Системная авария - System accident

Эта статья поднимает множество проблем. Пожалуйста помоги Улучши это или обсудите эти вопросы на страница обсуждения. (Узнайте, как и когда удалить эти сообщения-шаблоны) Эта статья может нуждаться в реорганизации для соответствия требованиям Википедии рекомендации по макету. Пожалуйста, помогите редактирование статьи для улучшения общей структуры. (Апрель 2019) (Узнайте, как и когда удалить этот шаблон сообщения) Эта статья ведущий раздел может быть слишком длинным для статьи. Помогите, переместив какой-нибудь материал из него в основную часть статьи. Пожалуйста, прочтите руководство по макету и руководство по ведению секции чтобы раздел по-прежнему содержал все важные детали. Пожалуйста, обсудите этот вопрос в статье страница обсуждения. (Апрель 2019) Эта статья нужны дополнительные цитаты для проверка. Пожалуйста помоги улучшить эту статью к добавление цитат в надежные источники. Материал, не полученный от источника, может быть оспорен и удален. Найдите источники: «Системная авария»  – Новости  · газеты  · книги  · ученый  · JSTOR (Апрель 2019) (Узнайте, как и когда удалить этот шаблон сообщения) (Узнайте, как и когда удалить этот шаблон сообщения)

А системная авария (или же обычная авария) представляет собой «непредвиденное взаимодействие множественных отказов» в сложная система.^[1] Эта сложность может быть связана либо с технологиями, либо с человеческими организациями, а часто и тем и другим. Системную аварию можно легко увидеть задним числом, но чрезвычайно сложно предвидеть, потому что существует слишком много путей действий, чтобы серьезно рассматривать их все. Чарльз Перроу впервые разработал эти идеи в середине 1980-х годов.^[1] Уильям Ланжевише в конце 1990-х писали: «Контроль и эксплуатация некоторых из самых рискованных технологий требует от организаций настолько сложных, что практически гарантировано возникновение серьезных сбоев».^[2]

Сами системы безопасности иногда представляют собой дополнительную сложность, которая приводит к этому типу аварий.^[3]

Как только предприятие преодолевает определенный рубеж, имея множество сотрудников, специализацию, системы резервного копирования, двойную проверку, подробные руководства и формальную коммуникацию, сотрудники могут слишком легко прибегать к протоколам, привычкам и «быть правыми». Скорее, как попытка посмотреть сложный фильм на незнакомом языке, повествование о происходящем может быть потеряно. А поскольку несчастные случаи в реальном мире почти всегда имеют несколько причин, другие явления, такие как групповое мышление также может происходить одновременно. В частности, это признак дисфункциональной организации - просто обвинять последнего, кто чего-то коснулся.

В 2012 году Чарльз Перроу писал: «Обычная авария [системная авария] - это когда все очень стараются перестраховаться, но неожиданное взаимодействие двух или более сбоев (из-за интерактивной сложности) вызывает каскад сбоев (из-за тесной связи) . "Чарльз Перроу использует термин обычная авария чтобы подчеркнуть, что при нынешнем уровне технологий такие аварии весьма вероятны в течение нескольких лет или десятилетий.^[4]

Джеймс Т. Ризон расширил этот подход с человеческая надежность^[5] и Модель швейцарского сыра, теперь широко распространены в авиационная безопасность и здравоохранение.

Есть аспект животного, пожирающего свой собственный хвост, в том смысле, что больше формальности и усилий, чтобы сделать это правильно, на самом деле может ухудшить ситуацию.^[6] Например, чем больше организационная роль вовлечена в приспособление к изменяющимся условиям, тем больше сотрудников, вероятно, будут задерживать сообщение о таких изменениях, «проблемах» и неожиданных условиях.

Эти несчастные случаи часто напоминают Устройства Руба Голдберга в том, что небольшие ошибки суждения, недостатки технологии и незначительный ущерб объединяются, чтобы сформировать возникающий катастрофа.

