Общая теория безопасности.

3. Теория ошибок.

Errare humanum est. (Человеку свойственно ошибаться.) Если человек делает какие-то существенно неоптимальные или вредные для него вещи вопреки своим воззрениям и поведенческим установкам, это ошибки, а если благодаря своим воззрениям и поведенческим установкам, это глупости. Место теории ошибок среди других представлений: +------------+ | теория | |деятельности| +------+-----+ +--------+--------+ | | +------+-------+ +-------+-------+ +------------+ | теория | |теория принятия| | теория | | правил | | решений | | обучения | +------+---+---+ +-------+-------+ +-----+------+ | | +-->-+ | | +------>------+ | +--<--+ +------+-----+ | | | | теория | | | | |преступлений| | | | | | | | | |+----------+| ================= || теория || | | || вины |+----<---+ теория ошибок | |+----------+| | | |+----------+| ================= || теория || || наказаний|| |+----------+| +------------+ Различные виды деятельности существенно неодинаковы в отноше- нии того, какое место занимают в них ошибки. Возможно следующее: 1) ошибки недопустимы; деятельность осуществляется до первой ошибки; 2) ошибки допустимы, но их должно быть мало; 3) ошибки допустимы в большом количестве, но эффект от правильных решений должен перевешивать потери от ошибочных; 4) деятельность осуществляется методом проб до первого правильного решения. Фазы деятельности в аспекте делания ошибок: нормальная деятельность; ошибочная деятельность; выявление ошибки; исправление ошибки; исправление последствий ошибки; анализ ошибки и улучшение организации работы для уменьшения частоты и тяжести ошибок в дальнейшем. Ошибка характеризуется тем, насколько легко её сделать, обнару- жить, исправить, а также тем, насколько тяжелы её последствия. Классификация ошибок: 1) по причинам появления: ошибки интуиции; логические ошибки; арифметические ошибки; ошибки восприятия (= иллюзии, галлюцинации); ошибки узнавания; ошибки вспоминания; ошибки внимания (игнорирование фактора, сигнала); 2) по форме: ошибки в величине; ошибки в определении точности величины; ошибки в последовательности; ошибки в определении наличия или отсутствия; 3) по месту в совокупности представлений: ошибки реконструирования (распознавания прошлого); ошибки прогнозирования, проектирования; ошибки обобщения; 4) по мыслительной операции: ошибки интерпретации исходных данных; ошибки формулирования проблемы; ошибки составления набора вариантов решения; ошибки выбора варианта решения; ошибки формулирования результатов; 5) по степени определённости: предполагаемые; явные; 6) по месту в совокупности представлений: абсолютные; относительные (ошибка относительно концепции A может не быть ошибкой относительно конкурирующей концепции B); 7) по степени исследованности: ошибки, возможные последствия которых известны тому, кто их делает; ошибки, возможные последствия которых не известны тому, кто их делает; 8) по последствиям: критические (делающие бесполезным результат в целом), некритические; накапливающиеся, компенсирующиеся; локальные, размножаемые (например, при использовании фрагмента программного кода, содержащего ошибку, в качестве прототипа), провоцирующие другие ошибки, ухудшающие качество последующих решений. 9) по возможному реагированию: исправимые; компенсируемые; неисправимые и некомпенсируемые.

3.1. Механизмы возникновения ошибок.

