IV
Второй фактор теории катастроф Чарльза Перроу касается вопроса о том, сколько «люфта» позволяет данная система, насколько она (если использовать техническую терминологию) жестко связана. Когда части системы связаны жестко, между ними мало «люфта», или зазора. Сбой в одной части легко воздействует на другие. Отсутствие жесткого соединения означает обратное: между частями системы большой зазор, поэтому, когда один компонент выходит из строя, вся система при этом выживет.
В жестко связанных системах недостаточно преимущественно все делать правильно. Количество входящих импульсов должно быть точным, и они должны быть особым образом соединены по порядку и во времени. Повторное выполнение задачи в том случае, если не вышло с первого раза, обычно невозможно. Замены и альтернативные методы срабатывают редко – есть только один правильный порядок действий. Все происходит очень быстро, и мы не можем просто выключить систему, решая возникшую в ней проблему.
Возьмите атомные электростанции. Управление ядерной реакцией требует создания ряда специфических условий, где даже небольшое отклонение от нормального процесса (типа заклинившего клапана компенсатора давления) может создать большие проблемы. А когда такие проблемы возникают, мы не можем просто выключить систему или «поставить ее на паузу». Цепная реакция протекает со свойственной ей скоростью, и даже если мы остановим ее, то в реакторе сохранится много остаточного тепла. Тут важен правильный выбор момента. Если реактор перегревается, то бесполезно увеличивать уровень охлаждающей жидкости в нем через несколько часов – это нужно делать сразу. А проблемы быстро нарастают по мере расплавления твэлов и утечки радиации.
Авиационный завод характеризуется менее жесткой связанностью. Например, хвост самолета и его фюзеляж собираются по отдельности. И если в одной из этих частей возникают проблемы, они могут быть устранены перед их соединением. Здесь не важно, какую из частей мы строим первой. При появлении проблем мы можем приостановить работу, а незавершенную продукцию, например частично собранные хвостовые части, временно хранить на складе и вернуться к ним позднее. А если мы выключим все машины и механизмы на сборке, то система остановится.
Ни одна из систем не подходит полностью под придуманные Перроу категории, но некоторые из них более сложные и жестко связанные, чем другие. Вопрос в том, на сколько? Чтобы понять это, мы можем отобразить системы на схеме. На следующей странице показано, как примерно выглядела изначально набросанная Перроу матрица
{34}.
Плотины и атомные электростанции в верхней части матрицы представляют собой жестко связанные системы, но плотины (во всяком случае, традиционной конструкции) характеризуются значительно меньшей сложностью. Они состоят из меньшего количества компонентов, и в них меньше возможностей для возникновения непредвиденных и невидимых взаимодействий.
Расположенные в нижней части матрицы почтовые отделения и университеты не являются жестко связанными системами. В них не обязателен строгий порядок и достаточно времени для решения проблем. «Какое-то время корреспонденция может скапливаться на складе почтового отделения без особо негативных последствий, – писал Перроу, – потому что люди спокойно относятся, например, к предрождественской суете или студенты с пониманием переносят очереди при записи на академические курсы осенью»
{35}.
Но почтовые отделения менее сложны по сравнению с университетами. Это достаточно простые системы. Университеты, напротив, представляют собой сложный бюрократический механизм, в котором существует много отделений и подразделений, действуют разные правила и функции, а люди исполняют различные роли – от исследователей и преподавателей до администраторов и студентов. Часто все это смешивается непредсказуемым образом. Имея за плечами многие десятилетия опыта работы в такой системе, Перроу очень ярко описал, как неожиданные проблемы декана стали следствием тривиального академического события – решения не заключать бессрочный контракт с доцентом, которого любят студенты и преподаватели, но который публикует слишком мало научных работ. Однако благодаря нежестким связям в этой системе в ней всегда есть резерв времени и пространство для маневра. Так что подобный инцидент не нанесет особого ущерба всей остальной системе. Скандал на социологическом факультете обычно не затрагивает факультет медицинский.
Самая опасная зона в матрице Перроу – верхний правый квадрат. Катастрофы порождаются комбинацией сложности и жесткости связей в системе. В сложных системах небольшие ошибки и сбои неизбежны. И по мере того как ситуация ухудшается, внешние проявления все больше озадачивают. Даже если мы постараемся, будет сложно точно диагностировать проблему, а решая не ту, которую нужно, можно серьезно ухудшить ситуацию. Причем если система еще и жестко связана, то мы не в состоянии предотвратить «эффекта домино». Сбои распространяются быстро и неконтролируемо.
Перроу назвал такие происшествия нормальными авариями. «Нормальная авария, – писал он, – это та, в ходе которой все изо всех сил стремятся действовать по правилам, но при этом возникает неожиданное взаимодействие двух или больше сбоев (из-за интерактивной сложности системы), которые вызывают целую их лавину (из-за жесткой связанности системы)»
{36}. Такие аварии нормальны не в смысле частоты возникновения, а в смысле того, что они естественны и неизбежны. «Для нас нормально умирать, но мы это делаем раз в жизни»
{37}, – не удержался ученый от сарказма.
Перроу признает, что нормальные аварии чрезвычайно редки. Большинство происшествий вполне поддаются предотвращению, а непосредственными причинами их возникновения становятся не сложность или жесткость соединений. Обычно это ошибки в управлении, игнорирование предупреждающих сигналов, проблемы в общении людей, низкая профессиональная подготовка персонала и безрассудный риск. Однако концепция Перроу позволяет нам правильно понимать и такие происшествия: в тех авариях, которые можно предотвратить, также присутствует повышенная сложность и жесткость связей. Если это сложная система, наше понимание того, как она работает и что происходит внутри ее, вероятно, будет ошибочным. И скорее всего, наши ошибки пересекутся с другими сбоями самым сбивающим с толку образом. А жесткая соединенность системы затрудняет противодействие появлению все новых сбоев.
