décision. Nous allons voir que Penser Système est particulièrement nécessaire pour aborder la sûreté de fonctionnement (SDF).

Étude du vol n° 1549 de US Airways

Venons-en à l’accident que nous allons essayer de comprendre. Imaginez-vous en hiver, le 15 janvier 2009, à New York près de l’aéroport de La Guardia. Se déroule sous vos yeux un film absolument incroyable. En moins de 4 min, un avion décolle et amerrit. La vidéo que vous allez voir est une reconstitution en 3 dimensions de cet accident. Vous entendrez les dialogues entre le pilote et la tour de contrôle. Il correspond à ce qui a été enregistré dans le CVR (Cockpit Voice Recorder), l’enregistreur des sons du poste de pilotage, l’une des deux « boîtes noires ». Soyez attentif.

Analysons ce qui s’est passé. Dans cet accident catastrophique où ce bimoteur a perdu ses deux moteurs simultanément, il n’y a eu aucune perte de vie humaine et aucun blessé !

Pourquoi ? Comment ce miracle s’est-il produit ?

Il y a des raisons à cela...

Source: https://commons.wikimedia.org/wiki/File:Flight_1549-OptionsNotTaken.PNG
Trajet du vol (Source: https://commons.wikimedia.org/wiki/File:Flight_1549-OptionsNotTaken.PNG)

L’avion a été conçu pour amerrir. Il est resté « gouvernable » malgré une double panne moteur. Rappelons-nous qu'un avion est avant tout un planeur qui, dans ce cas, est motorisé.

Ce qu’il faut remarquer, c’est le calme et le sang-froid du pilote, sa capacité à prendre des décisions dans une situation exceptionnellement grave, en intégrant toutes les caractéristiques de l’environnement (pas de bateau sur le lieu de l’amerrissage, par exemple). On peut aussi noter l’excellente coordination entre la tour de contrôle et le pilote.

Source: https://commons.wikimedia.org/wiki/File:Plane_crash_into_Hudson_Rivercroped.jpg
Amerrissage de l'avion (Source: https://commons.wikimedia.org/wiki/File:Plane_crash_into_Hudson_Rivercroped.jpg)

La procédure d’amerrissage s’est parfaitement déroulée sous la responsabilité du personnel navigant, hôtesses de l’air et stewards. Ils jouent un rôle important pour la sécurité des passagers. Ils sont entraînés régulièrement à ce type de procédures, telles des évacuations d’urgence.

Une chaîne où chaque maillon compte
Une chaîne où chaque maillon compte

Cette vidéo met déjà en évidence un certain nombre d’acteurs qui ont bien joué leur rôle :

  • l’avionneur qui a bien conçu l’avion ;

  • le contrôle aérien, l’aéroport, les passagers, le personnel navigant au complet, pilote, copilote et personnel de cabine. On voit bien que la sécurité dépend de chaque acteur : si la procédure d’amerrissage est réussie mais que l’évacuation de l’avion se fait dans la panique, cela peut se comptabiliser en final par des blessés. La sécurité est comme un collier de perles où chaque maillon compte et ne peut se passer des autres. Si vous coupez le lien entre deux perles, tout s’éparpille, tout s’écroule.

Le rôle de l'avionneur
Le rôle de l'avionneur

Faisons un zoom sur l’avionneur et quelques-uns de ses acteurs impliqués dans la sécurité. Les activités SDF doivent être comprises par tous les acteurs participant au projet pour y contribuer positivement.

Les acteurs de la Sûreté de Fonctionnement
Les acteurs de la sûreté de fonctionnement

Parmi ces acteurs, on peut noter :

  • le groupe opérationnel qui a la responsabilité de la conception, du développement et de la certification de l’avion, à travers l’ingénieur en chef, un bureau de certification, les opérationnels métiers, les responsables des essais ;

  • la production de toutes les pièces de l’avion et qui a en charge l’assemblage final et les essais sol. Chaque avion sort de la chaîne d’assemblage après avoir passé un certain nombre d’essais qui répondent aux critères précis, en particulier une continuité des circuits électriques et hydrauliques ;

  • le centre de livraison de l’avion aux clients, en l’occurrence les compagnies aériennes. La livraison constitue un moment charnière où s’effectue le transfert de propriété entre l’avionneur et la compagnie aérienne ;