Можно рассмотреть основные типы ситуаций, в которых возникают ошибки. 1. Забывание о намерении. Человек собирался выполнить некоторое небольшое действие, но его отвлекли, и действие осталось невыполненным, а человек об этом забыл. 2. Пропуск изменений. Человек правильно воспринял ситуацию, принял правильное решение о действии, потом отвлёкся на очень короткое время, не заметил, что ситуация изменилась, и стал реализовывать уже принятое решение, ставшее неуместным. 3. Сбой в передаче сведений. Человеку передали некоторые сведе- ния, они до него не дошли, но он не знает, что они были переданы. 4. Недооценка значимости. Человек воспринял некоторые вещи или некоторые сведения, но не обратил на них должного внимания из-за того, что был занят другим, устал, плохо чебя чувствовал. 5. Неполнота восприятия. Человек воспринял некоторые вещи или некоторые сведения частично и/или с искажениями, но полагает, что воспринял полностью и адекватно. 6. Торопливость восприятия. Человек уловил сигнал, но невнима- тельно, и принял его за другой, похожий сигнал, которого ожи- дал. 7. Непонимание. Человек воспринял некоторые вещи или некоторые сообщения, не понял их, но не имеет возможности или не хочет спросить. 8. Обманчивая очевидность. Возможно несколько вариантов объясне- ния наблюдаемой ситуации или полученных о ситуации сведений, но внимание сосредоточивается на единственном варианте, потому что он напрашивается. 9. Предвзятое толкование неоднозначного, обусловленное эмоциями. Возможно несколько вариантов объяснения наблюдаемой ситуации или полученных о ситуации сведений, но внимание сосредоточива- ется на единственном варианте, потому что самый приятный или, наоборот, самый нежелательный. 10. Искажение воспоминания: 10.1. Ошибка привязки ко времени. Человек вспоминает действитель- но существовавшую ситуацию, но не на тот момент, который представляет для него интерес, а на предшествующий или последующий. 10.2. Ошибка привязки к месту. Человек правильно вспоминает деталь, но ошибочно вспоминает сущность, к которой эта деталь относится. 11. Неучёт взаимосвязи решений. В отношении проблемы A было приня- то решение X, определившее решение Y в отношении проблемы B, связанной с A. Через некоторое время решение X было заменено на Z, а о необходимости соответствующего пересмотра решения Y забыли. 12. Следование аналогии. Иногда его предпринимают в обстоятельст- вах, степень сходства которых с другими обстоятельствами недо- статочна для эффективного повторения действий. 13. Поспешное решение. Принимается до того, как анализируются ВСЕ доступные сведения, относящиеся к проблеме. К поспешным реше- ниям обычно подталкивают 1) дефицит времени, 2) очевидность, 3) эмоции. Подвергнутая анализу часть сведений оказывается ДОСТАТОЧНОЙ для принятия некоторого решения, и оно было бы правильным, если были ситуацию отражали только те сведения, на которых оно основывается. От ошибок следует отличать сознательно оставленные и впоследст- вии забытые или скрытые недоделки, а также тайное вредительство, возможно, маскируемое под ошибки. О различии между ошибками и глупостями. Ошибка имеет место, когда человек делает что-то неправильно вопреки своим установкам, представлениям и интеллектуальным навыкам, а глупость -- когда благодаря им. Некоторые ошибки -- кажущиеся. Представление об ошибочности возникает вследствие незнания каких-то обстоятельств и узкого рассмотрения ситуации. В результате исправления кажущихся ошибок возникают ошибки настоящие. К примеру, в "Советском энциклопедическом словаре" (изд. "Сов. энциклопедия", 1987) под словом "Беллинсгаузен" оказалось напе- чатано, что Беллинсгаузен и Лазарев отправились к Антарктиде на ШЛЮПКАХ. Очевидно, что первоначально в тексте упоминались шлюпы, а не шлюпки, но корректор не стал вникать в описание, а всего лишь воспользовался тем, что ему вспомнилось в первую очередь: взял более распространённое словом "шлюпка". Кстати, в предшест- вующих и последующих изданиях словаря стояли именно "шлюпы". Причиной ошибки может быть другая ошибка. К примеру, человек может искать некоторое слово в списке, исходя из алфавитного по- рядка этого списка, и посчитать, что его там нет, хотя это слово присутствует, но нарушает алфавитный порядок. Если бы ищущий предположил возможность чьей-то ошибки (состоящей в нарушении алфавитного порядка), он бы не сделал собственной. Разновидность псевдоошибок -- сознательные упрощения: дискре- тизация, абстрагирование, округление, сглаживание. Всегда, когда представляется, что имеешь дело с ошибкой, следу- ет допускать, что ошибаешься сам: слишком ограничил рассматривае- мую ситуацию, неверно вспомнил, неправильно понял видимое, непра- вильно истолковал намерение другого человека и