Rapport d'enquête aéronautique A02P0261

Perte de puissance moteur
de l'Airbus A340-300 B-HXN
exploité par Cathay Pacific Airways
à 40 nm à l'ouest de Timmins (Ontario)

Le Bureau de la sécurité des transports du Canada (BST) a enquêté sur cet événement dans le but de promouvoir la sécurité des transports. Le Bureau n’est pas habilité à attribuer ni à déterminer les responsabilités civiles ou pénales. Le présent rapport n’est pas créé pour être utilisé dans le contexte d’une procédure judiciaire, disciplinaire ou autre. Voir Propriété et utilisation du contenu.

Table des matières

    Résumé

    L'Airbus A340-300 immatriculé B-HXN, assurant le vol CPA829 de Cathay Pacific Airways avec à son bord 249 passagers et 13 membres d'équipage, décolle de l'aéroport international de Toronto / Lester B. Pearson (Ontario) à 23 h 52, heure normale de l'Est, pour effectuer un vol régulier à destination de Hong Kong, en Chine, avec escale d'avitaillement prévue à Anchorage (Alaska). Après une heure et neuf minutes de vol, alors qu'ils se trouvent en croisière au niveau de vol 350, les pilotes sentent la cellule vibrer et constatent que le moteur numéro 1 vient de s'arrêter spontanément. Toutes les indications dans le poste de pilotage avant la perte de puissance semblaient normales. Les pilotes coupent le moteur numéro 1 conformément à l'index des procédures (QRH) avant de poursuivre le vol sur trois moteurs et de se dérouter sur l'aéroport international de Vancouver (Colombie-Britannique) où l'avion se pose sans autre incident à 1 h 5, heure normale du Pacifique.

    <a name="a1" id="a1"></a>1.0 Renseignements de base

    1.1 L'accident

    Le moteur (un CFM56-5C4 de CFM International [CFM]Note de bas de page 1 portant le numéro de série 741-705) s'est arrêté sans qu'aucune alarme ne soit donnée aux pilotes ni enregistrée par le tableau d'affichage centralisé des pannes (CFDS)Note de bas de page 2. L'équipage de conduite a communiqué avec le personnel technique de Cathay Pacific à Hong Kong, en Chine et, après discussion, les pilotes ont décidé de se dérouter sur Vancouver (Colombie-Britannique). Puisque rien n'indiquait que le compresseur du moteur (N1) ou la turbine (N2) tournaient en moulinet, les pilotes ont cru que le moteur s'était grippé; c'est pourquoi ils n'ont pas tenté de le redémarrer.

    Le fonctionnement de chacun des quatre moteurs de l'Airbus A340-300 est commandé par le système de régulation automatique à pleine autorité redondante (FADEC) qui comporte de nombreux composants, notamment le module de commande électronique (ECU) et l'alternateur à aimants permanents (PMA). L'ECU reçoit l'énergie électrique de l'avion pendant la séquence de démarrage du moteur. Lorsque le moteur tourne à un régime suffisant, l'énergie électrique est fournie par le PMA, lequel est entraîné par le boîtier d'entraînement des accessoires moteur. Au cas où le PMA tomberait en panne pendant que le moteur fonctionne, l'ECU est conçu de façon à obtenir de l'énergie électrique d'une autre source de l'avion. Lorsqu'il a cessé de fonctionner, le moteur numéro 1 totalisait 15 527 heures et 2622 cycles. Le boîtier d'entraînement des accessoires moteur et le PMA totalisaient 15 508 heures et 2619 cycles.

