《人员安全绩效提升五大原则》技术指南

THE GUIDELINE OF 5 PRINCIPLES FOREMPLOYEES SAFETY PERFORMANCEIMPROVEMENT 目录 前言02 第一章：引言03第二章：原则一——人会犯错误10第三章：原则二——指责于事无补21第四章：原则三——学习与改进至关重要34第五章：原则四——环境驱动行为47第六章：原则五——如何看待失败至关重要58第七章：文化变革——从合规到承诺的深度转型70第八章：总结与展望77HOP安全绩效提升顾问团队78附录81环一可以提供的HOP核心服务内容80 前言 在当今复杂的工作环境中，人员安全绩效不仅是技术问题，更是文化与管理哲学问题。传统的责备文化已无法适应高风险、高复杂度系统的安全需求。本指南以五大人员安全绩效原则为核心，旨在帮助组织从“责备个人”转向“改进系统”，构建持续学习与改进的安全文化。 人员安全绩效的概念起源于高可靠性行业，如核电、航空、医疗等领域，在这些领域中，人为错误可能导致灾难性后果。然而，随着研究的深入和实践的发展，人们逐渐认识到，错误不是个人的失败，而是系统缺陷的表现。因此，提高安全绩效的关键不在于惩罚犯错者，而在于改进工作系统、流程和环境。 本指南的编写基于环一科技（上海）有限公司【环一】多年来在人与组织绩效(HOP)的实践成果和行业最佳实践，旨在为组织提供一套系统化、操作性强的指导原则和实施方法。无论您是企业安全管理人员、团队领导，还是一线员工，都可以从中找到适用于自己角色的理念和工具。 我们相信，通过理解和应用这五大原则，组织不仅可以显著提升安全绩效，还可以增强员工参与度、改善运营效率，并最终构建一种持续学习、持续改进的文化。这种文化不仅是安全的保障，也是组织长期竞争力的源泉。 安全不是没有事故，事故一直在，它等着被发生…安全是具备预防和应对事故和突发事件的能力。 第一章：引言 1 . 1 人员安全绩效的定义与演进 人员安全绩效（Human Performance in Safety）是一种系统性、以人为本的管理哲学，强调通过理解人类行为与组织系统的互动，提升安全与可靠性。它不仅仅是关于“人为错误”的管理，更是关于如何设计工作系统、流程和环境，使其能够支持人类高效、安全地工作。 人员安全绩效的演进历程可以分为几个阶段： 1 . 1 人员安全绩效的定义与演进 第一阶段：人为错误控制期（20世纪70-80年代） 这一时期的安全管理主要关注“人为错误”的识别和控制。人们普遍认为，事故是由个人的疏忽、粗心或故意违规造成的。管理策略主要是通过培训、纪律和惩罚来减少错误。这种方法在一定程度上提高了安全意识，但往往导致“责备文化”的形成，员工因害怕惩罚而隐瞒错误，反而增加了系统性风险。 第二阶段：系统安全期（20世纪90年代） 随着系统思维和人因工程学的发展，人们开始认识到，错误往往是系统缺陷的结果，而非个人失误。James Reason的“瑞士奶酪模型”和“潜在错误”概念极大地影响了安全管理的理念。这一时期的重点转向了系统改进，包括流程优化、设备设计和组织文化的变革。 第三阶段：安全文化期（21世纪初至今） 安全文化成为安全管理的核心议题。人们意识到，技术系统和流程的改进虽然重要，但如果没有相应的文化支持，其效果是有限的。这一阶段强调领导力、沟通、信任和学习的重要性。安全不再被视为“没有事故”，而是被视为“组织能力的体现”。 第四阶段：韧性工程与学习型安全期（当前发展趋势） 近年来，随着复杂系统理论的兴起，韧性工程（ResilienceEngineering）和学习型安全（Learning Safety）成为新的发展方向。这一阶段强调组织在面对意外和变化时的适应能力、恢复能力和学习能力。安全管理的重点从“预防事故”转向“构建韧性”。 1 . 