  • les centres de formation des compagnies aériennes ;

  • le support à travers sa documentation technique et le support client qui fonctionne sans discontinuité 7 jours/7 et 24heures /24 ;

  • dans l’ombre de ces opérations, des acteurs essentiels recensent, scrutent, analysent, établissent des corrélations entre des données et tous les événements rapportés par les compagnies aériennes pour prévenir le moindre accident. Un retard de plus de 15 minutes au décollage est rapporté à l’avionneur. Ces études font l’objet d’un suivi de navigabilité de l’avion, en liaison avec des autorités des services officiels. Ce suivi de navigabilité permet en particulier de consolider sur le moyen et long terme les études de fiabilité sur lesquelles s’est appuyée la certification.  

Organisation de la SDF : ne pas être juge et partie

Nous venons d’identifier un certain nombre d’acteurs. Regardons maintenant quelques principes d’organisation de la sûreté de fonctionnement. Le principe d’organisation des acteurs à respecter consiste à ne pas être juge et partie. Voyons un exemple de mise en œuvre concrète de ce principe chez un avionneur.

L’ingénieur en chef, qui est responsable de la conception de l’avion, de sa certification et de la navigabilité jusqu’à ce que plus aucun exemplaire de l’avion ne soit en service. En cas d’accident mettant en cause la conception de l’avion, il est personnellement responsable.

Le responsable Sûreté de fonctionnement est indépendant de l'ingénieur en chef d’une part, et indépendant du responsable du programme. Cela signifie qu’il n’est pas sous l’autorité hiérarchique de ces personnes. Cette personne a en charge la méthodologie et l'organisation des tâches sûreté de fonctionnement qui sont planifiées dès le début du programme avion pour être discutées puis acceptées par les services officiels.

Cela signifie que les services officiels approuvent ce plan sûreté de fonctionnement. Ce plan inclut les méthodes et les moyens mis en œuvre pour vérifier et valider ces études sûreté de fonctionnement, et bien évidement les études elles-mêmes.

Stratégie de la SDF

Nous allons nous intéresser maintenant à la stratégie de la sûreté de fonctionnement pour comprendre pourquoi et comment elle permet de définir les architectures des systèmes.

Schéma d'exemple
Leviers de la stratégie de sûreté de fonctionnement

La sûreté de fonctionnement intègre 4 dimensions : la sécurité, la fiabilité, la disponibilité et la maintenabilité.

Par exemple, la performance de « dispatch reliability » qui correspond aux retards avant le décollage dus à l’avion (et non au contrôle aérien) fait partie des performances vendues par un avionneur à ses clients, les compagnies aériennes. Il en est de même de l’ « operational reliability » critère de fiabilité opérationnelle. La « safety », quant à elle, s’appuie sur la réglementation de navigabilité.

Schéma d'exemple
Leviers pour la réduction des risques

En termes de sécurité, la stratégie consiste à réduire tous types de risques auxquels peut être confronté un avion dans sa vie opérationnelle. Il s’agit de risques intrinsèques à l’avion, par exemple l’éclatement d’un moteur, comme de risques externes tels que la foudre, ou des risques liés aux activités humaines, comme des erreurs introduites en maintenance.

Il est important de noter que les risques sont évalués dans le contexte d’un avion couplé à son environnement. On n’évalue pas les risques d’un système avion de façon isolée.

La démarche consiste ainsi à trouver une architecture qui permette :

  1. D'éliminer le risque à la source.

  2. De minimiser les conséquences du risque potentiel.

  3. De contrôler tout au long de la vie de l’avion les mesures prises pour minimiser les conséquences, pour s’assurer du niveau acceptable de risque résiduel.

Prenons comme exemple l’événement redouté suivant: “le feu dans la cabine” pour illustrer la démarche de réduction de risque. Les termes auxquels sont accolés le signe * désignent une partie prenante.

  • Spécification à destination des fournisseurs* : les tissus de revêtement des sièges se consument sans flamme ni émission de produits toxiques.

  • Consignes passagers* : ''Ne pas fumer à bord de l'avion''

  • L‘avionneur conçoit et installe des systèmes de :

    • surveillance dans la cabine : détecteurs de feu et de fumée ;

    • contrôle dans la cabine : extincteurs.