    Au sol, à Vancouver, le personnel de maintenance a imprimé un compte rendu de vol du CFDS. Ce compte rendu ne comportait aucun renseignement sur la cause de l'arrêt du moteur. Le personnel de maintenance a ensuite procédé à une inspection endoscopique du moteur, en prenant soin de vérifier si le moteur ne s'était pas grippé lorsqu'on l'a fait tourner au cours de l'inspection, et il a vérifié s'il y avait contamination du filtre à huile du boîtier d'entraînement des accessoires. Aucune anomalie n'a été décelée. Le personnel de maintenance a procédé à des essais sans ventilation pour vérifier les paramètres du moteur et le système informatisé de l'ECU. Au cours de ces essais, la turbine N2 n'a atteint que 14 % de son régime au lieu des 28 % prévus. D'après CFM, un tel écart est symptomatique d'une défaillance du PMA ou de l'ECU. Le PMA et le calculateur de l'ECU ont alors été déposés. Le personnel de maintenance a décelé des rainures ainsi que des brûlures sur le rotor et le stator du PMA, et il a jugé excessif le jeu de l'arbre d'entraînement du rotor du PMA. L'analyse après incident montre que ces constatations indiquent la présence de dommages potentiels au palier de l'arbre d'entraînement.

    Le personnel de maintenance n'a trouvé aucune procédure de mesure ou de vérification concernant le jeu de cet arbre d'entraînement ni aucune mention des rainures du rotor dans les manuels approuvés de maintenance ou de dépannage de l'avion. Le personnel de soutien technique de Cathay Pacific Airways à Hong Kong n'a pas trouvé la moindre information sur le jeu de l'arbre d'entraînement et les rainures du rotor. Les enquêteurs du BST n'ont eux non plus trouvé aucune information pertinente à cet effet.

    Le PMA et le calculateur de l'ECU ont été remplacés par des appareils en bon état, et d'autres essais sans ventilation ont été effectués. Au cours de ces essais, le régime de la turbine N2 a atteint les 28 % prévus. Des essais complets de fonctionnement continu du moteur ont été effectués, mais, après une dizaine de minutes, le moteur s'est arrêté. Comme dans l'incident en vol, aucune alarme relative à cette panne n'a été signalée ni enregistrée par le CFDS.

    Photo 1. Cage du roulement à billes
    Image
    Photo of Cage du roulement à billes
    voir photo 1

    L'ECU (réf. 1851M42P06, numéro de série ECDN3879, version logicielle C.3.G) qui était installé sur le moteur numéro 1 au moment de l'incident a été envoyé au fabricant à des fins d'inspection et d'essais. Aucune anomalie n'a été décelée, et l'ECU a été renvoyé à l'exploitant comme appareil en bon état de fonctionnement.

    L'arbre d'entraînement du PMA a été envoyé à CFM à des fins d'inspection et d'analyse. L'analyse du roulement à billes défectueux (réf. 305-100-410-0, numéro de série UR06967) effectuée par CFM a permis d'établir qu'il y avait écaillageNote de bas de page 3 généralisé des billes, usure des logements de cage (notamment, fracture d'un logement) et écaillage localisé sur un secteur de 90° de la bague intérieure (voir photos 1 et 2). Le roulement à billes situé à cet endroit est assujetti à des températures pouvant atteindre 160 °C et il tourne à quelque 20 000 tr/min. On n'a décelé aucun signe de corrosion. Les bagues du roulement à rouleaux (réf. 301-480-926-0) portaient deux numéros de série différents (bague intérieure : UR31008; bague extérieure : UR28466). Aucune autre anomalie n'a été décelée sur le reste des composants de l'arbre d'entraînement. CFM n'a pas établi la cause première de l'écaillage.

    Photo 2. Billes écaillées
    Image
    Photo of Billes écaillées

    Ce roulement à billes avait fait l'objet du bulletin de service 72-457 de CFM publié en juillet 2001. Ce bulletin visait à introduire le roulement de seconde source (réf. 305-100-415-0, fabriqué par SNFA) déjà disponible au sein de la flotte et présentant de meilleurs antécédents en service. Ce roulement remplaçait le roulement fabriqué par SNR Roulements (305-100-410-0) et qui avait été identifié comme une source de pannes prématuréesNote de bas de page 4. Ce bulletin de service visait les boîtiers d'entraînement d'accessoires munis de roulements (réf. 305-100-410-0) d'arbres d'entraînement qui totalisaient moins de 1500 cycles, mais il ne s'appliquait qu'à 17 moteurs CFM56-5C. Le numéro de série du moteur en cause dans le présent incident ne figurait pas sur la liste des 17 moteurs mentionnés dans le bulletin de service, ce qui explique pourquoi le bulletin ne s'appliquait pas et que le roulement à billes n'avait pas été remplacé.

