Résumé

Pourquoi ce cas appartient à un dossier de risque et de responsabilité

La crise du MCAS du Boeing 737 MAX appartient à un dossier de risque et de responsabilité car elle se situe à l'intersection de la conception, de la certification, de la formation, de la délégation, des facteurs humains, des pressions du marché, de la confiance réglementaire, de la mise en œuvre par les compagnies aériennes et de la sécurité des passagers. L'automatisation critique pour la sécurité n'est pas une fonctionnalité logicielle normale. Elle modifie la répartition des risques dans le cockpit et la compréhension de ces risques avant l'approbation de l'avion.

Lorsque l'automatisation peut déplacer les gouvernes en réponse à des capteurs, les preuves concernant les hypothèses de conception, la tolérance aux pannes, la reconnaissance par le pilote, la formation et la divulgation réglementaire font partie intégrante du système de sécurité.

Le dossier public est exceptionnellement volumineux. Le rapport de recommandations de sécurité du NTSB à l'adressehttps://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdfs'est concentré sur les hypothèses concernant la réponse des pilotes à une activation non commandée du MCAS et ses effets en cabine. Le rapport du Comité des transports de la Chambre à l'adressehttps://www.govinfo.gov/content/pkg/GOVPUB-Y4_T68_2-PURL-gpo144993/pdf/GOVPUB-Y4_T68_2-PURL-gpo144993.pdfdécrit un schéma d'échec plus large impliquant Boeing et la surveillance de la FAA. Le résumé de remise en service de la FAA à l'adressehttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfexplique les actions correctives et le processus de révision utilisés pour l'avion cloué au sol. La directive de navigabilité du Federal Register à l'adressehttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanesest une règle officielle exigeant des actions correctives avant l'exploitation. L'annonce du DOJ à l'adressehttps://www.justice.gov/archives/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billionest un dossier de résolution pénale concernant la conduite de Boeing en relation avec le groupe d'évaluation des aéronefs de la FAA.

La question de responsabilité n'est donc pas abstraite. Qui avait le contrôle pratique sur les hypothèses de conception du MCAS, la dépendance à un seul capteur, les alertes, la charge de travail des pilotes, la délégation de certification, les exigences en matière de simulateur et de formation, l'analyse des défaillances, la divulgation des manuels, l'examen réglementaire, la conformité des compagnies aériennes et la preuve de remise en service? Boeing avait le contrôle sur la conception et les preuves internes. La FAA avait l'autorité de certification et de surveillance.

Les compagnies aériennes contrôlaient la mise en œuvre de la formation et l'exploitation dans leurs systèmes réglementaires. Les régulateurs internationaux contrôlaient l'acceptation ou l'examen indépendant dans leurs juridictions. Les pilotes et les passagers avaient le moins de capacité à inspecter la conception sous-jacente et le dossier de certification.

Le cas appartient également à ce dossier car la réparation devait être vérifiable. Un type d'avion cloué au sol ne peut revenir en service que si les régulateurs et le public peuvent faire confiance à la correction. Cette confiance ne peut dépendre uniquement de la réputation de la marque. Elle doit dépendre des modifications logicielles, des actions sur le câblage et les affichages le cas échéant, des révisions de formation, des procédures opérationnelles, de l'examen réglementaire, de la coordination internationale et de la surveillance opérationnelle continue. Le dossier public porte donc sur les preuves.

Les crashs ont fait des hypothèses d'automatisation un enjeu de sécurité publique

Le vol Lion Air 610 s'est écrasé le 29 octobre 2018 et le vol Ethiopian Airlines 302 le 10 mars 2019. Ensemble, 346 personnes sont mortes. Les rapports d'accident officiels et les recommandations de sécurité ont placé le MCAS, les données d'angle d'attaque, la charge de travail des pilotes, les alertes, la maintenance, la formation et les hypothèses de certification au cœur du dossier public. Cet article ne remplace pas ces rapports d'accident officiels.

Il les utilise pour encadrer la question de responsabilité: comment un chemin d'automatisation critique pour la sécurité a-t-il été certifié d'une manière qui a exposé les équipages, les compagnies aériennes, les régulateurs et les passagers à des hypothèses qui ont dû être revues par la suite?

Le rapport du KNKT indonésien à l'adressehttps://knkt.go.id/Repo/Files/Laporan/Penerbangan/2018/KNKT.18.10.35.04-Final-Report.pdfet le rapport éthiopien à l'adressehttps://reports.aviation-safety.net/2019/20190310-0_B38M_ET-AVJ.pdfsont centraux car ils documentent les séquences et les conclusions spécifiques aux accidents. Le rapport du NTSB à l'adressehttps://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdfajoute un cadre de recommandations de sécurité américain, en se concentrant sur la manière dont les évaluations de sécurité des systèmes doivent prendre en compte la réponse des pilotes, les alertes multiples et la façon dont les conditions de défaillance se présentent dans les cockpits réels. Ces sources sont de différents types de preuves, mais ensemble, elles montrent que le problème n'était pas simplement un défaut logiciel isolé.

