Wypadek w systemie - System accident

Przypadek systemu (lub normalny przypadek ) jest „nieoczekiwanego oddziaływanie wielu awarii” w złożonym systemie . Ta złożoność może być związana z technologią lub organizacjami ludzkimi, i często ma jedno i drugie. Awaria systemu może być łatwa do zobaczenia z perspektywy czasu, ale niezwykle trudna w przewidywaniu, ponieważ istnieje po prostu zbyt wiele ścieżek działania, aby poważnie rozważyć je wszystkie. Charles Perrow po raz pierwszy rozwinął te pomysły w połowie lat osiemdziesiątych. William Langewiesche pod koniec lat 90. XX wieku napisał: „kontrola i działanie niektórych najbardziej ryzykownych technologii wymaga organizacji tak złożonych, że praktycznie gwarantuje się wystąpienie poważnych awarii”.

Same systemy bezpieczeństwa są czasami dodatkową złożonością, która prowadzi do tego typu wypadków.

Gdy przedsiębiorstwo przekroczy pewien punkt, z wieloma pracownikami, specjalizacją, systemami kopii zapasowych, podwójną kontrolą, szczegółowymi podręcznikami i formalną komunikacją, pracownicy mogą zbyt łatwo odwołać się do protokołu, nawyków i „racji”. Raczej jak przy próbie obejrzenia skomplikowanego filmu w obcym języku, wątek narracyjny tego, co się dzieje, może zostać utracony. A ponieważ rzeczywiste wypadki prawie zawsze mają wiele przyczyn, inne zjawiska, takie jak myślenie grupowe, mogą również występować w tym samym czasie. W szczególności oznaką dysfunkcyjnej organizacji jest po prostu obwinianie ostatniej osoby, która czegoś dotknęła.

W 2012 roku Charles Perrow napisał: „Normalny wypadek [wypadek systemowy] to sytuacja, w której każdy bardzo stara się grać bezpiecznie, ale nieoczekiwana interakcja dwóch lub więcej awarii (ze względu na złożoność interaktywną) powoduje kaskadę niepowodzeń (z powodu ścisłego powiązania) ”. Charles Perrow używa terminu normalny wypadek, aby podkreślić, że biorąc pod uwagę obecny poziom technologii, takie wypadki są wysoce prawdopodobne w ciągu kilku lat lub dziesięcioleci.

James T. Reason rozszerzył to podejście o ludzką niezawodność i model sera szwajcarskiego , obecnie szeroko akceptowany w bezpieczeństwie lotniczym i opiece zdrowotnej.

Jest taki aspekt zwierzęcia pożerającego własny ogon, w którym więcej formalności i wysiłków, aby zrobić to dokładnie dobrze, może w rzeczywistości pogorszyć sytuację. Na przykład, im większa rola organizacyjna związana z dostosowywaniem się do zmieniających się warunków, tym więcej pracowników prawdopodobnie opóźni zgłaszanie takich zmian, „problemów” i nieoczekiwanych warunków.

Wypadki te często przypominają urządzenia Rube Goldberga w taki sposób, że drobne błędy w ocenie, wady technologiczne i nieznaczne uszkodzenia składają się na powstającą katastrofę.

William Langewiesche pisze o „całej udawanej rzeczywistości, która obejmuje niewykonalne łańcuchy dowodzenia, niemożliwe do opanowania programy szkoleniowe, nieczytelne podręczniki i fikcję przepisów, kontroli i kontroli”.

Przeciwną ideą jest organizacja o wysokiej niezawodności .

Scott Sagan

Scott Sagan opublikował wiele publikacji omawiających niezawodność złożonych systemów, zwłaszcza w odniesieniu do broni jądrowej. The Limits of Safety (1993) dostarczył obszernego przeglądu bliskich rozmów podczas zimnej wojny, które mogły doprowadzić do wojny nuklearnej przez przypadek.

