人为失误的瑞士奶酪模式

1、人为失误的瑞士奶酪模式人为失误的瑞士奶酪模式作者：James Reason(reasonpsy.man.ac.uk),心理学教授，曼彻斯特大学人为失误的问题可以从两个方面来看：人的方面和系统的方面。每个都有不同的失误模式，每个模式又有不同的失误管理方法和理念。理解这两个方面的不同对于处理失误以及预防错误发生的风险非常重要。概述人为失误有两个处理方法：人和系统。人的方法侧重于个人的错误，责其没有记性、注意力不集中或者士气低落。系统的方法侧重于个人所工作的条件，尽量创造一个个人不易范错误的环境。高度可靠的组织机构这种机构所发生的事故非常少意识到人的多变性是预防错误所需要控制的因素，所以努力控制这种

2、多样性，不断地对各种可能的失效提出预警。人的方法长久以来人的方法主要侧重于不安全的行为错误和违法程序的执行人：医生、护士、麻醉师、药剂师等。人们认为这些不安全的行为主要起因于异常的心理过程，比如健忘、注意力不集中、缺乏动力、粗心、忽视和鲁莽。很自然地，相应的防治措施就是减少人的行为的不确定性。这些方法包括"贴图运动"(poster campaigns)以引起人们的恐惧感，制定额外的程序(或者在现有的基础上增加)，纪律措施，法律威胁，再培训，点名，批评和羞辱。执行这种措施的人认为人的错误来源于心智问题，假定不好的东西总是发生在不好的人身上。系统的方法这个系统的基本理念就是人总

3、会犯错误，错误总会发生，即使在最好的组织中也是如此。错误被视为一个结果而不是原因。所以，防治措施建立在这样的假设上：尽管我们不能够改变人类自身的条件，但是我们可以改变人类所处于其中的条件。其中心理念就是系统防御。如果出现反常情况，最重要的事情不是责备相关人员，而是检查为什么防御系统会失效，以及如何失效的。评价人的方法人的方法仍然是主要的方法。从某些方面上讲，这无可厚非。与调查机构相比，责备人在情绪上更加容易得到满足。人被视为能够在安全和不安全的行为模式中做出选择。如果某些事情错了，很明显，某些人应该对此负责。尽可能地将人的错误与结构的错误区分开来很明显地符合管理人员的利益。法律上也更加便捷，至

4、少在英国是这样的。然而，人的方法存在严重的缺点，非常不适合医疗领域。实际上，持续地使用这种方法容易阻碍更加安全的医疗机构的发展。虽然有些不安全的行为在任何层面上都是极为恶劣的，但是绝大多数不安全的行为却并非如此。在飞行器维护方面，大约有90%的质量确实都是不受责备的。有效风险管理取决于建立一个报告的文化传统。如果没有对错误、事故等的详尽分析，我们就不能够发现再次失误的陷阱，也不知道再次跌到的"边际"在哪里。这种报告文化的缺失导致了前苏联的切尔诺贝利核泄漏(Chernobyl disaster)的灾难事故的发生。信任是建立报告制度的关键因素，为此，也需要存在一个公正的文化知道

5、哪些是该收责备的，哪些不是。创造一个公正的文化环境是创造安全的文化传统的先决条件。系统性事故的"瑞士奶酪"模式防御、障碍和安全保护在系统方法中占有非常重要的位置。高度技术化的系统具有多重防御：有些是工程化的(警告系统，物理障碍物，自动停机等)，一些则是依赖于人(外科医生，麻醉师，飞行员，控制室操作员等)，还有一些依赖于程序和管理控制。它们的功能是保护潜在的受害者和资产免收危害。大多数措施是有效的，但是也有一些常常无能为力。理想情况下，每一层防御都是静态的。不过，现实情况是，它们更像是瑞士奶酪的不同切片，有许多孔洞不过与奶酪的孔洞有些不同的是，这些漏洞经常开、关乎着改变位置。

6、如何一个切片上的孔洞不一定会造成坏的结果。通常，当这些孔洞在同一水平线上的时候，就会产生一些错误。如下图：奶酪中的孔洞可能来源于两个原因：主动失效(active failure)和潜伏状况(latent condition)。几乎所有的负面事故都涉及到这两个因素。主动失效(Active failures)是人所做的不安全行为。这种行为有多种形式：滑动，失误，摸索，错误，违反程序。主动失效对防御系统的影响是直接的，都是通常都是短暂的。例如，在前苏联的切尔诺贝利核事故中，工人错违反工厂的程序把不间断电源关闭，从而导致核反应堆芯的灾难性爆炸。核电站的其他人员对这种近在身边的潜在危险也没有采取任何的行