  • Procédures équipage* consignées dans le manuel de vol approuvé par les services officiels*

Apprenez les fondamentaux de la sûreté de fonctionnement

Passons au point-clé suivant, à savoir les fondamentaux de la sûreté de fonctionnement. La sûreté de fonctionnement est une discipline scientifique qui dispose de ses méthodes et ses outils. On aurait tendance à rajouter qu’elle s’appuie sur du bon sens inscrit « en dur » dans la réglementation.

Commençons par le bon sens qui dit que « Plus l’accident est grave, moins il doit se produire ». La gravité s’évalue suivant l’appréciation des effets sur le confort passager, la charge de l’équipage et l’intégrité de l’avion. Tout cela est évalué simultanément.

En termes de confort passager, ça va de l’inconfort à des blessures jusqu’à la mort des occupants de l’avion, pas seulement des passagers.

Pour ce qui est de la charge équipage, on évalue une augmentation de la charge au-delà de ce qui est normalement admis pour l’équipage.

Pour ce qui est de l’intégrité de l’avion, on évalue les réductions des marges de sécurité par rapport d’une part aux performances de l’avion, par rapport aux qualités de vol, par rapport à la structure et par rapport au fonctionnement des systèmes.

Niveau de risque

Classification des effets d'un accident

Catastrophique

Perte de l'avion et/ou morts

Risqué

(hazardous)

Réduction des marges de sécurité

Détresse physique ou charge équipage trop importantes

Blessures sévères ou mort de quelques occupants 

 

Majeur

(major)

Réduction significative des marges de sécurité

Diminution de la capacité de l'équipe à faire face à des conditions opérationnelles difficiles

Blessures sévères ou mort de quelques occupants

Mineur

(minor)

Faible réduction des marges de sécurité

Charge équipe légèrement augmentée (changement de routines)

Effets physiques mais pas de blessure des occupants

Continuons sur le bon sens « Plus c’est grave, moins ça doit se produire ». La classification des effets suit une échelle qui va de catastrophique à mineure en s’appuyant sur une terminologie dite en anglais. Nous avons « Catastrophic» (catastrophique), « Hazardous » (dangereux) , « Major » (majeur), « Minor » (mineur) :

  • un effet "catastrophic" correspond à une perte de l’avion et/ou des morts ;

  • une classification "hazardous" correspond à une réduction des marges de sécurité, une détresse physique de l’équipage ou une charge trop importante, des blessures sévères ou la mort de quelques occupants de l’avion ;

  • une classification "major" signifie une réduction significative des marges de sécurité, une diminution de la capacité de l’équipage à faire face à des conditions opérationnelles difficiles et des blessures d’occupants ;

  • une classification "minor" ou mineure correspond à une faible réduction des marges de sécurité, à une charge de l’équipage légèrement augmentée, c’est-à-dire qu’il y a des changements de routine et des effets physiques sur les occupants, mais pas de blessures des occupants.

 Nous allons illustrer la partie "moins ça doit se produire" de notre phrase. Ceci est mis en rapport en liaison avec des statistiques et des probabilités. L’objectif de probabilité d’occurrence d’accidents est établi sur des données statistiques mondiales.

L'objectif de probabilité d'occurrence est établie sur les données statistiques mondiales
Statistiques et probabilités

Dans la décennie 1980, on observait que les accidents catastrophiques étaient évalués à 10-6, c’est-à-dire que quand vous preniez l’avion, vous aviez une chance ou une malchance sur un million de vols d’y rester. Ce 10-6, qui a fait l’objet d’analyses, a mis en évidence que 10% de ces accidents catastrophiques sont dus au système de l’avion

Les 90% autres ne sont pas dus au système de l’avion, ça peut être dû à la structure, ça peut être dû au contrôle aérien, ça peut être dû à une erreur de l’équipage ou à d’autres causes externes. Donc, 10% de ces catastrophes étendues au système de l’avion, ça nous mène à une probabilité à voir une catastrophe de l’avion à 10-7 ( 10% de 10-6 qui fait 10-7).

Au niveau réglementaire, nous avons droit au maximum à un objectif de 10-9 par heure et par heure de vol sans configuration de panne catastrophique et, donc, pour chaque configuration de panne.

