Niektóre katastrofy wydarzyły się po to, byśmy mogli uniknąć większych.
Jak atrakcyjna wydaje ci się oferta turystycznej wyprawy do wraku Titanica, którą organizuje szalony wynalazca i na którą bilet kosztuje 250 tys. dol.? Wizja podmorskiej żeglugi ze współczesnym wcieleniem kapitana Nemo kusiła wielu zasobnych ciekawskich, ale straciła polor. 18 czerwca 2023 r. łódź podwodna Titan – ta właśnie, która służyła owym niesamowitym rejsom – implodowała w głębinach, pochłaniając życie pięciu osób, w tym swojego twórcy Stocktona Rusha. Informacje na ten temat obiegły świat, a w internecie zaroiło się od niewybrednych komentarzy w stylu: „nie żal nam bogaczy, znali ryzyko swoich fanaberii”.
Czy naprawdę ta brutalna opinia wyczerpuje temat? Nie. Tragedia ta zwraca uwagę na zjawisko o znacznie głębszym znaczeniu. Oto zanurzyliśmy się w epokę złożoności narażonej na katastrofy potencjalne częstsze i większe niż w przeszłości. Ale jest pocieszenie: katastrofy, które już się wydarzyły, to klucz do uniknięcia kolejnych.
Katastrofy ratujące życia
Gdy 10 kwietnia 1912 r. na pokład Titanica wchodziło 2,2 tys. osób, żadna z nich nie spodziewała się rychłej śmierci. Statek uznawano za niezatapialny cud techniki – tak reklamował go armator (Stockton o swojej łodzi mówił, że ryzykowniejsze od rejsu nią jest przejście przez pasy…). Znamy finał historii. Do fatalnego zderzenia Titanica z górą lodową doszło 14 kwietnia 1912 r. Szalupy ratunkowe mogły pomieścić zaledwie połowę pasażerów, ale nawet to się nie udało ze względu na błędy przy ewakuacji. Zginęły 1504 osoby. Wyjątkowo niezręcznie byłoby pisać o tej tragedii, że nie ma tego złego, co by na dobre nie wyszło, niemniej jednak przyczyniła się do ocalenia być może znacznie większej liczby ludzi, niż pochłonęła.
Pisze o tym amerykański inżynier Henry Petroski w książce „To Forgive Design: Understanding Failure”. Co by było, pyta, gdyby Titanic zawinął do Nowego Jorku? Wtedy geniusz projektantów zostałby potwierdzony, zaś jego kolejne rejsy tylko utwierdziłyby armatorów w przekonaniu, że warto budować wielkie rejsowce. Te byłyby jednak coraz droższe, więc szukano by oszczędności – z pewnością kolejne statki miałyby cieńsze kadłuby i mniej łodzi ratunkowych.
A zarzuty o narażaniu życia pasażerów zbijano by twierdzeniami, że projektuje się je na wzór niezatapialnego Titanica. Tyle że wszystkie kolejne miałyby te same wady, co pierwowzór, który z ich powodu nie był w stanie wytrzymać zderzenia z górą lodową. Katastrofa Titanica kazała więc przedsiębiorcom z branży żeglugowej zastanowić się nad tym, co budują, jak budują i z czego oraz jakie środki bezpieczeństwa stosują.
Rejsy oceaniczne nie są już głównym sposobem przemieszczania się między kontynentami – statki zostały zastąpione przez odrzutowce. Dziennie odbywa się ok. 90 tys. lotów pasażerskich, a rocznie dochodzi do ok. 100 wypadków, w których ginie 400–500 osób. Jeszcze w latach 70. XX w. liczba wypadków była trzy razy wyższa, zaś ofiar śmiertelnych nawet siedem czy osiem razy – przy 10-krotnie mniejszej liczbie dziennych lotów. Jak możliwa jest taka poprawa? Niemal każda kolejna katastrofa lotnicza przekładała się na istotne zwiększenie bezpieczeństwa. Na przykład w nieudanym awaryjnym lądowaniu samolotu linii UA, do którego doszło 19 lipca 1989 r., zginęło 112 pasażerów. Ale w wyniku analiz przyczyn wypadku udoskonalono oprogramowanie symulatorów, na których szkoli się pilotów, ulepszono proces produkcji tytanu tak, by wyeliminować anomalię będącą pierwotną przyczyną uszkodzenia silnika, oraz wprowadzono bezpieczniki zapobiegające wyciekowi płynu hydraulicznego.
