安全思想家- James Reason

James Reason  1938年5月1日 - 2025年2月4日

 

https://en.wikipedia.org/wiki/James_Reason

https://www.ioshmagazine.com/2025/02/21/remembering-james-reason-household-name-human-error

https://www.nytimes.com/2025/03/13/science/james-reason-dead.html

https://www.flightsafetyaustralia.com/2025/02/the-absent-minded-professor-who-made-a-safer-world/

 

1938年5月1日出生於倫敦西北部赫特福德郡加斯頓村。他的父親史丹利·圖特爾於1940年二戰期間去世，當時他在自家凸窗打牌時被彈片擊中。他的母親希爾達·圖特爾在他十幾歲時去世。本來的名字是James Tootle

詹姆斯是他的祖父托馬斯·奧古斯都·里森 (Thomas Augustus Reason) 撫養長大的，詹姆斯也隨了他的姓氏。James T. Reason

 

1962年畢業於曼徹斯特大學，他最初學的是醫學(研究感官迷向與動暈症)，但在醫院餐廳裡注意到一群興高采烈的學生後，他轉而學習心理學。其中一位名叫雷婭·賈裡（Rea Jaari）的學生後來成為了他的妻子，兩人於1964年結婚。 (師生戀，老婆是印度人?)

於1964年至1976年在萊斯特大學任教，之後擔任心理學副教授，並於其間獲得博士學位。

1977年，他回到曼徹斯特大學，擔任心理學教授直到2001年。

1990年發表成名著作

1991年跟John Wreathall共同創立了Wreathall & Co.公司

2002年，他被阿伯丁大學授予榮譽理學博士學位。2006他被授予皇家全科醫學院榮譽院士。

Fellow of the British Academy, the British Psychological Society and the Royal Aeronautical Society

 

在他的職業生涯中，Reason的姓氏都是一個可靠的輕鬆來源：「reason（理性）一詞在英語中被廣泛使用，但它並不能描述吉姆真正為人熟知的”錯誤”」《國際認知、技術與工作期刊》的創始編輯Erik Hollnagel在里森教授自傳的前言中寫道。 「事實上，『錯誤』幾乎與『reason』截然相反。」

 

Reason 現身說法(買了真的cheese)講解Swiss Cheese Metaphor

https://youtu.be/KND5py-z8yI?si=3l1IyXO0dgYFeTcC

 

Good and bad reasons: The Swiss cheese model and its critics

https://www.sciencedirect.com/science/article/pii/S0925753520300576

他在1970年代初期的一次日常生活中，將貓糧誤放入茶壺的經歷，促使他開始關注「錯誤」這一主題，並將其定義為「一個廣泛的術語，涵蓋所有有計劃的精神或身體活動未能達到預期結果，且這些失敗不能歸因於某些偶然因素的介入的情況」

瑞森受到諾特布姆（Nooteboom）的言語錯誤研究、諾曼（Norman）的錯誤類型研究，以及拉斯穆森（Rasmussen）在認知工程領域工作的影響。他開始記錄日常錯誤，並將其解釋為諾曼的行動理論與拉斯穆森的認知通用模型（技能、規則和知識，SRK）的結合

1980年代，隨著博帕爾、切爾諾貝利、挑戰者號等重大災難的發生，事故報告開始強調組織層面，促使瑞森將研究焦點從微觀的人為錯誤轉向宏觀的組織事故。這一轉變受到特納（Turner）的災害潛伏期模型和佩羅（Perrow）的正常事故理論等社會學分析的啟發。

 

瑞士起司模型的誕生經歷了三個關鍵概念的融合：

1.     瑞森的「潛在病原體」隱喻：瑞森將工業事故比作疾病，認為它們是由多種因素（潛在的「病原體」）共同作用的結果，這些因素本身是必要的，但不足以單獨穿透系統的防禦。他強調應優先管理和消除這些潛在病原體，而不是僅僅關注難以預測的主動錯誤。(靈感來自於醫學)

2.     約翰·里瑟爾（John Wreathall）的「深度防禦」概念：瑞森於1981年結識了核工程師約翰·雷索。1987年，他們共同在餐巾紙上繪製了第一個組織事故模型（OAM）。雷索提供了一個規範性的生產組織模型，包含決策者、管理鏈、先決條件、生產活動和防禦措施等要素。這個概念源於核工業的「深度防禦」思想，將工程概念擴展到人類和組織領域。

