安全-II

玻尔百科

核心要点

安全-II将安全从消除负面因素（安全-I）重新定义为具备正面能力，重点在于理解事情为何能做对。
人类绩效的可变性不被视为错误的来源，而是在复杂、不可预测的环境中适应和成功的关键资源。
韧性工程作为安全-II的一项实际应用，旨在构建能够在压力下预测、监控、响应和学习以维持成功的系统。
公正文化区分了人类差错和鲁莽行为，是创造从日常工作中学习所需的心理安全感的基础。
安全-II引入了关注成功的新指标，例如成功适应率，以量化系统的韧性。

引言

几十年来，安全领域一直专注于一个核心问题：为什么会出错？这种“安全-I”方法，侧重于分析失败并消除其根本原因，无疑使我们的世界变得更安全。然而，它留下了一个关键的未解之谜：在医院或驾驶舱等高度复杂和动态的环境中，流程需要不断调整，计划很少能完美展开，为什么事情几乎总能做对？这种理解上的差距表明需要一种新的视角。

本文介绍安全-II，这是一种革命性的范式，它将焦点从预防失败转向理解和确保成功。安全-II不再将人类的适应性视为一种负累，而是将其视为创建韧性系统最至关重要的资源。在接下来的章节中，我们将深入探讨这一变革性概念。首先，我们将探讨安全-II的核心原则与机制，剖析绩效可变性、韧性和公正文化的作用。随后，我们将审视其应用与跨学科联系，探索这一理念如何被用于重新设计医疗保健系统、构建更安全的人工智能，并创造新的方法来衡量真正重要的东西——成功的能力。

原则与机制

想象一下，您负责一个繁忙系统的安全——也许是医院、航空公司或发电厂。您的工作是什么？很长一段时间里，答案似乎显而易见：您的工作是确保尽可能少地出错。如果发生事故，您会进行调查，找到损坏的部件或犯错的人，然后修复它或制定新规则以防止其再次发生。这就是安全-I的世界。它将安全定义为消除负面因素。这是一种发现并修复失败的哲学。

这种方法是合乎情理的，并在许多方面使我们的世界变得非常安全。我们从悲剧中学习。当用药错误伤害到患者时，我们进行根本原因分析，可能会发现一个令人困惑的标签或程序上的疏忽。解决方案是什么？增加一个核对清单，重新设计标签，实施双重检查。在这种观点下，我们通过计算失败次数来衡量安全——例如，每千个病人日的负面事件数量 (, )。目标是将这个数字降低，最好降至零。其基本假设是，我们的系统在根本上是安全的，只有当某个组件——无论是人为的还是技术的——发生故障时，它们才会变得不安全。

但是，当您仔细观察复杂系统时，一个奇怪的谜题浮现出来。如果您在繁忙的急诊科待上一段时间，您会注意到事情几乎从不按计划进行。患者的数据在电脑里找不到，一个关键设备在别处被占用，一份重要的实验室结果延迟了，而团队正在应对意料之外的病人潮。然而，不知何故，几乎所有时候，团队都能成功应对。患者得到有效治疗，护理得以提供，成功得以实现。

这一观察是通往思维深刻转变的大门。它引导我们提出一个不同的问题。我们不再问“为什么会出错？”，而是开始问：“为什么事情能做对？”。这就是安全-II的世界。

可变性的两面性

安全-II的核心洞见在于，在复杂系统中，成功并非完美、坚定地遵守程序的结果，而是持续、巧妙地适应的结果。想想开车。“程序”可能是“在限速内保持在车道上”。但要真正做到这一点，您需要对方向盘和踏板进行成千上万次微小、持续的调整，以应对道路的弯曲、颠簸、风以及其他驾驶员的行为。这种持续的调整就是绩效可变性。