    1.2 Défaillances des roulements de l'alternateur à aimants permanents (PMA)

    Une recherche dans la base de données des rapports de difficultés en service de Transports Canada n'a révélé aucun cas d'anomalie du PMA ou du roulement de l'arbre d'entraînement du PMA. Cependant, le rapport de CFM sur le roulement défectueux mentionnait qu'au moins 26 anomalies du roulement de l'arbre d'entraînement du PMA avaient été signalées, pour un total de quelque 3400 moteurs de la série CFM56-5 motorisant les A319, les A320, les A321 et les A340 d'Airbus. Le rapport de CFM a permis d'établir que des roulements provenant de deux fabricants distincts avaient connu des défaillances semblables. Le rapport de CFM indiquait l'existence de deux principaux facteurs contributifs à la rupture du roulement : une contrainte due à une surcharge radiale provoquant l'écaillage de la bague intérieure, et de la corrosion provoquant l'écaillage de la bague extérieure. Ces roulements à billes sont aussi utilisés à d'autres endroits dans le boîtier où aucune anomalie n'a été décelée ni signalée.

    CFM a conclu que la défaillance du roulement à billes en cause dans le présent incident avait été provoquée par une contrainte due à une surcharge radiale qui a donné lieu à l'écaillage de la bague intérieure, dont l'origine se situait à une profondeur de 50 à 70 µm. La contrainte due à une surcharge radiale, également appelée « fatigue par contact », est provoquée par le déplacement de deux surfaces courbes qui roulent l'une sur l'autre, comme un roulement à billes sur une voie de roulementNote de bas de page 5. La géométrie de contact et le mouvement des éléments qui roulent génèrent une contrainte de cisaillement alternative sous la surface, ce qui provoque l'apparition et l'accumulation de criques. Ces criques se propagent ensuite jusqu'à ce qu'il y ait apparition d'une piqûre sur la surface et écaillage. Si cette détérioration se poursuit, il y a défaillance complète du roulement. Les composants de contact en rotation possèdent une durée de vie en fatigue, c'est-à-dire un nombre de cycles à effectuer avant que l'on puisse y déceler des signes d'écaillage dus à la fatigue.

    Il est à noter que les cycles des composants de contact en rotation sont de 7 à 10 fois supérieurs aux cycles des aéronefs. La durée de vie en fatigue des composants de contact en rotation permet habituellement de 106 à 107 cycles avant que l'on puisse y déceler des signes d'écaillage dus à la fatigue. Une lubrification convenable et suffisante de tous les roulements est essentielle à la durée de vie des roulements; la distribution, la température et la viscosité de l'huile réduisent l'usure ainsi que l'écaillage et augmentent la durée de vie en fatigue.

    L'arbre d'entraînement du PMA a également été inspecté et analysé à l'installation régionale d'inspection des épaves du BST. L'inspection du BST a été axée sur les signes d'amorçage d'arc électrique qui, selon l'information recueillie, auraient causé un écaillage similaire des roulements à billes. L'inspection du BST n'a révélé aucun signe d'amorçage d'arc électrique et n'a pas permis d'établir la cause première de l'écaillage.

    Les enquêteurs du BST ont établi qu'il y avait eu variation extrême du nombre moyen des cycles des avions avant la défaillance des roulements à billes due à l'écaillage et à d'autres phénomènes inconnus. Il n'existe cependant aucun lien direct entre les cycles des avions et les cycles des composants de contact en rotation servant à déterminer la durée de vie en fatigue; l'important, c'est le grand nombre de cycles des avions avant la défaillance. Bien que l'industrie se conforme au bulletin de service 72-457, des défaillances de ce roulement à billes continuent de survenir sans égard à la référence et au fabricant. Le BST a également établi que le boîtier d'entraînement des accessoires des Airbus A319, A320 et A321 ainsi que des Boeing 777 est fabriqué par la même entreprise, c'est-à-dire Hispano-Suiza. Tous ces types d'avions ont subi des défaillances de roulements d'arbre d'entraînement du PMA.

