Den mänskliga faktorn En faktor att räkna med! Anders Jansson IT/MDI Dagens föreläsning Vad händer när det går fel? Exempel på olyckor och incidenter Varför blir det fel? Felhandlingar / Latenta systemfel Vad vet vi om människan? Om det kognitiva systemet Hur kan man förebygga fel? Barriärer, säkerhetskultur Resilienta system TMI, Harrisburg
Gottrörakraschen Sleipnerolyckan Sleipner före...och efter Tjernobylolyckan 2
X2000-incidenten ATC Rött!? Men det blir nog snart grönt Baliser Nedskjutningen av ett iranskt passagerarplan Signaldetektionsmatris Operatörens Reaktion! JA NEJ Närvarande Träff Miss Hotande fara? Frånvarande Falskt alarm Korrekt nekande 3
Human error På svenska: den mänskliga faktorn En generisk term, med vilken avses: Alla tillfällen och situationer då en serie planerade mentala och kognitiva handlingar inte leder till förväntat resultat, och där dessa avvikelser inte beror på rent slumpmässiga förhållanden Klassificering av fel Tre olika analysnivåer Beteendenivå Observerbara fel, fokus på konsekvenser Kontextuell t nivå Begränsade antaganden om kausalitet Lokalt triggande faktorer som avslöjar varför vissa misstag uppstår i en viss miljö Konceptuell nivå Fel klassificeras med hjälp av antaganden om hur kognitiva mekanismer fungerar Kognitiva systemet Ett huvudsakligen välfungerande system, men med vissa brister En kognitiv balansräkning Kognitiv ekonomi Prestation Felhandlingar är av ett begränsat antal typer och former Felhandlingar kan variera, men även vara relativt konstanta 4
Kognitiva systemet forts. Kognitiv psykologi Läran om människans kunskapsprocesser: hur människan inhämtar, representerar, behandlar och använder information Sagt om kognitiv psykologi Kognitiv psykologi är vetenskaplig grund för samhällsvetenskaperna, på samma sätt som fysik är vetenskaplig grund för naturvetenskaperna (John R. Anderson, 2009) Tre kategorier av minne Människan har tre olika typer av minnen som följer den sekventiella indelningen: Sinnesbuffertar Arbetsminne Långtidsminne Sinnesbuffertar Skyddar oss från alltför många intryck Stöd för att fokusera uppmärksamheten Räckvidd: Mellan 00 msek. och 3 sek. Alla sinnesbuffertar har egenskapen att de kontinuerligt töms Olika typer av buffertar för olika sinnen: Iconic memory Visuellt Echoic memory Auditivt Haptic memory Haptiskt/Taktilt 5
Interaktionsdesign Uppmärksamheten spiller över från sinnesbuffertarna till arbetsminnet: Användare i datormiljöer, som ofrivilligt måste ägna sig åt hur ett datorprogram fungerar istället för att ägna sig åt den arbetsprocess han eller hon är satt att sköta, drabbas ofta av detta problem. Stress och omotivation kan vara resultat av en sådan arbetssituation Arbetsminnet Arbetsminnet kan beskrivas som en mental arbetsrymd med olika delar: En central processenhet Två slavsystem för tillfällig lagring: Fonologisk loop: Språk- och hörselbaserad mental arbetsrymd Visuospatialt skissblock: Visuellt baserat mentalt anteckningsblock Arbetsminnet forts. Volym på 7 + 2 enheter Avklingningstiden för objekt och enheter ete är ca. 5 sek. Mycket störningskänsligt En enhet kallas en chunk En chunk" kan innehålla olika mycket information beroende på hur innehållet organiseras 6
Arbetsminnet forts. Den begränsade kapaciteten leder till en omedveten önskan hos oss att skapa chunks för att optimera användningen av arbetsminnet Att framgångsrikt skapa en chunk för ett helt arbetsmoment innebär effektiv användning av arbetsminnet (jmf. med Gestaltlagen: Closure) Interaktionsdesign 2 Chunking och closure är två begrepp som har stor betydelse för interaktionsdesign Ett exempel är de tidiga bankautomaterna där användaren fick pengarna innan kortet lämnades tillbaka. Efter att alltför många glömt sitt kort i automaten gjordes interaktionsprinciperna om. Interaktionsdesign 3 En bra princip är att se till att användaren alltid har all information som behövs för att slutföra ett arbetsmoment Användaren ska kunna koncentrera sig på innehållet i arbetsprocessen, inte på hur datorverktygen fungerar 7
