第五章 人为差错?不,拙劣的设计
设计师能够很好地理解物理约束,但经常严重的误解心里的局限性。我们设计的设备要求人们在数小时内保持充分的警惕和注意,或者需要记住那些过时的、混乱的程序,即使我们只是偶尔使用这些功能,甚至产品寿命周期里仅仅用到一次。
何以出错
差错发生的原因有多种。最常见的一种原因是要求人们在任务和流程中做违背自然规律的事情。
1.根本原因
根本原因分析也是这样一个游戏:调查事故,直到发现单一的、潜在的原因。根本原因的分析应该是确定什么因素导致人们犯错。努力找出事故的原因会存在缺陷:因为通常会有多个事情出错,或者多个事件,只有要他们中的任何一个没有发生才不会发生事故;其次,人为差错可能是导致差错的因素之一:我们应该继续分析并找到为什么会发生差错,并防止它再次发生。
2.五个为什么:根本原因分析的目的是确定事故背后隐含的深层原因,而不是直接原因。
普遍存在这种倾向,一旦发现人为差错,就停止寻找深层次的原因。而且犯了错的人,经常将错误揽到自己身上,都倾向于人为差错确实应归咎于人。如果系统让人犯错,那么这就是糟糕的设计。差错的主要原因之一是时间压力。许多行业中,如果操作者严格遵守所有程序,就永远也无法完成工作。所以我们挑战极限,加班加点,远超过正常状态,或者同一时间试图做许多工作。
故意违规
差错并不是人类失败的唯一类型。有时候人们会有意冒险。许多行业中,规则描述更多的以合规为目的,而不是解释工作要求。
日常频繁发生的违规行为,让人们常常忽略不合规的事情。某些情况下,违反规则或者流程可能是完成工作的唯一方法。(“闯红灯”因为没看到其他车,我要迟到了)
不恰当的规则和流程是违规行为一个主要的原因,它不仅诱使且鼓励了违规。
差错的两种类型:失误和错误
认差错被定义为任何违背“合理”的行为。
1.失误:当某人打算做一件事,结果却做了另一件事,就产生失误。失误发生时,所执行的行动与曾经预计的行动不一致。失误有两大类:行动失误和记忆失效。
2.错误:为达到不正确的目的或者形成错误的计划,就会发生错误。从这个角度,即使执行了正确的行动,也是错误的一部分。因为行动本身是不合理的,它们是错误计划的一部分。错误有三类:违反规则,缺乏知识和记忆失效。
失误的分类
一些失误是由动作之间的相似性造成的,有时因为外界发生的某件事自动引发了一个动作,而有些时候,是我们脑中所想,手中所做的触发了我们原本无意去做的事情。
1.撷取性失误:撷取性失误是指某个经常做的动作,或刚刚做过的动作突然取代了想要做的动作即某个曾经的动作挤占了需要完成的动作。
2.描述相似性失误:在这类失误中,差错发生在与目标相似的对象上。如果对目标的描述相当的含糊不清,就会发生描述相似性失误。
3.记忆失效性失误:记忆失效是差错的常见原因。它们可以导致好几种差错:未能完成程序的所有步骤;不断重复一些步骤;忘记动作的结果;忘记目标或计划,从而导致动作停止。大多数因记忆失效导致差错的直接根源是记忆中断:在开始和操作完成间存在许多步骤,使得短期记忆或者工作记忆的能力超过负荷。
有几种方法可以防止:一种是简化步骤,一种是对需要完成的步骤提供生动有效的提醒。
4.功能状态失误:当设备有不同的状态,而相同的控件具有不同的含义,就可能发生功能状态失误。如果可操作模式比它的控制组件还多,功能状态失误就不可避免。模式失误是真正的设计错误。当设备不能显示可见模式时,尤其容易发生模式失误。应尽量避免模式控制的设计,如果必须,则必须使设备能够明显的现实所激活的功能状态。设计师必须经常设计出可以抵消干扰活动对已设定模式带来影响的系统。
错误的分类
选错目标,或者在行动的评价阶段比较目标与结界时有误,这些往往是导致错误的原因。
当发生不熟悉的事件,既不存在现有的技能,也没有现成规则可以应用时,此时需要用到基于知识的流程。在这种情况下,必须具备一定的推理和解决问题的能力。可能要开发新的计划,测试,然后应用或修改。概念模型很关键,是指导开发和演绎具体情形的重要因素。
在基于规则和基于知识的行为中,最严重的错误是误判,结果会导致执行不合理的规则。
1.基于规则的错误:当启用新的程序或碰到简单的问题,我们可以将熟练工人的反应行为称为墨守成规。
基于规则的错误有多种发生方式:
错误的理解了问题。从而采用错误的目标或计划,导致遵循不恰当的规则;
采用正确的规则,但是规则本身就有问题;
采用正确的规则,但不正确的评估行为的结果(如汽车防抱死制动装置)
基于规则的错误很难避免,也就很难检测。一旦将背景情况进行分类,经常就会直接选择适当的规则。在复杂情况下,太多的信息就是问题所在:信息,既支持决策,也会排斥它。
设计师应提供更多的指导,确保现状以一个连贯的和容易理解的形式呈现出来,最好是图像化。
设计的挑战是将当前系统状态的信息,以易于理解和阐释的方式呈现出来,以及提供必要的说明和解释。基于规则的错误,是一个没有明显解决方案的艰难的挑战。
2.基于知识的错误:当碰到异常情况,没有足够的技能或者规则去处理它,人们就会采取基于知识的行为。在这种情况下,必须设计新的程序。人类的反应机制里,技巧和规则受控于行为层次,因此是潜意识和自动的,基于知识的行为则受控于反思层次,是缓慢的和有意识的。
