Erik Hollnagel
哥本哈根大學心理學碩士
奧胡斯大學(丹麥)心理學博士學位
Erik Hollnagel跟David Woods都是心理學博士,兩人在40+年前合作認知系統工程 (CSE)結識,合寫很多文章,是Resilience Engineering的開山宗師
經歷
瑞典林雪平大學 (LIU) 電腦與資訊科學系 (IDA) 名譽教授。(2021-)
延雪平大學(瑞典)病人安全高級教授(2017-2021)
中央昆士蘭大學(澳洲)兼任教授(2016-2019)。
南丹麥大學教授(2011 - 2017 年)。
南丹麥地區品質改善中心首席顧問(2011-2017 年)。
法國 MINES ParisTech(原巴黎高等礦業學院)教授兼工業安全主席(2006-2011 年)。
挪威特隆赫姆挪威科技大學(NTNU)工業經濟與技術管理系(IØT)客座教授(II 級教授)。
瑞典林雪平大學電腦與資訊科學係人機互動教授(1999-2006/2008)
瑞典林雪平大學機械工程系客座教授(1997-1999)
挪威哈爾登 OECD 哈爾登反應器計畫首席顧問 (1995-1999)
英國蘭開夏郡道爾頓 Human Reliability Associates Ltd. 技術總監 (1993-1995)
丹麥哥本哈根電腦資源國際公司資深研究員、部門經理,後任首席科學家 (1985-1993)
丹麥哥本哈根大學心理學實驗室副教授(1985-1986)
挪威哈爾登,經合組織哈爾登反應器計畫人機互動研究部負責人(1982-1985)
丹麥羅斯基勒里索國家實驗室電子系研究員(1978-1982)
丹麥奧胡斯大學心理學研究所副教授(1971-1978)
電腦程式設計師。 I/S Datacentralen 於 1959 年,丹麥哥本哈根。 (1962-1968)
Hollnagel的研究與提出的觀念
https://erikhollnagel.com/ideas/
認知系統工程 (CSE)
https://erikhollnagel.com/ideas/cognitive-systems-engineering.html
為何沒有必要單獨討論人為疏失Human Error
https://erikhollnagel.com/ideas/no-view-of-human-error.html
翻譯摘錄
1.
1979年三哩島事故後,人為因素熱潮席捲而來,術語應運而生。人們急於用「人為失誤」來解釋事故和事件,卻往往忽略了這個詞的不同用法。第一種用法是,「人為失誤」表示某事物的起因;第二種用法是,它表示事件或行動本身;第三種用法是,它表示行動的結果(人因當下情境誘導做出錯誤判斷)。套用「人為錯誤」意味著人們會忽略對其他解釋(可能更有效)的探索。
2.
「人為錯誤」的「舊觀點」是基於一個方便卻錯誤的假設,即人類可以被描述和理解為機器——具體來說是資訊處理機器或系統。「舊觀點」也將責任歸咎於那些恰好在錯誤時間和地點出現的個人(「操作人員」)。主要原因有三:
l 首先,人們不可抗拒地傾向於將行為視為性格的結果。
l 第二,假設人們有選擇自己行為的自由,因此要為選擇錯誤的行為負責。
l 第三,假設原因和後果的嚴重性是對稱的。
3.
「新」觀點略微軟化了這個立場,認為錯誤的人類行為大多是系統或工作場所內部更深層問題的徵兆。現場人員(尖端)的錯誤行為可能是由於「強迫性錯誤」條件造成的,而這通常是管理監督階層(鈍端)做出不明智決策的結果。然而,「新」觀點認為「人為錯誤」是一個有意義的類別,因此堅持認為原因和後果都有明顯可區分的類別。即使像Jens Rasmussen and James reason這樣的作者強調犯“錯誤”的益處,他們仍然保留了“正常”表現和“錯誤”之間的區別。
4.
