拙劣的设计

人为出错的原因

要求人们在任务和流程中做违背自然规律的事情

根本原因分析

根本原因应意味着，如果有人做了错误的决定或行动，我们应该确定是什么因素导致他们犯错，而不是去责备人。

• 大多数事故的发生没有单一原因
• 我们总会停止在找到人为差错的那一步

五个为什么

丰田佐吉最早提出，为了探究问题根源的方法，5为虚数，意为在寻求解决方法的时候多问为什么。

为什么人们会犯错？因为设计的重点关注于系统和设备的要求，而不是使用者的需求。

不恰当的规则和流程是违规行为的一个主要原因，它不仅诱使且鼓励了违规。

设计师该怎么做

• 针对基于规则的错误：提供尽可能多的指导，确保现状以一个连续的和容易理解的形式呈现出来——最好图像化。
• 针对基于知识的错误：深入了解状况，利用人工智能决策和解决问题。

除非我们知道差错是什么，否则我们不能消除差错。

甄别差错

行动失误相对比较容易察觉，因为很容易注意到预期行为与执行之间的差异。但这种检测只能在有反馈发生时进行。

很少有东西能提示不恰当的目标，一旦确定了错误的目标或计划，由此产生的行为与错误的目标一致，所以认真监测行为结果不仅没有检测到错误的目标，而且因为行为一步步接近目标，还给不适当的决策提供了额外的信心。

错误判断并不是随机出现的，它通常是人们基于大量的知识和逻辑做出的。

记忆失效的错误特别难以检测。

没有做应该做的事情通常很难被发现。

为错误辩解

一旦人们为出现的不正常事件找到一个合乎情理的解释，他们往往认为就此可以简单处理了。但解释往往是基于过去的经验类比，而这个经验，可能不适用于目前的情况。

为差错设计

• 了解差错的根本原因，通过设计以尽量减少这些诱因
• 进行合理性检验，检查操作行为是否能够通过"一般性常识"的测试
• 设计出可以"撤销"操作的功能，如果操作不能"返回"，则增加该操作的难度
• 让人们易于发现一定会出的差错，以便容易纠正
• 不要把操作看成一种差错，要帮助操作者正确地完成动作。应该将操作认为近似于预期目标。

新手更容易犯错，专家更容易失误。错误深深源于对系统的当前状态模糊不明确或含糊不清的信息，缺乏良好的概念模型、不恰当的程序。大多数错误来自选择了错误的目标或计划，或者进行了错误的评价与解释。之所以发生所有这些，因为系统对选择目标和完成方式(执行计划)不能够提供充分的信息，及对实际发生的结果缺乏良好的反馈。

差错的主要来源，尤其是记忆失效性差错，是记忆中断。当一个活动被其他一些事件打断，打断的成本远远大于需要处理中断所失去的时间：也就是恢复被中断了的行动的成本。

关于差错的解决方案

• 增加约束以阻止差错的发生
• 撤销
• 差错信息确认
• 使正在操作的对象更加显眼
• 让操作可逆
• 合理性检查
• 减小失误
  • 保证操作及其控制尽可能不同，或尽可以距离远
  • 去掉多余功能
  • 让功能彼此容易区分和明确可见
  • 对正在实施的动作的特性，提供可以感受到的反馈，越是灵敏的反馈越能体现新的结果和状态

发生事故常常有很多诱因，没有哪一个单独的因素能成为根本原因。

在设计良好的系统里，可能存在很多设备故障，很多的差错，但除非它们恰好精确地组合起来，否则不会酿成事故。设计良好的系统对故障有很好的免疫力，这就是为什么努力去寻找事故的"某个"原因，常常注定会失败。事故的发生，通常不存在单一诱因。

要减少事故的发生，让系统更有弹性，可以通过设计额外的差错预防机制，减少失误、错误或设备失效的机会，以及为系统中不同的零部件设计完全不同的运行机制来实现，如果一些错误将要排成一线，提醒操作者。

我们应该好好思考系统，思考所有可能导致人为失误，进而酿成事故的交互因素，然后，策划出从总体上改进系统，使之更加可靠的方案。

应对差错的设计原则

如果我们不认为人与机器是协同工作的系统，仅仅将可以自动化的任务指派给机器，剩余的留给人来做，这样就会出现困难，最终使得人们像机器一样行动。我们希望人来控制机器，这意味着要长时间保持警惕，这不是我们所擅长的。

• 将所需的操作知识储存在外部世界，而不是全部储存在人的头脑中，但是如果用户已经把操作步骤熟记在心，应该能够提高操作效率
• 利用自然和非自然的约束因素，例如物理约束、逻辑约束、语义约束和文化约束：利用强迫性功能和自然匹配的原则
• 缩小动作执行阶段和评估阶段的鸿沟。在执行方面，要让用户很容易看到哪些操作是可行的。在评估方面，要把每个操作的结果显示出来，使用户能够方便、迅速、准确地判断系统的工作状态