系统故障与安全因素

系统由众多相互关联的部件构成，每个部件的故障都会影响整体；事故通常是多重微小的失误连锁反应的结果，防范应聚焦于系统和预防而非指责。

协和式飞机起飞后坠毁，原因是一条金属薄片导致轮胎爆炸、残骸击中油箱。我们总是对一个事件发生的可能性方式预估不足。航天飞机由2,000个独立部分组成，每个部分成功概率99.9%，整体失败的最小概率为86%——零部件越多，失败概率越高。

有些系统更易受事故侵袭——内部组成部分繁多，各部分联系复杂。系统增加的变量越多，互动方式越多，失败几率越高。在紧密相连的系统内改善子系统功能效果不大——存在多个因素同时失效的概率。后备系统应确保独立性：飞机导航系统成功概率99%，后备系统90%，两者均失灵的概率为0.1%，整体稳定性达99.9%。但如果两系统相互依赖，前者的失败提高后者失败概率，则整体失败概率上升。

1983年韩国007客机偏离预定轨道近360英里被击落，269人遇难。一系列连锁事故从飞机起飞时就开始了——机长和机组人员处于疲劳状态，途中每个事故微不足道却导致了大灾难。

医疗事故：哈佛研究发现3.7%的病人因处理失当导致并发症。医疗事故是美国每年44,000-98,000人死亡的原因，是死亡第八大杀手。诊断错误中65%与系统相关，74%与认知因素相关——最常见原因是医生做出诊断后不再考虑其他可能性。

亨利·福特说："不要埋怨，而要弥补。"在系统中植入安全因素比惩罚错误更有效。航空安全报告系统鼓励飞行员报告隐患并保密，10天内报告事故自动免于惩罚。工程师为填补不确定性设置安全因素，取决于失败后果、风险理解和控制程度。应做好事故预期，使用清单表降低操作错误可能性。