Zanurzyliśmy się w epokę złożoności narażonej na częste katastrofy
Żal ofiar Titanica, żal ofiar wypadków samolotowych, ale ich śmierć nie poszła na marne. I tu warto wrócić do wypadku Titana. Czy ta katastrofa obniży prawdopodobieństwo kolejnych, czy może Stockton Rush zginął na darmo? Z jednej strony możliwe, że – jak zasugerowałem na wstępie – wypadek zmniejszy popularność komercyjnych eskapad w głębiny. Z drugiej, biorąc pod uwagę to, że na świecie nie brakuje „szalonych wynalazców”, a na wodach eksterytorialnych nie obowiązują regulacje dotyczące konstrukcji łodzi podwodnych, można założyć, że podobne wypadki nadal będą się zdarzać, choć, być może, rzadziej – o ile przyszli konstruktorzy wyciągną wnioski z błędów Rusha.
„Pomyślna zmiana przychodzi nie z naśladowania sukcesu, ale z uczenia się i przewidywania niepowodzeń, niezależnie od tego, czy są one faktycznie doświadczane, czy hipotetycznie wyobrażane” – tłumaczy Petroski. Zwróćmy jednak uwagę, że to powszechność użycia danej technologii wzmacnia bodziec do nauki na błędach. Przykładem – żeby odejść od znów ilustrującego dobrze tę tezę kazusu Titanica – jest inżynieria lądowa. Zawalenie się mostu Tacoma w stanie Waszyngton w 1940 r. przełożyło się na zwiększenie bezpieczeństwa innych mostów poprzez uwzględnianie na etapie projektów czynników aerodynamicznych. Most Bronx-Whitestone o podobnej konstrukcji do Tacoma został wzmocniony właściwie natychmiast. Tymczasem podwodne łodzie odkrywców są jednak zwykle „samoróbkami”. Nie pojawi się raczej presja branży na poprawę standardów, bo branża właściwie nie istnieje.
Zmarnowane lekcje
Zostaniemy jeszcze przy katastrofach inżynieryjnych. Petroski w innej książce, „The Engineer is Human”, podzielił się cenną uwagą. Napisał: „Głównym przedmiotem inżynierii nie jest świat jako dany, ale świat przez inżynierów tworzony. Świat ten jest zmienny przez cały okres swojego istnienia”. Niby oczywista rzecz, a jednak ludzie, w tym inżynierowie, wyjątkowo często o niej zapominają. Nicholas Nassim Taleb, amerykański probabilista, autor „Czarnego łabędzia”, w którym opisuje rzadkie zjawiska brzemienne w nieoczekiwane skutki, a także autor „Antykruchości”, w której analizuje „rzeczy, którym służą wstrząsy”, jako inżynieryjną porażkę wskazuje elektrownię w Fukushimie, która uległa awarii w 2011 r. w wyniku trzęsienia ziemi.
Zdaniem Taleba projektantów elektrowni dotknął problem Lukrecjusza. Był to rzymski filozof, który wyśmiewał ograniczoność ludzkiej percepcji, polegającą na wierze, że najwyższa góra na świecie jest tą, którą dotąd zaobserwowaliśmy. A jednak taka wiara cechuje ludzi od zawsze. „W Egipcie faraonów (...) skrybowie śledzili najwyższy poziom wody w Nilu i wykorzystywali te odczyty jako podstawę przyszłego najgorszego scenariusza. (...) (Reaktor w Fukushimie – red.) został zbudowany tak, by wytrzymać najgorsze trzęsienie ziemi, które zanotowano wcześniej” – zauważa Amerykanin. Taleb dodaje jednak, że nawet i katastrofa Fukushimy prawdopodobnie uchroniła nas przed kolejnymi tragediami, bo uświadomiła znaczenie „małych prawdopodobieństw” wielkiej katastrofy. Ulepszono istniejące elektrownie i te projektowane.
Profesor Charles Perrow w książce „Normal Accidents” zwraca jednak uwagę, że niezrozumienie mechanizmów, w jakich dochodzi do katastrof, może skutkować działaniami naprawczymi, które tylko zwiększają ryzyko. „Weźmy fabrykę, samolot, statek, laboratorium biologiczne czy dowolne inne miejsce z wieloma komponentami (częściami, procedurami, operatorami). Wystarczy, że usterce ulegną dwa komponenty, które zadziałają na siebie w nieoczekiwany sposób. Nikomu nie śniło się, że gdy X ulegnie awarii, Y również przestanie działać i dwie te awarie będą oddziaływać na siebie w taki sposób, że zarówno wywołają pożar, jak i wyciszą alarm przeciwpożarowy. Projektanci wprowadzą dodatkowy system alarmowy i gaśniczy, ale mogą wywołać one jeszcze trzy nieoczekiwane interakcje. Tendencja do interakcji jest cechą charakterystyczną całego systemu, a nie jego części lub operatora; to «interaktywna złożoność» systemu” – pisze Perrow.
