Неуязвимость. Отчего системы дают сбой и как с этим бороться - Андраш Тилчик
Шрифт:
Интервал:
Инженеры-программисты также разработали специальную компьютерную программу, отыскивающую «исчезнувшие» поезда, и запускали ее раз в неделю. Когда специалисты добились правильной работы системы, они передали все методики техникам по обслуживанию с рекомендациями задействовать их раз в месяц в час пик.
Инженеры вашингтонского метро буквально нашли иголку в стоге сена и, в отличие от городских властей Флинта, правильно среагировали на предупреждающие сигналы. Они устранили проблему и предложили процедуру тестирования системы и наблюдения за ней, чтобы обнаружить «иголку» в том случае, если она появится снова. Они нашли путь решения проблемы.
Однако вскоре об этом забыли. Никто не запускал процедуру тестирования путей и программу по обнаружению «исчезнувших» поездов.
Быстро прокрутим события до июня 2009 года. В процессе модернизации вашингтонского метро рабочие заменили некоторые компоненты в сегменте путей, обозначенном как В2-304. Работы продвигались с трудом. После того как были заменены необходимые детали, а на передатчике и приемнике проведены необходимые манипуляции, цепь обнаружения поездов в данном блоке все равно упрямо не работала. Техники остались на участке, чтобы проверить, правильно ли определит система первый поезд, который пройдет по путям после окончания работ{207}. Продолжая поиск неисправности, рабочие увидели, как мимо них проследовал еще один поезд. Они сообщили в центр управления движением, что проблемы сохраняются, и покинули участок.
В последующие пять дней почти каждый поезд, который проходил по данному участку путей, «исчезал» из сферы видимости сенсоров, но этого никто не замечал. После того как поезда пересекали неисправный участок, система вновь обнаруживала их, и все возвращалось в норму.
Тот факт, что сотрудники метро просмотрели проблемы с участком В2-304 и не использовали методику тестирования путей или компьютерную программу, разработанную инженерами, нельзя отнести к обычной халатности. В простых системах контролировать важные вещи достаточно легко. Но это совсем не так в сложных и жестко связанных системах. В опасной зоне зачастую можно не понять, что вообще является важным, но при этом мы не можем позволить себе роскошь упускать существенные детали.
22 июня 2009 года, в самом начале вечернего часа пик поезд № 214 въехал на дефектный участок путей и «исчез», как «исчезал» каждый поезд, который следовал по этому блоку ранее. Как и другие поезда в предыдущие пять дней, когда поисковая цепь «теряла» движущиеся составы, 214-й автоматически стал притормаживать{208}. Однако, в отличие от всех предыдущих случаев, удача от него отвернулась. Его машинист еще до въезда на участок В2-304 вел состав на скорости более низкой, чем обычно, потому что любил точно останавливаться на станциях в одном и том же месте. Когда 214-й начал тормозить, он потерял время, необходимое для того, чтобы вовремя освободить проблемный участок пути. Затем 214-й вообще остановился на участке В2-304 и полностью «исчез» с экранов системы.
Следом за № 214 ехал поезд № 112, в котором находился Дэвид Уирли, отставной офицер ВВС, о котором мы писали в начале книги, его жена Энн и много других пассажиров.
Автоматическая система управления движением поездов вашингтонского метро определила пути перед 112-м как свободные и послала поезду команду на ускорение. В 16:58, когда поезд № 112 завернул за угол, машинист увидел стоящий перед ним другой поезд и применил экстренное торможение. Но было уже поздно. Четырехметровая стена обломков – сидений, поручней и потолочных панелей – обрушилась на поезд и сжала первый вагон 112-го с 23 м до 3,6 м.
Поезд № 112 врезался в фантом, в привидение, которого не должно было быть на том участке. Девять человек погибли из-за того, что вашингтонское метро настолько сложная система, что в ней не получилось отследить даже те проблемы, которые уже известно как решать.
Есть такая отрасль, в которой научились избегать катастроф, внимательно фиксируя предупреждающие сигналы и знаки, – коммерческая авиация. В конце 1950-х годов происходило 40 аварий коммерческих авиалайнеров на 1 млн взлетов. В течение десятилетия этот показатель сократился до 2 аварии на каждый 1 млн взлетов. За последние годы соотношение стало таким: 2 аварии на каждые 10 млн взлетов{209}. В расчете на каждые 1,5 км поездка на автомобиле будет в 100 раз более рискованным мероприятием{210}.
Значительная часть такого прогресса основывается на том внимании, которое уделяется небольшим ошибкам, сбоям и опасным ситуациям, попав в которые самолет оказывается «на волосок от беды». Именно их проигнорировали городские власти Флинта и менеджеры вашингтонской системы метро. Авиалинии научились извлекать уроки не только из случившихся инцидентов и сбоев, но и тех, которые могли произойти, но не произошли.
В среде пилотов гражданской авиации ходит шутка о том, что если птица сядет на нос самолета и будет через лобовое стекло смотреть в кабину, то увидит только макушки летчиков. Это происходит потому, что пилоты должны умудряться выдерживать баланс между контролем обстановки вокруг самолета и наблюдением за массой приборов внутри кабины. В самые напряженные отрезки полета их взгляды, как правило, направлены вниз, ведь они смотрят на карты, закладывают программы в навигационные компьютеры и следят за показаниями многочисленных приборов{211}.
В ясный день из кабины самолета видимость составляет сотни километров, но в облачности пилоты не видят почти ничего. В такие периоды они ориентируются по приборам и прокладывают самолету путь по целой сети невидимых хайвеев, которые представляют собой радиолучи, поступающие со специальных передатчиков с земли. На авиалайнерах есть приемные устройства, которые пилоты могут настраивать на эти лучи. Как и хайвеи для машин (представьте себе автомагистрали I-5 на западном побережье США или М-20, ведущую из Лондона), эти «радио-хайвеи» тоже имеют свои названия. При полете из Сиэтла в Сан-Франциско, например, пилоты могут использовать маршрут, который «пролегает» по трассам J589 и J143. Когда эти воздушные трассы выводят самолет в район пункта назначения, летчики переключаются на так называемый инструментальный заход на посадку, который обеспечивает приземление в аэропорту. Каждый инструментальный заход на посадку определяется набором детальных инструкций из специально напечатанных контрольных карт, на которых показаны высоты, курсы поворотов и разворотов, а также данные по частоте радиосигналов, которые должны использовать летчики. Эти карты детально расписывают, как самолет должен подлетать к точке начала приземления и как он должен быть в этот момент сориентирован по отношению ко взлетно-посадочной полосе.
Поделиться книгой в соц сетях:
Обратите внимание, что комментарий должен быть не короче 20 символов. Покажите уважение к себе и другим пользователям!