L'automatisation critique pour la sécurité échoue dangereusement lorsque les hypothèses de conception sur le comportement humain sont trop idéales. Un pilote en situation d'urgence ne lit pas une note de conception. L'équipage gère la charge de travail, les alarmes, le comportement de l'avion, les éléments de mémoire, les checklists, le contrôle aérien, les effets de surprise et les informations incomplètes. Si une évaluation de sécurité suppose une réponse rapide et correcte du pilote à une condition de défaillance, les preuves doivent justifier cette hypothèse dans des conditions réalistes.

Les documents publics du NTSB rendent ce principe visible.

La question de responsabilité n'est pas de savoir si les pilotes doivent être formés et compétents. Bien sûr que oui. La question de responsabilité est de savoir si la conception de l'avion, les manuels, la formation, les alertes et l'évaluation réglementaire ont donné aux pilotes une chance équitable et rapide de reconnaître et de gérer le mode de défaillance.

Si l'automatisation pouvait commander à plusieurs reprises un mouvement du stabilisateur vers le bas sur la base d'une entrée erronée, alors les preuves de conception devaient tenir compte de la défaillance du capteur, de la présentation des alertes, de la charge de travail et du temps de récupération. C'est une question de responsabilité du constructeur et du régulateur, pas seulement un problème de formation de la compagnie aérienne.

La délégation de certification a transformé la confiance en une surface de contrôle

Le cas du 737 MAX appartient également au dossier de responsabilité car la délégation de certification est devenue un enjeu public. La certification des aéronefs modernes repose sur le constructeur, le régulateur, les représentants délégués, la documentation technique et les démonstrations structurées de conformité. La délégation peut être efficace et nécessaire dans un système aéronautique complexe.

Elle crée également une frontière de confiance: le régulateur doit en savoir assez pour contester le constructeur, et le constructeur doit divulguer suffisamment pour que le régulateur comprenne les implications de sécurité des choix de conception.

Le rapport de la Chambre à l'adressehttps://www.govinfo.gov/content/pkg/GOVPUB-Y4_T68_2-PURL-gpo144993/pdf/GOVPUB-Y4_T68_2-PURL-gpo144993.pdfest direct sur les défaillances de surveillance et les pressions au sein du processus de certification. Le rapport du comité spécial du DOT à l'adressehttps://www.transportation.gov/sites/dot.gov/files/2020-01/scc-final-report.pdfexamine la certification des aéronefs par la FAA et le système d'autorisation de désignation d'organisation. Le rapport de l'Examen technique conjoint des autorités à l'adressehttps://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdfajoute une perspective réglementaire internationale sur la certification, les hypothèses et le flux d'informations. Ces sources font de la certification elle-même une surface de responsabilité.

L'inférence étayée est que le contrôle pratique était distribué mais pas uniformément. Boeing avait la connaissance la plus détaillée de la conception. La FAA avait l'autorité légale et la responsabilité de certification. Le personnel délégué opérait dans une structure qui dépendait de l'indépendance, de la compétence, de la divulgation et de l'escalade. Les compagnies aériennes et les pilotes se fiaient aux manuels, à la formation et aux approbations opérationnelles qui en résultaient. Les passagers se fiaient à tout ce qui précède sans aucun contrôle direct.

Le dossier public ne permet pas à un lecteur externe d'inspecter chaque courriel d'ingénierie, chaque réunion de certification, chaque simulation ou chaque version interne d'évaluation de sécurité. Ceux-ci restent en partie inconnus. Mais les rapports officiels suffisent à dire que les preuves de certification doivent être traitées comme une infrastructure de sécurité. Si les preuves sont incomplètes, si la connaissance du régulateur est partielle, ou si la délégation affaiblit la contestation indépendante, le risque est transféré à des personnes qui ne peuvent voir la preuve manquante.

Le MCAS a rendu la catégorisation de l'automatisation dangereuse

Le problème de responsabilité autour du MCAS est en partie un problème de catégorisation. L'automatisation peut être traitée comme une augmentation limitée, une fonction d'assistance au pilote, une loi de pilotage, une correction des caractéristiques de maniabilité, un problème de formation ou un système critique pour la sécurité selon la façon dont elle est décrite et évaluée. Les mots importent car ils influencent l'évaluation des dangers, les exigences de redondance, le contenu des manuels, la formation sur simulateur, la connaissance des pilotes, l'examen réglementaire et les procédures opérationnelles des compagnies aériennes.

Le résumé de remise en service de la FAA à l'adressehttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfexplique les actions correctives post-clouage, y compris les modifications de la logique MCAS et des exigences de formation des pilotes. La directive de navigabilité du Federal Register à l'adressehttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanesexigeait des mises à jour logicielles, une logique révisée du calculateur de commandes de vol, certains tests système, des procédures opérationnelles révisées du manuel de vol de l'avion, et d'autres actions avant l'exploitation. Ce dossier de réparation est important car il montre que la réponse de remise en service a traité le MCAS et les effets connexes en cabine comme nécessitant une correction formelle.

