L'automatisation devenue fatale : le MCAS et le 737 MAX

IA
Automation Turned Deadly: MCAS and the Max
Une refonte tardive du système automatisé MCAS de Boeing — devenu plus agressif et dépendant d'un capteur unique — a joué un rôle central dans les deux catastrophes du 737 MAX, offrant des leçons cruciales sur la conception et la régulation des automatismes critiques.

Comment une fonction de sécurité automatisée est devenue le rouage d'une catastrophe

Lorsque deux avions de ligne Boeing 737 MAX se sont écrasés à quelques mois d'intervalle en 2018-2019, les enquêteurs ont identifié un fil conducteur lié au logiciel de commande de vol de l'appareil. Un système conçu pour aider l'avion à gérer des moteurs de forme différente — le Maneuvering Characteristics Augmentation System, ou MCAS — a été remanié tardivement lors du développement de manière à rendre son comportement plus directif et, surtout, dépendant d'un seul capteur d'incidence. Ces modifications ont supprimé des couches de protection et ont exposé les équipages à un mode de défaillance rapide et déroutant qu'ils n'avaient pas été formés à reconnaître ou à contrer.

MCAS : ce qu'il était censé faire

Le MCAS a été introduit pour que le MAX se comporte comme les modèles de 737 précédents, après que des moteurs plus grands et montés plus en avant ont modifié l'aérodynamisme de l'avion. Sa fonction nominale était modeste : lorsque certaines conditions suggéraient que le nez de l'avion risquait de trop se cabrer, le MCAS ajustait légèrement le stabilisateur horizontal vers le bas (piqué) pour maintenir une maniabilité constante pour les pilotes. Dans sa conception initiale, il devait être subtil et n'intervenir que rarement.

Comment le système a évolué — et pourquoi cela a compté

Au cours du développement, Boeing a élargi le rôle du MCAS. La version finale pouvait s'activer plus fréquemment et appliquer des corrections de stabilisateur plus importantes que les versions précédentes, et elle était configurée pour réagir aux données d'un seul capteur d'incidence plutôt que de recouper plusieurs sources. Dans les accidents de Lion Air et d'Ethiopian Airlines, des données d'incidence erronées ont déclenché des commandes de piqué répétées que les pilotes ont combattues sans parvenir à les surmonter à temps. Le passage d'une conception conservatrice et redondante à une mise en œuvre plus agressive à capteur unique a été un facteur décisif dans ces défaillances.

Pourquoi qualifier le MCAS d'« I.A. » est trompeur — et pourquoi l'étiquette importe malgré tout

Dans les médias et le débat public, les crashs sont parfois présentés comme une défaillance de l'« I.A. ». Ce raccourci est tentant mais imprécis. Le MCAS n'était pas un modèle d'apprentissage automatique (machine learning) s'auto-formant à partir de données ; il s'agissait d'une logique de commande de vol déterministe : des règles codées pour agir en fonction d'entrées de capteurs spécifiques. Le danger, cependant, est le même que celui qui inquiète les gens avec les systèmes d'IA opaques : un comportement automatisé caché aux utilisateurs finaux et aux régulateurs, interagissant avec des signaux du monde réel de manière complexe que ses concepteurs n'avaient pas pleinement anticipée.

Qualifier le MCAS de simple « automatisation » peut minimiser la manière dont les choix de conception — en particulier autour de la transparence, de la redondance et de l'interaction homme-machine — ont transformé une fonction protectrice en un danger. Ces vols révèlent que même les algorithmes sans apprentissage exigent une ingénierie de sécurité rigoureuse, le même type d'exigences traçables et de tests indépendants que nous demandons désormais aux systèmes d'IA dans d'autres domaines.

Des défaillances organisationnelles et réglementaires ont amplifié les défauts techniques

Les choix techniques ne se sont pas produits dans le vide. De nombreux examens et auditions ont révélé que des problèmes de surveillance, de communication et de culture d'entreprise ont amplifié les risques. Les régulateurs n'ont pas toujours reçu tous les détails du MCAS au fur et à mesure de son évolution ; les manuels de vol omettaient initialement la fonction ; et l'hypothèse selon laquelle le MCAS s'activerait rarement a réduit la formation des pilotes sur la manière de réagir en cas d'activation. Ces défaillances institutionnelles ont transformé une erreur d'ingénierie en une crise de sécurité publique.

Les correctifs mis en œuvre par Boeing et les régulateurs

Après l'immobilisation au sol de la flotte de MAX, Boeing et les autorités aéronautiques ont imposé des modifications logicielles et opérationnelles. La conception révisée limite le MCAS de sorte qu'il n'agisse que si les deux capteurs d'incidence sont d'accord, le restreint à une seule activation par événement et modère l'ampleur des commandes de compensation. Les régulateurs ont également durci les exigences en matière de documentation, de formation des pilotes et de vérification indépendante avant que le modèle ne soit autorisé à reprendre du service. Ces changements ont corrigé les modes de défaillance immédiats mais n'effacent pas les questions de gouvernance plus larges soulevées par la crise.