Cas d'un bi-moteur : panne moteur au décollage. Objectif de sécurité : mineur.
Cas d'un bi-moteur

Illustrons maintenant un exemple de configuration de panne. Imaginez un bimoteur, un avion qui a deux moteurs, et il se trouve qu’il y a une panne « moteur » dans la phase de décollage. Si rien ne se passe, cette panne moteur conduit à une catastrophe. En effet, dans cette phase-là, l’avion a ses réservoirs remplis de kérosène et une panne moteur qui conduit à un renversement de l’avion sur la piste peut déclencher un feu, et donc la perte de l’intégrité de l’avion avec la mort des occupants. Or, il se trouve que les taux de panne des moteurs que l’on sait atteindre aujourd’hui correspondent à un taux de fiabilité – à un taux de panne, pardon – de 5, 10-5 par heure. Ce qui est compatible avec un objectif de sécurité mineur.

Comment faire quand on est responsable de la sûreté de ce programme avion pour avoir un objectif de sécurité mineur avec un risque de catastrophe au décollage ? En fait, l’objectif de sécurité va reposer sur plusieurs choses : une procédure opérationnelle qui va permettre d’entraîner l’équipage à la panne moteur au décollage, et cette procédure va être basée sur une action du pilote qui va jouer sur la gouverne de direction et mener la gouverne de direction en butée pour contrôler la panne moteur au décollage.

La tenue de l'objectif de sécurité repose sur :

  • Procédure opérationnelle

  • Entraînement équipage : "panne moteur au décollage"

  • Dimensionnement de la gouverne de direction par l'avionneur

La procédure, définie par l'avionneur est formalisée dans un manuel opérationnel, approuvé par les Services Officiels et repose sur un entraînement de l'équipage sous responsabilité de la compagnie aérienne.

Moyennant l’application de cette procédure opérationnelle, la panne moteur au décollage est compatible avec un objectif de sécurité mineur. Cette procédure est définie par l’avionneur, elle est formalisée dans un manuel opérationnel, qui est lui-même approuvé par les services officiels et repose sur un entraînement de l’équipage, sous la responsabilité de la compagnie aérienne.

Quelques concepts de design

Dans les fondamentaux de la SDF, nous présentons ici quelques concepts de design :

  • des concepts de design généraux ;

  • et des concepts spécifiques.

Dans les concepts de design généraux, une règle inscrite en dur dans le règlement dit qu’il ne faut pas y avoir de panne simple qui entraîne un accident catastrophique. Parmi ces concepts généraux, on trouve des concepts de design sur les détections de panne, les moyens de détections de panne sur des pannes actives ou des pannes cachées, des concepts sur la tolérance aux erreurs, des concepts de reconfiguration en cas de panne, des concepts de redondance, des concepts de ségrégation dans les installations, des concepts de dissimilarité d'architecture.

Les concepts de design spécifique sont pour la plupart liés soit à la culture de l’entreprise, soit au domaine opérationnel. C’est ainsi que dans l’aéronautique civile, on utilise des concepts de « Fail Safe », c’est-à-dire que quand quelque chose tombe en panne, il faut assurer et privilégier la sécurité en premier. Dans le spatial où il n’y a pas d'humain à bord (ex. : satellites), on utilise des concepts de « Fail Operational », c’est-à-dire qu’on va privilégier la mission en premier, puisqu’il n’y a pas de notion de « safety », au sens « safety » humaine. Dans le nucléaire civil, on utilise le concept de « défense en profondeur », qui est encore autre chose par rapport au « Fail Safe », au « Fail Operational ».

Exemple de concept
Exemple de concept "fail safe" vers "fail operational"

Études générales et spécifiques

Dans les fondamentaux de la SDF, nous allons aborder maintenant 2 types d’études :

  • études générales de sécurité et de fiabilité qui abordent des aspects qualitatifs et quantitatifs de la SDF ;

  • études spécifiques qui sont notamment liées aux modes communs de panne, aux analyses de zone et aux risques particuliers qui sont elles-mêmes des études essentiellement qualitatives.

Ces deux types d’études sont couplées.

