3-1 Introduction :

3-1 Introduction :

La réalisation d'un système de commandes de vol doit respecter deux types de contraintes:

- les performances (précision, stabilité),

- la sécurité.

Paradoxalement, c'est la contrainte "sécurité" qui est la plus dimensionnante, et elle demande un travail important. Pour chaque panne pouvant apparaître on effectue une classification tenant compte de sa gravité et de sa probabilité d'apparition.

La gravité d'une panne peut être:

- mineure: facile à contrer sans effort particulier; les performances de l'avion restent inchangées

- majeure: dégradation des performances; la charge de travail du pilote est augmentée

- critique: l'avion est endommagé; la charge de travail du pilote atteint la saturation

- catastrophique: destruction de l'avion

Si l'on tient compte de la gravité d'une panne et de sa probabilité d'apparition, chaque panne peut être placée dans le tableau ci-après. Seules les pannes apparaissant dans les cases non grisées sont admissibles.

Ainsi, la probabilité d'apparition d'une panne catastrophique doit être inférieure à 10-9 par heure de vol.

Ces objectifs de sécurité concernent l'ensemble des dispositifs équipant l'avion (commandes de vol, pilote automatique, ...), et conduisent à des architectures de réalisation différentes suivant que le dispositif concerné est une simple aide ou un système essentiel à la conduite de l'avion.

Le choix d'une architecture de système de commande de vol dépend donc du niveau de sécurité que l'on veut atteindre. La mise en parallèle d'un certain nombre de chaînes identiques ou non (redondance dissymétrique) peut permettre d'obtenir le niveau souhaité. Cependant, la redondance repose sur l'hypothèse de l'indépendance des pannes pouvant apparaître simultanément sur les différentes chaînes. C'est pourquoi il faut aussi prendre garde aux générations électriques et hydrauliques, au vieillissement des composants et surtout pour les chaînes utilisant des calculateurs numériques, aux pannes de logiciel.

Pour minimiser les erreurs de logiciel, on fait exécuter les mêmes tâches par des logiciels différents dans chaque chaîne. Il faudrait aussi disposer des calculateurs de structure différente sur chaque chaîne.

Dans certains cas, la détection de la panne provoque la déconnexion de la chaîne et le passage en secours. Il faut donc veiller à ce que le système de surveillance chargé d'assurer la sécurité ne provoque pas trop de fausses alarmes.

La réalisation d'un système aux normes de sécurité est donc très difficile à obtenir. Les principales architectures le permettant sont décrites dans les paragraphes suivants.