从僵化的安全-I角度来看，这种可变性是敌人。它是对计划的偏离，是需要通过更严格的规则和自动化来消除的错误来源。但从安全-II的角度来看，这种可变性不是一个缺陷，而是一个基本特征。它正是人们用来弥合程序手册中整洁、有序的“想象中的工作”与现实世界中混乱、不可预测的“实际完成的工作”之间差距的资源 (``)。

程序和计划，无论多么详细，都永远无法完全规定在像医院或化学反应堆这样的动态环境中，针对每一种可能发生的意外情况的正确行动 (``)。当面对意外情况——工作流程中的“扰动”——时，正是人们的适应能力使系统得以成功。从这个角度看，成功和失败并非根本不同类型的事件。它们都是同一过程的结果：人类和系统在面对不确定性时的适应。一个有效的适应是成功。一个无效的适应则是失败。因此，安全不是没有可变性，而是具备使这种可变性成功的能力。

韧性：刚柔并济的艺术

如果适应性可变性是秘诀，我们如何培养它？答案在于构建韧性。韧性不仅仅是坚固或拥有备用设备。它是一种动态的、系统级别的能力。韧性工程是安全-II的一项实际应用，它告诉我们，韧性系统在四个关键方面表现出色：预测、监控、响应和学习 (``)。

预测：韧性系统不仅仅回顾过去的失败，它们还展望未来。它们会问：“接下来可能发生什么？我们的弱点是什么？”。这就是为什么主动措施，如对罕见气道紧急情况进行现场模拟，或在操作前明确记录“B计划”，是系统韧性的有力指标 (``)。
监控：韧性系统对“操作具有深度敏感性” (``)。它们能察觉到系统正滑向不安全性能边界的微妙迹象。这不仅仅是警报，还关乎团队的共同意识以及他们不愿简化所见情况的态度。
响应：当扰动发生时——病人数量突然激增，关键数据源中断——系统如何反应？一个脆弱的系统会陷入停顿。一个有韧性的系统则会适应。它可能会灵活调配人员，重新安排任务优先级，或使用巧妙的变通方法来维持其核心功能。衡量这一点的一个关键标准不是扰动是否发生，而是系统在事后恢复其功能的速度有多快 (``)。
学习：安全-I系统从失败中学习。安全-II系统从一切中学习。它会探究为什么在人手短缺的情况下，一个班次却如此顺利。它珍视未遂事件报告，不将其视为失败的证据，而是视为成功恢复的免费课程。一个有韧性的系统拥有确保这些经验教训转化为实际变革的机制 (``)。

在这种观点下，韧性是一种认知资源——一种由团队持续生成和更新的集体知识，关乎如何在各种条件下使系统正常工作 (``)。

看见成功：一种衡量安全的新方法

这种从预防失败到确保成功的哲学转变，需要一种新的衡量方式。虽然追踪失败仍然很重要，但这就像只通过研究疾病来试图理解健康。安全-II为我们提供了一套新的视角。

这种变化可以用一些形式化的语言优美地捕捉到。安全-I方法关注于降低失败的总概率，我们称之为 $\mathbb{P}(F)$ 。安全-II方法则更为精妙。它关注于在系统经历可变性或扰动 $V$ 的条件下，提高成功 $S$ 的概率。它旨在最大化 $\mathbb{P}(S|V)$ (``)。

一个更强大的思考方式是通过稳健性的视角。想象一下你有一个性能函数 $r(s)$ ，它衡量你的系统在任何给定状态 $s$ 下的表现如何，而状态 $s$ 受到上下文 $x$ （如工作负载或人员配置）的影响。一种简单的方法是最大化所有上下文中的平均性能，即 $\mathbb{E}[r(s)]$ 。但这可能会隐藏一个关键弱点：你的系统可能在简单的上下文中表现出色，但在困难的上下文中却灾难性地失败。一个有韧性的、安全-II的方法则不同。它旨在最大化最坏情况下的性能。在数学上，它寻求解决 $\max \inf_{x} \mathbb{E}[r(s)|x]$ (``)。这意味着你试图让你的系统即使在最糟糕的一天也能表现得最好。这就是韧性的本质。