2704 2704 7905 7905 7807 430 m m fredag 29 06.00.00 Cst So Hel Sol Nvk Skby Nola Myn Eby Säy november Ke Udl Kmy Hgv R Upv Rs Mr Kn U 07. 560 07. 7909-8 956 7809 7909 2283 7908 7808 7906 7806-2 -2 2706-52 532 2708-0 2209 2707 820 2608 560 2204 430.30 - - 7907 2607 7807 2705 7905 7905 2705 2704 2607 2609 2607 7808 7809 7906 7907 7806 7807 230 06.00.00 06. Sol Hgv 2 3 4 Cst Ke 7905 So Udl 2704 604 7905 2705-2704 2 3 2704 Hel Sol Nvk Kmy Hgv R - -4 604 4 2 2607 2 3 Skby Upv 7807 Nola Rs 2683 2709-2704 2707 604 2705 2705-2607 2209 4 2 3 4 7905 2 3 4 5 6 5 4 2 2 7 604 2 3 Mr 2707 430 2 3 Myn 430 2 Kn +2 602 2209 602 Eby 230 Säy 2204 604 430 602 602 230 2209 3 3 4 3 3 4 4 5 7 2 2 0 230 U -6.50 2683.40.30.20.0 2709 2609 228 2707 2607 7809 9 7907 7807-2 06.02 RST RC6-9 06.0 SS 26 3.9-5 32 40 +2 602 30-3.34 70.40-0 679 30 886 ton 40.470 m 2 2209-3 06.08 RST RC6-4 06.44-0 SS -3 00 40 2209-3 30-2.34 70.40-0 356 30 480 ton 6.560 m Långtidsminnet Två olika typer av minne Deklarativa minnet Procedurella minnet Tre olika inkodningsnivåer Strukturell inkodning Fonologisk inkodning Semantisk inkodning Typer av långtidsminnen Deklarativa minnet Episodiska minnet Händelse och tids- styrt minne Semantiska minnet Kunskapsminne Procedurella minnet Sensomotoriska och kognitiva färdigheter Inlärd skicklighet inom olika områden Klassisk betingning Inlärning genom omedveten och automatisk association 8
Deklarativa minnet Episodiska minnet Händelsestyrt. En serie av händelser före/efter Tidsstyrt. Abstrakta modeller av tid påverkar vårt sätt att minnas Semantiska minnet Semantiska nätverk Associationer mellan objekt och händelser Ofta använda minnen förstärks Rekonstruktivt, dvs. det återskapar förståeliga helheter, dock ej alltid korrekt Heuristics - tumregler Två grundläggande kognitiva tumregler (heuristiker) Representativitet: likhetsmatchning Den här situationen liknar.. När vi har tillgång till många relevanta cues Tillgänglighet: frekvensspel Den här situationen inträffar ofta.. När cues är tvetydiga och domänkunskapen låg Felaktiga beslut Det kognitiva systemet tenderar att, i situationer av underspecificering, reagera med kognitiva operationer i form av tumregler som tidigare visat sig vara användbara Detta ger upphov till en rad olika former av fel, och dessa fel uppstår på alla kognitiva nivåer 9
Mentala bilder Minnesstöd Vilken stad ligger längst norrut Rom eller New York? London eller Amsterdam? Vilken stad ligger längst österut? Prag eller Stockholm? Ett filosofiskt problem. the problem of mental representation might be the most difficult problem to solve in all of the sciences (Paivio, 986) Olika mentala modeller Deskriptiv kunskap Ger en bra översikt Är lätt att delge Ger en bra helhet Kräver strategier på hög nivå Strukturella mentala modeller Procedurell kunskap Ger en bra operativ förmåga Är svår att förmedla Ger många detaljer Kräver strategier på låg nivå Funktionella mentala modeller 0
Mentala modeller forts. Strukturell modell T.ex. en mental karta över tunnelbanan eller hur en bilmotor är uppbyggd + Behövs för helheten - Omfattande och ibland överflödig information Funktionell modell T.ex. kunskap om hur man åker tunnelbana, eller använder en bil + Snabb, effektiv och praktisk - Inte tillräcklig vid större förändringar Mentala modeller forts. Strukturell modell Dessa modeller är ofta oberoende av kontext och har därmed d fördelen att de kan användas i fler sammanhang genom att de integreras med annan kunskap Funktionell modell Dessa modeller är kontextberoende och har därmed fördelen att man snabbt och enkelt lär sig en viss situation Interaktionsdesign 4 Systemutvecklarens uppgift är att ge användaren ett verktyg som stödjer användningen av den mentala modell som användaren behöver för att utföra sin arbetsuppgift Varning: se upp för felaktiga mentala modeller!
