2018年5月12日 星期六

The History of Industrial Safety(2/2 1950s~)

接續來看製程全全與系統分析,乃至於更近期的Cheese Theory


摘錄:
從五個觀點去看待歷史:
「因果關係」(cause and effect)。歷史學者常問某個過去事件的原因(causes)與後果(consequences),並習慣以「故事」的敘述形式,作為回答。
「變遷與連續」(change and continuity)。變遷與連續連結過去事件,賦予意義。只要我們把「變遷與連續」換成另一組概念「差異與相同」來理解就可明白。(變與不變)
當變遷軌跡明顯的時候,歷史學者會指認軌跡的「轉捩點」(turning point),甚至用「革命」(revolution 來形容天翻地覆的改變。
人類作為依賴經驗的生物,必須以歷史經驗作為生活導向,預期未來。因此,歷史學者也常懷當代問題意識,期待能向歷史學習,「使用過去」(using the past)。
當然,懷抱當代問題意識,不意味著以今天為中心,而僅是以今天為導向,我們仍是要學習進入過去,對歷史多一點同理心,透過當時代人的眼睛來觀察那個時代(through their eyes)。




危害屏障分析與能量釋放理論(Hazard Energy and Barrier Model, 1960-1970)
延續DeBlois(1926)認為「工傷=人接觸危害性的能量或化學品的一連串事件」的觀念,Gibson (1961) 認為生物體(人)受傷害的原因只是某種能量(包含:動能、位能、彈簧壓力、氣壓、化學能(腐蝕、爆炸、毒性與可燃性)、熱能、輻射等等)的轉換,Haddon (1963)從避免人員(Host)接觸能量(Engery/Agent)受到傷害的觀點,倡導進行能量分析(hazard–barrier–target model),依據專家判斷將能量危害大小的水平劃分成四等級,範圍從0(無危險)到4(嚴重危害),接著再針對既有防護與安全屏障進行分析(危害與屏障分析(hazard–barrier–analysis),可參照美國能源部的指引手冊 下載網址 https://www.wecc.biz/Administrative/2014%20HPWG%20Workshop%202%20Hazard%20and%20Barrier%20Analysis%20Guide.pdf),而當屏障不足(less than adequate)應付意外能量釋放(unwanted energy flow)時,將導致事故(injury and damage)發生。


危害與屏障分析模型
資料來源:Swuste et al. / Safety Science 62 (2014) p.22
 而根據能量與屏障分析的觀點,Haddon(1973)提出以下減少與降低事故傷害的預防對策(原文可參照Haddon, W. (1983). Page 21-22 http://www.asse.org/assets/1/7/WR_0316.pdf?ref=ps)
  1. 防止能源(包含動能、位能、熱能)的蓄積。
  2. 減少能量蓄積的數量。
  3. 防止釋放能量。
  4. 從源頭調整能量釋放的速率與空間散佈狀況
  5. 在空間或時間上進行區隔(讓敏感脆弱的人或設施,不要接觸到能量的釋放與受到傷害)
  6. 加入材料屏障防護人或元件不要受到釋放能量的傷害。
  7. 修改接觸表面或基本結構,如消除銳角、鋒利面或縮小接觸面積,以防止人員接觸。
  8. 強化可能因為受到能量衝擊而損壞的結構,無論是活動還是固定的。
  9. 對於以上八項無法變免的能量釋放傷害,應採取動態檢測和評估已發生或正在發生的損害,避免傷害繼續或擴大。
  10. 穩定或修復遭受到的傷害或破壞

以上要點正是本質安全與工程設計的重要依據與典範,事故預防在觀念上不再於執著或糾結於發生的原因或責任歸屬,因為從接觸意外釋放能量的觀點而言,事故的發生是莫非定律與時間早晚的問題(What can happen, will happen. The only uncertainty is When.),因此將注意重點與心力放置於-如何從本質上減小事故發生的或然率與降低事故發生之後的嚴重程度。在Haddon的引領風潮,工安理論與事故預防對策從抽象的比喻與猜想(例如:Heinrich的冰山、骨牌,Gorden的流行病三角),轉變成為具體的定性對策/原則(Haddon Matrix, 十項對策)()量性的分析(能量-屏障分析),為近代的安全管理奠定基礎與基調。