人们遇到未知状况,或被要求使用全新设备,或执行一个熟悉的任务出了错,导致异常的,无法解释的状态,人们就需要采取基于知识的行为,最好的办法就是深入了解状况。
3.记忆失效的错误:如果记忆出错导致遗忘了目标或行动计划,记忆的失误就会导致错误。常见的失误原因是某个中断导致人么忘记正在对目前环境状况所做的评判。对于记忆失效的错误和设计纠正与对待记忆失误相同:确保所有相关的信息连续可用。
社会和习俗压力
1.在很多事故中似乎都有一个不易察觉的因素:社会压力。虽然起初他可能与设计不相关,但它对日常行为有强烈影响。在工业领域,社会压力会导致误解、错误和事故。为了了解人类的差错,理解社会压力是必不可少的。
例:1977,荷兰一架波音客机与一架泛美747客机相撞。原因是本不该起飞的荷兰客机,因天气变化延误多时,飞行员未经许可,决定起飞。
2.永远不要低估社会压力对个人行为的影响力量,它可能促使原本理智的人们去做即使知道错误或可能危险的事情。
例:当一些潜水员需要快速上升水面,由于设备昂贵,他们不想轻易释放,而且潜水员无法证明是必要释放配重的。为了消解这种心理,有人宣布为了安全扔掉配种,会受到表扬且无偿提供新的配重。
充分解决社会、经济和文化的压力,再依据公司的政策进行改善,是确保操作安全和行为安全的挑战。
3.检查清单:检查清单是个功能强大的工具,经过验证,它可以增加行为的准确性和减少差错,特别是失误和记忆失效。在多任务,要求复杂,甚至存在很多中断的情况下,使用检查清单尤为重要。
尽管有力的证据证明检查清单的实用性,很多行业仍然强烈抵制,它使人觉得自己的能力受到怀疑。此外,资历较浅的人需要检查资历深的人的工作,许多文化中这强烈的违背了权力的等级分配。
差错报告
减少差错发生的唯一方式就是承认他们的存在,收集关于差错的信息,从而为减少差错的发生做出相应的改变。我们要使报告差错变得更加容易,因为目的不是惩罚,而是决定如何改变使它不会再出现。
1.防呆,防差错设计:防呆措施之一是添加简单的工具,夹具或设备来限制操作,避免错误。
例:在门上增加示意符号,用绿色的点指示钥匙转动的方向。
甄别差错
不同类型的差错发现起来有不同的难度。行动失误相对容易察觉,因为很容易注意到预期行为与执行之间的差异。但是记忆失效导致的差错难以被发现。
1.为错误辩解:置身事件的人也许已经注意到每个问题,但是漠然处之,而且习惯于对发现的异常情况找一个合乎逻辑的解释。
2.事后看来似乎合乎逻辑的事件:研究表明,人们对事后的解释,似乎人们对其中的事件完全清楚,而且事后看来可以预见,但事前却完全无法预测。事件发生的当时,操作者没有足够的信息使不相干的事情彼此分辨开。
为差错而设计
1.原则:
系统对于选择目标和完成方式(执行计划)不能够提供充分的信息,还有对实际发生的结果缺乏良好的反馈。
差错的主要来源,尤其是记忆失效性差错,是记忆中断。当一个活动被其他一些事件打断,打断的成本远远大于需要处理中断所失去的时间,也就是恢复被中断了的行动的成本。
通过多任务处理,我们可以同时执行几个任务,错觉上认为这是完成许多工作的有效方式,事实上,多任务下绩效严重倒退,差错增加,普遍缺乏质量和效率。
设计警告信号异常复杂。声音要足够响亮,灯光要足够明亮,才能被注意到,但是过大的声音和刺眼的灯光会让用户分神,让人烦躁。警示信号应当能够吸引人的注意,同时也应当自然的体现出正在警示的事件信息。
2.通过研究差错而得到的设计经验
一是在差错发生前设计预防措施;二是差错发生时如何检测并纠正。
增加约束以阻止差错的发生
防范差错的方法常常是对操作行为施加特殊的约束。
撤销
撤销可以减少差错带来的进一步影响,即如果可能,取消前一个命令的操作。撤销具有时效性。
差错信息确认
再实施一个命令之前,尤其当事实结果可能会破坏某些重要的东西,很多系统要求先确认,这也能防止差错。但这些要求往往设置的时间不恰当。
对确认的要求更像是一种刺激,因为人更倾向于关注行动,而不是正在执行的对象。(如操作删除时,也许是误操作,但人只关注按钮的确认与取消,不关注删除这个对象本身。)
对错误的活动窗口发出关闭指令,是记忆失误。不仔细阅读对话框的提示,接受并且不保存内容就是错误。
解决方案:1.是正在操作的对象更加明显;2.让操作可逆
1.合理性检查
如不适合的数值输入医院设备或错误剂量,电子设备会对此作出合理性的检查并提示
2.减小失误
通过去掉多余功能这种简单的办法就能消除功能状态失误,如果不行,让功能彼此容易区分和明确可见
防范失误最好的办法是对正在实施的动作和特性,提供可以感受到的反馈,越是灵敏的反馈越能体现新的结果和状态,再伴之以能够撤销差错的机制。
3.冗余设计和多重保护措施—瑞士奶酪模型
每片奶酪代表正在完成任务的一种状态,只有所有四片奶酪上的孔洞刚好排成一线,事故才会发生。
应用以下几种方式减少事故
1.增加更多层奶酪
2.减少空洞的数量(或大小)
3.如果一些孔洞将要排成一线,提醒操作者
自动化的悖论
当自动化系统发生故障,经常没有警告。人们需要一些时间才能注意到故障,评价分析,然后决定如何处置。