Funktionella modeller Många av de modeller vi använder är bristfälliga eller felaktiga Särskilt förståelse av fysiska lagar, ekologiska samband samt biologiska och kemiska processer är svåra att helt korrekt uppfatta Intuitiva uppfattningar om krafter, rörelser, strömmar mm. Tänkande Människan använder tre olika former av tänkande Induktion Vi konfirmerar hellre än falsifierar tidigare kunskap Deduktion Vi drar rimliga men inte alltid rationella slutsatser Abduktion Vi konstruerar troliga orsaker baserat på tidigare vetskap Induktion Erfarenhetsbaserade resonemang Instans + Instans 2 = Kunskap Leder till generaliseringar Går ut på att resonera från det enskilda fallet till alla fall 2
Deduktion Hypotetiska resonemang Premiss + Premiss 2 = Slutsats Leder till konklusioner Går ut på att resonera från givna premisser (utsagor) till det enskilda fallet Abduktion Orsakssökande resonemang Händelse X - Händelse X- osv. Leder till förklaringar Går ut på att resonera baklänges från verkan till orsak Interaktionsdesign 5 För att underlätta användning av naturlig induktion och deduktion bör man vara mycket konsekvent vid utformning av symboler, menyer, funktionsknappar, mappar mm. 3
Rimliga deduktioner Människan resonerar ofta rimligt, men inte alltid rationellt och logiskt Logik och sanning är inte samma sak Rationalitet och rimlighet är inte samma sak Rationalitet och logik kräver tunga beräkningar. Vårt psyke klarar inte alltid dessa procedurer. Vi använder istället tumregler (heuristiker) Exempel på tänkande E K 4 7 På varje kort finns det en bokstav på ena sidan och en siffra på andra sidan. Vilka kort måste man vända på för att ta reda på om följande regel är sann eller ej: Om det är en vokal på ena sidan av kortet, då är det ett jämnt nummer på andra sidan av kortet. Rimliga induktioner Induktion är den vanligaste formen av resonemang Bygger på principen pe hellre e bekräfta än kritisera Induktiva resonemang stärker vår uppfattning och medför att vi slipper den kritiska analysen 4
Dominansstrukturering En speciell form av induktion Rekonstruktion av motiv i efterhand för att rationalisera beteenden och beslut Positiva aspekter förstärks Negativa aspekter förträngs Abduktion Används ofta vid analyser av olyckor och tillbud Sökning bakåt i orsakskedjan s för att hitta den utlösande faktorn Vanlig form av analys för att identifiera den mänskliga faktorn Kognitiv kontroll Medvetna processer Begränsad kapacitet Långsamma Ansträngande Sekventiella Utförliga Nödvändiga i vissa situationer Automatiserade processer I princip obegränsade Snabba Vältrimmade Parallella Tysta Hanterar rutiner och regelbundenheter 5
Medveten process Använder arbetsminnet i hög utsträckning Informationsinnehållet i medvetna tankeprocesser är lätta att uttrycka Ger upphov till felhandlingar som följer planen, men planen är fel Vi upplever medvetna processer som pålitliga, men de är instabila Automatiserad process Sedan länge invanda rutiner Består av tyst kunskap som oftast inte går att förklara a Ger upphov till fel som är uppenbara i samma stund som de realiseras Vi är ofta osäkra på om vi kan lita på dem, och underskattar därför deras reliabilitet Kognitiva beslutsnivåer Tre nivåer av problemlösning och tänkande hos användare och operatörer Kunskapsnivån Regelnivån Skicklighetsnivån Medveten nivå Automatiserad nivå 6
Kognitiva nivåer Hög, medveten kognitiv nivå Låg, automatiserad kognitiv nivå En sak åt gången Hög parallellkapacitet Intentioner och fel Användningssituationer innehåller fel av en rad olika typer Ofrivilliga handlingar Oavsiktliga handlingar (slips and lapses) Handlingar med intention som ändå ger fel utfall (mistakes) Medvetna felhandlingar (violations) Två kategorier av fel Typer a fel Har sina ursprung i olika nivåer av medvetande Bedömningsfel & Misstag Planeringsfel Tabbar & Förbiseenden Lagringsfel Exekveringsfel Former av fel Har sina ursprung i olika kognitiva processer, varav två generella är Likhetsmatchning: den här situationen liknar... Frekvensgissning: det vanligaste i den situationen är... 7