1 人员安全绩效的定义与演进 人员安全绩效的当代定义可以概括为： 通过理解人类认知、行为和能力的局限性，设计和改进工作系统、流程和环境，使其能够支持人类安全、可靠、高效地工作，同时构建一种鼓励报告、学习和改进的组织文化。 1 . 2 五大原则的起源与意义 人员安全绩效的五大原则并非凭空产生，而是源于多年来在高风险行业中的实践总结和理论研究。这些原则凝聚了人因工程学、组织行为学、系统安全学和心理学等多个学科的智慧。 起源：核电与航空领域的实践 五大原则最早可以追溯到核电和航空这两个对安全要求极高的行业。在核电领域，美国核电运行研究所（INPO）和能源部（DOE）在上世纪90年代就开始推广人因绩效（Human Performance）的理念，并总结出了一系列原则。在航空领域，随着“机组资源管理”（CRM）和“威胁与差错管理”（TEM）等理念的发展，人们也逐渐认识到人为因素在安全中的核心作用。 这些行业面临的一个共同挑战是：技术系统越来越复杂，自动化程度越来越高，但人类仍然是系统的最终决策者和执行者。如何让人类在复杂、高压的环境中做出正确的决策，避免灾难性错误，成为了亟待解决的问题。五大原则就是在这样的背景下逐渐形成的。 1 . 2 五大原则的起源与意义 意义：从技术控制到文化变革 五大原则的意义不仅在于提供了一套实用的工具和方法，更在于它们代表了一种思维方式的转变： 从个人到系统——将关注点从“谁犯了错”转向“系统哪里出了问题”。从惩罚到学习——将事故和未遂事件视为学习的机会，而非惩罚的理由。从控制到赋能——将员工作为问题的解决者，而非问题的制造者。从静态到动态——将安全视为一种动态的能力，而非静态的状态。从管理到领导——强调领导者在创建安全文化中的核心作用。 这五大原则共同构成了一套完整的安全管理哲学，适用于任何希望通过系统性改进提升安全绩效的组织。 1 . 2 五大原则的起源与意义 本指南适用于不同角色和不同阶段的安全绩效改进工作： 1 . 2 五大原则的起源与意义 实施建议 1.诊断先行：在全面实施前，先对组织当前的安全文化和系统进行诊断，识别最需要改进的领域。2.循序渐进：不要试图一次性实施所有原则，而是选择最紧迫或最易见效的领域开始。3.领导示范：高层领导者的安全承诺和示范是成功的关键，他们需要通过言行一致地践行这些原则。4.全员参与：安全绩效改进需要所有层级的参与，确保每个人都理解自己的角色和责任。5.持续评估：建立评估机制，定期检查实施进展和效果，根据反馈调整改进策略。 适应性与灵活性 本指南提供的原则和方法具有普遍适用性，但具体实施时需要根据组织的行业特点、文化背景和发展阶段进行调整。我们鼓励组织在应用这些原则时保持灵活性和创造性，找到最适合自己的实施路径。 通过系统地学习和应用本指南，组织可以将现有的安全管理框架体系融合人员安全绩效原则，最终实现安全文化的根本转变和组织能力的持续提升。 第二章：原则一—人会犯错 2 . 1 错误是人类的常态 “人会犯错误”这一原则，初看似乎过于直白甚至消极，但它却是构建一切有效安全系统的基石，是所有安全哲学中最深刻、最需要被理解和接纳的真理。这一原则基于一个不可辩驳的神经科学与认知心理学事实：人类的大脑并非为在现代工业或技术系统中实现“零错误”而进化的。我们的认知机制——注意力、记忆力、决策模式——天生具有局限性和易错性。 认知局限与错误的必然性 人类的注意力资源有限且具有选择性。在复杂、重复或高压的工作环境中，注意力会疲劳、会分散，会不自觉地聚焦于被判断为“重要”的信号，而忽略其他线索，这种现象称为“选择性注意”。例如，一个正在处理紧急生产问题的操作员，可能会忽略某个仪表上缓慢变化的异常读数。 记忆，尤其是工作记忆，容量非常有限。当任务步骤繁多、程序复杂时，员工可能会遗漏步骤、颠倒顺序或混淆信息。此外，人类大脑在熟悉的情境中倾向于依赖“模式匹配”和“启发式”（经验法则）进行快速决策，这在大多数情况下高效且正确，但在情境发生微妙变化时，这种依赖会导致系统性偏见，从而引发错误。