В конце мая в «Вестнике атомных наук» (Bulletin of Atomic Sciences) была опубликована статья американских ученых-исследователей из Университета штата Огайо, в которой исключительно интересно описаны два абсолютно разных (и конфронтационных по своей сути) подхода к оценке рисков безопасности полетов. Уходя от ультимативного подхода по принципу «или — или», авторы предлагают использовать формулу «и то, и другое». Что объединяет и разъединяет решение вопросов обеспечения безопасности  на земле, в воздухе и в космосе? Ответы — ниже.

С.А. Мельниченко,
генеральный директор,
МКАА «Безопасность полетов»

В последнее время вопросы безопасности полетов все чаще попадают в заголовки новостей, и это беспокоит всех – от потенциальных пассажиров, к которым относится большинство из нас, до высокопоставленных правительственных чиновников, ищущих ответы. Десятилетиями коммерческая авиация, словно невидимый страж, неустанно создавала беспрецедентный рекорд безопасности, превосходящий все остальные виды транспорта. (По данным Международной ассоциации воздушного транспорта, в прошлом году приходилось лишь одно авиационное происшествие на 880 000 рейсов). Этот впечатляющий уровень безопасности – результат кропотливой работы и горьких уроков прошлого, которые позволили постоянно совершенствовать систему, даже когда происшествия стали казаться лишь отдаленным эхом.

Но теперь, словно зловещая тень, на авиационную отрасль пала череда инцидентов, опасных сближений и трагических происшествий, унесших жизни людей. Прежняя уверенность в безопасности полетов рассеялась, как дым. Хронический дефицит авиадиспетчеров, усугубленный ненадежным оборудованием, породил хаос в аэропортах, оборачиваясь задержками и отменами рейсов. Совсем недавно, в аэропорту Ньюарк/Либерти, словно предвестники грядущей беды, за две недели произошли три сбоя радиосвязи. Отказ оборудования лишил диспетчерскую вышку возможности отслеживать и связываться с самолетами в критически важные моменты полета, погрузив их в пучину неизвестности на долгие, мучительные секунды. Подобная драма разыгралась и 12 мая, когда Центр управления воздушным движением в Денвере потерял связь с самолетами из-за одновременного отказа основной и резервной частот связи. Диспетчеры, охваченные отчаянием, лихорадочно искали выход из сложившейся ситуации, ведь на несколько томительных минут они потеряли связь как минимум с двадцатью самолетами.

До этого, 29 января, в результате столкновения в воздухе коммерческого авиалайнера и армейского вертолета в перегруженном воздушном пространстве вокруг вашингтонского Национального аэропорта Рейгана погибли все 67 человек, находившихся на борту обоих воздушных судов. Анализ системы регистрации авиационных происшествий показал, что этому столкновению предшествовала длительная история, в которой имелось множество случаев опасных сближений. Однако эти инциденты не привели к каким-либо изменениям, направленным на повышение безопасности.

Даже после этого происшествия с человеческими жертвами продолжаются случаи, когда вертолеты мешают коммерческим самолетам, пытающимся выполнить посадку, что приводит к необходимости ухода на второй круг. Ранее на рейсе Alaska Airlines в середине полета оторвалась заглушка двери, и пассажиры были поражены четырехфутовой дырой в фюзеляже самолета Boeing. Только госпожа удача помогла избежать трагических последствий.

Масштабы и частота этих и других сбоев в системе безопасности полетов стимулируют поиск ответов — от небольших исправлений до кардинальных изменений. Отрасль и Федеральное управление гражданской авиации (FAA) всегда работали над улучшением инфраструктуры и использованием новых технологий, но эти происшествия показывают, что прогресс был недостаточным. FAA объявило о планах в течение следующих нескольких лет инвестировать миллиарды в модернизацию системы воздушного движения и инфраструктуры, и чиновники надеются, что успехи и методы Кремниевой долины «помогут модернизировать нашу авиационную систему».

Представляется справедливым предположить, что нынешние проблемы авиации связаны с медленным освоением новых технологических возможностей. Поэтому для быстрых изменений в авиации кажется очевидным применить методы Кремниевой долины, используя программное обеспечение и алгоритмы искусственного интеллекта для замены устаревших технологий, автоматизации и людей. В конце концов, компании Big Tech успешно развивают новые технологии и инновации, кардинально меняя практически все сферы жизни общества.