Уильям Ланжевише пишет о «целой воображаемой реальности, которая включает в себя неработающие цепочки команд, невыучиваемые программы обучения, нечитаемые руководства и фикцию правил, проверок и контроля».^[6]

Противоположная идея - идея организация высокой надежности.^[7]

Скотт Саган

Скотт Саган имеет множество публикаций, в которых обсуждается надежность сложных систем, особенно в отношении ядерного оружия. Пределы безопасности (1993) представили обширный обзор близких звонков во время Холодная война это могло случайно привести к ядерной войне.^[8]

Возможные системные аварии

В этом разделе несколько вопросов. Пожалуйста помоги Улучши это или обсудите эти вопросы на страница обсуждения. (Узнайте, как и когда удалить эти сообщения-шаблоны) Эта статья содержит слишком много или слишком длинные цитаты для энциклопедической статьи. Пожалуйста помогите улучшить статью представляя факты как нейтрально сформулированный резюме с соответствующие цитаты. Рассмотрите возможность переноса прямых предложений на Викицитатник. (Июнь 2011 г.) Эта статья или раздел возможно содержит синтез материала что не достоверно упомянуть или же иметь отношение к основной теме. Соответствующее обсуждение можно найти на страница обсуждения. (Июнь 2011 г.) (Узнайте, как и когда удалить этот шаблон сообщения) (Узнайте, как и когда удалить этот шаблон сообщения)

Аполлон-13 космический полет, 1970

Наблюдательный совет Аполлона-13:

"[Введение] ... Было обнаружено, что авария не была результатом случайной неисправности в статистическом смысле, а скорее в результате необычного сочетания ошибок в сочетании с несколько несовершенным и неумолимым дизайном [Курсив добавлен]. . .

"грамм. Изучая эти процедуры перед полетом, представители NASA, ER и Beech не признали возможность повреждения из-за перегрева. Многие из этих официальных лиц не знали о длительной работе обогревателя. В любом случае можно было ожидать, что соответствующие термостатические переключатели защитят резервуар ".^[9]

Три Майл Айленд, 1979

Чарльз Перроу:

«Это напоминало другие аварии на атомных станциях и в других сложных и сильно взаимозависимых системах оператор-машина с высоким риском; ни одна из аварий не была вызвана некомпетентностью руководства или оператора или плохим государственным регулированием, хотя эти характеристики существовали и следовало ожидать. Я утверждал, что авария была нормальным явлением, потому что в сложных системах обязательно должно быть несколько неисправностей, которых нельзя избежать путем планирования и которые операторы не могут сразу понять ».^[10]

ValuJet (AirTran) 592, Эверглейдс, 1996 г.

Уильям Ланжевише:

Он указывает, что в «огромном руководстве по техническому обслуживанию MD-80 ... Прилежно изучая свои варианты, механик мог найти путь к другой части руководства и узнать, что ... [генераторы кислорода] необходимо утилизировать». в соответствии с местными нормативными требованиями и с использованием разрешенных процедур ».^[6]

То есть большинство описанных процедур безопасности в определенном смысле «правильны», но не являются ни полезными, ни информативными.

Брайан Стимпсон:

Шаг 2. Картонные коробки без опознавательных знаков, неделями хранившиеся на стеллаже для запчастей, были доставлены в отдел доставки и получения SabreTech и оставлены на полу в помещении, принадлежащем ValuJet.

Шаг 3. Continental Airlines, потенциальный клиент SabreTech, планировала инспекцию предприятия, поэтому клерку SabreTech по транспортировке было поручено очистить рабочее место. Он решил отправить генераторы кислорода в штаб-квартиру ValuJet в Атланте и назвал коробки «частями самолета». Он уже отправлял материалы ValuJet в Атланту без официального разрешения. Кроме того, он неправильно понял зеленые метки, обозначающие «неработоспособный» или «неработающий», и сделал вывод, что генераторы были пусты.

Шаг 4. Клерк доставил груз для переднего грузового отсека из пяти ящиков плюс две большие основные шины и меньшее носовое колесо. Он проинструктировал своего коллегу подготовить отгрузочный талон с указанием «канистры с кислородом пустые». Сотрудник написал «Канистры Окси», а затем «Пустой» в кавычках. Шины также были перечислены.

