憶失效性失誤——現(xiàn)今幾乎沒有哪個設(shè)備被設(shè)計得能夠支持不計其數(shù)的中斷��。無論對很少使用的程序��,還是非常頻繁使用的程序�,如果在實施過程中不能夠提供幫助和可視的提醒����,就會產(chǎn)生擷取性失誤�,即頻繁重復的動作會取代一定情境下正確的行動�����。設(shè)計流程應該注意����,盡可能讓前面幾步不要相似���。
重點就是����,優(yōu)秀的設(shè)計能夠防止失誤和錯誤����。設(shè)計能夠挽救生命。從差錯到事故——瑞士奶酪模型
幸運的是���,很多差錯不會導致事故的發(fā)生���。發(fā)生事故常常有很多誘因,沒有哪一個單獨的因素能成為根本原因�。
詹姆斯·里森喜歡援引多層瑞士奶酪的比喻來解釋事故的緣起�����,這種奶酪由于布滿篩眼似的孔洞而出名(圖5.3)��。如果每片奶酪代表正在完成任務的一種狀態(tài)�,只有所有四片奶酪上的孑L洞剛好排成一線�,事故才會發(fā)生。在設(shè)計良好的系統(tǒng)里�,可能存在許多設(shè)備故障,很多的差錯��,但除非它們恰好精確地組合起來�����,否則不會釀成事故���。任何疏漏——就像洞穿奶酪上的一個個孔——經(jīng)常會被下一個事件堵住��。設(shè)計良好的系統(tǒng)對故障有很好的免疫力����。這就是為什么努力去尋找事故的“某個”原因,常常注定會失敗�����。事故調(diào)查者�、媒體、政府機構(gòu)����,還有普通的市民,都喜歡給事故的原因找個簡單的解釋�。“看,如果第一個奶酪片上的洞再稍微高點兒�����,就不會發(fā)生事故了�����。所以扔掉第一片�,換一個����。”當然,同樣的解釋可以用在第二、三�����、四片上(實際上在真正的事故里��,會有成千上萬的奶酪片)���。找到或確定一些方案����,相對比較容易����,做些不同的改動,或許會起到預防事故的效果����。但這不是事故的根本原因,這只是諸多原因之一:所有的因素都需要綜合考慮��。在許多事故中你都會看到類似“要是……”的陳述��。“要是我沒有決定走捷徑��,就不會發(fā)生事故。…‘要是不下雨���,我的剎車不會失靈�����。”“要是我當時看一眼左側(cè)���,就能看見疾馳而來的車子。”確實所有的陳述都是正確的�����,但沒有任何一個是事故的“真正”原因��。通常��,不存在單一誘因��。是的��,記者和律師��,還有公眾��,喜歡搜尋原因�,這樣有人就會被譴責和懲罰。但聲譽卓著的調(diào)查機構(gòu)明白不存在單一的原因�,這也就是為什么他們的調(diào)查往往曠日持久。他們的職責是了解系統(tǒng)�,做出改變,降低可能導致未來事故的系列事件的發(fā)生概率��。 瑞士奶酪的比喻啟發(fā)我們應用以下幾種方式減少事故:
·增加更多層的奶酪����。
·減少7L洞的數(shù)量(或者讓現(xiàn)有的孑L更小一些)。
·如果一些孔洞將要排成一線��,提醒操作者����。
上述每一種方法都有操作上的含義。多層奶酪意味著多重保護����,像在航空和其他行業(yè)要求使用檢查清單,一個人誦讀清單條目��,另外一個人執(zhí)行�,然后前一個人再檢查操作以確保符合規(guī)程�����。
在可能發(fā)生差錯的地方���,減少危及安全的操作的數(shù)量,就像減少瑞士奶酪上孔洞的數(shù)量和尺寸�。精心設(shè)計的設(shè)備會降低失誤和錯誤的發(fā)生概率,這就是減少孔洞數(shù)量的同時讓孔洞變得更小����。正是這些措施極大地提升了商用飛機的安全水平。德博拉·赫斯曼( Deborah Hersman)�,國家交通安全局的主席,這樣描述設(shè)計原則:
美國的航空公司每天要在空中安全地運送200多萬旅客����,這些成就大多來自冗余設(shè)計和多重保護措施。
冗余設(shè)計和多重保護措施:這就是瑞士奶酪�。這個比喻說明,試圖找到事故的單一深層原因(通常是一些人)�����,然后懲罰肇事者��,是多么徒勞無益��。相反���,我們應該好好思考系統(tǒng)����,思考所有可能導致人為失誤��,進而釀成事故的交互因素�����,然后�����,策劃出從總體上改進系統(tǒng)����,使之更加可靠的方案。