L'inférence étayée est que la catégorisation avant les crashs a sous-estimé le rôle pratique du MCAS en matière de sécurité. Cela ne nécessite pas de spéculer sur l'intention privée. Cela découle du fait public que les régulateurs ont cloué l'avion au sol et ont ensuite exigé des actions correctives spécifiques avant la remise en service. Si une fonctionnalité nécessite une refonte logicielle, une révision de la formation et des procédures imposées par le régulateur après deux accidents, elle était critique pour la sécurité dans la pratique, que la communication antérieure l'ait présentée comme limitée ou non.

C'est important pour l'automatisation future. Les concepteurs peuvent préférer décrire l'automatisation de manière étroite pour éviter la charge de formation, les retards de certification, les coûts ou la résistance des clients. Les régulateurs peuvent se fier aux étiquettes de catégorie antérieures. Les compagnies aériennes peuvent préférer des qualifications de type communes et une formation de transition minimisée. Mais les passagers ont besoin que la fonctionnalité soit évaluée par ses conséquences en cas de défaillance, et non par la commodité commerciale.

Le cas du 737 MAX montre pourquoi la discipline de catégorisation fait partie de la gouvernance de la sécurité.

La formation et la divulgation des manuels n'étaient pas des détails administratifs

La formation et les manuels sont parfois traités comme une mise en œuvre aval. Dans ce cas, ils étaient centraux. Si un système peut commander un mouvement de l'avion dans une condition rare mais à fortes conséquences, les équipages ont besoin de connaissances utilisables. Cela ne signifie pas que les pilotes doivent mémoriser chaque ligne de logiciel. Cela signifie qu'ils ont besoin de suffisamment d'informations pour reconnaître le comportement du système, appliquer la bonne procédure et comprendre pourquoi l'avion se comporte comme il le fait. La divulgation dans les manuels et la formation font donc partie du système de contrôle.

L'annonce du DOJ en 2021 à l'adressehttps://www.justice.gov/archives/opa/pr/boeing-charged-737-max-fraud-conspiracy-and-agrees-pay-over-25-billionindique que Boeing a été accusé de complot en vue de frauder les États-Unis et a accepté de payer plus de 2,5 milliards de dollars dans le cadre d'un accord de poursuite différée lié au groupe d'évaluation des aéronefs de la FAA. Cet article utilise cette source comme un dossier officiel de résolution pénale. Il ne l'étend pas à des affirmations non étayées sur chaque employé de Boeing ou chaque communication de certification. Le point prudent est que les informations de formation et d'évaluation sont devenues suffisamment importantes pour apparaître dans un dossier de résolution pénale.

L'enquête de la Chambre et le rapport du NTSB montrent également pourquoi la divulgation est importante. Si les informations sur le MCAS ne sont pas entièrement visibles pour les pilotes et les compagnies aériennes, le dossier de sécurité opérationnelle dépend de la capacité des équipages à diagnostiquer un mode de défaillance sans connaître le chemin d'automatisation. Si les évaluateurs de formation réglementaires ne sont pas pleinement informés, la décision de formation elle-même peut être faussée.

Si les compagnies aériennes reçoivent une compréhension incomplète, elles ne peuvent pas mettre en œuvre correctement la formation ou les contrôles de risques. Si les passagers embarquent sur la base de la confiance dans la certification, ils subissent les conséquences de ces lacunes d'information.

La formation est également une question d'équité mondiale. Les compagnies aériennes opèrent dans des systèmes réglementaires différents, avec des ressources de formation, un accès aux simulateurs, des langues et des environnements opérationnels différents. Une approche de certification qui minimise la formation peut réduire les coûts et accélérer l'acceptation du marché, mais elle peut aussi transférer la complexité dans les cockpits. Le dossier public après les crashs a rendu ce transfert visible.

La remise en service était un processus de preuve, pas une réinitialisation de réputation

Le processus de remise en service de la FAA est central car il s'agissait du mécanisme de réparation public. Le résumé de la FAA à l'adressehttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfexplique que la FAA a examiné les modifications proposées par Boeing et a exigé des actions de conception, de procédure et de formation. La directive de navigabilité à l'adressehttps://www.federalregister.gov/documents/2020/11/20/2020-25844/airworthiness-directives-the-boeing-company-airplanesa rendu des actions spécifiques légalement obligatoires pour les opérateurs américains. L'annonce de remise en service de l'EASA à l'adressehttps://www.easa.europa.eu/en/intelligence team-and-events/press-releases/easa-certifies-boeing-737-max-return-serviceet la directive de remise en service de Transports Canada à l'adressehttps://tc.canada.ca/en/aviation/civil-aviation/civil-aviation-safety-alerts/boeing-737-max-return-servicemontrent que les régulateurs internationaux ont mené leurs propres processus plutôt que de considérer l'action américaine comme la seule preuve.

Le dossier de responsabilité doit juger la remise en service comme une preuve, pas comme du marketing. Les questions pertinentes sont concrètes. Qu'est-ce qui a changé dans la logique MCAS? Comment le système utilisait-il les entrées des capteurs après la réparation? Quelles alertes ou procédures en cabine ont changé? Quelle formation des pilotes était requise? Quelles vérifications de maintenance ou de câblage étaient nécessaires? Comment les régulateurs ont-ils testé la réparation? Comment les compagnies aériennes l'ont-elles mise en œuvre? Comment les avions en stockage ont-ils été préparés? Comment les pilotes ont-ils été remis à niveau?

