Системная авария

Системная авария (или обычная авария ) — это «непредвиденное взаимодействие множества отказов» в сложной системе . ^{[ 1 ]} Эта сложность может быть связана либо с технологией, либо с человеческими организациями, а зачастую и с тем, и с другим. Системную аварию легко заметить задним числом, но чрезвычайно сложно предвидеть, потому что существует слишком много вариантов действий, чтобы серьезно рассмотреть их все. Чарльз Перроу впервые развил эти идеи в середине 1980-х годов. ^{[ 2 ]} Сами системы безопасности иногда представляют собой дополнительную сложность, которая приводит к такого рода авариям. ^{[ 3 ]}

Пилот и писатель Уильям Лангевише использовал концепцию Перроу в своем анализе факторов, повлиявших на авиационную катастрофу 1996 года. В 1998 году он писал в The Atlantic : «Контроль и эксплуатация некоторых из самых рискованных технологий требуют настолько сложных организаций, что серьезные сбои практически гарантированы». ^{[ 4 ]}^{[ а ]}

Характеристики и обзор

В 2012 году Чарльз Перроу писал: «Обычная авария [системная авария] — это когда каждый очень старается действовать осторожно, но неожиданное взаимодействие двух или более сбоев (из-за интерактивной сложности) вызывает каскад сбоев (из-за тесной связи). ." Перроу использует термин « нормальная авария», чтобы подчеркнуть, что, учитывая нынешний уровень технологий, такие аварии весьма вероятны в течение ряда лет или десятилетий. ^{[ 5 ]} Джеймс Ризон расширил этот подход, добавив к нему человеческую надежность. ^{[ 6 ]} и модель швейцарского сыра , которая в настоящее время широко принята в сфере авиационной безопасности и здравоохранения.

Эти несчастные случаи часто напоминают устройства Руба Голдберга в том смысле, что небольшие ошибки в суждениях, технологические недостатки и незначительные повреждения объединяются, образуя возникающую катастрофу. Лангевише пишет о «целой воображаемой реальности, которая включает в себя неработоспособные цепочки командования, необучаемые программы обучения, нечитаемые инструкции и фиктивные правила, проверки и контроль». ^{[ 4 ]} Чем больше формальностей и усилий, чтобы сделать все правильно, тем выше вероятность неудачи. ^{[ 4 ]}^{[ б ]} Например, сотрудники с большей вероятностью будут откладывать сообщение о любых изменениях, проблемах и непредвиденных условиях, если организационные процедуры, связанные с адаптацией к изменяющимся условиям, сложны, трудны или трудоемки.

Противоположной идеей является идея организации с высокой надежностью . ^{[ 7 ]} в своей оценке уязвимостей сложных систем Скотт Саган Например, в многочисленных публикациях обсуждает их высокую надежность, особенно в отношении ядерного оружия. В книге «Пределы безопасности» (1993) представлен обширный обзор опасных ситуаций во время « холодной войны» , которые могли случайно привести к ядерной войне. ^{[ 8 ]}

Примеры системных аварий

Аполлон-13

Комиссия по обзору Аполлона-13 заявила во введении к пятой главе своего отчета: [выделено автором] ^{[ 9 ]}

... Было установлено, что авария произошла не в результате случайной неисправности в статистическом смысле, а, скорее, в результате необычного сочетания ошибок в сочетании с несколько несовершенной и неумолимой конструкцией ...

(g): При проверке этих процедур перед полетом представители НАСА, ER и Beech не признавали возможность повреждения из-за перегрева. Многие из этих чиновников не знали о продленной работе обогревателя. В любом случае можно было ожидать, что соответствующие термостатические выключатели защитят резервуар.

Авария на Три-Майл-Айленде

Перроу считал аварию на Три-Майл-Айленде нормальной : ^{[ 10 ]}

Это напоминало другие аварии на атомных станциях и в других высокорискованных, сложных и сильно взаимозависимых системах оператор-машина; ни одна из аварий не была вызвана некомпетентностью руководства или оператора или плохим государственным регулированием, хотя эти характеристики существовали и их следовало ожидать. Я утверждал, что авария была нормальной, поскольку в сложных системах неизбежно возникает множество неисправностей, которых нельзя избежать путем планирования и которые операторы не могут сразу понять.

