对安全-I的解构表明:象学指的是不良的后果,事故、事故征候等;病因学是假定不良结果可以通过原因一效果关系进行解释,要么简单要么综合而成;存在论本体论)是假设,事情可以发挥功能或出现故障。
在过去的20~30年间工作环境已经发生了改变,安全-I的假设不再有效。因此,需要构建一种合理的安全观,以应对我们现在和不久的将来要应对的世界。这个新的角度被称为安全-II。
这个构建将会扭转解构的过程,首先阐述安全-II存在论,然后到安全-II的病因学,以讨论安全-II的现象学而结束。
一、安全-II的存在论
有意产生的结果往往不是一厢情愿思维的产物,是基于一种对世界是如何运转的过于简单化的理解。这方面的例子,在卫生保健、公共交通和金融世界、国内和国际政治领域中比比皆是。
在工业领域中,普遍认为一切——包括人——会按照想象来工作,正如我们认为它会发挥作用。意料之外的后果或副作用常被错过,因为缺乏(必要的)想象力或美国社会学家Robert Merton 早在1936年所说的“非意图的后果法则”(thelaw of unintended consequences)。(另一种解释是,人们渴望做事情,从而在效率与周密性之间——ETTO原则所描述的——等式中作权衡取舍。)事实上,对发生了什么理解起来很困难,这是易驾驭性一难驾驭性特性的维度之一。30多年前提到这个问题的是英国心理学家Lisanne Bainbridge,他在讨论自动化中指出,那些试图消除操作员的设计师仍然留下操作人员来实施任务,而这些任务是设计者认为不能让自动化来执行的。此说法不但对自动化设计是有效的,而且适用于一般工作规范和工作场所的设计。
我们只能在我们完全理解的情况下详细指定工作,但这种情况极少。因为人类表现变异性是必不可少的,所以我们无法为其余情况做出详细指定。事实上,即使尽一切努力建立一个孤立和固定的工作环境,如在新生儿重症监护病房的无菌室或电子芯片生产所需的极度干净的房间。即使在严格管控的军事行动中,如皇家宫殿前卫兵换岗的仪式,士兵们不得不适应
风、天气和无畏的游客,也只有在很少的情况下不需要进行表现调整。工作情况变得更复杂或更难驾驭,细节则具有更大的不确定性,则越需要进行表现调整。[即,更多的将是留给人类的经验和能力,而不是留给人造物(artefacts)的功能。]
安全-II的存在论与如下事实相一致——许多社会技术系统已经变得如此复杂,工作状况总是不太规范,因此,部分是不可预知的。因为大多数社会技术系统是棘手的且难驾驭的,工作条件几乎总是有别于已指定或规定好的。这意味着我们能做的很少(如果有的话),除非工作——任务和工具——得以调整,以便它们对应实际的情况。表现变异性是正常和必要的,也同样不可或缺。调整由人们单独的或集体的,以及由该组织本身实施。从底部到顶部,每个人都必须调整他们的表现来满足现有的条件(资源和要求)。因为工作的资源(时间、信息、材料、设备、其他人的存在和可用性)是有限的,这种调整将永远近似而非完美。逼近完美意味着理想和实际之间存在小的差异。这种差异通常很小,没有负面后果,或可以通过下游调整补偿。无论这种差异是在自己的或在其他人的工作中被发现,都是如此。
有点讽刺意味的是:表现调整必须近似,因为正是各种条件让它们成为必要。换句话说,如果有足够的时间、信息等,在工作情况下表现调整将不是必需的。(这并不排除它们可能因为其他原因,如无聊或人的创造精神而促成。)但假设是这样,仍需要表现调整,因为资源不是完全足够的,这反过来又意味着调整不可能是完美或者完整的,必须保持近似。
安全-II的存在论是指:人类表现(单独的或集体的)始终是变量。这意味着它既不可能也没有必要描述如下组成部分的特征:它们是否起作用或已经失败了,或功能运作是否正确或不正确。安全-I的双峰性(bimodality)原则因此是过时的。
