2013年黑帽大会上,两名黑客查理·米勒和克里斯·瓦拉塞克发表了如何使用一根数据线就能控制一辆汽车的细节,但这一事件并没有引起汽车制造商的关注。两年后,这两名黑客在家里控制了一辆2014年产的吉普切诺基,它以龟速爬行在高速公路上,司机叫天天不应叫地地不灵。这次事件让克莱斯勒汽车公司召回了140万辆车升级软件,但在短短几个月之后,又被这两名黑客找到了控制车辆的漏洞。
百度图片
我们在电影中时常会看到这样的场景:正常行驶中的汽车突然被远程操控而失去控制,原本有序的街道顿时一片混乱。人们从失控的汽车中滚落,或躲避不及成为了受害者。
随着科技的发展,无人机、无人驾驶汽车,已经不再是一种概念。他们正在逐渐从理想变成现实,慢慢走近普通人的生活。所以像电影中的场景,看似离我们很遥远,但已经实实在在出现在了我们身边。
汽车被频频远程控制,是汽车制造商无能,还是编写软件的工程师错误百出,还是克莱斯勒公司本身的管理存在问题?汽车里的网络系统错综复杂,从手机连接汽车里的娱乐系统,再从娱乐系统侵入30多个计算机,正是这些紧密联系、看似牢不可破的网络系统,让黑客找到了可趁之机。
手机、电脑、高铁、飞机……这些与我们紧密联系的网络系统,理论上应该是最安全的,但为什么与我们的信息和生命密切相关的系统会酿成惨剧,变得危险呢?克里斯·克利尔菲尔德和安德拉什·蒂尔克斯在《崩溃》一书中,给了我们答案。
图源豆瓣
作者克里斯曾在证券行业工作,经历了雷曼兄弟银行倒闭和全球股市动荡。在进行飞行员训练的时候,克里斯对避免灾难性错误的问题产生了兴趣。安德拉什创办了“组织机构灾难性失灵”的课程,不同背景的经理人在这个课程中一起研究、分享他们遇到的崩溃事件。结合自身的经历和他人分享的案例,克里斯和安德拉什将这些案例在《崩溃》一书中做了详尽的描述和分析,给读者带来了宝贵的资料财富。
克里斯和安德拉什在《崩溃》一书中,给读者讲述了为什么那些看上去强大无比的系统会失灵,看些看似不起眼的事件是怎样增加了系统的复杂性,使系统紧密耦合。在面对复杂且紧密耦合的系统时,如何使用结构化决策、通过异常现象化学习、倾听异见者的建议、建立多元化团队和透明系统等,让系统更加安全,避免系统的崩溃失灵。
一、复杂性和紧密耦合,让系统崩溃的罪魁祸首
耶鲁大学有个著名的“校园中最阴郁的小组”,这里的“阴郁”不是指组员们的性格,而是他们研究的课题:灾难。
《常态事故》的作者、灾难学大师查尔斯·培洛是耶鲁大学的一名教授。多年来,他带领他的灾难研究小组,对历史上发生过或者正在发生的灾难性事故进行原因调查和本质分析。飞机坠毁、化工厂爆炸,数以百计的灾难事故研究,让他们发现了一个惊人的结论:所有的事故发生,都可以归咎于两个诱发因素:系统复杂性和紧密耦合。
炒菜是个简单的流程工作。热锅冷油,葱姜蒜爆锅,放入青菜翻炒,调味出锅。在这个过程中,所有的环节透明可见且可以控制,所以说炒菜这个流程不具有复杂性。
复杂系统正好相反,整个系统不透明,各个环节以我们可知或者不可知的联系相互作用,能够显示系统工作的,可能仅仅是一个压力表,或者某个指示数字。无论系统内部出现了任何问题,我们都无法用肉眼直接观察到。
曾经创造了钻井史上奇迹的“深水地平线号”发生了爆炸,造成11人丧生。爆炸发生后87天,英国石油公司堵住了一直持续的井喷,但是已经有近500万桶石油泄漏进了墨西哥湾。
百度图片
租赁“深水地平线号”这座钻井平台,英国石油公司每天需要支付100万美金。所以英国石油公司的工程师希望进行更深入的钻探,尽快找出新的石油资源。
水下高压环境对于工程师们而言是个完全不透明的系统,他们看不到地层几英里之下是什么情况。他们只能依赖于计算机模拟、井压、水泵流量这些仪器提供的数据,来判断下一步应该做什么。
不仅工作环境不透明,整个钻井平台的操作也是一个复杂的系统。精密的安全系统有30多个控制按钮,应急手册上描述的突发事件让人看得晕头转向,根本不知道应该怎样应对。理论谁都懂,但是一旦事件发生,大脑往往一片空白。
为了尽早完工,英国石油公司的工程师们忽略了接近临界值的压力指标,跳过了系统模拟测试,将问题掩盖在了复杂性之下,于是灾难发生了。
紧密耦合,顾名思义:环环相扣、严丝合缝,甚至还有让人意想不到的“化学作用”。