Możliwe awarie systemowe

Lot kosmiczny Apollo 13 , 1970

Rada recenzentów Apollo 13:

"[Wprowadzenie] ... Stwierdzono, że wypadek nie był wynikiem przypadkowej awarii w sensie statystycznym, ale raczej wynikał z niezwykłej kombinacji błędów, połączonej z nieco ułomnym i bezlitosnym projektem [podkreślenie dodane]. .

" G. W trakcie przeglądu tych procedur przed lotem, urzędnicy NASA ER, i buk nie uznają możliwość uszkodzeń w wyniku przegrzania. Wiele z tych urzędników nie byli świadomi przedłużonego działania nagrzewnicy. W każdym razie odpowiednich przełączników termostatycznych można było oczekiwać, że ochroni czołg ”.

Three Mile Island , 1979

Charles Perrow:

„Przypominał on inne wypadki w elektrowniach jądrowych oraz w innych złożonych i wysoce współzależnych systemach operator-maszyna wysokiego ryzyka; żaden z wypadków nie był spowodowany nieudolnością kierownictwa lub operatora ani złymi regulacjami rządowymi, chociaż takie cechy istniały i należało się ich spodziewać. Utrzymywałem, że wypadek był normalny, ponieważ w złożonych systemach istnieje wiele błędów, których nie można uniknąć poprzez planowanie i których operatorzy nie mogą od razu zrozumieć ”.

ValuJet (AirTran) 592 , Everglades, 1996

William Langewiesche:

Wskazuje, że w „ogromnym podręczniku konserwacji MD-80 […], pilnie wykonując swoje opcje, mechanik mógł znaleźć drogę do innej części instrukcji i dowiedzieć się, że… [generatory tlenu] muszą zostać usunięte zgodnie z lokalnymi przepisami i stosując autoryzowane procedury. "

Oznacza to, że większość opisanych procedur bezpieczeństwa jest w pewnym sensie „poprawna”, ale nie jest pomocna ani nie zawiera informacji.

---

Brian Stimpson:

Krok 2. Nieoznakowane pudła kartonowe, składowane tygodniami na regale z częściami, zostały przekazane do działu wysyłki i odbioru SabreTech i pozostawione na podłodze w obszarze przypisanym do posiadłości ValuJet.

Krok 3. Continental Airlines, potencjalny klient SabreTech, planowała inspekcję zakładu, więc sprzedawca SabreTech został poinstruowany, aby posprzątać miejsce pracy. Postanowił wysłać generatory tlenu do siedziby ValuJet w Atlancie i oznaczył pudełka „częściami samolotów”. Już wcześniej wysyłał materiały ValuJet do Atlanty bez formalnej zgody. Co więcej, źle zrozumiał zielone znaczniki, wskazując na „niesprawny” lub „niedziałający” i od razu doszedł do wniosku, że generatory są puste.

Krok 4. Urzędnik wysyłkowy przygotował ładunek do ładowni przedniej z pięciu skrzyń plus dwie duże opony główne i mniejszą oponę przednią. Polecił współpracownikowi przygotować bilet przewozowy z napisem „butle z tlenem - puste”. Współpracownik napisał „Oxy Canisters”, a następnie „Empty” w cudzysłowie. Na liście znalazły się również opony.

Krok 5. Dzień lub dwa później pudła zostały dostarczone agentowi ValuJet do przyjęcia na lot 592. Bilet wysyłkowy zawierający listę opon i butli z tlenem powinien był zwrócić jego uwagę, ale tak się nie stało. Kanistry zostały następnie załadowane zgodnie z przepisami federalnymi, ponieważ ValuJet nie został zarejestrowany do transportu materiałów niebezpiecznych. Możliwe, że w opinii agenta rampy możliwość wysłania mu przez pracowników SabreTech niebezpiecznego ładunku była nie do pomyślenia.