製程安全分析(1960s)
早在十八世紀末與十九世紀初,陶氏化學(Dow Chemical)與杜邦(Du Pont)等公司已經開始施行製程安全(Process Safety)相關管理措施,與一般製造業或營造業關切作業人員的傷害不同,製程安全管理關切的是製程當中火災、爆炸、反應性與毒性的危害與問題。製程安全的歷史參見 https://www.slideshare.net/ACSDCHAS/history-of-process-safety-and-history-of-process-safety-and-loss-prevention-in-the-american-loss-prevention-in-aiche http://www.process-improvement-institute.com/process-safety-and-occupational-safety-a-brief-history/ 另外 American Institute of Chemical Engineers(AIChE)1908年成立
就製程安全分析方法的發展,Swuste et al.(2014)認為源起於二戰期間導入各項科技設備(e.g., 雷達真空管)在使用上並不可靠與穩定,統計與數學方面的專家,協助官方進行各項研究與分析,成為日後品質、可靠度工程(Reliability Engineering)與製程風險評估的起始,例如失效模式與後果分析(the Failure Mode and Effects Analysis, FMEA)1940年代因應軍事需求發展出來。
1962年美國紐約貝爾實驗室(Bell Telephone Laboratories),因應美國軍方開發洲際彈道飛彈所發展出來的失誤樹分析(the Fault Tree Analysis, FTA)手法-用以鑑別出哪些元件的失效會導致負面事故的發生(由上而下的演繹deductive方法:先定義出關鍵的頂端失敗或失效事件,再由上而下演繹出會造成此一負面事件發生的各種充分或必要條件、各種失效的元件組成為何,乃至於評估可能失效機率)(相較於FTAFMEA是由下而上的歸納方法inductive:從各種低層各種元件的失效開始,看看失效會對於整理設備的運作造成何種後果與影響)
1963ICI(Imperial Chemical Industries Ltd.)公司的有機化學品事業部門因應苯酚工廠的設計與建造發展出危害與可操作性分析(the Hazard and Operability Analysis, HazOp)分析手法,依據管路與儀控圖(Piping and Instrumentation Diagram, P&ID)進行各單元與節點的系統性分析,針對製程偏離的各種異常狀況,評估可能後果與是否需要進一步的防護措施與機制。
以上1960年代發展出來的各項製程安全分析方法,逐步被石化業採用之後擴大到工業安全與相關領域的應用;然而就製程安全管理(Process Safety Management, PSM)架構與作法的熟成而言,要等到1970年代人因與系統觀念成熟(參照以下章節說明)以及1985 Center for Chemical Process Safety (CCPS, 成立係因1984印度Bhopal事故的衝擊 https://en.wikipedia.org/wiki/Bhopal_disaster)成立,才有製程安全與危害分析的指引手冊。失誤樹(FTA)與危害與可操作性分析(HazOp)則是保護層(Layer of Protection, LOPA約出現於1990年代)與安全完整性等級(Safety Integrity LevelSIL)的基礎。


認知、資訊處理與人因理論(Human Factor Theory, 1970s)
不同於二戰前的主流觀念-將事故主要責任與原因認定為人為疏失,Hale and Hale(1970)借用心理認知與資訊接收判讀的觀點,回顧先前關於事故發生原因的研究,認為不能假定工人粗心、具有事故傾向,事故之所以會發生,只不過是當事人無法有效因應或認知其所處的實際狀況,導致不安全行為的原因其實是組織與系統性的因素(例如趕工、工人的知識不足);而要預防事故要透過提升作業人員對於危害的認知與各種危害資訊的判讀能力。
延續以上資訊接收的觀點,Dunn(1972)認為資訊傳遞的失真與意想不到的錯誤判讀是導致事故發生的原因,例如.
  • 由於作業分工,第一線的作業人員可能由於各種因素導致無法獲得充分與及時的資訊,導致錯誤行為與判斷
  • 短時間內湧入太多資訊,造成人員無法有效判斷與進行因應
  • 對於收到的資訊做了錯誤的判斷或錯誤的認知,導致錯誤行為與決策
  • 有些實體環境或心理因素造成人員無法做出正確的判斷與回應資訊。