好比你要从家出发去火车站,从家到地铁需要30分钟,坐地铁到火车站需要1个小时,火车上午10点开车,你正好8点半从家出发,于是你完美地错过了这班列车。这就是一个最简单的紧密耦合过程。
第89届奥斯卡《爱乐之城》的最佳影片奖,成为了奥斯卡史上最大的乌龙事件。克里斯和安德拉什在《崩溃》一书中,详细分析了这次颁错奖的前因后果。
百度图片
普华永道会计事务所的合伙人卡利南和路兹统计了奥斯卡获奖选票,每个奖项信封一式四份,分别在两个一模一样的公文包里,各放了两张一模一样的获奖信封。
奥斯卡颁奖典礼上,卡利南和路兹站在后台,他们要做的是集中所有注意力,将正确的信封交到主持人手中。最佳影片奖的前一个奖项是最佳女演员,卡利南抽空拍了张艾玛·斯通的照片发到了推特上,然后把下一个获奖信封递给了主持人。然而致命的是,卡利南片刻的走神,使他犯了一个巨大的错误:他递给主持人的不是最佳影片奖的信封,而是两张一模一样的最佳女演员中的另一个!
百度图片
获奖卡片上电影的名字很大,而奖项的名字很小,主持人只看到了《爱乐之城》几个字,便宣布它获得了最佳影片奖。
获奖信封的准备方式、递给主持人的卡片、获奖名单的保密性、电视直播和观众,让整个事件紧密耦合。
原本多准备的信封,是为了防止普华永道两个合伙人中一个因为突然状况无法到达现场,也是为了防止信封丢失,本意是为了多一道保障,增加安全性。但也正是为了增加这种安全性,同时也增加了系统的复杂性。
查尔斯·培洛指出:在紧密耦合的复杂体系中,安全系统是造成灾难性失败的最大根源,没有之一。
如果没有备用信封,卡利南就不会递给主持人错误的信封,也就不会闹了这么一出乌龙笑话。
二、异常现象化学习,从微弱的警示中识别大错误
从上述的案例中可以看出,复杂性和紧密耦合虽然是造成系统崩溃的元凶,但是两者往往在同一个系统中同时存在,
复杂性使系统紧密耦合,紧密耦合增加了系统的复杂性。两者相辅相成 ,密不可分。那么有没有办法可以减少系统的复杂性或者紧密耦合,让系统免于崩溃的灾难呢?
克里斯和安德拉什在《崩溃》一书中指出,给系统加上松动空间,或者为了减少系统的复杂性而重新设计,可能会带来更高的成本和较低的性能。但是与降低风险相比,所有的这些投入都是值得的。并且除了直接变更系统,还可以通过加强管理的手段来改善状况,异常现象化学习就是个很有用的方法。
从任何小的过失和未遂事故中获得经验教训,通过分析表象找出根本原因,这个学习过程就是“异常现象化学习”。
异常现象化学习首先要收集各种未遂事故报告和已经发生的错误事件。要发现系统哪里出了问题,收集异常数据是非常重要的一环。
美国国家航空航天局在它的月报《回话》中报道了从飞行员、空中交通管制员、航空从业人员等那里收集到的数千份异常情况报告。这些报告不仅限于在某个航空或者飞行机构内部分享,而是在整个行业中共享资源,让整个行业都能了解到其他人所经历过的异常情况和事故,从中获得了哪些经验和教训,以便看到它们的人员和机构能够避免相同的事故发生。
百度图片
克里斯和安德拉什指出:分享未遂失误能让人们明白,错误是系统的一个正常部分,并帮助我们预想,当我们自己哪一天遇到问题时该怎么办。第二步是解决这些异常问题。并不是说不去管事故发生的根本原因,只是在面对异常问题的时候,首先要先解决正在发生或者已经识别出的问题,这才是当务之急应该做的事情。
第三步就是深入挖掘,找出问题的根本原因并想办法应对,这是非常关键的一步。最后一步还需要确认的是,我们在分析问题,找出根本原因之后所采取的行动是行之有效的。
搜集未遂事故,马上解决发现的异常情况,找出问题的根本原因和解决方案,将事故调查报告在全行业中分享,通过审计来考察所提供的解决方案是否行之有效,再搜集未遂事故……整个过程是一个不断循环往复的过程,系统的复杂性让我们无法一次就将所有的问题找出和解决完毕,要不断地去发现问题解决问题,将灾难消灭在萌芽中。
三、鼓励异见,直面“独立思考之痛”
大家可能都能经历过这样的情况:当所有人都觉得某个问题的答案是A,只有你一个人认为答案是B的时候,你通常为了不给自己惹麻烦或者随大流,也说答案是A。
为什么不坚持己见,说出自己的想法,即使知道其他人答案是错误的时候,也会随大流地跟着选择错误的答案呢?