Путь Кремниевой долины запечатлен в мантре «Действуй быстро и круши всё». Однако быстрые изменения и все более совершенные технологии могут создавать дополнительные или иные риски в слоях взаимосвязанных систем и людей, которые должны бесперебойно работать в различных условиях, чтобы сделать полеты безопасными для миллионов людей, ежедневно садящихся в самолеты. По своей сути стратегия «Действуй быстро и круши всё» утверждает, что ошибки оправданы, какими бы большими они ни были.

Для компаний Big Tech ошибки приводят к финансовым потерям, которые с лихвой компенсируются финансовой выгодой, получаемой от того, что они первыми внедряют новые возможности, такие как усовершенствованные смартфоны или очки виртуальной реальности для любителей игр. Но эта стратегия противоречит таким сложным и критичным с точки зрения безопасности сферам, как авиация.

Авиация стала сверхбезопасной благодаря методам упреждающей безопасности в системной инженерии. Мантра упреждающей безопасности гласит: «Предвидеть изменение формы риска до того, как кто-то пострадает». Контраст с «Путем Кремниевой долины» разителен. Быстрое действие делает акцент на быстром создании и внедрении. Безопасность и системная инженерия, напротив, призывают проверять предположения до того, как изменения вступят в силу, а также выявлять и устранять ошибки до того, как их последствия станут разрушительными. Системная инженерия отслеживает смещения или упущенные уязвимости и меняет курс до того, как уязвимости превратятся в дорогостоящие происшествия.

С точки зрения упреждающей безопасности нынешние проблемы авиации предстают в ином свете: неужели все участники авиационной отрасли приняли как должное свои с таким трудом достигнутые успехи в области безопасности? Не подрывает ли краткосрочное экономическое давление, которое приводит к таким симптомам, как ненадежное оборудование и нехватка авиадиспетчеров, достижения в области упреждающей безопасности?

Упреждающая безопасность при проектировании систем и эксплуатации — это основательный, испытанный и проверенный метод в авиации, но, похоже, он продвигается слишком медленно или ослаблен краткосрочными экономическими факторами. Путь Кремниевой долины позволяет двигаться быстро, но сопряжен с высокими рисками. Мы в ловушке? Достижения в области создания устойчивых систем показывают, что дело не в одном и не в другом. Существует путь, который позволяет достичь и то, и другое.

Ловушка как результат компромисса, с которой мы уже сталкивались. До недавнего времени компания Boeing имела отличную репутацию по внедрению высоконадежных систем. Руководители компании считали, что конструкции безопасны, а риски управляемы. Однако инженеры в организации работали под сильным давлением с требованиями ускорить выполнение графиков, сократить расходы и внедрить новые возможности для получения максимального дохода.

Затем произошли катастрофы-близнецы. В конце 2018 и начале 2019 года два самолета Boeing 737 MAX вскоре после взлета разбились. Расследование, проведенное Комитетом по транспорту и инфраструктуре Палаты представителей, показало, что эти катастрофы, которые привели к гибели 346 человек и обошлись компании более чем в 30 миллиардов долларов, свидетельствуют о «тревожной картине технических просчетов и вызывающих беспокойство управленческих ошибок, допущенных Boeing». Кроме того, в нем освещены многочисленные упущения в надзоре и пробелы в отчетности FAA, которые сыграли значительную роль в катастрофах 737 MAX».

Проведенные после катастрофы независимые расследования показали, что предупреждающие признаки надвигающихся проблем не учитывались и игнорировались из-за конкурентного давления, заставлявшего действовать быстро и избегать риска дополнительных затрат или задержек в процессе проектирования и сертификации. Чтобы учесть влияние более мощных и эффективных двигателей, компании Boeing пришлось добавить новую автоматику, но предполагалось, что эта автоматика не повлияет на безопасность. Не были проведены эффективные испытания для оценки новых режимов отказа — как отказ датчика может привести к автоматическому, ошибочному управлению самолетом, которое будет трудно исправить летному экипажу.

Подобная модель игнорирования предупреждающих знаков в условиях жесткого графика производства не является уникальной для компании Boeing. Подобная картина наблюдалась в ходе подготовки к закончившимся трагически запускам космических челноков Challenger и Columbia. Факты свидетельствовали о том, что системы столкнулись с ситуациями, выходящими за пределы принятых инженерных и эксплуатационных ограничений для нормальной, надежной и стабильной работы. Но вместо того чтобы отступить и провести расследование, организации игнорировали доказательства угрозы безопасности и продолжали работать в соответствии с требованиями скорости. Когда казалось, что выбор стоит только между тщательностью и скоростью, они выбирали скорость.

