Когда в 1979 г. произошла авария на атомной станции «Тримайл-Айленд», Америка оказалась как никогда близка к крупномасштабной катастрофе. Все началось из-за того, что инженеры, пытавшиеся прочистить забитый фильтр, позволили стакану воды протечь не в ту систему. Сама по себе безобидная протечка вызвала срабатывание основных насосов, подававших воду в теплообменник, паровые турбины и градирни. Теперь реактор нужно было охлаждать каким-то иным способом. То, что последовало дальше, представляет собой классический пример лавинообразного нарастания сбоев, каждый из которых можно было легко исправить, но вместе они привели к системной аварии, описанной Чарльзом Перроу.

Два аварийных насоса должны были начать прокачку воды через контур реактора, но на обоих вентили после профилактических работ оказались по ошибке закрыты. Об этом операторов должны были проинформировать световые сигналы, но лампочки оказались закрыты бумажной табличкой со словом «ремонт», висевшей на тумблере. Как только реактор стал перегреваться, автоматически открылся спусковой клапан, как на скороварке. Когда давление вновь пришло в норму, он должен был закрыться, но его заклинило в открытом состоянии, что вызвало опасное падение давления в реакторе.

Если бы операторы поняли, что клапан не может закрыться, то они могли бы перекрыть другой вентиль, расположенный ниже по трубе. Но панель управления показывала, что клапан закрылся нормально. На самом деле – сигнал означал, что клапан нужно привести в нормальное состояние. Пока они соображали, что происходит, начальник смены стал подозревать, что спусковой клапан открыт, и отправил сотрудника посмотреть на датчик температуры. Инженер доложил, что температура нормальная, потому что ошибочно посмотрел на другой датчик.

Это была серьезная ошибка, но объяснимая в такой ситуации. Какофония из более чем 100 аварийных сигнализаций затрудняла разговоры между людьми. Панель управления безумствовала: на ней было почти 750 сигнальных ламп, каждая из которых имела буквенный код, и одни были расположены рядом с соответствующим тумблером, а другие вдалеке от него. Одни лампы располагались над тумблерами, другие – под ними. Красные лампы указывали на включенное оборудование, зеленые – на выключенное. Но поскольку отдельные лампы были обычно зелеными, а другие обычно красными, даже хорошо обученный оператор не всегда мог правильно разобраться во множестве мигающих лампочек и быстро обнаружить неполадку.

В 6.20 утра на работу заступила новая смена. Именно она поняла, что перегретая охлаждающая жидкость уже больше двух часов вытекает из реактора. Новая смена быстро справилась с ситуацией, но к тому времени больше 12 0000 л очень токсичной жидкости уже успело вытечь, хотя расплавления топливных элементов удалось избежать. Если бы индикаторы были разработаны умнее, то с ситуацией можно было бы справиться намного быстрее.

Я спросил главу департамента ядерной безопасности МАГАТЕ Филиппа Жаме, какие уроки удалось извлечь из аварии на АЭС «Тримайл-Айленд». «Когда анализируешь то, что произошло, то приходишь к выводу, что все операторы АЭС вконец растерялись», – ответил он.

Жаме говорит, что после этой аварии много внимания стали уделять тому, что должны знать операторы и как донести до них это знание наиболее доступным образом. Задача сводится к тому, чтобы операторы никогда больше не пытались взять под контроль аварийный реактор под звуки сотен аварийных сигналов при тысяче мигающих лампочек.

Урок не прошел незамеченным для АЭС «Хинкли-Пойнт», которая высится на берегу Бристольского пролива на юго-западе Англии. Некогда она была открыта для посещения школьников, а теперь вокруг нее создан целый лабиринт блокпостов, а по периметру высится забор. В центре площадки, которую я посетил в один из ненастных дней конца июля, стоит серое бетонное здание, в котором находятся два ядерных ректора. Неподалеку от него расположено невысокое офисное здание, которое выглядело бы более уместно в каком-нибудь технопарке. В офисном здании есть тренажер, который почти полностью имитирует диспетчерский зал АЭС. Тренажер выглядит как в 1970-е: массивные металлические консоли и не менее массивные переключатели. Добавлены лишь современные плоские дисплеи, как в настоящей диспетчерской, чтобы получать дополнительную информацию о реакторе с помощью электронных датчиков. Скрытый от глаз мощный компьютер имитирует работу реактора, и его можно запрограммировать на любой сбойный режим.

«С годами появилось много новшеств, – объясняет Стив Митчеллхилл, инструктор тренажера, ставший моим экскурсоводом. – Кое-что выглядит, как будто это сделано “для красоты”, но это далеко не так. Это попытка снизить влияние человеческого фактора». Под человеческим фактором имеются в виду, конечно, ошибки операторов АЭС. И Митчеллхилл всеми силами старается обратить мое внимание на очень простое нововведение, появившееся в середине 1990-х: цветовые схемы, позволяющие операторам даже в минуты паники определить, какие переключатели и индикаторы связаны друг с другом. Одно это немудреное средство помогло бы справиться с аварией на АЭС «Тримайл-Айленд» всего за несколько минут.

