Інтерактивні системи, які залишають мало місця для ремонту і відновлення роблять нас вразливим до великих потрясінь
Ядерна енергетика і фінансові системи здатні підірвати світ. Можливо вони могли би повчитись один в одного. Чарльз Перроу [Charles Perrow], організаційний соціолог, був покликаний дослідити поломки в складних системах, спричинених ядерним інцидентом у Три-Майл-Айленд в 1979 році. В західній економіці ця аварія є найбільш серйозним збоєм в роботі АЕС.
Інцидент почався з невеликого дефекту у роботі системі вторинного охолодження. Всі знають, що атомні електростанції потенційно небезпечні, тому є багато резервних механізмів. Через декілька інших, не пов'язаних між собою, несправностей вони не спрацювали. В результаті стався вибух водню, що призвело до незначного викиду радіоактивного матеріалу. Наслідки цього викиду були обмежені периметрами будівлі стримування. Філадельфія була врятована.
Розслідування показало, що винуваті всі. Коли стався збій у роботі системи, найбільше зганьбились оператори в диспетчерській. Отримавши суперечливі покази приладів і не розуміючи їх, вони надто повільно реагували. Перевага комісії в тому, що для розуміння у неї були місяці, а інженери мали лічені хвилини. Експерти виробили рекомендації, які, в разі їх імплементації, гарантували що подібна несправність не станеться.
Зазвичай це те, чим такі розслідування закінчуються. Звичайно, вони роблять свою справу. Жоден з компонентів, який вийшов з ладу, не повинен був вийти з ладу, і завжди буде щось, що люди на місцях могли зробили, щоб мінімізувати негативні наслідки.
Як пояснив професор Перроу, не в цьому справа. Чергова аварія не буде такою, як аварія на Три- Майл-Айленд, але будуть інші, відмінні від цієї аварії на інших станціях – які дійсно були. Щоб описати подібні інциденти він використовує термін "нормальні аварії" , які неминуче будуть траплятись у всіх складних систем, які він розглядає : морський транспорт, нафтохімічні заводи, вивчення і освоєння космосу.
Засадничі проблеми знаходяться в конструкції системи, а не в складових частинах чи людях, які намагаються змусити ці системи працювати. Дві характерні особливості систем роблять їх особливо схильними до несправностей: інтерактивна складність, тобто те, що все залежить від всього іншого, і щільне узгодження, що означає малий люфт для самоналагодження чи відновлення системи.
Час від часу, щоб відправити посилку з Англії в мій будинок у Франції, я використовую UPS [United Parcel Service=Об'єднана служба посилок]. Використовуючи їх систему он-лайн спостереження, я можу простежити за тим, як рухається мій пакунок. Його забирають у вівторок, і за ніч його доправляють до Парижу. У середу його довозять до Ліону і раннього ранку він вже доставлений в Ніццу. У четвер, восьма ранку, нам телефонує представник UPS, і в обід він прибуває з пакунком.
Хоча за своєю складністю система доставки UPS є комплексною, вона є лінійною, а не інтерактивною, її складові частини слабо зв'язані між собою. Коли посилка не прибула, ми легко і швидко встановили, що вантаж виїхав з Парижа, але не прибув до Ніцци. Потім довідались, що важкий снігопад в центральній частині Франції заблокував автостраду Сонця [Autoroute du Soleil]. Коли замети снігу було розчищено, і затори з автомобілів розблоковано, пакунок досягнув Ліону з дводенним запізненням. Система ж слабо з’єднаних між собою складових може легко справитись з затримкою доставки.
Очевидно, що розслідування цієї несправності системи звинувачуватиме всіх: France Météo [метеослужбу Франції] у її неадекватному попередженню про снігопад, дорожні служби у повільному оформленні дозволів, а особливо водія вантажівки за те, що не зміг прийняти якихось дій, що дали б змогу уникнути цього всього. Насправді, мало які – якщо взагалі якісь – з запропонованих покращень цих процедур будуть економічно ефективними і жоден з них насправді не виключить повторення ексцесів в майбутньому.
Урок для фінансових послуг в тому, що спроба розробити безвідмовну систему, де імовірність несправності зведена до нуля, є непрактичною. Критично важливим питанням є питання конструкції системи. Необхідні коротші, простіші, лінійні ланцюги взаємодій і вільніші зчеплення, слабкий зв'язок, що наділяє кожну частину системи здатністю абсорбувати втрати і знаходити рішення.
Протягом двох останніх десятиліть розвиток відбувався у протилежному напрямку – вибухоподібний ріст торгівлі між фінансовими інституціями привів до множення інтерактивної складності і ще жорсткішого зчеплення, спричиненого скороченням часу дії для "ефективнішого" використання капіталу. Фінансистам потрібно вчитися у інженерів, які мають досвід роботи з складними системами в умовах "нормальних аварій".
John Kay
The design flaws that lead to financial explosions
Financial Times 12.11.2013
Зреферував Михайло Мишкало