无疑是描述相似性失误的元凶。没有显着标示的内部模式毫无障碍地引发了功能状态差错。伴有无数中断的情境,毫无疑问促使记忆失效性失误——现今几乎没有哪个设备被设计得能够支持不计其数的中断。无论对很少使用的程序,还是非常频繁使用的程序,如果在实施过程中不能够提供帮助和可视的提醒,就会产生撷取性失误,即频繁重复的动作会取代一定情境下正确的行动。设计流程应该注意,尽可能让前面几步不要相似。
重点就是,优秀的设计能够防止失误和错误。设计能够挽救生命。
从差错到事故——瑞士奶酪模型
幸运的是,很多差错不会导致事故的发生。发生事故常常有很多诱因,没有哪一个单独的因素能成为根本原因。
詹姆斯·里森喜欢援引多层瑞士奶酪的比喻来解释事故的缘起,这种奶酪由于布满筛眼似的孔洞而出名(图5.3)。如果每片奶酪代表正在完成任务的一种状态,只有所有四片奶酪上的孔洞刚好排成一线,事故才会发生。在设计良好的系统里,可能存在许多设备故障,很多的差错,但除非它们恰好精确地组合起来,否则不会酿成事故。任何疏漏——就像洞穿奶酪上的一个个孔——经常会被下一个事件堵住。设计良好的系统对故障有很好的免疫力。这就是为什么努力去寻找事故的“某个”原因,常常注定会失败。事故调查者、媒体、政府机构,还有普通的市民,都喜欢给事故的原因找个简单的解释。“看,如果第一个奶酪片上的洞再稍微高点儿,就不会发生事故了。所以扔掉第一片,换一个。”当然,同样的解释可以用在第二、三、四片上(实际上在真正的事故里,会有成千上万的奶酪片)。找到或确定一些方案,相对比较容易,做些不同的改动,或许会起到预防事故的效果。但这不是事故的根本原因,这只是诸多原因之一:所有的因素都需要综合考虑。
在许多事故中你都会看到类似“要是……”的陈述。“要是我没有决定走捷径,就不会发生事故。”“要是不下雨,我的刹车不会失灵。”“要是我当时看一眼左侧,就能看见疾驰而来的车子。”确实所有的陈述都是正确的,但没有任何一个是事故的“真正”原因。通常,不存在单一诱因。是的,记者和律师,还有公众,喜欢搜寻原因,这样有人就会被谴责和惩罚。但声誉卓着的调查机构明白不存在单一的原因,这也就是为什么他们的调查往往旷日持久。他们的职责是了解系统,做出改变,降低可能导致未来事故的系列事件的发生概率。
图5.3 里森的瑞士奶酪事故模型。
发生事故通常有多种因素。任何其中一个原因不出现,事故就不会发生。英国事故调查员詹姆斯·里森用多层瑞士奶酪比喻这种状况:除非奶酪上所有的孔都完美地连成一线,否则没有事故。其次,要减少事故的发生,让系统更加有弹性,我们可以通过设计额外的差错预防机制(即切出更多层的奶酪),减少失误、错误或设备失效的机会(奶酪上更少的孔),以及为系统中不同的零部件设计完全不同的运行机制(努力使奶酪上的孔不要排列起来)。(图片来自里森,1990年。)
瑞士奶酪的比喻启发我们应用以下几种方式减少事故:
·增加更多层的奶酪。
·减少孔洞的数量(或者让现有的孔更小一些)。
·如果一些孔洞将要排成一线,提醒操作者。
上述每一种方法都有操作上的含义。多层奶酪意味着多重保护,像在航空和其他行业要求使用检查清单,一个人诵读清单条目,另外一个人执行,然后前一个人再检查操作以确保符合规程。
在可能发生差错的地方,减少危及安全的操作的数量,就像减少瑞士奶酪上孔洞的数量和尺寸。精心设计的设备会降低失误和错误的发生概率,这就是减少孔洞数量的同时让孔洞变得更小。正是这些措施极大地提升了商用飞机的安全水平。德博拉·赫斯曼(Deborah Hersman),国家交通安全局的主席,这样描述设计原则:
美国的航空公司每天要在空中安全地运送200多万旅客,这些成就大多来自冗余设计和多重保护措施。
冗余设计和多重保护措施:这就是瑞士奶酪。这个比喻说明,试图找到事故的单一深层原因(通常是一些人),然后惩罚肇事者,是多么徒劳无益。相反,我们应该好好思考系统,思考所有可能导致人为失误,进而酿成事故的交互因素,然后,策划出从总体上改进系统,使之更加可靠的方案。
更多内容加载中...请稍候...
若您看到此段落,代表章节内容加载失败,请关闭浏览器的阅读模式、畅读模式、小说模式,以及关闭广告屏蔽功能,或复制网址到其他浏览器阅读!