Exemple de concept « fail safe » vers « fail Operational »
Les deux types d'études sont couplées

Études générales ''sécurité/fiabilité"

Dans les études générales de sécurité et de fiabilité, il y a une approche descendante qui permet de définir les architectures des systèmes et les objectifs à tenir. Cette approche descendante démarre au niveau de l’avion puis va impacter les fonctions de l’avion, les systèmes qui contribuent aux fonctions de l’avion et enfin les équipements au sein d’une architecture qui permet au système de fonctionner. 

Nous voyons en bleu dans cette approche descendante, cette allocation d’objectif de sécurité ou de sûreté de fonctionnement en général qui s’alloue de l’avion, aux fonctions, aux systèmes, aux équipements.

L’approche montante, en rouge dans ce schéma, part des équipements et remonte vers les systèmes, les fonctions jusqu’au niveau avion pour vérifier, avec les équipements réels, l’architecture implémentée concrètement dans l’avion, que les objectifs de sécurité sont tenus. Ces analyses intègrent au sein des diagrammes de panne, les pannes, les risques particuliers et les erreurs humaines.

Approches montantes et descendantes
Approches montantes et descendantes
Études spécifiques aux modes communs et risques

Les études spécifiques aux « modes communs et risques », font l’objet de méthodes de démonstration et de modèles de risque qui sont approuvés par les services officiels en début de programme. Donc, les analyses de modes communs de panne se font indépendamment des « failure conditions », des configurations de panne. L’avion lui-même est découpé en zones (depuis le fuselage en passant par les ailes ou la cabine) : chaque zone fait l’objet d’une analyse pour vérifier que tout est installé correctement.

Dans les risques particuliers, on peut noter comme risques intrinsèques à l’avion la perte totale de puissance électrique, par exemple.

Ou dans les risques externes, on peut noter le feu, la fumée, la foudre, les nuages de cendre, des interférences électromagnétiques, des impacts oiseaux, des éclatements de moteurs, des éclatements de pneu, etc.

Les erreurs humaines englobent aussi bien les erreurs équipages, des erreurs du personnel de cabine que des erreurs de maintenance ou des erreurs du contrôle aérien.

Prenez le temps de visualiser ces différents éléments sur cette carte mentale (cliquez ici pour afficher cette carte mentale en plein écran) : 

Carte mentale du système d'intérêt
Carte mentale du système d'intérêt "Calculateur contribuant au confort des passagers" - Auteure : Brigitte DANIEL ALLEGRO

En résumé

En conclusion sur la sûreté de fonctionnement, nous allons aborder l’éthique et l’approche systémique.

Quelle est l’éthique en sûreté de fonctionnement ? Il faut être convaincu que l’improbable peut arriver. Il faut accepter que le risque existe pour le maîtriser au mieux. Il faut faire preuve de bon sens, on ne fait pas de psychanalyse mais on fait de l’analyse d’événements redoutés, il faut être capable de se remettre en question, il faut avoir une ouverture d’esprit, rester à l’écoute du comportement en opération et rester humble, justement pour être capable de se remettre en question. Il faut appliquer intelligemment les règles pour optimiser globalement.

Entre la sécurité et la fiabilité, nous avons vu que la maintenabilité est à atteindre pour avoir quelque chose d’exploitable et enfin il faut être transparent, c’est-à-dire qu’il faut présenter au plus tôt aux services officiels les nouveautés technologiques pour identifier et anticiper les évolutions réglementaires nécessaires.

Dans cette approche de la sûreté de fonctionnement, il y a forcément le volet systémique. Quelques recommandations pour aborder la sûreté de fonctionnement : tous les acteurs doivent rester vigilants pendant toute la vie de l’avion. Un conseil auprès des architectes : il faut rester proche du produit pendant son développement, ne pas hésiter à aller le voir, comparer les plans à la réalité de l’installation.

Enfin, un sujet éminemment important, il faut maintenir la fluidité des informations pendant tout le cycle de vie de l’avion. Les évolutions et les modifications sont des points cruciaux et donc à partir d’une modification, il faut aller à la tâche de maintenance, au service bulletin, à la consigne de navigabilité et à la documentation associée. La gestion des évolutions et la gestion de configuration sont des points vraiment cruciaux dans le domaine de la sûreté de fonctionnement.

Regardons à présent comment les exigences de sûreté de fonctionnement sont prises en compte ou contraignent l'ensemble du processus de développement...

Exemple de certificat de réussite
Exemple de certificat de réussite