т. д. Возможное содержание ошибок: предположение неизменности в то время, как имели место изменения; предположение изменений в то время, когда имела место неизменность; завышенная оценка исследующим субъектом своей осведомлён- ности; неверное определение ... источника пользы/вреда; размера пользы/вреда; вероятности получения пользы/вреда; и т. п. Возможные результаты ошибок: создание проблемы; неиспользование возможности решить проблему; принятие неоптимального решения проблемы; принятие оптимального решения по неверно сформулированной проблеме (и поэтому неоптимального в отношении действи- тельной проблемы). Ошибка -- относительный феномен: определяется относительно не- которых сведений. Правильные действия, основывающиеся на ошибоч- ных представлениях, ошибкою не являются, хотя к нужному результа- ту могут не приводить. Ошибка в этом случае делается в другом месте: при выработке представлений. Могут быть псевдоошибки: человек ошибочно думает, что ошибся; человек ошибается относительно некоторой совокупности представлений, но оказывается правым относительно другой совокупности представлений, относительно которой первая совокупность ошибочна. Могут различаться уровни ошибок -- к примеру, следующим образом: 1-й : нет препятствий дальнейшей работе, нет неизбежного снижения качества результата, но повышается вероятность этого снижения или увеличиваются затраты; 2-й : нет препятствий дальнейшей работе, но в случае непринятия дополнительных мер снижается качество результата; 3-й : нет препятствий дальнейшей работе, но качество результата неизбежно снижается; 4-й : работу невозможно завершить успешно, но можно сделать ее заново; 5-й : работу невозможно завершить успешно и невозможно сделать заново. Марк Д. А., МакГоуэн К. ("Методология структурного анализа и проектирования", стр. 16): Процесс создания системы разбивается на следующие фазы: "анализ -- определение того, что система будет делать; проектирование -- определение подсистем и их взаимодействия; реализация -- разработка подсистем по-отдельности; интегрирование -- соединение подсистем в единое целое; тестирование -- проверка работы системы; установка -- введение системы в действие; функционирование -- использование системы." "Исправление ошибки на стадии проектирования стоит в 2 раза, на стадии тестирования -- в 10 раз, а на стадии эксплуатации -- в 100 раз дороже, чем на стадии анализа." Компоненты деятельности: +---------------------------------------------------+ |============ =========== ============ ==========| ||инструкция|->| субъект |->|инструмент|->| объект || |============ =========== ============ ==========| | | | среда | +---------------------------------------------------+ Причины ошибок: несовершенство инструмента; несовершенство инструкции субъекту; несовершенство субъекта; сложность, неудобство объекта; неблагоприятная среда: наличие отвлекающих факторов. Причиной ошибок при действиях по аналогии могут быть... случайное сходство; недостаточное сходство. Возможные несовершенства инструкции: отсутствие указаний; ошибочные указания; неясные указания; неоднозначно понимаемые указания; взаимно противоречивые указания. Возможные несовершенства субъекта: недостаточные возможности восприятия (слабость рецепторов); слабый интеллект; дефекты внимания: неспособность долго удерживать внимание на одном предмете; склонность сосредоточивать внимание на отдельном предмете; отвлекаемость; неуравновешенность психики: склонность поддаваться панике, впадать в эйфорию; неадекватность или упрощенность общих представлений о мире. Надо различать: неподходящие базовые качества объекта, субъекта, инструмента и т. п.; неподходящие текущие состояния объекта, субъекта, инструмента и т. п. Возможные недостатки субъекта: интеллектуальная неразвитость; неадекватные представления о себе, инструменте, объекте, среде -- вследствие недостаточной образованности, отсутствия личного опыта; низкий приоритет деятельности; текущая неподготовленность: недостаточный тонус, посторонние мысли, от которых трудно отвлечься. При всякой тяжелой и сложной работе надо искать возможность устройства перерывов для того, чтобы отдохнуть, проанализировать используемые технологии и усовершенствовать их или найти возмож- ность избежания деятельности. Способы предотвращения нежелательного действия: правило; речевое напоминание; запрещающий сигнал (напр.: красный сигнал светофора); преодолимое препятствие (напр.: шлагбаум); непреодолимое препятствие. Возможные реакции человека на обнаружение им своей ошибки: сокрытие; уведомление тех, кто может пострадать от ошибки; тайное устранение ошибки; уничтожение доказательств своей причастности к последствиям ошибки; фабрикование доказательств виновности других.

