Lỗi của người dùng, không phải của thiết kế tồi?

Phần lớn các tại nạn công nghiệp là do lỗi của con người gây ra, ước tính tỷ lệ nằm từ 75-95%. Tại sao lại có nhiều người thiếu năng lực đến vậy? Nguyên nhân không phải do họ. Đó là vấn đề của thiết kế.

Nếu số lượng tai nạn được cho là do lỗi của con người là từ 1-5%, tôi sẽ tin đó là sự thực. Nhưng khi tỷ lệ đó quá cao, một điều hiển nhiên là phải có các yếu tố khác tác động vào. Khi một điều gì đó xảy ra thường xuyên ở mức độ cao như thế, chắc chắn phải có một nguyên nhân cơ bản nào khác.

Khi một cây cầu sập, chúng ta tiến hành phân tích vụ việc để tìm nguyên nhân của việc sập cầu và thay đổi các quy định về thiết kế để bảo đảm là dạng tai nạn như vậy sẽ không còn xảy ra. Khi chúng ta thấy thiết bị điện gặp trục trặc vì nó phản ứng với sự nhiễu điện bắt buộc, chúng ta sẽ thiết kế lại các mạch điện để nó có thể chịu đựng sự nhiễu điện tốt hơn. Nhưng khi tai nạn được cho là do con người gây ra, chúng ta quy trách nhiệm cho họ rồi tiếp tục làm mọi thứ theo cách mà chúng ta vẫn làm.

Các nhà thiết kế hiểu rất rõ những giới hạn thể chất; trong khi những giới hạn tinh thần lại bị hiểu lầm nghiêm trọng. Chúng ta cần đối xử với tất cả thất bại một cách công bằng – tìm ra những nguyên nhân cơ bản và tái thiết kế hệ thống để những nguyên nhân đó không còn dẫn tới các vấn đề. Chúng ta thiết kế thiết bị yêu cầu con người phải hoàn toàn tỉnh táo và tập trung trong nhiều giờ đồng hồ, hoặc phải ghi nhớ những quy trình cổ lỗ, rắc rối ngay cả khi chúng ít khi được sử dụng, thậm chí chỉ là một lần trong đời. Chúng ta đưa con người vào những môi trường nhàm chán, không có gì để làm trong nhiều giờ đồng hồ, cho đến khi họ đột ngột bị bắt phải phản xạ một cách nhanh chóng và chính xác. Hoặc chúng ta đẩy họ vào những môi trường phức tạp, nặng nhọc, nơi họ thường xuyên bị phân tâm trong khi phải thực hiện nhiều công việc cùng lúc. Sau đó chúng ta lại tự hỏi tại sao lại có những rắc rối nảy sinh.

Thậm chí mọi chuyện còn tệ hơn khi tôi nói chuyện với những nhà thiết kế và quản lý các hệ thống này, họ thừa nhận là bản thân họ đôi khi cũng mắc lỗi khi đang làm việc. Một số thậm chí còn thú nhận là cảm thấy buồn ngủ trong khi đang lái xe. Họ thừa nhận họ bật hoặc tắt nhầm bếp gas khi đang ở nhà, cũng như các lỗi nhỏ nhưng điển hình khác. Vậy mà khi nhân viên dưới quyền họ mắc những lỗi đó, họ lại đổ thừa rằng “đó là lỗi thuộc về năng lực con người”. Và khi nhân viên và những khách hàng gặp phải các vấn đề tương tự, họ bị quy trách nhiệm là đã không tuân theo những chỉ dẫn một cách đúng đắn, hoặc không tỉnh táo và thiếu tập trung.

HIỂU ĐƯỢC TẠI SAO LẠI CÓ LỖI

Lỗi xảy ra do nhiều nguyên nhân. Nguyên nhân phổ biến nhất nằm ở bản chất công việc và quy trình đòi hỏi con người hành động theo những cách không bình thường như phải giữ sự tỉnh táo trong nhiều giờ liền, phải cung cấp những chi tiết điều khiển chính xác và kịp thời, phải đảm nhận nhiều nhiệm vụ, thực hiện nhiều công việc cùng lúc và phải chịu đựng nhiều hành vi can thiệp. Sự ngắt quãng là một nguyên nhân làm phát sinh lỗi, trong khi các thiết kế và quy trình đòi hỏi sự tập trung cao độ và tuyệt đối lại càng khiến cho việc quay trở lại nhiệm vụ sau khi bị ngắt quãng trở nên thực sự khó khăn. Và sau cùng, lý do tồi tệ nhất là thái độ của mọi người đối với các lỗi phát sinh.

Khi một lỗi phát sinh gây ra thiệt hại về tài chính, hoặc tệ hơn nữa, dẫn tới một vụ bị thương hay tử vong, một ủy ban đặc biệt được thành lập để điều tra nguyên nhân và hầu như chưa bao giờ thất bại trong việc tìm ra người phải chịu trách nhiệm. Bước tiếp theo là quy trách nhiệm và trừng phạt họ bằng hình phạt về tiền, sa thải hoặc bỏ tù họ. Đôi khi biện pháp trừng phạt mềm mỏng hơn sẽ được áp dụng như yêu cầu những người có liên quan phải được đào tạo kỹ lưỡng hơn. Quy trách nhiệm và trừng phạt; quy trách nhiệm và đào tạo. Quá trình điều tra và sự trừng phạt đi kèm có vẻ thỏa mãn được mọi người – chúng ta đã tóm được thủ phạm. Nhưng nó không thể khắc phục được vấn đề cốt lõi là lỗi tương tự sẽ còn lặp đi lặp lại. Thay vào đó, khi có một lỗi phát sinh, chúng ta cần tìm lý do tại sao, sau đó tái thiết kế sản phẩm hoặc quy trình trước đó để lỗi đó sẽ không còn lặp lại hoặc nếu có lặp lại, thì tác động sẽ là nhỏ nhất.

Phân tích nguyên nhân gốc rễ

Phân tích nguyên nhân gốc rễ là tên của quá trình: điều tra nguyên nhân của tai nạn cho đến khi nguyên nhân duy nhất, cơ bản của tai nạn được tìm thấy. Điều này nên được hiểu là khi con người thực sự đưa ra những quyết định hoặc hành động sai lầm, chúng ta cần xác định điều gì đã khiến họ phạm sai lầm. Đây là điều mà phân tích nguyên nhân gốc rễ nên tập trung vào. Mặc dù vậy, điều thường xuyên diễn ra là mọi thứ dừng lại sau khi tìm ra người được cho là “thủ phạm” của sai lầm.

Cố gắng tìm ra nguyên nhân của một tai nạn có vẻ tốt nhưng nó lại có khiếm khuyết bởi hai lý do sau. Đầu tiên, phần lớn các tai nạn không xuất phát từ chỉ một nguyên nhân: thường là có nhiều thứ đã không hoạt động trơn tru, nhiều sự kiện mà nếu một trong số chúng không xảy ra thì có lẽ tai nạn cũng đã được ngăn chặn. Đây là điều mà James Reason, một tác giả danh tiếng người Anh chuyên về lỗi sai của con người, gọi là “mô hình pho mát Thụy Sỹ của các tai nạn (xem Hình 5.3 và chúng ta sẽ thảo luận chi tiết điều này).

Thứ hai, tại sao phân tích nguyên nhân gốc rễ lại dừng lại khi lỗi của con người được tìm thấy? Nếu có một cỗ máy ngừng làm việc, chúng ta sẽ không ngừng phân tích khi tìm thấy một bộ phận bị hỏng. Thay vào đó, chúng ta sẽ đặt câu hỏi: “Tại sao bộ phận này lại hỏng? Đây có phải là môt bộ phận kém chất lượng không? Có phải do những tiêu chuẩn đặt ra quá thấp không? Có điều gì đã tác động quá mạnh lên bộ phận này chăng?” Chúng ta sẽ tiếp tục đặt câu hỏi cho đến khi chúng ta thỏa mãn rằng mình đã hiểu nguyên nhân của vấn đề, sau đó chúng ta tìm cách xử lý chúng. Chúng ta cần làm điều tương tự khi tìm thấy lỗi sai của con người. Chúng ta cần tìm xem điều gì đã dẫn tới lỗi sai. Khi phân tích nguyên nhân gốc rễ tìm thấy phần lỗi sai của con người trong cả dây chuyền, công việc của nó mới chỉ bắt đầu. Đó là lúc chúng ta áp dụng việc phân tích này để hiểu vì sao lỗi phát sinh và có thể làm gì để ngăn chặn nó.

Một trong những máy bay phức tạp nhất thế giới là chiếc F-22 của Không quân Mỹ. Tuy nhiên, đã có nhiều tai nạn xảy ra với nó, và nhiều phi công đã phàn nàn rằng họ phải chịu đựng sự thiếu giảm ô-xy huyết (hypoxia). Năm 2010, một vụ tai nạn xảy ra đã phá hủy chiếc F-22 và khiến viên phi công thiệt mạng. Ủy ban Điều tra của Không quân đã tiến hành điều tra vụ việc và hai năm sau, năm 2012, đã đưa ra một báo cáo quy trách nhiệm tai nạn là do lỗi của phi công: “Anh ta đã không nhận ra và tiến hành quá trình lấy lại độ cao kịp thời sau khi bổ nhào bất ngờ do sự thiếu tập trung, mất tầm nhìn và tình trạng thiếu chính xác về không gian chưa được xác định.”

Năm 2013, Văn phòng Tổng Thanh tra Bộ Quốc phòng Mỹ đã xem xét lại những kết luận của Không quân và không đồng tình với đánh giá đó. Theo quan điểm của tôi, lần này có vẻ một quá trình phân tích nguyên nhân gốc rễ đúng đắn đã được tiến hành. Tổng Thanh tra đặt câu hỏi: “Tại sao việc mất năng lực hoặc ngất đi đột ngột lại không phải là một yếu tố gây ra vụ việc?” Phía Không quân không đồng ý với những chỉ trích này, chẳng ai ngạc nhiên vì điều đó. Họ phản biện rằng đã tiến hành một quá trình xem xét thấu đáo và kết luận của họ “được hỗ trợ bởi bằng chứng rõ ràng và thuyết phục”. Lỗi duy nhất của họ là bản báo cáo “đáng ra phải được viết rõ ràng hơn”.

Có lẽ chỉ hơi sai một chút nếu chúng ta diễn giải hai báo cáo này theo cách sau:

Phía Không quân: Đó là lỗi của phi công – viên phi công đã không thể thực hiện được hành động cần làm.

Phía Tổng Thanh tra: Đó là vì có thể viên phi công đã ngất đi.

Phía Không quân: Như vậy là ngài đã đồng ý, viên phi công đã không thể khắc phục được vấn đề.

Bốn câu hỏi vì sao

Phân tích nguyên nhân gốc rễ là nhằm xác định nguyên nhân căn bản dẫn tới một sự việc, chứ không phải nguyên nhân gần đúng. Từ lâu, người Nhật Bản đã thực hiện một quy trình để tìm tới được nguyên nhân gốc rễ mà họ gọi là “Năm câu hỏi vì sao”. Quy trình ban đầu được xây dựng bởi Sakichi Toyada và được sử dụng bởi Công ty Toyota Motor như là một phần trong Hệ thống Sản xuất Toyota nhằm nâng cao chất lượng sản phẩm. Ngày nay, nó đã được triển khai rộng rãi hơn. Về cơ bản, nó có nghĩa là khi tìm kiếm nguyên nhân, ngay cả khi bạn đã tìm ra một nguyên nhân thì cũng đừng dừng lại. Hãy hỏi tại sao vấn đề đó lại xảy ra. Sau đó lại đặt câu hỏi vì sao một lần nữa. Tiếp tục đặt câu hỏi cho đến khi bạn tìm được những nguyên nhân căn bản thực sự. Có thực là phải hỏi chính xác năm câu hỏi vì sao không? Không, nhưng phương pháp “Năm câu hỏi vì sao” nhấn mạnh yêu cầu tiếp tục tiến xa hơn ngay cả khi một nguyên nhân đã được tìm ra. Hãy xem điều này có thể được áp dụng thế nào trong việc phân tích nguyên nhân của vụ rơi chiếc F-22:

Bốn câu hỏi vì sao trong ví dụ này chỉ là một phân tích từng phần. Ví dụ, chúng ta cần biết vì sao chiếc máy bay lại đang thực hiện cú bổ nhào (báo cáo có giải thích điều này, nhưng quá chuyên sâu kỹ thuật để đề cập đến ở đây; nhưng đủ để chúng ta có thể nói rằng báo cáo cũng cho thấy cú bổ nhào có thể liên quan tới việc thiếu ô-xy).

Năm câu hỏi vì sao không đảm bảo cho thành công. Câu hỏi vì sao rất rộng và có thể dẫn tới nhiều câu trả lời khác nhau từ các nhà điều tra khác nhau. Vẫn có khả năng mọi việc dừng lại quá sớm, có lẽ khi chạm tới giới hạn hiểu biết của nhà điều tra. Nó cũng có xu hướng nhấn mạnh tới yêu cầu tìm ra một nguyên nhân duy nhất cho một vụ việc, trong khi hầu hết các sự kiện phức tạp đều xảy ra bởi những yếu tố tác động đa dạng, phức tạp. Dẫu sao, nó cũng là một kỹ thuật rất hữu ích.

Xu hướng dừng lại khi tìm kiếm nguyên nhân ngay khi lỗi của con người được tìm ra là rất phổ biến. Tôi đã từng xem xét một số tai nạn trong đó những công nhân được đào tạo chuyên sâu tại một công ty thiết bị điện đã bị điện giật khi họ chạm vào hoặc đến quá gần những đường dây cao thế mà họ đang bảo dưỡng. Tất cả các ủy ban điều tra đều kết luận lỗi thuộc về các công nhân, một điều mà thậm chí các công nhân (những người còn sống sót) cũng không đưa ra tranh cãi. Nhưng khi các ủy ban đang điều tra những nguyên nhân phức tạp của các vụ việc, tại sao họ lại dừng lại khi họ tìm ra một lỗi của con người? Tại sao họ không tiếp tục để tìm ra lý do vì sao tai nạn lại xảy ra, hoàn cảnh nào đã dẫn tới nó và tại sao hoàn cảnh đó lại xuất hiện? Các ủy ban chưa bao giờ điều tra đủ thấu đáo để tìm ra nguyên nhân sâu xa hơn, gốc rễ hơn của các tai nạn. Họ cũng không tiến hành tái thiết kế hệ thống hoặc quy trình để ngăn các vụ việc tái diễn hoặc ít có khả năng xảy ra hơn. Khi con người mắc lỗi, hãy thay đổi hệ thống để loại lỗi đó sẽ được giảm bớt hoặc xóa bỏ. Khi việc loại bỏ hoàn toàn không thể thực hiện được, hãy tái thiết kế hệ thống để giảm thiểu tác động.

Không khó để tôi đưa ra những thay đổi đơn giản về quy trình để có thể ngăn ngừa hầu hết những vụ việc tại công ty thiết bị điện. Vấn đề là việc thực hiện những kiến nghị của tôi có nghĩa là thay đổi văn hóa trong suy nghĩ của những người công nhân. Họ sẽ suy nghĩ rằng: “Chúng ta là những người phi thường: chúng ta có thể giải quyết mọi vấn đề, sửa chữa những vụ mất điện phức tạp nhất. Chúng ta không mắc sai lầm.” Sẽ không thể giảm bớt lỗi do con người nếu mọi người nghĩ về điều đó giống như một thất bại mang tính cá nhân chứ không phải là dấu hiệu của một thiết kế hay quy trình hay thiết bị tồi. Báo cáo của tôi lên ban lãnh đạo công ty được tiếp nhận một cách lịch sự. Vài năm sau, tôi liên lạc với một người bạn làm việc tại công ty và hỏi xem họ đã thay đổi những gì. “Không thay đổi gì cả,” anh ta nói. “Và chúng tôi tiếp tục khiến các công nhân bị thương.”

Một vấn đề lớn là xu hướng tự nhiên quy trách nhiệm cho ai đó vì một lỗi nào đó được chính những người đã mắc lỗi đồng tình. Con người có xu hướng đổ lỗi cho bản thân khi sự việc xảy ra để lại hậu quả không thể tha thứ được. “Đáng ra tôi nên làm tốt hơn thế!” là một câu nói phổ biến của những người mắc lỗi. Nhưng khi ai đó nói rằng, “Đó là lỗi của tôi, đáng ra tôi nên làm tốt hơn thế!” thì đó không phải là cách phân tích đúng đắn cho vấn đề. Điều đó không giúp ngăn chặn vấn đề tái diễn. Khi nhiều người cùng gặp phải một vấn đề, hẳn phải có một nguyên nhân khác cần được tìm ra. Nếu như hệ thống để mặc bạn mắc lỗi thì đồng nghĩa với nó có một thiết kế kém cỏi. Và nếu hệ thống đẩy bạn vào tình huống mắc lỗi, nó quả thực đã được thiết kế quá kém cỏi. Khi tôi bật nhầm bếp gas, điều đó không phải do sự thiếu hiểu biết của tôi, đó là do sơ đồ kết nối lỏng lẻo giữa công tắc bật bếp và bếp nấu. Dạy cho tôi mối quan hệ giữa chúng sẽ không thể ngăn lỗi đó dừng tái diễn, nhưng việc tái thiêt kế lại bếp thì có thể.

Chúng ta không thể khắc phục vấn đề trừ khi mọi người thừa nhận chúng tồn tại. Khi chúng ta quy trách nhiệm cho con người, sẽ khó có thể thuyết phục những người có trách nhiệm tái cấu trúc lại phần thiết kế để giảm bớt những vấn đề đó. Nói cho cùng, nếu một người mắc lỗi, hãy thay thế người đó. Nhưng trên thực tế thì chính hệ thống, các quy trình và áp lực xã hội đã dẫn tới các vấn đề khiến người đó mắc lỗi và các vấn đề này sẽ không được khắc phục nếu không chỉ ra mọi yếu tố tác động.

Tại sao con người mắc lỗi? Bởi vì các thiết kế tập trung vào những yêu cầu đối với hệ thống và máy móc, chứ không phải yêu cầu của con người. Phần lớn các máy móc đòi hỏi những mệnh lệnh và hướng dẫn chính xác, buộc con người phải nhập các thông tin dưới dạng số một cách hoàn hảo. Nhưng con người thường không giỏi ở những việc đòi hỏi sự chính xác cao độ. Chúng ta thường xuyên mắc lỗi khi được yêu cầu đánh máy hoặc viết hàng dãy số hoặc chữ cái. Điều này thì ai cũng biết, vậy tại sao các loại máy móc vẫn còn được thiết kế để đòi hỏi sự chính xác ở mức độ cao như vậy, khi mà việc bấm nhầm phím có thể dẫn tới những hậu quả khủng khiếp?

Con người là những sinh vật sáng tạo, hay suy diễn và thích khám phá. Chúng ta thường rất giỏi ở những tình huống bất ngờ, ở việc sáng tạo ra nhiều cách mới để làm mọi thứ và nhìn thấy những cơ hội mới. Đây là những đặc tính đáng quý, nhưng chúng lại biến thành những đặc điểm tiêu cực khi chúng ta phải phục vụ máy móc. Rồi chúng ta lại bị trừng phạt vì mất tập trung, vì sao lãng không tuân theo những quy trình đã được mô tả chặt chẽ.

Một nguyên nhân chính dẫn tới việc mắc lỗi là áp lực về thời gian. Thời gian có ý nghĩa quan trọng, đặc biệt là ở những nơi như dây chuyền sản xuất, các nhà máy xử lý hóa chất hoặc các bệnh viện. Nhưng ngay cả những công việc hằng ngày cũng có áp lực về thời gian. Thêm vào các yếu tố môi trường như thời tiết xấu hay tắc đường thì áp lực thời gian sẽ càng tăng lên. Tại nhiều cơ sở thương mại, áp lực không được chậm trễ các quy trình là rất lớn, bởi vì như vậy sẽ gây ra sự khó chịu cho nhiều người, dẫn tới việc thua lỗ. Còn trong môi trường bệnh viện, sự chậm trễ có thể làm giảm chất lượng chăm sóc bệnh nhân. Có nhiều áp lực để đẩy nhanh một công việc ngay cả khi một người ngoài cuộc có thể nói làm như vậy là quá nguy hiểm. Trong nhiều ngành công nghiệp, nếu người vận hành thực sự tuân thủ mọi quy trình thì công việc có lẽ sẽ không bao giờ được hoàn thành. Do đó chúng ta đã đẩy xa các giới hạn, chúng ta thức khuya hơn mức bình thường rất nhiều. Chúng ta cố gắng làm nhiều công việc cùng lúc. Chúng ta lái xe nhanh hơn so với mức an toàn. Phần lớn thời gian chúng ta làm mọi thứ tương đối tốt. Chúng ta thậm chí còn đáng được tặng thưởng và ca ngợi vì những nỗ lực vượt bậc. Nhưng khi mọi thứ không trôi chảy và chúng ta thất bại, vẫn những hành động đó nhưng chúng sẽ bị quy trách nhiệm và trừng phạt.