3.     羅布·李（Rob Lee）的「瑞士起司」類比：在2000年《英國醫學期刊》（BMJ）上發表的一篇關於醫療安全簡化版OAM的文章中，瑞森首次使用了「瑞士起司」的類比。這個想法最初由羅布·李在1990年代早期提出，它將系統中的屏障比作起司片，而弱點則比作孔洞。

 

Reason發表了多個版本的OAM，這些模型展示了他思維的演變和完善。這些圖形探索包括：

• Mk I (1990)：結合了里瑟爾的組織模型和瑞森的人為錯誤工作，首次明確提及「深度防禦」。
• Mk II (1990)：明確提到了「通用故障類型」（來自Tripod方法）。
• Mk II 的另一版本 (1993)：強調了潛在錯誤如何在組織中「傳播」，並指出管理決策可以直接影響防禦完整性，即使沒有操作者的主動錯誤也可能導致災難。
• Mk X (1995)：一個垂直導向的模型，提出了兩條不同的故障路徑（人為錯誤和屏障失效），引入了「氣候」與「文化」的概念區分，並通過「失控」和反饋機制展示了系統性立場。這個版本很快就被放棄了。
• Mk III (1997)：為安全從業人員設計，將組織簡化為其防禦，並根據其與不利事件的空間和時間距離來表示影響防禦的因素

 

對於Swiss Cheese Metaphor (組織事故模型OAM)的批評

-        Hollnagel將SCM歸類為「流行病學」或「複雜線性」的事故模型，認為它將事故歸因於潛在條件和危險行為的線性組合，並將預防重點放在加強系統防禦上，而非更動態的系統視角。

-        Dekker認為，SCM的靜態視角助長了事故因果關係的線性觀念，可能導致安全從業人員只關注組件或子系統的品質，而忽略了整個系統。

-        Leveson將SCM描述為Heinrich 骨牌模型的過時版本，僅用不同術語（起司片而非多米諾骨牌），並假設了屏障的獨立性及「孔洞」對齊的隨機性。她指出，SCM將人類（操作員）的「不安全行為」視為最終事件，卻忽略了事故發生時的其他類型「活躍故障」，以及事件背後的根本原因，除了缺乏屏障來阻止其傳播。

-        SCM的成功不僅在於其學術影響，也在於其作為一個「產品」進入市場。詹姆斯·里森和約翰·里瑟爾（John Wreathall）共同創立了Wreathall & Co. 公司，為包括英國航空、英國石油和美國核能管理委員會在內的許多主要工業集團提供商業專案諮詢。

 

個人對於SCM的評論

貢獻與影響

1. 此一模型集先前事故理論觀點的大成：整合了深度防禦(骨牌比喻)、缺失導致事故的可能(屏障比作起司片，而起司片上的孔洞代表潛在的缺陷與弱點)、流行病比喻(系統潛在的缺陷與弱點有如潛伏在人體的病原體)
2. James Reason 同Jens Rasmussen，都嘗試把事故分析(究責)的焦點，從微觀的人員疏失Human Factor(下醫醫病，管理不安全的行為)轉向宏觀的組織管理Organizational factor(上醫醫國)；相較於Jens Rasmussen提出 AcciMap的宏觀與複雜，Reason的認為事故發生通常是人員失誤（不安全行為，如失誤、疏忽、錯誤、違規）與潛在條件（由設計者、建造者、程序制定者和高層管理人員的決策所導致的「潛在病原體」，如時間壓力、人員不足、疲勞、經驗不足、程序或設計缺陷等）結合的結果(相對單純)。
3. Reason另外提出了公正文化Just Culture的理念訴求：明確區分了”不可接受的行為（如魯莽或犯罪行為）”和”不應受到指責的行為”。這鼓勵人們報告「虛驚事故」(near misses) 和輕微事件，從而提供寶貴的學習機會，因為如果人們害怕被懲罰，他們就不會報告錯誤。
4. 這個視覺化瑞士起司的簡單比喻，讓艱澀的安全觀念變得易於理解與廣為流傳，成為從業人員和社會探討意外事故時，最常被引用的事故理論模型之一。(Jens Rasmussen的 AcciMap相對完備+可實務操作，但知名度不如瑞士起司)

