修补回复工程

在工业应用中，巨大而复杂的系统，比如油井、炼油厂、化工厂、发电厂、交通运输和医疗服务中发生的事故对工厂和周边环境都有巨大影响。有时问题没有发在组织内部，而是来源于外部，诸如强烈的暴风雨、地震和潮汐会损毁大部分现有基础设施。不管什么情况，问题是如何设计并管理这些系统，让它们能够以最小的破坏和损失恢复运转。一个重要的方式就是修补回复工程（resilience engineering），将其用作设计系统和流程、管理和人员培训的目标，因而设计的结果就能够应对发生的问题。力求保证所有这些方面的设计——设备、流程，以及工人之间的沟通、管理层同外界之间的沟通——被反复评估，测试和改进。

于是，主要的电脑厂商可以故意在程序中设置漏洞，以测试工厂的反应水平。通过故意关闭关键的生产设施，来验证备用系统和冗余设计的实际工作状况。当系统正在上线工作，为真正的客户生产，这样做似乎有些危险，尽管如此，这是唯一能够测试巨大而复杂的系统的方法。小范围的测试和模拟反映不出系统的复杂性、抗压水平，以及比拟真实系统故障的意外事件。

埃里克·霍纳格尔（Erik Hollnagel）、戴维·伍兹（David Woods）和南希·莱维森（Nancy Leveson）是这个主题一系列有影响力的书的作者，他们娴熟地总结如下：

修补回复工程是安全管理的范例之一，关注于帮助人们在压力下成功应付复杂的环境以取得成功。它与现在典型的模式有巨大差异——将差错列成表格，好似一件事情，然后干预并降低其数量。实施修补回复工程的组织将安全视为核心价值，而不是可以清算的商品。实际上，在没有发生安全事件时才能看到安全的影子！不仅要回顾过去的成功案例作为分配时间和精力的理由，实施修补回复工程的组织要持续关注于预测故障的潜在变化，因为他们深知自己关于事故的知识仍有欠缺，而且周围环境在不断改变。对修补回复工程的一个评价是预见的能力，即在故障和损伤发生前，预测风险的形势变化。（摘录已得出版方许可，埃里克·霍纳格尔、戴维·伍兹、南希·莱维森，2006年。）