Przykłady nietrafionych interwencji można znaleźć w przemyśle motoryzacyjnym. Firma Takata Corporation od końca lat 90. sprzedawała producentom aut „ulepszone” poduszki powietrzne, wypełniając je związkami na bazie azotanu amonu. Niestety, okazało się, że projekt zamiast zwiększać bezpieczeństwo, zmniejsza je, gdyż poduszki w trakcie nawet niewielkich kolizji eksplodowywały, wyrzucając niebezpieczne odłamki w stronę twarzy pasażerów. Udowodniono co najmniej 30 zgonów i kilkaset urazów będących wynikiem wady. Perrow przestrzega przed próbą całkowitego wyeliminowania błędów projektowania. Normalną bowiem cechą złożonych systemów jest nie to, że mogą ulec one awariom, ale że na pewno im kiedyś ulegną. Perrow zauważa, że nawet tak rozwinięty przemysł jak petrochemiczny cechuje się zawodnością, a katastrofy w przemyśle z tak „dojrzałymi technologiami, dobrym zarządzaniem i silnymi zachętami do powstrzymywania zakładów przed wybuchem” potwierdzają jego teorię o nieuniknioności wypadków.
Innym przykładem są skutki huraganu Katrina, który w 2005 r. uderzył w USA, największe zniszczenia wywołując w Nowym Orleanie. Zginęły 1392 osoby, a straty materialne szacuje się na ok. 200 mld dol. (w dolarach z 2022 r.). Choć ludzkość nie może zapobiec huraganom, teoretycznie może się na nie i wszystkie związane z nimi skutki przygotować – zwłaszcza kraje bogate. Mamy przecież dekady doświadczeń i mnóstwo sprawdzonych technologii. Niestety, Nowy Orlean nie skorzystał z nich. Nie miał zadbanych wałów, opracowanych planów ewakuacyjnych, kulała polityka gruntowa, a ubezpieczyciele nie mogli naliczać składek odzwierciedlających realne ryzyko osiedlenia się na danym terenie. „Krótkoterminowe oszczędności przeważyły nad długoterminowymi zabezpieczeniami” – piszą Howard Kunreuther i Michael Useem w książce „Learning from Catastrophes”. Choć błędów w tak złożonym systemie jak zapobieganie skutkom katastrof naturalnych uniknąć nie sposób, to można je ograniczać. Niestety, huragan Sandy, który nawiedził USA w 2012 r., pokazał, że lekcje z Katriny nie zostały zapamiętane. Zginęło 157 osób, a straty sięgnęły 65 mld dol.
Katalog tragedii, które mogły mieć mniejszą skalę, jest szerszy. Na przykład eksplozja platformy wiertniczej Deep water Horizon, a następnie ogromny wyciek ropy naftowej w Zatoce Meksykańskiej w 2010 r., który spowodował znaczne szkody dla środowiska, były wynikiem podobnych zaniedbań, jakie doprowadziły do wycieku ropy z platformy Ixtoc I w 1979 r. A II wojna światowa? Przecież wybuchła częściowo wskutek wyłączenia Niemiec z ustaleń traktatu wersalskiego, który miał wojnom światowym zapobiegać.
Systemy wysokiego ryzyka
Zacząłem od opisu katastrof i tragedii, które można nazwać inżynieryjnymi. Każdy kolejny przykład dotyczy systemu z większą liczbą oddziałujących na siebie elementów. Z grubsza rzecz biorąc, mała łódź podwodna to prostszy system niż liniowiec oceaniczny, system żeglugi jest mniej złożony niż system lotów pasażerskich, który z kolei ustępuje złożonością systemom związanym z przewidywaniem huraganów i łagodzeniem ich skutków.
Celowo tak konstruuję ten tekst. Chcę wskazać na marsz ku złożoności, który nabiera coraz wyższego tempa. Jak na ironię, złożoność ta wynika z ludzkiego dążenia do prostoty i wrodzonego lenistwa. Chcemy więcej i lepiej, chcemy tu i teraz, wytężamy więc umysły, wytwarzając technologie, które te nasze życzenia realizują.