3.2. Психология ошибок.

Виды ошибок: ложное узнавание; неузнавание; неполное вспоминание; пренебрежение маловероятной возможностью; пренебрежение уточнением исходных условий; пренебрежение проверкой результата в условиях, когда была приемлемая возможность её сделать; недогадливость при наличии достаточных данных для требуемых выводов; непоследовательность: пропуск операции; перестановка операций; включение лишней операции; повторение операции; необращение внимания на изменение обстоятельств; неверное определение набора существенных факторов; неверное определение значений существенных факторов; неверное формулирование проблемы; неверное решение проблемы. Факторы, способствующие увеличению ошибок: нехватка времени; нехватка сведений, избыток сведений; усталость; отвлекающие воздействия; нерабочее настроение; посторонние мысли; боязнь ошибок. В сеансе работы могут выделяться три периода: 1) период врабатывания; 2) период нормальной работы; 3) период появления и нарастания усталости. Ошибки более вероятны в 1-й и 3-й периоды. Возможные причины действия методом проб в условиях, в которых этот метод не подходит: отсутствие инструкции; нежелание изучать инструкцию; непонимание инструкции; неполнота, ошибочность, неоднозначность инструкции; завышенная оценка своего опыта и интуиции. Возможные характеристики действия: тип; направленность (объект приложения); момент или условие начала, выполнения, прекращения; сила, длительность. Возможные ошибки в действиях: неправильная последовательность действий; преждевременное или запоздывающее действие; действие в отношении неправильного объекта; неправильная длительность или неправильная сила действия; действие неправильного типа; ненужное действие. При разработке человеко-машинной системы все требуемые в ней действия должны анализироваться с точки зрения возможных ошибок и защиты от них. Устройство "машинной" части и инструкции для "человеческой" части такой системы должны должны ориентироваться на минимизацию возможности совершения неправильных действий. Это -- необходимое условие предотвращения взрывов на атомных электро- станциях, падения самолётов и т. п. Появлению ошибок способствуют лень, безответственность, рассеян- ность. Лень -- отсутствие желания деятельности при наличии других внутренних и внешних условий ее совершения и при сознавании полезности деятельности. Причины лени: низкий тонус (из-за слабого здоровья, плохого питания); подавленное настроение; отсутствие интереса; слабоволие (т. е. неспособность к насилию над собой). Безответственность -- отсутствие боязни наказания или несозна- вание возможности наказания. Возможные причины безответственности: отсутствие опыта понесения наказания; эмоциональная бедность; мазохизм; суицидальность (наклонность к самоубийству); вера в удачу, надежда на чудо; пренебрежение правилами и обязанностями, безразличие к интересам других людей и общества в целом; угнетённость неприятностями, по сравнению с которыми наказание не представляется значительным; слабость "чувства реальности", приученность к "виртуальной реальности"; конфликтность, агрессивность. Конфликтность -- отсутствие морального барьера перед вступлени- ем в конфликт. Агрессивность -- потребность в переживании конф- ликтов. Причиной пренебрежения правилами и обязанностями может быть стремление получать поводы для конфликтов. Рассеянность -- 1) склонность к концентрации внимания на реше- Нии отдельных проблем, ведущая к невосприятию изменений в среде, требующих реакции; 2) неспособность к длительной концентрации внимания на решении отдельных проблем. Беспечность -- склонность недооценивать опасности, завышенно оценивать свою способность противодействия вредным факторам. Оправдания ошибок: "Я хотел как лучше." "Я делал то же, что и всегда." "Я делал то же, что и все делают." "Я всё делал по инструкции." "Инструкция -- плохая." "Я не предполагал, что так получится"; "Я не гожусь для этой работы." "Вся система -- плохая." Любая ошибка может быть истолкована как злой умысел. Повторя- ющаяся ошибка похожа на злой умысле в ещё большей степени, чем одиночная, но на самом деле она может быть вызвана неким постоян- ным фактором, в том числе внутренним -- к примеру, некоторой осо- бенностью психики или неправильной мировоззренческой установкой. Если человек склонен перестраховываться, то он наверняка будет чаще ошибаться в сторону завышения оценки опасности, а если он беспечен, то -- в сторону её занижения. Если он решителен (или безответственен) в суждениях, он будет выдавать много "смелых гипотез", которые почти всегда не соответствуют действительности, а если он не верит в себя или боится оказаться смешным, он будет отбрасывать такие гипотезы ещё до того, как они вызреют, и в результате упускать иногда что-то существенное. Среди прочего, человек склонен ошибаться в пользу тех суждений и вариантов действия, которые ему желательнее. Если он хочет од- ного, а обстоятельства требуют от него другого, он, скорее, оши- бётся так, что вариант, которого он хочет (возможно, не вполне осознанно), будет выглядеть для него боле приемлемым.

3.3. Социология ошибок.

Возможное отношение к ошибкам в коллективе: (не)желание заниматься исправлением чужих ошибок; (не)настроенность на изучение чужих ошибок. Следствие наказания за ошибки -- нежелание принимать рискован- ные решения, стремление переложить "ошибкоопасную" работу на других. В некоторых областях деятельности ошибки неизбежны, в некоторых недопустимы, но возможны. Не ошибается тот, кто ничего не делает. Наибольшее число ошибок у людей, выполняющих наиболее сложную работу и/или подходящих к работе наиболее творчески. Прежде, чем браться за работу, в которой ошибки неизбежны и ведут к тяжелым последствиям, следует оговорить характер ответст- венннсти за эти ошибки. Вина за ошибку никогда не является индивидуальной: её причиной отчасти являются условия, в которых действовал совершивший её человек, а на эти условия, как правило, влияли или имели возмож- ность повлиять многие люди. Справедливое наказание за ошибку может иметь целью только поддержание боязни ошибиться, но никак не месть и не возмещение ущерба. Боязнь ошибиться должна поддер- живаться на таком уровне, чтобы не вызывать чрезмерного волнения (которое само по себе нередко является причиной ошибок) и чтобы находились желающие браться за работу, в которой возможны ошибки.

3.4. Исправление ошибок.

