D-FENS

  Hlavní menukulatý roh
  • Hlavní stránka
  • Statistiky
  • Personalizace
  • Kniha hostů
  • Autoři webu
  • Oldschool D-FENS
  • Chlívek

  •   FAQkulatý roh
  • Jak se stát autorem?

  •   Toplistkulatý roh



    téma * Fail"safe"
    Vydáno 05. 02. 2012 (14698 přečtení)

    26. dubna 1986 v 01:23:40 stiskl operátor 4. reaktoru černobylské jaderné elektrárny tlačítko označené AZ-5. Znamenalo to "havarijní ochrana 5. řádu" a operátor se jmenoval Akimov. Učinil tak po sérii vážných chyb, kterých se celý tým dopustil, aniž by si ovšem uvědomoval, že dělá nějaké chyby. Jejich nadřízení, většinou vybraní podle politického klíče, je všechny pravidelně zásobovali historkami o tom, že reaktor je jako samovar a že sovětský reaktor nemůže vybuchnout.

    Aniž by si to tedy Akimov uvědomoval, proměnil tím sice nestabilní, ale pořád ještě kompaktní atomový reaktor ve špinavou atomovou bombu. Akimov nevěděl, že udělal něco špatně, protože mu řekli, že všechno je mnohonásobně jištěno a kdyby zaznamenal nekontrolovatelný nárůst výkonu, má použít AZ-5 a bude zase dobře. Jeho úvaha měla určitou logiku. Pokud je na něčem napsáno pojistka proti havárii, mělo by to umět havárii odvrátit. Důsledek byl přesně opačný. Tlačítko AZ-5 vyvolalo nouzové spuštění všech nezasunutých moderačních tyčí do reaktoru. Nevím, co se přesně odehrálo, možná tyče vytlačily chladící vodu z kanálů a tím dále urychlily reakci, možná že uhlíkové konce tyčí začaly hořet, každopádně bezprostředně po aktivaci havarijní ochrany došlo k havárii, která je všeobecně známa. Akimov ani další operátoři do konce života (asi 14 dnů od události) nepochopili, co vlastně udělali špatně. Primárně se však nejednalo o technický problém, ale o problém řízení atomových elektráren a energetických procesů v nich.

    26. června 1988 prováděl kapitán Michel Asseline v letounu Airbus A320 patřícího společnosti Air France nízký průlet nad malým letištěm v Habsheimu, kde probíhal letecký den. A320 byl ve své době technologická novinka, podobně jako v dnešní době Dreamliner, se všemi důsledky, které z toho plynou. I přes inovativní systém řízení, Asseline stroji věřil. Kvůli ležérnímu přístupu Air France k letovým plánům, ležérnímu přístupu posádky k navigaci a přibližovacímu manévru a ležérnímu přístupu všech ke všemu, jak je ostatně ve Francii národním zvykem, prolétával Asseline nad ranvejí letiště nikoli ve výšce 100 stop, ale pouhých 30 stop. To by nebylo tak špatné, dokonce by to bylo efektní, kdyby na konci dráhy nebyly vzrostlé stromy. Když copilot Maziére kapitána upozornil na stromy před letadlem, prohlásil, aby si nedělal starosti. Dal plný plyn a přitáhl sidestick (video). Bohužel Asseline v tomto případě neovládal letadlo, ale ovládal počítač, a až ten ovládal letadlo, říká se tomu fly-by-wire. V tomto případě řídící počítač, patrně také francouzského původu usoudil, že mezi požadavkem pilota a programem existuje nepřekonatelný rozpor a proto nebude dělat nic. V souboji pilota s letadlem tak vyhrálo letadlo, které následně vítězoslavně vletělo na konci ranveje do lesa. Na palubě bylo asi šedesát prominentů z Air France včetně jejich dětí, z nichž tři  nehodu nepřežily. Pasivní bezpečnost letounu byla každopádně na výši. Co bylo příčinou rozporu mezi počítačem a pilotem? Počítač měl jako bezpečnostní opatření vestavěnou ochranu proti překročení maximálního úhlu náběhu, nedovoloval tedy letadlu stoupat příliš strmě, aby nedošlo ke ztrátě vztlaku a pádu. Na druhou stranu Asseline strmě stoupat potřeboval, jeho problém nebyl úhel náběhu a hypotetická ztráta vztaku, ale velmi reálná srážka se stromy. Je velmi pravděpodobné, že nebýt francouzského computeuru, Asseline by stromy přeletěl, protože přece jen nepožadoval po letadle nic mimořádného (B-747 v tomto klipu žabožroutskou avioniku neměl) a ochrana proti překročení mezního úhlu měla vestavěnou nějakou rezervu. Asseline musel následně čelit zmanipulovanému vyšetřování, protože projekt Airbus stál francouzskou vládu příliš mnoho peněz a komerční neúspěch kvůli zfušovanému systému řízení nepřipadal v úvahu.

    Inherentní bezpečnost je dobrý sluha, ale špatný pán.