NHỮNG VI PHẠM CỐ Ý

Lỗi sai không phải là hình thức duy nhất của những thất bại của con người. Đôi khi con người chấp nhận rủi ro một cách có chủ ý. Khi kết quả là tích cực, họ thường được khen thưởng. Khi kết quả là tiêu cực, họ sẽ bị trừng phạt. Nhưng làm thế nào để chúng ta phân loại được những vi phạm cố ý của hành vi được biết trước và phù hợp này? Trong những tài liệu về các lỗi mắc phải, chúng thường bị bỏ qua nhưng trong những tài liệu về sự cố, chúng lại là một phần quan trọng.

Những sai lệch cố ý đóng một vai trò quan trọng trong nhiều vụ tai nạn. Chúng được xác định trong những vụ việc mà con người vi phạm những quy trình và quy định một cách có chủ ý. Tại sao chúng lại xảy ra? Hầu như tất cả chúng ta có lẽ đều đã từng cố ý vi phạm pháp luật, quy định hoặc thậm chí nhận định sáng suốt nhất của chính mình nhiều lần. Bạn đã bao giờ đi xe quá tốc độ cho phép chưa? Lái xe quá nhanh khi trời mưa hoặc có tuyết? Đồng ý thực hiện một hành vi nguy hiểm, ngay cả khi tự bản thân nghĩ rằng thật ngớ ngẩn khi làm như vậy?

Trong nhiều ngành nghề, những quy định được viết ra theo hướng để đáp ứng yêu cầu tuân thủ pháp luật nhiều hơn là đáp ứng yêu cầu của công việc. Kết quả là, nếu các công nhân tuân thủ quy định, họ không thể hoàn thành công việc. Bạn có bao giờ đẩy mở các cánh cửa đang bị khóa? Lái xe khi đang buồn ngủ? Làm việc cùng đồng nghiệp ngay cả khi đang ốm (và có thể bạn đang mắc bệnh truyền nhiễm)?

Những vi phạm thường xuyên sẽ xảy ra khi việc thiếu tuân thủ cũng thường xuyên đến mức nó bị bỏ qua. Những vi phạm do ngoại cảnh sẽ diễn ra khi có những hoàn cảnh đặc biệt (ví dụ: vượt đèn đỏ “vì không có xe nào khác trong tầm nhìn và tôi bị muộn giờ”). Trong một số trường hợp, cách duy nhất để hoàn thành một công việc là vi phạm một quy định hay quy trình.

Một nguyên quan trọng dẫn tới việc vi phạm là những quy định hoặc quy trình không phù hợp không những tạo điều kiện cho các vi phạm mà còn khuyến khích chúng. Nếu không vi phạm, công việc sẽ không thể được hoàn thành. Tệ hơn nữa, người lao động thấy rằng cần thiết phải vi phạm các quy định để hoàn thành công việc và, kết quả là, nếu hoàn thành tốt công việc, họ sẽ được chúc mừng và khen thưởng. Điều này, tất nhiên, sẽ khuyến khích sự không tuân thủ một cách không có chủ đích. Văn hóa khuyến khích và khen ngợi những vi phạm tạo ra những tấm gương không phù hợp.

Mặc dù các vi phạm là một dạng lỗi, có những lỗi thuộc về cơ cấu tổ chức và xã hội, có vai trò quan trọng nhưng nằm ngoài phạm vi của quá trình thiết kế những vật dụng thường ngày. Lỗi của con người được xem xét ở đây là lỗi không cố ý, còn những vi phạm có chủ đích, theo định nghĩa, là những sai lệch cố ý đã được xác định trước là rủi ro và có nguy cơ gây ra tác động xấu.

HAI LOẠI LỖI: SAI PHẠM VÀ SAI LẦM

Nhiều năm trước, nhà tâm lý học người Anh James Reason và tôi đã phát triển một hệ thống phân loại chung về lỗi của con người. Chúng tôi chia lỗi của con người thành hai dạng chính: sai phạm và sai lầm (Hình 5.1). Cách phân loại này đã chứng tỏ hiệu quả của mình trong cả lý thuyết lẫn thực tế. Nó được sử dụng rộng rãi trong nghiên cứu lỗi sai ở nhiều lĩnh vực khác nhau từ công nghiệp đến hàng không và y tế. Việc đi sâu hơn tương đối mang tính kỹ thuật, do đó tôi sẽ giữ những khía cạnh kỹ thuật ở mức thấp nhất. Chủ đề này có tầm quan trọng đặc biệt với quá trình thiết kế, vì vậy hãy thật chú ý.

Định nghĩa: lỗi, sai phạm và sai lầm

Lỗi của con người được định nghĩa là bất cứ sự lệch chuẩn nào so với hành động “phù hợp”. Chữ phù hợp được để trong ngoặc kép bởi trong rất nhiều hoàn cảnh, hành động phù hợp không được xác định hoặc chỉ được xác định sau khi đã xảy ra. Nhưng dẫu sao, lỗi vẫn được định nghĩa là sự lệch chuẩn so với những hành động đúng hoặc phù hợp được chấp nhận rộng rãi.

HÌNH 5.1. Phân loại lỗi. Lỗi có hai dạng chính. Sai phạm xảy ra khi mục tiêu là đúng đắn, nhưng các hành động cần thiết lại chưa được thực hiện một cách đúng đắn: quá trình thực hiện có sai sót. Sai lầm xảy ra khi mục tiêu hoặc kế hoạch không đúng đắn. Sai phạm và sai lầm còn có thể được phân chia sâu hơn dựa trên nguyên nhân căn bản của chúng. Sự nhầm lẫn có thể dẫn tới cả sai phạm hoặc sai lầm, phụ thuộc vào việc sự nhầm lẫn đó xảy ra ở mức độ cao nhất của nhận thức (sai lầm) hoặc ở mức độ thấp hơn – vô thức (sai phạm). Mặc dù những vi phạm cố ý các quy trình rõ ràng là những hành động không phù hợp và thường dẫn tới tai nạn, nhưng cũng không được coi là lỗi (xem trong nội dung).

Lỗi là thuật ngữ chung chỉ tất cả các hành động sai. Có hai loại lỗi chính: sai phạm và sai lầm, như thể hiện ở Hình 5.1; sai phạm được phân chia sâu hơn thành hai loại chính và sai lầm thành 3 loại. Các cách phân loại lỗi như thế này có các tác động khác nhau tới quá trình thiết kế. Bây giờ tôi sẽ đi vào chi tiết hơn những loại lỗi này và tác động của chúng tới thiết kế.

Sai phạm

Sai phạm xảy ra khi một người dự định thực hiện một hành động này nhưng cuối cùng lại thực hiện một hành động khác. Đối với sai phạm, hành động được thực hiện không giống với hành động dự định thực hiện.

Có hai dạng sai phạm chính: dựa trên hành động và do nhầm lẫn. Với các sai phạm dựa trên hành động, hành động sai được thực hiện. Với sự nhầm lẫn, trí nhớ không thực hiện đúng chức năng, nên hành động dự định không được thực hiện hoặc kết quả của nó không được đánh giá. Sai phạm dựa trên hành động và sự nhầm lẫn có thể được phân chia sâu hơn dựa trên nguyên nhân của chúng.

Ví dụ về sai phạm dựa trên hành động. Tôi rót một chút sữa vào cốc café của mình và sau đó để cốc café vào trong tủ lạnh thay vì chỗ sữa còn lại. Đây là hành động đúng nhưng áp dụng với đối tượng không phù hợp.

Ví dụ về sai phạm do nhầm lẫn. Tôi quên không tắt bếp sau khi đã nấu xong bữa tối.

Sai lầm

Sai lầm xảy ra khi mục tiêu không phù hợp hoặc kế hoạch không phù hợp được vạch ra. Kể từ lúc đó, ngay cả khi các hành động được thực hiện đúng thì chúng vẫn là một phần trong lỗi tổng thể, vì bản thân những hành động đó đã là không phù hợp – chúng là một phần trong kế hoạch sai. Với một sai lầm, hành động được thực hiện theo đúng kế hoạch nhưng vấn đề là kế hoạch đó sai.

Sai lầm có ba dạng chính: dựa trên quy tắc, dựa trên hiểu biết và do nhầm lẫn. Với sai lầm dựa trên quy tắc, cá nhân đã đánh giá đúng tình huống, nhưng sau đó lại đưa ra hướng hành động sai, thực hiện theo quy tắc sai. Với sai lầm dựa trên hiểu biết, vấn đề không được nhìn nhận đúng vì hiểu biết sai hoặc không đầy đủ. Các sai lầm do đãng trí xảy ra khi có quá trình quên xuất hiện tại giai đoạn xác định mục tiêu, vạch kế hoạch hoặc đánh giá. Hai sai lầm dẫn tới việc chiếc Boeing 767 “Gimli Glider” phải hạ cánh khẩn cấp là:

Ví dụ về sai lầm dựa trên hiểu biết. Khối lượng nhiên liệu được tính toán theo pound (bảng) thay vì theo kilogram.

Ví dụ về sai lầm do đãng trí. Một thợ máy không thể hoàn thành quá trình xử lý vấn đề nảy sinh do bị phân tâm.

Lỗi và bảy giai đoạn của hành động

Lỗi có thể được hiểu rõ hơn thông qua việc tham khảo bảy giai đoạn của chu kỳ hành động trong Chương 2 (Hình 5.2). Sai lầm là lỗi trong quá trình xác định mục tiêu hoặc kế hoạch và trong việc so sánh kết quả với kỳ vọng, đây là các mức độ cao hơn của nhận thức. Sai phạm xảy ra trong quá trình thực hiện một kế hoạch, hoặc trong việc nhận thức hoặc diễn giải kết quả, đây là những giai đoạn thấp hơn. Sự nhầm lẫn có thể xảy ra tại bất cứ đâu trong tám điểm chuyển tiếp giữa các giai đoạn, được thể hiện bằng dấu X trong Hình 5.2B. Một sự nhầm lẫn tại một điểm chuyển tiếp sẽ khiến chu kỳ hành động không thể tiếp tục, và do đó hành động mong muốn không thể được thực hiện.

HÌNH 5.2. Nơi sai phạm và sai lầm nảy sinh trong chu kỳ hành động. Hình A cho thấy sai phạm trong hành động bắt nguồn từ bốn giai đoạn phía dưới của chu kỳ hành động và sai lầm xuất phát từ ba giai đoạn phía trên. Sự nhầm lẫn tác động tới các điểm chuyển tiếp nằm giữa các giai đoạn (được thể hiện bằng dấu X trong Hình B). Sự nhầm lẫn ở các mức độ cao dẫn tới sai lầm, còn ở các mức độ thấp thì dẫn tới sai phạm.

Các sai phạm là kết quả của hành động vô thức bất ngờ diễn ra. Các sai lầm lại là kết quả những hành động sai cố ý có ý thức. Những quá trình khiến chúng ta trở nên sáng tạo và sáng suốt bằng cách cho phép chúng ta nhìn thấy mối quan hệ giữa những thứ có vẻ như không hề có liên hệ gì, giúp chúng ta đi tới những kết luận đúng đắn dựa trên những bằng chứng rời rạc thậm chí sai lầm, cũng đồng thời dẫn chúng ta tới sai lầm. Khả năng của chúng ta trong việc khái quát hóa một lượng nhỏ thông tin sẽ giúp ích rất nhiều trong những tình huống mới mẻ; nhưng đôi khi chúng ta khái quát hóa quá nhanh, xếp một tình huống mới vào loại tương tự như một tình huống trước đây, trong khi trên thực tế, có rất nhiều sự khác biệt. Điều này dẫn tới những sai lầm khó có thể được nhận ra và không hề được tính đến chuyện xóa bỏ.

PHÂN LOẠI CÁC SAI PHẠM

Một đồng nghiệp kể với tôi rằng anh lái xe đi làm. Khi đã đi được một quãng, anh chợt nhận ra mình để quên cặp tài liệu, nên anh quay xe trở lại. Anh dừng xe, tắt máy và tháo đồng hồ đeo tay của mình. Vâng, tháo đồng đồ, chứ không phải dây an toàn.

Câu chuyện trên minh họa cho cả sai phạm do nhầm lẫn và sai phạm trong quá trình hành động. Việc quên chiếc cặp tài liệu là sai phạm do nhầm lẫn. Việc cởi chiếc đồng hồ đeo tay là một sai phạm trong quá trình hành động, trong trường hợp này là sự kết hợp giữa lỗi do tính chất tương đồng và do quán tính (sẽ được đề cập đến sau trong chương này).

Phần lớn các lỗi hằng ngày là những sai phạm. Dự định làm việc này nhưng cuối cùng bạn lại thấy mình làm việc khác. Khi một ai đó nói điều gì đó rõ ràng và mạch lạc với bạn, bạn lại “nghe thấy” một điều hoàn toàn khác. Nghiên cứu các sai phạm là nghiên cứu tâm lý học của những lỗi thường nhật – điều mà Freud gọi là “bệnh học tâm lý của đời sống thường nhật”. Freud tin rằng các sai phạm thường ẩn kín, mang ý nghĩa xấu, nhưng phần lớn chúng diễn ra dựa theo những cơ chế tinh thần khá đơn giản.

Một trong những đặc tính thú vị của sai phạm, nghịch lý thay, lại là chúng có xu hướng xảy ra với những người có kỹ năng nhiều hơn là với những người mới đang học việc. Tại sao vậy? Bởi vì sai phạm thường xuất phát từ việc thiếu tập trung vào công việc. Những người có kỹ năng – những chuyên gia – có xu hướng thực hiện công việc một cách tự động, dưới sự điều khiển vô thức. Còn những người mới đang học việc lại tập trung cao độ một cách có ý thức, dẫn tới việc những sai phạm xảy ra ở tần suất tương đối thấp.

Một số sai phạm xuất phát từ tính chất tương tự nhau của các hành động. Hoặc một sự kiện bên ngoài có thể tự động kích hoạt một hành động. Đôi khi ý nghĩ và hành động của chúng ta nhắc chúng ta nhớ đến những hành động không có chủ đích mà sau đó chúng ta sẽ thực hiện. Có nhiều loại sai phạm trong quá trình hành động khác nhau, được phân loại dựa theo những cơ chế căn bản làm chúng nảy sinh. Ba loại có liên quan nhiều nhất đến quá trình thiết kế là:

Những sai phạm do quán tính.

Những sai phạm do tính chất tương đồng.

Những sai phạm do phương thức.

Những sai phạm do quán tính

Tôi đang sử dụng máy in sao tài liệu và tôi đang đếm số trang. Tôi thấy mình đang đếm: “1, 2, 3, 4, 5, 6, 7, 8, 9, 10, J, Q, K.” Vâng, gần đây tôi có chơi bài.

Sai phạm do quán tính được định nghĩa là tình huống trong đó, thay vì thực hiện hành động cần làm, một hành động được làm thường xuyên hơn hoặc gần đây hơn sẽ được thực hiện – hành động theo quán tính. Lỗi do quán tính đòi hỏi một phần trong chuỗi hành vi có liên quan trong hai hành động phải có sự giống nhau, với một chuỗi hành vi quen thuộc hơn so với chuỗi kia. Sau khi thực hiện phần giống nhau, hành động thường xuyên hoặc gần đây hơn sẽ được tiếp tục, và hành động dự kiến lại không được thực hiện. Đôi khi, dù hiếm khi xảy ra, chuỗi hành vi ít quen thuộc hơn lại lấn át chuỗi hành vi quen thuộc hơn. Tất cả những gì cần có là một sự nhầm lẫn, thiếu tập trung vào hành động cần làm tại thời điểm chuyển giao có vai trò quyết định khi những phần giống nhau của các chuỗi hành vi phân tách thành hai hành động khác nhau. Do đó, các lỗi quán tính là các lỗi một phần do nhầm lẫn. Điều thú vị là, những lỗi quán tính lại xuất hiện ở những người có kỹ năng, kinh nghiệm nhiều hơn ở những người mới bắt đầu, một phần vì những người có kinh nghiệm đã tự động hóa những hành động cần làm và có thể không dành sự tập trung có ý thức khi hành động dự định tiến hành sai lệch so với hành động thường xuyên thực hiện.

Các nhà thiết kế cần tránh đưa ra những quy trình có những bước mở đầu giống nhau nhưng sau đó lại phân tách. Người công nhân càng có kinh nghiệm, họ càng có khả năng mắc phải sai phạm do quán tính. Bất cứ khi nào có thể, các chuỗi hành vi cần được thiết kế để khác nhau ngay từ điểm bắt đầu.

Những sai phạm do tính chất tương đồng

Một cựu sinh viên kể rằng một lần, anh ta quay về nhà sau khi chạy bộ, cởi bỏ chiếc áo phông đẫm mồ hôi và cuộn tròn nó lại như một quả bóng với ý định ném nó vào giỏ đồ để giặt. Nhưng thay vào đó, anh ta ném nó vào nhà vệ sinh. (Đó không phải là do anh ta ngắm sai: giỏ đựng đồ để giặt và nhà vệ sinh nằm ở hai phòng khác nhau.)

Với những sai phạm được gọi là sai phạm do tính chất tương đồng, lỗi xảy ra đối với một vật tương tự như mục tiêu ban đầu. Điều này xảy ra khi mô tả của mục tiêu có vẻ đủ mơ hồ. Tương tự như những gì chúng ta thấy ở Chương 3, Hình 3.1, khi mọi người gặp khó khăn trong việc nhận ra những hình ảnh khác nhau về tiền vì những mô tả của bản thân họ không có thông tin phân biệt đầy đủ, điều tương tự có thể xảy ra với chúng ta, đặc biệt là khi chúng ta mệt mỏi, căng thẳng và quá tải. Trong ví dụ mở đầu phần này, cả giỏ đựng quần áo và nhà vệ sinh đều là những nơi chứa đồ, và nếu phần mô tả về mục tiêu đủ mơ hồ, kiểu như “một nơi chứa đồ đủ rộng”, sai phạm sẽ xảy ra.

Hãy nhớ lại những điều được thảo luận trong Chương 3 rằng hầu hết các vật thể không cần những mô tả chính xác, chỉ đơn giản là đủ chính xác để phân biệt giữa mục tiêu mong muốn và những lựa chọn thay thế. Điều này có nghĩa là một sự mô tả mà trong trường hợp thông thường được coi là đủ có thể sẽ là không đủ khi tình huống thay đổi dẫn tới có nhiều vật thể tương tự phù hợp với mô tả. Các lỗi do tính chất tương đồng làm cho những hành động đúng được thực hiện với những mục tiêu sai. Tất nhiên, mục tiêu đúng và mục tiêu sai càng giống nhau thì khả năng lỗi này xảy ra càng lớn. Tương tự như thế, càng nhiều mục tiêu xuất hiện cùng lúc thì lỗi có khả năng xuất hiện càng nhiều.

Các nhà thiết kế cần bảo đảm là bảng điều khiển và màn hình hiển thị cho những mục đích khác nhau cũng khác nhau một cách rõ rệt. Một hàng dài những công tắc hoặc màn hình hiển thị trông giống nhau rất có khả năng dẫn tới sai phạm do tính chất tương đồng. Trong thiết kế buồng lái máy bay, rất nhiều nút điều khiển được đánh mã số theo hình dạng để chúng khác nhau cả về mặt thị giác lẫn cảm giác: các nút điều khiển van tiết lưu sẽ khác với các nút điều khiển cánh tà (trông giống và có cảm giác như một cánh tà thật), khác với nút điều khiển càng hạ cánh (trông giống và có cảm giác như một bánh xe).

Những sai phạm do nhầm lẫn

Lỗi do nhầm lẫn rất phổ biến. Hãy xem xét các ví dụ sau:

Photo một tài liệu thành nhiều bản, rời khỏi máy photo nhưng để lại bản gốc bên trong máy

Quên mất con của mình. Lỗi này đã xảy ra nhiều lần, ví dụ như quên con tại một điểm dừng chân nghỉ trong một chuyến đi dài bằng ô tô, trong phòng thay đồ tại một trung tâm mua sắm, hoặc một bà mẹ trẻ quên mất đứa con một tháng tuổi của mình ở đâu đó và phải nhờ cảnh sát giúp tìm con của mình.

Mất một chiếc bút vì nó được lấy ra để viết gì đó, sau đó đặt xuống để làm một việc khác. Chiếc bút bị lãng quên vì nhiều hành động khác nhau như đẩy một quyển sổ ra xa, cầm một món đồ lên, nói chuyện với người bán hàng hay bạn bè... Hoặc theo chiều ngược lại: mượn một chiếc bút, sử dụng nó và sau đó để nó trong túi áo hoặc ví của bạn, ngay cả khi nó là của người khác (đây cũng có thể coi là lỗi do quán tính).

Sử dụng một thẻ ngân hàng hoặc thẻ tín dụng để rút tiền từ một máy rút tiền tự động, sau đó bỏ đi mà không lấy lại thẻ, đây là một lỗi phổ biến đến mức nhiều máy rút tiền hiện đã có chức năng bắt buộc – thẻ phải được rút ra trước khi tiền được nhả ra. Tất nhiên, sau đó có thể bạn sẽ đi khỏi đó mà quên không cầm tiền, nhưng điều này thường ít xảy ra hơn so với việc quên thẻ vì tiền là mục đích bạn sử dụng chiếc máy.