在实践中，这意味着我们开发新的指标。我们不仅计算负面事件，还可以利用电子健康记录中的丰富数据来直接衡量韧性。对于工作流程中的每一次“扰动”——比如说，一个药物过敏警报——我们可以检查是否发生了成功的适应（订单被取消或更改）。这为我们提供了一个强大的新指标：成功适应率 ()。我们甚至可以通过根据每个扰动的潜在严重性对其进行加权，使其更加复杂，从而创建一个**严重性加权韧[性比](/sciencepedia/feynman/keyword/sex_ratio)率** ()。这些是一个健康的、自适应系统的生命体征。

公正文化：韧性的燃料

最后，人处于什么位置？安全-II不是要忽视错误，而是要理解错误。人类差错理论区分了不同类型的非故意行为 (``)。失误 (slip) 是指你的计划是正确的，但你的手出了差错——你打算点击“保存”，却意外点击了“删除”。疏忽 (lapse) 是记忆失败——你被打断后忘记完成一个序列的最后一步。然而，错误 (mistake) 则不同；它是指你完全按照你的意图行事，但你的计划从一开始就是错的。

理解这些差异至关重要，因为它们指向不同的解决方案。失误通常指向糟糕的界面设计。错误指向错误的心理模型或不正确的信息。疏忽则指向易受干扰的系统。

这引导我们走向公正文化的概念 (``)。公正文化不是“无指责”文化，而是一种公平和学习的文化。它在无可指责的人类差错（无意的失误）、风险行为（采取看似合理的捷径）和鲁莽行为（有意识地无视安全）之间划清了界限。对于人类差错，应该给予安慰，并对系统进行检查。对于风险行为，需要进行指导，以理解为什么会采取捷径。只有鲁莽行为才应受到惩罚性措施。

这是安全-II赖以建立的基石。要理解事情为什么能做对，我们需要人们感到足够安全，从而告诉我们工作是如何真正完成的——包括所有那些混乱的适应和创造性的变通方法。公正文化创造了心理安全感，为真正有韧性的组织的报告和学习引擎提供了动力。它使我们能够超越仅仅防止最坏情况的发生，进而创造出成功是正常、预期且经韧性工程设计的状态的系统。

应用与跨学科联系

当我们学习骑自行车时，我们是怎么做的？我们会创建一个详尽的摔倒目录，分析撞击的精确角度和失败瞬间的速度吗？当然不会。我们通过成功来学习。我们从成千上万次微小、几乎无意识的平衡调整中学习，从那些让我们保持直立的微妙的重心和转向变化中学习。学习骑车的故事绝大多数是关于持续、成功的适应，其间穿插着几次罕见的失败。

这个简单的观察是一场名为“安全-II”的深刻思想转变的核心。上一节阐述了其核心原则，并将其与几乎完全专注于研究失败的传统安全观进行了对比。现在，我们将看到这个新视角不仅是一种学术上的好奇心，更是一种正在重塑我们世界的强大实用工具。我们将穿行于医院病房、工程实验室和行政会议室，看看“从成功中学习”这个简单的理念如何在从医学伦理到人工智能的各个领域催生出非凡的创新。

一个看待事物的新视角

几十年来，对任何复杂系统中事故的反应，无论是飞机失事还是用药错误，都遵循着一个熟悉的脚本。启动调查以寻找“根本原因”。就像侦探故事一样，目标是找到唯一的罪魁祸首——损坏的部件、有缺陷的程序、那个犯了关键错误的人。这种线性的因果模型是像根本原因分析（RCA）这类方法的基石。

