26. dubna 1986 v 01:23:40 stiskl operátor 4. reaktoru černobylské jaderné
elektrárny tlačítko označené AZ-5. Znamenalo to "havarijní ochrana 5. řádu" a operátor se jmenoval Akimov.
Učinil tak po sérii vážných chyb, kterých se celý tým dopustil, aniž by
si ovšem uvědomoval, že dělá nějaké chyby. Jejich nadřízení, většinou vybraní
podle politického klíče, je všechny pravidelně zásobovali historkami o
tom, že reaktor je jako samovar a že sovětský reaktor nemůže vybuchnout.
Aniž by si to tedy Akimov uvědomoval, proměnil tím sice nestabilní, ale
pořád ještě kompaktní atomový reaktor ve špinavou atomovou bombu. Akimov
nevěděl, že udělal něco špatně, protože mu řekli, že všechno je mnohonásobně
jištěno a kdyby zaznamenal nekontrolovatelný nárůst výkonu, má použít AZ-5
a bude zase dobře. Jeho úvaha měla určitou logiku. Pokud je na něčem napsáno
pojistka proti havárii, mělo by to umět havárii odvrátit. Důsledek byl
přesně opačný. Tlačítko AZ-5 vyvolalo nouzové spuštění všech nezasunutých
moderačních tyčí do reaktoru. Nevím, co se přesně odehrálo, možná tyče
vytlačily chladící vodu z kanálů a tím dále urychlily reakci, možná že
uhlíkové konce tyčí začaly hořet, každopádně bezprostředně po aktivaci
havarijní ochrany došlo k havárii, která je všeobecně známa. Akimov ani
další operátoři do konce života (asi 14 dnů od události) nepochopili, co
vlastně udělali špatně. Primárně se však nejednalo o technický problém,
ale o problém řízení atomových elektráren a energetických procesů v nich.
26. června 1988 prováděl kapitán Michel Asseline v letounu Airbus A320 patřícího
společnosti Air France nízký průlet nad malým letištěm v Habsheimu, kde
probíhal letecký den. A320 byl ve své době technologická novinka, podobně
jako v dnešní době Dreamliner, se všemi důsledky, které z toho plynou.
I přes inovativní systém řízení, Asseline stroji věřil. Kvůli ležérnímu
přístupu Air France k letovým plánům, ležérnímu přístupu posádky k navigaci
a přibližovacímu manévru a ležérnímu přístupu všech ke všemu, jak je ostatně
ve Francii národním zvykem, prolétával Asseline nad ranvejí letiště nikoli
ve výšce 100 stop, ale pouhých 30 stop. To by nebylo tak špatné, dokonce
by to bylo efektní, kdyby na konci dráhy nebyly vzrostlé stromy. Když copilot
Maziére kapitána upozornil na stromy před letadlem, prohlásil, aby si nedělal
starosti. Dal plný plyn a přitáhl sidestick (video).
Bohužel Asseline v tomto případě neovládal letadlo, ale ovládal počítač,
a až ten ovládal letadlo, říká se tomu fly-by-wire. V tomto případě řídící
počítač, patrně také francouzského původu usoudil, že mezi požadavkem pilota
a programem existuje nepřekonatelný rozpor a proto nebude dělat nic. V
souboji pilota s letadlem tak vyhrálo letadlo, které následně vítězoslavně
vletělo na konci ranveje do lesa. Na palubě bylo asi šedesát prominentů
z Air France včetně jejich dětí, z nichž tři nehodu nepřežily. Pasivní
bezpečnost letounu byla každopádně na výši. Co bylo příčinou rozporu mezi
počítačem a pilotem? Počítač měl jako bezpečnostní opatření vestavěnou
ochranu proti překročení maximálního úhlu náběhu, nedovoloval tedy letadlu
stoupat příliš strmě, aby nedošlo ke ztrátě vztlaku a pádu. Na druhou stranu
Asseline strmě stoupat potřeboval, jeho problém nebyl úhel náběhu a hypotetická
ztráta vztaku, ale velmi reálná srážka se stromy. Je velmi pravděpodobné,
že nebýt francouzského computeuru, Asseline by stromy přeletěl,
protože přece jen nepožadoval po letadle nic mimořádného (B-747 v
tomto klipu žabožroutskou avioniku neměl) a ochrana proti překročení
mezního úhlu měla vestavěnou nějakou rezervu. Asseline musel následně čelit
zmanipulovanému vyšetřování, protože projekt Airbus stál francouzskou vládu
příliš mnoho peněz a komerční neúspěch kvůli zfušovanému systému řízení
nepřipadal v úvahu.
Inherentní bezpečnost je dobrý sluha, ale špatný pán.
Ještě lepší ukázkou toho, do jakého pekla vede slepá implementace inherentní
bezpečnosti a nepoužívání mozku, je zpackaný pozemní test úplně nového
A340-600 společnosti Etihad 15.11.2007. Během motorové zkoušky se úplně
nový dopravní letoun z neznámých důvodů rozjel
do zdi. V diskusi zde
se nachází popis události, kterému věřit můžeme a nemusíme, každopádně
má určitý multikulturní rozměr. Posádka údajně použila parkovací brzdu
a nastavila všechny 4 motory na vzletový výkon, a to přestože parkovací
brzda má úplně jiný účel než držet letadlo na místě při motorových testech.