然而,表现变异性不应消极地解释为表现偏差、违规和不符合性。与此相反,进行表现调整的能力对实施中的工作是必不可少的。如果不是这样,那么可能所有活动都是最不重要的。我们肯定不会有复杂的活动网络,这些对维持当代社会表现是必需的-不管是工业化国家,还是发展中国家。
二、安全-II的病因学
病因学是对事情发生方式的描述,或是对事情是怎么发生的假设。它是机制的描述、简化的解释,即可以用来理解所观察到的和所发生的,因此也来管理它。病因学是按照存在论来解释现象学的方式。
在一个系统或在整个世界中,无论发生什么事情,不管什么时候突然发生,我们都需要寻求解释。在大多数情况下,解释依赖于对一般系统运作的理解,这意味着它包含分解(de-composition)和因果关系的原则。在这种情况下,结果是系统内部运作的结果,因此,技术上被称为所产生的结果(resultant)。但安全-II存在论基于表现调整和表现变异性,而不是双峰性原则,其病因学不能单纯只是安全-1使用的因果关系原理、原因和效果的线性扩展。
在实践中,绝大部分不良事件的解释仍可表示为组件或正常系统功能崩溃或发生故障,至少是作为周密性与效率之间的权衡。大多数不良事件有轻微的后果,因此不需要经过广泛的分析,未遂事件或不安全事件则被轻描淡写地处理(虽然不是早些时候讨论金字塔模型过于简单化的方式)相比更为严重的事件(如飞行中的航空器出现问题或手术动错部位),为什么会有那么多严重程度稍轻(如跑道入侵或褥疮性溃疡)的事件?原因很简单,大多数系统通过广泛的壁垒层和防御系统保护自己不受严重事件的侵入。对经常发生的严重不良事件,采取更为彻底的防范措施和给予更多的关注,这是值得的。
然而,越来越多的情况是这种权衡不能被接受,不可能通过已知的进程或发展解释发生了什么。对发生了什么仍然可以提供一种解释,但它是一种不同的解释。在这种情况下,结果是突发的(突然出现或进入),而不是由于某件事而产生的(由于······的结果)。突发的意思不是事情奇迹般地发生,而是不能使用线性因果关系的原则来解释在这种情况下它发生了。事实上,这意味着因果关系的解释是不恰当的——甚至是不可能的。这通常存在于如下这样的系统中,部分或全部系统是难驾驭的。已知的第一个使用这一词的是英国哲学家 George Henry Lewes(1817-1878年)。他描述突发影响不是附加性的,其组成部分的问题是不可预见的,也不能分解成这些组成部分(组件)。对应于现在的词汇,这意味着后果是非线性的,底层基础系统部分是难驾驭的。
最终产生的结果
我们解释事情如何发生的方式通常是通过后果追溯前因,直到到达根原因——耗尽了时间和金钱。这可以通过图7.1所示的鱼骨图表示说明。
图7.1 鱼骨图(最终导致的结果)
无论发生什么事,在某种意义上都会有一个影响或结果,明显地改变某种东西——有时被描述为过渡(transition)或状态更改。它可能是一台笔记本电脑的电池没电了,一份报告被公布,管子漏了,或一个问题被解决。结果也可能是一块海绵被遗忘在患者的腹部里,轮船倾覆或金融崩溃等。典型的安全思维是假设原因和后果一样真实——按照逻辑,原因是一步步删除其他原因的后果,这是有道理的。因此,事故和不安全事件调查的目的是跟踪可观察到的结果倒推到有效的原因。同样,风险评估预测也是从有效原因到可能的结果。
一个简单的例子是调查一宗交通事故:一辆车已经偏离了公路,撞上了树。这次事故可能是由于以下原因引起的:这条路没有得到很好的维护,司机又困又累,轮胎已经磨损,当时下着大雨。除了假设事故发生时这些条件存在,可能还要确认或证明对这些假设进行了实证,因为一些条件也可能发生在事故之后。可以检查撞坏的汽车和轮胎,也可以检查路面。我们可以通过咨询气象局找出当时的天气状况,通过查看这位司机12~24小时前的活动来关注他或她的疲劳程度。换句话说,原因和后果都是真的,某种意义上说,它们可以独立核实验证,因此,结果可以正确地被认为是这些原因的结果。甚至原因的真实性也有可能进一步追溯(按照推理的同一模式),并对此采取一些做法,要么消除它们,要么孤立它们,或是防止它们(或它们的后果),等等。