Поскольку в сложных технических системах многочисленные ошибки неизбежны, используются развитые технологии работы с ошибками. Ошибки регистрируются, каждой присваивается степень тяжести и степень срочности исправления. Степени тяжести ошибок в технической системе: 1-я: невозможность использования системы (недоступность основных функций); 2-я: ограничение возможностей использования системы (недоступность вспомогательных функций); 3-я: неудобство в работе; 4-я: дефекты внешнего вида. Степени тяжести ошибок в документации на техническую систему: 1-я: опасность вызова повреждения 1 степени; 2-я: опасность вызова повреждения 2 степени; 3-я: неудобство в работе; 4-я: опечатки. Возможные ошибки в рассуждениях при выявлении ошибок: 1. Исходят из того, что обстоятельство X существует, между тем наличие этого обстоятельства не было проверено. 2. Исходят из того, что существует обстоятельство X, между тем надо различать обстоятельство X1 и обстоятельство X2. 3. Исходят из того, что существует обстоятельство X, между тем за него принимают похожее обстоятельство Y. 4. Исходят из того, что обстоятельство X существует, потому что оно было проверено, между тем после проверки этого обстоя- тельства было проделано изменение, в результате чего это обстоятельство ненамеренно устранили. 5. При выборе из нескольких предположений тяготеют к тем, согласно которым ошибку сделал кто-то другой. 6. При выборе из нескольких предположений тяготеют к тем, согласно которым ошибку сделали сами, а не кто-то другой. 7. При выборе из нескольких предположений тяготеют к тем, которые подкрепляют любимые общие суждения оситуации. Возможные действия в связи с обнаружением ошибки: 1. Прекратить эксплуатацию системы до исправления ошибки. 2. Исправить ошибку без прекращения эксплуатации системы. 3. Отложить исправление ошибки до очередного останова системы на "техническое обслуживание". 4. Исправить ошибку в проекте и не повторять её во вновь изготавливаемых экземплярах системы (выпускаемых версиях программной системы). Варианты исправления ошибки: 1. Замена неправильного элемента на правильный. 2. Добавление "заплаты" -- элемента, компенсирующего последствия ошибки. 3. Исключение неправильного функционирующего элемента, упрощение системы. После исправления ошибки требуется тестирование. В зависимости от характера ошибки может потребоваться тестирование не только той части в которой была обнаружена ошибка, но также подсистемы, в которую эта часть входит, иди даже системы в целом. Этапы жизненного цикла ошибки: "обнаружена"; "признана" (отнесена к числу заслуживающих исправления); "назначена" (поручена кому-то, чтобы он её исправил); "исправлена" (исправленный вариант предъявлен для тестиро- вания); "проверена"; "устранена".

3.5. Работа над ошибками.

Можно относиться к каждой обнаруженной ошибке как к ценному опыту, позволяющему исправить недостатки в подготовке специалис- тов, в организации работы, в используемых технологиях. А можно просто исправлять ошибку, наказывать виновного и не делать ника- ких изменений в остальном. Первый подход со временем приводит к уменьшению числа и тяжести ошибок, второй не приводит. Меры, обеспечивающие возможность расследования ошибок: ведение журналов регистрации событий и действий; сохранение старых копий данных и документов; сохранение выведенных из употребления вещей. Результатом работы над ошибками может быть ... изменение ... инструкций; организации деятельности; состава исполнителей; устройства объекта воздействия; переподготовка исполнителей. Надо не просто устранять ту или иную ошибку, но также проделы- вать следующее: 1) выяснять и по возможности исправлять причины этой ошибки, если они могут приводить к сходным ошибкам; 2) анализировать эффективность средств обнаружения ошибок и по возможности совершенствовать эти средства; 3) искать сходные ошибки в других местах; 4) пополнять список правил поиса ошибок ("если..., то..."). Бывает, действие ошибки позволяет обнаружить какие-то другие ошибки, которые проявились единственно благодаря той ошибке, из-за которой начата работа. В таком случае до исправления этих других ошибок нельзя исправлять "главную", иначе будет трудно проверить успешность их исправления. Возможные санкции по отношению к виновному: публичный выговор; переэкзаменовка; переподготовка в нерабочее время; вычет из заработной платы; наложение неприятных обязанностей; понижение в звании; понижение в должности; перевод на другую работу; увольнение. Наказание за ошибки, которые с некоторой вероятностью неизбежны даже в случае принятия всех профилактических мер, не должно быть тяжелым. Наказание за ошибки должно быть достаточно значительным, чтобы имелось устойчивое стремление их избежать, но не настолько значи- тельным, чтобы породить боязнь принятия решений, боязнь проявле- ния инициативы. Иногда суета, устраиваемая по поводу мелких ошибок, причиняет больший ущерб, чем сами ошибки, но при этом не способствует их предотвращению. Иногда ошибки какого-нибудь человека используются как повод для вымещения на нём накопившейся агрессивности, для мести ему, для самоутверждения через унижение других.