Nhầm lẫn là nguyên nhân phổ biến của các lỗi. Chúng có thể dẫn tới vài loại lỗi khác nhau như không thể thực hiện tất cả các bước của một quy trình; các bước lặp lại; quên kết quả của một hành động; hoặc quên mục tiêu hay kế hoạch, do đó khiến cho hành động bị ngừng lại.

Nguyên nhân tức thời của phần lớn sự nhầm lẫn là sự ngắt quãng, những sự kiện can thiệp vào giữa lúc một hành động được quyết định và lúc hành động đó được thực hiện. Sự can thiệp này đến từ những máy móc chúng ta sử dụng một cách khá thường xuyên: nhiều bước cần thực hiện từ lúc bắt đầu đến lúc kết thúc các quá trình có thể làm quá tải khả năng của trí nhớ ngắn hạn hoặc trí nhớ công việc.

Có nhiều cách để chống lại những lỗi do nhầm lẫn. Một trong số đó là tối thiểu số bước phải làm; cách khác là đưa ra những lời nhắc nhở dễ nhận ra về những bước công việc cần phải hoàn thành. Một cách tuyệt vời khác là sử dụng chức năng bắt buộc như đã nói ở Chương 4. Ví dụ, các máy rút tiền tự động thường yêu cầu rút thẻ ngân hàng trước khi nhả số tiền yêu cầu – điều này ngăn ngừa việc quên thẻ ngân hàng, dựa trên thực tế là mọi người thường hiếm khi quên đi mục tiêu của hành động, trong trường hợp này là tiền. Với những chiếc bút, giải pháp chỉ đơn giản là ngăn ngừa khả năng chúng bị di chuyển, có thể bằng cách gắn những chiếc bút ở những nơi công cộng vào quầy. Không phải tất cả các lỗi do nhầm lẫn đều có thể được ngăn chặn một cách dễ dàng. Trong nhiều trường hợp, sự ngắt quãng đến từ bên ngoài hệ thống, nơi mà nhà thiết kế không có khả năng kiểm soát những điều sẽ xảy ra.

Những sai phạm do lỗi phương thức

Một lỗi phương thức xảy ra khi một thiết bị có nhiều tình trạng khác nhau trong đó những nút điều khiển giống nhau lại mang ý nghĩa khác nhau. Chúng ta gọi những tình trạng đó là chế độ. Lỗi lựa chọn chế độ là không thể đảo ngược ở bất cứ thiết bị nào mà số thao tác chúng ta có thể thực hiện được nhiều hơn số nút điều khiển hoặc màn hình điều khiển mà thiết bị có; nghĩa là, thao tác điều khiển có ý nghĩa khác nhau trong những chế độ khác nhau. Điều này thực sự không thể tránh khỏi khi chúng ta đang đưa thêm ngày càng nhiều chức năng vào các thiết bị của mình.

Bạn đã bao giờ tắt nhầm thiết bị trong hệ thống giải trí tại nhà của mình chưa? Điều này xảy ra khi một thiết bị điều khiển được sử dụng cho nhiều mục đích. Tại các gia đình, điều này đơn giản là sự khó chịu. Tại các cơ sở công nghiệp, sự nhầm lẫn khi người vận hành tưởng rằng hệ thống đang ở chế độ này trong khi trên thực tế nó đang ở chế độ khác đã dẫn tới nhiều tai nạn nghiêm trọng và thiệt hại về con người.

Tiết kiệm tiền bạc và không gian bằng cách có một cần điều khiển cho nhiều mục đích khác nhau nghe thật hấp dẫn. Giả sử có mười chức năng khác nhau trên một thiết bị. Thay vì sử dụng mười tay cầm hay công tắc – điều này sẽ đòi hỏi đáng kể không gian và chi phí tăng thêm, và trông có vẻ phức tạp một cách không cần thiết, vậy tại sao lại không sử dụng chỉ hai cần điều khiển, một để lựa chọn chức năng và một để cài đặt chức năng cho chế độ mong muốn? Mặc dù thiết kế đi theo đó có vẻ đơn giản và dễ sử dụng, vẻ đơn giản bề ngoài này che phủ đi sự phức tạp ẩn chứa đằng sau trong quá trình sử dụng. Người vận hành phải luôn luôn nhận thức đầy đủ về chế độ và những chức năng đang được kích hoạt. Tuy nhiên, sự phổ biến của lỗi do lựa chọn chế độ cho thấy giả định này hoàn toàn sai lầm. Đúng thế, nếu tôi chọn một chế độ và sau đó lập tức thay đổi các tham số, tôi có vẻ sẽ không còn thấy bối rối về chế độ đó. Nhưng sẽ ra sao nếu tôi lựa chọn một chế độ và sau đó bị cắt ngang bởi những sự kiện khác? Hoặc là nếu chế độ đó được giữ nguyên trong một khoảng thời gian nào đó? Hoặc, như trong trường hợp tai nạn của chiếc Airbus được thảo luận dưới đây, hai chế độ được lựa chọn rất giống nhau về cách điều khiển và chức năng, nhưng lại có tính chất vận hành khác nhau, điều này có nghĩa là lỗi do lựa chọn chế độ xuất phát từ điều đó rất khó để bị phát hiện? Đôi khi, việc sử dụng nhiều chế độ là có thể hiểu được, ví dụ như nhu cầu đưa nhiều bảng điều khiển và màn hình hiển thị vào một không gian hẹp, bị hạn chế, nhưng dù lý do là gì đi nữa, các chế độ luôn là nguyên nhân phổ biến cho sự bối rối và sai lầm.

Đồng hồ báo thức sử dụng cách điều khiển và hiển thị tương tự nhau khi cài đặt thời gian ban ngày và thời gian mà việc báo thức cần được tắt đi, và do đó, rất nhiều người trong chúng ra đã cài đặt một thứ trong khi thực sự muốn cài đặt thứ khác. Tương tự như vậy, khi thời gian được thể hiện theo khung mười hai giờ, rất có khả năng bạn sẽ cài báo thức tắt lúc BẢY GIỜ SÁNG nhưng rồi sau đó lại phát hiện ra báo thức đã được cài đặt vào lúc BẢY GIỜ TỐI. Việc sử dụng “SÁNG” (A.M) và “TỐI” (P.M) để phân biệt thời gian trước và sau buổi trưa là một nguyên nhân phổ biến dẫn tới sự bối rối và sai lầm, do đó việc sử dụng rộng rãi cài đặt thời gian 24 giờ phổ biến trên toàn thế giới (ngoại lệ là những khu vực như Bắc Mỹ, Australia, Ấn Độ và Philippines). Đồng hồ đeo tay đa chức năng cũng gặp các vấn đề tương tự, trong trường hợp này là do không gian chật hẹp để sử dụng cho chức năng điều khiển và hiển thị. Các chế độ có mặt trong hầu hết các chương trình máy tính, trong điện thoại di động, và trong chế độ điều khiển tự động của các máy bay thương mại. Một số tai nạn nghiêm trọng trong ngành hàng không có thể kể đến là do lỗi lựa chọn chế độ, đặc biệt là ở những máy bay sử dụng các hệ thống tự động (những hệ thống này có rất nhiều chế độ phức tạp). Khi xe hơi ngày càng trở nên phức tạp, với bảng đồng hồ có chức năng điều khiển cho việc lái xe, sưởi ấm và điều hòa không khí, giải trí và dẫn đường, các chế độ đang càng trở nên phổ biến.

Một tai nạn xảy ra với một chiếc máy bay Airbus sẽ minh họa vấn đề này. Thiết bị điều khiển bay (thường được gọi là phi công tự động) có hai chế độ, một để điều khiển tốc độ hạ độ cao, một để điều khiển góc đường bay khi hạ cánh. Trong trường hợp này, khi các phi công dự kiến hạ cánh, họ nghĩ rằng họ đang điều khiển góc hạ cánh, trong khi đã lựa chọn nhầm chế độ điều khiển tốc độ hạ cánh. Con số (-3,3) được nhập vào hệ thống là thể hiện góc gần đúng (-3,3 độ) lại là quá lớn đối với tốc độ hạ độ cao khi nó được diễn giải thành tốc độ hạ độ cao (-3.300 feet/phút: trong khi -3,3 độ chỉ khoảng -800 feet/phút). Sự nhầm lẫn chế độ này góp phần gây ra tại nạn khủng khiếp. Sau một cuộc điều tra kỹ lưỡng về vụ tai nạn, Airbus đã thay đổi hình ảnh hiển thị trên màn hình để cho tốc độ hạ độ cao luôn được thể hiện bằng bốn chữ số và góc hạ cánh được thể hiện bằng hai chữ số, nhằm giảm bớt khả năng gây bối rối cho phi công.

Lỗi do lựa chọn chế độ thực sự là lỗi do thiết kế. Các lỗi này rất dễ xảy ra nếu thiết bị không thể hiện chế độ một cách dễ nhìn thấy, nên người sử dụng cần phải ghi nhớ chế độ nào đã được thiết lập, đôi khi là từ nhiều giờ trước đó, trong khi trong suốt thời gian đó, có nhiều sự kiện chen ngang có thể xảy ra. Các nhà thiết kế phải tránh việc thiết kế nhiều chế độ, nhưng nếu điều đó là cần thiết, thì thiết bị cần phải thể hiện rõ là chế độ nào đang làm việc. Một lần nữa, các nhà thiết kế phải luôn tính đến phương án đề phòng cho những hành động can thiệp giữa chừng.

PHÂN LOẠI SAI LẦM

Sai lầm xuất phát từ việc lựa chọn những mục tiêu hoặc kế hoạch không phù hợp hoặc từ sự so sánh không chính xác giữa kết quả với mục tiêu trong quá trình đánh giá. Với các sai lầm, một người có thể đưa ra một quyết định tồi, đánh giá nhầm một tình huống hoặc thất bại trong việc tính đến tất cả các yếu tố có liên quan. Nhiều sai lầm xuất phát từ sự khó đoán định trong suy nghĩ của con người, thường là vì con người có xu hướng dựa vào những trải nghiệm còn ghi nhớ được hơn là những phân tích có hệ thống. Chúng ta đưa ra quyết định dựa trên những gì nằm trong trí nhớ của mình. Nhưng như đã thảo luận ở Chương 3, những gì khôi phục lại từ trí nhớ dài hạn thường là sự tái hiện thay vì những dữ liệu chính xác. Kết quả là, chúng thường chứa đựng nhiều sai lệch. Bên cạnh nhiều điều đáng nói khác, trí nhớ của chúng ta có xu hướng thiên lệch về việc khái quát hóa quá mức những sự việc bình thường và nhấn mạnh quá mức vào sự khác biệt.

Kỹ sư người Đan Mạch Jens Rasmussen phân loại ba loại hành vi như sau: dựa trên kỹ năng, dựa trên quy tắc và dựa trên hiểu biết. Cách phân loại theo ba cấp độ như thế này đã cung cấp một công cụ hữu ích được chấp nhận rộng rãi trong các lĩnh vực mà nó được áp dụng, ví dụ như việc thiết kế nhiều hệ thống công nghiệp. Hành vi dựa trên kỹ năng xảy ra khi các công nhân đã quá thành thạo công việc của họ, nên họ có thể thực hiện những công việc hằng ngày, quay vòng mà chỉ cần ít hoặc thậm chí là không cần nghĩ hoặc chú tâm một cách có chủ ý. Dạng phổ biến nhất của lỗi trong hành vi dựa trên kỹ năng là sai phạm.

Hành vi dựa trên quy tắc xảy ra khi một thông lệ bình thường không còn được áp dụng nữa nhưng trạng thái mới đã được biết đến từ trước, do đó hành động được mô tả trước đã tồn tại sẵn, đó là một quy tắc. Các quy tắc đơn giản có thể là những hành vi được học hỏi từ những kinh nghiệm trước đó, nhưng bao gồm các quy trình chính thức được mô tả trong các khóa đào tạo và hướng dẫn sử dụng, thường được thể hiện dưới dạng các câu “nếu-thì”, ví dụ, “Nếu động cơ không khởi động thì hãy thực hiện [hành động phù hợp].” Lỗi trong hành vi dựa trên quy tắc có thể là một sai lầm hoặc một sai phạm. Nếu quy tắc được chọn là không chính xác, đó sẽ là một sai lầm. Nếu lỗi xuất hiện trong quá trình thực hiện quy tắc, nhiều khả năng đó là sai phạm.

Lỗi trong hành vi dựa trên kiến thức xảy ra khi các sự kiện bất thường xuất hiện, mà không có kỹ năng hay quy tắc hiện có nào có thể được áp dụng vào. Trong trường hợp này, cần có sự nghiên cứ đánh giá tìm ra nguyên nhân và giải quyết vấn đề. Các kế hoạch cần được vạch ra, thử nghiệm, sau đó sử dụng hoặc sửa đổi. Ở đây, các mô hình khái niệm là rất cần thiết trong việc định hướng sự phát triển của kế hoạch và sự tương tác với tình huống thực tế.

Trong cả hai tình huống dựa vào kiến thức và quy tắc, sai lầm nghiêm trọng nhất sẽ xảy ra khi tình huống bị đánh giá sai. Kết quả là, một quy tắc không phù hợp được áp dụng, hoặc trong các trường hợp liên quan đến lỗi trong hành vi dựa trên kiến thức, nỗ lực được tập trung để giải quyết sai vấn đề. Thêm vào đó, việc nhận định sai vấn đề sẽ đi cùng với việc hiểu sai về thực tế bên ngoài, cũng như so sánh không chính xác tình hình hiện tại với các kỳ vọng. Những dạng sai lầm này rất khó thể có thể nhận ra và sửa chữa.

Các sai lầm dựa trên quy tắc

Khi các quy tắc mới được áp dụng hoặc khi các vấn đề đơn giản nảy sinh, chúng ta có thể xem hành động của những người có kỹ năng tốt là hành động dựa trên quy tắc. Một số quy tắc xuất phát từ kinh nghiệm; một số khác là những quy trình trong các cuốn sách hướng dẫn sử dụng hoặc quy tắc sử dụng, hoặc các hướng dẫn ít chính thức hơn, ví dụ như các cuốn sách dạy nấu ăn hoặc chuẩn bị món ăn. Trong cả hai trường hợp, tất cả những gì chúng ta phải làm là xác định tình huống, lựa chọn quy tắc phù hợp và làm theo nó.

Khi đang lái xe, các hành vi tuân theo những quy tắc đã được học kỹ. Đèn đỏ? Dừng xe. Muốn rẽ trái? Bật đèn tín hiệu xin đường và dịch chuyển sang trái theo luật rẽ trái cho phép: giảm tốc độ của phương tiện và đợi cho đến khi giao thông trên đường có khoảng dừng an toàn, trong khi vẫn tuân thủ mọi quy tắc giao thông cùng với các biển báo và đèn tín hiệu có liên quan.

Các sai lầm do dựa trên quy tắc xảy ra theo nhiều cách khác nhau:

Tình huống bị hiểu sai, do đó đưa ra mục tiêu hoặc kế hoạch sai, dẫn tới việc tuân thủ quy tắc không chính xác.

Áp dụng chính xác quy tắc, nhưng bản thân quy tắc là sai, hoặc là do nó được xây dựng không phù hợp hoặc vì các điều kiện ngoại cảnh khác so với giả định của quy tắc hoặc thông qua hiểu biết không chính xác được sử dụng để xác định quy tắc. Tất cả những điều này dẫn tới những sai lầm do dựa trên quy tắc.

Áp dụng chính xác quy tắc, nhưng kết quả được đánh giá không chính xác. Lỗi trong quá trình đánh giá, thường thì bản thân nó là lỗi dựa trên quy tắc hoặc hiểu biết, có thể dẫn với những vấn đề lớn hơn khi chu kỳ hành động tiếp tục.

Ví dụ 1: Năm 2013, tại hộp đêm Kiss tại Santa Maria, Brazil, màn bắn pháo hoa do ban nhạc sử dụng đã gây ra hỏa hoạn khiến hơn 230 người thiệt mạng. Có thể thấy nhiều dạng sai lầm trong thảm kịch này. Ban nhạc đã mắc lỗi dựa trên kiến thức khi họ sử dụng ngọn lửa ngoài trời, khiến cho trần nhà bằng vật liệu cách âm bắt lửa. Ban nhạc nghĩ rằng ngọn lửa có thể sử dụng an toàn. Nhiều người chạy vào nhà vệ sinh, suy nghĩ một cách sai lầm rằng đó là lối ra và họ đã tử vong. Những báo cáo ban đầu cho biết những bảo vệ, do không biết về vụ hỏa hoạn nên ban đầu đã ngăn không cho mọi người rời khỏi tòa nhà. Vì sao? Bởi đôi khi những người đến hộp đêm rời khỏi đó trước khi thanh toán tiền đồ uống.

Sai lầm ở đây là đưa ra một quy tắc mà không tính đến những tình huống khẩn cấp. Một quá trình phân tích nguyên nhân gốc rễ có thể chỉ ra rằng mục tiêu là để ngăn chặn việc rời khỏi hộp đêm một cách không chính đáng, nhưng vẫn cho phép các cửa thoát hiểm được sử dụng trong trường hợp khẩn cấp. Một giải pháp là các cánh cửa bật báo động khi được sử dụng sẽ ngăn không cho mọi người cố gắng trốn ra, nhưng cho phép thoát hiểm khi cần thiết.

Ví dụ 2: Bật bộ điều nhiệt của một lò nướng tới mức nhiệt tối đa để đưa nó đến nhiệt độ nấu phù hợp nhanh hơn là một sai lầm dựa trên một mô hình khái niệm thiếu chính xác về cách mà lò nướng làm việc. Nếu như người sử dụng đi khỏi đó rồi quên không quay lại và kiểm tra nhiệt độ lò sau một khoảng thời gian thích hợp (một sai phạm do nhầm lẫn), mức cài đặt nhiệt độ không hợp lý của lò nướng có thể dẫn tới một tai nạn, có thể là một vụ hỏa hoạn.

Ví dụ 3: Một lái xe, chưa quen với hệ thống chống bó cứng phanh, bỗng gặp phải một vật thể lạ trên đường trong một ngày mưa ẩm ướt. Người lái xe đạp phanh hết sức có thể nhưng chiếc xe trượt đi, làm kích hoạt hệ thống chống bó cứng phanh để bóp và nhả nhanh liên tục, theo đúng thiết kế của chúng. Người lái xe cảm nhận được những rung động và tin rằng điều đó là dấu hiệu của trục trặc nên bỏ chân ra khỏi bàn phanh. Trên thực tế, rung động là dấu hiệu cho thấy hệ thống chống bó cứng phanh đang làm việc tốt. Đánh giá sai của người lái xe đã dẫn tới hành động không chính xác.

Những sai lầm do dựa trên quy tắc thường khó tránh khỏi và do đó khó phát hiện. Một khi tình huống đã được xác định, việc lựa chọn quy tắc phù hợp thường không gặp trở ngại gì. Nhưng sẽ ra sao nếu việc xác định tình huống là không chính xác? Việc sai lầm trong xác định tình huống rất khó để nhận ra vì thường có nhiều bằng chứng được đưa ra để xác định tình huống và lựa chọn quy tắc sai đó. Trong những tình huống phức tạp, vấn đề là quá có nhiều thông tin, những thông tin hỗ trợ đưa ra quyết định và cả những thông tin chống lại quyết định đó. Dưới áp lực thời gian phải đưa ra quyết định, rất khó để biết bằng chứng nào nên xem xét, bằng chứng nào nên bỏ qua. Mọi người thường quyết định bằng cách xem xét tình huống hiện tại và đối khớp nó với những tình huống đã xảy ra trước đây. Mặc dù trí nhớ của con người khá tốt trong việc đối khớp những ví dụ trong quá khứ với tình huống hiện tại, điều này không có nghĩa là việc đối khớp là chính xác hoặc phù hợp. Việc đối khớp bị sai lệch bởi khoảng cách về thời gian tính từ sự kiện hiện tại, mức độ đều đặn và số lần lặp lại. Những sự kiện mới xảy ra được ghi nhớ tốt hơn nhiều những sự kiện xảy ra từ lâu. Những sự kiện thường xuyên được ghi nhớ thông qua mức độ đều đặn của chúng và những sự kiện độc nhất được ghi nhớ bởi sự hiếm hoi của chúng. Nhưng giả sử sự kiện hiện tại khác hoàn toàn so với tất cả những gì đã xảy ra trước đó, con người vẫn có xu hướng tìm kiếm thứ gì đó đối khớp trong trí nhớ để sử dụng làm định hướng. Những ưu điểm giúp chúng ta giỏi trong việc đối phó với những thứ phổ biến và những thứ duy nhất cũng chính là những thứ dẫn tới những lỗi nghiêm trọng khi đối phó với những sự kiện hoàn toàn xa lạ.