Technologie te są pod każdym kątem coraz bardziej skomplikowane: wymagają angażowania rozmaitych zasobów organizacji rozproszonych po całym świecie. Leonard Read w „Ja, ołówek” w obrazowy sposób przedstawiał proces powstawania tytułowego narzędzia. „Ja, ołówek, choć mam prosty wygląd, zasługuję na twój podziw (...) Jak dotąd żaden człowiek na całej Ziemi nie wie, jak mnie zrobić” – czytamy. Dlaczego nikt nie wie? Bo w proces wytwarzania jest zaangażowanych mnóstwo wyspecjalizowanych osób, które się nie znają. Każda robi swoje, nieświadomie przykładając rękę do jego powstania. Jeśli jednak nie istnieje osoba, która byłaby w stanie samodzielnie wytworzyć ołówek, to co powiedzieć o narzędziach i technologiach, o aeronautyce? Robotyce? Bioinżynierii? Sztucznej inteligencji?
Wszystkie te dziedziny są nieskończenie bardziej złożone niż technologia produkcji ołówka i wszystkie one przeżywają dynamiczny rozwój. Co więcej, są włączane do kolejnych dotąd prostych systemów – także produkcji ołówków – zwiększając ich złożoność. Elementem całościowo rozumianego systemu, jakim jest ludzkie bytowanie na Ziemi, staje się informacja cyfrowa. Ilość i jakość informacji, które do nas docierają, a także sposoby jej przetwarzania tworzą dodatkowe ryzyka systemowe. Oto każdego dnia wytwarzamy 328,77 mln TB danych. Gdyby każdy z tych terabajtów zapisać na osobnym dysku SSD, to stworzona z nich wieża miałaby ok. 2,3 tys. km wysokości – dla porównania stacje orbitalne unoszą się na wysokości ok. 400 km nad Ziemią.
Jeśli prof. Perrow ma rację i ryzyka katastrofy nie da się ograniczyć do zera w żadnym złożonym subsystemie naszej planety, to mamy poważny problem: sami wytwarzamy niebezpieczeństwa zagrażające naszemu istnieniu, które po prostu muszą się zmaterializować. Perrow uważa, że nie jesteśmy bezsilni. Proponuje podział systemów wysokiego ryzyka na trzy kategorie. Pierwsza to systemy beznadziejne, które generują ryzyko ponad możliwe korzyści. Druga to systemy, w których skutki katastrof można ograniczyć. Trzecia grupa obejmuje systemy mające zdolność do „samoulepszania się” i regularnego ograniczania ryzyka. Systemy z pierwszej kategorii należy porzucić, z drugiej – kontrolować, a systemom z trzeciej należy pozwolić się swobodnie rozwijać.
Oczywiście pozostaje pytanie, czy ludzkość dojdzie do konsensusu, które systemy do której kategorii należą. Perrow np. uważa, że porzucić należy zarówno broń, jak i energię jądrową w ogólności, ale znam wielu, którzy się z tym nie zgodzą. Podobne problemy spotkają sztuczną inteligencję czy inżynierię genetyczną, którą Perrow proponuje umieścić w kategorii drugiej, a w opinii niektórych powinna trafić do pierwszej. Nawet trzecia kategoria jest dyskusyjna. Perrow umieścił w niej nie tylko lotnictwo, transport samochodowy czy przemysł petrochemiczny, lecz także górnictwo. Dzisiaj ten ostatni punkt wielu wrzuciłoby do drugiej, jeśli nawet nie do pierwszej kategorii, tyle że książka „Normal accidents” została napisana w 1984 r., gdy efektów zmian klimatycznych jeszcze nie doświadczaliśmy.
Ubezpieczenie od końca świata
Problem osiągnięcia porozumienia w przypadku kategorii pierwszej sprawia, że propozycja Perrowa wydaje się nierealistyczna. Zawsze znajdzie się ktoś, kto się z różnych przyczyn – by wygrać wojnę albo zarobić – wyłamie. A konsensus taki musiałby być globalny, bo co z tego, że większość porzuci technologię jądrową, skoro będzie ją rozwijać jedno niezbyt przewidywalne i niezbyt racjonalne państwo? Dlatego trzeba poszukać innego sposobu na to, by mieć ciastko (rozwijać się) i zjeść ciastko (nie spowodować fatalnej katastrofy).