不足與誤用

1. 想法很好，但不知道怎麼具體操作：e.g., 如何鑑別與找出組織當中各種潛在的病原體與系統潛在的缺陷與弱點(其實就John Wreathall與工程管理而言，就是分析保護層、安全屏障與Bow tie analysis；就組織管理與Jens Rasmussen而言，就是 AcciMap。而在AcciMap的基礎上Erik Hollnagel發展了FRAM的工具手法、Nancy Leveson發展了STAMP工具手法)
2. 瑞士起司的圖像比喻簡單易懂，但也讓一般普羅大眾乃至政治人物斷章取義：用光線穿透好幾層充滿洞洞的起司片來形容事故的發生=>讓人誤以為事故的發生只是陰錯陽差與機率上的巧合(e.g., 行政院1021鐵路事故報告)，而非治本需深入探討組織因素與整體脈絡(Jens Rasmussen 的AcciMap手法相對更能具體呈現背後組織因素與脈絡)。
3.  瑞士起司Swiss Cheese只是個比喻，而非理論；科學理論要能夠被否証與証偽推翻，例如愛因斯坦的相對論取代牛頓的萬有引力學說。如何證明或比較以下兩個說法與解釋的優劣? 
• 甲Heinrich (1931)說：88% 的事故是由人的不安全行為造成的，10% 是由不安全的狀態造成的，2% 是由“天災”
• 乙Reason(1990)說：事故發生通常是主動失誤（當事人不安全行為，如失誤、疏忽、錯誤、違規）與組織潛在條件（由設計者、建造者、程序制定者和高層管理人員的決策所導致的「潛在病原體」，如時間壓力、人員/經驗不足、疲勞、資源不足、不可靠的警報、不可行的程序或設計缺陷）結合的結果

或者

• 有沒有一種可能是：Heinrich與Reason說的都對都有道理? 前者的觀點適用在簡單的作業環境與條件，後者的觀點適用在相對複雜涉及人機介面與工程專案管理的情境?
• 亦或Heinrich把Human Error人為疏失當成事故發生的原因(事故調查的終點)，而Reason把人為疏失當成事故調查與預防事故的起點?

半輩子研究人類錯誤的Reason 在2013出版A Life in Error: From Little Slips to Big Disasters（一生錯誤：從小疏忽到大災難）回顧其四十餘年研究人類錯誤的歷程

他強調人就是會犯錯(To Err is Human)提倡公正文化Just Culture、針對人為疏失是治標/從組織下手才是治本等觀念想法。回想自己在職場上的經驗，的確To Err is Human人會犯錯，乃至於設備機台會故障、安全裝置與連鎖會失效Malfunction、相關設計規畫與運作維護始亂終棄…，然後主管(包含家中上級)也是人：To Blame is Human! 對於主管(或擔任稽核督導的人)而言，指責別人容易，檢討反省自己難(越高階的主管越不能承認自己錯誤)，所以Reason 的瑞士起司，業界多半一知半解與只是拿來說嘴(用不出來)，實務運作、出事與法院判決還是採行Heinrich的觀點。

圖書著作：

Human Error, Cambridge University Press. 1990. ISBN 978-0-521-31419-0 (操作員往往不是事故的主要始作俑者，而是系統缺陷的繼承者。他們的角色就像是給一鍋早已熬煮多年的致命湯汁添加了最後的點綴。首次提出了「失誤、過失、錯誤和違規」作為「源於人類正常認知過程而非故意的道德失誤」的錯誤分類。這些錯誤「不可避免地會透過人們的技能、規則和基於知識的表現而發生，而這些表現又受到其意義建構過程和所處系統環境的影響」。)

對於人為類錯誤的演變：

-        早期對人為錯誤的理解，通常採用「個人取向」(Person Approach)，將錯誤歸因於個人的失敗和缺點。這種觀點認為，錯誤主要源於操作員的遺忘、注意力不集中、動機不佳、粗心大意、疏忽或魯莽行為。錯誤常被視為道德問題(不用心或過失)。

-        隨著技術的快速發展以及對機械設備/製程置風險的關注，對「人類錯誤」的重新審視導致了「系統取向」(System Approach) 概點的興起，該取向認為人類會犯錯是不可避免的，即使在最好的組織中也是如此。在這種觀點下，錯誤被視為結果而非原因，其根源不在於人性的乖張，而在於「上游」的系統性因素，例如工作場所中重複出現的錯誤陷阱以及產生這些陷阱的組織流程

潛在條件與主動失誤：「瑞士乳酪模型」

-        強調事故發生通常是主動失誤（直接與系統互動者的不安全行為，如失誤、疏忽、錯誤、違規）與潛在條件（由設計者、建造者、程序制定者和高層管理人員的決策所導致的「潛在病原體」，如時間壓力、人員不足、設備不足、疲勞、經驗不足、不可靠的警報、不可行的程序或設計缺陷）結合的結果。潛在條件可能長期潛伏，直到與主動失誤和局部觸發因素結合才導致事故。

-        系統性錯誤傾向：研究發現，錯誤行為往往並非隨機發生，而是呈現重複模式。在特定情況下，無論涉及何人，都可能引發類似的錯誤。這表明錯誤的根源更多在於系統的「錯誤誘發屬性」。