Для финансовых регуляторов этот урок может показаться непонятным. Однако та же неразбериха и те же многократные ошибки, которые привели к аварии на «Тримайл-Айленд», возникали и при принятии решений по выходу из финансового кризиса. Во вторую неделю сентября 2008 г. все происходило так же, как на АЭС. Все не сводили глаз с Lehman Brothers, который к тому времени уже имел серьезные проблемы. Одним из тех, кто следил за этим банком, был Тимоти Гайтнер, в то время – президент Федерального резервного банка Нью-Йорка. Гайтнер едва завершил трансатлантический перелет, как генеральный директор AIG Роберт Виллумстад уже попросил его о встрече. Журналист Эндрю Соркин писал, что Гайтнер заставил Виллумстада ждать полчаса, поскольку разговаривал по телефону с Lehman Brothers. Когда эти двое встретились, Виллумстад спросил, может ли AIG получить доступ к тем же заемным средствам Федерального резерва, которые доступны для инвестиционных банков.

Виллумстад передал Гайтнеру служебную записку, в которой говорилось, что рискованные финансовые контракты AIG достигли уровня $2 трлн 700 млрд, из которых более трети – это кредитно-дефолтные свопы и аналогичные деривативы, согласованные с 12 высшими финансовыми институтами. Если AIG рухнет, то это поставит на колени всю глобальную финансовую систему. Таким образом AIG представляла собой значительно большую угрозу, чем Lehman Brothers, причем совершенно неожиданную. Однако для Гайтнера еще не зазвучали тревожные колокола. В конце концов, AIG – это страховая компания, деятельность которой регулируется Казначейством США, а не Федеральным резервным банком Гайтнера. По какой-то причине – возможно, из-за усталости после перелета – он не нашел времени на то, чтобы изучить служебную записку Виллумстада. А может быть, записка было плохо составлена. Но как бы то ни было, Тим Гайтнер отложил вопрос об AIG и вновь занялся делами Lehman Brothers.

Все выходные между правительством и инвестиционными банками велись интенсивные переговоры по спасению Lehman Brothers. Гроза разразилась только в воскресенье вечером, когда одному из инвестиционных банкиров позвонили из Казначейства и спросили, может ли он создать группу, чтобы аналогичным образом обсудить возможность спасения AIG. Неожиданная новость была встречена совершенно ожидаемой репликой: «Подождите, подождите… Вы звоните мне в воскресенье вечером, говорите, что мы все выходные обсуждали дело Lehman, а теперь, оказывается, еще и это? Неужели последние 48 часов мы занимались ерундой?» Как и в случае с «Тримайл-Айленд», люди, отвечающие за сложную систему, оказались неспособны выделить важную информацию из общего потока.

«Мы всегда виним оператора и говорим “ошибка пилота”», – поясняет Чарльз Перроу. Но так же, как оператор АЭС, глядевший не на ту мигающую сигнальную лампочку, Тим Гайтнер сосредоточил свое внимание не на том не потому, что он глуп, а потому, что его снабжали неточной, вводившей в заблуждение информацией. Может быть, вполне достаточно отругать таких, как Гайтнер и руководители Lehman Brothers и AIG, но такие специалисты по безопасности, как Перроу, знают, что лучше совершенствовать систему, чем надеяться на приход более совершенных людей.

Управление воздушным движением – один из самых известных примеров того, как удалось создать очень надежную систему, несмотря на сложность решения этой задачи. Может быть, стоит создать аналог системы управления воздушным движением для финансовых регуляторов, чтобы эта система предупреждала их о возможности столкновения финансовых институтов? Сегодня регуляторы имеют весьма смутное представление о том, имеется ли в данный момент еще одна компания типа AIG. При этом у них отсутствует метод системного поиска таких компаний. Им требуется больше информации, и эта информация должна быть представлена в формате не менее доступном и красноречивом, чем движущиеся точки на экране диспетчера воздушного движения.

Эндрю Халдейн, директор Управления финансовой стабильности Банка Англии, уверен, что наступит день, когда регуляторы получат «температурную карту» стрессов финансовой системы, построенную на основе технологий, которые сегодня используются для проверки состояния электрических сетей. При наличии соответствующих данных и программ для их анализа регуляторы смогли бы изучать карту финансовых сетей, находя предаварийные соединения, перенапряженные узлы и неожиданные взаимодействия. Вместо того чтобы рассматривать разрозненные электронные таблицы и презентации в PowerPoint, они бы анализировали в интуитивном формате четкие презентации рисков, возникающих в системе. В идеале такая карта обновлялась бы ежедневно, в почасовом режиме, или вообще создавалась бы интерактивно.

«Но пока что мы находимся в миллионах километров от такой ситуации», – признается Халдейн. В соответствии с законом о реформировании финансовой системы Додда – Франка, подписанным президентом Обамой в июле 2010 г., создается Управление финансовых исследований, которое, кажется, попытается создать подобную карту. Такая технология должна, в принципе, выявлять те компании, которые имеют наибольшую важность, т. е. «слишком большие, чтобы позволить им рухнуть», и следить за тем, как их важность меняется во времени. (Новые принципы регулирования «Базель III» – это попытка определить правила нахождения системно важных институтов, но в настоящее время определение системной важности не более ясно и внятно, чем определения искусства, литературы или порнографии.) Таким образом, в будущем для Тима Гайтнера важность такого института, как AIG, не окажется полной неожиданностью.

При всей привлекательности такой системной «температурной карты» она одна едва ли позволит решить проблемы лучше, чем это делает «информационное доминирование» Дональда Рамсфельда в военное время. Обеспечение безопасности финансовой системы потребует предоставления регуляторам точной системной информации, но этого будет тоже недостаточно. Как и на поле боя, то, что происходит на передовой финансов, ни один компьютер проанализировать не сможет.