Шаг 5. Через день или два ящики были доставлены агенту по рампе ValuJet для приема на рейс 592. Транспортный билет с указанием шин и кислородных баллонов должен был привлечь его внимание, но этого не произошло. Затем канистры были загружены в соответствии с федеральными правилами, поскольку ValuJet не был зарегистрирован для перевозки опасных материалов. Вполне возможно, что в представлении агента по эстакаде возможность того, что рабочие SabreTech отправят ему опасный груз, была немыслима.^[11][12]

Финансовое учреждение 2008 г. на грани краха

В монографии 2014 года экономист Алан Блиндер заявил, что из-за сложных финансовых инструментов потенциальным инвесторам сложно судить о разумности цены. В разделе под названием «Урок № 6: чрезмерная сложность не только препятствует конкуренции, это опасно», он далее заявил: «Но большая опасность может исходить от непрозрачности. Когда инвесторы не понимают рисков, связанных с ценными бумагами, которые они покупают (примеры: мезонинный транш CDO-квадрат ; а CDS на синтетический CDO, ...), могут быть сделаны большие ошибки - особенно если рейтинговые агентства говорят вам, что они на три четверти, то есть достаточно безопасны для бабушки. Поэтому, когда наступает крах, убытки могут быть намного больше, чем могли вообразить инвесторы. Рынки могут иссякнуть, поскольку никто не знает, сколько на самом деле стоят эти ценные бумаги. Может начаться паника. Таким образом, сложность как таковой является источником риска ".^[13]

Затопление MV Sewol

Этот раздел пуст. Вы можете помочь добавляя к этому. (Апрель 2019)

Возможные будущие применения концепции

Пятикратное повышение безопасности самолетов с 1980-х годов, но летные системы иногда самостоятельно переключаются на неожиданные «режимы».

В этом разделе название может не отражать его содержание или не соответствует стандартному форматированию и его просят переименовать. Это слишком длинный фрагмент предложения. Вы можете помочь, придумав более подходящее название и переименовав раздел. Это может потребовать дальнейших изменений, таких как разделение содержимого раздела. (Апрель 2019) (Узнайте, как и когда удалить этот шаблон сообщения)

В статье, озаглавленной «Человеческий фактор», Уильям Ланжевише рассказывает о крахе 2009 г. Рейс 447 авиакомпании Air France над Средней Атлантикой. Он отмечает, что с 1980-х годов, когда начался переход к автоматизированным системам кабины экипажа, безопасность повысилась в пять раз. Лангвише пишет: «В уединении кабины пилотов и вне поля зрения общественности пилоты были отведены к рутинным ролям системных менеджеров». Он цитирует инженера Эрла Винера, который берет юмористическое заявление, приписываемое герцогине Виндзорской, о том, что нельзя быть слишком богатым или слишком худым, и добавляет: «или слишком осторожно относиться к тому, что вы вкладываете в цифровую систему управления полетом». Винер говорит, что автоматизация обычно снижает нагрузку, когда она легкая, и увеличивает ее, когда она тяжелая.

Инженер Boeing Дельмар Фадден сказал, что после того, как к системам управления полетами добавлены мощности, их удаление становится невозможно из-за требований сертификации. Но если он не используется, может в некотором смысле скрываться в глубинах невидимого.^[14]

Ланжевише цитирует инженера-технолога Надин Сартер кто пишет о «сюрпризах автоматизации», часто связанных с системными режимами, которые пилот не полностью понимает или которые система переключается сама по себе. Фактически, один из наиболее частых вопросов, которые сегодня задают в кабине экипажа: «Что он сейчас делает?» В ответ на это Ланжевише снова указывает на пятикратное повышение безопасности и пишет: «Никто не может рационально защищать возвращение к гламуру прошлого».^[14]

Более здоровое взаимодействие теории и практики, при котором правила безопасности иногда меняются?