Instytucja finansowa w 2008 r. Bliska załamania

W monografii z 2014 roku ekonomista Alan Blinder stwierdził, że skomplikowane instrumenty finansowe utrudniają potencjalnym inwestorom ocenę, czy cena była rozsądna. W sekcji zatytułowanej „Lekcja nr 6: Nadmierna złożoność jest nie tylko antykonkurencyjna, ale niebezpieczna” - stwierdził dalej - „Ale większe zagrożenie może wynikać z nieprzejrzystości. Gdy inwestorzy nie rozumieją ryzyka, które niesie ze sobą papiery wartościowe, kupować (przykłady: transza typu mezzanine CDO-Squared  ; CDS na syntetycznym CDO , ...), można popełnić duże błędy - zwłaszcza jeśli agencje ratingowe powiedzą, że mają potrójne A, a mianowicie wystarczająco bezpieczne Babciu. Kiedy nadejdzie krach, straty mogą być znacznie większe, niż sobie wyobrażali inwestorzy. Rynki mogą wyschnąć, ponieważ nikt nie wie, ile naprawdę warte są te papiery. Może wybuchnąć panika. Zatem złożoność sama w sobie jest źródłem ryzyka. "

Zatonięcie MV Sewola

Możliwe przyszłe zastosowania koncepcji

Pięciokrotny wzrost bezpieczeństwa samolotów od lat 80. XX wieku, ale systemy lotu czasami same przełączają się w nieoczekiwane „tryby”

W artykule zatytułowanym „Czynnik ludzki” William Langewiesche mówi o katastrofie samolotu Air France Flight 447 w 2009 roku nad środkowym Atlantykiem. Zwraca uwagę, że od lat 80. XX wieku, kiedy rozpoczęto przechodzenie na zautomatyzowane systemy kokpitów, bezpieczeństwo poprawiło się pięciokrotnie. Langwiesche pisze: „W zaciszu kokpitu i poza widokiem publicznym piloci zostali zdegradowani do przyziemnych ról jako menedżerowie systemu”. Cytuje inżyniera Earla Wienera, który bierze humorystyczne stwierdzenie przypisywane księżnej Windsoru, że nigdy nie można być zbyt bogatym ani zbyt chudym, i dodaje: „lub zbyt ostrożnie podchodzimy do tego, co umieszcza się w cyfrowym systemie sterowania lotem”. Wiener mówi, że efektem automatyzacji jest zazwyczaj zmniejszenie obciążenia pracą, gdy jest ona lekka, ale zwiększenie jej, gdy jest ciężka.

Inżynier Boeing Delmar Fadden powiedział, że po dodaniu zdolności do systemów zarządzania lotami, ich usunięcie staje się niemożliwe ze względu na wymagania certyfikacyjne. Ale jeśli nie jest używany, może w pewnym sensie czaić się w niewidocznych głębinach.

Langewiesche cytuje inżyniera przemysłowego Nadine Sarter, która pisze o „niespodziankach związanych z automatyzacją”, często związanych z trybami systemu, których pilot nie w pełni rozumie lub na które system przełącza się sam. W rzeczywistości jednym z najczęściej zadawanych dziś pytań w kokpitach jest: „Co teraz robi?” W odpowiedzi na to Langewiesche ponownie zwraca uwagę na pięciokrotny wzrost bezpieczeństwa i pisze: „Nikt nie może racjonalnie opowiadać się za powrotem do blasku przeszłości”.

Zdrowsze współzależności między teorią a praktyką, w których czasami zmieniane są zasady bezpieczeństwa?