例如，在熟悉的设备上看到熟悉的指示灯模式，即使有细微差异，也可能被大脑自动“纠正”为熟悉的模式，导致误判。 2 . 1 错误是人类的常态 “错误是正常的”意味着什么？ 承认“错误是正常的”，并非为错误开脱，而是将错误从“道德缺陷”或“个人失败”的领域中剥离出来，将其重新定位为一个“系统性预期事件”。这意味着： 1.错误不再是“异常”：错误不是系统平稳运行中的意外扰动，而是系统运行中可预测、必然会出现的一部分。就像摩擦会导致机器磨损一样，认知过程会导致人类出错。 2.错误不再是“起因”：在事故链中，错误更像是一个“触发器”或“最后一个环节”，而不是根本原因。根本原因在于那个创造了允许（甚至诱发）错误发生条件的工作系统。一个设计良好的系统应该在错误发生前预防它，或在错误发生后包容它，防止其升级为事故。 3.错误是宝贵的学习数据：没有导致后果的错误（通常称为未遂事件或惊险事件）是系统抵御能力的“压力测试”。它们揭示了系统中哪些防护屏障是有效的，哪些是薄弱的，是预测和预防重大事故的领先指标。 因此，将“人会犯错误”作为第一原则，是安全管理思维的根本性转变：从试图创造“不会犯错的超人”，转向设计“能够包容正常人错误的强健系统”。 2 . 2 错误与违规的区别 在管理中清晰区分“错误”与“违规”，对于建立公正、有效的响应机制至关重要。混淆二者，往往会导致不公正的惩罚，破坏信任，并错失改进系统的机会。 错误的本质 错误是“对预期结果的无意识偏离”。其核心特征是无意识和非故意。当事人在行动时，相信自己正在采取正确或合理的行动。错误通常分为两类： 技能型失误 ——在执行高度熟练的例行任务时发生的无意识偏离。如打字打错、按错按钮、读错仪表。通常发生在注意力分散、疲劳或习惯性动作中。 决策型错误 ——在有意识的选择和判断过程中，由于信息不完整、经验不足、时间压力或误判情况而做出了错误的决定。当事人当时相信自己的决定是正确的。 违规的本质 违规是“有意识地偏离既定的规则、程序或安全标准”。其核心特征是有意识和故意。当事人知道规则是什么，但选择不遵守。然而，理解违规的“动机”至关重要。Sidney Dekker等人将违规分为： 良性违规—— 为了更高效地完成工作、克服程序或工具的缺陷、或适应意外情况，而采取的偏离。其意图是积极的（完成任务），但方法违反了规定。这是工作场所最常见的违规类型。 恶意违规—— 出于懒惰、漠视、破坏或追求个人利益而故意违反规则。这在正常组织中相对罕见。 2 . 2 错误与违规的区别 关键区别与管理启示 最大的灰色地带和最常见的误解，发生在“良性违规”上。当员工因程序繁琐、工具不称手、时间压力或程序不符合实际情况而选择“走捷径”时，从行为上看是违规，但从意图和认知上看，更接近于一种基于现场判断的“决策”——尽管这个决策在事后被证明是高风险的。 管理上应采取截然不同的策略： 简单地将所有偏离都标记为“违规”并进行惩罚，只会迫使违规行为地下化，让组织失去了解系统真实缺陷的机会。正如那句深刻的话：“当遵守规则成为不可能时，违规就成了必然。” 管理者的首要任务，是让遵守规则成为可能且合理的选择。 2 . 3 系统具备容错能力 既然错误不可避免，那么优秀系统的标志就不是“不出错”，而是“出错也不坏事”，即具备容错能力。容错性是指系统在组件（包括人类组件）发生故障或错误时，仍能继续正常运行或将后果控制在可接受范围内的能力。 容错系统的核心设计原则 冗余：为关键功能或信息提供备份。例如，重要的控制信号双路传输；关键步骤由两人独立执行并核对（“双重检查”）；重要参数有多个仪表显示。冗余提供了错误被及时发现和纠正的机会。 故障安全：设计系统在发生故障或错误时，会自动进入一个已知的、更安全的状态。例如，断电时阀门自动关闭；电梯钢丝绳断裂时安全钳自动启动；软件输入异常值时默认采用安全预设。 逆转与恢复：使操作易于逆转，或提供清晰的恢复路径。例如，软件中的“撤销”功能