突发式结果
然而,在突发式结果的情况下,原因是难以捉摸的,不是真实的。当然,最终的结果会留下永久的痕迹,由此产生相同的结果方式。否则它不可能知道有事情发生。此外结果必须被辨认,不仅当它们发生的时候,而且还包括发生之后的时间——往往可以是相当长的时间。但是,这对是什么原因导致的不需要采用同样的方式。结果可能是由于瞬变现象、条件的组合,或仅在时间和空间某个特定点存在的条件。这些组合和条件反过来可由其他瞬变现象来解释。组合与条件被用来解释观察到的结果,因此,它是被构造或推断而非“发现”。至于突发性的结果,“原因”代表的模式存在在时间的某个点上,但没有留下任何永恒的痕迹。因此,结果无法追溯到特定的组件或功能(图7.2)。
图7.2 突发式结果
突发式结果可以理解为:来自没有预料到的-非意图性的-表现变异性组合。在这些变异性中,主导原则是共振(resonance),而不是因果关系。对于安全-II存在论,这意味着所有表现调整可能都是在可接受的水平或程度内(这在实践中意味着它们都太小,都无法被注意到),即使结果可能是如此之大,如此引人注目的。这种缺乏先例和随之发生结果之间的相称性是为什么突发式结果被描述为非线性的原因之一。这也是为什么不想要的结果不能通过限制变异性,只能通过控制(监测和抑制)变异性得以保证的原因。
突发的原则意味着,虽然我们可以振振有词地认为条件存在于某个时刻,但我们永远不可以绝对肯定。然而,日常表现的变异性是永久性的,在某种意义上总是会有一些变化,但由于这种表现的变异性——日常表现调整——并不导致双峰性原则的失效或失灵,不能用作一个选择性的原因来解释不想要的结果。另外,它是系统性的而不是随机的。这在很大程度上是可以预见的,这也是为什么可以进行安全分析的基础。虽然我们不能按照通常的方式做关于表现调整的事情,但我们能够控制条件,使它们看起来有必要,只要这些条件是足够固定和经常性的。当然,我们也可以通过制定各种形式的预防和保护手段,尝试应对这些条件。
共振
由于不能按照因果关系解释突发事件,而我们的确需要以某种方式来解释它——并不能满足于叫它突发事件——我们需要一些实际可行的原则。幸运的是,实际的原则也在我们的手中,即功能性共振(functional resonance)。功能性共振分析方法(FRAM,Functional Resonance Analysis Method)制定系统功能之间的联系或依赖关系,作为它们某一特定情况发展。
在物理系统中,经典(或机械)共振已经广为人知并使用了几千年。共振是指一个物理系统在特定频率下,比其他频率以更大的振幅做振动的现象。这些特定频率被称为系统的谐振(或共振)频率。这些频率在很小的外力反复应用时可以产生大的振幅,这可能严重损害甚至破坏系统。除了经典的共振,随机共振(stochastic resonance)(随机共振是在20世纪80年代初引入的新概念)描述随机噪声如何推动阈下信号(subliminal signal)超过检测阈值。随机共振的结果是非线性的,这意味着输出和输入不是直接成正比,结果也可能发生在瞬间,不同于经典的共振,必须随着时间的推移而建立。
功能性共振有别于随机共振,因为突发的后果基于近似的调整,而不是随机噪声。一个社会技术系统的表现变异性代表人单独和集体的近似调整,代表共同构成日常运作的组织的近似调整。因为这些近似的调整是有目的的,并依赖于小数量的可辨认出的捷径或启发式的知识。这里面还有一个令人惊讶的规律性-人们的行为是如何表现,他们对突发情况作出反应的方式-其他人是如何表现的。
事实上,表现的变异性不只是被动的,也可能是积极主动的。人们不仅回应别人所做的,也回应他们所期望别人做的。因而近似调整自己,响应和期望其他人(单独的或集体的)去做。很明显每个人所做的都是整体情况的一部分,别人再调整适应情况-再一次被动和主动。这其中有一个依赖性,该系统的功能通过依赖性变得耦合联系,功能的表现变异性因此也会变得耦合联系。(当然,人们还要应对和预期进程是如何发展的以及技术可以做什么;但在这些情况下没有相互的调整,即过程不能预期操作者将做什么。)
