Чому ІТ-інциденти повторюються: системні причини, а не людські помилки

Термін "людська помилка" в інженерії складних систем є семантичним ярликом, що зупиняє розслідування. Згідно з парадигмою Resilience Engineering, дії оператора є не причиною інциденту, а наслідком системного дизайну, інформаційного шуму та організаційного тиску.

У класичній моделі безпеки (Safety-I) ми звикли розглядати людський фактор як найслабшу ланку в ланцюзі надійності. Це фундаментальна помилка атрибуції. Коли DevOps-інженер виконує деструктивну команду DROP DATABASE на проді, наш мозок, схильний до лінійного мислення, будує прямий каузальний зв'язок: "Інженер натиснув кнопку -> Система впала -> Інженер винен".

Однак, застосовуючи Принцип локальної раціональності (Local Rationality Principle) Сідні Деккера, ми повинні визнати: ніхто не приходить на роботу, щоб зруйнувати продакшн. У момент прийняття рішення дії інженера мали повний сенс, виходячи з:

1. Доступної йому на той момент інформації (Observability context).
2. Фокусу його уваги (Cognitive tunnelling).
3. Цілей, поставлених організацією (Speed vs. Safety).

Феномен Hindsight Bias (Упередження післязнання)

Після інциденту шлях до катастрофи здається очевидним. Це когнітивне викривлення називається Hindsight Bias. Воно змушує менеджмент вірити, що оператор "повинен був бачити" попереджувальні сигнали. Але це ілюзія. До моменту збою ці сигнали були слабкими (weak signals), замаскованими шумом звичайних алертів.

Будь-який Post-mortem, який закінчується висновком "необхідно бути уважнішим" або "провести тренінг персоналу", є марною тратою ресурсів компанії. Він не усуває системну причину, гарантуючи рецидив.

Ентропія та Теорія складних систем (Complexity Theory)

Сучасні розподілені системи належать до класу Складних адаптивних систем (Complex Adaptive Systems). У таких системах відмови виникають емерджентно - через непередбачувану взаємодію справних компонентів, що робить повне детерміноване тестування математично неможливим.

Framework Cynefin та природа заплутаності

Більшість сучасних архітектур (Kubernetes clusters, Service Mesh) знаходяться в доменах Complicated або Complex за моделлю Cynefin.

• Complicated: Причина і наслідок розділені, але їх можна виявити аналізом (експертна зона).
• Complex: Причина і наслідок стають зрозумілими лише ретроспективно. Емерджентність домінує.

Інциденти повторюються тому, що ми намагаємося керувати Complex доменом інструментами для Simple домену (наприклад, жорсткими чек-лістами). У складній системі: $$ Resilience \neq Robustness $$

Нелінійність та тісна зв'язаність (Tight Coupling)

Згідно з теорією нормальних аварій Чарльза Перроу (Normal Accident Theory), системи з високим ступенем зв'язаності (tight coupling) та високою складністю взаємодії неминуче зазнають аварій. Розглянемо приклад каскадного збою:

1. Мікросервіс А сповільнюється на 200мс через Garbage Collection.
2. Мікросервіс B, що залежить від А, вичерпує свій пул потоків (Thread Pool Exhaustion).
3. Load Balancer позначає B як "unhealthy" і перенаправляє трафік на C.
4. Мікросервіс C не розрахований на подвійне навантаження і падає миттєво.
5. Результат: Повний блекаут (Total Outage).

Тут немає "помилки" в коді. Усі компоненти працювали згідно зі специфікацією. Проблема полягає в топології системи, а не в якості коду.

Анатомія Дрейфу: Drift into Failure

Явище Drift into Failure описує процес поступової ерозії запасів міцності (Safety Margins). Під тиском оптимізації витрат та швидкості дрібні відхилення стають новою нормою, поки система не перетинає критичну межу, де найменше збурення викликає колапс.

Нормалізація відхилень (Normalization of Deviance)

Концепція, введена Дайан Воган при аналізі катастрофи "Челленджера", є ключовою для ІТ. Уявіть, що ваш Elasticsearch кластер періодично переходить у статус "Red", але потім сам відновлюється. Команда звикає до цього. Алерти ігноруються або вимикаються. Це називається десенсибілізацією.

