L’effondrement du système britannique de contrôle du trafic aérien

 (jameshaydon.github.io)
2 points par GN⁺ 2023-09-12 | 1 commentaires | Partager sur WhatsApp
  • Le 28 août 2023, NATS, l’opérateur du contrôle du trafic aérien au Royaume-Uni, a subi une défaillance technique majeure qui a entraîné l’annulation de plus de 2 000 vols, pour un coût d’environ 100 millions de livres.
  • On a d’abord pensé que le problème provenait d’un plan de vol défectueux émis par une compagnie aérienne française.
  • NATS est un organisme public-privé chargé de l’ensemble du contrôle du trafic aérien britannique, garantissant en toute sécurité la séparation horizontale et verticale des aéronefs.
  • Le problème a été retracé jusqu’à un plan de vol saisi dans le système de plans de vol, qui avait été approuvé par l’Integrated Initial Flight Plan Processing System (IFPS) d’Eurocontrol.
  • Le plan de vol a ensuite été transmis au sous-système Flight Plan Reception Suite Automated (FPRSA-R) de NATS, qui convertit ces données dans un format compatible avec le National Airspace System (NAS) du Royaume-Uni.
  • Le système FPRSA-R n’a pas pu traiter un plan de vol contenant deux waypoints portant le même nom, ce qui a provoqué l’arrêt du système.
  • Cette défaillance a fait basculer à la fois le système principal et le système de secours FPRSA-R en mode maintenance, interrompant le traitement automatisé des plans de vol.
  • Cet incident a mis en évidence un bug dans le logiciel FPRSA-R, soulignant la nécessité d’améliorer les tests du système et les modes de défaillance.
  • Malgré les difficultés techniques, les contrôleurs aériens ont garanti la sécurité de tous les vols dans l’espace aérien britannique pendant l’incident.
  • L’incident a relancé les discussions sur l’usage de la vérification formelle et du model checking dans des systèmes critiques pour la sécurité comme le contrôle du trafic aérien.
  • L’article explique le processus d’alignement entre les plans de vol ICAO et ADEXP, qui consiste notamment à faire correspondre les points de départ et d’arrivée.
  • La fonction d’alignement calcule tous les alignements possibles afin d’identifier les ambiguïtés dans les données, puis signale ces plans de vol pour un traitement manuel.
  • L’article fournit un guide étape par étape pour extraire la partie britannique d’un plan de vol.
  • Si le système ne trouve pas la partie britannique et atteint la fin du plan, il renvoie une erreur.
  • L’article propose un exemple détaillé de test de la fonction d’alignement avec un plan de vol spécifique.
  • Le système peut traiter un grand plan de vol comprenant 158 waypoints entre Londres et Sydney, et renvoyer un résultat presque instantanément.
  • L’article souligne que, même avec des identifiants dupliqués dans le plan de vol, la fonction d’alignement peut correctement faire correspondre les données ICAO et ADEXP et définir le bon sous-parcours.

À lire aussi

1 commentaires

 
GN⁺ 2023-09-12
Commentaires Hacker News
  • Le système britannique de contrôle du trafic aérien est tombé en panne à cause d’un bug logiciel lié au cloisonnement de requêtes « géographiquement distinctes ».
  • Le système n’a pas su gérer une situation où le même nom de waypoint était utilisé deux fois sur un itinéraire pour désigner des lieux différents, un cas qui n’avait pas été anticipé dans la conception du logiciel.
  • Le système est passé en « mode maintenance » lorsqu’il a rencontré une « exception critique », puis s’est arrêté. Le système de secours a lui aussi planté à cause du même bug.
  • Des critiques visent l’absence d’une méthode appelée « ValidateFlightPlan » qui lèverait une erreur lorsqu’un plan de vol ne peut pas être analysé, ainsi que l’absence d’une fonction permettant de placer les plans de vol en échec dans une file d’attente pour examen humain.
  • Le problème n’a pu être confirmé qu’après avoir contacté l’éditeur du logiciel et examiné des logs de bas niveau.
  • Le fait que la faute ait été imputée à un plan de vol français déjà accepté par Eurocontrol suscite des inquiétudes quant à une mauvaise compréhension du fonctionnement du logiciel.
  • Cet incident a provoqué d’importantes perturbations de voyage, un utilisateur indiquant un trajet de 15 heures au lieu des 2 heures habituelles.
  • Des voix demandent une validation plus stricte des données d’entrée dans les systèmes logiciels, même lorsque ces données proviennent de sources fiables, afin d’éviter ce type de défaillance.
  • Cet incident a soulevé des questions sur les conséquences potentielles pour Frequentis, l’éditeur du logiciel.