無咎事後檢討(Blameless Postmortem)

★★★★★Reviewed

FromSREThe DevOps Handbook

📚 From the Books

無咎事後檢討(Blameless Postmortem)Incident Response

事故的價值在於它教會你的事。無咎事後檢討把焦點從「誰搞砸」移到「什麼讓這個錯誤變得容易發生」——人不是根因,脆弱的系統與流程才是。怪罪只會讓人隱藏資訊,下次事故更難查。

🧠 Intuition

TIP

假設每個人在當下、用當時握有的資訊,都做了合理的決定。問題不是「他為什麼按了那個按鈕」,而是「為什麼系統讓那個按鈕這麼容易按錯、又沒有護欄」。

⚖️ Tradeoffs

找戰犯(blameful)— 直覺但有毒
  • 短期看似「有人負責了」,長期讓人隱瞞錯誤、不敢碰風險、資訊地下化。
  • 根因停在「人為疏失」就不再深挖 → 同類事故會換個人再發一次。
無咎 + action item 追蹤 — 標準做法
  • 還原無咎時間線 → 找系統性根因(缺護欄、告警太晚、流程有坑)→ 開可追蹤的改善項。
  • 觸發門檻要明確:哪種事故「必寫」postmortem(如燒掉 X% error budget、影響 Y 個使用者)。
  • 代價:要花時間、要主管真心撐心理安全。寫了不追 action item,等於沒寫。

🔑 Takeaways

✍️ My Notes

2026-07-01

  • Q:無咎是不是等於「沒人需要負責」?
  • A:不是。無咎針對的是歸因方式,不是免除責任。團隊仍對「把 action item 做完、把系統變穩」負責;只是不把根因草草歸到某個人頭上而停止深挖。責任落在「修好讓錯誤容易發生的條件」,而非「處罰按錯鍵的人」。

📖 Further Reading