Драма о двух мантрах в двух действиях. Недавняя череда взрывов, произошедших со SpaceX, позволяет взглянуть на то, как эта компания справляется с решением о выборе между скоростью и тщательностью. Программа Starship компании SpaceX — это амбициозная попытка создать большую многоразовую ракету-носитель, которая сможет выводить в космос большие полезные нагрузки, снижая тем самым затраты. В соответствии с мантрой «действуй быстро» руководство SpaceX считает взрывы необходимыми симптомами успеха и ценными, даже необходимыми, для обеспечения быстрого темпа инноваций. SpaceX придерживается философии «успешных неудач», которые необходимы для обучения. Смысл в том, чтобы совершать ошибки, а затем учиться на них. Эта фраза резко контрастирует с высказыванием, приписываемым Бисмарку, который в конце XIX века объединил различные государства в современную Германию: когда его спросили, стоит ли учиться на своих ошибках, он, как известно, ответил: «Я предпочитаю учиться на ошибках других».

Действие I: пролог и обгоревший металл. 20 апреля 2023 года во время запуска ракеты SpaceX Starship энергия, выделившаяся во время старта, взорвала стартовую площадку и повредила ракету, что потребовало ее уничтожения. В результате взрыва стартовой площадки образовалось большое поле обломков, затронувшее близлежащий город за пределами зоны эвакуации, и начался пожар, уничтоживший 3,5 акра земли в государственном парке. Ракету пришлось подорвать до того, как она набрала запланированную высоту, что в SpaceX назвали «быстрым внеплановым демонтажем». Как ни странно, ответственные лица в SpaceX мало чему научились кроме того, что и так уже было известно при безопасных запусках. Они уже понимали, какие меры предосторожности необходимы для предотвращения неконтролируемого выброса энергии, но отказались от них из-за давления графика и медленных темпов выполнения новых требований к испытаниям. Стоимость аварии была большой, но оправданной, измеряемой в количестве разрушенного металла, передовых технологий и природной экосистемы.

Действие II: громкие взрывы, тихая адаптация. 6 марта 2025 года через несколько минут после старта из Техаса взорвалась еще одна ракета SpaceX. Помимо ущерба, причиненного взрывом на стартовой площадке и вокруг нее, большое поле обломков в коммерческом воздушном пространстве вокруг места запуска создало другие помехи. Авиадиспетчерам пришлось осознать новый риск и при обоих взрывах ракеты SpaceX быстро увести воздушное движение в сторону от возможных обломков. И снова ущерб и стоимость измерялись не в человеческих показателях, а в сгоревшем металле и передовых технологиях, — и это только благодаря действиям гибкой системы управления воздушным движением.

В обоих случаях ракетная программа пыталась сделать что-то новое и расширить границы — более крупные системы, более мощные силы, которые нужно укротить, стремление к многоразовым системам. Нестандартные действия означают неожиданные эффекты, а значит, нужно быть готовым к обнаружению непредвиденных взаимодействий и рисков. В обоих случаях системы SpaceX с задачей не справились. В обоих случаях авиадиспетчеры, не имевшие специальной подготовки по работе с обломками от взрывов ракет, справились с возникшими проблемами с минимальными последствиями для пилотов, пассажиров и общественности. Авиадиспетчеры спокойно избежали каких-либо дальнейших последствий, поскольку они были профессионалами своего дела.

Люди с опытом — важнейший компонент полноценной упреждающей безопасности. Они жизненно важны для преодоления неопределенности в условиях ухудшения или отсутствия оперативного управления воздушным движением, что намного превосходит возможности автоматизации с помощью любого семейства алгоритмов. Однако их тихая эффективность в поддержании спокойствия систем часто используется как рычаг для их же устранения. Они также являются актуальной мишенью для лагеря тех, кто стремится действовать быстро и крушить всё подряд.

Ранее в этом году администрация уволила 400 сотрудников Федерального управления гражданской авиации. «Все эти люди являются частью системы безопасности», — сказал Дэвид Сперо, президент Ассоциации профессиональных авиационных специалистов, как сообщает Associated Press. «Чем их меньше, тем сложнее осуществлять надзор за безопасностью».

Маршрут для избежания ловушки, связанной с компромиссом. Истинный путь к развитию технологии — в данном случае системы управления воздушным движением, обеспечивающей своевременное движение самолетов и безопасность людей, — это не «или-или», а «и то, и другое». Нужно не следовать неуклонному стремлению к скорости разработки, а уметь эффективно определять, когда следует отдать предпочтение тщательности, а когда — скорости. К счастью, существуют системные архитектуры, которые могут быть и быстрыми, и тщательными, причем в нужное время. Область инженерии устойчивости разрабатывает способы создания таких более адаптивных систем для сфер с высоким уровнем риска. В этих методах приоритет отдается способности отслеживать сигналы о грядущих проблемах по мере разработки и эксплуатации, чтобы проектировщики могли понять, когда нужно сместить акцент между скоростью и тщательностью. Эти системы также инвестируют в способность плавно переключаться, когда признаки указывают на необходимость изменить курс.