Comment les nouvelles découvertes ont-elles été surveillées après le retour?

Les documents réglementaires publics répondent à certaines de ces questions à un niveau élevé. Ils ne divulguent pas chaque artefact de test, chaque scénario de simulateur, chaque document de travail d'ingénierie interne, chaque enregistrement de fin de formation des compagnies aériennes ou chaque délibération réglementaire internationale. Ce sont des inconnues persistantes. Mais la documentation de remise en service est une preuve publique beaucoup plus solide qu'une simple assurance de l'entreprise. Elle montre le type de réparation vérifiable qu'exige l'automatisation critique pour la sécurité.

La leçon est que la réparation doit changer le système, pas seulement le récit. Un avion cloué au sol ne peut pas revenir parce que la confiance est demandée. Il revient parce que les régulateurs, les experts techniques et les opérateurs peuvent pointer des changements requis et des preuves de conformité. C'est la différence entre la normalisation et la réparation.

Faits confirmés, inférence étayée et inconnues

Les faits publics confirmés incluent que les vols Lion Air 610 et Ethiopian Airlines 302 se sont écrasés, que 346 personnes sont mortes, que le 737 MAX a été cloué au sol mondialement, que les enquêtes officielles et les recommandations de sécurité ont abordé le MCAS et les questions connexes de certification et de facteurs humains, que la FAA et les régulateurs internationaux ont exigé des actions avant la remise en service, et que le DOJ a annoncé un accord de poursuite différée et des pénalités financières en 2021 liés aux interactions de Boeing avec le groupe d'évaluation des aéronefs de la FAA.

Les faits publics confirmés incluent également que la FAA a émis une directive de navigabilité exigeant des actions correctives avant l'exploitation aux États-Unis; que la FAA a publié un résumé de remise en service; que le NTSB a émis des recommandations de sécurité; que le Comité des transports de la Chambre a publié un rapport d'enquête; que le comité spécial du DOT a examiné les processus de certification; que l'Examen technique conjoint des autorités a publié des conclusions; et que les régulateurs internationaux comme l'EASA et Transports Canada ont publié des décisions de remise en service.

L'inférence étayée inclut la conclusion que les hypothèses de conception du MCAS, la dépendance au capteur d'angle d'attaque, la charge de travail des pilotes, la formation et la divulgation des manuels, la délégation de certification, la pression organisationnelle, le flux d'informations réglementaires, la mise en œuvre par les compagnies aériennes et les preuves de remise en service étaient des surfaces de responsabilité centrales. Cette inférence découle des rapports publics officiels et des actions réglementaires. Elle ne nécessite pas l'accès aux fichiers de conception privés.

Des inconnues subsistent. Les sources publiques ne révèlent pas chaque débat interne de conception chez Boeing, chaque communication de direction, chaque décision de certification déléguée, chaque délibération réglementaire, chaque ensemble de données de simulateur, chaque registre de formation des compagnies aériennes, chaque communication avec les familles des victimes, chaque registre de maintenance au-delà des rapports d'accident officiels, ou chaque résultat de surveillance à long terme après la remise en service.

Les sources publiques ne justifient pas non plus des affirmations générales sur l'intention ou la connaissance de chaque ingénieur, régulateur, manager, compagnie aérienne ou pilote. La revendication de responsabilité doit donc être institutionnelle et fondée sur des preuves, pas diffamatoire ou spéculative.

Les facteurs humains étaient au centre du dossier de sécurité

Les recommandations publiques du NTSB sont importantes car elles encadrent le problème en termes de facteurs humains. Une évaluation de sécurité qui suppose une réponse rapide du pilote doit tenir compte de ce que les pilotes voient, entendent, ressentent et comprennent réellement sous stress. Dans les accidents du MAX, les effets en cabine comprenaient des alertes, le comportement de l'avion, la charge de travail et le défi de diagnostiquer le chemin de défaillance. Une conception qui semble gérable isolément peut être beaucoup plus difficile à gérer lorsque plusieurs signaux concurrents attirent l'attention.

Les facteurs humains sont parfois traités comme moins importants que le logiciel ou le matériel. C'est une erreur. Dans les systèmes critiques pour la sécurité, l'humain fait partie de la frontière du système. Si l'automatisation dépend de la reconnaissance d'une condition par l'équipage, les preuves de conception doivent prouver que cette reconnaissance est réaliste. Si une procédure dépend de la mémoire, les preuves doivent montrer qu'elle est robuste sous charge de travail. Si une alerte est absente ou non standard, les preuves doivent montrer comment l'équipage saura ce qui se passe.

Si la formation omet un système, les preuves doivent montrer pourquoi l'omission est sûre.

Le rapport du NTSB à l'adressehttps://www.ntsb.gov/investigations/accidentreports/reports/asr1901.pdfet le résumé de remise en service de la FAA à l'adressehttps://www.faa.gov/sites/faa.gov/files/2022-08/737_RTS_Summary.pdfsont utiles ensemble car l'un encadre les problèmes de recommandations de sécurité et l'autre les actions correctives. Un dossier de responsabilité complet relierait ces deux couches: quelles hypothèses ont échoué, quels changements de conception et de formation les ont corrigées, comment les régulateurs ont testé les changements, et comment les compagnies aériennes ont vérifié la mise en œuvre.