-        人因與人機介面設計：惡劣的人機介面設計（人因學缺陷）會鼓勵錯誤的發生，甚至可能將簡單的失誤轉化為重大事故。操作員常常因為資訊呈現不良或控制設計不當而被「設計成」犯錯

-        向高可靠性組織 (High Reliability Organizations, HROs) 學習：認識到人類的變異性（即適應和補償變化事件的能力）是系統中最重要的安全保障之一，而非要消除的東西。保持一種持續的「智能警惕」心態，預期會犯錯，並訓練員工識別和糾正錯誤。不僅關注局部修復，更著眼於系統性改革，將偶爾的挫折轉化為系統韌性的增強。高可靠性組織會不斷識別防禦中的漏洞，並提前消除它們

-        放棄指責個人：傳統的「個人取向」將錯誤歸因於操作者的健忘、注意力不集中、動機不佳或魯莽行為，並傾向於透過海報宣傳、制定更多程序、紀律處分、懲罰、點名、指責和羞辱來抑制錯誤行為。這種方法雖然在情感上令人滿意，但對於提升安全效果不佳，因為它抑制了錯誤報告的文化，並未能解決錯誤的根本原因。事實上，錯誤往往是無意的「失誤」(slips) 和「疏忽」(lapses)，懲罰對此無效

培養「公正文化」(Just Culture)：建立信任和鼓勵錯誤報告是關鍵。「公正文化」明確區分了「不可接受的行為」（如魯莽或犯罪行為）和「不應受到指責的行為」。這鼓勵人們報告「虛驚事故」(near misses) 和輕微事件，從而提供寶貴的學習機會，因為如果人們害怕被懲罰，他們就不會報告錯誤。

Managing the Risks of Organizational Accidents, Ashgate,1997. ISBN 978-1-84014-105-4  (描述了第一個完整的公正文化理論)

管理組織事故的風險，需要從根本上轉變對待錯誤的視角，從「個人取向」轉變為「系統取向」，並採取多層次、全面的管理策略。組織事故是複雜且往往災難性的事件，發生於核電廠、商業航空、石化工業、海運和鐵路運輸、銀行和體育場等複雜的現代技術中，涉及多層次、多人員的共同原因。

 

管理組織事故風險的主要途徑：

一、理解組織事故的本質與層次

1.     聚焦於組織事故：組織事故與個人事故不同，後者通常涉及特定個人或團體同時是行為者和受害者，影響範圍有限。組織事故則可能對無關人員、資產和環境造成毀滅性影響。它們發生頻率極低，難以預測，且表面細節多樣，難以歸納，因此需要深入探究其共同的潛在結構和過程。

2.     危害、防禦與損失的關係：所有組織事故都涉及危害（例如：物質、能量、化學品等破壞性介質）衝破了分隔危害與易受損人員或資產（即損失）的防禦、屏障和保障措施。事故調查的核心問題在於：防禦是如何被突破的？這通常涉及人類、技術和組織三個層面的因素。

3.     生產與保護的平衡：

- 所有技術組織在提供產品或服務的同時，也將人員和資產暴露於危險之中，因此需要各種形式的保護。理想情況下，保護的水平應與生產操作的危害相匹配，但兩者很少平等。

- 生產需求在組織的大部分生命週期中通常優先於保護需求。當期經理和主管幾乎每天都可能需要在安全與滿足截止日期或運營需求之間做出選擇。

- 長期的無事故時期可能導致保護措施的逐步侵蝕，因為人們容易忘記對不常發生的事情保持警惕，而生產需求（如增長、利潤、市場份額）會佔據上風。這可能導致對現有防禦的忽視或未能提供新的防禦，從而顯著增加災難性事故的風險。

- 防禦的改善（通常發生在嚴重事故後）可能會被轉化為生產優勢，導致組織最終回到事故前的保護不足狀態，甚至更糟，這種現象稱為「風險補償」或「風險穩態」。

 

二、強化與管理防禦措施

1.多層次防禦（深度防禦）：複雜的技術系統，如核電廠和現代商業飛機，通常具備多層次的、重疊且相互支援的防禦措施，使其在很大程度上能夠抵禦單一故障，無論是人為還是技術故障。這些防禦旨在：