Практическая иллюстрация маршрута эвакуации — разработка NASA после катастрофы космического челнока Columbia. В NASA была создана новая многопрофильная организация под названием Центр инжиниринга и безопасности NASA (NESC). NESC выполняет функцию обучения, поскольку решает проблемы, возникающие на стыке обычных организационных групп. Он способен узнавать о возникающих системных проблемах, которые выходят за рамки обычных инженерных и эксплуатационных областей. Обучающая функция, как правило, носит упреждающий характер, диагностируя проблемы до возникновения серьезных инцидентов. NESC способен содействовать существенным улучшениям, которые выходят за рамки компетенции какой-либо одной группы в организации. Также следует отметить, что деятельность NESC, как правило, приносит результаты, которые одновременно повышают безопасность и эффективность.

Внедрение практик инженерии устойчивости требует от организаций признания основ сложности и адаптации. Адаптирующиеся организации развивают способность менять приоритеты, признавая, что неожиданности неизбежно случаются и что запоздалое реагирование на сигналы неожиданности влечет за собой издержки, которые как минимум на порядок выше, чем обычные экономические решения по соотношению затрат и выгод. Организационная адаптивность требует постоянных инвестиций в такие группы, как NESC в NASA, которые способствуют обучению и действиям сквозь организационные границы, а также готовности на уровне руководства противостоять неизбежному давлению, заставляющему ценить скорость и краткосрочную экономию по сравнению с тщательностью.

Заглядывая в будущее безопасности полетов в условиях необходимости быстрого развития, те, кто отвечает за национальную систему воздушного транспорта, должны сосредоточиться на следующем плане из четырех пунктов::

Во-первых, они должны понять, что быстрое действие и крушение всего — это методология, стремящаяся к риску; стратегически она готова принять большие финансовые потери и, если применить ее к таким сферам, как авиация, она может нанести вред людям. Но эксперты могут найти баланс, пожертвовав некоторой скоростью ради снижения серьезных рисков.

Во-вторых, отрасль должна прислушаться к тревожным сигналам, которые уже прозвучали, и признать, что безопасность должна превалировать над краткосрочными экономическими факторами, активизируя прошлые достижения в области упреждающей безопасности и разрабатывая новые. Это требует координации действий в рамках нескольких юрисдикций и национального лидерства.

В-третьих, все уровни руководства должны инвестировать в системы мониторинга, которые подскажут им, когда можно ускориться, а когда надвигается неопределенность и неожиданность. Они также должны учитывать тщательность. Создание таких систем мониторинга обойдется недешево в ближайшем будущем, но принесет дивиденды в долгосрочной перспективе.

Наконец, необходимо принять согласованный набор методов оценки, начиная с раннего этапа и продолжая этапами разработки, развертывания и последующей эксплуатации систем мониторинга. Эти методы должны оценивать, насколько новые технологии расширяют возможности людей, обладающих опытом, справляться с нарушениями, аномалиями и неожиданностями, которые неизбежно возникают в сложных системах реального мира. Одного лишь максимального внедрения новейших технологий автоматизации или спутниковой связи недостаточно. Инвестиции в совместную работу людей-операторов и технологий (и тестирование эффективности совместной работы) приведут к сохранению и расширению надежной и устойчивой системы воздушного транспорта, которую мы привыкли ожидать.

Возрождение безопасности полетов должно быть одним из главных приоритетов для всех заинтересованных сторон. Недавние инциденты свидетельствуют о том, что прошлый прогресс, основанный на методах упреждающей безопасности, застопорился. Но если в ответ на отсутствие прогресса в области безопасности будет принят способ Кремниевой долины — действовать быстро и крушить всё подряд, модернизируя технологии авиационной инфраструктуры, то первым, что сломается, может стать подход к упреждающей безопасности полетов, который помог сделать авиацию сверхбезопасной с самого начала.

Дэвид Вудс
заслуженный профессор кафедры проектирования интегрированных систем Университета штата Огайо

Майк Райо
доцент кафедры инженерии интегрированных систем и основной преподаватель Института трансляционной аналитики данных при Университете штата Огайо

Шон Пручницки
доктор в области когнитивной инженерии, доцент в Университете штата Огайо