Les facteurs humains affectent également la responsabilité des futurs systèmes. À mesure que les aéronefs deviennent plus automatisés, plus connectés et plus définis par logiciel, la ligne entre l'action du pilote et le comportement de l'automatisation peut devenir moins visible. Si un équipage ne peut pas dire pourquoi l'avion agit, l'équipage ne peut pas être le seul filet de sécurité. Le constructeur et le régulateur doivent prouver que le comportement de l'automatisation est compréhensible, limité et récupérable.

La délégation ne peut fonctionner sans une contestation indépendante

La délégation de certification n'est pas intrinsèquement irresponsable. C'est une réponse pratique à la complexité technique et à la charge de travail du régulateur. Mais la délégation n'est responsable que si elle préserve une contestation indépendante. Le régulateur doit recevoir des informations matérielles. Le personnel délégué doit pouvoir soulever des préoccupations. Le constructeur ne doit pas laisser les objectifs de coût, de calendrier ou de marché supprimer les preuves de sécurité. Le système de surveillance doit détecter lorsque le risque pratique d'une fonctionnalité dépasse sa catégorisation initiale.

Le rapport du comité spécial du DOT à l'adressehttps://www.transportation.gov/sites/dot.gov/files/2020-01/scc-final-report.pdfet le rapport du JATR à l'adressehttps://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdfsont importants car ils vont au-delà d'une seule fonction logicielle. Ils demandent comment les structures de certification, les hypothèses et les flux d'informations devraient fonctionner. Le rapport de la Chambre ajoute des conclusions et des critiques du Congrès. Ensemble, ces sources rendent la responsabilité institutionnelle plus claire qu'un récit purement technique ne le ferait.

La contestation indépendante a plusieurs tests pratiques. Le régulateur en savait-il assez sur l'autorité du MCAS, les conditions d'activation et les conséquences en cas de défaillance? Les représentants délégués avaient-ils suffisamment d'indépendance? Les évaluations de sécurité tenaient-elles compte de la charge de travail réaliste de l'équipage? Les évaluateurs de formation ont-ils reçu des informations précises? Les clients des compagnies aériennes ont-ils reçu suffisamment de détails opérationnels? Les régulateurs internationaux avaient-ils des raisons de faire confiance à la certification originale?

Un objectif de calendrier ou commercial a-t-il faussé le dossier de sécurité? Les rapports officiels abordent bon nombre de ces questions à un niveau public.

Les inconnues restent importantes. Un lecteur public ne peut pas reconstituer chaque réunion ou motif subjectif. Le dossier de responsabilité doit donc éviter les affirmations qui vont au-delà des conclusions officielles. Il peut encore dire que le système de délégation n'a pas produit une confiance publique adéquate et a dû être revu et réparé.

Les victimes et les passagers sont les parties prenantes les moins habilitées

Une analyse des risques et de la responsabilité doit maintenir la répartition du pouvoir visible. Boeing a conçu et commercialisé l'avion. La FAA l'a certifié. Les compagnies aériennes l'ont acheté, formé, entretenu et exploité. Les régulateurs du monde entier l'ont accepté, cloué au sol, examiné et remis en service. Les passagers et les familles n'ont pas choisi l'architecture MCAS, la conception des entrées des capteurs, la portée de la formation, la délégation de certification ou les critères de remise en service. Ils ont subi les conséquences ultimes.

Ce déséquilibre compte pour la réparation et les preuves. Les familles des victimes ont besoin de plus que du jargon technique. Elles ont besoin d'un dossier public véridique, d'une responsabilité légale, de changements de sécurité et de la preuve que le même chemin ne peut pas se reproduire. Les passagers ont besoin d'avoir confiance que le type d'avion remis en service l'a été sur la base de preuves indépendantes, et non de pressions. Les équipages ont besoin d'une formation et d'une documentation qui respectent la réalité du cockpit.

Les compagnies aériennes ont besoin d'informations de certification et du constructeur qui ne cachent pas l'automatisation pertinente pour l'exploitation. Les régulateurs ont besoin de systèmes qui soutiennent le scepticisme et la profondeur technique.

La résolution du DOJ, l'enquête de la Chambre, les rapports d'accident, la directive de navigabilité de la FAA, les documents de remise en service et les actions des régulateurs internationaux sont tous des morceaux de cette preuve publique. Aucun d'entre eux n'est complet seul. Ensemble, ils montrent que la responsabilité en matière de sécurité des transports est multicouche: enquête, application, réparation de la certification, réparation de la formation, mise en œuvre opérationnelle et gouvernance à long terme.

Ce cas montre également pourquoi les excuses et les compensations ne remplacent pas la réparation de la sécurité. Les pénalités monétaires et les règlements peuvent traiter la responsabilité légale. Ils ne prouvent pas en eux-mêmes que l'automatisation est sûre. La réparation doit être visible dans la conception, la certification, la formation et la surveillance. C'est la norme de réparation vérifiable.