3.6. Инструкции.

Некоторые причины эксидентов: пренебрежение инструкцией; отсутствие или неполнота инструкции; ошибка в инструкции; ошибка в интерпретации инструкции; непонятность инструкции; неудобное оформление инструкции; практически неохватный объём инструкции. Зачастую инструкции пишутся небрежно: их авторы исходят из то- го, что требуемые действия очевидны или лучше объясняются методом показа. К тому же если используемые изделия быстро устаревают и заменяются на новые, то инструкции к ним становятся ненужными ещё до того, как оказываются доведенными до хорошего состояния. Иног- да в принципе можно или даже нужно писать инструкцию к системе ещё до того, как эта система будет создана: сначала разрабатывать оптимальный способ действия и лишь потом -- систему, которая позволяет этот способ действия реализовать. Инструкции строятся иерархически. Инструкции наиболее детального уровня не требуют от пользователя никаких предварительных знаний о системе, к которой они относятся. Все допустимые действия, кроме очевидных, должны по возможнос- ти описываться инструкциями. Любое изделие должно создаваться таким, чтобы инструкция к нему была покороче или не требовалась совсем. В случае изменений в изделии должна изменяться и инструк- ция к нему. Качество инструкции к сложному в применении изделию не менее важно, чем качество самого изделия. Более того, достоин- ства инструкции компенсируют недостатки изделия. Выделяются инструктивные тексты следующих типов: 1.1. Такие, которые не выполняются пошагово, и их следует предва- рительно читать целиком; они требуют удержания более или менее обширных сведений в голове. 1.2. Такие, которые можно читать и выполнять пошагово; они не требуют удержания более-менее обширных сведений в голове. 2.1. Дающие рекомендации (т. е. описывающие не обязательные действия); они требуют размышлений при их выполнении. 2.2. Дающие указания (т. е. описывающие обязательные действия); они не требуют размышлений при их выполнении. Инструкции типов 1.1. и 2.1. приемлемы для ситуаций, в которых действия не сводятся к устойчивым последовательностям шагов и требуются импровизации на основе некоторых принципов. Условия деятельности могут позволять или не позволять расходо- вание времени на чтение инструкции. Во втором случае требуется знание инструкции и навык выполнения её, а поскольку и то, и другое не всегда бывает требуемого качества, полезны некоторые напоминания о требуемых действиях (например, в виде коротких надписей на изделии). Инструкции должны обновляться -- в соответствии с изменениями в системе, которую они описывают, а также в связи с устране- нием обнаруживаемых в них ошибок и пробелов. Для облегчения ориентации в документах может использоваться цветовое кодирование обложек и разделов. Вся документация должна оформляться единообразно, к какой бы области деятельности она ни относилась. Единообразными должны быть, среди прочего, форматы бумаги, шрифты, оформление обложек. Стандарт для документации должен быть достаточно гибким, чтобы обеспечивать удобство следования ему в любой области деятельнос- ти. Нарушение этого стандарта должно рассматриваться как созда- ние угрозы обществу.

3.7. Защита от ошибок.