Nhà thiết kế cần phải làm gì? Cung cấp càng nhiều hướng dẫn càng tốt để đảm bảo là tình trạng hiện tại của mọi thứ được thể hiện dưới một định dạng mạch lạc và dễ hiểu, trong đó lý tưởng nhất là dạng đồ thị. Đây là một vấn đề nan giải. Tất cả những người đưa ra các quyết định quan trọng đều lo lắng về sự phức tạp của những sự kiện trong thế giới thực, nơi các vấn đề có quá nhiều thông tin liên quan, nhiều phần trong số chúng mâu thuẫn với nhau. Thường thì, quyết định phải được đưa ra một cách nhanh chóng. Đôi khi, thậm chí còn không thực sự rõ là có một vấn đề hay không hoặc một quyết định đã thực sự được đưa ra chưa.

Hãy nghĩ về điều đó như thế này. Ở nhà bạn có thể có một số đồ đạc hỏng hoặc không hoạt động. Có lẽ sẽ có một số bóng đèn cháy, hoặc (ở nhà tôi) một đèn đọc sách hoạt động tốt trong chốc lát rồi sau đó lại tắt ngấm khiến chúng tôi phải bước ra và lắc chiếc bóng đèn huỳnh quang để nó sáng lại. Có thể có một vòi nước bị rò hoặc một vài hỏng hóc lặt vặt khác mà bạn biết nhưng đang trì hoãn việc sửa chữa. Giờ hãy xem xét một nhà máy sản xuất có quy trình được kiểm soát ở quy mô lớn (một nhà máy lọc dầu, một nhà máy hóa chất, hoặc một nhà máy điện hạt nhân). Chúng có hàng nghìn, có thể là chục nghìn chiếc van, màn hình hiển thị và cần điều khiển... Ngay cả nhà máy hiện đại nhất vẫn có những phần bị lỗi. Đội ngũ bảo dưỡng luôn có một danh sách những thiết bị cần được quan tâm. Với tất cả các chuông báo động được kích hoạt, khi có một vấn đề xuất hiện, ngay cả khi nó là vấn đề nhỏ, và tất cả những sai phạm thường nhật, làm thế nào để biết báo động nào là chỉ dấu quan trọng cho một vấn đề nghiêm trọng? Mọi thứ đều có một cách giải thích đơn giản, phù hợp, vậy nên không biến nó thành một vấn đề khẩn cấp là một quyết định thông minh. Trên thực tế, đội ngũ bảo dưỡng chỉ đưa nó vào một danh sách. Trong phần lớn các trường hợp, đây là một quyết định đúng đắn. Lần duy nhất trong một nghìn lần (hoặc thậm chí, một triệu lần) mà quyết định được đưa ra sai sẽ biến nó thành quyết định khiến họ bị quy trách nhiệm. Làm sao họ có thể bỏ qua những dấu hiệu hiển nhiên như thế?

Nói lại bao giờ cũng dễ hơn nói đi. Khi ủy ban điều tra tai nạn xem xét sự kiện làm phát sinh vấn đề, họ biết điều gì đã thực sự xảy ra, nên không khó để họ chỉ ra những thông tin cần thiết và không cần thiết. Đây là quá trình ra quyết định ngược. Nhưng khi vụ việc xảy ra, mọi người có lẽ đối mặt với quá nhiều thông tin không cần thiết và lại không có nhiều thông tin cần thiết. Làm sao mà họ biết được thông tin nào cần được chú ý và thông tin nào có thể bỏ qua? Phần lớn các trường hợp, những người vận hành có kinh nghiệm sẽ có lựa chọn đúng. Khi họ thất bại lần đầu, quá trình phân tích ngược có xu hướng lên án họ vì đã bỏ qua những dấu hiệu hiển nhiên. Thực sự thì trong quá trình xảy ra sự kiện, chẳng có gì là hiển nhiên cả. Tôi sẽ trở lại vấn đề này ở phía dưới.

Bạn sẽ đối mặt với điều này khi đang lái xe, khi xử lý các vấn đề tài chính và trong sinh hoạt cuộc sống hằng ngày của bạn. Phần lớn các sự kiện bất thường mà bạn đọc hằng ngày không liên quan đến cuộc sống của bạn, nên bạn có thể bỏ qua chúng một cách an toàn. Điều gì cần phải chú ý, điều gì nên bỏ qua? Các ngành công nghiệp luôn phải đối mặt với vấn đề này, cũng giống như các chính phủ. Các cơ quan tình báo thường ngập trong dữ liệu. Làm thế nào để họ quyết định trường hợp nào là nghiêm trọng? Công chúng thường nghe về những sai lầm của họ, nhưng không được nghe về những trường hợp thường xuyên hơn rất nhiều mà trong đó họ đưa ra quyết định đúng hoặc về số lần họ bỏ qua những dữ liêu vô nghĩa – và họ đã đúng khi làm như vậy.

Nếu mọi quyết định đều phải đặt câu hỏi, thì sẽ không có thứ gì được thực hiện. Nhưng nếu các quyết định không bị đặt câu hỏi, sẽ có những sai lầm kinh khủng – hiếm khi xuất hiện, nhưng mỗi khi xuất hiện lại đi kèm với những hậu quả khủng khiếp.

Thách thức về thiết kế là thể hiện những thông tin về tình trạng của hệ thống (một thiết bị, phương tiện, nhà máy, hoặc các hành động đang được giám sát) theo một cách dễ dàng có thể hiểu và diễn giải được, cũng như cung cấp những giải thích và diễn giải thay thế. Việc đặt câu hỏi về các quyết định là hữu dụng, nhưng không thể làm như thế nếu mọi hành động – hoặc vấn đề nảy sinh – đều đòi hỏi sự chú ý đặc biệt.

Đây là một vấn đề khó khăn mà không thể tìm ra được giải pháp nào dễ thực hiện hơn.

Những sai lầm dựa trên kiến thức

Những hành động dựa trên kiến thức diễn ra khi tình huống xa lạ đến mức không có kỹ năng hay quy tắc nào có thể xử lý được. Trong trường hợp này, một quy trình mới cần được đưa ra. Trong khi những kỹ năng và quy tắc được kiểm soát ở cấp độ hành vi của quá trình xử lý của con người và do đó thường là vô thức và tự động thì hành động dựa trên kiến thức lại được kiểm soát ở cấp độ ý thức nên thường chậm và mang tính ý thức rõ rệt.

Với hành động dựa trên kiến thức, con người giải quyết vấn đề một cách có ý thức. Họ đang ở trong một tình huống chưa được biết tới và không có bất cứ một kỹ năng hay quy tắc nào để áp dụng trực tiếp. Hành động dựa trên kỹ năng cần được thực hiện khi một người gặp phải một hình huống xa lạ, có thể được yêu cầu sử dụng một thiết bị mới, thậm chí đang thực hiện một nhiệm vụ quen thuộc nhưng mọi thứ không hoạt động trơn tru, dẫn tới một tình huống xa lạ, không thể giải thích được.

Giải pháp tốt nhất cho các tình huống dựa trên kiến thức là tự trang bị hiểu biết về tình huống đó, trong phần lớn các trường hợp điều này đồng nghĩa với việc xây dựng được một mô hình khái niệm thích hợp. Trong các trường hợp phức tạp, cần có sự trợ giúp, và đây là thời điểm cần có kỹ năng và công cụ để giải quyết vấn đề hiệu quả. Đôi khi, các hướng dẫn sử dụng theo thủ tục (bản giấy hoặc bản mềm) sẽ làm điều này, đặc biệt là nếu việc quan sát có thể được sử dụng để tìm ra những quy trình phù hợp để làm theo. Một cách làm tốt hơn là phát triển các hệ thống máy tính thông minh, sử dụng quá trình tìm kiếm hiệu quả và những kỹ thuật phân tích nguyên nhân phù hợp (ra quyết định và giải quyết vấn đề bằng trí tuệ nhân tạo). Khó khăn ở đây nằm ở việc thiết lập tương tác của con người với quá trình tự động hóa. Đội ngũ con người và những hệ thống được tự động hóa phải được xem xét đến với tư cách là những hệ thống hợp tác, đối tác. Thay vào đó, họ thường được xây dựng bằng cách đưa những nhiệm vụ mà máy móc có thể làm được đến cho máy móc và con người sẽ làm phần còn lại. Điều này thường có nghĩa là máy móc làm những phần dễ dàng làm được đối với con người, nhưng khi vấn đề trở nên phức tạp, nghĩa là khi con người cần sử dụng sự hỗ trợ thì đó lại là lúc máy móc thường không thể làm được. (Tôi đã thảo luận vấn đề này một cách đầy đủ trong cuốn The Design of Future Things.

Những sai lầm do nhầm lẫn

Nhầm lẫn có thể dẫn tới sai lầm nếu sự đãng trí dẫn tới việc quên đi mục tiêu hoặc kế hoạch hành động. Một nguyên nhân phổ biến của sự nhầm lẫn là sự ngắt quãng dẫn tới việc quên đánh giá tình trạng hiện tại của môi trường bên ngoài. Điều này dẫn tới sai lầm, không phải sai phạm, bởi vì mục tiêu và kế hoạch trở nên không đúng. Việc quên những đánh giá trước đó thường có nghĩa là đưa ra quyết định từ đầu, đôi khi một cách sai lầm.

Phương thức khắc phục cho sai lầm do nhầm lẫn cũng tương tự như với những sai phạm do nhầm lẫn – bảo đảm rằng những thông tin cần thiết luôn có mặt một cách liên tục. Mục tiêu, kế hoạch và đánh giá hiện thời về hệ thống đặc biệt quan trọng và phải được hiển thị liên tục. Có quá nhiều thiết kế bỏ đi tất cả những dấu hiệu của những điều này một khi chúng đã được đưa ra hoặc thực hiện theo. Một lần nữa, nhà thiết kế cần giả định là mọi người sẽ bị ngắt quãng trong quá trình hành động và họ sẽ cần sự hỗ trợ khi nối lại hoạt động của mình.

NHỮNG ÁP LỰC XÃ HỘI VÀ HỆ THỐNG

Một vấn đề nhạy cảm nên được nhìn nhận trong nhiều vụ tai nạn là áp lực xã hội. Mặc dù ban đầu, có vẻ như nó không liên quan gì đến vấn đề thiết kế cả, nhưng nó có tác động lớn đến những hành động thường ngày. Trong thiết kế công nghiệp, áp lực xã hội có thể dẫn tới hiểu sai, sai lầm và tai nạn. Để hiểu được lỗi do con người, cần phải hiểu được áp lực xã hội.

Giải quyết các vấn đề phức tạp là điều cần làm khi ai đó phải đối mặt với những vấn đề dựa trên kiến thức. Trong nhiều trường hợp, sẽ cần cả một đội ngũ làm việc trong nhiều ngày để hiểu điều gì đã xảy ra và cách tốt nhất để đáp lại. Điều này đặc biệt đúng trong những hoàn cảnh trong đó sai lầm xuất phát từ lúc nhận định vấn đề. Một khi nhận định sai lầm đã được đưa ra, tất cả những thông tin được đưa ra sau đó sẽ được diễn giải từ một quan điểm sai lầm. Sự xem xét lại phù hợp sẽ chỉ diễn ra khi có sự thay đổi nhân sự trong đội ngũ đó, khi những người mới đến tiếp cận tình huống theo một góc nhìn hoàn toàn khác, cho phép họ đưa ra những diễn giải khác về sự kiện đã xảy ra. Đôi khi chỉ cần yêu cầu một hoặc một vào thành viên trong đội nghỉ ngơi một vài giờ là có thể đưa họ đến với sự phân tích mới mẻ đó (mặc dù có thể hiểu được là khó mà thuyết phục ai đó đang phải vật lộn với một tình huống khẩn cấp nghỉ ngơi trong vài giờ).

Trong các cơ sở thương mại, áp lực giữ cho hệ thống hoạt động liên tục là rất lớn. Thiệt hại về tiền bạc là đáng kể nếu một hệ thống đắt tiền bị ngừng lại. Những người vận hành thường phải chịu áp lực để không được làm điều này. Kết quả trong nhiều trường hợp thật khủng khiếp. Các nhà máy điện hạt nhân được vận hành lâu hơn so với mức an toàn. Máy bay phải cất cánh trước khi mọi thứ được sẵn sàng và trước khi phi công nhận được sự cho phép. Một sự việc như thế đã dẫn tới tai nạn có thương vong nhiều nhất trong lịch sử ngành hàng không. Mặc dù tai nạn đã xảy ra từ năm 1977, nhiều năm về trước, nhưng những bài học rút ra vẫn rất hữu ích đến tận ngày nay.

Tại Tenerife, đảo Canary, một chiếc Boeing 747 của hãng KLM trong quá trình cất cánh đã đâm phải một chiếu 747 của hãng Pan Am đang chạy trên cùng đường băng, khiến 538 người thiệt mạng. Chiếc máy bay của KLM chưa nhận được mệnh lệnh rõ ràng để cất cánh, nhưng thời tiết bắt đầu trở nên xấu đi và phi hành đoàn đã bị hoãn lại quá lâu (thậm chí việc có mặt ở đảo Canary cũng nằm ngoài kế hoạch bay – thời tiết xấu đã ngăn không cho họ hạ cánh ở điểm đến theo lịch trình). Và chiếc máy bay của hãng Pan Am đáng ra cũng không có mặt trên đường băng, nhưng đã có một sự hiểu nhầm lớn giữa các phi công và các kiểm soát viên không lưu. Hơn nữa, sương mù đã dày đến nỗi phi hành đoàn của cả hai máy bay đều không thể nhìn thấy nhau.

Trong thảm họa ở Tenerife, những áp lực về thời gian và kinh tế đã song hành cùng với những điều kiện về văn hóa và thời tiết. Những phi công trên chiếc máy bay của Pan Am đặt câu hỏi về mệnh lệnh cho phép họ chạy trên đường băng, nhưng họ vẫn tiếp tục thực hiện. Cơ phó trên chiếc máy bay của KLM có phản đối một cách yếu ớt với cơ trưởng, cố gắng giải thích rằng họ chưa được phép cất cánh (nhưng cơ phó có vị trí thấp hơn nhiều so với cơ trưởng – một trong những phi công được tôn trọng nhất tại KLM). Kết hợp tất cả những điều đó, một thảm kịch lớn đã xảy ra do sự pha trộn phức tạp giữa những áp lực xã hội và cách giải thích lô-gic về những kết quả quan sát bất thường.

Bạn có lẽ đã từng trải qua những áp lực tương tự, không để ý đến chuyện đổ xăng hay sạc điện cho ô tô cho đến khi quá muộn và bạn gặp cảnh hết xăng hoặc điện, đôi khi tại những nơi thực sự bất tiện (điều này đã xảy ra với tôi). Áp lực xã hội là gì khi bạn lừa dối trong những kỳ thi ở trường, hoặc giúp những người khác lừa dối? Hoặc không báo cáo việc bị người khác lừa dối? Đừng bao giờ đánh giá thấp sức mạnh của áp lực xã hội lên hành động, nó có thể buộc những người biết suy nghĩ làm những việc mà họ biết là sai và có thể là nguy hiểm nữa.

Khi tôi được đào tạo về lặn dưới nước (scuba), người hướng dẫn của chúng tôi lo lắng về điều này đến mức anh ta nói anh ta sẽ treo thưởng cho bất cứ ai dừng việc lặn sớm hơn bình thường vì nguyên nhân an toàn. Con người thường có xu hướng nổi lên mặt nước, nên họ cần thêm vật dằn để có thể chìm xuống nước. Khi nước lạnh, vấn đề còn trở nên nghiêm trọng hơn vì các thợ lặn khi đó phải mặc các bộ đồ khô hoặc ướt để giữ ấm và những bộ đồ này làm tăng thêm sức nổi. Điều chỉnh sức nổi là một phần quan trọng của việc lặn, nên cùng với các vật dằn, các thợ lặn đồng thời cũng mặc áo phao, những chiếc áo này liên tục bơm hoặc nhả bớt không khí để cơ thể luôn gần với sức nổi tự nhiên. (Khi các thợ lặn lặn xuống sâu hơn, áp lực nước tăng lên nén chặt không khí trong các bộ đồ bảo vệ và phổi của họ, nên họ trở nên nặng hơn: các thợ lặn cần bổ sung không khí vào áo phao để bù lại.)

Khi các thợ lặn gặp vấn đề và cần nổi lên mặt nước một cách nhanh chóng, hoặc khi họ đã ở trên mặt nước gần với bờ nhưng bị các con sóng đánh tung lên, một số đã chết đuối vì họ vẫn bị các vật dằn nặng kéo xuống. Bởi những vật dằn này rất đắt tiền, nên các thợ lặn không muốn bỏ chúng ra. Thêm vào đó, nếu thợ lặn tháo bỏ vật dằn và quay trở lại an toàn, họ sẽ không bao giờ chứng minh được việc tháo bỏ những vật dằn là cần thiết, do đó họ sẽ cảm thấy xấu hổ, tạo ra áp lực xã hội xuất phát từ chính bản thân họ. Người hướng dẫn của chúng tôi nhận thức rất rõ sự miễn cưỡng của mọi người khi phải thực hiện việc khó khăn là tháo bỏ những vật dằn trong khi không thực sự chắc chắn điều đó là cần thiết. Để chống lại xu hướng này, anh ta thông báo rằng nếu có ai đó tháo bỏ vật dằn vì lý do an toàn, anh ta sẽ công khai ngợi khen ngợi thợ lặn đó và thay thế vật dằn cho người đó mà không tính tiền. Đây là nỗ lực rất thuyết phục để vượt qua những áp lực xã hội.

Áp lực xã hội có mặt ở mọi lúc mọi nơi. Rất khó để cụ thể hóa điều này bởi phần lớn các cá nhân và tổ chức đều ngần ngại khi thừa nhận chúng, do đó ngay cả khi chúng được phát hiện trong quá trình điều tra tai nạn, các kết quả cũng sẽ được che giấu khỏi sự soi xét của công luận. Một ngoại lệ lớn là việc xem xét những tai nạn giao thông, nơi mà các ủy ban điều tra trên toàn thế giới có xu hướng tiến hành những cuộc điều tra rộng rãi. Ủy ban An toàn Giao thông Quốc gia Mỹ (NTSB) là một ví dụ tuyệt vời cho điều này, và các báo cáo của nó được sử dụng rộng rãi bởi nhiều nhà điều tra tai nạn và nhà nghiên cứu về lỗi của con người (nhưng không bao gồm tôi).

Một ví dụ khác về áp lực xã hội đến từ một tai nạn máy bay khác. Năm 1982, một máy bay của hãng Air Florida bay từ Sân bay Quốc gia Washington DC, trong quá trình cất cánh đã đâm vào Cầu Phố Số Mười Bốn bắc ngang sông Potomac, làm 7 người thiệt mạng, bao gồm 4 người ở trên cầu. Chiếc máy bay đáng ra không được cất cánh vì có băng trên cánh máy bay, nhưng nó đã bị hoãn cất cánh một giờ rưỡi; điều này và những nhân tố khác, theo NTSB, “có thể đã khiến cho phi hành đoàn bị đói”. Tai nạn xảy ra mặc dù cơ phó đã cố ngăn cơ trưởng, người lúc đó đang điều khiển máy bay (cơ trưởng và cơ phó – đôi khi gọi là phi công phụ – thường thay phiên nhau điều khiển máy bay trong những chặng bay khác nhau trong cả hành trình). Báo cáo của NTSB trích dẫn tài liệu ghi âm buồng lái máy bay rằng “mặc dù cơ phó đã bốn lần thể hiện lo ngại “có điều gì đó không ổn” với cơ trưởng trong quá trình cất cánh, nhưng cơ trưởng vẫn không có hành động gì để từ chối việc cất cánh. NTSB tóm tắt các nguyên nhân như sau:

Ủy ban An toàn Giao thông Quốc gia Mỹ xác định nguyên nhân của tai nạn này là do phi hành đoàn của chuyến bay đã không sử dụng hệ thống chống đóng băng của động cơ trong quá trình chuẩn bị trên mặt đất và quá trình cất cánh, họ quyết định cất cánh với tuyết/băng đóng trên bề mặt cánh máy bay, và cơ trưởng đã không từ chối việc cất cánh trong giai đoạn đầu khi sự chú ý của anh ta đã tập trung vào việc đọc tài liệu hướng dẫn xử lý bất thường ở động cơ. (NTSB, 1982)

Một lần nữa chúng ta nhận thấy, áp lực xã hội đi cùng với áp lực về thời gian và kinh tế.

Áp lực xã hội có thể được vượt qua, nhưng chúng rất mạnh mẽ và có sức lan tỏa rộng khắp. Chúng ta lái xe khi đang buồn ngủ hoặc sau khi uống rượu, biết rõ ràng về những mối nguy hiểm, nhưng lại tự nói với chính mình rằng hãy tin mình là ngoại lệ. Làm thế nào để chúng ta vượt qua được những vấn đề xã hội này? Chỉ một mình thiết kế tốt là chưa đủ. Chúng ta cần những sự đào tạo khác nhau; chúng ta cần đề cao an toàn và đưa nó lên trên các áp lực về kinh tế. Sẽ có ích nếu thiết bị có thể thể hiện những nguy hiểm tiềm ẩn một cách dễ nhìn và rõ ràng, nhưng đó không phải lúc nào cũng là điều có thể. Xử lý các áp lực xã hội, kinh tế và văn hóa và theo đó cải thiện các chính sách của doanh nghiệp là phần khó nhất trong việc bảo đảm cho những hoạt động và hành động an toàn.