La gouvernance d'entreprise et la pression du marché appartiennent au dossier

Les dépôts publics de Boeing auprès de la SEC fournissent un contexte commercial et de risque, y compris la fabrication aérospatiale, la certification, la sécurité, la réputation, les litiges, les risques réglementaires et opérationnels. Le navigateur de dépôts de la SEC à l'adressehttps://www.sec.gov/edgar/browse/?CIK=12927&owner=excludeet le point d'accès aux rapports annuels de Boeing à l'adressehttps://investors.boeing.com/investors/financial-reports/default.aspxsont utiles pour le contexte des sociétés ouvertes, bien qu'ils ne remplacent pas les rapports d'accident ou les conclusions des régulateurs. La crise du MCAS a affecté la confiance dans les produits, les livraisons, les relations avec les clients, la confiance des régulateurs, l'exposition financière et la gouvernance d'entreprise.

La pression du marché compte car les programmes d'avion fonctionnent sous des contraintes de coût, de calendrier, de client et de concurrence. Une entreprise peut avoir des incitations fortes à minimiser les différences de formation, à préserver la commonalité, à éviter les retards de livraison et à satisfaire les attentes des compagnies aériennes. Ces incitations ne sont pas intrinsèquement inappropriées. Elles deviennent des problèmes de responsabilité si elles influencent les preuves de sécurité, la divulgation ou l'évaluation réglementaire.

Les enquêtes publiques ont soulevé à plusieurs reprises la relation entre la pression commerciale et les décisions de sécurité dans le cadre du dossier plus large.

L'article ne doit pas affirmer que chaque personne a agi avec un motif inapproprié. Il doit dire que la gouvernance de la sécurité doit être conçue pour résister à la pression commerciale. Cela signifie une revue de sécurité indépendante, l'accès du régulateur à des informations matérielles, des droits d'escalade pour les ingénieurs, la documentation des hypothèses, des implications transparentes de la formation et une surveillance du conseil d'administration sur la culture de sécurité. Dans une entreprise de produits critiques pour la sécurité, la gouvernance doit être suffisamment technique pour compter.

La leçon à long terme est que la culture de sécurité ne peut pas vivre uniquement dans les slogans. Elle doit apparaître dans les dossiers de décision. Lorsque la défaillance d'un système pourrait tuer des personnes, l'entreprise doit pouvoir montrer qui détenait l'analyse des dangers, qui a contesté les hypothèses, qui a approuvé les conséquences de la formation, qui a informé les régulateurs et qui a vérifié la réparation. Si ces preuves sont manquantes ou incomplètes, la confiance n'est pas gagnée.

Les régulateurs internationaux ont rendu la réparation mondiale

Le 737 MAX n'était pas seulement un programme d'avion américain. Il desservait des compagnies aériennes et des passagers dans le monde entier, et le clouage au sol est devenu mondial. Les régulateurs internationaux avaient donc leurs propres devoirs de responsabilité. Ils devaient décider s'ils acceptaient le travail de la FAA, menaient un examen supplémentaire, imposaient leurs propres conditions, coordonnaient les changements de formation et communiquaient avec les compagnies aériennes et le public dans leurs juridictions.

L'annonce de remise en service de l'EASA à l'adressehttps://www.easa.europa.eu/en/intelligence team-and-events/press-releases/easa-certifies-boeing-737-max-return-serviceet les documents de Transports Canada à l'adressehttps://tc.canada.ca/en/aviation/civil-aviation/civil-aviation-safety-alerts/boeing-737-max-return-servicemontrent que les autorités internationales n'ont pas traité la réparation comme une simple assurance de marque. Elles ont émis leurs propres décisions et conditions. Cela compte car l'aviation mondiale dépend de la confiance mutuelle, mais la confiance mutuelle doit être soutenue par une compétence indépendante.

Le rapport de l'Examen technique conjoint des autorités à l'adressehttps://www.faa.gov/sites/faa.gov/files/2022-08/737_MAX_Joint_Authorities_Technical_Review.pdfcompte également car il reflète un examen transjuridictionnel des questions de certification. Un processus de réparation mondial devrait améliorer non seulement un type d'avion, mais aussi la façon dont les régulateurs échangent des informations, contestent les hypothèses et gèrent la certification déléguée.

Des inconnues subsistent au niveau de la mise en œuvre internationale. Les sources publiques ne fournissent pas les détails de fin de formation de chaque compagnie aérienne, les délibérations internes de chaque régulateur ou chaque rapport opérationnel après le retour. Mais le dossier public de remise en service est suffisant pour montrer qu'une réparation vérifiable devait être mondiale. Une défaillance d'automatisation critique pour la sécurité sur un avion mondial ne peut être réparée uniquement par un récit national.

Ce qu'une réparation durable devrait prouver

Un dossier de réparation durable devrait prouver un changement de conception. Il devrait montrer ce que le MCAS faisait avant, ce qu'il faisait après, quelles entrées il utilisait, comment l'autorité était limitée, comment les activations répétées étaient bornées, comment les données de capteurs divergentes étaient traitées, comment les alertes étaient présentées et comment le système se comportait en conditions de défaillance. Il devrait conserver les preuves d'analyse, de simulation, d'essais en vol et d'examen réglementaire.