    Les bagues des roulements à rouleaux sont situées à l'extrémité opposée de l'arbre d'entraînement et elles sont différentes de celles des roulements à billes. Auparavant identifiées au moyen de numéros de série différents pour la bague intérieure et la bague extérieure, elles font habituellement partie d'un ensemble assorti et, d'après CFM, les deux bagues doivent porter le même numéro de série. Le roulement à rouleaux ne présentait aucune caractéristique inhabituelle, et ni le BST ni CFM n'ont établi si cette différence de numéro de série avait contribué à la défaillance du roulement à billes. Il est à noter que des défaillances de roulements à billes sont survenues alors que les bagues des roulements à rouleaux étaient bien appariées.

    L'Airbus A340-300 est un avion à commandes de vol électriques ne comportant aucune commande de vol ni aucune commande moteur mécaniques classiques; les pilotes actionnent les gouvernes et les moteurs au moyen des calculateurs de bord. Il y a une exception, à savoir la présence d'une commande mécanique de secours de la gouverne de direction et des stabilisateurs munis d'un compensateur. Aucune disposition n'est prévue concernant le fonctionnement mécanique des moteurs en cas de panne du système FADEC. L'ECU est conçu de façon à obtenir automatiquement de l'énergie électrique d'une autre source de l'avion, en cas de panne du PMA. Une panne du PMA est indiquée sur le CFDS du poste de pilotage.

    L'article 33.28 des Federal Aviation Regulations (FAR 33.28) de la Federal Aviation Administration (FAA) des États-Unis et le paragraphe 533.28 du Manuel de navigabilité de la partie V des Normes de service aérien commercial du Règlement de l'aviation canadien (RAC) exigent, notamment, que chaque système de commande moteur dont le fonctionnement normal dépend de dispositifs électriques et éélectroniques respecte les exigences suivantes :

    • b) Ce système doit être conçu et fabriqué de façon que toute anomalie de l'alimentation électrique ou des données fournies par l'aéronef ne produise pas de variation inacceptable de puissance ou de poussée et n'empêche pas le fonctionnement sécuritaire du moteur;
    • c) Ce système doit être conçu et fabriqué de façon qu'aucune défaillance ou anomalie unique, ou combinaison de défaillances d'éléments électriques ou éélectroniques du système de commande, n'entraîne de condition non sécuritaire;
    • e) Tout le logiciel associé doit être conçu et mis en oeuvre de manière à prévenir les erreurs qui pourraient entraîner une perte inacceptable de puissance ou de poussée, ou toute autre condition non sécuritaire. De plus, la méthode de conception et de mise en oeuvre du logiciel doit être approuvée par [l'administrateur] le Ministre.

    Récemment, l'incapacité de l'ECU à obtenir de l'énergie électrique d'une autre source de l'avion lors d'une panne du PMA a causé des arrêts de moteur en vol, notamment à un Airbus A340 exploité par Singapore Airlines en mai 1999, à un Airbus A340 exploité par Virgin Airlines en mai 1999, et à un Airbus A320 exploité par Ansett en septembre 1999.

    Une recherche plus poussée a permis au BST d'établir que l'incapacité de l'ECU à obtenir de l'énergie électrique d'une autre source de l'avion n'est pas un problème propre à l'Airbus A340 ou au moteur CFM56-5C. Un rapport de sécurité (numéro 295661) de la FAA fait état de l'arrêt en vol du moteur d'un Airbus A320 qui a été provoqué par un PMA défectueux. Le 14 mai 2003, un Boeing 777 équipé de deux moteurs Rolls Royce Trent 800 a subi une défaillance en vol semblable, et l'un de ses moteurs s'est arrêté.

