Найти в Дзене
Интересные истории и факты
69 подписчиков

Один сбой, который стоил системе миллиардов

1 мин
Крупные системы редко рушатся мгновенно. Чаще они дают сбой тихо, почти незаметно — до тех пор, пока последствия не становятся необратимыми. Один из самых показательных примеров произошёл в гражданской авиации и долгое время рассматривался как «незначительный технический инцидент». Современное авиа-движение управляется автоматизированными системами: Человек в этой системе — наблюдатель и подтверждающее звено.
Так было задумано для повышения безопасности. В один из обычных рабочих дней произошло:
— обновление программного модуля
— частичный сбой синхронизации
— задержка отображения данных Система продолжала работать.
Но не совсем корректно. Операторы видели информацию с опозданием в несколько секунд — слишком мало, чтобы сразу заметить проблему, и слишком много для сложной системы. Инструкции не предусматривали немедленного отключения: Решение «продолжить работу» выглядело рациональным. Через несколько часов:
— маршруты начали конфликтовать
— рейсы задерживались
— нагрузка на п
Оглавление

Крупные системы редко рушатся мгновенно. Чаще они дают сбой тихо, почти незаметно — до тех пор, пока последствия не становятся необратимыми.

Один из самых показательных примеров произошёл в гражданской авиации и долгое время рассматривался как «незначительный технический инцидент».

Система, которой доверяли полностью

Современное авиа-движение управляется автоматизированными системами:

  • планирование маршрутов
  • контроль высоты и скорости
  • распределение воздушных коридоров

Человек в этой системе — наблюдатель и подтверждающее звено.

Так было задумано для повышения безопасности.

Что пошло не так

В один из обычных рабочих дней произошло:

— обновление программного модуля

— частичный сбой синхронизации

— задержка отображения данных

Система продолжала работать.

Но не совсем корректно.

Операторы видели информацию с опозданием в несколько секунд — слишком мало, чтобы сразу заметить проблему, и слишком много для сложной системы.

Почему сбой не остановили сразу

Инструкции не предусматривали немедленного отключения:

  • показатели находились в допустимых пределах
  • тревожные сигналы отсутствовали
  • визуально всё выглядело нормально

Решение «продолжить работу» выглядело рациональным.

Эффект цепной реакции

Через несколько часов:

— маршруты начали конфликтовать

— рейсы задерживались

— нагрузка на персонал выросла

В итоге:

  • сотни отменённых рейсов
  • многомиллиардные убытки
  • пересмотр протоколов

Сам сбой занял минуты.
Последствия — недели.

Главная ошибка

Проблемой стала не технология, а доверие к её корректности.

Система не сигнализировала об ошибке, потому что не была рассчитана на сомнение в самой себе.

Что изменили после

После инцидента:

— ввели ручные проверки даже при «нормальных» показателях

— сократили уровень автоматического доверия

— добавили сценарии «необъяснимого сбоя»

То есть начали учитывать то, что раньше считалось невозможным.

Итог

Самые дорогие сбои начинаются не с катастроф, а с маленьких отклонений, которые кажутся допустимыми.

Как вы считаете, что опаснее: отключить систему слишком рано или доверять ей слишком долго?

#сбой #ошибка #авиация #система