7、动。潜伏状况(Latent conditions)是系统内的不可见"病原体"，产生于设计师、程序员或者高层管理人员的决策。这些决策也许是错误的，虽然本不该如此。所有的这些战略决策都有可能带来"病原体"。潜伏状况有两种负面效应：它们在工作区可能会转化成引发错误的因素(例如，时间压力，人手不足，设备不够，疲劳以及缺乏经验等)和在防御系统中产生永久的孔洞和薄弱之处(例如，不值得信赖的警告和指示，不切实际的工作程序，设计和结构缺陷等)。潜伏状况可能会在系统中存在数年，直到与主动失效以及其他引发因素相结合造成事故。与主动失效其较坏的特定形式常常难以预料-不同的是，

8、潜伏状况在负面事件发生之前是能够被发现和补救的。理解了这一点就容易做出积极的管理，而不是消极的反应了。我们不能够改变人的状况，但是我们能够改变人做工作的环境。做一个比喻：主动失效就像是蚊子。它们被赶走后还会来。最佳的补救方法是建立积极有效的防御或者排干滋养蚊虫的沼泽地。这里，沼泽地就是潜伏状况。失误管理在过去的数十年中，人因工程学的研究人员一直在关注于开发一些管理不安全行为的工具。失误管理有两个部分：限制危险错误的发生概率，创建一个系统能够更好地容忍错误的发生并容纳其破坏性影响。致力于人的因素的研究人员把更多的管理资源放在减少人为失误上面，而致力于系统性方法的人则倾向于采用更加综合性的措施，针

9、对各种不同的目标：人，团队，作业，工作环境以及机构组织。高度可靠性的一些悖论正如药物对疾病的了解比对健康的了解多一样，安全科学家对于产生负面事件的原因的了解多于如何最好地防止其发生。在过去的大约15年当中，一群主要来自于伯克利和密执安大学的社会学家通过研究机构组织中的安全典范而不是那些不常发生的但是更加明显的失效，纠正了这种不平衡。这些安全典范包括核动力飞行器、飞行器控制系统和核电站。虽然这些高度可靠的组织与医疗机构相去甚远，但是它们的一些特性还是可供医药领域借鉴的。大多数传统系统中的管理人员都把人的不可靠性归咎于不期望的多样性，并努力消除这种多样性。另一方面，在高度可靠的组织中，普遍认为以相

10、互补偿和对于变化事件的适应的形式表现出来的人的多样性代表了系统的最重要的安全防范措施之一。可靠性是"动态的非事件"。说它是"动态的"是因为安全来自于及时的人员调整，说它是"非事件"是因为成功的结果很少引起它们自身的注意。高度可靠性的机构组织自身能够重新配置以适应本地的环境。正常情况下，机构组织受控于常规的方式。但是在临时或者紧急的情况下，控制要交给现场的专家了这一点与医疗领域比较相似。一旦危机解除，机构组织无间隙地转换到常规控制模式。有意思的是(或者说与此相悖的是)，这种灵活性部分来自于军队传统即使是民用高度可靠性组织中也有很大一部分

11、的退伍军人。军队当中倾向于以一种毫不含糊的方式定义其目标，并且对于这些半自动化活动，其成功与否取决于所有参与者都非常清楚并分享这些目标。责备个人仅仅得到了情绪上的满足的是却于事无补。高度可靠性组织到目前为止，总共有三种类型的可靠性组织被调查研究过：美国海军核能运输机，核电站和飞行控制中心。这些组织所面临的挑战也是双重的：管理复杂的技术以避免可能对组织造成伤害的主要失效；维持较高的能力已应付需求高峰时期，不论高峰何时发生。所研究的机构组织具有如下特性：复杂的，内部动态的，而且有间断性的、高密度的深入互动；在相当大的时间压力下完成精确的任务；以较低的事故率完成所要求的活动，并且在数年中都未曾发生过灾难性的事故。结论高度可靠性的组织机构是系统性方法的主要案例。他们预期到最坏的情况并进行自身的装备从而在组织的各个层面处理这种情况。让个人长时间地保持不安状态非常困难，甚至是不自然的，那