Typer av fel Resultat från studier av operatörer visar på typer av fel på tre nivåer Skicklighetsbaserade tabbar Regelbaserade misstag Kunskapsbaserade misstag teknologi Informationst Slutsats om typer av fel Det kognitiva systemet tenderar att i alla situationer sträva efter resursoptimering och reducering av den kognitiva belastningen Detta ger upphov till en rad olika typer av fel där medvetandenivån bestämmer felens karaktär 8
Former av fel I Människor resonerar enligt principen Likhetsmatching Människor använder sällan logik, utan använder principer om likhet för att reducera den kognitiva belastningen Tumregler baserade på representativitet Frekvensgissning På samma sätt används principer om tillgänglighet Tumregler baserade på tillgänglighet Former av fel II Människor fattar beslut enligt principerna bounded rationality Ingen fullständigt rationell analys, utan snarare en analys från den vy av världen som man har tillgång till (nyckelhålsperspektivet) satisficing Tillräckligt bra istället för optimala beslut Former av fel III Olika typer av tänkande används i olika problemlösningssituationer När många detaljer är kända använder vi konvergent tänkande: Ofta likhetsmatchning När få detaljer är kända använder vi divergent tänkande: Ofta frekvensgissningar Divergent tänkande Utgör grunden i det som brukar kallas heuristisk kompetens Förmåga att se likheter mellan problem i helt olika situationer Konvergent tänkande Utgör grunden i det som brukar kallas epistemisk kompetens Förmåga att fokusera på detaljer i problemen 9
Kognitiva tumregler Kognitiva operationer är alltid underspecificerade när det inte finns tillräckligt med information som direkt anger vilken åtgärd eller handling som är lämplig Komplexa problem med dynamik och ogenomskinlighet är sådana situationer När kognitiva operationer är underspecificerade så blir operatörernas handlingar i hög grad styrda av tumregler om kontextuell anpassning och tidigare frekvent använda åtgärder Slutsats om former av fel Det kognitiva systemet tenderar att, i situationer av underspecificering, reagera med kognitiva operationer i form av tumregler som tidigare visat sig vara användbara Detta ger upphov till en rad olika former av fel, och dessa fel uppstår på alla kognitiva nivåer, oavsett medvetandenivå Styrd av kontext! Bagage Plantage Garage Apanage Komage Potatismos Rotmos Snömos Plåttermos 20
Hur upptäcks felen? Operatören övervakar själv sina ingrepp Signaler i omgivningen i påkallar operatörens uppmärksamhet En annan person upptäcker fel och gör operatören medveten om detta Fel på lägre kognitiva nivåer är både enklare att upptäcka och enklare att korrigera Ungefär 75% av alla felhandlingar korrigeras av samma person som gjort felen Latenta systemfel Utvecklingen går mot färre men allvarligare fel, ofta latenta sådana Systemen är i allt högre grad automatiserade Systemen blir alltmer komplexa och därmed blir konsekvenserna vid ett fel allvarligare Systemen har allt oftare barriärer mot fel inbyggda på olika nivåer Latenta systemfel 2 Systemen blir mer ogenomskinliga och allt svårare att påverka manuellt Automatiseringens s ironi Systemkonstruktörer försöker ofta bygga bort så många manuella ingrepp som möjligt, kvar lämnar de endast de situationer som inte går att modellera eller på annat sätt förutse. 2