    <a name="a2" id="a2"></a>2.0 Analyse

    2.1 Généralités

    L'enquête n'a pas permis d'établir la cause première de l'écaillage, mais, selon toute vraisemblance, elle daterait de la conception ou de l'application, ou des deux. Au moment de l'incident, les deux fabricants des roulements étaient aux prises avec des défaillances similaires, mais d'ampleur différente, notamment une variation extrême du nombre de cycles des avions avant la défaillance. Une telle variation ne mène pas à une prévisibilité raisonnable des défaillances des roulements. Les défaillances survenaient également sur des roulements montés sur différentes combinaisons avion/moteur. Voici les scénarios probables pouvant expliquer ces défaillances :

    • Le roulement est soumis à des températures variant de 120 à 160 °C et il tourne à 20 000 tr/min. Il se peut donc qu'il ait été mal évalué lors de la conception et ne convienne pas à l'application, ce qui entraîne une défaillance prématurée.
    • Il se peut que la distribution de l'huile soit inadéquate et que la température de l'huile soit trop élevée, ce qui entraîne une usure, un écaillage et une fatigue prématurés. L'origine de la défaillance dans la bague intérieure, à une profondeur de 50 à 70 µm, révèle que la lubrification est un facteur critique de l'application.
    • Étant donné le régime élevé du PMA, tout déséquilibre - initial ou après maintenance - peut soumettre les roulements à des contraintes dépassant les tolérances de conception.
    • La corrosion du roulement due à de mauvaises méthodes d'entreposage ou de maintenance peut donner lieu à une défaillance prématurée. Cependant, rien n'indique que la corrosion ait joué un rôle dans le présent incident.

    2.2 Manuels de maintenance de l'Airbus A340

    Les mouvements radial et axial de l'arbre d'entraînement du PMA ne permettent pas, en soi, de tirer de conclusion sur l'état de ce roulement mais, combinés à l'écaillage du rotor du PMA, ils permettent d'établir avec certitude la présence d'un roulement défectueux de l'arbre d'entraînement du PMA. Ni le manuel de maintenance ni le manuel de localisation des pannes de l'Airbus A340 ne prescrivent de limites des mouvements radial ou axial de l'arbre d'entraînement du PMA, pas plus qu'ils ne renferment d'indications selon lesquelles l'écaillage du rotor du PMA peut constituer un signe d'endommagement ou d'usure du roulement de l'arbre d'entraînement. En l'absence de tels renseignements, les techniciens d'entretien ne savaient pas que l'arbre d'entraînement du PMA était défectueux et ils n'ont pas accordé d'importance à l'écaillage inhabituel du rotor du PMA. Cette information supplémentaire aurait favorisé un dépannage plus efficace et aurait probablement permis d'éviter la défaillance du deuxième PMA lors des essais; cependant il est peu probable que cette information aurait permis d'éviter l'incident en vol.

    2.3 Transfert d'énergie électrique du module de commande électronique (ECU)

    L'inspection technique a permis d'établir qu'il y a eu un court-circuit intermittent dans le PMA lorsque la défaillance du roulement à billes a provoqué le contact du rotor avec le stator. Le PMA a ensuite été incapable de générer avec fiabilité l'énergie électrique destinée à l'ECU qui surveille le PMA de façon continue. Si le PMA ne génère plus l'énergie électrique requise, il passe aux autres sources d'énergie électrique de l'avion. Cette commutation aux autres sources d'énergie électrique s'effectue rapidement et, habituellement, sans variation importante des performances moteur. Dans cet incident, l'ECU s'est retrouvé dans une sorte de boucle sans fin faite d'interruptions et de reprises de la puissance fournie par le PMA, boucle qui était le résultat de la défaillance intermittente du PMA. En l'absence de source d'alimentation électrique fiable ou constante, le moteur a fini par s'arrêter. Comme l'ECU était privé d'énergie électrique, les conditions moteur n'ont été transmises ni aux instruments ni au CFDS du poste de pilotage, ce qui a laissé croire aux pilotes que le moteur s'était grippé. CFM a par la suite identifié un problème dans la version logicielle C.3.G de l'ECU, problème qui empêchait la commutation aux autres sources d'énergie électrique de l'avion. Le document de CFM intitulé CFM56-5 Fleet Highlights (publication 00-01-7263-07) indique que CFM était au courant de ce problème depuis novembre 1999. Au début de l'an 2000, on a élaboré une logique logicielle améliorée pour l'ECU qui permettait un meilleur transfert à l'énergie électrique de l'avion, mais elle n'a été certifiée qu'en novembre 2003. Airbus avait identifié la révision du logiciel de l'ECU comme un élément non essentiel, et la mise en oeuvre des révisions non essentielles du logiciel de l'ECU s'est échelonnée sur deux à trois ans.

