Устойчивое проектирование — это парадигма обеспечения безопасности, сосредоточенная на том, как люди под давлением обстоятельств справляются со сложностями и достигают успеха. Она противостоит всему тому, что так типично сегодня — парадигме, в которой ошибки просто подсчитывают, а потом принимают какие-то меры, чтобы снизить их количество. Устойчивое проектирование считает безопасность основной ценностью, а не товаром, который можно посчитать. На самом деле безопасность проявляется только за счет ситуаций, которые не происходят! Вместо того чтобы рассматривать прошлые успехи как повод снизить уровень инвестиций, такие организации продолжают вкладывать деньги в проектирование, потому что понимают: они не все знают о существующих пробелах в безопасности и постоянно меняющемся окружении. Одним из параметров устойчивости, таким образом, можно назвать способность к предвидению — к предугадыванию постоянно меняющихся форм опасности до того, как случится авария, которая нанесет существенный вред. (Цитируется с разрешения издателя. Hollnagel, Woods, & Leveson, 2006, с. 6.)
Машины становятся умнее. Все больше и больше заданий выполняется автоматически. И люди начинают думать, что многие проблемы, вызванные необходимостью контролировать машины, скоро исчезнут. Автомобильные аварии каждый год убивают и калечат десятки миллионов человек по всему миру. Когда мы наконец перейдем на самоуправляющиеся машины, возможно, количество аварий и смертельных случаев резко снизится, подобно тому, как автоматизация на заводах и в авиации позволила повысить эффективность и снизить количество ошибок и травм[51].
Если автоматизация работает — это прекрасно, но, когда она не справляется со своими функциями, эффект, который производит вышедшее из строя оборудование, обычно бывает непредсказуем и, следовательно, опасен. Сегодня автоматизация и сетевые системы производства электроэнергии позволили нам сократить перебои в подаче электроэнергии. Но если в электросети все же случается сбой, от этого страдают огромные территории, а на восстановление сети могут уйти недели. Я думаю, что с машинами на автопилоте будет происходить меньше аварий, и мы будем иметь меньше повреждений, но, когда аварии все-таки будут происходить, — они будут страшными.
Автоматы становятся все более и более способными. Автоматические системы могут выполнять задания, которые раньше выполняли люди: поддерживать нужную температуру, удерживать автомобиль на нужной полосе и на правильной дистанции от впереди идущей машины. Самолеты могут весь полет, от взлета до посадки, двигаться на автопилоте, корабли — прокладывать курс в открытом море. Когда работают автоматические системы, они обычно выполняют задания так же, как люди, или лучше. Более того, они избавляют людей от скучных рутинных заданий, помогают с большей пользой и продуктивностью потратить время, позволяют меньше уставать и реже ошибаться. Но когда задание становится слишком сложным, автоматические системы сдаются, хотя именно в этот момент они нужны нам больше всего. Парадокс заключается в том, что автоматы могут выполнять скучные и занудные задачи, но не справляются со сложными заданиями.
Нередко автоматические системы дают сбой без предупреждения. Я подробно рассматривал такие ситуации в других своих книгах и во множестве статей, как и многие другие исследователи вопросов безопасности и автоматизации. Когда происходит сбой, люди оказываются «вне цикла». Это означает, что они не слишком внимательно следят за происходящим и требуется определенное время, чтобы сбой заметили, оценили и решили, как реагировать.
