Des noms de points de cheminement identiques par coïncidence ont falsifié le système de contrôle du trafic aérien britannique

L’enquête préliminaire sur la grave défaillance du contrôle aérien britannique du 28 août a identifié la cause profonde d’un conflit de traitement déclenché par un seul plan de vol comportant deux points de cheminement distincts qui, bien que géographiquement éloignés, avaient des désignations identiques.

Le service britannique de navigation aérienne NATS n’a pas divulgué les détails du vol impliqué, tels que l’opérateur ou son origine et sa destination, mais indique qu’il prévoit de transiter par l’espace aérien britannique.

Le plan de vol de l’avion comprenait deux points de cheminement – ​​un vers le début de la route et un vers la fin – qui étaient distants de 4 000 milles marins mais portaient par hasard le même nom. Les deux se trouvent en dehors de l’espace aérien britannique.

« Bien que l’OACI et d’autres organismes aient travaillé pour éradiquer les noms de points de cheminement non uniques, il existe des doublons dans le monde entier », indique le NATS dans ses conclusions préliminaires.

« Afin d’éviter toute confusion, les normes les plus récentes stipulent que ces désignateurs identiques doivent être géographiquement largement espacés. »

La compagnie aérienne a soumis un plan de vol pour le vol de 11 heures au système de distribution des plans de vol d’Eurocontrol, qui l’a transmis au NATS à 8 h 32, heure du Royaume-Uni, plusieurs heures avant que l’avion n’atteigne l’espace aérien britannique.

NATS utilise un sous-système appelé FPRSA-R pour la réception automatisée des plans de vol, et ce sous-système extrait la partie du plan de vol couvrant l’entrée et la sortie de l’espace aérien britannique, afin de la transmettre au système de traitement des données de vol et aux contrôleurs aériens.

Lorsque le plan de vol original, déposé par la compagnie aérienne au format ICAO4444, a été converti au format ADEXP utilisé par Eurocontrol, il a été complété par des informations supplémentaires, notamment des points de cheminement supplémentaires pour la suite du voyage une fois que l’avion a traversé l’espace aérien britannique.

« Le plan de points de cheminement ADEXP comprenait deux points de cheminement le long de son itinéraire qui étaient géographiquement distincts mais qui avaient le même indicatif », déclare NATS.

Après avoir recherché le plan de vol ADEXP pour identifier les points d’entrée et de sortie de l’espace aérien britannique, le logiciel FPRSA-R a ensuite recherché la partie originale ICAO4444 du plan de vol pour identifier les points d’entrée et de sortie.

Il a cherché depuis le début de ces données pour trouver le waypoint d’entrée, puis en arrière depuis la fin pour trouver le point de sortie.

Mais le point de sortie n’a pas pu être trouvé, car il n’est pas nécessaire qu’un plan de vol contienne les sorties de l’espace aérien d’un pays. Dans de tels cas, la logique du logiciel utilise le fichier ADEXP pour rechercher le waypoint le plus proche au-delà du point de sortie du Royaume-Uni.

La recherche a cependant identifié le waypoint portant le nom dupliqué et, par conséquent, le logiciel n’a pas pu extraire une partie britannique valide du plan de vol entre l’entrée et la sortie.

«C’est la cause profonde de l’incident», explique NATS.

Étant donné que le système n’a pas pu corriger l’erreur, la logique logicielle de sécurité est intervenue pour empêcher que les données incorrectes ne soient transmises aux contrôleurs aériens, et le système principal FPRSA-R – tel que conçu – a suspendu son fonctionnement et a confié ses tâches à l’arrière. -système up. Mais le système de secours a appliqué la même logique au plan de vol, avec le même résultat, et s’est également suspendu.

NATS UK24_data-c-NATS

NATS affirme que le sous-système FPRSA-R – construit par la société autrichienne Frequentis pour remplacer un système plus ancien en 2018 – a traité plus de 15 millions de plans de vol sans perte de ses fonctions principales et de secours.

« Il est donc certain que ce plan de vol spécifique, avec ses caractéristiques associées, y compris les noms de waypoints en double, n’a jamais été déposé auparavant », précise NATS.

« Des travaux supplémentaires doivent être entrepris pour retracer le développement et les tests du sous-système FPRSA-R afin de comprendre si la combinaison d’événements qui ont conduit à l’incident aurait pu être atténuée à un moment donné du cycle de développement du logiciel.

« D’après ce que nous comprenons du fabricant, le domaine spécifique du logiciel lié à cette enquête est unique à NATS. »

L’analyse de l’échec effectuée par l’organisation estime que plus de 1 500 vols ont été annulés ce jour-là et que plus de 10 % des 5 500 vols opérés ont été retardés, l’échec ayant forcé un retour au traitement manuel des plans de vol. D’autres annulations ont suivi le 29 août alors que les transporteurs cherchaient à récupérer leurs horaires.

NATS souligne que l’incident n’a, à aucun moment, présenté de problème de sécurité, et l’Autorité de l’aviation civile du Royaume-Uni partage cette conclusion.

« Cet événement technique est désormais compris et s’il se reproduisait, il serait résolu rapidement sans effet sur le système aéronautique », déclare la CAA.

Afin d’explorer davantage l’incident, la CAA doit mener un examen indépendant de la défaillance technique et de la réponse de NATS, afin d’évaluer si des obligations légales et de licence ont été violées.

Mais il ajoute : « Une adaptation logicielle devrait être mise en œuvre par le fabricant cette semaine, une fois les tests terminés et le processus de changement évalué, cela signifie que cela ne se reproduira pas. »

A lire également