無論是“舊觀點”還是“新觀點”,“人為失誤”的唯一合理替代詞是“否定觀點(no view)”。 「否定觀點」只是說「人為失誤」不是一個有意義的類別,因此我們應該停止使用它。所有人類活動——無論是個體活動還是集體活動——都是可變的,因為它會根據具體情況進行調整。因此,這種作業彈性與可變性是一種優勢,實際上是一種必需品,而不是一種負擔。彈性工程透過強調失敗是成功的另一面,明確了這一點。承認人的行為與表現總是變動的,並非完美無缺,就不再需要為「人為錯誤」單獨設立一個類別。
ETTO與韌性工程的觀點,可以取代Human Error
Efficiency-Thoroughness Trade-Off
Principle, ETTO
https://erikhollnagel.com/books/the-etto-principle.html
https://erikhollnagel.com/ideas/etto-principle/index.html
人的慾望無窮,總是希望付出更少以獲得更多=>Efficiency 導向
但發生事故後,會去檢討當初為什麼不想清楚與做好準備,再按部就班來執行=> Thoroughness導向
https://erikhollnagel.com/ideas/etto-principle/etto-and-teto.html
ETTO(效率-徹底性權衡)必須與 TETO(徹底性-效率權衡)進行平衡。
為了順利完成日常工作,在效率和徹底性之間做出權衡(ETTO)是正常、必要且有益的。然而,僅僅能夠做某事或應對實際情況是不夠的(短多長空);還必須考慮未來(近期或遠期)是否可能發生任何意外情況。換句話說,目前的效率以過去的徹底性為前提,這自相矛盾地意味著,當前的徹底性對於未來的效率是必要的(短空長多)。
因此,ETTO 原則需要一個對稱的 TETO(徹底性與效率權衡原則)。實際問題在於何時應該強調效率,何時應該強調徹底性。對組織來說,這個問題可能不難回答,因為日常運作與監督、學習等職能之間有明顯差異。實際上,組織的定義就是這些職能可以指派給不同的部門或不同的角色。對個人來說,這更成問題,因為不可能同時做兩件事。因此,對於個人而言,ETTO-TETO 的平衡就變成了安排各種活動以及留出足夠時間進行反思的問題。個人想要保持平衡、既徹底又有效率的意圖,很容易與時間壓力、資訊推送和資訊輸入過載相衝突,因此必須得到組織文化的支持。
在韌性工程術語中,ETTO-TETO 平衡對應於需要能夠回應和預測。
韌性工程
https://erikhollnagel.com/ideas/resilience-engineering-2004
But resilience (or more accurately, resilient
performance) is not about avoiding failures and breakdowns, i.e., it is not
just the opposite of a lack of safety. The intention was not to propose a
binary universe, but rather to point out that things that go wrong happen in
(more or less) the same way as things that go well.
韌性能耐的討論不是0或1/非黑即白,而是考慮組織在兩種狀態的運作情形:
一種是穩定運行,
另一種是系統崩潰
兩種情況有不同的情境脈絡,對於威脅、風險或壓力的不同考量情況。
https://erikhollnagel.com/ideas/resilience-engineering.html
https://erikhollnagel.com/ideas/resilience%20assessment%20grid.html
韌性的系統的四種水準
第零類系統:坐以待斃,也真的斃了
1.第一類系統Response:被動因應(中小企業)
2.第二類系統Response + Learn:除了因應變化之外,事後累積經驗與從中學習
3.第三類系統:事發前Monitor + 當下Response + 事後 Learn。透過分析周圍世界的發展並盡可能做好準備,監控的作用是讓系統能夠及時發現事態發展,從而能夠在事態變得過於嚴重(或為時已晚)之前做出反應。這種管理方式(監控)的困境瓶頸在於
- 監控本身極為耗費資源(投資報酬率低)
- 人算不如天算(外在環境變化複雜)
- 只要是預測預期,就會有誤判(=事前準備白費功夫)
4. 第四類系統:事發前Monitor + 當下Response + 事後 Learn + 能夠預料事情發展Anticipate,Anticipate涵蓋了系統本身——不僅指監控自身或了解自身,還指考慮當系統發生變化時,世界如何響應或變化,以及這些響應可能如何影響變化等等。