Francouzská avionika dospěla k závěru, že se arabská posádka pokouší o
vzlet. K tomu ale nebylo letadlo nakonfigurované a začalo je na to upozorňovat
zvukovým signálem. Jeden člen posádky se rozhodl povytahovat jističe zařízení,
kterým přičítal zvukový signál, aby ho to neotravovalo v dalším bádání,
mimojiné také odpojil GPWS. Letadlo si v důsledku toho začalo myslet, že
je ve vzduchu a odbrzdilo, což je významná bezpečnostní fíčura proti přistání
na zabržděná kola. Mohlo to tak být, ale taky nemuselo. Podle informací
od jednoho pilota, které jsem si opatřil, stál před arabskou posádkou další
problém, který neměli skoro vůbec šanci vyřešit. Pokud se arabské posádce
letadlo ať už z jakéhokoli důvodu rozjelo se zataženou parkovací brzdou,
mohli udělat pouze jedno: stáhnout plyn a zašlápnout nožní brzdu. Jenže
nožní brzda je u Airbusu deaktivována, pokud je parkovací brzda zapnuta
(asi také nějaká bezpečnostní fíčura, a jak znám postupy používáné u francouzských
firem, důvod pro její zavedení zná jen jediný člověk a ten je momentálně
na obědě), pokud tedy chtěla posádka splašený stroj zastavit, museli by
uvést parkovací brzdu do polohy OFF, a dávat brzdu na OFF, pokud chci zastavit,
je proti zdravému myšlení, i když jste potomek beduína.
V oblasti IT, která je některým čtenářům asi nejbližší, se administrátoři
někdy snaží zvýšit bezpečnost hesel tím, že uživatelům vnucují nejrůznější
kritéria, jak heslo smí a nesmí vypadat. Že musí obsahovat velká a malá
písmena, číslice a zvláštní znaky. Tím do hesla vestaví značnou odolnost
proti prolomení. Taková hesla se však stávají pro uživatele obtížně zapamatovatelnými
a pokud bychom prozkoumali jejich stoly a šuplíky, najdeme tam hesla někde
napsaná. Hodně lidí to takhle dělá a tak vzniká situace, kdy bezpečnější
heslo je nebezpečnější než to původní nebezpečné heslo.
Na technických systémech se selhání systémů inherentní bezpečnosti obzvlášť
hezky a viditelně projevuje, protože následky jsou zřetelné a vysledovat
souvislosti nebývá příliš těžké. Veškeré failsafe mechanismy hezky fungují
a plní svůj účel jen do okamžiku, kdy na ně začne někdo spoléhat. Všechny
popsané události mají jedno společné: bludný kruh, který vzniká bezhlavou
implementací prvků inherentní bezpečnosti. Čím více takových prvků je implementováno,
tím menší tlak je na uživatele, aby se s tím naučil pořádně zacházet a
chápal, jak to vlastně funguje. Čím méně uživatel chápe, jak to funguje,
tím více bezpečnostních prvků je tam třeba vestavět. Všímá si toho dokonce
i management a protože je "všechno několikanásobně jištěno", pojme myšlenku
najmout k obsluze krajně komplikovaných zařízení ignoranty, protože ignoranti
bývají levnější. Končí to extrémem, kdy superkomplikovaná mnohonásobně
jištěná zařízení obsluhují ignoranti, kteří stěží rozumí základům toho,
co řídí a žijí v přesvědčení, že "to přece musí být nějak zajištěné".
Na jedné straně tedy stojí omezení uživatele, který se svým letadlem
nemůže dělat co chce, například stoupat, když letí proti stromům, na druhé
straně profit pro uživatele, kdy inherentní bezpečnost zamezí vzniku škod.
Jedná se tedy o technickou variantu společenského dilematu o nezbytné,
únosné, prospěšné atd. míře regulace ve společnosti a i tam platí, že občasný
krátkodobý profit je vyvážen rizikem enormního systémového průseru, takže
konečná bilance je přinejlepším nulová.
Obecně představují failsafe mechanismy podmínky vestavěné do systému,
které mají zabránit jeho nesprávnému použití, tedy například provozu mimo
návrhové parametry nebo chybu obsluhy. Jedná se tedy o určitou formu regulace,
která je více nebo méně dobře zavedena, aby omezila uživatele tam, kde
si někdo myslel, že by toto omezení mohlo přinášet prospěch. Bohužel mívá
iniciátor této regulace jen kusé a nepřesné informace o tom, do jakých
všech myslitelných situací se během svého životního cyklu "chytře zregulovaný"
systém dostane, takže se jedná o větší nebo menší sázku do loterie a zdroj
nejistoty a hru s cizími životy a majetkem.
Píšu se s tím proto, aby se nad tím všichni to zastánci "chytrých regulací"
poctivě zamysleli a odpověděli si na otázku, jestli ty jejich vize a představy
jsou v pořádku. Vybral jsem takové příklady, které zdánlivě představovaly
užitečné regulace a o jejich smyslu nikdo nezapochyboval. Jak velkou paseku
jsou pak schopné napáchat ty regulace, které už od počátku pochyby vyvolávají.
Například ty geniální omezovače rychlosti v autech, které podle GPS budou
adaptivně nastavovat maximální rychlost podle toho, kudy auto právě jede.
Pro vyjebanýho pseudokomunistu z nebes dar, pro většinu lidí ve skutečnosti
past. Povinné asistenční a stabilizační systémy jako ABS a ESP, povinné
helmy na kolech a na lyžích a snad i při sezení na záchodě. Možná dokážou
zabránit několika jednotlivým nehodám, ale dovedou zvýšit bezpečnost dopravy
jako celku? Ani omylem.
03.02.2012 D-FENS