    Le FADEC conçu pour être utilisé dans la combinaison avion/moteur A340/CFM56-5C a été certifié en partie conformément à la FAR 33.28. De façon générale, cette disposition est prévue pour minimiser les risques qu'une panne du système FADEC nuise à un moteur par ailleurs en bon état de marche. Plus particulièrement, la FAR 33.28(c) a pour objet d'assurer que le FADEC fournit un système de commande moteur jugé équivalent, au niveau de la sécurité et de la fiabilité, à un dispositif hydromécanique. Pour parvenir à ce résultat, le FADEC doit être conçu et certifié de manière à recourir au concept de sûreté intégrée au cas où son fonctionnement viendrait à se dégrader. Autrement dit, le processus de conception et de certification prend pour hypothèse que le FADEC va tomber en panne et que la situation dégradée qui va en résulter ne compromettra pas la sécurité de l'avion pendant la poursuite du vol et l'atterrissage. En cas de panne d'alimentation électrique d'un PMA, le processus de sécurité intégré auquel fait appel le FADEC utilisé dans la combinaison avion/moteur A340/CFM56-5C se fie au logiciel de l'ECU pour obtenir de l'énergie électrique d'une autre source de l'avion et prévenir tout arrêt moteur intempestif en vol.

    De plus, la FAR 33.28(e) exige que le logiciel du FADEC soit conçu et mis en oeuvre de manière à prévenir les erreurs qui pourraient entraîner une perte inacceptable de puissance ou de poussée. Si l'on prend comme hypothèse qu'un arrêt moteur intempestif en vol entre dans la catégorie des pertes inacceptables de puissance ou de poussée, cela signifie qu'une validation du logiciel de l'ECU sera exigée dans le cadre de la certification du FADEC. Toutefois, comme l'illustre le présent incident, l'impossibilité pour l'ECU d'obtenir de l'énergie électrique d'une autre source de l'avion, et ce, à cause d'un problème logiciel connu, soulève des inquiétudes tant au niveau du maintien de la navigabilité du FADEC que du processus de certification qui a permis d'approuver la combinaison avion/moteur A340/CFM56-5C.

    L'incapacité de l'ECU à obtenir de l'énergie électrique d'une autre source de l'avion lors d'une panne du PMA a donné lieu à plusieurs cas récents d'arrêt moteur en vol. Cette incapacité de l'ECU n'est pas un problème propre à l'Airbus A340 ou au moteur CFM56-5C.

    Il est évident que les commandes éélectroniques des moteurs devraient pouvoir fonctionner en cas de panne totale du PMA; cependant, étant donné les défaillances cachées du logiciel des systèmes FADEC du moteur CFM56-5C et peut-être des autres combinaisons avion/moteur, il se peut qu'un moteur s'arrête à la suite d'une perte de l'alimentation électrique du PMA.

    3.0 Faits établis

    3.1 Faits établis quant aux causes et aux facteurs contributifs

    1. à cause d'une contrainte due à une surcharge radiale (fatigue par contact), il y a eu écaillage des billes de la bague intérieure du roulement à billes monté sur l'arbre d'entraînement de l'alternateur à aimants permanents (PMA) du moteur numéro 1, ce qui a provoqué une défaillance du roulement.
    2. Selon toute vraisemblance, la distribution de l'huile, la conception du composant ou une application inappropriée, ou une combinaison de ces facteurs, a provoqué la fatigue par contact des billes du roulement à billes.
    3. Lors de la défaillance du roulement, le rotor du PMA est entré en contact avec le stator et il a créé un court-circuit intermittent à l'intérieur du PMA, privant ainsi le module de commande électronique (ECU) de l'énergie électrique dont il avait besoin.
    4. à cause d'une défaillance connue du logiciel de l'ECU, lorsque l'ECU a cessé d'être alimenté en électricité à cause de la défaillance intermittente du PMA, il a été incapable d'obtenir une alimentation électrique de secours de l'avion, comme ce pour quoi il avait été conçu.
    5. Le moteur numéro 1 s'est arrêté spontanément à cause d'une panne d'alimentation électrique de l'ECU.