Barriärtänkande Består av insikten att det behövs olika typer av barriärer för att få ett effektivt skydd Fysiska barriärer Administrativa barriärer Mänsklig övervakning Kollektiv säkerhetskultur Barriärer och redundans Barriärer kan utformas med redundans (flera parallella) Barriärer kan vara a redundanta da (flera olika typer) Konsekvensanalys Om en barriär forceras bör en konsekvensanalys genomföras för att man ska skaffa sig kunskap om vad som kunde ha inträffat om ytterligare en barriär hade genombrutits På så sätt värderas styrkan i de barriärer som stoppade förloppet 22
Barriärer inom kärnkraft Fysiska barriärer Exempel Överströmsskydd Säkerhetsventiler Säkringar Spärrar av olika slag Administrativa barriärer Exempel Instruktioner Regler Utbildning Provrutiner Säkerhetskultur Resultat Produktion Säkerhet Mål Ekonomi Förtroende Effektivitet Organisation Metoder Medel Säkerhetskultur Kompetens Struktur System Företagskultur Normer Idéer Policy Attityder Strategier Grund Säkerhet och beslut Ett delegerat beslutsfattande är nödvändigt för att en stark säkerhetskultur ska bli bestående Delaktighet i utformning av arbetsmiljöer samt i rutiner för riskhantering ger förutsättningar för en god säkerhetskultur, men...... den måste alltid återerövras! 23
Säkerhetstänkande - tillämpningsområden Säkerhetskulturen är stark inom Kärnkraftsindustrin Flygsektorn Säkerhetstänkandet är gott inom Järnvägssektorn Säkerhetskulturen behöver utvecklas ytterligare inom Sjöfarten Resilienta system Buffertkapacitet? Flexibilitet? Marginaler? Tolerans? Erfarenhetsåterföring? Top-downprocesser! Bottom-upprocesser! teknologi Informationst 24
teknologi Informationst teknologi Informationst teknologi Informationst 25
Vårt teoretiska ramverk Villkor för att kunna kontrollera ett system: mål(m) modeller (M) observerbarhet (O) styrning (S) Mål Modeller Styrning Observerbarhet Process tid Dynamiska beslut Beslut i dynamiska miljöer En serie av interberoende beslut Beslutsuppgiften förändras, både av sig själv och på grund av operatörens handlingar Besluten måste tas realtid Dynamiska beslut forts. Tre generella aspekter som människor har svårt med Komplexitet Ogenomskinlighet Dynamik 26
Komplexitet Målkonflikter är svåra att hantera i rätt ordning Sido-effekter är svåra att förutse Stora system är svåra att överblicka Systemens natur kan vara svåra att hantera Positivt återkopplade system är svåra att få kontroll på Negativt återkopplade system är svåra att påverka Observerbarhet Dålig feedbackkvalitet.. gör det svårt att veta systemets tillstånd gör det svårt att avgöra kausala samband Dålig feedbackkvalitet beror på att man inte har tillgång till all information att informationen inte är strukturerad eller presenterad på rätt sätt Dynamik Tidspress är svår att hantera om förloppen är för snabba Exponentiella e utvecklingar är alltid svåra att kontrollera Fördröjningar är svåra att kognitivt kompensera Många olika tidsskalor är svåra att integrera 27
Fördröjningar Feedback-fördröjningar kan finnas på olika ställen i en feedback-loop Dödtid är den tid det tar för ett system att svara på ett kommando Tidskonstanten är den tid det tar för ett system att uppnå ett visst (bör)värde Informationsfördröjning är den tid det tar för ett system att återrapportera status av en förändring Strategier Feedback-baserad direktinteraktion Kognitivt enkla operationer, ofta i normalfallet Perception eller automatiserade processer Ofta inte tillräckliga vid beräkningar och fördröjningar Mentala modeller (feedforward) Kognitivt ansträngande operationer Mentala modeller eller simuleringar Ofta nödvändiga vid besvärliga problem och vid avvikelser Maladaptiva beteenden Brist på heuristisk kompetens (orsaker) Att agera direkt på feedback Otillräcklig systematisering Otillräcklig kontroll av strategier t och hypoteser Brist på självreflektion Detta kan leda till (verkan) Selektiv informationsinhämtning Selektivt handlande Intellektuellt vagabonderi 28