    *   建立對當地危害的理解和認識。

    *   提供安全操作的明確指導。

    *   在危險迫近時發出警報和警告。

    *   在非正常情況下將系統恢復到安全狀態。

    *   在危害與潛在損失之間設置安全屏障。

    *   在危害突破屏障時進行遏制和消除。

    *   在危害遏制失敗時提供逃生和救援方法。

2.硬性與軟性防禦的結合：

-        硬性防禦包括技術設備，如自動工程安全功能、物理屏障、警報器、聯鎖裝置、個人防護設備和改進的系統設計。

-        軟性防禦則高度依賴於文件和人員，如法規、監管、規則和程序、培訓、演習和簡報、行政控制（如工作許可系統、換班交接）、許可、認證、監督以及最關鍵的一線操作員。

 

三、理解人為錯誤與失效機制

 

1.從「個人過失」到「系統條件」：應將人為錯誤視為「後果」而非「原因」，其根源在於「上游」的系統性因素，例如工作場所中重複出現的錯誤陷阱以及產生這些陷阱的組織流程。現代觀點認為人會犯錯，即使在最好的組織中也是如此，因此關鍵在於改變人類工作的「條件」，而非改變人類本身。傳統的懲罰和責備方法對減少錯誤效果不佳。

2.主動性失誤與潛在條件：許多事故是「主動性失誤」（如失誤、疏忽、錯誤、違規）與「潛在條件」相結合的結果。

-        主動性失誤**是指操作者在系統界面處明顯表現出來的不安全行為，通常具有短期影響，相對容易識別。

-        潛在條件是指長期潛伏在系統中的錯誤，如時間壓力、人手不足、設備不足、疲勞、不可靠的警報、不可行的程序或設計缺陷。這些潛在條件在發生不利事件前是可以被識別和糾正的，應優先處理。

3.人類行為的三個層次與錯誤機制：人類表現可分為三個層次：

-        技能基行為 (Skill-based performance)：自動化的、近乎潛意識的例行活動。錯誤通常與力量、空間或時間協調的變異性有關。

-        規則基行為 (Rule-based performance)：在熟悉情境下，透過儲存的規則控制的行為。錯誤通常與情境的錯誤分類或識別、錯誤的任務關聯或程序回憶中的記憶失誤有關。

-        知識基行為 (Knowledge-based performance)**：在獨特、不熟悉情境下，基於對系統功能和物理屬性的分析以及目標優先順序進行規劃的行為。此領域的錯誤與對因果關係網絡的功能性推理失敗有關。

   理解這些不同層次的行為有助於識別錯誤機制和預測人為失效。

4.績效塑造因素 (Performance Shaping Factors)：這些因素（例如工作環境的生理和情感方面）雖然不直接導致錯誤，但會影響人類能力限制和心理策略選擇，應在人因分析中納入考量。

5.錯誤的可觀察性與可逆性：人為錯誤常在事後才被識別。應考慮人機或人任務之間的不匹配，而非僅僅將其視為操作者的「弱點」。當錯誤的影響是可觀察和可逆的時，通常可以被及時糾正。然而，在工業裝置中，錯誤的影響可能延遲、依賴於後續步驟或潛在條件，導致難以即時發現和糾正。

 

四、建立全面的錯誤管理計畫

1.雙重目標：錯誤管理應同時關注「限制危險錯誤的發生率」和「創建能夠容忍錯誤發生並控制其破壞性影響的系統」。

2.正義文化 (Just Culture)：這是安全文化的關鍵組成部分。它旨在鼓勵人員報告錯誤和「虛驚事故」（near misses），同時明確區分可接受行為（如非惡意的失誤、疏忽）和不可接受行為（如魯莽或犯罪行為）。在害怕懲罰的環境下，人們不會報告錯誤，從而錯失學習機會。

3.學習文化 (Learning Culture)：組織需要建立一種從事故和事件中學習的文化。這包括從過去的事故中吸取教訓，並建立一個持續的過程來識別防禦中的漏洞並提前消除它們。

4.分析與預測錯誤：

-        人為失效分類系統：需要一個多維度的分類系統來描述涉及人為故障的事件，以保留事件的因果結構，從而更好地分析和預測錯誤。此類分類系統應能描述外部錯誤模式、失敗的內部心理功能、內部失效機制以及外部失效原因。

-        事件分析指南：應使用系統性的流程圖來指導事件分析和錯誤預測。

-        數據收集：應針對實際工作情境中的人類行為和錯誤進行詳細研究，收集經驗數據，以便將人為績效數據轉移到新的任務情境中進行預測。

-        人因工程設計：在設計人機界面時應考慮人因學原理，以避免因設計不良導致操作員犯錯。設計目標是創建一個「寬容的環境」（forgiving environments），即使發生小錯誤也不會導致災難性後果。