W sukurs idzie nam Taleb. W „Antykruchości” zwraca uwagę na dwa rodzaje błędów: zaraźliwe i niezaraźliwe. Te drugie są charakterystyczne dla systemów takich jak linie lotnicze. Ich konfiguracja jest przeprowadzona tak, by zakres współoddziaływania małych błędów był jak najmniejszy. Dzięki temu są one „ujemnie skorelowane ze sobą (...), zmniejszając szanse na przyszłe błędy”. Systemy takie są antykruche – uczą się. Należą do trzeciej kategorii Perrowa.
Do takich systemów można włączyć też firmy reasekuracyjne, które oferują ubezpieczenia od katastrof. Tajemnica ich antykruchości jest banalna: po każdym wypadku asekurująca firma podnosi premię pobieraną od klientów, co pozwala – jak pisze Taleb – na „zarobienia długoterminowego szekla”, czyli stworzenie marży i zebranie środków na poczet wypłat z okazji przyszłych katastrof.
O tej branży wspominam celowo, gdyż – jak zauważa Erwann Michel-Kerjan z Wharton School – innowacje ubezpieczeniowe będą miały kluczową rolę dla ochrony finansowej ludzi i instytucji przed „ryzykami o dużej skali”. „Jedna trzecia z 25 najbardziej kosztownych katastrof ubezpieczeniowych w ciągu ostatnich 40 lat miała miejsce od 2001 r.” – pisze. Artykuł opublikowano w 2010 r. i statystyka mogła się odrobinę zmienić, od tamtej pory mieliśmy kilka trzęsień ziemi, tsunami czy pandemię.
Ale wróćmy do Taleba i systemów, które charakteryzują się błędami zaraźliwymi. Można powiedzieć, że na zaraźliwe błędy podatne są wszystkie systemy o dużej liczbie powiązań między elementami. Na przykład nowy wirus będzie rozprzestrzeniał się szybciej w obszarach gęsto zaludnionych, a nowy modyfikowany genetycznie nawóz, który wbrew intencjom inżynierów zaburzy ekosystem, będzie w jednej chwili dystrybuowany na całym świecie. Jeśli jeden bank straci zaufanie klientów i ci ruszą po wypłaty gotówki, inne banki także ucierpią i być może upadną, co przełoży się na kryzys w całej gospodarce. Czy takie systemy należy „wyłączyć”?
Skądże. Nasza wiedza o tym, jak zarządzać ryzykiem, zwiększa się. Stąd Taleb postuluje nie zakazy, ale trzymanie się zasady ostrożności, która mówi, że jeśli dane działanie może powodować poważne szkody dla otoczenia, należy się z nim wstrzymać do momentu osiągnięcia niemal całkowitej naukowej pewności co do jego bezpieczeństwa, a „ciężar dowodu braku szkody spoczywa na tych, którzy proponują działanie, a nie na tych, którzy się mu sprzeciwiają”. Nie zakazujemy więc lotów dlatego, że pasażerowie przenoszą choroby zakaźne, wymagamy co najwyżej higieny, maseczek i odpowiedniej wentylacji. To dlatego, choć pewnie Taleb uznałby, że warto się pozbyć broni atomowej, energię jądrową wykorzystywaną w reaktorach określiłby (inaczej niż Perrow) jako bezpieczną.
Reguła ostrożności Taleba koresponduje z dynamiką rozwoju, a sztywne podejście Perrowa ma w sobie coś z marzenia biurokraty, którego zdaniem świat działa odpowiednio tylko wtedy, gdy wszystko znajduje się we właściwej szufladce. Oczywiście rozwiązanie Taleba nie jest idealne. Zastrzeżenie związane z ciężarem dowodu sprawia, że ludowe strachy muszą być postawione wyżej niż nowe propozycje technologiczne czy polityczne. A przecież postrzeganie ryzyka nie jest obiektywne. W latach 70. XX w. przeprowadzono serię eksperymentów, które wykazały np., że to, z czym nie mieliśmy wcześniej styczności, postrzegamy jako wysoce niebezpieczne. Dlatego właśnie zwykle oceniamy energię jądrową jako groźniejszą niż eksperci. Mamy też problemy z zestawieniem prawdopodobieństwa danego zdarzenia z jego konsekwencjami – jeśli dane zagrożenie zostanie przedstawione nam wystarczająco barwnie i makabrycznie, to nawet jeśli ma mikroskopijne szanse na zaistnienie, będziemy chcieli podjąć kosztowne środki, by go uniknąć. Władze i firmy mogą zacząć się koncentrować nie na tych zagrożeniach, co trzeba – zwiększając, a nie zmniejszając liczbę katastrof. Ale, cóż – trudno. Bylebyśmy się z nich potem czegokolwiek nauczyli. ©Ⓟ
