Короткая “выжимка” текста Ричарда Кука о том, как отказывают сложные системы:
# Как ломаются сложные системы
## 1. Все сложные системы опасны
Транспорт, медицина, энергетика и другие важные системы неизбежно несут в себе риски. Мы можем снизить частоту контакта с опасностями, но полностью их устранить невозможно. Поэтому создаются защиты.
## 2. В таких системах много уровней защиты
Чтобы избежать аварий, создают технические, человеческие и организационные меры: резервное оборудование, обучение, инструкции, правила и т. д.
## 3. Для катастрофы нужно сразу несколько сбоев
Один отказ редко вызывает аварию. Обычно катастрофа — результат цепочки мелких сбоев, которые по отдельности кажутся незначительными. Большинство таких цепочек система успевает остановить.
## 4. Система всегда содержит скрытые изъяны
Сложные системы не могут работать идеально. Мелкие проблемы всегда есть, и они меняются с появлением новых технологий и способов работы.
## 5. Системы работают в «сломанном» виде
Системы часто продолжают работать, несмотря на сбои — благодаря запасам и усилиям людей. Часто до аварии были похожие инциденты, которые почти закончились плохо.
## 6. Авария всегда рядом
Сложные системы могут в любой момент выйти из строя. Это нельзя полностью предотвратить.
## 7. Нет одной «главной причины» аварии
Катастрофа — это результат множества факторов. Назначать одну «корневую причину» — неправильно. Это скорее попытка найти виноватого.
## 8. Знание последствий искажает анализ
После аварии кажется, что признаки были очевидны. На самом деле до неё многое выглядело иначе.
## 9. Операторы и производят, и защищают систему
Люди в системе одновременно выполняют задачи и предотвращают сбои. Это постоянный баланс.
## 10. Все действия — это ставки
Операторы действуют в условиях неопределённости. Успехи и неудачи — это результат таких ставок. После аварии это легко забывается.
## 11. Неясность решается на месте
Руководство часто оставляет двойственные требования: больше производить, но с минимальными рисками. Люди на местах вынуждены решать, как действовать. После аварии их решения легко осудить.
## 12. Люди — главный адаптивный элемент
Операторы постоянно подстраиваются: перераспределяют ресурсы, планируют отступления, замечают изменения и реагируют.
## 13. Экспертиза в системе постоянно меняется
Знания и навыки работников обновляются с технологиями и поколениями. Системе важно развивать экспертизу и использовать её там, где это нужнее всего.
## 14. Новые технологии могут принести новые катастрофы
Технологии могут убрать мелкие проблемы, но создать условия для редких, крупных аварий. Эти риски часто не видны сразу.
## 15. Идеи о «причине» мешают улучшениям
После аварии пытаются устранить «ошибки людей». Но такие меры редко предотвращают новые инциденты и часто усложняют систему, добавляя новые слабости.
## 16. Безопасность — это свойство всей системы
Безопасность — не отдельная часть, не устройство и не человек. Она возникает из взаимодействия всех элементов системы и постоянно меняется.
## 17. Люди создают безопасность в процессе работы
Каждый день операторы удерживают систему от сбоев своими действиями. Это часто незаметно, но именно они делают систему надёжной.
## 18. Чтобы избегать сбоев, надо их знать
Чем лучше операторы чувствуют границу между нормальной работой и опасной зоной, тем лучше они управляют рисками. Опыт отказов помогает безопасной работе.