    3.2 Faits établis quant aux risques

    1. L'écaillage du rotor du PMA, combiné au jeu de l'arbre d'entraînement, permet d'établir avec certitude que le roulement de l'arbre d'entraînement est endommagé ou usé. Ni le manuel de maintenance ni le manuel de localisation des pannes de l'Airbus A340 ne renferment de renseignements sur un tel écaillage, c'est pourquoi les techniciens d'entretien n'ont pas accordé d'importance aux marques visibles sur le rotor du PMA.
    2. Des procédures écrites concernant le jeu de l'arbre d'entraînement du PMA ou des indications sur l'écaillage du rotor auraient permis au personnel de maintenance d'effectuer un dépannage plus efficace et d'identifier plus rapidement les composants défectueux; elles auraient probablement permis d'éviter la défaillance du deuxième PMA lors des essais.
    3. Cela peut prendre de deux à trois ans avant que les défaillances de logiciel de l'ECU, identifiées par Airbus comme des éléments non essentiels, soient éliminées de tous les différents programmes des moteurs.
    4. La défaillance de logiciel qui a empêché l'ECU d'obtenir une alimentation électrique de l'avion n'ayant pas été décelée pendant le processus de certification, il y a un risque que d'autres problèmes de logiciel soient passés inaperçus pendant la certification.

    3.3 Autres faits établis

    1. Les bagues intérieure et extérieure du roulement à rouleaux du PMA portaient deux numéros de série différents, au lieu de faire partie d'un ensemble assorti, comme l'exige le fabricant.

    <a name="a4" id="a4"></a>4.0 Mesures de sécurité

    4.1 Mesures prises

    CFM International (CFM) a publié le bulletin de service 73-0126 (CFM56-5C, SB 73-0126, en date du 13 novembre 2003), lequel fait passer la version logicielle du module de commande électronique (ECU) de C.3.G à C.3.J et assure que l'ECU passe à l'énergie électrique de l'avion en cas de panne totale ou partielle de l'alternateur à aimants permanents (PMA). Ce bulletin de service ne s'applique qu'à l'Airbus A340 et aux moteurs CFM56-5C, mais tous les logiciels de l'ECU de CFM pour les moteurs CFM56-5 seront dotés de la logique améliorée lors de la sortie de la prochaine version prévue.

    En octobre 2003, Airbus a révisé le manuel de maintenance de l'A340 afin d'y inclure des vérifications précises à faire au moment de la dépose du PMA, à la recherche de traces de contact entre le rotor et le stator ou de la présence de jeu radial de l'arbre d'entraînement du PMA.

    4.2 Mesures à prendre

    4.2.1 Maintien de la navigabilité aérienne

    Le bulletin de service 73-0126 mettra à jour le logiciel de l'ECU afin d'assurer que l'alimentation électrique passe à l'énergie électrique de l'avion. Ce bulletin de service ne vise que les Airbus A340 et, même si CFM en recommande la mise en oeuvre dans les six mois, en réalité, le temps de mise en oeuvre de ce bulletin est laissé à la discrétion de l'exploitant. De plus, Airbus indique avoir lancé des initiatives similaires pour incorporer des mises à jour logicielles sur les moteurs CFM56-5A et -5B utilisés sur ses avions Airbus A319, A320 et A321. On s'attend à ce que le respect de ces bulletins soit également laissé à la discrétion de l'exploitant. En novembre 2004, le nombre total d'aéronefs visés par ces bulletins, figurant au Registre d'immatriculation des aéronefs civils canadiens, était d'environ 120, pour la plupart des bimoteurs.