安全-II提出了一个截然不同的视角。它始于这样一个认识：复杂系统绝非静止不变。它们处于持续变化的状态，其中的人们也在不断调整和适应变化中的条件——更高的工作负荷、模糊的信息、意外的中断。令人震惊的真相是，大多数时候，这些无数的、日常的适应恰恰是事情能做对的原因。从这个角度看，灾难性失败并非单个损坏部件或一个偶然错误的结果。相反，它通常是正常可变的绩效以恰好错误的方式共振而产生的不幸的、涌现性的后果。这种系统性观点是像功能共振分析法（FRAM）这样强大的分析技术的基础，该方法模拟了成功和失败如何都源于日常绩效可变性这同一源泉 (``)。

这种视角的转变产生了深远的影响，远远超出了技术性事故报告的范畴，触及了医学伦理和沟通的核心。当发生医疗差错或“未遂事件”时，传统方法是披露失败并道歉。这虽然必要，但并不完整。安全-II方法改变了这场对话。想象一个场景，一个病人差点被用错药，但一位护士在最后一秒发现了错误。信息披露不仅会承认差点出了什么问题，还会解释是什么做对了。它会阐明系统内置的韧性——那些交叉检查、认知辅助工具，以及最终保护了病人的团队敏锐的专业知识。这种类型的信息披露通过给予病人一个关于医疗保健复杂现实的更丰富、更诚实的画面，从而尊重了病人的自主权。它将叙事从孤立的失败重构为系统性韧性的叙事，通过揭示那些为确保安全而不懈工作的机制来建立信任 (``)。

构建韧性系统：从人到人工智能

如果我们能理解成功的要素，我们能否设计出让成功更有可能发生的系统？这就是安全-II从分析走向综合的地方，为工程化更稳健和自适应的系统提供了蓝图。

考虑一下日益严重的临床医生职业倦怠危机，这常常因设计拙劣的技术而加剧。想象一家医院，一个AI系统为一种危及生命的状况生成警报。假设警报以每小时 $\lambda$ 的速率到达，而一名临床医生能以每小时 $\mu$ 的速率处理它们。在运筹学领域，工作负载由比率 $\rho = \lambda / \mu$ 表示。只要 $\rho$ 远小于1，系统就是稳定的。但现在，假设一次“静默”更新使AI的行为变得不可预测。临床医生们经历这种“自动化意外”，必须花费更多时间来验证每一个警报。他们的有效服务率 $\mu$ 急剧下降。如果 $\lambda$ 保持不变，工作负载 $\rho$ 会迅速飙升超过1。此时，系统变得不稳定。警报的积压无限制地增长，随之而来的是临床医生的认知负荷和压力。这不是个人失误；这是一个超载系统的数学必然性。

一种安全-II的设计方法直接应对这个问题。它专注于构建支持人类操作员的“韧性特性”。这包括使AI的推理过程透明化以避免意外，但也包括设计系统来管理自身的工作负载。例如，系统可以实施自适应节流，在高峰期智能地管理警报率（ $\lambda$ ），确保工作负载比率 $\rho$ 保持在安全的稳定区域内。它创造了一种技术适应以支持人类的伙伴关系，防止了陷入职业倦怠的恶性循环 (``)。

我们可以更进一步。我们能否构建不仅能防止过载，还能主动从人类专业知识中学习的系统？想象一个系统，它不仅标记出对标准程序的偏离，还能识别出某个偏离实际上是一个闪光的时刻——一个为应对意外问题而采取的巧妙、安全的变通方法。一个安全-II学习系统就是为此设计的。它捕获上下文（ $C$ ）、适应性行动（ $A$ ）和成功的结果（ $O=1$ ）。通过应用像贝叶斯更新这样的统计方法，系统可以估计该适应在未来相似上下文中成功的概率， $P(O=1 \mid C, A)$ 。它系统地建立一个经过验证的、成功的策略知识库——一个真正的韧性剧本，可以在整个组织中共享，让每个人都能从最优秀者的专业知识中学习 (``)。