Рейс 592 компании ValuJet

11 мая 1996 года рейс 592 Valujet , регулярный рейс ValuJet Airlines из Майами Интернэшнл в Хартсфилд-Джексон Атланта, разбился примерно через 10 минут после взлета в результате пожара в грузовом отсеке, вызванного неправильно хранившимся и маркированным опасным грузом. . Все 110 человек на борту погибли. До крушения у авиакомпании были плохие показатели безопасности. Авария привлекла широкое внимание к проблемам руководства авиакомпании, включая недостаточную подготовку сотрудников по правильному обращению с опасными материалами. Руководство по техническому обслуживанию самолета МД-80 документировало необходимые процедуры и было в некотором смысле «правильным». Однако оно было настолько огромным, что не было ни полезным, ни информативным. ^{[ 4 ]}

Финансовые кризисы и инвестиционные потери

В монографии 2014 года экономист Алан Блиндер заявил, что из-за сложных финансовых инструментов потенциальным инвесторам трудно судить о разумности цены. В разделе, озаглавленном «Урок № 6: Чрезмерная сложность не только антиконкурентна, но и опасна», он далее заявил: «Но большая опасность может исходить от непрозрачности. Когда инвесторы не понимают риски, присущие ценным бумагам, они купить (примеры: мезонинный транш CDO-Squared ; CDS на синтетический CDO ...), можно допустить большие ошибки, особенно если рейтинговые агентства говорят вам, что они имеют тройной А, а именно, достаточно безопасны для бабушки. Поэтому, когда наступит крах, потери могут оказаться намного большими, чем инвесторы могли себе представить. Рынки могут иссякнуть, поскольку никто не знает, сколько на самом деле стоят эти ценные бумаги. Таким образом, сложность сама по себе является источником риска». ^{[ 11 ]}

Постоянные проблемы

Безопасность воздушного транспорта

Несмотря на значительный рост безопасности самолетов с 1980-х годов, существует обеспокоенность по поводу того, что автоматизированные пилотажные системы стали настолько сложными, что они увеличивают риски, возникающие из-за чрезмерного усложнения, и непонятны экипажам, которые должны с ними работать. В качестве примера специалисты авиационной отрасли отмечают, что такие системы иногда переключаются или включаются самостоятельно; Экипаж в кабине не обязательно понимает причину своего автоматического взаимодействия, что вызывает недоумение. Лангевише цитирует инженера-промышленника Надин Сартер , которая пишет о «сюрпризах автоматизации», часто связанных с режимами системы, которые пилот не до конца понимает или на которые система переключается сама. Фактически, один из наиболее частых вопросов, задаваемых сегодня в кабинах пилотов, звучит так: «Что он сейчас делает?» В ответ на это Лангевише указывает на пятикратное увеличение авиационной безопасности и пишет: «Никто не может рационально выступать за возврат к гламуру прошлого». ^{[ 12 ]}

В статье, озаглавленной «Человеческий фактор», Лангевише обсуждает крушение рейса 447 Air France в 2009 году над средней Атлантикой. Он отмечает, что с 1980-х годов, когда начался переход на автоматизированные системы кабины, безопасность повысилась в пять раз. Лангвише пишет: «В уединении кабины, вне поля зрения общественности, пилотам отведена обыденная роль системных администраторов». Он цитирует инженера Эрла Винера, который берет за основу юмористическое высказывание, приписываемое герцогине Виндзорской, о том, что нельзя быть слишком богатым или слишком худым, и добавляет: «или слишком осторожным в том, что вы вкладываете в цифровую систему управления полетом». Винер говорит, что эффект автоматизации обычно заключается в уменьшении рабочей нагрузки, когда она легкая, и в ее увеличении, когда она тяжелая.

Инженер Boeing Дельмар Фадден заявил, что как только в системах управления полетом будут добавлены мощности, их удаление станет невозможно дорогостоящим из-за требований сертификации. Но если его не использовать, он может в каком-то смысле скрываться в невидимых глубинах. ^{[ 12 ]}

Взаимодействие теории и практики

Человеческий фактор при реализации процедур безопасности играет роль в общей эффективности систем безопасности. Проблемы с обслуживанием часто встречаются в резервированных системах. Бригады технического обслуживания могут не вернуть резервную систему в активное состояние. Они могут быть перегружены работой или обслуживание может быть отложено из-за сокращения бюджета, поскольку менеджеры знают, что их система будет продолжать работать без ремонта резервной системы. ^{[ 3 ]} Шаги процедур могут быть изменены и адаптированы на практике, начиная с формальных правил безопасности, часто способами, которые кажутся целесообразными и рациональными, и могут иметь важное значение для удовлетворения временных ограничений и рабочих требований. В статье «Наука безопасности» 2004 года , в которой сообщается об исследованиях, частично поддержанных Национальным научным фондом и НАСА, Нэнси Левесон пишет: ^{[ 13 ]}