Deuxièmement, il devrait prouver une réparation des facteurs humains. Il devrait montrer les changements de formation, les changements de manuels, les changements de procédures, les scénarios de simulateur, les critères de reconnaissance des pilotes, l'analyse de la charge de travail et la preuve que les équipages peuvent gérer la condition de défaillance sous stress réaliste. Il devrait considérer non seulement la réponse idéale du pilote, mais l'environnement réel du cockpit.

Troisièmement, il devrait prouver une réparation du processus de certification. Il devrait montrer quelles informations les régulateurs ont reçues, comment le travail délégué a été examiné, comment les hypothèses ont été contestées, comment les changements critiques pour la sécurité sont escaladés et comment la pression commerciale est séparée des preuves de sécurité. Le rapport du comité spécial du DOT, le JATR, le rapport de la Chambre et les actions de la FAA rendent cette réparation de processus centrale.

Quatrièmement, il devrait prouver une mise en œuvre par les compagnies aériennes. Chaque avion revenant en service avait besoin des modifications requises. Chaque compagnie aérienne avait besoin d'une formation approuvée et d'une conformité de maintenance. Chaque régulateur avait besoin d'une voie de surveillance. Le public peut voir les exigences réglementaires, mais les preuves de mise en œuvre compagnie par compagnie ne sont pas entièrement visibles dans les sources utilisées ici. C'est une limitation normale, mais elle doit être reconnue.

Enfin, il devrait prouver une gouvernance continue. La réparation de l'automatisation critique pour la sécurité ne s'arrête pas lorsque le clouage au sol est levé. Elle nécessite une surveillance, des rapports d'incidents, un examen des difficultés de service, des retours des pilotes, des audits réglementaires et une volonté de revoir les hypothèses si de nouvelles preuves apparaissent. Un système réparé n'est pas un dossier clos si de nouvelles preuves émergent.

Les preuves devraient survivre à la pression du programme qui a produit la conception

Une raison pour laquelle le cas du 737 MAX reste important est que les preuves de sécurité doivent survivre à la pression commerciale présente lors de la conception et de la certification. Les programmes d'avion sont longs, coûteux, compétitifs et techniquement complexes. Les équipes font face à des objectifs de livraison, des attentes des clients, des objectifs de commonalité, des calendriers réglementaires, des dépendances vis-à-vis des fournisseurs et un examen des investisseurs. Ces pressions ne disparaissent pas parce qu'un système est critique pour la sécurité.

La question de contrôle est de savoir si le processus de preuve peut y résister.

Des preuves durables montreraient une trace allant du danger à l'hypothèse, au test, à la formation et à la connaissance du régulateur. Si un système utilise une entrée d'angle d'attaque, le dossier devrait montrer comment la divergence des capteurs est traitée, ce qui se passe lorsque l'entrée est erronée, comment l'équipage est alerté, comment les commandes répétées sont bornées, quelle procédure s'applique et comment cette procédure a été validée sous charge de travail réaliste.

Si une décision de certification dépend de la commonalité ou d'une formation limitée, le dossier devrait montrer pourquoi la sécurité reste acceptable sans cacher des informations opérationnellement pertinentes.

Le rapport de la Chambre, le rapport du comité spécial du DOT, le rapport du JATR, les recommandations du NTSB, les documents de remise en service de la FAA et la résolution du DOJ pointent tous vers une leçon de gouvernance commune: un dossier de sécurité doit pouvoir être reconstitué par des personnes extérieures à l'équipe de conception d'origine.

Si des enquêteurs, régulateurs ou équipes de sécurité des compagnies aériennes ultérieurs ne peuvent pas reconstituer pourquoi une décision a été prise, quelles informations étaient connues et quelles hypothèses ont été testées, l'organisation n'a pas préservé suffisamment de preuves de responsabilité. Un bon jugement d'ingénierie doit laisser une trace.

C'est particulièrement important lorsque le logiciel modifie le comportement d'une famille d'avions familière. La familiarité peut réduire la charge de formation et la perturbation opérationnelle. Elle peut également créer un risque que la nouvelle automatisation soit mentalement classée comme une petite variante plutôt que comme une nouvelle surface de défaillance. Le dossier de preuve devrait forcer l'organisation à se demander si le changement est petit en termes marketing ou petit en termes de conséquences de sécurité. Ce sont des questions différentes.

Le risque opérationnel ne s'est pas arrêté à la certification

La certification est une porte, mais ce n'est pas toute la vie opérationnelle. Une fois qu'un aéronef entre en service, les pratiques de maintenance, la formation des pilotes, les pressions de dispatching, les systèmes de compte rendu, les pièces de rechange, les mises à jour logicielles, la surveillance réglementaire et les cultures de sécurité des compagnies aériennes comptent tous. Un défaut de conception peut être exposé par l'exploitation. Une lacune de formation peut être visible d'abord en ligne. Un problème de maintenance peut interagir avec l'automatisation du cockpit.

Un rapport de difficulté de service peut révéler un schéma plus tôt qu'une enquête formelle.

