事故的價值在於它教會你的事。無咎事後檢討把焦點從「誰搞砸」移到「什麼讓這個錯誤變得容易發生」——人不是根因,脆弱的系統與流程才是。怪罪只會讓人隱藏資訊,下次事故更難查。
🧠 Intuition
TIP
假設每個人在當下、用當時握有的資訊,都做了合理的決定。問題不是「他為什麼按了那個按鈕」,而是「為什麼系統讓那個按鈕這麼容易按錯、又沒有護欄」。
- 目標是組織學習,不是問責。產出是「可執行的改善項」,不是「處分名單」。
- 心理安全是前提:工程師敢誠實還原時間線,根因才浮得出來。
- 每個 action item 要有 owner 與追蹤,否則 postmortem 變成寫完就歸檔的作文。
⚖️ Tradeoffs
找戰犯(blameful)— 直覺但有毒
- 短期看似「有人負責了」,長期讓人隱瞞錯誤、不敢碰風險、資訊地下化。
- 根因停在「人為疏失」就不再深挖 → 同類事故會換個人再發一次。
無咎 + action item 追蹤 — 標準做法
- 還原無咎時間線 → 找系統性根因(缺護欄、告警太晚、流程有坑)→ 開可追蹤的改善項。
- 觸發門檻要明確:哪種事故「必寫」postmortem(如燒掉 X% error budget、影響 Y 個使用者)。
- 代價:要花時間、要主管真心撐心理安全。寫了不追 action item,等於沒寫。
🔑 Takeaways
- 無咎 postmortem 把焦點從「誰錯」轉到「什麼讓錯誤容易發生」,換來誠實與組織學習。
- 心理安全是前提;怪罪會讓資訊地下化,使下次事故更難查。
- 設明確的「必寫」門檻(常綁 error budget),每個 action item 要有 owner 並被追蹤。
2026-07-01
- Q:無咎是不是等於「沒人需要負責」?
- A:不是。無咎針對的是歸因方式,不是免除責任。團隊仍對「把 action item 做完、把系統變穩」負責;只是不把根因草草歸到某個人頭上而停止深挖。責任落在「修好讓錯誤容易發生的條件」,而非「處罰按錯鍵的人」。