Z artykułu „Nowy model wypadku dla inżynierii bezpieczniejszych systemów”, autorstwa Nancy Leveson, w Safety Science , kwiecień 2004:
„Jednak instrukcje i pisemne procedury prawie nigdy nie są dokładnie przestrzegane, ponieważ operatorzy starają się być bardziej wydajni i produktywni oraz radzić sobie z presja czasu… nawet w tak bardzo ograniczonych i ryzykownych środowiskach, jak elektrownie jądrowe, wielokrotnie stwierdza się modyfikacje instrukcji, a naruszenie przepisów wydaje się całkiem racjonalne, biorąc pod uwagę faktyczne obciążenie pracą i ograniczenia czasowe, w jakich operatorzy muszą wykonywać swoją pracę. W takich sytuacjach istnieje podstawowy konflikt między błędem postrzeganym jako odstępstwo od procedury normatywnej a błędem postrzeganym jako odstępstwo od racjonalnej i zwykle stosowanej skutecznej procedury (Rasmussen i Pejtersen, 1994) ”.

Zobacz też

• Niezamierzone konsekwencje

Bibliografia

Uwagi

Dalsza lektura

• Cooper, Alan (05.03.2004). Więźniowie prowadzą zakład psychiatryczny: dlaczego produkty zaawansowane technologicznie doprowadzają nas do szaleństwa i jak przywrócić zdrowie psychiczne . Indianapolis: Sams - Pearson Education . ISBN   0-672-31649-8 .
• Gross, Michael Joseph (29 maja 2015). Życie i śmierć w Cirque du Soleil , artykuł w tym artykule Vanity Fair stwierdza: „... Wypadek w systemie to taki, który wymaga wielu błędów w kaskadzie. Zmień dowolny element kaskady, a wypadek może się nie zdarzyć, ale każdy element ponosi winę…. ”
• Helmreich, Robert L. (1994). „Anatomia wypadku systemowego: katastrofa samolotu Avianca Flight 052”. International Journal of Aviation Psychology . 4 (3): 265–284. doi : 10.1207 / s15327108ijap0403_4 . PMID   11539174 .
• Hopkins, Andrew (czerwiec 2001). „Czy Three Mile Island to normalny wypadek?” (PDF) . Journal of Contingencies and Crisis Management . 9 (2): 65–72. doi : 10.1111 / 1468-5973.00155 . Zarchiwizowane od oryginalnego (PDF) w dniu 29 sierpnia 2007 r . Źródło 2008-03-06 .
• Beyond Engineering: A New Way of Thinking About Technology , Todd La Prote, Karlene Roberts i Gene Rochlin, Oxford University Press, 1997. Ta książka dostarcza kontrprzykładów złożonych systemów, które mają dobre wyniki w zakresie bezpieczeństwa.
• Pidgeon, Nick (22 września 2011). „Z perspektywy czasu: normalne wypadki”, Nature .
• Perrow, Charles (29 maja 2000). „Organizacyjne katastrofy” (PDF) . Instytut Badań nad Społeczeństwem i Środowiskiem. University Corporation for Atmospheric Research . Źródło 6 lutego 2009 r . Cite Journal wymaga |journal= ( pomoc ) CS1 maint: zniechęcony parametr ( link )
• Roush, Wade Edmund. KATASTROFA I KONTROLA: JAK KATASTROFY TECHNOLOGICZNE WSPOMAGAJĄ DEMOKRACJĘ, Rozprawa doktorska, Massachusetts Institute of Technology, 1994, strona 15. ”. . Normalne wypadki to dziś lektura niezbędna dla menedżerów przemysłowych, socjologów organizacyjnych, historyków technologii i zainteresowanych świeckich, ponieważ pokazuje, że główni inżynierowie strategii używali w tym stuleciu kontroli nad niebezpiecznymi technologiami - wielowarstwowość „urządzenia do tworzenia kopii zapasowych - często dodają niebezpieczny poziom nieprzewidywalności do całego systemu. . '
• „Test pokazuje, że butle z tlenem iskrzą intensywny ogień” . CNN.com . 1996-11-19 . Źródło 2008-03-06 . CS1 maint: zniechęcony parametr ( link )
• Wallace, Brendan (2009-03-05). Poza ludzkim błędem . Floryda: CRC Press. ISBN   978-0-8493-2718-6 .