Le dossier du 737 MAX a donc une dimension de risque opérationnel au-delà de la décision de certification initiale. Les compagnies aériennes devaient mettre en œuvre les changements de remise en service, former les équipages, mettre à jour les manuels, gérer les avions stockés, communiquer avec les passagers et surveiller le comportement de la flotte après le retour. Les régulateurs devaient superviser cette mise en œuvre. Boeing devait soutenir les opérateurs et répondre aux constatations. Les passagers avaient besoin que le système fonctionne comme une boucle de preuve, pas comme une approbation unique.

Cet article ne prétend pas évaluer la mise en œuvre de chaque compagnie aérienne. Cette preuve n'est pas entièrement publique dans les sources utilisées ici. Le point de responsabilité est structurel: l'automatisation critique pour la sécurité a besoin de boucles de rétroaction après la certification. Si les pilotes signalent un comportement déroutant, si les maintenanciers voient des défauts récurrents, si les compagnies aériennes demandent des clarifications, ou si les régulateurs reçoivent des données de service, le dossier de sécurité doit être mis à jour.

Un certificat de type n'est pas une promesse que toutes les preuves futures sont sans pertinence.

La norme pratique de réparation est donc continue. L'avion a été remis en service par le biais de corrections imposées, mais la sécurité continue dépend de la surveillance de l'efficacité de ces corrections. Cela inclut les données de terrain, les retours des pilotes, l'efficacité de la formation, les constatations de maintenance et la volonté du régulateur d'exiger d'autres changements si les preuves le justifient. Pour l'automatisation critique pour la sécurité, les données opérationnelles font partie du dossier de réparation.

Les preuves opérationnelles doivent également être compréhensibles pour les personnes qui en dépendent. Un pilote n'a pas besoin de lire chaque artefact de certification, mais la formation et les manuels doivent traduire le dossier de sécurité en reconnaissance et en action dans le cockpit. Une équipe de sécurité d'une compagnie aérienne n'a pas besoin de chaque dossier de conception propriétaire, mais elle doit savoir quels modes de défaillance ont été modifiés, quels signaux de maintenance sont importants et quels événements doivent être escaladés.

Un régulateur ne pilote pas chaque vol commercial, mais il doit pouvoir vérifier si les preuves de terrain correspondent aux hypothèses approuvées. Cette chaîne transforme la réparation technique en confiance opérationnelle.

Le risque d'une chaîne de preuve faible est la normalisation. Une fois qu'un avion revient en service, la pression commerciale pousse naturellement le système vers la routine. La routine n'est saine que si la réparation reste visible à travers la formation, la maintenance, les comptes rendus et la surveillance. Si les leçons deviennent une exposition historique plutôt qu'une discipline opérationnelle, l'organisation peut préserver le résultat juridique tout en perdant le résultat d'apprentissage en matière de sécurité.

Le dossier du 737 MAX n'est donc pas seulement une histoire de conception; c'est un avertissement sur la rapidité avec laquelle les contrôles exceptionnels peuvent devenir une paperasse ordinaire à moins que les institutions ne continuent à les tester.

Le test durable de responsabilité

Le test durable de responsabilité pour le MCAS du Boeing 737 MAX est de savoir si le système de sécurité a appris au niveau où le contrôle a échoué. Si la leçon est seulement qu'une fonction logicielle a été modifiée, la réparation est trop étroite. Si la leçon inclut les hypothèses de conception, les facteurs humains, la délégation de certification, le flux d'informations réglementaires, les conséquences de formation, la surveillance internationale et les preuves de conformité, la réparation est plus proche du besoin public.

Le dossier public soutient une conclusion sobre. Boeing contrôlait la conception et une grande partie des preuves techniques. La FAA contrôlait la certification américaine et l'autorité de remise en service. Les régulateurs internationaux contrôlaient leur propre acceptation et leurs décisions de retour. Les compagnies aériennes contrôlaient la mise en œuvre et l'exploitation. Les pilotes contrôlaient l'avion en vol, mais seulement dans les limites des connaissances et des procédures qui leur étaient fournies. Les passagers ne contrôlaient aucun des choix techniques et réglementaires.

Cette répartition du contrôle est la raison pour laquelle la responsabilité doit se concentrer sur les institutions plutôt que seulement sur les opérateurs de première ligne.

Le dossier soutient également un avertissement clair pour l'automatisation future. Les logiciels critiques pour la sécurité ne peuvent pas être jugés par la logique produit normale. Ils doivent être jugés par les conséquences des défaillances, la reconnaissance humaine, l'exploitation dégradée, l'examen indépendant, la visibilité de la formation et la preuve de réparation. Plus l'automatisation est invisible pour ses utilisateurs, plus les preuves doivent être rigoureuses avant la mise en service et après tout incident.

Le 737 MAX a été remis en service par le biais de changements imposés par les régulateurs et d'un examen international. Ce retour n'efface pas le dossier de responsabilité. Il définit ce que le dossier doit préserver: les accidents, les conclusions, les actions correctives, le dossier d'application, les leçons de certification et le devoir continu de prouver que l'automatisation n'a pas discrètement déplacé le risque vers les équipages et les passagers. Dans la sécurité des transports, la confiance n'est pas un attribut de marque. C'est un contrôle vérifié.