    Ještě lepší ukázkou toho, do jakého pekla vede slepá implementace inherentní bezpečnosti a nepoužívání mozku, je zpackaný pozemní test úplně nového A340-600 společnosti Etihad 15.11.2007. Během motorové zkoušky se úplně nový dopravní letoun z neznámých důvodů rozjel do zdi. V diskusi zde se nachází popis události, kterému věřit můžeme a nemusíme, každopádně má určitý multikulturní rozměr. Posádka údajně použila parkovací brzdu a nastavila všechny 4 motory na vzletový výkon, a to přestože parkovací brzda má úplně jiný účel než držet letadlo na místě při motorových testech. Francouzská avionika dospěla k závěru, že se arabská posádka pokouší o vzlet. K tomu ale nebylo letadlo nakonfigurované a začalo je na to upozorňovat zvukovým signálem. Jeden člen posádky se rozhodl povytahovat jističe zařízení, kterým přičítal zvukový signál, aby ho to neotravovalo v dalším bádání, mimojiné také odpojil GPWS. Letadlo si v důsledku toho začalo myslet, že je ve vzduchu a odbrzdilo, což je významná bezpečnostní fíčura proti přistání na zabržděná kola. Mohlo to tak být, ale taky nemuselo. Podle informací od jednoho pilota, které jsem si opatřil, stál před arabskou posádkou další problém, který neměli skoro vůbec šanci vyřešit. Pokud se arabské posádce letadlo ať už z jakéhokoli důvodu rozjelo se zataženou parkovací brzdou, mohli udělat pouze jedno: stáhnout plyn a zašlápnout nožní brzdu. Jenže nožní brzda je u Airbusu deaktivována, pokud je parkovací brzda zapnuta (asi také nějaká bezpečnostní fíčura, a jak znám postupy používáné u francouzských firem, důvod pro její zavedení zná jen jediný člověk a ten je momentálně na obědě), pokud tedy chtěla posádka splašený stroj zastavit, museli by uvést parkovací brzdu do polohy OFF, a dávat brzdu na OFF, pokud chci zastavit, je proti zdravému myšlení, i když jste potomek beduína.

    V oblasti IT, která je některým čtenářům asi nejbližší, se administrátoři někdy snaží zvýšit bezpečnost hesel tím, že uživatelům vnucují nejrůznější kritéria, jak heslo smí a nesmí vypadat. Že musí obsahovat velká a malá písmena, číslice a zvláštní znaky. Tím do hesla vestaví značnou odolnost proti prolomení. Taková hesla se však stávají pro uživatele obtížně zapamatovatelnými a pokud bychom prozkoumali jejich stoly a šuplíky, najdeme tam hesla někde napsaná. Hodně lidí to takhle dělá a tak vzniká situace, kdy bezpečnější heslo je nebezpečnější než to původní nebezpečné heslo.

    Na technických systémech se selhání systémů inherentní bezpečnosti obzvlášť hezky a viditelně projevuje, protože následky jsou zřetelné a vysledovat souvislosti nebývá příliš těžké. Veškeré failsafe mechanismy hezky fungují a plní svůj účel jen do okamžiku, kdy na ně začne někdo spoléhat. Všechny popsané události mají jedno společné: bludný kruh, který vzniká bezhlavou implementací prvků inherentní bezpečnosti. Čím více takových prvků je implementováno, tím menší tlak je na uživatele, aby se s tím naučil pořádně zacházet a chápal, jak to vlastně funguje. Čím méně uživatel chápe, jak to funguje, tím více bezpečnostních prvků je tam třeba vestavět. Všímá si toho dokonce i management a protože je "všechno několikanásobně jištěno", pojme myšlenku najmout k obsluze krajně komplikovaných zařízení ignoranty, protože ignoranti bývají levnější. Končí to extrémem, kdy superkomplikovaná mnohonásobně jištěná zařízení obsluhují  ignoranti, kteří stěží rozumí základům toho, co řídí a žijí v přesvědčení, že "to přece musí být nějak zajištěné".

    Na jedné straně tedy stojí omezení uživatele, který se svým letadlem nemůže dělat co chce, například stoupat, když letí proti stromům, na druhé straně profit pro uživatele, kdy inherentní bezpečnost zamezí vzniku škod. Jedná se tedy o technickou variantu společenského dilematu o nezbytné, únosné, prospěšné atd. míře regulace ve společnosti a i tam platí, že občasný krátkodobý profit je vyvážen rizikem enormního systémového průseru, takže konečná bilance je přinejlepším nulová.

    Obecně představují failsafe mechanismy podmínky vestavěné do systému, které mají zabránit jeho nesprávnému použití, tedy například provozu mimo návrhové parametry nebo chybu obsluhy. Jedná se tedy o určitou formu regulace, která je více nebo méně dobře zavedena, aby omezila uživatele tam, kde si někdo myslel, že by toto omezení mohlo přinášet prospěch. Bohužel mívá iniciátor této regulace jen kusé  a nepřesné informace o tom, do jakých všech myslitelných situací se během svého životního cyklu "chytře zregulovaný" systém dostane, takže se jedná o větší nebo menší sázku do loterie a zdroj nejistoty a hru s cizími životy a majetkem.

    Píšu se s tím proto, aby se nad tím všichni to zastánci "chytrých regulací" poctivě zamysleli a odpověděli si na otázku, jestli ty jejich vize a představy jsou v pořádku. Vybral jsem takové příklady, které zdánlivě představovaly užitečné regulace a o jejich smyslu nikdo nezapochyboval. Jak velkou paseku jsou pak schopné napáchat ty regulace, které už od počátku pochyby vyvolávají. Například ty geniální omezovače rychlosti v autech, které podle GPS budou adaptivně nastavovat maximální rychlost podle toho, kudy auto právě jede. Pro vyjebanýho pseudokomunistu z nebes dar, pro většinu lidí ve skutečnosti past. Povinné asistenční a stabilizační systémy jako ABS a ESP, povinné helmy na kolech a na lyžích a snad i při sezení na záchodě. Možná dokážou zabránit několika jednotlivým nehodám, ale dovedou zvýšit bezpečnost dopravy jako celku? Ani omylem.
     


    03.02.2012 D-FENS


    [Akt. známka: 1,23] 1 2 3 4 5

    ( Celý článek | Autor: D-FENS | Komentářů: 172 | Informační e-mailVytisknout článek )

    TOPlist

    Web site powered by phpRS V kodu tohoto webu byly pouzity casti z phpRS - redakčního systému napsaného v PHP jazyce.