Различаются следующие средства против ошибок: 1) технические, организационные; 2) предотвращение ошибок; обеспечение возможности проверки, облегчение обнаружения ошибок; защита от негативных последствий ошибок: облегчение исправления или компенсации ошибок. Технические средства защиты от ошибок: упрощение вещей, в отношении которых совершаются опасные действия; типизация вещей (устранение бесполезных различий); увеличение различий между теми вещами (компонентами вещей), которые можно перепутать и этим причинить ущерб; использование автоматических средств формальной проверки допустимости выполнения действий; использование автоматических средств формальной проверки результатов выполненных действий; обеспечение конструктивных особенностей вещей и использование особых приспособлений, исключающих возможность ошибочных действий. Следует минимизировать разнообразие и акцентировать неустрани- мые существенные различия. Если два компонента некоторых изделий предполагают одинаковые действия по отношению к ним, то они должны по возможности одинаково выглядеть, одинаково называться, одинаково описываться. Количество используемых терминов, знаков, визуальных типов должно быть минимальным. К примеру, если для обозначения клавиши ввода принято слово "Enter", оно должно использоваться во ВСЕХ подходящих случаях (причём именно "Enter", а не "ENTER"), и недопустимо вместо него какое-нибудь "Submit", "Apply" или "OK". А если для отмены действия принято слово "Cancel", оно тоже должно использоваться во ВСЕХ подходящих случаях, и недопустимо вместо него какое-нибудь "Discard" или "Drop". Акцентирование же существенных различий необходимо для исключения ошибок, происходящих из-за сходства. А если не придерживаться указанного подхода, то чаще будут сталкиваться поезда и т. д. Организационные средства защиты от ошибок: отбор кадров по признаку наибольшей годности к работе; общая подготовка кадров; повышение качества инструкций; обучение работе в особо трудных условиях; обучение избежанию ошибок, а также их обнаружению, исправлению, ликвидации их последствий; создание благоприятных условий труда; обеспечение оптимального режима труда; предотвращение чрезмерной трудовой нагрузки; снабжение нужной информацией в удобной форме; своевременное доходчивое напоминание о возможных наиболее частых и наиболее нежелательных ошибках; предотвращение ситуаций, располагающих к ошибкам: приводящих к психической перегрузке; требующих редко используемых представлений и навыков; бережное уважительное отношение к кадрам; помощь в решении личных проблем кадров; обеспечение психологической помощи и квалифицированной юридической защиты работникам в случае совершения ими ошибок с тяжёлыми последствиями; повышение качества руководства; осуществление проверок. Цели проверок: выяснение степени адекватности инструкций; выявление причин нарушения инстукций; выяснение ситуации с организационными средствами защиты от ошибок; оказание методической помощи; сбор и использование идей и оценок; поиск перспективных кадров. В коллективе, в котором несколько человек делают похожую сложную работу, полезно, чтобы люди обменивались своим опытом ошибок: рассказывали, какие ошибки они делали и почему, а также как обнаруживали их и как исправляли. * * * Можно представить себе следующую правдоподобную ситуацию (кото- рая не типична лишь потому, что её исход настолько очевиден, что мало кто хочет в ней оказаться). Допустим, инженер составляет до- кладную записку, в которой говорит, что обнаружил на предприятии довольно существенную проблему с точки зрения безопасности. Мене- джер отвечает: "Да-да, вы совершенно правы! И я очень вами дово- лен! Но у нас нет денег на те дополнительные работы, которые вы предлагаете. Я попробую побороться за выделение дополнительных средств, но это потребует времени, а вдобавок успех не гарантиро- ван." Другие варианты ответа: 1. "У нас в других местах есть ещё более значительные недоработки по части безопасности." 2. "Если мы будем просить дополнительных денег у заказчика и пугать его возможными катастрофами, наше направление работ, возможно, прикроют вообще. А это ударит не только по нам лично, но также по национальной безопасности и т. п." 3. "Наверняка риск находится в допустимых пределах. Вы же знаете, что совершенно исключить риск нам не удастся. Но вы продолжай- те анализировать." 4. "Нельзя гнать волну. Если мы начнём говорить об этой проблеме, то люди будут нервничать, отвлекаться на обсуждения, делать ошибки, и в результате станет ещё хуже." Возражать на это можно, но не очень убедительно. Бывает крайне трудно инициировать борьбу даже с очень большой угрозой, если только сама борьба не оказывается источником дохода. * * * Технические и организационные системы должны проектироваться так, чтобы, чтобы ошибки проектировщиков, реализаторов, пользо- вателей этих систем (а также систем, взаимодействующих или сосед- ствующих с этими системами) легко обнаруживались и исправлялись или хотя бы не приводили к тяжёлым последствиям. Для этого можно руководствоваться следующими принципами: 1. Все существенные действия в системе или в отношении системы должны кратко, удобно и понятно для пользователей документиро- ваться. 2. Поиск нужных сведений в документах, описывающих систему и работу с ней, должен быть лёгким. 3. Поскольку пользователям читать длинные инструкции, как прави- ло, некогда, инструкции должны быть построены иерархически: краткий вариант, более деиальный вариант, полный вариант. Вдо- бавок в инструкциях должны выделяться наиболее существеные вещи. 4. Все существенные процессы в системе должны автоматически протоколироваться. 5. Инициирование рискованных действий должно быть возможно только после предупреждения о возможных последствиях и подтверждения. 6. Если предлагается рискованный выбор из нескольких вариантов действий, должно быть на месте объяснено, на каких основаниях этот выбор делать. 7. Все сообщения, выдаваемые системой её пользователям, должны быть легко понятны всем возможным пользователям системы, а не только её разработчикам. 8. Результаты всякой работы, в которой возможны ошибки с тяжёлыми последствиями, кто-то должен проверять. 9. Проверяющий не должен находиться в какой-либо зависимости от проверяемого. 10. В систему должны по возможности включаться средства выявления ошибок, исправления ошибок, тестирования результатов исправле- ния. 11. Должна быть технология учёта и исправления ошибок, обнаружива- емых как в процессе разработки системы, так и в процессе её эксплуатации и развития. 12. В системе должна быть предусмотрена отмена выполненных дейст- вий (восстановление предшествующих состояний). 13. Должно быть предусмотрено, что какие-то части системы, а иног- да и система в целом, будут время от времени неработоспособны- Рекомендуется следующее: 1. Считать совершение ошибки не проступком, а несчастным случаем, обусловленным преимущественно упущениями в организации работы. 2. Поощрять исправление своих и чужих ошибок. 3. Поощрять инициативу, направленную на обнаружение проблем, совершенствование технологий, проектов. * * * Шрифты для букв, цифр и прочих знаков, пиктограммы, расцветка символов и фона должны выбираться такими, чтобы обеспечивать мак- симальную (в разумных пределах) распознаваемость при плохих усло- виях видимости, при слабом зрении, при невнимательности пользова- телей. Наборы применяемых слов и пиктограмм должны быть минимальные, стандартные, без вариаций. Одно и тоже должно одинаково называть- ся, обозначаться, размещаться во всех местах своего применения. Порядок следования должен быть, как правило, неизменным. Чем меньше вариаций, тем меньше затрат сил на выяснение того, где что находится, и тем меньше ошибок, порождаемых привычками. Везде, где возможна ошибка распознавания, имеющая нежелательные последствия, должны быть использованы дополнительные средства увеличения различий: - существенно разное расположение управляющих элементов; - существенно разная длина надписей и сообщений; - разные начальные и разные конечные буквы слов (на начало и конец слова обращается больше внимания при беглом чтении) в однословных надписях и сообщениях; - разные цвета и разные размеры знаковв надписях и сообщениях.