В этом разделе название может не отражать его содержание или не соответствует стандартному форматированию и его просят переименовать. Заголовки разделов не должны иметь форму вопроса. Вы можете помочь, придумав более подходящее название и переименовав раздел. Это может потребовать дальнейших изменений, таких как разделение содержимого раздела. (Апрель 2019) (Узнайте, как и когда удалить этот шаблон сообщения)

Из статьи Нэнси Левесон «Новая модель аварии для разработки более безопасных систем» в Наука о безопасности, Апрель 2004 г .:
«Однако инструкции и письменные процедуры почти никогда не соблюдаются в точности, поскольку операторы стремятся стать более эффективными и продуктивными и справляться с нехваткой времени ... даже в таких жестких условиях и условиях высокого риска, как атомные электростанции, изменение инструкций обнаруживается неоднократно, и нарушение правил представляется вполне рациональным, учитывая фактическую рабочую нагрузку и временные ограничения, при которых операторы должны выполнять свою работу. В этих ситуациях существует основной конфликт между ошибкой, рассматриваемой как отклонение от нормативная процедура и ошибка как отклонение от рационального и обычно используемого эффективная процедура (Расмуссен и Пейтерсен, 1994) ".^[15]

Смотрите также

• Непреднамеренные последствия

Рекомендации

Примечания

дальнейшее чтение

• Купер, Алан (2004-03-05). Заключенные бегут из приюта: почему продукты высоких технологий сводят нас с ума и как восстановить здравомыслие. Индианаполис: Самс - Pearson Education. ISBN  0-672-31649-8.
• Гросс, Майкл Джозеф (29 мая 2015 г.). Жизнь и смерть в Cirque du Soleil, Этот Ярмарка Тщеславия В статье говорится: «... Системная авария - это авария, при которой в каскаде должно произойти множество ошибок. Измените любой элемент каскада, и авария вполне может не произойти, но каждый элемент разделяет вину ...»
• Хельмрайх, Роберт Л. (1994). «Анатомия системной аварии: крушение Avianca Flight 052». Международный журнал авиационной психологии. 4 (3): 265–284. Дои:10.1207 / s15327108ijap0403_4. PMID  11539174.
• Хопкинс, Эндрю (июнь 2001 г.). "Был ли Три-Майл-Айленд нормальным происшествием?" (PDF). Журнал непредвиденных обстоятельств и антикризисного управления. 9 (2): 65–72. Дои:10.1111/1468-5973.00155. Архивировано из оригинал (PDF) 29 августа 2007 г.. Получено 2008-03-06.
• За пределами инженерии: новый взгляд на технологии, Тодд Ла Проте, Карлин Робертс и Джин Рочлин, Oxford University Press, 1997. В этой книге приводятся контрпримеры сложных систем с хорошими показателями безопасности.
• Пиджон, Ник (22 сентября 2011 г.). «Оглядываясь назад: обычные несчастные случаи», Природа.
• Перроу, Чарльз (29 мая 2000 г.). «Организационные катастрофы» (PDF). Институт изучения общества и окружающей среды. Университетская корпорация атмосферных исследований. Получено 6 февраля, 2009. Цитировать журнал требует | журнал = (помощь)
• Руш, Уэйд Эдмунд. КАТАСТРОФА И КОНТРОЛЬ: КАК ТЕХНОЛОГИЧЕСКИЕ БЕДСТВИЯ УЛУЧШАЮТ ДЕМОКРАТИЮ, докторская диссертация, Массачусетский технологический институт, 1994, стр. 15. ». . Нормальные аварии сегодня является важным чтением для промышленных менеджеров, социологов организаций, историков технологий и заинтересованных непрофессионалов, потому что оно показывает, что в этом столетии инженеры использовали одну из основных стратегий, чтобы держать опасные технологии под контролем - несколько уровней "отказоустойчивого" резервного копирования. устройств - часто добавляет опасный уровень непредсказуемости системе в целом. . '
• «Испытание показывает, что кислородные баллончики вызывают сильный огонь». CNN.com. 1996-11-19. Получено 2008-03-06.
• Уоллес, Брендан (2009-03-05). Помимо человеческой ошибки. Флорида: CRC Press. ISBN  978-0-8493-2718-6.