Leçons pour le débat plus large sur l'IA et l'automatisation

L'histoire du MAX est un avertissement pour quiconque déploie l'automatisation à grande échelle. Quatre leçons se dégagent :

Ce sont des refrains familiers dans les cercles d'éthique et de sécurité de l'IA, mais le 737 MAX montre qu'ils ne sont pas abstraits. Dans les systèmes critiques pour la sécurité, les coûts d'une erreur sont immédiats et définitifs.

Vers où le débat doit s'orienter

Des corrections techniques ont permis au MAX de reprendre du service sous des conditions plus strictes, mais cet épisode reste une référence sur la manière de ne pas gérer l'automatisation dans les industries réglementées. Pour les décideurs et les ingénieurs, l'impératif est de traduire les leçons apprises en normes applicables : des processus de certification plus clairs pour les systèmes de décision automatisés, une notification obligatoire des changements de conception substantiels et des structures institutionnelles qui réduisent les conflits d'intérêts entre les fabricants et les certificateurs.

Pour les journalistes et le public, c'est aussi un rappel à la précision des termes. L'« IA » fait les gros titres, mais le problème de fond dans le cas du MAX n'était pas l'intelligence artificielle au sens de l'apprentissage automatique — c'était une combinaison d'automatisation agressive, d'un manque de transparence et de pratiques de sécurité affaiblies. Traiter cette combinaison comme un défi d'ingénierie et de gouvernance nous offre une voie plus productive pour éviter une répétition.

Conclusion

Les catastrophes du 737 MAX n'étaient pas inévitables. Elles ont été le résultat de décisions de conception spécifiques, d'hypothèses non vérifiées et de défaillances institutionnelles. Alors que l'automatisation et l'IA s'étendent à de nouveaux domaines, le cas du MAX doit rester un exemple frappant : des systèmes plus sûrs ne naissent pas de la confiance en un morceau de code, mais d'une conception conservatrice, d'une communication claire avec les utilisateurs, d'un examen indépendant et d'une surveillance réglementaire robuste. Ce ne sont pas des finesses techniques, ce sont des conditions préalables à la sécurité publique.

Mattias Risberg

Mattias Risberg

Cologne-based science & technology reporter tracking semiconductors, space policy and data-driven investigations.

University of Cologne (Universität zu Köln) • Cologne, Germany

Readers

Readers Questions Answered

Q Quel était le rôle initial du MCAS sur le 737 MAX ?
A Le MCAS a été conçu pour aider le MAX à s'adapter aux changements aérodynamiques induits par des moteurs plus gros et montés plus en avant. Sa fonction nominale était de compenser légèrement le stabilisateur horizontal vers le bas lorsque les capteurs suggéraient que le nez de l'appareil risquait de trop se cabrer, afin de maintenir un pilotage cohérent avec les modèles 737 précédents. Dans sa conception initiale, il était censé être discret et n'intervenir que rarement.
Q Comment le MCAS a-t-il évolué et pourquoi cela a-t-il eu de l'importance ?
A Au cours du développement, Boeing a élargi le rôle du MCAS, le faisant s'activer plus fréquemment et appliquer des corrections de stabilisateur plus importantes. De plus, il a été configuré pour dépendre des données d'un seul capteur d'incidence (AoA) plutôt que de recouper plusieurs sources. Des données d'incidence erronées ont alors déclenché des piqués répétés que les pilotes ont tenté de contrer, sans parvenir à les surmonter à temps.
Q Le MCAS était-il une intelligence artificielle ?
A Le MCAS n'était pas un modèle d'apprentissage automatique ; c'était une logique de commande de vol déterministe, avec des règles codées pour agir en fonction d'entrées de capteurs spécifiques. Pourtant, il soulève des inquiétudes quant aux comportements automatisés que les pilotes et les régulateurs pourraient ne pas anticiper, faisant écho aux préoccupations concernant l'opacité des systèmes d'IA. Qualifier le MCAS de simple automatisme peut minimiser l'importance des choix de conception relatifs à la transparence, à la redondance et à l'interaction homme-machine.
Q Quelles corrections ont été mises en œuvre après l'immobilisation au sol du MAX ?
A Après l'interdiction de vol, des modifications logicielles ont limité le MCAS pour qu'il n'agisse que lorsque les deux capteurs d'incidence concordent, l'ont restreint à une seule activation par événement et ont réduit l'amplitude de la correction de compensation. Les régulateurs ont renforcé la documentation, la formation des pilotes et les vérifications indépendantes avant l'autorisation de remise en service. Ces mesures ont corrigé les modes de défaillance immédiats mais n'ont pas pleinement résolu les questions de gouvernance.
Q Quelles leçons plus larges le cas du MAX offre-t-il pour l'IA et l'automatisation ?
A Quatre leçons se dégagent : dans les systèmes critiques pour la sécurité, le coût d'une erreur est immédiat et définitif ; la gouvernance doit traduire les enseignements en normes exécutoires ; des processus de certification plus clairs pour les systèmes de décision automatisés et un signalement obligatoire des changements de conception substantiels sont nécessaires ; enfin, les structures institutionnelles devraient réduire les conflits d'intérêts entre les fabricants et les certificateurs.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!