Lên danh sách

Danh sách (checklist) là một công cụ hiệu quả, đã được kiểm chứng trong việc tăng độ chính xác của hành động và giảm bớt lỗi, đặc biệt là sai phạm và nhầm lẫn. Chúng đặc biệt quan trọng trong các tình huống với những yêu cầu đa dạng, phức tạp và thậm chí còn quan trọng hơn nếu có sự ngắt quãng chen ngang. Với đông người cùng tham gia vào một nhiệm vụ, danh sách trách nhiệm được đưa ra một cách rõ ràng là điều rất cần thiết. Sẽ luôn tốt hơn nếu có hai người làm danh sách công việc cùng nhau trong một đội: một người đọc hướng dẫn, một người thực hiện. Nếu thay vào đó, chỉ có một người thực hiện danh sách và sau đó, người thứ hai kiểm tra các thiết bị thì các kết quả có thể không được chính xác. Người làm theo danh sách cảm thấy tự tin là có thể phát hiện bất cứ lỗi nào, có thể sẽ thực hiện các bước một cách quá nhanh chóng. Nhưng điều tương tự cũng có thể tác động đến người kiểm tra. Tin tưởng vào khả năng của người thứ nhất, người kiểm tra cũng sẽ làm một cách nhanh chóng, thay vì toàn diện.

Có một nghịch lý nhóm thường xảy ra là, thêm người kiểm tra một công việc sẽ càng làm cho công việc đó ít có khả năng được thực hiện chính xác. Tại sao vậy? Nếu bạn chịu trách nhiệm về việc kiểm tra số liệu đối với 50 máy đo và màn hình hiển thị, nhưng bạn biết rằng hai người trước bạn đã kiểm tra chúng và có một hoặc hai người sau bạn cũng sẽ kiểm tra lại những gì bạn đã làm, bạn sẽ thư giãn, nghĩ rằng bạn không việc gì phải quá cẩn thận. Nói cho cùng, khi có nhiều người cùng xem xét, sẽ không thể có chuyện có vấn đề nào đó mà lại không bị phát hiện. Nhưng nếu tất cả mọi người đều nghĩ theo cách đó, việc tăng thêm số lần kiểm tra trên thực tế lại tăng khả năng xảy ra lỗi. Một danh sách được kiểm tra một cách hợp tác là một cách hiệu quả để chống lại những xu hướng tự nhiên này của con người.

Trong hàng không thương mại, danh sách được kiểm tra một cách hợp tác được chấp nhận rộng rãi như một công cụ cần thiết cho an toàn bay. Danh sách kiểm tra được thực hiện bởi hai người, thường là hai phi công của máy bay (cơ trưởng và cơ phó). Trong lĩnh vực hàng không, danh sách kiểm tra đã chứng tỏ giá trị của mình và hiện nay đang được yêu cầu thực hiện trên tất cả các chuyến bay thương mại của Mỹ. Nhưng bất chấp những bằng chứng cho sự hữu dụng của chúng, nhiều ngành công nghiệp vẫn chối bỏ chúng một cách thẳng thừng. Nó làm có người ta có cảm giác năng lực của họ bị đặt câu hỏi. Hơn nữa, khi có hai người tham gia, người có vị trí thấp hơn (trong ngành hàng không, là cơ phó) được yêu cầu để giám sát hành động của người có vị trí cao hơn. Đây là sự vi phạm lớn về mặt thẩm quyền trong nhiều nền văn hóa.

Bác sĩ và những người làm trong ngành y tế cũng thẳng thừng phản đối việc sử dụng danh sách kiểm tra. Nó bị coi là một sự hạ thấp đối với năng lực nghề nghiệp của họ. “Những người khác có thể cần danh sách kiểm tra,” họ phàn nàn, “nhưng tôi thì không.” Quá sai lầm! Chúng ta đều là con người, đều có thể mắc sai phạm và sai lầm khi làm việc trong điều kiện căng thẳng, hoặc dưới áp lực thời gian hoặc xã hội, hay sau khi phải chịu nhiều sự chen ngang, mà lần nào cũng cần thiết với lý do riêng của nó. Bản tính đó của con người không phải là mối đe dọa đối với năng lực nghề nghiệp. Những lời chỉ trích hợp lý đối với những danh sách kiểm tra cụ thể đang được sử dụng như một cáo trạng chống lại tất cả các danh sách kiểm tra. May mắn thay, danh sách kiểm tra đang dần bắt đầu nhận được sự chấp nhận trong những trường hợp liên quan đến y tế. Khi những người có vị trí cao hơn yêu cầu sử dụng danh sách kiểm tra, trên thực tế điều đó tăng cường quyền hạn và vị trí chuyên môn của họ. Cần tới hàng thập kỷ để danh sách kiểm tra được chấp nhận trong ngành hàng không thương mại. Chúng ta hãy cùng hy vọng điều này sẽ thay đổi nhanh chóng hơn trong ngành y tế và những ngành nghề khác.

Thiết kế một danh sách kiểm tra hiệu quả là một việc khó khăn. Thiết kế đó cần phải lặp đi lặp lại, luôn luôn được sửa đổi, lý tưởng nhất là sử dụng các nguyên tắc tập trung vào con người trong Chương 6, liên tục chỉnh sửa danh sách cho đến khi nó bao quát được những vấn đề quan trọng là một nghĩa vụ nặng nề phải thực hiện. Nhiều người chống lại các danh sách kiểm tra thực chất là chống lại những danh sách được thiết kế một cách tồi tệ. Việc thiết kế một danh sách kiểm tra cho một nhiệm vụ phức tạp sẽ được thực hiện tốt nhất bởi những nhà thiết kế chuyên nghiệp kết hợp cùng với những chuyên gia về nhiệm vụ đó.

Những danh sách kiểm tra được in ra có một nhược điểm lớn là chúng buộc các bước phải đi theo một trình tự nhất định, ngay cả khi có những chỗ không cần thiết hay thậm chí là không thể. Với những nhiệm vụ phức tạp, thứ tự các quy trình được thực hiện không phải là vấn đề nghiêm trọng, chừng nào chúng vẫn được hoàn thành đầy đủ. Đôi khi những việc xuất hiện sớm trong danh sách kiểm tra lại chưa thể được thực hiện tại thời điểm chúng được liệt kê. Ví dụ, trong ngành hàng không, một trong các bước là kiểm tra lượng nhiên liệu của máy bay. Nhưng điều gì sẽ xảy ra nếu việc tiếp nhiên liệu cho máy bay chưa hoàn tất tại thời điểm việc này được liệt kê trong danh sách kiểm tra? Các phi công có xu hướng tạm bỏ qua việc này và quay lại nó sau khi máy bay đã được tiếp xong nhiên liệu. Đây rõ ràng là một cơ hội cho lỗi do nhầm lẫn xảy ra.

Nói chung, việc áp đặt một cấu trúc theo thứ tự cứng nhắc khi thực hiện công việc đều xuất phát từ một thiết kế tồi, trừ khi bản thân công việc yêu cầu điều đó. Đây là một trong những ưu điểm lớn của danh sách kiểm tra điện tử – chúng có thể theo dõi những việc được tạm thời bỏ qua và có thể bảo đảm là danh sách sẽ không được đánh dấu đã hoàn thành cho đến khi tất cả các việc được thực hiện xong.

LỖI BÁO CÁO

Nếu có thể chỉ ra các lỗi thì nhiều vấn đề do các lỗi này gây ra hoàn toàn có thể tránh được. Nhưng không phải tất cả các lỗi đều có thể được phát hiện một cách dễ dàng. Hơn nữa, áp lực xã hội thường làm cho mọi người khó khăn hơn trong việc thừa nhận lỗi của bản thân họ (hoặc báo cáo lỗi của người khác). Nếu mọi người tự báo cáo về lỗi của mình, họ có thể bị phạt tiền hoặc trừng phạt nặng hơn. Hơn nữa, bạn bè họ có thể lấy họ ra làm trò đùa. Nếu ai đó báo cáo rằng có người nào khác đã mắc lỗi, điều này có thể dẫn đến những phản ứng cá nhân rất tiêu cực. Cuối cùng, nhiều tổ chức không muốn đưa ra ánh sáng những lỗi mà nhân viên của họ mắc phải. Các bệnh viện, tòa án, hệ thống cảnh sát, các công ty dịch vụ – tất cả đều ngần ngại trong việc thừa nhận với công chúng rằng nhân viên của họ có khả năng mắc lỗi. Đây đều là những quan điểm sai lầm.

Cách duy nhất để giảm thiểu khả năng phát sinh lỗi là thừa nhận sự tồn tại của chúng, cùng nhau thu thập các thông tin về chúng, và do đó có khả năng đưa ra các thay đổi phù hợp để giảm bớt khả năng chúng xảy ra. Nếu không có dữ liệu, sẽ rất khó hay thậm chí không thể thực hiện được những cải tiến. Thay vì bêu xấu những người mắc lỗi, chúng ta cần cảm ơn những người đã làm như vậy và khuyến khích việc báo cáo lỗi. Chúng ta cần làm cho việc báo cáo lỗi trở nên dễ dàng hơn, với mục tiêu không phải là để trừng phạt mà là để xác định xem nó đã xảy ra như thế nào và thay đổi những thứ cần thiết để nó không xảy ra một lần nữa.

Trường hợp tham khảo: JIDOKA – Cách Toyota xử lý lỗi

Công ty sản xuất ô tô Toyota đã phát triển một quy trình sản xuất giảm thiểu lỗi cực kỳ hiệu quả, được biết đến rộng rãi với với cái tên Hệ thống Sản xuất Toyota. Trong số các nguyên tắc cơ bản của nó có một triết lý gọi là Jidoka, điều mà Toyota lý giải là “cách viết tắt từ cụm từ ‘được tự động hóa chỉ với một cái chạm nhẹ của con người’”. Nếu một công nhân phát hiện có điều gì đó bất thường, công nhân đó cần phải báo cáo, đôi khi thậm chí là dừng toàn bộ dây chuyền lắp đặt nếu một bộ phận có lỗi chuẩn bị được chuyển đến khâu tiếp theo. (Một sợi dây nhỏ, gọi là andon, sẽ dừng dây chuyền lắp đặt lại và báo động cho các chuyên gia.) Các chuyên gia sẽ tập trung tại khu vực xảy ra vấn đề để xác định nguyên nhân. “Tại sao điều này lại xảy ra?” “Tại sao lại như vậy?” “Tại sao đó lại là lý do?” Triết lý là đặt các câu hỏi “Tại sao?” nhiều lần hết mức cần thiết để xác định được nguyên nhân gốc rễ của vấn đề và sau đó khắc phục để nó không bao giờ xảy ra nữa.

Như bạn có thể hình dung, điều này có thể khá phiền toái với người tìm ra lỗi. Nhưng các báo cáo là điều được chờ đợi và khi người ta tìm ra các công nhân đã không thực hiện báo cáo lỗi, họ sẽ bị trừng phạt, tất cả là để nhằm khiến cho công nhân trở nên trung thực.

POKA-YOKE: Cơ chế chống lỗi

Poka-yoke là một phương pháp khác của người Nhật, được phát minh bởi Shigeo Shingo, một trong những kỹ sư Nhật Bản đóng vai trò quan trọng trong việc phát triển Hệ thống Sản xuất Toyota. Poka-yoke đươc dịch là “cơ chế chống lỗi” hoặc “tránh lỗi”. Một trong những kỹ thuật của Poka-yoke là thiết bị cố định, phụ kiện hoặc thiết bị di động để kết nối các hoạt động sao cho chúng được thực hiện đúng. Tôi đã thực nghiệm điều này ở nhà mình. Một ví dụ bình thường có thể kể đến là một thiết bị giúp tôi ghi nhớ cách để xoay chìa khóa với rất nhiều cánh cửa trong căn hộ mà tôi đang sống. Tôi dạo quanh một vòng với nhiều chấm nhỏ tròn, màu xanh, dính keo một mặt và dán chúng lên mỗi cánh cửa bên cạnh ổ khóa, với chấm xanh là để chỉ chiều mà chìa khóa cần được xoay theo – vậy là tôi đã đưa thêm công cụ chỉ dẫn vào các cánh cửa. Đây có phải là một lỗi lớn không? Không. Nhưng việc loại trừ nó hóa ra lại rất thoải mái. (Các nhà hàng xóm của tôi ca ngợi tính tiện dụng của nó, và tự hỏi ai đã làm như vậy.)

Trong các cơ sở sản xuất, Poka-yoke có thể là một mẩu gỗ để giúp treo một bộ phận đúng cách, hoặc là những tấm bảng với những lỗ bắt vít không đối xứng sao cho nó chỉ có thể vừa vào một vị trí duy nhất. Che chắn các công tắc khẩn cấp hoặc quan trọng bằng một lớp bọc ngoài cũng là một kỹ thuật Poka-yoke khác – đây hiển nhiên là chức năng bắt buộc. Tất cả các kỹ thuật Poka-yoke đều chứa đựng những nguyên tắc đã được thảo luận trong cuốn sách này – những tính năng tương tác, những công cụ chỉ dẫn, sơ đồ kết nối và giới hạn, và có lẽ quan trọng hơn tất cả, những chức năng bắt buộc.

Hệ thống báo cáo an toàn hàng không của Nasa

Ngành hàng không thương mại Mỹ từ lâu đã có một hệ thống vô cùng hiệu quả để khuyến khích các phi công báo cáo lỗi. Chương trình này đã khiến cho nhiều cải tiến trong việc nâng cao an toàn hàng không được tiến hành. Thiết lập nó ban đầu không hề dễ dàng, các phi công phải đối mặt với những áp lực xã hội khiến bản thân chống lại việc thừa nhận lỗi. Hơn nữa, họ sẽ báo cáo với ai đây? Tất nhiên là không phải với những ông chủ của họ. Thậm chí cũng không phải là Cơ quan Hàng không Liên bang (FAA), vì khi đó họ sẽ bị phạt. Giải pháp là để cho Cơ quan Quản trị Hàng không Không gian Quốc gia (NASA) thiết lập một hệ thống báo cáo tai nạn tự nguyện nơi các phi công có thể đưa ra các báo cáo lỗi một cách bán khuyết danh với các lỗi mà họ hoặc người khác gây ra (bán khuyết danh vì những phi công sẽ để lại tên và thông tin liên hệ trên báo cáo để NASA có thể liên hệ hỏi thêm thông tin). Một khi người của NASA đã thu thập được thông tin cần thiết, họ có thể gỡ bỏ phần thông tin liên hệ từ báo cáo và gửi báo cáo ngược lại cho phi công. Điều này có nghĩa là NASA không còn biết ai đã báo cáo lỗi, làm cho các hãng hàng không hoặc FAA (cơ quan sẽ áp đặt mức phạt lên các lỗi) cũng không thể tìm ra ai đã nộp báo cáo đó. Nếu như FAA phát hiện lỗi đó một cách độc lập và cố gắng áp đặt một lệnh phạt dân sự hoặc yêu cầu ngừng bay, việc nhận được báo cáo của bản thân mình sẽ tự động giúp các phi công thoát khỏi sự trừng phạt (đối với những vi phạm nhỏ).

Khi một số lượng đủ các lỗi tương tự nhau đã được thu thập, NASA sẽ phân tích chúng và đưa ra các báo cáo và khuyến nghị cho các hãng hàng không và FAA. Những báo cáo này cũng các phi công nhận thấy báo cáo lỗi của mình là công cụ có giá trị trong việc nâng cao tính an toàn. Tương tự như với danh sách kiểm tra, chúng ta cần một hệ thống tương tự trong lĩnh vực y tế, nhưng thiết lập nó không hề dễ dàng. NASA là một cơ quan trung lập, có trách nhiệm nâng cao an toàn hàng không, nhưng không có thẩm quyền giám sát, điều này giúp họ có được sự tin tưởng từ các phi công. Không có cơ quan nào tương tự như vậy trong ngành y tế. Các bác sĩ lo sợ rằng báo cáo tự viết ra như vậy có thể khiến họ mất giấy phép hành nghề hoặc dính vào những vụ kiện tụng. Nhưng chúng ta không thể giảm bớt các lỗi nếu chúng ta không biết lỗi đó là gì. Lĩnh vực y tế bắt đầu chứng kiến những bước tiến bộ, nhưng đó là một vấn đề khó khăn về kỹ thuật, chính trị, pháp luật và xã hội.

PHÁT HIỆN LỖI

Các lỗi có thể không dẫn tới hậu quả xấu nếu chúng được phát hiện một cách nhanh chóng. Những loại lỗi khác nhau cũng khác nhau về mức độ khó hay dễ phát hiện. Nói chung, các hành động sai phạm thường dễ bị phát hiện, còn các sai lầm thì khó hơn nhiều. Các hành động sai phạm tương đối dễ phát hiện vì thường sẽ dễ nhận ra sự khác biệt giữa hành động dự định tiến hành với hành động đã được thực hiện. Nhưng sự phát hiện này chỉ có thể xảy ra nếu có thông tin phản hồi. Nếu kết quả của hành động là không nhìn thấy được, làm sao có thể phát hiện được các lỗi?

Những sai phạm do nhầm lẫn thường khó phát hiện chính xác bởi không thể nhìn thấy điều gì. Với một sai phạm do nhầm lẫn, hành động cần thực hiện sẽ không được thực hiện. Khi không có hành động nào diễn ra, sẽ chẳng có gì để phát hiện cả. Chỉ khi việc hành động không được thực hiện khiến cho một sự kiện bất thường xảy ra thì chúng ta mới có hy vọng phát hiện được sai phạm do nhầm lẫn.

Các sai lầm thường khó phát hiện bởi rất hiếm khi có thứ gì đó có thể cho thấy một mục tiêu không phù hợp. Và một khi mục tiêu hoặc kế hoạch sai đã được thông qua, các hành động tiếp theo sẽ thống nhất với mục tiêu sai đó, do đó việc giám sát chặt chẽ các hành động không chỉ không thể phát hiện được mục tiêu sai mà ngược lại, vì các hành động đã được thực hiện chính xác, cung cấp một cách không chính xác sự tin tưởng vào quyết định lựa chọn mục tiêu ban đầu.

Nhận định sai lầm về một hình huống có thể khó phát hiện đến mức đáng ngạc nhiên. Bạn có thể cho rằng nếu việc nhận định là sai lầm, các hành động tiếp theo sẽ không hiệu quả, nên lỗi đó có thể được phát hiện một cách nhanh chóng. Nhưng nhận định sai lầm không phải do ngẫu nhiên. Thông thường chúng đều dựa trên hiểu biết và lô-gic nhất định. Nhận định sai thường vừa hợp lý vừa phù hợp trong việc giảm bớt những triệu chứng được phát hiện. Kết quả là, những hành động ban đầu có vẻ là phù hợp và hữu ích. Điều này khiến việc phát hiện vấn đề còn trở nên khó khăn hơn. Lỗi thực sự thậm chí không thể được phát hiện sau nhiều giờ hoặc nhiều ngày.

Các sai lầm do nhầm lẫn thường đặc biệt khó phát hiện. Tương tự như với trường hợp sai phạm do nhầm lẫn, việc thiếu vắng điều gì đó cần phải được thực hiện luôn khó phát hiện hơn so với việc có mặt của điều gì đó đáng ra không nên được thực hiện. Sự khác nhau giữa sai phạm và sai lầm do nhầm lẫn là, trong trường hợp sai phạm, chỉ có một thành phần trong kế hoạch là bị bỏ qua, trong khi đối với sai lầm, toàn bộ kế hoạch đã bị lãng quên. Trường hợp nào dễ phát hiện hơn. Tại thời điểm này, tôi phải quay trở về với câu trả lời mà khoa học thường đưa ra khi trả lời những câu hỏi dạng này, đó là “Còn tùy thực tế.”

Giải thích sai lầm

Để khám phá các sai lầm cần nhiều thời gian. Nghe thấy một âm thanh giống như tiếng súng và nghĩ: “Có lẽ là tiếng ống xả của một chiếc ô tô.” Nghe thấy ai đó kêu ở phía ngoài và nghĩ: “Tại sao hàng xóm của tôi không thể yên lặng một chút?” Chúng ta có đúng khi bỏ qua những vấn đề này không? Đa số là đúng, nhưng khi chúng ta sai thì những phán đoán của chúng ta khó có thể lý giải được.

Giải thích sai lầm là một vấn đề phổ biến trong các tai nạn dân sự. Phần lớn các tai nạn nghiêm trọng đều có các dấu hiệu báo trước như trục trặc thiết bị hay các sự kiện bất thường. Thông thường, sẽ có một loạt những hỏng hóc và lỗi nhìn qua tưởng như không liên quan đến nhau nhưng lại lên đến đỉnh điểm trong một thảm họa. Tại sao không có ai nhận ra? Bởi vì không có dấu hiện đơn lẻ nào cho thấy sự nguy hiểm cả. Thường là những người có liên quan nhận ra vấn đề nhưng bỏ qua nó, cố tìm ra một sự giải thích lô-gic cho kết quả quan sát mà họ nhìn thấy.