Організація приймає вищий рівень ризику як "стандартну операційну процедуру". Рецидив інциденту в такому середовищі - це не питання "чи станеться?", а "коли?". Системна протидія цьому вимагає жорсткої дисципліни SLO (Service Level Objectives): якщо ми порушили бюджет помилок, ми зупиняємо релізи.

Математика Надійності та Економіка Помилок

Надійність не є бінарним станом (працює/не працює). Це ймовірнісна функція. Використання математичного апарату Reliability Engineering дозволяє перевести розмову з емоцій у площину економічної доцільності, використовуючи метрики Availability та Error Budgets.

Формула доступності та її імплікації

Базова формула доступності ($A$) виглядає так:

$$ A = \frac{MTBF}{MTBF + MTTR} $$

Де:

• MTBF (Mean Time Between Failures): Середній час між збоями. Відображає якість коду та архітектури.
• MTTR (Mean Time To Recover): Середній час відновлення. Відображає якість Observability та операційних процесів.

Збільшення MTBF (написання коду без багів) має експоненційну вартість. Зменшення MTTR (швидке відновлення) часто є дешевшим і ефективнішим. Інциденти повторюються, тому що компанії інвестують 90% ресурсу в спроби запобігти збою (MTBF) і лише 10% в інструменти швидкої діагностики та відновлення (MTTR), такі як Distributed Tracing або автоматизовані Runbooks.

Бюджет помилок (Error Budget) як запобіжник

Error Budget - це єдиний механізм, який перетворює конфлікт між розробкою (Product) та експлуатацією (SRE) на партнерство.

Приклад: Якщо наш SLO доступності становить 99.9%, це означає, що ми маємо право на 43 хвилини простою на місяць. Якщо ми витратили цей час на інциденти, політика Feature Freeze блокує всі нові релізи. Команда займається лише стабільністю. Без цього механізму технічний борг накопичується безконтрольно, гарантуючи майбутні аварії.

Когнітивна наука та Design for Failure

Поганий дизайн CLI, панелей моніторингу та конфігураційних файлів збільшує когнітивне навантаження (Cognitive Load) на інженера. В стані стресу, коли активується "Тунельний зір", складні або неоднозначні інтерфейси стають безпосередньою причиною помилкових дій.

Пастки в інтерфейсах (Bad Interaction Design)

Чому інженери видаляють не ті бази даних? Часто через поганий UX терміналу.

Якщо ваші інструменти дозволяють знищити інфраструктуру однією командою без підтвердження контексту, ваша система спроектована для аварій. Це не помилка оператора, це помилка дизайнера інструменту.

Alert Fatigue (Втома від сповіщень)

Коли інженер отримує 100 алертів за день, з яких 95 - "хибнопозитивні" (false positives), мозок перестає реагувати на звук сповіщення. Це біологічний механізм адаптації. Коли приходить той самий 1 реальний алерт про критичний збій, він ігнорується. Рішення: Видаляти будь-який алерт, який не вимагає негайної дії людини (Actionable Alerts). Все інше - в логування.

Архітектурні патерни запобігання рецидивам

Шлях вперед: Від RCA до Post-Incident Learning

Традиційний Root Cause Analysis (RCA) базується на міфі, що існує одна коренева причина. У складних системах це завжди мережа факторів. Ми повинні перейти до побудови Каузальних Графів.

Алгоритм ефективного Post-mortem:

1. Побудова Timeline: З точністю до секунд. Що бачила система? Що бачила людина?
2. Виявлення факторів, що сприяли (Contributing Factors): Не "хто", а "що".
   • Тригери (Trigger events).
   • Передумови (Preconditions).
   • Латентні умови (Latent conditions).
3. Генерація Action Items:
   • Слабкі: "Оновити документацію", "Сказати розробникам бути уважними".
   • Сильні: "Змінити код для автоматичної обробки виключення", "Впровадити ліміти на рівні інфраструктури".

Висновок

Повторювані інциденти - це результат вибору. Вибору швидкості замість стабільності. Вибору покарання замість навчання. Вибору надії на героїзм інженерів замість інвестицій у відмовостійку архітектуру. Людська помилка - це не причина. Це симптом системи, яка вимагає від людей досконалості у недосконалих умовах. Хочете зупинити рецидиви? Перестаньте фіксити людей. Фіксіть систему.