科学家使用机能性磁共振成像法在上述情况下观察大脑的反应,当我们与他人的意见不同时,“大脑中探测错误相关的区域变得非常活跃”,大脑传递给我们的信号是:你犯错误了,赶紧改正!同时“大脑中预期获得奖励的区域活动也会减慢”,这部分大脑传递给我们的信号是:与别人不同对你可没有好处。最后科学家们得出的结论是:当我们与团队中的大多数人想法不一致的时候,我们的大脑会告诉我们这样做会受到惩罚。
艾莫利大学的神经学家格雷格·伯恩斯一项关于扫描大脑的实验证明,当个别人与团队的意见不一致的时候,大脑中处理感情的区域会变得高度活跃。这表明要承认与他人意见不一致的时候,人们的感情会变得非常痛苦,研究人员称之为“独立思考之痛”。
百度图片
这样我们就知道,为什么有时候团队成员中即使有人看出了系统的错误和隐患,但是很少有人挺身而出说出自己的想法,一是因为大脑会告诫我们这么做会受到惩罚,二是大脑会让我们的情感变得痛苦。
要与自己的大脑对抗谈何容易,但也不是没有解决之道。
克里斯和安德拉什在《崩溃》中告诉读者,可以通过三个行动,鼓励人们说出自己的异见,为发现系统的漏洞尽可能的增加信息来源。
首先,在团队中成立培训组织,或者行业内建立培训机构。不仅培训一线的底层员工,更要培训各级的领导主管。员工要学会如何大胆地说出自己的异见,主管要学会如何善于倾听,谦逊地接受这些异见。在安全责任的问题上,无论是员工还是主管,都要有更平等的地位,人人都具有安全责任感和使命感。
其次,软化权利。高高在上的人很难有人跟他推心置腹,即使异见者充满了责任感和使命感,在对这种高高在上的人表达自己真实想法的时候也会存在犹豫。波士顿大学商学院院长肯·弗里曼对这种情况给出的建议是:软化权利。
想要员工接近自己的主管可以想想,你的办公室是不是过于华丽,是不是距离员工工作区太远,你是不是拥有自己独立的电梯,每次员工汇报工作的时候你都是居高临下颐指气使的态度……如果这些答案都是肯定的,那么你就应该试着弱化你的权利了,否则员工永远没有办法把自己的异见对你说出来。
员工汇报工作的时候让他坐下来,把办公室搬到员工工作区,让大家看到你的工作状态,和大家乘坐同一部电梯,弱化你在员工心中强势、只可远观的形象。谦虚的态度能让大家感觉你是个平易近人的人,大家也更愿意把自己的真实想法表达出来。
百度图片
第三,领导人最后说话。上来就说出自己的想法和决定的是权威型领导的作风,他要做的就是让员工认同他的意见并执行。开放型领导则先听取员工的建议,最后才说出自己的意见。
上世纪70年代,心理学家马蒂·费劳尔斯通过一个简单的实验得出这样的结论:想要获得更多的问题解决办法,做开放型领导就可以了。
其实理解起来很简单,当领导一来就说我希望怎样做,哪里会有员工说出自己的异见,当然是领导说什么就做什么了。
“在一个复杂的系统中,任何人都只能有限地了解正在发生什么。如果这个系统同时也是紧密耦合的,怀疑意见就是关键,因为犯错误的代价实在太高。在危险区内,不同意见不可或缺。”2019年1-5月,据不完全统计,国内化学品事故发生817起,死亡人数409人。每一例事故都付出了惨痛的代价,但也为行业其他企业提供了无比宝贵的案例资料,希望通过异常现象化学习,相同的问题不再在其他企业发生。
系统的复杂性,无法让人们一眼就看透它所有的问题,异见者们提供的信息就显得异常重要和珍贵。克里斯·克利尔菲尔德和安德拉什·蒂尔克斯希望通过《崩溃》中讲述的案例和方法,告诉读者无论在个人的工作生活中,还是管理组织机构中,在面对困难甚至是全球性的挑战时,都能够做出正确的决定,避免系统失灵崩溃的局面。
参考资料:
《崩溃》,四川人民出版社。
公众号:班组安全。