問題在於複雜的真實世界,上有政策下有對策,複雜賽局爾虞我詐中,各路關係人都會預測對方的可能招數+對方也會猜想我方的招數=你猜我猜你猜我…=無解 (唯一的解法是情報、內線與間諜)
Safety-I 和 Safety-II
安全定義
安全一 (Safety-I):將安全定義為**盡可能減少錯誤發生**的狀態。傳統上,安全被定義為一種「沒有任何錯誤發生」的狀態,或者更實際地說,是「錯誤發生的數量在可接受範圍內」的條件。它關注的是避免意外傷害,以及透過持續的危險識別和風險管理,將人身或財產損害降低並維持在可接受水平。
安全二 (Safety-II):將安全定義為**盡可能確保一切順利進行**的能力。這意味著在各種條件下都能成功,並使預期和可接受結果(即日常活動)的數量盡可能高。它側重於「確保事情做好」而不是「避免事情做錯」。
安全管理原則
安全一 (Safety-I):屬於反應式的安全管理。它基於對已經發生錯誤或被識別為風險的事物的回應。目的在於確保不良結果的數量盡可能地低。這通常涉及尋找並消除導致錯誤的原因,或控制風險。如果不良事件的發生頻率過高,反應式管理可能會因能力不足而變得滯後且無效。
安全二 (Safety-II):屬於主動式的安全管理。它不能僅僅透過回應來實現,因為回應只能糾正已經發生的事情。主動式管理需要在事情發生之前進行調整,從而影響事情發生的方式或甚至預防其發生。這種方法需要預見可能發生的情況,並準備好適當的資源來應對。
事故解釋
安全一 (Safety-I):認為事故是由故障和失靈引起的。它假設導致不良事件(如事故)的原因或「機制」與導致成功事件的原因是不同的(「不同原因假設」)。這種觀點使得人們習慣於將事故歸因於因果關係。
安全二 (Safety-II):認為事情的發生方式基本上是相同的,無論結果如何。這表示沒有必要為錯誤發生的事情(事故和事件)設定一套原因和「機制」,而為正確發生的事情(日常工作)設定另一套。其核心在於理解事情為何順利,這意味著理解日常活動。
人為因素觀點
安全一 (Safety-I):將人類視為一種負債/責任。人類表現的變異性被視為一種威脅。其目標是透過選擇、嚴格培訓、各種障礙、程序、標準化、規則和規定等方式來約束各種性能變異性。
安全二 (Safety-II):將人類視為一種資源/資產。人們能夠根據工作條件調整行為,這是安全和生產力的基礎。性能變異性不是負面的偏差,而是積極的調整。
系統假設與焦點
安全一 (Safety-I):隱含地假設系統是易於處理的 (tractable),即它們設計良好、維護嚴謹、程序完整正確,設計者能預見所有偶發事件,且人們會按預期行事(強調合規性)。因此,其焦點在於尋找和修復問題,即找出故障和失靈,探究其原因,並消除這些原因或改善障礙。
安全二 (Safety-II):承認系統是難以處理的 (intractable),即它們不完全被理解、描述複雜,且變化頻繁且不規則。在這種條件下,員工和管理者經常在效率與徹底性之間權衡,且可靠的操作程序稀缺。其焦點在於觀察日常表現如何成功,並主動嘗試改進這些成功,而不是僅僅預防失敗。它尋求支持必要的即興發揮和性能調整。
資源競爭與學習
安全一 (Safety-I):安全與核心業務 (生產) 之間存在資源競爭,安全投資被視為成本,難以證明其合理性或持續性。學習僅限於已經出錯的事物,因此學習機會不頻繁,且只利用了可用數據的一小部分。
安全二 (Safety-II):安全與核心業務不再競爭資源;受益於一方也會使另一方受益。學習可以聚焦於正確進行的事物,這意味著有無數的學習機會,且數據隨時可用。
歷史演變與未來
安全一的關注點始於被動技術和結構的風險,隨後在工業革命時期擴展到主動技術的故障。1979年三哩島事故後,人為因素被納入考慮,而挑戰者號和車諾比事故後,組織失敗和安全文化也成為關注焦點。
隨著技術和社會技術系統變得越來越複雜,安全一的模型和方法已無法提供所需的「安全狀態」。鑒於當今社會技術系統的複雜性,單獨依靠安全一的方法將不足以應對長期挑戰。作者建議的發展方向並非完全取代安全一,而是將兩種思維方式結合起來。對於相對簡單或可被視為簡單的事件,安全一的方法仍然有效。但對於日益增多的複雜情況,則需要採納安全二的視角,這本質上意味著採納韌性工程 (resilience engineering) 的視角。
安全一側重於預防錯誤,而安全二則側重於確保事情做得對,透過理解日常表現的本質和感知我們通常看不到的事物來達成這一目標。
FRAM(功能性共振分析方法,可謂是由下而上的建模與類似紮根理論質性研究)
FRAM 的目的並非尋找已發生事件的起因,而是開發或建構一個模型,以解釋事件如何發生/正在發生/或可能發生。然後,我們可以利用該模型來理解事件發生的原因。
https://functionalresonance.com/
四個基本原則
1.成功與失敗等價=>都是同一個組織的特性造成
2.近似調整=>能用Work 就好
3.湧現原則=>複雜系統牽一髮動全身的蝴蝶效應
4.功能共振=>單元之間彼此交互影響
沒有留言:
張貼留言