    Compte tenu du nombre d'aéronefs concernés, du problème connu des défaillances des roulements du PMA, de la fonction essentielle que remplit le logiciel de l'ECU en assurant la fiabilité des moteurs, ainsi que de la nature discrétionnaire des mises à jour logicielles proposées, le Bureau est préoccupé par le fait que, sans intervention réglementaire, cette condition dangereuse va subsister bien au-delà du délai de mise en oeuvre de six mois du bulletin 73-0126 recommandé par le fabricant.

    En conséquence, le Bureau recommande que :

    La Direction Générale de l'Aviation Civile et la Federal Aviation Administration publient des consignes de navigabilité pour exiger l'exécution de tous les bulletins de service portant sur les moteurs CFM56-5 ayant pour objet l'incorporation de mises à jour logicielles conçues pour assurer que, en cas de panne de l'alternateur à aimants permanents (PMA), le module de commande électronique (ECU) passera à l'alimentation électrique de l'avion.
    Recommandation A04-03 du BST

    et que

    Le ministère des Transports assure le maintien de la navigabilité aérienne des aéronefs immatriculés au Canada équipés de moteurs CFM56-5 en élaborant une stratégie de sécurité appropriée pour garantir que, en cas de panne de l'alternateur à aimants permanents (PMA), le module de commande électronique (ECU) passera à l'alimentation électrique de l'avion.
    Recommandation A04-04 du BST

    4.3 Préoccupations liées à la sécurité

    L'enquête a permis d'établir qu'il se pourrait que les anomalies logicielles du système FADEC ne se limitent pas à la combinaison avion/moteur Airbus A340/CFM56-5C. Des anomalies similaires de rendement en service décelées sur d'autres combinaisons avion/moteur Airbus/CFM ont donné lieu à la publication de bulletins de service visant à mettre à jour le logiciel du système FADEC, le but étant d'empêcher tout arrêt moteur intempestif en vol. De plus, la combinaison avion/moteur Boeing 777/Rolls Royce Trent 800 a également connu au moins un incident au cours duquel l'ECU n'a pas réussi à obtenir l'énergie électrique de l'avion à la suite d'une panne du PMA. CFM a catégorisé le logiciel de l'ECU visant à empêcher tout arrêt moteur intempestif en vol comme un élément non essentiel. La période de deux à trois ans nécessaire à la mise en oeuvre d'une mise à jour conçue pour rendre le logiciel conforme à sa base de certification est incompatible avec l'article 33.28 des Federal Aviation Regulations (FAR 33.28).

    Le Bureau croit que les recommandations A04-03 et A04-04 présentées ci-devant vont résoudre les lacunes de sécurité qui touchent la flotte actuelle des avions; il note également que les modifications indispensables pour corriger les anomalies logicielles identifiées dans le cadre de la présente enquête vont être intégrées dans les nouveaux moteurs. Toutefois, le Bureau constate avec inquiétude que le processus de certification, du moins en ce qui concerne la FAR 33.28(e), n'est peut-être pas suffisamment rigoureux pour garantir que les anomalies logicielles sont bien identifiées et corrigées avant tout usage général des logiciels.

    Le présent rapport met un terme à l'enquête du Bureau de la sécurité des transports du Canada (BST) sur cet événement. Le Bureau a autorisé la publication du rapport le .

    5.0 Annexes

    Annexe A - Sigles et abréviations

    BST
    Bureau de la sécurité des transports du Canada
    C
    Celsius
    CFDS
    tableau d'affichage centralisé des pannes
    CFM
    CFM International
    DGAC
    Direction Générale de l'Aviation Civile (France)
    ECU
    module de commande électronique
    FAA
    Federal Aviation Administration (États-Unis)
    FADEC
    système de régulation automatique à pleine autorité redondante
    FAR
    Federal Aviation Regulations
    h
    heure
    nm
    mille(s) marin(s)
    N1
    régime du compresseur basse pression
    N2
    régime du compresseur haute pression
    PMA
    alternateur à aimants permanents
    Snecma
    Société Nationale d'Étude et de Construction de Moteurs d'Aviation (France)
    SNFA
    Société SNFA (France)
    tr/min
    tours par minute
    °
    degré (s)
    µm
    micromètre(s)
    %
    pour cent