管理組織事故的風險是一個動態且複雜的過程，要求組織不斷學習、適應，並在生產壓力和安全需求之間取得平衡，同時建立強大、多層次的防禦體系，並從系統層面理解和解決人為錯誤問題。

 

-        Managing Maintenance Error: A Practical Guide, CRC Press. 2003. ISBN 978-0-7546-1591-0

https://www.taylorfrancis.com/books/mono/10.1201/9781315249926/managing-maintenance-error-james-reason-alan-hobbs

描繪出管理人為疏失的12項原則

https://aerossurance.com/safety-management/james-reasons-12-principles-error-management/

1.        Human error is both universal & inevitable: Human error is not a moral issue.  Human fallibility can be moderated but it can never be eliminated. 人為錯誤既普遍存在，又不可避免： 人為錯誤並非道德問題。人為錯誤可以減輕，但永遠無法消除。

2.        Errors are not intrinsically bad: Success and failure spring from the same psychological roots.  Without them we could neither learn nor acquire the skills that are essential to safe and efficient work. 錯誤本質上並非壞事： 成功和失敗源自於相同的心理根源。沒有錯誤，我們就無法學習或掌握安全高效工作所需的技能。

3.        You cannot change the human condition, but you can change the conditions in which humans work:  Situations vary enormously in their capacity for provoking unwanted actions.  Identifying these error traps and recognising their characteristics are essential preliminaries to effective error management. 你無法改變人類的處境，但你可以改變人類的工作環境：  不同的情況引發不良行為的可能性差異巨大。識別這些錯誤陷阱並了解其特徵是有效管理錯誤的關鍵前提。

4.        The best people can make the worst mistakes: No one is immune! The best people often occupy the most responsible positions so that their errors can have the greatest impact…最優秀的人也可能犯下最嚴重的錯誤：沒有人能倖免！最優秀的人往往身居要職，因此他們的錯誤往往能造成最大的影響…

5.        People cannot easily avoid those actions they did not intend to commit: Blaming people for their errors is emotionally satisfying but remedially useless.  We should not, however, confuse blame with accountability.  Everyone ought to be accountable for his or her errors [and] acknowledge the errors and strive to be mindful to avoid recurrence. 人們無法輕易避免那些並非有意為之的行為： 責怪他人的錯誤固然能帶來情感上的滿足，但實際上卻毫無補救作用。然而，我們不應將責怪與問責混為一談。每個人都應該為自己的錯誤負責，承認錯誤，並努力保持警覺，避免再次犯錯。

6.        Errors are consequences not causes: …errors have a history.  Discovering an error is the beginning of a search for causes, not the end.  Only be understanding the circumstances…can we hope to limit the chances of their recurrence. 錯誤是後果而非原因： ……錯誤有其歷史。發現錯誤是尋找原因的開始，而非結束。只有了解情況……我們才能希望限制錯誤再次發生的可能性。

7.        Many errors fall into recurrent patterns: Targeting those recurrent error types is the most effective way of deploying limited Error Management resources. 許多錯誤都屬於重複出現的模式： 針對這些重複出現的錯誤類型是投入有限的資源來管理這類重複出現的錯誤最具效益。

8.        Safety significant errors can occur at all levels of the system: Making errors is not the monopoly of those who get their hands dirty.  …the higher up an organisation an individual is, the more dangerous are his or her errors.  Error management techniques need to be applied across the whole system. 安全重大錯誤可能發生在系統的各個層級： 犯錯並非那些親力親為之的人的專利。 ……個人在組織中的職位越高，其錯誤就越危險。錯誤管理技術需要應用於整個系統。

9.        Error management is about managing the manageable: Situations and even systems are manageable if we are mindful.  Human nature – in the broadest sense – is not.  Most of the enduring solutions…involve technical, procedural and organisational measures rather than purely psychological ones. 錯誤管理關乎可控之事： 只要我們用心，情況甚至系統都是可控的。但人性——從最廣義的角度來說——並非如此。大多數持久的解決方案……都涉及技術、程序和組織措施，而非純粹的心理措施。

10.    Error management is about making good people excellent: Excellent performers routinely prepare themselves for potentially challenging activities by mentally rehearsing their responses to a variety of imagined situations.  Improving the skills of error detection is at least as important as making people aware of how errors arise in the first place. 錯誤管理旨在讓優秀人才變得更優秀： 優秀的員工會定期在腦海中演練自己對各種想像情境的反應，以此來應對潛在的挑戰性活動。提升錯誤辨識能力至少與讓人們意識到錯誤是如何產生的同樣重要。