Sai lầm trên đường cao tốc

Tôi đã từng hiểu sai biển tín hiệu trên đường cao tốc, mà tôi chắc là phần lớn lái xe đều như vậy. Gia đình tôi đang đi từ San Diego tới Mammoth Lakes, California, một khu trượt tuyết nằm cách đó 400 dặm về hướng bắc. Khi chúng tôi đang trên xe, chúng tôi nhận thấy ngày càng có nhiều biển quảng cáo nhà nghỉ và sòng bạc tại Las Vegas, Nevada. “Lạ nhỉ,” chúng tôi nói, “Las Vegas thường đặt biển quảng cáo từ rất xa – thậm chị ở San Diego cũng có một tấm biển – nhưng ở đây thì có vẻ hơi quá, quảng cáo trên đường đến Mammoth.” Chúng tôi dừng lại đổ xăng và tiếp tục đi. Sau đó, khi chúng tôi cố gắng tìm một nơi để ăn tối thì chúng tôi mới nhận ra là mình đã bỏ qua một chỗ rẽ gần hai giờ trước, trước khi chúng tôi dừng lại đổ xăng và hiện tại chúng tôi quả thực đang trên đường đến Las Vegas, chứ không phải Mammoth. Chúng tôi đã phải chạy xe quay lại suốt hai giờ đồng hồ, mất tới bốn tiếng đồng hồ lái xe. Bây giờ thì chuyện đó có vẻ buồn cười; nhưng lúc đó thì không hề.

Khi mọi người tìm ra một sự giải thích cho một sự bất thường dễ nhận thấy, họ có xu hướng tin rằng họ đã có thể bỏ qua nó. Nhưng sự giải thích lại dựa trên việc mô phỏng lại những kinh nghiệm trong quá khứ, những kinh nghiệm có thể không áp dụng được với tình huống hiện tại. Trong câu chuyện trên, việc xuất hiện những biển quảng cáo cho Las Vegas phải được coi là tín hiệu cần lưu ý, nhưng nó lại dễ lý giải. Kinh nghiệm của chúng tôi tương đối điển hình, cũng như một số tai nạn nghiêm trọng trong ngành công nghiệp xuất phát từ những giải thích sai đối với các sự kiện bất thường. Nhưng hãy lưu ý: thường thì những biểu hiện bất thường nên được bỏ qua. Trong đa số trường hợp, lý giải về sự có mặt của chúng là đúng. Phân biệt giữa một sự việc bất thường thực sự với một sự việc có vẻ bất thường là một việc thực sự khó khăn.

Khi đánh giá lại, mọi thứ đều có vẻ lô-gic

Sự trái ngược trong hiểu biết của chúng ta trước và sau khi sự kiện xảy ra có thể rất đặc biệt. Nhà tâm lý học Baruch Fischhoff đã nghiên cứu những giải thích được đưa ra sau khi xảy ra sự việc, khi những sự kiện có vẻ hoàn toàn dễ hiểu và dễ đoán sau khi kết quả của nó đã xuất hiện nhưng trước đó lại hoàn toàn không thể đoán trước.

Fischhoff cho mọi người chứng kiến một số tình huống và yêu cầu họ dự đoán điều gì sẽ xảy ra và kết quả là họ chỉ đúng nhờ may rủi. Khi những người đang được điều tra không biết trước về kết quả, chỉ có một vài người dự đoán trước được điều đó. Sau đó ông lại cho một nhóm người khác chứng kiến tình huống và hậu quả đi kèm, yêu cầu họ đánh giá khả năng xảy ra của các kết quả: khi kết quả thực tế đã được biết tới, thì có vẻ như kết quả đó là khả dĩ và có thể xảy ra nhiều nhất, còn các kết quả khác đều có vẻ như không thể.

Việc đánh giá lại khiến cho các sự kiện có vẻ dễ hiểu và dễ đoán, nhưng việc dự báo trước lại rất khó khăn. Trong quá trình xảy ra một tai nạn, sẽ không bao giờ có một chỉ dấu nào đủ rõ ràng. Nhiều thứ xảy ra đồng thời: công việc nặng nhọc, mức độ cảm xúc và áp lực ở mức cao. Nhiều thứ đã diễn ra hóa ra lại không phù hợp. Những thứ có vẻ không phù hợp hóa ra lại quan trọng. Các nhà điều tra tai nạn làm việc bằng cách đánh giá lại sự việc, biết trước điều gì đã thực sự xảy ra, sẽ tập trung vào những thông tin cần thiết và bỏ qua những thông tin không cần thiết. Nhưng tại thời điểm sự việc xảy ra, những người vận hành không có điều gì cho phép họ phân biệt được các thông tin đó.

Đó là lý do vì sao những phân tích tai nạn thấu đáo nhất cần nhiều thời gian để thực hiện. Những nhà điều tra phải đặt mình vào vị trí của những người có liên quan và xem xét mọi thông tin, mọi kỹ năng đã được đào tạo, và những gì mà những sự kiện tương tự trước đây đã dạy cho người vận hành. Do đó, khi có một tai nạn xảy ra, hãy bỏ qua báo cáo ban đầu từ những nhà báo, các chính trị gia và những quản lý cao cấp, những người không có trong tay những thông tin quan trọng nhưng lại có cảm giác bị buộc phải đưa ra các tuyên bố. Hãy đợi cho đến khi có những báo cáo từ những nguồn đáng tin cậy. Không may thay, điều này chỉ có được nhiều tháng hay nhiều năm sau vụ tai nạn, và công chúng thường muốn có câu trả lời ngay lập tức, ngay cả khi câu trả lời đó là sai. Hơn nữa, khi toàn bộ câu chuyện đã được khám phá, các tờ báo sẽ không còn coi đó là tin tức, nên họ sẽ không đăng tin về nó. Bạn sẽ cần phải tự mình tìm kiếm các báo cáo. Tại Mỹ, Ủy ban An toàn Giao thông Quốc gia (NTSB) có thể tin tưởng được. NTSB tiến hành các cuộc điều tra tỉ mỉ đối với tất cả các tai nạn đường ống dẫn, thuyền, tàu hỏa, xe tải và ô tô, hàng không lớn. (Đường ống dẫn ư? Đúng thế, các đường ống vận chuyển than đá, khí gas và dầu.)

THIẾT KẾ CHO TÌNH HUỐNG PHÁT SINH LỖI

Thường là khá dễ dàng để thiết kế một tình huống trong đó mọi thứ đều hoạt động trơn tru, khi mà mọi người sử dụng thiết bị theo cách định trước, và không có sự kiện bất thường nào xảy ra. Phần thách thức nằm ở chỗ thiết kế cho trường hợp mọi thứ gặp trục trặc.

Hãy xem xét một đoạn hội thoại giữa hai người. Có lỗi nảy sinh không? Có, nhưng chúng không bị xem là lỗi. Nếu một người nói điều gì đó không thể hiểu được, chúng ta sẽ yêu cầu giải thích làm rõ. Nếu một người nói điều gì đó mà chúng ta tin là sai, chúng ta sẽ đặt câu hỏi và tranh luận. Chúng ta không đưa ra tín hiệu cảnh báo. Chúng ta không phát tiếng bíp. Chúng ta không đưa ra thông báo lỗi. Chúng ta yêu cầu có thêm thông tin và tham gia vào cuộc đối thoại để đạt tới hiểu biết chung. Trong các cuộc đối thoại thông thường giữa hai người bạn, những lời nói không chính xác sẽ được coi là bình thường, giống như những gì gần đúng với điều mà chúng thực sự truyền tải. Những lỗi ngữ pháp sẽ được tự mình chỉnh sửa, và những câu nói được bắt đầu lại sẽ được bỏ qua. Trên thực tế, chúng thậm chí còn không được phát hiện bởi chúng ta tập trung vào những ý nghĩa mà chúng ta cần, không phải vào các yếu tố hình thức bên ngoài.

Máy móc không đủ thông minh để xác định ý nghĩa trong các hành động của chúng ta, nhưng ngay cả trong trường hợp đó, chúng cũng kém thông minh hơn nhiều so với mức mà chúng có thể đạt tới. Với các sản phẩm của chúng ta, nếu chúng ta làm điều gì đó không phù hợp, nếu hành động khớp với định dạng phù hợp cho một mệnh lệnh, sản phẩm sẽ làm như vậy, ngay cả khi điều đó cực kỳ nguy hiểm. Điều này đã dẫn tới những tai nạn khủng khiếp, đặc biệt là trong lĩnh vực chăm sóc sức khỏe, nơi thiết kế không phù hợp của những máy bơm tiêm và X-quang cho phép thực hiện đưa những liều lượng dược chất hoặc phóng xạ quá mức vào cơ thể bệnh nhân, dẫn tới sự tử vong của họ. Trong các định chế tài chính, những lỗi bàn phím đơn giản có thể dẫn tới những giao dịch tài chính khổng lồ, vượt xa so với các giới hạn thông thường. Ngay cả việc kiểm tra thông thường nhờ tính hợp lý cũng có thể ngăn chặn tất cả những lỗi này. (Điều này được thảo luận ở cuối chương trong phần “Kiểm tra tri giác”.)

Nhiều hệ thống làm phát sinh vấn đề bằng cách khiến nó dễ mắc lỗi nhưng khó hoặc không thể tìm ra lỗi hoặc sửa chữa các lỗi đó. Không nên để cho một lỗi đơn giản có thể gây ra những thiệt hại ở quy mô lớn. Dưới đây là những điều nên làm:

Hiểu rõ các nguyên nhân gây ra lỗi và thiết kế để giảm thiểu các nguyên nhân đó.

Thực hiện các cuộc kiểm tra tri giác. Hành động đó liệu có qua được bài kiểm tra về “ý nghĩa thông thường” không?

Khiến cho việc đảo ngược hành động là có thể thực hiện được hoặc khiến cho những hành động không thể đảo ngược trở nên khó thực hiện hơn.

Khiến cho con người dễ khám phá ra lỗi xảy ra và dễ khắc phục những lỗi đó.

Đừng coi hành động là một lỗi; thay vào đó, cố gắng giúp cá nhân thực hiện hành động đó hoàn thành nó một cách chính xác. Hãy nghĩ đến hành động như là điều gần đúng với những gì cần phải làm.

Như đã thảo luận trong chương này, chúng ta đã biết thêm nhiều điều về lỗi. Theo đó, những người mới học việc nhiều khả năng mắc sai lầm hơn là sai phạm, trong khi những chuyên gia lại có khả năng mắc sai phạm nhiều hơn. Sai lầm thường xuất phát từ thông tin mơ hồ hoặc không rõ ràng về tình trạng hiện tại của một hệ thống, thiếu một mô hình khái niệm tốt và các quy trình không phù hợp. Hãy nhớ lại là phần lớn sai lầm xuất phát từ lựa chọn sai mục tiêu hoặc kế hoạch hoặc đánh giá và diễn giải sai. Tất cả những điều này lại đến từ việc thiếu thông tin do hệ thống cung cấp về việc lựa chọn các mục tiêu và phương tiện để hoàn thành chúng (các kế hoạch) và thông tin phản hồi sơ sài về những gì thực sự xảy ra.

Một nguyên nhân chính dẫn tới lỗi, đặc biệt là các lỗi do nhầm lẫn, là sự ngắt quãng. Khi một hành động bị ngắt quãng bởi một vài sự kiện khác, chi phí đối với sự ngắt quãng lớn hơn nhiều so với việc mất thời gian để xử lý sự ngắt quãng đó, nó đồng thời là chi phí cho việc nối lại hành động vừa bị ngắt quãng. Để nối lại, cần phải ghi nhớ chính xác trạng thái trước đây của hành động như mục tiêu là gì, người thực hiện đang ở đâu trong chu kỳ hành động, và tình trạng tương ứng của hệ thống. Việc nối lại hoạt động sau khi bị ngắt quãng là khó khăn đối với phần lớn các hệ thống. Phần lớn các thông tin quan trọng mà người sử dụng cần để ghi nhớ hàng loạt quyết định nhỏ trước đó, những thứ không nằm trong trí nhớ ngắn hạn của người sử dụng, đều không thể nói gì về tình trạng hiện thời của hệ thống. Còn cần phải làm những gì nữa? Có thể tôi đã xong việc rồi chăng? Không có gì là lạ khi nhiều sai phạm và sai lầm đều xuất phát từ sự ngắt quãng.

Đa nhiệm vụ, tình trạng mà chúng ta tự nguyện làm vài công việc cùng một lúc, được nhiều người hiểu sai là một cách làm hiệu quả để thực hiện nhiều công việc. Nó được những cô cậu choai choai và những công nhân bận rộn đón nhận, nhưng trên thực tế, tất cả các bằng chứng đều chứng tỏ sự giảm sút nghiêm trọng với hiệu quả làm việc, tăng số lỗi, và thường là sự kém cỏi cả về chất lượng lẫn hiệu quả. Làm hai công việc cùng lúc sẽ mất nhiều thời gian hơn tổng thời gian nếu làm hai công việc ấy một cách riêng rẽ. Ngay cả một việc đơn giản và phổ biến như vừa nghe điện thoại bằng tai nghe vừa lái xe cũng có thể làm giảm sút nghiêm trọng kỹ năng lái xe của chúng ta. Một nghiên cứu thậm chí còn chỉ ra rằng việc sử dụng điện thoại di động khi đang đi bộ dẫn tới những vấn đề nghiêm trọng: “Những người sử dụng điện thoại di động đi chậm hơn, thay đổi hướng đi thường xuyên hơn, và ít có khả năng nhận ra những người khác hơn so với những người không trong tình trạng sử dụng điện thoại. Trong nghiên cứu thứ hai, chúng tôi thấy rằng những người sử dụng điện thoại di động ít có khả năng nhận ra một hành động bất thường trong quá trình đi bộ của họ (ví dụ như một chú hề trên xe đạp một bánh).” (Hyman, Boss, Wise, McKenzie, & Caggiano, 2010).

Một tỷ lệ lớn các lỗi y tế xuất phát từ sự ngắt quãng. Trong ngành hàng không, nơi những sự ngắt quãng bị coi là vấn đề lớn trong các giai đoạn quan trọng của hành trình bay – cất cánh và hạ cánh – Cơ quan Hàng không Quốc gia Mỹ (FAA) yêu cầu điều được gọi là một “Mô hình Buồng lái Khô khan”, trong đó các phi công không được phép thảo luận bất cứ vấn đề gì không trực tiếp liên quan đến việc điều khiển máy bay trong những giai đoạn quan trọng này. Thêm vào đó, thành viên phi hành đoàn không được phép nói chuyện với phi công trong những giai đoạn này (điều này nhiều khi lại dẫn tới lỗi ngược lại là không thể thông báo cho phi công về tình trạng khẩn cấp).

Thiết lập các giai đoạn khô khan tương tự có thể sẽ mang lại nhiều lợi ích cho nhiều ngành nghề khác, bao gồm y tế và những hoạt động đòi hỏi mức an toàn cao. Vợ tôi và tôi tuân theo quy tắc này khi lái xe: khi người lái xe đang đi vào hoặc rời khỏi đường cao tốc, việc nói chuyện sẽ tạm ngừng cho đến khi việc chuyển làn đã hoàn thành. Sự ngắt quãng và phân tâm sẽ dẫn tới lỗi, cả sai phạm lẫn sai lầm.

Các tín hiệu cảnh báo thường không phải là câu trả lời. Hãy xem xét phòng điều khiển của một nhà máy điện hạt nhân, buồng lái của một chiếc máy bay thương mại, hoặc phòng mổ của một bệnh viện. Mỗi thứ trong số chúng đều có một số lượng lớn thiết bị, đồng hồ đo và nút điều khiển, tất cả đều có tín hiệu có vẻ nghe giống nhau vì chúng đều sử dụng máy tạo âm đơn giản để phát ra cảnh báo của chúng. Không có sự phối hợp giữa các thiết bị này, nghĩa là trong các trường hợp khẩn cấp nghiêm trọng, tất cả chúng đều kêu cùng lúc. Đa số đều có thể được bỏ qua bởi chúng thông báo cho người vận hành về một điều đã được biết. Các thiết bị đều cạnh tranh với nhau để được lắng nghe, xen ngang vào những nỗ lực để xác định vấn đề.

Những tiếng chuông khó chịu, không cần thiết xảy ra trong nhiều tình huống. Làm thế nào để mọi người đối phó với vấn đề này? Bằng cách ngắt kết nối của các tín hiệu cảnh báo, dán băng dính đè lên những đèn cảnh báo (hoặc tháo bỏ bóng đèn), làm cho các chuông mất tiếng, và về cơ bản là xóa bỏ tất cả những cảnh báo an toàn. Vấn đề xuất hiện sau khi những cảnh báo đó đã bị vô hiệu hóa, hoặc là do mọi người quên khôi phục lại hệ thống cảnh báo (lại là những sai phạm do nhầm lẫn), hoặc nếu một sự việc khác xảy ra trong khi hệ thống cảnh báo đã bị ngắt. Tại thời điểm đó, không ai nhận ra. Việc cảnh báo và những phương pháp an toàn phải được sử dụng một cách thận trọng và thông minh, sau khi tính đến những thiệt hại mà những người chịu ảnh hưởng có thể phải đánh đổi.

Thiết kế của những tín hiệu cảnh báo phức tạp một cách đáng ngạc nhiên. Chúng cần phải có âm thanh đủ lớn hoặc đủ sáng để có thể được nhận thấy, nhưng không quá ồn hoặc quá sáng để trở thành nguyên nhân làm phân tâm gây khó chịu. Tín hiệu cần phải vừa thu hút sự chú ý (đóng vai trò là công cụ chỉ dẫn những thông tin quan trọng) và đồng thời cung cấp những thông tin về bản chất của sự kiện đang được chỉ dẫn. Nhiều thiết bị cần có phản hồi liên hoàn, điều đó có nghĩa là cần có tiêu chuẩn quốc tế và sự hợp tác giữa nhiều nhóm thiết kế từ nhiều công ty và thường đây là những đối thủ cạnh tranh của nhau. Mặc dù đã có nhiều nghiên cứu được thực hiện về vấn đề này, bao gồm sự phát triển các tiêu chuẩn quốc gia về hệ thống quản lý báo động, vấn đề này vẫn tồn tại trong nhiều tình huống khác nhau.

Ngày càng có nhiều máy móc của chúng ta cung cấp thông tin thông qua lời nói. Nhưng giống như tất cả các phương pháp khác, nó cũng có cả điểm mạnh và điểm yếu. Nó cho phép truyền đạt những thông tin chính xác, đặc biệt là khi sự chú ý thị giác của người ở đó đang bị hướng đến nơi khác. Nhưng nếu nhiều câu cảnh báo được đưa ra cùng lúc, hoặc nếu môi trường xung quanh ồn ào, thì những câu cảnh báo có thể không được hiểu đúng. Còn nếu cuộc hội thoại giữa những người sử dụng hoặc người vận hành là cần thiết, thì những câu cảnh báo lại là thứ làm ngắt quãng. Cảnh báo bằng lời nói có thể hiệu quả, những chỉ khi nó được sử dụng một cách thông minh.

Những bài học về thiết kế rút ra từ việc nghiên cứu lỗi

Có thể rút ra nhiều bài học từ việc nghiên cứu lỗi, trước hết là việc ngăn ngừa các lỗi trước khi chúng xảy ra và sau đó là để phát hiện và khắc phục chúng khi chúng đã xảy ra. Nói chung, các giải pháp đều tuân theo các phân tích phía trên.

Thêm vào các giới hạn để ngăn chặn lỗi

Việc ngăn ngừa thường bao gồm đưa thêm những giới hạn đặc biệt cho các hành động. Trên thực tế, điều này có thể thực hiện thông qua việc sử dụng thông minh hình khối và kích thước. Ví dụ, trong các ô tô, nhiều loại chất lỏng khác nhau cần được sử dụng cho quá trình hoạt động và bảo dưỡng xe an toàn như dầu động cơ, dầu hộp số, chất lỏng làm mát phanh, nước rửa kính chắn gió, chất lỏng làm mát ở bộ tản nhiệt, nước cho ắc quy và xăng. Cho chất lỏng sai vào một bình chứa có thể gây ra những hỏng hóc nghiêm trọng hay thậm chí là một tai nạn. Các nhà sản xuất ô tô cố gắng giảm thiểu tình trạng này bằng cách tách riêng các vị trí đổ chất lỏng, thông qua đó giảm bớt lỗi do tính chất tương đồng. Khi những vị trí đổ dành cho các chất lỏng ít khi được sử dụng hay chỉ được sử dụng bởi những thợ máy có tay nghề sẽ được đặt tách biệt với những vị trí dành cho các chất lỏng được sử dụng thường xuyên hơn, như vậy những người lái xe bình thường có xu hướng ít sử dụng sai điểm đổ chất lỏng hơn. Lỗi đổ nhầm chất lỏng vào bình chứa có thể được giảm thiểu bằng cách khiến cho nắp đậy của chúng có hình dạng và kích thước khác nhau, cung cấp những giới hạn vật lý chống lại việc đổ nhầm. Những chất lỏng khác nhau thường có màu khác nhau nên chúng có thể được phân biệt với nhau. Tất cả những điều này là những cách rất tốt để hạn chế lỗi. Những kỹ thuật tương tự cũng được sử dụng rộng rãi trong y tế và công nghiệp. Tất cả chúng là những ứng dụng thông minh của các giới hạn, chức năng bắt buộc và Poka-yoke.