突发情况不仅存在于严重的事件中,在所有类型的事件中都存在。在严重事件中更容易发现突发情况,其中的原因是它们太复杂了,线性解释已经不可能了。这使得突发情况作为唯一的替代解释原则,至少在当时是这样的。不过突发情况也出现在许多轻微事件中,但通常被忽略错过了-或避免研究-因为我们投入更多精力放在分析严重的事件上。如果不可能找到可以接受的单个(或根)原因,突发情况就会走到我们前面并成为其中的解释。
一旦突发情况作为一种解释已被接受,一个普遍的反应是人们会对突发式结果是如何被观察到的提出疑问。但这一问题是对这一事宜的误解。不管它们是否是突发性的,结果当然可以被观察到,这是我们可以找到和(或)感到满意的解释类型的问题。突发情况不是一些可以被看到的东西,它属于安全-II的病因学,不是现象学。
三、安全-II的现象学
正如安全-I被定义为一个条件,尽可能少出错,安全-II也被定义为一个条件,尽可能多的事情是被正确实施的,事实上最好被定义为作为一个条件,在那里一切都很顺利。与弹性复原性(resilience)类比,安全-II也被定义为预期和没有预期的条件下,取得成功的能力,因此,意图中的以及可接受的结果的数量(换句话说,日常活动)是尽可能的高。
安全-II这一定义引出两个问题。第一个问题是如何——或者为什么——事情是正确实施的(things go right),或者说我们如何理解为什么事情是正确的。这个问题已经由安全-II的存在论回答了。事实上,表现调整和表现变异性是日常成功表现的基础。许多著作也已回答了这些问题,例如ETTO原理。
第二个问题是我们如何看待事情被顺利实施。安全-II的现象学可以在日常工作中发现所有可能的结果,好的、坏的,以及不佳的。我们很难去感知事物是否被正确实施,因为它们每时每刻都在发生(习惯性),而且我们并没有一个现成的词汇或类别集合用以描述它们。
对这一认知的困难,可以通过福尔摩斯(Sherlock Holmes)和来自苏格兰场的督察格雷戈里(Gregory)之间的对话得以证明。作为虚构的侦探,福尔摩斯以观察事物细致入微而著名,别人没有看见或认为微不足道的事,对于福尔摩斯而言则不一样。他们之间的谈话可以在短故事《银色马》中发现,主要是讲一次重要比赛前夕,著名的赛马失踪案件和其驯马师的谋杀案。在调查期间,进行了以下的对话:
  • 格雷戈里(苏格兰场督察):有没有其他新的发现?
  • 福尔摩斯:那天晚上狗很奇怪。
  • 格雷戈里:那天晚上这只狗什么也没做。
  • 福尔摩斯:那才是令人感到奇怪的事件。
这里的重点是,如果你知道在日常情况下会发生什么,那么你就会知道有什么出了错。
对一件事(日常工作)的常规做法的认识是理解事情是否(可能的)出错的必要条件。在此示例中,福尔摩斯意识到狗在遇到陌生人的时候通常会吠。因为狗不吠(令人感到奇怪的事件),所以那个已经进入马厩的人(进而绑架银色马这匹马)并非是一个陌生人。
Karl Weick 著名的提议员可靠性是一个动态没有发生的事件,部分解释了我们为什么不注意可靠性的(后果)原因。然而,对于安全管理而言,没有发生的事比发生的事重要得多。更重要的是-或应该更重要的是-事情实施正确,而不是没有出错的事情。这两个状态不是同义词,原因是它们是完全不同过程的结果。事情实施正确顺利,因为我们努力让它们正确,因为我们明白它们如何工作,并设法确保它们有最好的条件继续这样做。事情没有出错,因为我们阻止它们出错,这就意味着我们专注于假定的原因。在前一种情况,起始点是专注于成功-安全-II的视角,而在后者重点是失败-安全-I的视角。