11.    There is no one best way: Different types of human factors problem occur at different levels of the organisation and require different management techniques.  Different organisational cultures require different ‘mixing and matching’….of techniques.  People are more likely to buy-in to home grown measures…沒有唯一的最佳方法： 不同類型的人為因素問題發生在組織的不同層級，需要不同的管理技巧。不同的組織文化需要不同的「混合搭配」…技巧。人們更有可能接受自主研發的措施…

12.    Effective error management aims as continuous reform not local fixes:  There is always a strong temptation to focus upon the last few errors …but trying to prevent individual errors is like swatting mosquitoes…the only way to solve the mosquito problem is drain the swamps in which they breed.  Reform of the system as a whole must be a continuous process whose aim is to contain whole groups of errors rather than single blunders. 有效的錯誤管理旨在持續改進，而非局部修復：  人們總是忍不住關注最後幾個錯誤……但試圖阻止個別錯誤就像拍蚊子一樣……解決蚊子問題的唯一方法是排乾滋生蚊蟲的沼澤。整個系統的改革必須是一個持續的過程，其目標是遏制整組錯誤，而不是單一失誤。

 

The Human Contribution, Routledge. 2008. ISBN 978-0-7546-7402-3

這本書旨在深入探討人類對於複雜且防禦完善系統的可靠性（reliability）和韌性（resilience）所扮演的角色。

「人為貢獻」包含兩個主要面向：

1.作為危害的人類（The Human as Hazard）

-        這是對人類角色較為普遍的看法，認為人類是系統中的一個組件，其「不安全行為」（unsafe acts）與大多數災難性故障有關聯。

-        這些不安全行為主要分為兩類：「錯誤」（errors）和「違規」（violations）。

錯誤（Errors）：是日常生活中常見的、甚至可說是平庸的，是人類境況的一部分，就像呼吸、飲食、睡眠和死亡一樣。為了減少錯誤的發生並提高其檢測和糾正的機會，需要理解其認知根源以及可能促成錯誤發生的環境。這涉及到「錯誤智慧」（error wisdom）或「個體正念」（individual mindfulness）的概念。

違規（Violations）：指人們選擇不遵守規則、規定和安全操作程序的行為。這些行為的動機可能源於社會、情感和系統性因素。然而，某些不遵守行為也可能產生有益而非僅僅是不利的後果。

-        在看待人為錯誤時，存在「個人模式」（person model）和「系統模式」（system model）兩種觀點。傳統的「個人模式」認為錯誤源於個人自身的心智，而「系統模式」則認為前線人員的錯誤往往是長期系統失誤的「繼承者」。本書主張在這兩種觀點之間取得平衡。

-        錯誤陷阱」（error traps）：相似情境會持續在不同的人身上引發相同類型的不安全行為。這表明問題的很大一部分根源在於「引發錯誤的情境」（error-provoking situations），而非「易犯錯誤的人」（error-prone people）。錯誤和事件報告系統的主要功能之一就是識別這些「錯誤陷阱」，將其消除是錯誤管理計畫的首要任務。

-        在組織事故中，不安全行為和潛在的組織條件（latent organisational conditions）會相互作用，導致多層次的系統防禦被突破。

 

2.作為英雄的人類（The Human as Hero）

-        這是相對較少被單獨研究的視角，但對提升危險操作的安全性潛力巨大。

-        它指的是人類的適應和補償能力，使陷入困境的系統從災難邊緣被挽救回來。

-        與常見的錯誤和違規不同，成功的挽救行動是獨特且非凡的事件，是傳奇故事的素材。

-        這些「英雄式挽救」的能力並非遙不可及，大多數人都可以學習必要的技能來提高阻止災難發生的機率。

-        書中舉例說明了不同類型的英雄式挽救，包括：

訓練、紀律和領導力（Training, Discipline and Leadership）：美陸戰隊在長津湖的撤退。

純粹專業精神（Sheer Unadulterated Professionalism）：如羅斯頓船長對鐵達尼號倖存者的救援、阿波羅13號的成功返航、英國航空09號班機在火山灰中的應對、BAC 1-11客機的事件處理，以及外科手術的卓越表現。

技能與運氣（Skill and Luck）：如「吉姆利滑翔機」（Gimli Glider）和聯合航空232號航班的近乎奇蹟式的脫險。

靈感即興發揮（Inspired Improvisations）：如加利埃尼將軍和巴黎計程車，以及戈登·維特機長對傑伊·普羅克瑙的救援。

-        這些「英雄式挽救」的關鍵要素與「正念」（mindfulness）的概念相關，包括個體正念（individual mindfulness）和集體正念（collective mindfulness），兩者對於提高系統韌性都是必要的。