Однако инструкции и письменные процедуры почти никогда не соблюдаются в точности, поскольку операторы стремятся стать более эффективными и производительными и справляться с нехваткой времени ... даже в таких сильно ограниченных и высокорискованных средах, как атомные электростанции, неоднократно обнаруживаются модификации инструкций. и нарушение правил кажется вполне рациональным, учитывая реальную рабочую нагрузку и временные ограничения, в которых операторы должны выполнять свою работу. В таких ситуациях существует основной конфликт между ошибкой, рассматриваемой как отклонение от нормативной процедуры , и ошибкой, рассматриваемой как отклонение от рациональной и обычно используемой эффективной процедуры .

См. также

Непредвиденные последствия

Примечания

↑ В той же статье Лангевише продолжил: [выделено автором] ^{[ 4 ]}
Пилотам вроде меня труднее принять мышление Чарльза Перроу. Перроу непреднамеренно пришел к своей теории об обычных несчастных случаях после изучения недостатков крупных организаций. Его точка зрения не в том, что некоторые технологии более рискованны, чем другие, что очевидно, а в том, что контроль и эксплуатация некоторых из наиболее рискованных технологий требуют настолько сложных организаций, что серьезные сбои практически гарантированы . Эти сбои иногда будут сочетаться непредвиденным образом, и если они вызовут дальнейшие сбои в операционной среде тесно взаимосвязанных процессов, сбои выйдут из-под контроля, сводя на нет все вмешательства.
- Уильям Лангевише (март 1998 г.), «Уроки Valujet 592», стр. 23 [Раздел: «Обычная авария » , The Atlantic.
↑ См. особенно последние три абзаца этой 30-страничной статьи Atlantic : «… Понимание того, почему может помешать нам сделать систему еще более сложной и, следовательно, возможно, более опасной». ^{[ 4 ]}

Источники

Чарльз Перроу (1984). Обычные несчастные случаи: жизнь с технологиями повышенного риска . ISBN 0-465-05143-Х . Викиданные Q114963622 .
Чарльз Перроу (1999). Обычные несчастные случаи: жизнь с технологиями повышенного риска: с новым послесловием и припиской к проблеме Y2K . Издательство Принстонского университета . ISBN 0-691-00412-9 . Викиданные Q114963670 .

Ссылки

^ Перроу 1999 , с. 70.
^ Перроу 1984 .
^ Перейти обратно: ^а ^б Перроу 1999 .
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж Лангевише, Уильям (1 марта 1998 г.). «Уроки ValuJet 592» . Атлантика .
^ Перроу, Чарльз (декабрь 2012 г.). «На пути к катастрофе: концентрации, сложность и взаимосвязь» . Монреальское обозрение .
^ Причина, Джеймс (26 октября 1990 г.). Человеческая ошибка . Издательство Кембриджского университета . ISBN 0-521-31419-4 .
^ Кристиансон, Марлис К; Сатклифф, Кэтлин М; Миллер, Мелисса А; Ивашина, Теодор Дж (2011). «Стать организацией высокой надежности» . Критическая помощь . 15 (6): 314. дои : 10.1186/cc10360 . ПМЦ 3388695 . ПМИД 22188677 .
^ Саган, Скотт Д. (1993). Пределы безопасности: организации, аварии и ядерное оружие . Издательство Принстонского университета. ISBN 0-691-02101-5 .
^ Председатель Эдгар М. Кортрайт. «Глава 5. Выводы, определения и рекомендации». ОТЧЕТ ОБЗОРНОЙ КОМИССИИ АПОЛЛОНА-13 («Правильный отчет») (Отчет).
^ Перроу, Чарльз (1982). «16. Президентская комиссия и обычная случайность» . У Дэвида Л. Силлса; КП Вольф; Вивьен Б. Шелански (ред.). Авария на Три-Майл-Айленде: человеческое измерение . Боулдер, Колорадо, США: Westview Press. стр. 173–184. ISBN 978-0-86531-165-7 .
^ Блиндер, Алан С. (ноябрь 2014 г.). «Чему мы научились из финансового кризиса, Великой рецессии и жалкого восстановления?» (PDF) . Рабочие документы Центра исследований экономической политики Грисволда . Принстонский университет. № 243.
^ Перейти обратно: ^а ^б Лангевише, Уильям (17 сентября 2014 г.). «Человеческий фактор: должны ли самолеты летать сами?» . Ярмарка тщеславия . ... пилотам отведена обыденная роль системных менеджеров ... С 1980-х годов, когда начались изменения, показатели безопасности улучшились в пять раз, до нынешнего несчастного случая со смертельным исходом на каждые пять миллионов вылетов. Никто не может рационально выступать за возвращение к очарованию прошлого.
^
Левесон, Нэнси (апрель 2004 г.). «Новая модель аварий для создания более безопасных систем» (PDF) . Наука безопасности . 42 (4): 237–270. дои : 10.1016/S0925-7535(03)00047-X . ... На самом деле, обычным способом оказания давления на руководство рабочих без фактической забастовки является «работа по правилам», что может привести к падению производительности и даже к хаосу ...
- Цитирование: Расмуссен, Йенс; Пейтерсен, Аннелиза Марк; Гудштейн, LP (1994). Когнитивная системная инженерия . Нью-Йорк: Уайли. ISBN 978-0-471-01198-9 .

