Я столкнулся с несколькими примерами систем, которые были тщательно разработаны для выполнения заданий, но не рассматривали некоторые среды и контексты, в которых система должна была работать. Я не виню дизайнеров за то, что вы не проводите тщательного анализа, потому что не можете рассматривать все возможные контексты. Тем не менее, я придираюсь к дизайнерам за то, что они решили сократить углы, чтобы сделать вещи проще – это были углы, которые нельзя было разрезать. В результате дизайнеры наложили ограничения на людей, эксплуатирующих системы, и исказили их понимание происходящего.
Первым примером является авария Air France 447 в 2009 году. Самолет взлетел из Рио-де-Жанейро в Бразилии, направляясь в Париж, перевозя 228 пассажиров и членов экипажа. Мы никогда не будем уверены, что пошло не так, но вот самый правдоподобный аккаунт, который я нашел. Когда самолет поднимался сквозь облака, кристаллы льда образовывались на трубах Пито, что препятствовало определению скорости самолета. В результате автопилот отключился.
Самолет был Airbus 330, используя новейшие интеллектуальные технологии. Производители привели к тому, что летные экипажи верят, что невозможно сбить самолет. Самолет был слишком умным и не позволял пилотам заниматься небезопасными действиями, которые могут привести к остановке. И это было верно, пока датчики работали.
Однако при отключенном автопилоте все ставки были отключены. Теперь самолет может войти в стойло. К сожалению, пилот, по-видимому, не знал этого (или ему никогда не говорили). Поэтому он продолжал круто подниматься, чувствуя ложное чувство неуязвимости. Самолет действительно поднимался так круто, и его воздушная скорость была настолько уменьшена, что на траектории было остановлено.
В какой-то момент трубки пито, похоже, разморожены, хотя автопилот не вернулся. Теперь самолет почувствовал воздушную скорость и обнаружил состояние срыва. В результате появилось предупреждение о блокировке. Это слуховое предупреждение сбило с толку летчика-пилота, который считал самолет неуязвимым. Он продолжал подниматься.
А затем предупреждение о стойке ушло! Почему это ушло? Одно из предположений заключается в том, что воздушная скорость была слишком медленной. Никто не ожидал, что лайнер будет летать так медленно. Единственный раз, когда скорость была настолько медленной, было бы, когда самолет рулялся на земле. Вы не хотите, чтобы предупреждения о сваливании уходили, когда самолет находится на земле. Таким образом, одна из предпосылок заключается в том, что дизайнеры наложили минимум – если бы скорость была ниже этого минимума, предупреждения сваливания были бы заблокированы. И это случилось с Air France 447. Предупреждение о стойке прекратилось из-за медленной скорости. Летчик-пилот, должно быть, почувствовал облегчение, сказав, что предупреждение остановилось и восприняло это как хороший знак, а не очень зловещий знак.
Затем в кабину вошел более опытный пилот и понял, что конфигурация полета чрезвычайно опасна. Кажется, он взял контроль, и он опустил нос, чтобы увеличить скорость. В результате – предупреждения на стойло вернулись! Это произошло потому, что воздушная скорость увеличилась по сравнению с минимумом. Теперь пилоты были полностью одурачены. Положив нос вниз (чтобы избежать условий стойла), они заставляли их кричать системой, но продолжать подниматься было абсурдно. Когда они попытались разобраться в происходящем, самолет заглох, и он упал в океан. Прошло несколько лет, прежде чем самолет был расположен, и рекордер полетных данных мог быть восстановлен.
Никто не мог вообразить, что летательный аппарат может летать так медленно. В результате предупреждение о стойке, призванное помочь пилотам предотвратить опасность, фактически помогло убить их.
