# Accident Models in Post Mortems Navigation: [[index]] | [[@2018__SREcon18 Americas__Architecting a Technical Post Mortem]] ## 概要 SREcon16 Europe(2016年7月、ダブリン)での 2 部構成チュートリアル。[[Etsy]] の [[Will Gallego]]・[[Nathan Hoffman]]・[[Miriam Lautner]] の 3 名が担当した。前半(Miriam)は複雑系事故理論・事故モデル(Bad Apples / ハインリッヒのドミノ理論 / James Reason のスイスチーズモデル)・「ヒューマンエラー」という概念の批判的検討、後半(Will)はブレーム認識(Blame Awareness)と 7 カテゴリのデブリーフィング問いかけ手法という実践技術を扱う。理論と実践を1セッションで接続した点が特徴。 ## 主要メッセージ - **「ヒューマンエラー」は説明でなくラベル**: Amazon・NASDAQ・ドイツ鉄道の事故がすべて「ヒューマンエラー」と報告された事例(p.17-19)を示し、この語が「調査終了」を宣言する形骸的ラベルであることを批判する。 - **複雑系では事故は「ノーマル(Normal Accidents)」**: Charles Perrow の概念を引用し、複雑システムはロバストで予測不能、大規模事象を生み出す性質を持つ(p.11)。Surprise(驚き)は設計に内在する。 - **事故モデルの進化**: Bad Apples 論 → ハインリッヒのドミノ理論 → Reason のスイスチーズモデルへの移行を示し、システム視点への転換を促す(p.20-35)。 - **安全性は創発的特性**: 「Safety is an EMERGENT PROPERTY that arises when components and processes interact with each other and their environment」(Sidney Dekker、p.34)。 - **原因は構築される**: 「Cause is not something you find. Cause is something you construct.」(p.36)。 - **ブレーム認識とバイアスの自覚**: 事後分析で発動しやすいバイアス(後知恵バイアス・反事実的思考・結果バイアス・知識の呪い・防衛的帰属)を一覧化し、名指しせず呼び出す技術を提示(p.52-61)。 - **デブリーフィング 7 カテゴリ**: Cues / Interpretation / History / Goals / Action / Communications / Help の各問いかけカテゴリで当事者の視点を段階的に再構築する(p.82-95)。 - **学習が目標であり、修復は必須でない**: 「Action items not always necessary / Soak time」(p.97)。 ## 視覚的に重要な図表 **p.8 失敗の星型図** ![[_attachments/2016__SREcon16Europe__Accident-Models-in-Post-Mortems/page-008.png]] 「It's just too crazy to try to explain...」という証言とともに、Interview・No cabs・Coffee・Keys・Bus strike・Broken car・Spare keys が Failure を中心に放射状に配置される。単一原因への帰着を拒む複合的連鎖の視覚化。 **p.20 Bad Apples モデル** ![[_attachments/2016__SREcon16Europe__Accident-Models-in-Post-Mortems/page-020.png]] 「The system is basically safe. Unreliable humans cause failure. Get rid of bad apples.」——最も古く、最も批判されるべき事故モデルの定式化。 **p.31 James Reason のスイスチーズモデル** ![[_attachments/2016__SREcon16Europe__Accident-Models-in-Post-Mortems/page-031.png]] 複数の防御層(チーズスライス)にそれぞれ穴(能動的失敗・潜在的条件)があり、穴が揃った瞬間に危険がシステムを貫通してアクシデントが発生する構造を示す。 **p.32 Safety vs Getting work done** ![[_attachments/2016__SREcon16Europe__Accident-Models-in-Post-Mortems/page-032.png]] 縦線を挟んで「Safety」と「Getting work done」を並置するだけのシンプルな図。安全と生産性のトレードオフを象徴的に表現する。 **p.34 Safety は創発的特性** ![[_attachments/2016__SREcon16Europe__Accident-Models-in-Post-Mortems/page-034.png]] 「Safety is an EMERGENT PROPERTY…」の引用スライド。右下に Sidney Dekker の著書 "The Field Guide to Understanding 'Human Error'" の表紙が添えられる。 **p.36 原因は構築される** ![[_attachments/2016__SREcon16Europe__Accident-Models-in-Post-Mortems/page-036.png]] 「Cause is not something you find. Cause is something you construct.」(Dekker)。右下に同書の表紙。理論パートの結論として配置される。 ## 概念・実体への接続 - 事故理論: [[事故モデル]] — Bad Apples / ハインリッヒのドミノ / スイスチーズモデルの系譜 - ポストモーテム実践: [[ポストモーテム]] — Blame Awareness・ローカル合理性・修復的正義 - 登壇者: [[Will Gallego]]・[[Nathan Hoffman]]・[[Miriam Lautner]] - 所属: [[Etsy]] - 関連ソース: [[@2018__SREcon18 Americas__Architecting a Technical Post Mortem]](Will Gallego が 2 年後に同主題をより深化させた講演) ## 参照文献(スライドより) - Charles Perrow, *Normal Accidents* (1984) - Sidney Dekker, *The Field Guide to Understanding 'Human Error'* - Jens Rasmussen, "Risk management in a dynamic society" (Safety Science, 1997) - J. Reason, E. Hollnagel, J. Paries, "Revisiting the Swiss Cheese Model of Accidents" (Eurocontrol, 2006) - Steven Shorrock, "Life After Human Error" Velocity 2014 - Rosness et al., "Organisational Accidents and Resilient Organisations: Five Perspectives" (2004) ## 限界・不確実点 - transcript なし(動画・音声未取得)。スライドに「次のセッション用宿題」(p.99)が含まれており、このセッションが 2 部構成チュートリアルの第 1 部である可能性がある。 - 発表日は 2016 年 7 月(SREcon16 Europe 開催期間)の推定。正確な日付は不明。 - p.19-22 など一部スライドは画像が API サイズ制限で確認不可。テキスト抽出で補完した。 - 「Blame Awareness」パートのバイアス一覧スライド(p.56-60)は引用元が Walster (1966) 以外不明確。