悲劇(意外)需要多個失效點 — 單點失效是不足夠引發事件。 這有賴防禦陣列的有效運作。系統整體運作通常是成功有效的。 當小的且明顯的災難性失效發生、雖然這些表面上看似無害的失效,但是聯合起來可能創造機會發生系統性意外。 每一個小失效點的都是造成悲劇(意外)的必要條件,但只有組合起來才足以導致系統失效。 換句話說,小失效機會比明顯的系統悲劇(意外)要多得多。 大多數失效軌跡都在一開始發生就被設計的系統安全組件阻擋。 軌跡大多在操作層級被阻擋,通常是由執行者阻擋。
根本原因不是指單一原因。 這個名詞的問題不僅在於它是單數的,還有詞根具有誤導性:其實還有更多原因。 試圖找到原因都是有問題的 — 尋找原因來解釋事件會限制您將找到和學到的東西。 具有諷刺意味的是,根本原因分析是建立在這樣一種想法之上的,即事件可以完全被理解。 但事實上是無法達成的。 我們已經有一個更好的名詞,這聽起來更酷:它被稱為極限風暴。 通過這種方式,分離出原因並將事件分解為多個促成因素, 我們能夠看到導致意外的事情總是存在或暫時存在的。 一次意外只是他們第一次組合成一場極限風暴,指一般正常的事情同時出錯。
從抽象的角度來看,描述因果關係的語言表面上價值是中立的。 但是,名詞“根本原因”的使用幾乎總是用於不良或負面結果的上下文, 而不是在結果被視為成功的情況下。 例如,很少有人要求搜索成功推出產品根本原因。 人們似乎普遍認為,複雜系統的成功結果來自許多影響以正向的方式結合在一起。 然而,人們通常不以同樣的方式看待失敗。
關鍵文獻
- Allspaw J.
What we talk about when we talk about
root cause
Adaptive Capacity Labs.