Второй пример из книги «Верховые солдаты» 2009 года, о специальных силах США в Афганистане вскоре после терактов 11 сентября. Солдаты должны были улететь из Узбекистана, чтобы соединиться с афганскими племенными воинами, сражающимися с талибами. Летчики-пилоты столкнулись с несколькими проблемами при выполнении этой миссии. Одним из них был ландшафт, круто поднимающиеся горы до 20 000 футов. Американские пилоты были использованы для полета на высоте 3000 футов – к ним, 10 000 футов, как максимум, но в Афганистане, 10 000 футов были низкой высотой для некоторых холмов / гор, с которыми им пришлось бороться. Вторая проблема заключалась в том, что полеты должны проводиться ночью, для обеспечения безопасности; пилоты фактически предпочли вылететь в темное место (без света внутри или снаружи самолета), а не стать мишенью. Третьей проблемой была погода – иногда они не могли пробиваться сквозь дно облачного слоя, который представлял собой какую-то массу песка и снега, парящих в воздухе. Четвертая проблема заключалась в том, что тонкость воздуха на этой высоте (что затрудняло работу вертолета) приводило к гипоксии – кислородной задолженности. Вертолет имел встроенные системы дыхания, с масками, питаемыми кислородными бутылками, но, к сожалению, в этой системе был разрыв. Во время первого полета ведущий пилот обнаружил проблему, поскольку он наблюдал, как его второй пилот и другие действовали нерационально. Поэтому он отключил воздух на всех, кроме себя. Ему удалось безопасно добраться, но сложная компоновка вертолета не позволила обслуживающему персоналу зафиксировать утечку, поэтому она стала частью проблемы.
Для этого эссе самая важная задача – летать вздремнуть на земле, чтобы избежать обнаружения – иногда на высоте 20 футов над землей, двигаясь на 160 миль в час на высоте, которая иногда достигла 12 000 футов. Ночью. К счастью, у вертолета была многомодовая радара (MMR), дающая возможность взглянуть на то, сможет ли самолет очистить любые выходы скалы, которые могут быть на его пути. MMR показала пилоту, если было достаточно силы, подъема и скорости, чтобы добраться до следующего холма. Благодарим за MMR.
За исключением того, что система была сконструирована для закрытия более 5000 футов! Теория заключалась в том, что было бы ясно, что на высотах более 5000 человек. Так зачем держать его в рабочем состоянии, истощая силу? Дизайнеры не думали летать в северном Афганистане.
Когда пилоты проходили через каждый хребет, MMR включается и выключается с сообщениями об ошибках BAD DATA. Хуже того, когда MMR отключился, потребовалось несколько минут, чтобы перезагрузить его. Говорите о том, как летать слепым
Таким образом, мы имеем здесь второй пример неудачи воображения. Зачем держать систему MMR выше 5000 футов? Нет причин, если вы летите из авиабазы в Грузии (государство США, а не страна). Множество причин, если вы переезжаете из Узбекистана в северный Афганистан ночью.
Третий пример, гораздо менее драматичный, – это усилия разработчиков дисплеев для систем прогнозирования погоды, чтобы «сгладить» данные и показать линии тренда, а не все шумы разных чтений. Новички-синоптики ценят эти сглаженные дисплеи, которые помогают им видеть общие тенденции. Однако опытные синоптики не любят сглаживание. Они хотят видеть весь шум, турбулентность, неурегулированные условия. Здесь и происходит погода. Опытные синоптики знают, чтобы следить за неурегулированными, шумными областями, чтобы понять, как начинают формироваться метеорологические системы.
Эти три примера иллюстрируют проектные решения, которые должны были казаться разумными в соответствии с официальными спецификациями и требованиями, решениями, которые сейчас кажутся прискорбными. Как указано выше, я не сторонник попытки выявить все виды непредвиденных обстоятельств, с которыми может столкнуться. Слишком много потенциальных осложнений и контекстуальных сложностей. Вместо этого, я думаю, мы должны быть более осторожными в отношении сокращения возможностей лиц, принимающих решения, для адаптации к неожиданным и непредсказуемым вызовам. Это означает, что мы не выключаем предупреждающие сигналы для медленных скоростей воздушного движения – вместо этого мы находим другой способ подавить раздражающее предупреждение, когда самолет находится на земле. Это означает, что мы не закрываем необходимые радиолокационные системы выше некоторой номинальной «безопасной» высоты. Это означает, что мы не устраняем важную реплику, такую как шумность данных, только потому, что она выглядит такой грязной. Это означает, что мы пытаемся дать системным операторам, лицам, принимающим решения, больше возможностей и ясности, а не исключать варианты. Упрощение работы при нормальной работе может сделать невозможным в ненормальных условиях.