3.8. Проверка.

Характеристики процедуры проверки: затраты; вероятность обнаружения/необнаружения ошибки; вероятность ошибочного обнаружения. Затраты на проверку должны быть меньше, чем сумма средней потери от ошибок, которые этой проверкой выявляются, и потери от ошибок при проверке. Ошибочное выполнение проверки может привести к повреждению проверяемого объекта. Результат проверки может быть ошибочным из-за того, что процедура проверки... поверхностная; содержит ошибку; была осуществлена неправильно; дала неверно истолкованный результат. Типы процедур проверки: получение того же ещё раз тем же способом; получение того же другим способом; выполнение действий в обратном порядке: от конца к началу; проверка внутренней непротиворечивости результата действий; проверка соответствия результата действий другим данным. Самопроверка зачастую менее эффективна, чем проверка, выполня- емая другим человеком. Возможные цели проверки: исправить ошибку; наказать допустившего ошибку; изменить технологию деятельности, чтобы уменьшить вероятность и тяжесть ошибок. Отсутствие наказания за некритические легко исправимые ошибки способствует тому, что исполнитель работы не очень сильно стре- мится избежать их и неохотно проверяет себя: надеется на то, что будет поправлен проверяющим. Испытание -- разновидность проверки. При испытании проверяется изделие путём использования его и/или путём воздействия на него разрушающими факторами, которые будут воздействивать на него в процессе его использования. Испытание бывает разрушающее и неразрушающее. Разрушающее испытание применяется для группы однотипных изделий: некоторые изделия из группы испытываются, и по результатам делается заключение о качестве остальных изделий группы.

3.9. Выполнение ответственной работы.

Под ответственной работой здесь понимается такая работа, в которой ошибки или неполное выполнение её ведут к тяжелым последствиям. Правила выполнения ответственной работы: пошаговое выполнение работы; осуществление операций вдвоем или втроем в случаях, когда достаточно и одного исполнителя; документирование выполненных шагов; проверка результатов выполнения шагов. Используемая для выполнения работы технология должна быть по возможности такая, чтобы обнаруженные на каком-либо шаге ошибки исправлялись без больших затрат. Объём ответственных обязанностей должен быть чётко очерченным и посильным для людей с не очень большими способностями, пребы- вающих в не самом лучшем своём состоянии. От всякого человека можно ожидать надлежащего исполнения обя- занностей лишь при условии, что этот человек в достаточной сте- пени заинтересован (материально и т. д.) в исполнении этих обя- занностей; что он имеет для этого необходимые способности, позна- ния, легкодоступные источники сведений, технические средства, удобства, время, а также достаточно бодр, здоров и не отягощён посторонними заботами. В противном случае он будет небрежно отно- ситься к своим обязанностям, игнорировать их, ошибаться, причём вина за это будет не на нём, а на тех, кто не обеспечил ему необходимых условий. Правда, они, в свою очередь, возможно, тоже вынуждены действовать в условиях неполной обеспеченности. Вообще, катастрофы происходят реже, чем могли бы, большей частью благодаря самоотверженности некоторых людей и счастли- вым случайностям, а не потому, что приняты достаточные меры для их предотвращения.

Возврат на главную страницу