Дальнейшее чтение

Бекхэм, Дж. Дэниел (январь 1999 г.). «Крушение ValuJet 592» . Качество . Компания Бекхэм. Статья от консалтинговой компании в области здравоохранения. Архивировано из оригинала 4 марта 2016 года. Аварии в Чернобыле и на Три-Майл-Айленде были вызваны неисправными системами безопасности. Прямая загрузка статьи
Купер, Алан (5 марта 2004 г.). Приютом управляют заключённые: почему высокотехнологичные продукты сводят нас с ума и как восстановить здравомыслие . Индианаполис: Сэмс; Образование Пирсона . ISBN 0-672-31649-8 .
Гросс, Майкл Джозеф (29 мая 2015 г.). «Жизнь и смерть в Cirque du Soleil» , в статье журнала Vanity Fair говорится: «…Системная авария — это такая ситуация, которая требует, чтобы многие вещи пошли не так в каскаде. Измените любой элемент каскада, и авария вполне может не произойти». но каждый элемент разделяет вину ..."
Хельмрайх, Роберт Л. (1994). «Анатомия системной аварии: крушение рейса 052 Avianca». Международный журнал авиационной психологии . 4 (3): 265–284. дои : 10.1207/s15327108ijap0403_4 . ПМИД 11539174 .
Хопкинс, Эндрю (июнь 2001 г.). «Был ли Три-Майл-Айленд обычным несчастным случаем?» (PDF) . Журнал непредвиденных обстоятельств и кризисного управления . 9 (2): 65–72. дои : 10.1111/1468-5973.00155 . Архивировано из оригинала (PDF) 29 августа 2007 г. Проверено 6 марта 2008 г.
Beyond Engineering: A New Way of Thinking About Technology , Тодд Ла Прот, Карлин Робертс и Джин Рохлин, Oxford University Press, 1997. В этой книге представлены противоположные примеры сложных систем, которые имеют хорошие показатели безопасности.
Пиджон, Ник (22 сентября 2011 г.). «Оглядываясь назад: обычные несчастные случаи». Природа .
Перроу, Чарльз (29 мая 2000 г.), Организационно вызванные катастрофы (PDF) , Университетская корпорация атмосферных исследований ; Институт изучения общества и окружающей среды, заархивировано из оригинала (PDF) 5 декабря 2018 г. , получено 6 февраля 2009 г.
Руш, Уэйд Эдмунд (1994). Катастрофа и контроль: как технологические катастрофы усиливают демократию (докторская диссертация). Массачусетский технологический институт. п. 15: « Обычные несчастные случаи» сегодня является важной книгой для промышленных менеджеров, организационных социологов, историков технологий и заинтересованных непрофессионалов, поскольку она показывает, что основная стратегия, которую инженеры использовали в этом столетии, чтобы держать опасные технологии под контролем – несколько уровней «неудач». «безопасные» резервные устройства — часто добавляют опасный уровень непредсказуемости системе в целом ...
«Испытания показывают, что кислородные баллоны вызывают сильное пламя» . CNN . 19 ноября 1996 г. Проверено 6 марта 2008 г.
Уоллес, Брендан (5 марта 2009 г.). За пределами человеческих ошибок . Флорида: CRC Press. ISBN 978-0-8493-2718-6 .