Những hệ thống điện tử có nhiều phương pháp để có thể sử dụng nhằm làm giảm lỗi. Một trong số đó là tách biệt các chức năng điều khiển, trong đó những nút điều khiển dễ gây nhầm lẫn sẽ được tách ra xa những nút khác. Một phương pháp khác là sử dụng module riêng biệt, để chức năng điều khiển nào không trực tiếp liên quan đến hoạt động hiện tại sẽ không hiển thị lên màn hình, mà đòi hỏi có những thao tác thêm để tìm ra.

Đảo ngược

Có lẽ một trong những công cụ hữu dụng nhất để giảm thiểu tác động của lỗi là lệnh Đảo ngược trong nhiều hệ thống điện tử hiện đại, đảo ngược các quá trình vừa được thực hiện bởi lệnh trước đó, bất cứ khi nào có thể. Các hệ thống tốt có nhiều cấp độ đảo ngược khác nhau, nên có thể đảo ngược toàn bộ một chuỗi các hành động.

Hiển nhiên, việc đảo ngược không phải lúc nào cũng là có thể. Đôi khi, nó chỉ có hiệu quả nếu được thực hiện ngay sau hành động trước đó. Tuy nhiên, nó vẫn là một công cụ hữu ích để giảm thiểu tác động của lỗi. Thật là một điều đáng ngạc nhiên với tôi khi nhiều thiết bị điện tử và hoạt động dựa trên máy tính lại không thể cung cấp phương tiện để thực hiện quá trình đảo ngược ngay cả khi điều đó là khả thi và cần thiết.

Xác nhận và thông báo lỗi

Nhiều hệ thống cố gắng ngăn ngừa lỗi bằng cách yêu cầu sự xác nhận trước khi một lệnh nào đó được thực hiện, đặc biệt là khi lệnh đó sẽ tiêu hủy một số thứ có giá trị quan trọng. Nhưng những yêu cầu kiểu này thường chỉ làm tốn thời gian bởi sau khi yêu cầu một thao tác, mọi người thường chắc chắn là họ muốn làm điều đó. Dưới đây là một câu chuyện vui phổ biến về những cảnh báo như thế:

Người dùng: Xóa “những dữ liệu quan trọng nhất của tôi”.

Hệ thống: Bạn có muốn xóa “những dữ liệu quan trọng nhất của tôi”?

Người dùng: Có

Hệ thống: Bạn chắc không?

Người dùng: Có!

Hệ thống: “Những dữ liệu quan trọng của tôi” đã bị xóa.

Người dùng: Ôi, chết tiệt.

Yêu cầu xác nhận giống như một sự kích thích hơn là một yêu cầu kiểm tra an toàn cần thiết bởi người dùng có xu hướng tập trung vào hành động hơn là đối tượng mà hành động hướng đến. Một yêu cầu kiểm tra hợp lý hơn sẽ là một màn hình hiển thị nổi bật với cả hành động sẽ diễn ra và đối tượng của hành động đó, có thể với lựa chọn “hủy bỏ” hoặc “hãy thực hiện”. Điều quan trọng là làm cho tác động của hành động trở nên nổi bật. Tất nhiên, vì những lỗi kiểu này mà lệnh Đảo ngược càng trở nên quan trọng. Với những người sử dụng máy tính thì không chỉ có lệnh Đảo ngược tiêu chuẩn, mà khi các dữ liệu đã “bị xóa”, chúng chỉ đơn giản là bị chuyển từ trong ổ cứng và đưa vào lưu trong phần lưu trữ mang tên “Thùng rác” (Trash), nên trong ví dụ nói trên, người dùng chỉ việc mở Thùng rác và khôi phục lại những dữ liệu bị xóa nhầm.

Xác nhận có ý nghĩa khác nhau đối với sai phạm và sai lầm. Khi tôi viết sách, tôi sử dụng hai màn hình rất lớn và một máy tính có cấu hình mạnh. Tôi thường có bảy hay mười ứng dụng chạy cùng lúc. Đôi khi, tôi thường mở đến 40 cửa sổ. Giả sử tôi sử dụng lệnh đóng một trong các cửa sổ đó, điều này sẽ khiến bật ra một thông báo xác nhận: tôi có muốn đóng cửa sổ đó không? Tôi xử lý điều này như thế nào phụ thuộc vào việc tại sao tôi muốn đóng cửa sổ đó. Nếu đó là một sai phạm, sự xác nhận đó sẽ là hữu ích. Nếu đó là một sai lầm, tôi sẽ bỏ qua thông báo. Hãy xem xét những ví dụ sau:

Một sai phạm dẫn tới việc tôi đóng nhầm cửa sổ.

Giả sử tôi đang định đánh chữ Chúng tôi (We), nhưng thay vì bấm phím Shift + W cho chữ cái đầu tiên, tôi đánh nhầm hoặc Control + W, lệnh để đóng cửa sổ. Bởi vì tôi mong muốn màn hình hiển thị một chữ W hoa, nên khi một hộp thoại xuất hiện, hỏi tôi có thực sự muốn xóa bỏ dữ liệu này hay không, tôi sẽ cảm thấy ngạc nhiên, điều này sẽ ngay lập tức cảnh báo tôi về một sai phạm. Tôi sẽ hủy bỏ hành động (một hành động thay thế được cung cấp một cách thông minh bởi hộp thoại) và đánh lại Shift + W, lần này sẽ cẩn thận hơn.

Một sai lầm dẫn tới việc tôi đóng nhầm cửa sổ.

Bây giờ giả sử tôi thực sự muốn đóng một cửa sổ. Tôi thường sử dụng một file tạm thời trong một cửa sổ để ghi lại những lưu ý về chương mà tôi đang viết. Khi tôi đã xong việc, tôi sẽ đóng nó lại mà không lưu lại nội dung của nó – nói cho cùng, thì tôi cũng đã xong việc rồi. Nhưng do tôi thường xuyên mở nhiều cửa sổ, tôi rất dễ đóng nhầm cửa sổ. Máy tính giả định rằng tất cả lệnh áp dụng với cửa sổ hiện tại – cửa sổ mà hành động cuối cùng diễn ra tại đó (và bao gồm nội dung bản ghi lưu ý của tôi). Nhưng nếu tôi xem lại cửa sổ tạm thời trước khi đóng nó lại, chú ý thị giác của tôi sẽ tập trung vào cửa sổ đó, và khi tôi quyết định đóng nó, tôi quên mất rằng nó không phải là cửa sổ hiện tại theo quan điểm của máy tính. Do đó, tôi đưa ra lệnh đóng cửa sổ, máy tính sẽ cho tôi thấy một hộp thoại, hỏi về sự xác nhận, và tôi chấp nhận nó, lựa chọn việc không lưu lại công việc của mình. Bởi vì hộp thoại xuất hiện là điều đã biết trước, tôi thậm chí còn không buồn nhìn nó. Kết quả là, tôi đóng nhầm cửa sổ và tệ hơn, không lưu lại bất kỳ quá trình đánh máy nào trước đó và tôi có thể mất đi một phần đáng kể kết quả công việc của mình. Những hộp thoại cảnh báo không hiệu quả một cách đáng ngạc nhiên đối với các sai lầm (thậm chí cả những yêu cầu dễ chịu, như thể hiện tại Chương 4, Hình 4.6).

Đó là một sai lầm hay sai phạm? Cả hai. Đưa ra lệnh “Đóng” trong khi đang mở nhầm cửa sổ là một sai phạm do nhầm lẫn. Nhưng quyết định không đọc hộp thoại và chấp nhận nó mà không lưu lại nội dung là một sai lầm (trên thực tế, là hai sai lầm).

Một nhà thiết kế có thể làm gì ở đây? Một số thứ như:

Khiến cho đối tượng của hành động trở nên nổi bật hơn. Nghĩa là thay đổi biểu hiện bên ngoài của đối tượng sẽ bị tác động để nó trở nên dễ thấy hơn bằng cách phóng to nó, hoặc có thể thay đổi màu sắc của nó.

Làm cho quá trình có thể đảo ngược được. Nếu người dùng lưu lại nội dung, sẽ không có gì khó chịu được thực hiện ngoại trừ việc phải mở lại file. Nếu người dùng lựa chọn Không lưu lại, hệ thống có thể bí mật lưu lại nội dung và lần tới khi người dùng mở file ra, nó có thể hỏi liệu có cần khôi phục lại file đó ở tình trạng mới nhất hay không.

Kiểm tra tri giác

Các hệ thống điện tử có một ưu điểm so với các hệ thống cơ khí là chúng có thể kiểm tra để bảo đảm rằng hoạt động được yêu cầu là có ý thức.

Thật đáng ngạc nhiên là ngày nay, nhiều nhân viên y tế có thể yêu cầu nhầm một liều bức xạ cao gấp hàng nghìn lần mức thông thường và buộc thiết bị phải thực hiện vô điều kiện. Trong một số trường hợp, thậm chí người vận hành còn không thể nhận ra lỗi.

Tương tự như vậy, lỗi trong việc thông báo số tiền có thể dẫn tới những hậu quả nghiêm trọng, mặc dù chỉ một cái nhìn lướt qua số tiền cũng có thể chỉ ra có điều gì đó không ổn. Ví dụ, tỷ giá đồng won Hàn Quốc so với đô-la Mỹ là 1.000. Giả sử tôi muốn chuyển 1.000 đô-la vào một tài khoản ở Hàn Quốc và chuyển sang đồng won (1.000 đô-la tương đương 1.000.000 won). Tôi nhập số tiền won Hàn Quốc vào ô điền số tiền bằng đô-la. Như vậy nghĩa là tôi đang cố chuyển đi 1 triệu đô-la. Các hệ thống thông minh có thể lưu ý tới quy mô bình thường trong các giao dịch của tôi, đặt câu hỏi nếu số tiền lớn hơn đáng kể so với quy mô bình thường. Những hệ thống kém thông minh hơn sẽ tuân theo chỉ dẫn một cách mù quáng, mặc dù tôi không có một triệu đô-la trong tài khoản (trên thực tế, tôi có thể bị tính phí thấu chi trên tài khoản của tôi).

Tất nhiên, kiểm tra tri giác là câu trả lời cho những lỗi nghiêm trọng gây ra bởi những giá trị không phù hợp được nhập vào trong điều trị y tế và các hệ thống X-quang hay trong các giao dịch tài chính, như đã được thảo luận phía trên.

Hạn chế các sai phạm

Các sai phạm thường xảy ra nhất là khi tư duy có ý thức đang bị phân tâm, hoặc là bởi những sự kiện khác hoặc là đơn giản là vì hành động đang được thực hiện đã quá quen thuộc đến mức nó có thể được thực hiện tự động, không cần sự chú ý có ý thức. Kết quả là, người đó sẽ không tập trung chú ý ở mức cần thiết vào hành động hoặc các hậu quả của nó. Do đó, một trong nững cách để giảm thiểu những sai phạm là bảo đảm rằng người thực hiện sẽ luôn luôn tập trung chú ý đầy đủ, có ý thức vào hành động đang được thực hiện.

Đó là ý kiến không thực sự hợp lý. Những hành động thuần thục thường là không có ý thức, điều đó có nghĩa là nó thường nhanh chóng, không tốn công và chính xác. Bởi vì nó là tự động, nên chúng ta có thể đánh máy một cách nhanh chóng ngay cả khi tư duy có ý thức đang bận tìm từ. Đây cũng là lý do vì sao chúng ta có thể vừa đi vừa nói chuyện mà vẫn tránh được các phương tiện khác và chướng ngại vật. Nếu chúng ta phải chú ý một cách có ý thức vào mọi thứ nhỏ nhặt mà chúng ta làm, chúng ta sẽ hoàn thành chúng lâu hơn nhiều. Cấu trúc xử lý thông của bộ não tự động tính toán mức chú ý có ý thức cần được tập trung cho một công việc, ví dụ những cuộc hội thoại tự động tạm dừng khi đang băng qua đường trong tình trạng giao thông đông đúc. Tuy nhiên, cũng đừng nên dựa nhiều vào điều đó, nếu bạn đang quá tập trung vào một việc khác, thực tế là việc giao thông đang trở nên nguy hiểm sẽ không được chú ý.

Nhiều sai phạm có thể được giảm thiểu bằng cách đảm bảo rằng các hành động và việc điều khiển chúng càng khác nhau càng tốt, hoặc ít nhất, càng khác nhau về mặt vật lý càng tốt. Các lỗi do lựa chọn chế độ có thể được giảm bớt bằng mẹo đơn giản là giảm bớt số lượng chế độ, nếu điều này là không khả thi, thì có thể thực hiện bằng cách làm cho các chế độ dễ thấy và khác biệt nhau.

Cách tốt nhất để hạn chế các sai phạm là cung cấp các thông tin phản hồi có thể hiểu được về bản chất của hành động đang được thực hiện, sau đó là thông tin phản hồi rất dễ hiểu mô tả trạng thái mới được tạo thành, cùng với một cơ chế cho phép có thể đảo ngược hành động lỗi, ví dụ, việc sử dụng những loại máy móc có thể đọc được đã giúp giảm đáng kể việc phát nhầm thuốc cho bệnh nhân. Đơn thuốc được gửi tới nhà thuốc dưới dạng mã điện tử, nên dược sỹ có thể scan cả đơn thuốc và phương thức sử dụng đi kèm để đảm bảo chúng là một. Sau đó, đội ngũ y tá tại bệnh viện sẽ scan cả nhãn thuốc và số hiệu đeo tại cổ tay của bệnh nhân, để bảo đảm thuốc sẽ được phát cho đúng người. Hơn nữa, hệ thống máy tính còn có thể lưu ý nhiều lần đối với quản trị hệ thống về các đơn thuốc giống nhau. Việc scan như vậy có làm tăng khối lượng công việc, nhưng không nhiều. Những loại lỗi khác vẫn có khả năng xảy ra, nhưng những bước đơn giản như vậy đã được chứng minh là xứng đáng với công sức bỏ ra.

Việc thiết kế nói chung và thực tế công việc thiết kế cho thấy cho vẻ như chúng gây ra các sai phạm một cách có chủ đích. Hàng dãy những cần điều khiển hoặc đồng hồ đo giống nhau sẽ chắc chắn gây ra những lỗi do tính chất tương đồng. Những chế độ bên trong không được đánh dấu một cách dễ thấy là một nhân tố rõ ràng gây ra lỗi do lựa chọn chế độ. Các tình huống với nhiều sự ngắt quãng, trong khi thiết kế lại giả định là sự tập trung không bị ngắt quãng, là một tác nhân dẫn tới sự nhầm lẫn – và ngày nay gần như không có thiết bị nào được thiết kế để hỗ trợ việc bị ngắt quãng nhiều lần mà nhiều tình huống gặp phải. Việc không đưa ra hỗ trợ và những công cụ nhắc nhở dễ nhìn thấy cho việc thực hiện những quy trình ít gặp nhưng lại tương tự với những quy trình thường gặp hơn nhiều sẽ dẫn tới lỗi do quán tính, khi mà những hành động được thực hiện thường xuyên hơn sẽ được tiến hành thay vì hành động đúng trong tình huống đó. Các quy trình nên được thiết kế để các bước ban đầu càng khác nhau càng tốt.

Thông điệp quan trọng ở đây là thiết kế tốt có thể ngăn ngừa sai phạm và sai lầm. Thiết kế có thể cứu được tính mạng con người.

Mô hình pho mát Thụy Sỹ về việc các lỗi dẫn tới tai nạn như thế nào?

May mắn thay, phần lớn các lỗi không dẫn tới tai nạn. Các tai nạn thường do nhiều nguyên nhân khác nhau cộng lại, không có nguyên nhân đơn lẻ nào là gốc rễ của tại nạn.

James Reason thường thích lý giải điều này bằng cách viện dẫn phép ẩn dụ về nhiều lát pho mát Thụy Sỹ, loại pho mát nổi tiếng với rất nhiều lỗ nhỏ (Hình 5.3). Mỗi lát pho mát thể hiện một điều kiện trong công việc đang được tiến hành, một tai nạn chỉ có thể xảy ra nếu các lỗ trong tất cả bốn lát pho mát đều thẳng hàng nhau. Trong các hệ thống được thiết kế tốt, có thể có nhiều hỏng hóc thiết bị, nhiều lỗi, nhưng chúng không dẫn tới tai nạn trừ khi tất cả chúng khớp thẳng với nhau. Bất cứ sự rò rỉ nào sẽ gần như bị chặn lại ở bước tiếp theo. Những hệ thống được thiết kế tốt có thể chịu đựng được hỏng hóc. Điều này lý giải vì sao nỗ lực để tìm ra “nguyên nhân chính xác” của một tai nạn thường thất bại. Các nhà điều tra tai nạn, báo chí, quan chức chính phủ, và mọi người thích tìm ra những giải thích đơn giản cho nguyên nhân của một tai nạn. “Hãy xem, nếu lỗ ở lát cắt A cao hơn một chút, chúng ta đã không gặp phải tai nạn. Do đó hãy vứt bỏ lát A đi và thay thế nó.” Tất nhiên, ta cũng có thể nói thế với lát B, C và D (và trong các tai nạn thực tế, số lượng lát pho mát đôi khi có thể lên tới hàng chục hoặc hàng trăm). Tương đối dễ dàng để tìm ra một vài hành động hoặc quyết định mà nếu nó khác đi, đã có thể ngăn chặn được tai nạn. Nhưng điều đó không có nghĩa rằng nó là nguyên nhân duy nhất gây ra tai nạn. Nó chỉ là một trong nhiều nguyên nhân – tất cả các yếu tố phải khớp với nhau.

HÌNH 5.3. Mô hình Pho mát Thụy Sỹ về các tai nạn của Reason. Các tai nạn thường do nhiều nguyên nhân, trong đó nếu một trong số chúng không xảy ra thì tai nạn cũng đã không xảy ra. Nhà nghiên cứu tai nạn người Anh James Reason mô tả điều này thông qua phép ẩn dụ về những lát pho mát Thụy Sỹ. Chỉ khi các lỗ thẳng hàng nhau sẽ không có tai nạn nào xảy ra. Phép ẩn dụ này chỉ ra hai bài học. Thứ nhất, đừng cố tìm ra “nguyên nhân chính xác” của vụ tai nạn và thứ hai, chúng ta có thể giảm bớt tai nạn và làm cho hệ thống có khả năng chịu đựng cao hơn bằng cách thiết kế chúng có nhiều biện pháp phòng ngừa lỗi hơn (nhiều lát pho mát hơn), ít cơ hội cho các sai phạm, sai lầm hoặc hỏng hóc thiết bị (ít lỗ hơn), và các cơ chế rất khác nhau ở các phần khác nhau trong hệ thống (cố gắng bảo đảm để các lỗ không thẳng hàng). (Hình vẽ dựa trên hình vẽ của Reason, 1990.)

Bạn có thể thấy điều này trong hầu hết các tai nạn dưới dạng các câu “nếu như”. “Nếu như không quyết định đi đường tắt, tôi đã không gặp tai nạn.” “Nếu như trời không mưa, phanh của tôi đã hoạt động tốt.” “Nếu như nhìn sang bên trái, tôi đã nhìn thấy chiếc xe sớm hơn.” Đúng là tất cả những câu này đều đúng, nhưng không có câu nào trong số đó là “nguyên nhân chính xác” của tai nạn cả. Thông thường, sẽ không có một nguyên nhân duy nhất. Tất nhiên, các nhà báo và luật sư cũng như công luận thích biết nguyên nhân để ai đó sẽ bị quy trách nhiệm và trừng phạt. Nhưng các cơ quan điều tra có uy tín biết rằng sẽ không có một nguyên nhân duy nhất, đó là lý do vì sao các cuộc điều tra của họ lại mất rất nhiều thời gian. Trách nhiệm của họ là hiểu được hệ thống và đưa ra những thay đổi để có thể giảm bớt khả năng xuất hiện chuỗi những sự kiện tương tự khiến chúng có thể dẫn tới những tai nạn trong tương lai.

Phép ẩn dụ về pho mát Thụy Sỹ gợi ý một số cách để giảm bớt tai nạn như sau:

Tăng thêm số lát pho mát.

Giảm bớt số lượng lỗ (hoặc khiến cho các lỗ hiện tại bé đi).

Báo động cho người vận hành biết khi đã có vài lỗ thẳng hàng nhau.

Mỗi gợi ý này đều có ý nghĩa trong hoạt động thực tế. Thêm số lượng lát pho mát nghĩa là tăng thêm số vòng bảo vệ, ví dụ như yêu cầu trong ngành hàng không và những ngành khác về danh sách kiểm tra, trong đó một người đọc tên các yêu cầu, người còn lại thực hiện, và người kia sẽ kiểm tra quá trình hoạt động để xác nhận nó được thực hiện chính xác.