安全-II中,没有失败(指出错的事情)是积极参与的结果。这不是安全作为没有发生的事件,而是因为没有发生的事件既不能被观察到,也不能被测量。安全-II的标志是:成功的存在(正确实施的事情)越多,系统越安全。换句话说,安全是发生的事情,而不是没有发生的事情。因为它是发生的事情,它可以被观察、测量和管理-和没有发生的事件形成对比。因此,为了确保系统是安全的,我们需要了解它是如何成功的,而不是它是如何失败的。
安全-II:确保事情正确实施
随着技术和社会技术系统继续发展,信息技术越来越强大,系统和工作环境变得更加难以驾驭。安全-I的模型和方法假设系统是易驾驭的,在某种意义上系统都是很好理解的以及表现良好的。安全-I模型和方法越来越少地提供必须的和梦寐以求的安全状态。因为这种无能为力不能通过“延伸”安全-I的工具得以克服。因此,我们需要更改安全的定义和关注正确实施的事情,而不是出错了的事情,这才有意义。这样做将会更改安全的定义,从“避免事情出错”更改为“确保一切正确实施”,或对弹性恢复力释义的改述。弹性恢复力,是指在不同条件下取得成功的能力,因此,预期的和可接受的结果的数目(换句话说,日常活动)是尽可能的高。此定义的后果是安全和安全管理的基础变为理解事情为什么能正确实施,这就意味着要理解日常活动。
安全-II明确地假定系统发挥作用,是因为人们能够通过调整自己来匹配工作情况。人们学会发现并克服设计上的缺陷和功能故障,因为他们可以认识实际需求,从而调整他们的表现,并且可以解释和运用与程序相匹配的条件。当事情出了错或者将要出错时,人们还可以检测和更正,所以他们在情况变得严重之前就进行干预。这是表现变异性的结果。在此,变异性被视为偏离一些规范或标准,并不具有负面意义,但按照积极意义来说,变异性代表安全和生产率(图7.3)的调整基础。
图7.3 有关失败和成功的安全-II视角
表现的变异性或调整是社会技术系统运作的必要条件,除非它们是极其简单的。因此,不能接受的结果或失败无法通过消除或限制表现变异性而得以防止,因为这也会影响可接受的结果。相反,我们需要通过理解他们为什么和怎样做,通过清楚地表示资源和情况的约束,通过使它更容易预测行为的后果,来努力支持必要的即席工作
图7.4 通过理解正确实施的事情来理解什么出错了
和表现调整。因此,安全-II中不安全事件调查有点自相矛盾:一个人应该研究事情正确实施的情况(图7.4)。在第八章将进一步讨论“先宽度后深度”。表现变异性如果看起来正朝着错误的方向前进,应该得以管理和抑制;如果看起来朝着正确的方向前进,应该进一步强化。为了做到这一点,首先,需要认识到表现的变异性;其次,监控它;最后,控制它。这就是按照安全-II的理论进行安全管理。
积极主动的安全管理
安全-II的管理和弹性恢复工程都假设,无论结果如何,一切基本上都以同样的方式发生。这意味着没有必要针对出错的事情(事故和不安全事件)建立一套原因和机制,而应针对正确实施的事情有一套原因和机制(日常工作)。安全管理的目的是确保后者,但实现这一目标,也将减少前者。虽然安全-I和安全-II都导致减少不想要的结果,但它们使用的方法不同,重点在于如何进行过程管理,如何测量,以及生产率和质量的结果是怎么样的。
从安全-II的角度来看,如果只是独自响应,安全管理并不能达到其宣称的宗旨,而只是纠正已经发生的事。相反,安全管理必须积极主动,以便在事情发生之前作出调整,影响事情的发展,甚至阻止发生。安全-II的一个明显优势是早期的应对,从整体上看,这需要较少的努力,因为事件的后果将有更少的时间来发展和传播。早期应对会明显节省宝贵的时间。
积极的安全管理想要发挥作用,就必须预见在可接受的情况下什么将会发生,并有适当的手段(人和资源)去做些什么。这反过来要求需要充分了解系统是如何工作的、其环境是如何发展变化的,以及功能是如何相互依赖和作用的。通过寻找模式和整个事件的关系而不只是寻找个别事件的原因,才能形成共识。要查看并找到这些模式,需要花时间去理解发生了什么,而不是将所有的资源花费在救助上。