这一原则延伸到了人工智能安全的前沿。随着我们部署越来越强大的人工智能，一个核心问题是如何安全地授予其自主权。传统方法依赖于僵化的、预编程的规则。安全-II启发了一种更优雅的解决方案：“自适应护栏”。一个人工智能可能从非常有限的自主权开始，其所有行动都需要人类确认。然后系统仔细监控其性能。在特定的上下文（ $X$ ）中，如果人工智能反复展示出成功的结果（ $Y=1$ ），系统对该人工智能在该上下文中性能的信心（由概率 $p(Y=1 \mid X)$ 表示）就会增长。一旦这种信心越过预定义的安全阈值，护栏就可以被选择性地放宽，仅在人工智能通过经过验证的、可靠的成功赢得了信任的情况下，授予其更多自主权。这是一个基于事情做对的可验证证据来学习信任的系统 (``)。

使韧性可衡量

一个持怀疑态度的人可能会听完所有这些后问：“这听起来像个不错的哲学，但你能衡量它吗？‘韧性’是一个真实的、可量化的属性吗？”答案是肯定的。将安全-II的抽象概念变得具体和可衡量，是一个关键且活跃的研究领域。

让我们回到医院。想象一个临床AI系统遭受间歇性网络中断，导致临床医生在短时间内得不到其指导。传统的安全-I分析将专注于计算在这些停机期间发生的不良事件数量。安全-II分析则提出了一个更有洞察力的问题：“团队应对得如何，他们做了什么来在干扰下取得成功？”

我们可以设计指标来直接回答这个问题。例如，我们可以定义一个主要的韧性结果 $R$ ，作为即使在中断期间（ $U=1$ ），基本护理仍在安全时间窗口 $\tau$ 内提供的概率，即 $R = P(T \le \tau \mid U=1)$ 。但我们也可以衡量适应过程本身。通过分析电子健康记录日志，我们可以量化一个“补偿性行动率” $C$ ，它衡量临床医生在中断期间使用主动变通方法的频率——比如根据自己的判断开具药物或增加与同事的沟通。使用像中断时间序列（ITS）和统计过程控制（SPC）图表这样稳健的统计工具，我们可以随时间监控这些指标。这使我们能够超越轶事，对系统的韧性获得严谨、定量的理解，从而让我们能够看到我们为改进它所做的努力是否真的有效 (``)。

为安全而组织：一项团队运动

采纳这一新哲学并非孤军奋战；它需要一个协调的、跨专业的努力。它改变了组织构建团队和管理改进项目的方式。

考虑一家寻求实施一项重大的新信息学干预措施的医院。要通过安全-II的视角取得成功，一个协作的领导团队至关重要。首席信息官（CIO） 提供基础的IT战略，确保基础设施稳健、安全且可互操作。首席医疗信息官（CMIO），一位医生领导，充当与临床实践的桥梁，确保技术适应混乱的病人护理现实，倡导安全，并管理变革中关键的人为因素。处于中间的是信息学专家，他是专业翻译者，将临床需求转化为可工作的代码，构建测量工具来研究“实际完成的工作”，并分析结果。

这个团队不只是“启动”一个项目。他们参与迭代的计划-执行-研究-行动（PDSA）循环。在每个循环中，他们不仅问：“我们减少失败了吗？”他们还问：“我们是否促成了更多的成功？我们的同事正在用什么巧妙的方法使用这个新工具来创造良好结果？”这种专注于从日常成功中学习、从前线“实际完成的工作”中学习的方式，成为持续、有韧性改进的引擎 (``)。

从我们分析事故的方式，到我们设计智能系统和构建组织的方式，安全-II的原则提供了一条统一的、最终也更为乐观的前进道路。它将人们固有的可变性和适应性不视为需要控制的负累，而是视为韧性最至关重要的资源。通过理解、支持和放大这种成功的能力，我们不仅使我们复杂的世界更安全——我们使其运转得更好。