Giảm bớt số lượng những điểm an toàn quan trọng nơi lỗi có thể xảy ra giống như giảm bớt số lượng hoặc kích thước các lỗ trong lát pho mát Thụy Sỹ. Các thiết bị được thiết kế hợp lý sẽ giảm khả năng có sai phạm và sai lầm, giống như giảm bớt số lượng lỗ và làm cho các lỗ đang tồn tại trở nên nhỏ hơn. Đây chính xác là cách để tăng cường một cách đáng kể mức độ an toàn trong các chuyến bay thương mại. Deborah Hersman, chủ tịch Ủy ban An toàn Giao thông Quốc gia, mô tả triết lý thiết kế như sau:

Các hãng hàng không Mỹ chuyên chở hai triệu hành khách mỗi ngày trên các đường bay một cách an toàn, điều này đạt được phần lớn thông qua sự tỉ mỉ trong thiết kế và nhiều tầng bảo vệ.

Sự tỉ mỉ trong thiết kế và nhiều tầng bảo vệ – đó chính là pho mát Thụy Sỹ. Phép ẩn dụ này đã minh họa sự vô ích trong việc cố gắng tìm kiếm một nguyên nhân căn bản dẫn tới một tai nạn (thường là do một ai đó) và trừng phạt thủ phạm. Thay vào đó, chúng ta cần xem xét các hệ thống, những tác nhân tương tác có thể dẫn tới lỗi của con người và sau đó là tai nạn, và tìm ra nhiều cách để làm cho hệ thống trở nên đang tin cậy hơn.

KHI THIẾT KẾ TỐT LÀ CHƯA ĐỦ

Khi con người thực sự mắc lỗi

Đôi khi tôi tự hỏi liệu có thực sự đúng hay không khi nói rằng con người không bao giờ mắc lỗi, mà luôn luôn là do lỗi thiết kế. Đó là một câu hỏi nhiều ý nghĩa. Và tất nhiên, đúng, đôi khi con người là đối tượng đã gây ra lỗi.

Ngay cả những người có năng lực cũng mất đi năng lực khi cơn buồn ngủ ập đến, kiệt sức, hoặc dưới tác động của chất kích thích. Đó là lý do vì sao chúng ta có các điều luật cấm phi công lái máy bay nếu họ đã uống rượu trong một khoảng thời gian xác định trước đó và giới hạn số giờ liên tục của họ. Hầu hết các ngành nghề có liên quan đến rủi ro tử vong hoặc thương tật đều có những quy định tương tự về uống rượu, thời gian ngủ và chất kích thích. Nhưng những công việc thường nhật lại không có những hạn chế này. Các bệnh viện thường yêu cầu nhân viên của mình làm việc không cần ngủ trong thời gian vượt xa mức yêu cầu an toàn đối với các phi công. Tại sao vậy? Liệu bạn có vui vẻ khi thấy một bác sỹ đang buồn ngủ tiến hành phẫu thuật cho bạn không? Tại sao việc buồn ngủ lại bị coi là nguy hiểm trong trường hợp này nhưng lại bị bỏ qua trong trường hợp khác?

Một số hoạt động có những yêu cầu về chiều cao, tuổi tác hoặc sức khỏe. Một số đòi hỏi những kỹ năng đặc biệt hoặc hiểu biết kỹ thuật và những người không được đào tạo hoặc không đủ năng lực không được thực hiện chúng. Đó là lý do nhiều hoạt động đòi hỏi phải được đào tạo và cấp phép bởi các cơ quan chính phủ. Ví dụ như lái ô tô, điều khiển máy bay hoặc chăm sóc y tế. Tất cả đều đòi hỏi những khóa huấn luyện và bài kiểm tra được hướng dẫn đầy đủ. Trong ngành hàng không, đào tạo là chưa đủ, các phi công cần được thực hành bằng việc bay đủ số giờ tối thiểu trong một tháng.

Lái xe khi say rượu là một trong những nguyên nhân chính dẫn tới các tai nạn xe hơi. Đây rõ ràng là lỗi của người uống rượu. Thiếu ngủ cũng là một thủ phạm quan trọng khác trong các tai nạn xe cộ. Nhưng con người cũng có lỗi khi không tự biện minh cho bản thân khi bị gánh lỗi lầm không hoàn toàn là của mình. Một tỷ lệ lớn hơn nhiều các vụ tai nạn là do thiết kế tồi, cả về thiết bị và, như thường thấy trong các tai nạn công nghiệp, đó là các quy trình cần phải tuân theo.

Như đã lưu ý trong phần thảo luận về những vi phạm có chủ ý ở phần trước của chương này, mọi người đôi khi sẽ cố tình vi phạm những quy trình và quy định, có thể vì họ không thể hoàn thành công việc của mình nếu không làm thế, có thể vì họ tin rằng đó là những hoàn cảnh có thể giảm nhẹ hình phạt, và đôi khi bởi vì họ đang chơi trò đánh cược rằng khả năng tương đối thấp xảy ra sự cố sẽ không đến với họ. Không may thay, nếu ai đó thực hiện một hành động nguy hiểm, gây ra thương vong với khả năng sự cố xảy ra là một phần một triệu, điều đó vẫn có thể dẫn tới hàng trăm cái chết mỗi năm trên toàn thế giới, tính trên dân số 7 tỷ người của hành tinh. Một trong những ví dụ mà tôi rất thích trong ngành hàng không là về một phi công, người đã chứng kiến số ghi áp lực dầu thấp trên cả ba động cơ máy bay của mình, tuyên bố rằng đó phải là một trục trặc máy móc bởi khả năng để số ghi đó xảy ra là một-phần-một-triệu. Anh ta đúng trong phần đánh giá của mình, nhưng không may thay, anh ta chính là người rơi vào trường hợp đó. Chỉ riêng tại Mỹ, đã có khoảng 9 triệu chuyến bay trong năm 2012. Do đó, tỷ lệ một-phần-một-triệu cũng đã có nghĩa là chín vụ tai nạn.

Đôi khi, con người thực sự gây ra lỗi.

THIẾT KẾ TĂNG KHẢ NĂNG CHỊU ĐỰNG

Trong các ứng dụng công nghiệp, các tai nạn trong các hệ thống lớn, phức tạp như các dàn khoan dầu, các nhà máy lọc dầu, các nhà máy xử lý hóa chất, các hệ thống phát điện, giao thông vận tải và dịch vụ y tế có thể có tác động lớn đến tổ chức và cộng đồng dân cư xung quanh.

Đôi khi vấn đề không xuất phát từ bên trong mà là từ bên ngoài, ví dụ như bão mạnh, động đất, thủy triều phá hủy một phần lớn cơ cấu hạ tầng hiện tại. Trong bất cứ trường hợp nào, câu hỏi đặt ra là làm thế nào để thiết kế và quản lý những hệ thống này để chúng có thể khôi phục hoạt động với mức độ thiệt hại tối thiểu. Một phương thức quan trọng là thiết kế tăng khả năng chịu đựng, với mục tiêu là thiết kế các hệ thống, quy trình, phương thức quản lý và đào tạo con người để họ có thể phản ứng với vấn đề khi chúng nảy sinh. Cần nỗ lực để bảo đảm là thiết kế của tất cả những hệ thống này – trang thiết bị, quy trình và kết nối giữa các công nhân cũng như kết nối ra bên ngoài với bộ phận quản lý và công chúng – đều liên tục được đánh giá, kiểm nghiệm và cải tiến.

Do đó, các nhà cung cấp máy tính lớn có thể chủ động tạo ra lỗi trên hệ thống của mình để kiểm nghiệm xem mình có thể phản ứng ở mức độ nào. Việc này được thực hiện bằng cách chủ động tắt các thiết bị quan trọng để bảo đảm hệ thống dự phòng và hỗ trợ thực sự hiệu quả. Mặc dù điều này có thể nguy hiểm trong khi hệ thống đang hoạt động trực tuyến, phục vụ các khách hàng thực, nhưng đó là cách duy nhất để kiểm nghiệm các hệ thống lớn và phức tạp. Những thử nghiệm và mô phỏng nhỏ không thể thể hiện mức độ phức tạp, căng thẳng và những sự kiện bất thường đặc trưng cho những lần trục trặc hệ thống thực sự.

Erik Hollnagel, David Woods và Nancy Leveson, các tác giả của một loạt các cuốn sách có tầm ảnh hưởng từ rất sớm về vấn đề này, đã đúc kết như sau:

Thiết kế tăng khả năng chịu đựng là một lý thuyết cho mục đích quản lý hoạt động an toàn tập trung vào việc làm thế nào để giúp con người đối phó với sự phức tạp dưới áp lực lớn để đạt được thành công. Nó hoàn toàn trái ngược với những gì điển hình ngày nay – một lý thuyết về liệt kê các lỗi thành từng bảng, tiếp đó là những can thiệp để giảm bớt con số trên các bảng này. Một tổ chức có khả năng chịu đựng tốt coi an toàn là giá trị cốt lõi, không phải là một thứ hàng hóa để có thể tính đếm. Trên thực tế, sự an toàn chỉ thể hiện bản thân nó qua những sự kiện không xảy ra! Thay vì coi những thành công trong quá khứ là lý do để giảm bớt sự đầu tư thì các tổ chức đó tiếp tục đầu tư để đoán trước những thay đổi tiềm tàng có khả năng dẫn tới hỏng hóc vì họ nhận thức rõ rằng hiểu biết của họ về những thiếu sót là chưa đầy đủ và rằng môi trường của họ thay đổi liên tục. Do đó, một trong những biện pháp tăng cường khả năng chịu đựng là tạo ra khả năng đoán trước – để dự đoán những thay đổi hình thái của rủi ro, trước khi hỏng hóc và trục trặc xảy ra. (Trích dẫn theo sự cho phép của các nhà xuất bản. Hollnagel, Woods, & Leveson, 2006, trang 6.)

NGHỊCH LÝ CỦA TỰ ĐỘNG HÓA

Máy móc đang ngày cảng trở nên thông minh. Ngày càng có nhiều công việc được tự động hóa hoàn toàn. Khi điều này xuất hiện, có một xu hướng tin rằng rất nhiều khó khăn liên quan đến việc điều khiển của con người sẽ biến mất. Trên toàn thế giới, mỗi năm tai nạn xe cộ gây ra cái chết và làm bị thương khoảng mười triệu người. Khi chúng ta ứng dụng rộng rãi các loại xe lái tự động, tỷ lệ tai nạn và thiệt hại có lẽ sẽ giảm xuống đáng kể, tương tự như quá trình tự động hóa trong các nhà máy và ngành hàng không đã tăng cường tính hiệu quả khi giảm bớt cả số lỗi lẫn tỷ lệ thương vong.

Khi quá trình tự động hóa hoạt động trơn tru, nó thật tuyệt nhưng khi nó trục trặc, hậu quả xuất hiện thường là không thể đoán trước và, kết quả là, sẽ rất nguy hiểm. Ngày nay, việc tự động hóa và những hệ thống sản xuất hiện đại được kết nối với nhau đã giảm đáng kể thời gian không có điện để sử dụng của các hộ gia đình và doanh nghiệp. Nhưng khi hệ thống truyền tải điện hỏng, nó có thể tác động tới nhiều lĩnh vực đời sống của một quốc gia và phải mất nhiều ngày mới có thể khôi phục được. Với các xe tự lái, tôi dự đoán rằng chúng ta sẽ có ít tai nạn và thương vong hơn, nhưng khi có tai nạn, đó sẽ là một tai nạn khủng khiếp.

Quá trình tự động hóa ngày càng trở nên thông minh hơn. Những hệ thống tự động có thể đảm nhận nhiều công việc con người từng thực hiện, có thể đó là duy trì nhiệt độ thích hợp, tự động giữ cho một chiếc xe đi trong làn đường dành riêng cho nó với một khoảng cách vừa đủ với xe phía trước, cho phép các máy bay bay tự động từ lúc cất cánh đến lúc hạ cánh, hoặc cho phép các tàu thuyền tự dẫn đường. Khi hệ thống tự động làm việc tốt, các công việc thường được thực hiện tốt tương đương hay thậm chí tốt hơn so với khi con người thực hiện. Hơn nữa, nó giúp con người tránh khỏi những công việc nhàm chán, tẻ nhạt, lặp đi lặp lại, cho phép sử dụng thời gian một cách hiệu quả, hữu ích hơn, giảm bớt sự mệt mỏi và lỗi. Nhưng khi các công việc trở nên phức tạp hơn, hệ thống tự động hóa có xu hướng đầu hàng. Tất nhiên, điều này lại xảy ra đúng vào lúc mà người ta cần nó nhất. Nghịch lý nằm ở chỗ hệ thống tự động hóa thực hiện những công việc nhàm chán, tẻ nhạt nhưng lại thất bại với những công việc phức tạp.

Khi hệ thống tự động hóa thất bại, nó thường không đưa ra cảnh báo. Đây là tình trạng mà tôi đã chứng minh rất nhiều lần trong các quyển sách và tài liệu khác của mình, tương tự như những tác giả trong lĩnh vực an toàn và tự động hóa đã làm. Khi hỏng hóc xảy ra, con người thường “nằm ngoài phạm vi chú ý”. Điều này có nghĩa là người đó không đủ tập trung vào quá trình hoạt động, và sẽ mất nhiều thời gian để nhận ra và đánh giá hỏng hóc, và sau đó là quyết định phản ứng như thế nào.

Trên máy bay, khi quá trình tự động hóa trục trặc, các phi công sẽ cần nhiều thời gian để hiểu được tình hình và có phản ứng. Các máy bay thường bay khá cao: trên 10km (6 dặm) so với mặt đất, nên ngay cả khi máy bay bắt đầu rơi, các phi công vẫn có vài phút để phản ứng. Hơn nữa, các phi công được đào tạo đặc biệt tốt. Khi quá trình tự động hóa trong một chiếc ô tô gặp trục trặc, người lái xe sẽ chỉ có vài phần của một giây để tránh một tai nạn. Điều này là cực kỳ khó ngay cả với những chuyên gia lái xe, trong khi phần lớn lái xe lại không được đào tạo thành một chuyên gia.

Trong các trường hợp khác, ví dụ với các tàu thuyền, có lẽ sẽ có nhiều thời gian hơn để phản ứng, nhưng điều này chỉ đúng khi sự hỏng hóc của hệ thống tự động hóa được nhận ra. Vụ mắc cạn của con tàu du lịch Royal Majesty năm 1997, trục trặc kéo dài vài ngày liền và chỉ được phát hiện trong cuộc điều tra sau tai nạn, khi con tàu đã mắc cạn, gây tổn thất lên tới vài triệu đô-la. Điều gì đã xảy ra? Vị trí của con tàu thường được xác định bởi Hệ thống Định vị Toàn cầu (GPS), nhưng đường dẫn kết nối từ ăng-ten vệ tinh tới hệ thống dẫn đường đã bị ngắt (không ai biết được điều đó xảy ra như thế nào). Kết quả là hệ thống dẫn đường chuyển từ sử dụng tín hiệu GPS sang “tính toán tĩnh”, ước đoán vị trí của con tàu thông qua tốc độ ước lượng và hướng di chuyển, nhưng thiết kế của hệ thống dẫn đường lại không thể hiện sự chuyển đổi này. Kết quả là, khi con tàu di chuyển từ Bermuda tới đích đến của nó là Boston, nó đi chệch quá nhiều về hướng nam và mắc cạn tại Cape Cod, một bán đảo nằm ngoài khơi phía nam Boston. Hệ thống tự động hóa đã hoạt động hoàn hảo trong nhiều năm, do đó quá trình kiểm tra thủ công thông thường về vị trí hoặc xem xét kỹ màn hình hiển thị (để có thể nhìn thấy những chữ cái nhỏ “dr” có nghĩa là chế độ “tính toán tĩnh” (dead reckoning)) đã không được tiến hành. Đó là một trục trặc nghiêm trọng xuất phát từ lỗi do lựa chọn chế độ.

CÁC NGUYÊN TẮC THIẾT KẾ ĐỂ ĐỐI PHÓ VỚI LỖI

Con người thường linh hoạt, dễ thay đổi và sáng tạo. Máy móc thường cứng nhắc, chính xác và tương đối cố định trong các hoạt động của chúng. Con người và máy móc đang có một sự không khớp nhau, điều này cần tới sự tăng cường năng lực cho cả hai nếu được sử dụng đúng cách. Hãy nghĩ đến một máy tính bấm tay điện tử. Nó không làm toán giống như cách con người làm, nhưng có thể giải quyết những vấn đề mà con người không thể. Hơn nữa, các máy tính không mắc lỗi. Do vậy con người cộng với máy tính là một sự hợp tác tuyệt vời: con người chỉ ra những vấn đề quan trọng là gì và làm thế nào để giải quyết chúng; sau đó chúng ta sử dụng máy tính để đưa ra các kết quả.

Khó khăn nảy sinh khi chúng ta không coi con người và máy móc là một hệ thống hợp tác, mà chuyển bất cứ công việc nào có thể tự động hóa cho máy móc và để phần còn lại cho con người. Kết quả này đòi hỏi con người phải hành động theo kiểu của máy móc, theo những cách khác với năng lực của con người. Chúng ta hy vọng con người sẽ giám sát máy móc, nghĩa là tập trung cao độ trong những khoảng thời gian dài, điều mà chúng ta không thể làm được. Chúng ta đòi hỏi con người thực hiện những hoạt động lặp đi lặp lại với sự chính xác và đúng đắn tuyệt đối thường thấy ở máy móc, trái ngược với những thế mạnh của chúng ta. Khi chia tách phần máy móc và con người trong một công việc theo cách này, chúng ta đã không thể tận dụng được điểm mạnh và năng lực của con người mà lại phụ thuộc vào những điểm mà chúng ta không thể tương thích xét từ mặt di truyền và sinh học. Vậy mà khi con người mắc lỗi, họ vẫn sẽ bị quy trách nhiệm.

Điều chúng ta gọi là “lỗi do con người” thường chỉ đơn giản là một hành động của con người không phù hợp với các yêu cầu kỹ thuật. Kết quả là, nó cho thấy một thiếu sót trong kỹ thuật của chúng ta. Nó không nên bị coi là lỗi mà chúng ta cần nhận ra rằng con người có thể sử dụng sự trợ giúp để biến những mục tiêu và kế hoạch của mình thành những định dạng phù hợp cho các thiết bị công nghệ.

Dựa trên sự không tương thích giữa khả năng của con người và các yêu cầu kỹ thuật thì rõ ràng việc phát sinh lỗi là điều không thể tránh được. Do đó, các thiết kế tốt sẽ chấp nhận thực tế sẵn có đó và tìm kiếm khả năng để giảm thiểu khả năng phát sinh lỗi trong khi hạn chế hậu quả. Hãy giả định là mọi khả năng bất lợi sẽ xảy ra, sau đó tìm cách bảo vệ trước chúng. Hãy làm cho các hành động là có thể đảo ngược được; làm cho các lỗi gây ra để lại hậu quả nhỏ hơn. Dưới đây là những nguyên tắc thiết kế:

Hãy để những kiến thức cần thiết để vận hành các thiết bị công nghệ đến từ môi trường bên ngoài. Không đòi hỏi tất cả kiến thức cần phải được trang bị sẵn trong đầu. Thiết bị vận hành hiệu quả khi con người đã học hết tất cả các yêu cầu, khi đó, những chuyên gia có thể thực hiện mà không cần đến những kiến thức đến từ bên ngoài và những người không phải chuyên gia vẫn có thể sử dụng kiến thức đến từ bên ngoài để vận hành. Điều này cũng có thể giúp ích cho chính các chuyên gia, những người cần thực hiện một hoạt động ít gặp, ít khi được thực hiện hoặc mới quay trở lại vận hành các thiết bị công nghệ sau một thời gian dài vắng mặt.

Sử dụng lợi thế của những giới hạn tự nhiên và nhân tạo, đó là thực tế, lô-gic, ngữ nghĩa và văn hóa. Tận dụng lợi thế của các chức năng bắt buộc và sơ đồ kết nối tự nhiên.

Liên kết hai quá trình, Quá trình Thực hiện và Quá trình Đánh giá. Làm cho mọi thứ dễ thấy, cả cho việc thực hiện lẫn đánh giá. Về phía thực hiện, hãy cung cấp các thông tin gửi đi: làm cho các lựa chọn khác nhau luôn sẵn sàng. Về phía đánh giá, hãy cung cấp các thông tin phản hồi, làm cho kết quả của mỗi hành động trở nên dễ thấy. Làm cho việc xác định trạng thái của hệ thống luôn sẵn sàng, dễ dàng và chính xác và theo một dạng thức thống nhất với mục tiêu, kế hoạch và kỳ vọng của con người.

Chúng ta nên đối mặt với các lỗi phát sinh bằng cách bao quát nó, tìm cách hiểu được các nguyên nhân và bảo đảm chúng sẽ không xảy ra một lần nữa. Chúng ta cần hỗ trợ chứ không phải trừng phạt hay lên án.