-        「人為貢獻」探討了人類行為在系統安全中的雙重性：既可能導致事故，也可能在關鍵時刻挽救局勢，這兩者都對理解和管理複雜危險系統的風險至關重要。

A Life in Error, Routledge. 2013. ISBN 978-1-4724-1841-8 (自傳)

James Reason教授的著作《A Life in Error: From Little Slips to Big Disasters》（一生錯誤：從小疏忽到大災難）是一本回顧其四十餘年人類錯誤研究歷程的專著，內容涵蓋了人類錯誤的本質、類型、成因以及組織事故的深層根源。

本書的重點與內容：

第1章 《奇特的開端》(A Bizarre Beginning)：以作者將貓糧放入茶壺的個人軼事開篇，作為他研究人類錯誤的啟發點。

第2章 《計劃、行動與結果》(Plans, Actions and Consequences)：簡要描述導致失敗的三個活動階段，並引入「常駐病原體」隱喻。

第3章 《三種表現層次》(Three Performance Levels)：解釋與Rasmussen模型相關的三種錯誤類型。

第4章 《心不在焉的疏忽與過失》(Absent-Minded Slips and Lapses)：探討日常生活中常見的失誤和疏忽的性質。

第5章 《個體差異》(Individual Differences)：總結了八年使用「輕微過失簡短清單」(Short Inventory of Minor Lapses, SIML) 的研究。

一些可能出現在 SIML 中的典型題目，通常會以第一人稱提問：(感覺像是評估失智)

你是否曾經在讀書或看報紙時，思緒卻飄到別處，需要重讀？

你是否曾經走進一個房間，卻忘記自己為什麼要進來？

你是否曾經忘記是否關了門、關了煤氣或鎖了車？

你是否曾經想說某個詞卻怎麼也想不起來，或者說了個不對的詞？

你是否曾經忘記一個重要的約會或會面？

你是否曾經在和別人說話時，突然忘記自己原本要說什麼？

你是否曾經在商店裡找不到你想要的東西，即使它就在你眼前？

你是否曾經把某個東西放在一個不尋常的地方，然後就找不到了？

你是否曾經把一個物品放錯了位置（例如把鑰匙放進冰箱）？

你是否曾經需要別人重複他們剛才說過的話，因為你分心了？

你是否曾經忘記你剛剛讀過或學過的東西？

你是否曾經在完成一項任務（例如做飯）時，跳過或做錯了步驟？

你是否曾經因為分心而錯過重要的指示或訊息？

你是否曾經把東西弄掉或打翻，只因為一時疏忽？

你是否曾經發現自己說話含糊不清或詞不達意？

第6章 《SIML在法庭上的應用》(A Courtroom Application of the SIML)：以分析商店扒手行為為例，展示SIML的實際應用。

第7章 《重訪佛洛伊德式口誤》(The Freudian Slip Revisited)：分析了佛洛伊德關於口誤的概念，並肯定了其將認知與情感聯繫起來的觀點。

人會口是心非、事後美化/合理化自己的行為與疏忽，從佛洛伊德的觀點，口誤表達的是潛在的意識

第8章 《計劃失敗》(Planning Failures)：探討了個人和集體層面計劃可能出錯的方式，並引用了古巴豬灣事件等歷史案例。

第9章 《違規行為》(Violations)：將違規行為視為「不安全行為」，但指出其結果不總是負面的，有時甚至能帶來「救贖」。Reason認為，重要的創新和實踐改進往往需要那些願意超越界限，甚至違規的人來實現。

第10章 《組織事故》(Organizational Accidents)：討論了切爾諾貝利和派珀阿爾法等重大災難，並解釋了這些災難如何促成了瑞士乳酪模型的發展。

第11章 《組織文化：抗拒變革》(Organizational Culture: Resisting Change)：強調安全文化對防禦體系的重要性，並以霸菱銀行事件為例說明了不當安全文化可能導致的後果。指出組織安全文化的改善是一個連續的過程。

第12章 《醫療錯誤》(Medical Error)：強調醫療錯誤並無特殊性，醫生、護士和藥劑師與常人一樣會犯錯。

第13章 《披露錯誤》(Disclosing Error)：討論了錯誤披露的重要性。

第14章 《回顧旅程》(Reviewing the Journey)：Reason對其四十年研究生涯進行了總結和回顧。

 

Beyond Aviation Human Factors, Routledge. 2016. ISBN 978-1-84014-948-7

Organizational Accidents Revisited, CRC Press. 2016. ISBN 978-1-4724-4768-5