Un mauvais design logiciel peut provoquer la collision d’un navire de guerre
(imseongkang.wordpress.com)Le 21 août 2017, l’USS John S. McCain (DDG-56), un destroyer Aegis de 9 000 tonnes de l’US Navy, est entré en collision avec le pétrolier Alnic MC, d’une capacité de 30 000 tonnes, dans le détroit de Malacca près de Singapour. L’accident a fait 10 morts et 5 blessés parmi les membres d’équipage. Il s’est produit dans une voie maritime très fréquentée, à la suite d’un retard d’environ trois minutes dans le transfert des commandes à bord du John S. McCain. Le vice-amiral Joseph P. Aucoin, commandant de la 7e flotte américaine à laquelle appartenait le navire, a été relevé de ses fonctions juste après l’accident.
Le rapport du NTSB américain (National Transportation Safety Board), chargé de l’enquête, a identifié plusieurs causes, dont le design inadapté de l’IBNS (Integrated Bridge and Navigation System) installé sur le John S. McCain un an avant l’accident. Dans le cadre de la modernisation du bâtiment, l’interface de commande de la direction et de la propulsion avait été remplacée par un logiciel à écran tactile. Or, l’UI globale de cette interface était mal conçue, ce qui augmentait fortement la complexité, rendait les erreurs humaines plus probables et faisait qu’elles étaient difficiles à repérer immédiatement. Cela a contribué à l’accident. L’US Navy a donc décidé d’abandonner les interfaces de commande à écran tactile et de revenir à des dispositifs mécaniques traditionnels.
À première vue, on pourrait croire que le simple fait d’avoir adopté des écrans tactiles était une erreur. En réalité, le problème fondamental venait surtout d’une mauvaise UI, qui avait accru la complexité. À ce sujet, le livre [Meltdown: Why Our Systems Fail and What We Can Do About It](Chris Clearfield · András Tilcsik, 2019) explique, à travers plusieurs cas, à quel point il est dangereux de laisser augmenter la complexité ou le degré de couplage d’un système. L’article lié détaille, en se concentrant sur le design de l’interface utilisateur de l’IBNS mentionné plus haut, les points qui posaient problème. (coréen)
5 commentaires
L’ironie d’un retour aux interfaces d’antan à cause de l’échec de l’UI/UX moderne
Le livre mentionné plus haut, [Meltdown], présente aussi des cas de catastrophes causées par des problèmes d’UI/UX. Par exemple, dans le [crash du vol Air France 447 dans l’Atlantique] survenu en 2009, l’accident s’est produit parce que le copilote, peu expérimenté, a paniqué face à une situation soudaine et a continué à tirer sur le manche. Parmi les facteurs ayant contribué à l’accident, il y avait aussi le fait que le pilote qui avait compris la gravité de la situation avait bien pris les commandes, mais s’est rendu compte beaucoup trop tard que le copilote continuait malgré tout à tirer sur le manche. Une alarme signalait bien que des commandes contradictoires étaient entrées depuis le manche du commandant de bord et celui du copilote, mais comme plusieurs alertes retentissaient déjà en même temps, lorsqu’ils s’en sont aperçus, il était déjà trop tard.
Crash du vol Air France 447 dans l’Atlantique :
https://rhfvm1111.blog.me/220275551718
Même si cet exemple ne figure pas dans le livre, il existe de nombreux cas où une interface de commande ou un logiciel défaillant a provoqué des accidents, ne serait-ce que dans le domaine aérien évoqué plus haut. Par exemple, dans le [crash du vol China Airlines 140 à l’aéroport de Nagoya] en 1994, une catastrophe majeure s’est produite à la suite de la combinaison d’une mauvaise manipulation d’un levier facile à actionner par erreur par le pilote et du fait qu’un logiciel de pilotage automatique affecté d’un bug grave n’avait pas été mis à jour. Plus récemment, dans le cas du Boeing 737 MAX, devenu un sujet majeur après les [crashs du vol Lion Air 610] et du [vol Ethiopian Airlines 302] survenus coup sur coup, la cause fondamentale des accidents était un SPOF (point de défaillance unique) créé par le logiciel de pilotage automatique. Sur le Boeing 737 MAX, une fonction permettant, dans certaines situations, d’agir sur le stabilisateur horizontal indépendamment de la volonté du pilote avait été ajoutée au logiciel de pilotage automatique sans explications suffisantes. Or cette fonction n’utilisait la valeur que d’un seul des deux capteurs installés sur l’appareil ; lorsque ce capteur est tombé en panne, la trajectoire de l’avion s’est retrouvée forcée dans une direction menant au crash, ce qui a fini par provoquer l’accident. De plus, une fonction d’alerte signalant que les deux capteurs indiquaient des valeurs différentes était bien intégrée à l’origine, mais Boeing l’a transformée en option payante, si bien que les pilotes n’ont pas pu recevoir d’avertissement correct.
Crash du vol China Airlines 140 à l’aéroport de Nagoya :
https://rhfvm1111.blog.me/220226606257
Défauts du Boeing 737 MAX :
https://namu.wiki/w/%EB%B3%B4%EC%9E%89%20737%20MAX/%EA%B2%B0%ED%95%A8
Un autre exemple emblématique où des problèmes d’interface utilisateur se sont combinés à une erreur humaine est l’incident de 1988 au cours duquel le croiseur Aegis de l’US Navy USS Vincennes (CG-49) a confondu un avion civil iranien avec un chasseur et l’a abattu. Avec la remontée des tensions entre les États-Unis et l’Iran, cela m’y a fait repenser.
Incident de la destruction du vol Iran Air 655 par l’USS Vincennes :
https://namu.wiki/w/…
Il y a malheureusement beaucoup de cas de ce genre. Dans les domaines où des vies humaines sont en jeu, la fiabilité et l’intuitivité sont, plus que tout, essentielles.
Même lorsqu’on améliore l’UI/UX, dans ce type de domaine, il faut mettre l’accent sur ces aspects plutôt que sur l’esthétique ou la commodité.
Une récente vidéo de reconstitution de l’accident du vol China Airlines 140 à l’aéroport de Nagoya a été publiée. On y voit comment plusieurs facteurs — une interface de commande propice aux erreurs, des dispositifs de sécurité défaillants, la lenteur de la compagnie aérienne à corriger ces défauts en temps voulu, ainsi que la mauvaise compréhension par les pilotes des fonctions d’automatisation — se sont combinés pour provoquer une catastrophe majeure en moins de deux minutes après une erreur.
https://www.youtube.com/watch?v=IN4Y7dWXY1s