[5] В той же статье Лангевише продолжил: [выделено автором] ^{[ 4 ]}
Пилотам вроде меня труднее принять мышление Чарльза Перроу. Перроу непреднамеренно пришел к своей теории об обычных несчастных случаях после изучения недостатков крупных организаций. Его точка зрения не в том, что некоторые технологии более рискованны, чем другие, что очевидно, а в том, что контроль и эксплуатация некоторых из наиболее рискованных технологий требуют настолько сложных организаций, что серьезные сбои практически гарантированы . Эти сбои иногда будут сочетаться непредвиденным образом, и если они вызовут дальнейшие сбои в операционной среде тесно взаимосвязанных процессов, сбои выйдут из-под контроля, сводя на нет все вмешательства.
- Уильям Лангевише (март 1998 г.), «Уроки Valujet 592», стр. 23 [Раздел: «Обычная авария » , The Atlantic.

[8] См. особенно последние три абзаца этой 30-страничной статьи Atlantic : «… Понимание того, почему может помешать нам сделать систему еще более сложной и, следовательно, возможно, более опасной». ^{[ 4 ]}

[FOOTNOTEPerrow199970-1] Перроу 1999 , с. 70.

[FOOTNOTEPerrow1984-2] Перроу 1984 .

[FOOTNOTEPerrow1999-3] Перейти обратно: ^а ^б Перроу 1999 .

[langew_atlantic-4] Перейти обратно: ^а ^б ^с ^д ^и ^ж Лангевише, Уильям (1 марта 1998 г.). «Уроки ValuJet 592» . Атлантика .

[6] Перроу, Чарльз (декабрь 2012 г.). «На пути к катастрофе: концентрации, сложность и взаимосвязь» . Монреальское обозрение .

[7] Причина, Джеймс (26 октября 1990 г.). Человеческая ошибка . Издательство Кембриджского университета . ISBN 0-521-31419-4 .

[9] Кристиансон, Марлис К; Сатклифф, Кэтлин М; Миллер, Мелисса А; Ивашина, Теодор Дж (2011). «Стать организацией высокой надежности» . Критическая помощь . 15 (6): 314. дои : 10.1186/cc10360 . ПМЦ 3388695 . ПМИД 22188677 .

[10] Саган, Скотт Д. (1993). Пределы безопасности: организации, аварии и ядерное оружие . Издательство Принстонского университета. ISBN 0-691-02101-5 .

[Apollo13_rb-11] Председатель Эдгар М. Кортрайт. «Глава 5. Выводы, определения и рекомендации». ОТЧЕТ ОБЗОРНОЙ КОМИССИИ АПОЛЛОНА-13 («Правильный отчет») (Отчет).

[12] Перроу, Чарльз (1982). «16. Президентская комиссия и обычная случайность» . У Дэвида Л. Силлса; КП Вольф; Вивьен Б. Шелански (ред.). Авария на Три-Майл-Айленде: человеческое измерение . Боулдер, Колорадо, США: Westview Press. стр. 173–184. ISBN 978-0-86531-165-7 .

[13] Блиндер, Алан С. (ноябрь 2014 г.). «Чему мы научились из финансового кризиса, Великой рецессии и жалкого восстановления?» (PDF) . Рабочие документы Центра исследований экономической политики Грисволда . Принстонский университет. № 243.

[Langewiesche-2014-14] Перейти обратно: ^а ^б Лангевише, Уильям (17 сентября 2014 г.). «Человеческий фактор: должны ли самолеты летать сами?» . Ярмарка тщеславия . ... пилотам отведена обыденная роль системных менеджеров ... С 1980-х годов, когда начались изменения, показатели безопасности улучшились в пять раз, до нынешнего несчастного случая со смертельным исходом на каждые пять миллионов вылетов. Никто не может рационально выступать за возвращение к очарованию прошлого.

[Leveson_2004-15] Левесон, Нэнси (апрель 2004 г.). «Новая модель аварий для создания более безопасных систем» (PDF) . Наука безопасности . 42 (4): 237–270. дои : 10.1016/S0925-7535(03)00047-X . ... На самом деле, обычным способом оказания давления на руководство рабочих без фактической забастовки является «работа по правилам», что может привести к падению производительности и даже к хаосу ...
Цитирование: Расмуссен, Йенс; Пейтерсен, Аннелиза Марк; Гудштейн, LP (1994). Когнитивная системная инженерия . Нью-Йорк: Уайли. ISBN 978-0-471-01198-9 .

[16] Цитирование: Расмуссен, Йенс; Пейтерсен, Аннелиза Марк; Гудштейн, LP (1994). Когнитивная системная инженерия . Нью-Йорк: Уайли. ISBN 978-0-471-01198-9 .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ а ]

[ 5 ]

[ 6 ]

[ б ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]