一个小案例是在坏天气即将来临的时候开始封舱(意为未雨绸缪)。虽然此表达方式起源于海军,但很多生活在陆地上(以龙卷风区为例)或在石油钻井平台上的人也要了解准备应对一场风暴的价值。在金融领域中,采取积极安全的管理是必须的。只做出被动反应的金融机构将很快倒闭。在其他的领域中,世界卫生组织对2009年可能出现H1N1型流感的警告预防措施是主动预防性安全管理的另一个例子。发出警告之后,欧洲和其他国家的政府开始储存大量的药品和疫苗,以确保必要的资源已经到位。虽然后来证明警告是虚惊一场,但它阐释了采取积极的安全管理的基本特征。
积极主动的安全管理也存在一个问题:未来是不确定性的,预期的情况可能发生,在这种情况下,准备将是徒然,时间和资源可能被浪费了。预测可能不精确或不正确也是一个问题,为此可能会做出错误的准备工作。因此,采取积极的安全管理需要承担风险,而不仅是一个经济问题。但是如果发生严重的事情,另一种选择是替代方案并没有准备好,无论从短期还是长远来看,这无疑会付出更昂贵的代价。。
单一解释
安全-I依靠单一(monolithic)解释,如情境意识、安全文化、人为差错等。这些原因解释了什么已经出错,因此,通常是指缺乏某情况,如缺乏情境意识、缺乏安全文化等。虽然人为差错以错误、违规等形式而被注意到,但这实际上是缺乏某种情况,即缺乏差错的表现。这些解释是类似的,因为它们都依赖于原因的存在,这应该是简单和单一的。相反,安全-II试图解释和理解事情如何起作用,日常的工作是如何做的。因此,安全-II不是很关注原因(因为Y,所以X正确实施),更多地是关注描述工作如何完成的方式。
这里可能出现不同意见:表现变异性,或各种形式的权衡取舍,也代表了单一的解释。但这只是从一个很肤浅的角度来看。无论是正确实施或是出错的事情,表现变异性是表现的特点。因此,它不能解释表现-或者它无法作为一项原因来解释各种表现。通过承认表现是可变的,我们基于多个近似调整,开始关注这些是如何发生的,并用作理解实施中工作的一种方式。
没有单一的差错?
因果关系信条结合安全-I的神话易于让人“舒服”,因为它很容易对已经出错了的事情找到简单的解释。这种便利性似乎忽略了表现调整和表现变异性作为安全-II基础的重点。
虽然安全-II以近似调整的原则替换双峰性原则,但它不意味着不再有简单的差错,即,人们永远不会因为简单的原因做不正确的事情。事实上,大多数简单的情况通过这种方式仍可得以理解和解释,不会错过任何重要的东西。
例如,一个新的工人或新手。新手被定义为那些经验很少或没有经验的人。那些经验是指某项任务应该如何完成或一件设备应该如何使用。因此,对于新手而言,很多情况是未知的或者没有意识到的,需要努力寻找该怎么办。这不是调整表现以符合当时情况的问题,而是知晓如何做一些基本性事情的问题。在这种情况下,人们可能求助于尝试和出错的方式——机会主义方式控制——做显然是不正确的事情,并由此出现简单的差错。这里的困境,是一个新手在不完全的理解或某种经验法则的基础上,通过搜索信息,找出正确的行动,或试图实现有效。
也有简单的差错,在某种意义上是疲劳所致的不精确性和表现的变异性。虽然不精确性在某种意义上可以被理解为ETTO(Efficiency-Thoroughness Trade-Off,ETTO ),但很明显,我们做的是错的。例如,因为速度一精度的权衡,因为环境的震动或不稳定(如一辆车或一艘船上),因为接口的糟糕设计,难以辨认或含糊不清,或大量的其他原因。这可以看作外源性和内源性的表现变异性,并在某种意义上是不能减少的。对外源性可变性,特别是对单个操作,理应是设计师要考虑的内容,并确保可以捕获错误动作,如在计算机屏幕上的确认对话框。
参考文献:

(丹麦)埃里克·郝纳根 (Erik Hollnagel). 安全Ⅰ与安全Ⅱ 安全管理的过去和未来[M].北京:出版社: 中国工人出版社.2015-11
继续阅读
阅读原文