?Неуязвимость! Отчего системы дают сбой и как с этим бороться
Шрифт:
Первый фактор касается того, как различные части системы взаимодействуют друг с другом. Некоторые системы линейны: это как сборочный конвейер на автомобильном заводе, где все происходит в легко предсказуемой последовательности. Каждая машина проходит от первого узла сборки ко второму, затем к третьему и так далее. На каждом из этих этапов на нее устанавливаются различные детали. И если на каком-то из них происходит сбой, то сразу становится очевидным, на каком именно. Понятны также и последствия: машины могут не достигнуть следующего сборочного узла и скопиться на том, где произошел сбой. В системах такого рода различные их части взаимодействуют друг с другом преимущественно в очевидном и предсказуемом режиме.
Другие
Усложняет ситуацию тот факт, что значительная часть работы сложных систем проходит незаметно для невооруженного глаза. Представьте, что вы идете по тропе, которая спускается по краю скалы. Вы находитесь всего в нескольких шагах от пропасти, но вас оберегают ваши органы чувств. Ваша голова и глаза сконцентрированы на том, чтобы не дать вам оступиться или подойти слишком близко к краю.
Теперь представьте, что вы вынуждены идти по тому же маршруту, используя бинокль. Сейчас вы уже не можете видеть всю картину целиком. Вместо этого вам приходится ориентироваться по узким и не всегда четким секторам видимости. Вы смотрите туда, куда должна ступить левая нога. Потом сдвигаете бинокль, чтобы определить расстояние до края тропы. Затем готовитесь передвинуть правую ногу и снова переводите взгляд на тропу. А представьте, что вы бежите по тропе вниз, полагаясь только на эпизодически возникающие и нечеткие картины. Именно это мы и делаем, когда пытаемся управлять сложной системой.
Перроу быстро понял, что различие между линейной и сложной системами заключается не в их продвинутости. Сборочный конвейер на автозаводе точно не назовешь простым, и тем не менее его части взаимодействуют друг с другом преимущественно линейным и понятным образом. Или возьмите плотины. Они представляют собой вершину инженерного искусства, но не являются сложными.
В случае со сложными системами мы не можем забраться внутрь, чтобы посмотреть, что творится «в животе у чудовища». В оценке большинства ситуаций мы вынуждены опираться на непрямые показатели. Например, на АЭС мы не можем послать кого-то посмотреть, что происходит в активной зоне действующего реактора. Мы должны собирать воедино всю картину по маленьким кусочкам – показаниям датчиков давления, замерам расхода воды и т. п. Мы видим кое-что, но не все. Поэтому наш диагноз легко может стать ошибочным.
И вот когда мы имеем дело со сложными взаимодействиями внутри системы, небольшие изменения в ней могут произвести огромный эффект. На АЭС Three Mile Island чашка нерадиоактивной воды вызвала потерю тысяч литров радиоактивной охлаждающей жидкости. Это «эффект бабочки» из теории хаоса: концепция, согласно которой взмах крыльев бабочки в Бразилии может создать условия для торнадо в Техасе {33} . Пионеры теории хаоса понимали, что всех наших моделей и измерений никогда не будет достаточно для предсказания последствия «эффекта бабочки». Перроу утверждал нечто подобное: мы просто не можем в достаточной степени понять комплексные системы, чтобы предсказать все возможные последствия даже небольшого сбоя.
33
Edward N. Lorenz. Deterministic Nonperiodic Flow // Journal of the Atmospheric Sciences, 20, no. 2, 1963. P. 130–141; Edward N. Lorenz. The Essence of Chaos. Seattle: University of Washington Press, 1993. P. 181–184.
IV
Второй
В жестко связанных системах недостаточно преимущественно все делать правильно. Количество входящих импульсов должно быть точным, и они должны быть особым образом соединены по порядку и во времени. Повторное выполнение задачи в том случае, если не вышло с первого раза, обычно невозможно. Замены и альтернативные методы срабатывают редко – есть только один правильный порядок действий. Все происходит очень быстро, и мы не можем просто выключить систему, решая возникшую в ней проблему.
Возьмите атомные электростанции. Управление ядерной реакцией требует создания ряда специфических условий, где даже небольшое отклонение от нормального процесса (типа заклинившего клапана компенсатора давления) может создать большие проблемы. А когда такие проблемы возникают, мы не можем просто выключить систему или «поставить ее на паузу». Цепная реакция протекает со свойственной ей скоростью, и даже если мы остановим ее, то в реакторе сохранится много остаточного тепла. Тут важен правильный выбор момента. Если реактор перегревается, то бесполезно увеличивать уровень охлаждающей жидкости в нем через несколько часов – это нужно делать сразу. А проблемы быстро нарастают по мере расплавления твэлов и утечки радиации.
Авиационный завод характеризуется менее жесткой связанностью. Например, хвост самолета и его фюзеляж собираются по отдельности. И если в одной из этих частей возникают проблемы, они могут быть устранены перед их соединением. Здесь не важно, какую из частей мы строим первой. При появлении проблем мы можем приостановить работу, а незавершенную продукцию, например частично собранные хвостовые части, временно хранить на складе и вернуться к ним позднее. А если мы выключим все машины и механизмы на сборке, то система остановится.
Ни одна из систем не подходит полностью под придуманные Перроу категории, но некоторые из них более сложные и жестко связанные, чем другие. Вопрос в том, на сколько? Чтобы понять это, мы можем отобразить системы на схеме. На следующей странице показано, как примерно выглядела изначально набросанная Перроу матрица {34} .
Плотины и атомные электростанции в верхней части матрицы представляют собой жестко связанные системы, но плотины (во всяком случае, традиционной конструкции) характеризуются значительно меньшей сложностью. Они состоят из меньшего количества компонентов, и в них меньше возможностей для возникновения непредвиденных и невидимых взаимодействий.
34
Наш рисунок, изображающий факторы сложности и жесткой связанности систем, основывается на рис. 3.1 из кн.: Perrow. Normal Accidents. P. 97. Рисунок несколько упрощен.