同時期從飛航安全的角度,Edward(1972)談論人機系統安全,Hawkins(1975) 進一步衍生發展提出SHELL Model(相關解說請參照 https://en.wikipedia.org/wiki/SHELL_model):軟體(Software,包含法規法律、政策規範、安全標準操作程序,習俗慣例,主管命令和計算機程序)、硬體(Hardware,包含飛機與飛航控制設備等)、環境(Environment,包含機艙/駕駛艙溫度、氣壓、噪音振動和光線等物理因素,以及機艙外的氣候/能見度/亂流、地形、空域以及包括機場在內的基礎設施甚至更廣義泛的經濟、監管、政治和社會因素)與人員(Liveware,包含機組人員、地勤人員、航管人員和各公司與組織的管理人員)代表四個與安全有關的人因模組(building block of human factors studies),以人員為中心,探討人與人之間(LivewareLiveware)、人與硬體(LivewareHardware)、人與環境(LivewareEnvironment)以及人與軟體之間(LivewareSoftware)的互動與關係。
當這些關係發生問題或彼此無法相互匹配時,即有可能發生事故;事故的預防,在於了解以上四大模組各自的限制與彼此間的匹配;想了解某一事故為什麼會發生? 為什麼當事人會做出某些決定? 需要更廣泛與深入觀察:不應只有觀察紀錄主角的行為本身,而是更仔細用心的去體會背後的情境脈絡;還有思考這整個"情境脈絡(Context)如何影響當中成員與做出什麼樣的行為和互動模式。
隨著時代變化與科技進展,各種軍事設備、航空運輸機具、工廠製程設備日趨複雜,不再是單純的流水線組裝與人員標準化作業,生產製程涉及許多機器設備與機台,而這些硬體設備有許多的儀表、自動控制單元與軟體程式,需要操作人員發揮大腦認知功能去判斷各項儀表所呈現的資訊,乃至於進一步與製程前後站的操作人員進行溝通協調。自動化生產與自動控制浮現出人機介面與人因的議題,需要在設計與建造階段就把可能發生的錯誤與種種失效因素納入考量。SHELL觀點的出現,為更全面的系統安全觀念鋪下基礎,也讓人因從Taylar年代探討最適的鏟子大小、鏟煤重量、鏟煤頻率,轉變成更廣義的關照各種影響或左右人員行為的誘因、規章制度與組織因素。



系統安全(System Safety, 1960-70s)
二戰前航太領域的進展可謂是透過試誤法-從試飛與失事教訓當中不斷修正錯誤,1960年代美國軍方制定標準(MIL-STD-882, 可參照 https://www.system-safety.org/Documents/MIL-STD-882E.pdf MIL-STD-882E係於2012改版1960年代的MIL-STD-882原始版本),將安全納入設計與建造,並且定義系統安全(所謂的「安全」與「系統」,對於武器、核能、飛安/航太、工業安全或環境衝擊(社區居民健康)的範疇而言,有著不同的內涵與涵義(不見得可以類比或借用))為:「應用工程技術或管理準則以在操作範圍、效能、成本與時間等限制下,在整個系統的生命週期下達成可依接受的事故風險system safety is the application of engineering and management principles, criteria, and techniques to achieve acceptable mishap risk, within the constraints of operation, effectiveness and suitability, time and cost, throughout all phases of the system life cycles」以作為要求各軟硬體承包商之規範與依據。
而其定義的系統安全要素與要項如下圖,包含安全分析的方法、鑑別與登載危害、分析與登載風險、鑑別與登載風險管理措施、降低風險、驗證與測試風險降低措施的有效性、可接受風險與生命週期的風險管理。對於各種危害與可能失效的情境,依據嚴重度(區分成四級:Catastrophic, Critical, Marginal, Negligible)與發生可能性(區分成六級Frequent, Probable, Occasional, Remote, Improbable, Eliminated)的矩陣進行風險評估。
就系統安全分析的方法論而言,MIL-STD-882沒有指定風險分析的方法,而其危害辨識、風險評估、降低風險到風險生命週期管理的系統架構成為日後製程安全管理與職安衛管理系統架構的參考依據。

系統安全分析要素與流程圖

就系統安全的方法論與導入而言,Johnson(1973)接受美國能源部的委託計畫,發展出管理監督與風險樹(Management Oversight and Risk Tree, MORT, 1973年的MORT報告,可參照 http://www.nri.eu.com/SAN8212.pdf ;較近期的使用者手冊,可參照 http://www.nri.eu.com/NRI1.pdf)是關鍵文獻。不同於失誤樹分析與在意的是各種元件失效,MORT在意與分析是-導致損失發生的監督不足(Oversights)或疏忽(Omissions),邏輯與架構如下圖:事故與損失源自於對危害與風險的監督不週或疏忽(Loss=Risk of Hazard + Omission)監督不周源自於各種組織管理的因素(Management system factors)、疏忽源自於製程控制上的因素(Specific control factors)
另外從事故的形成(SA1 Accident)與原因的分析來看,MORT的分析邏輯架構可謂是建構Haddon (1963)在能源-屏蔽分析的基礎(Vulnerable People/Object, Control Barrier, Harmful Energy)上;MORT而更上一層樓的地方在於關照了組織運作的管理(Management System)-包含組織的政策、風險的分析與確認等因素與面向(呼應SHELL關照作業程序與組織因素)等。 family:標楷體;mso-ascii-font-family:Arial;mso-bidi-font-family:Arial'>,為近代的安全管理奠定基礎與基調。


 MORT分析架構 可參照 http://www.nri.eu.com/NRI2EN.pdf

而從理論與觀念演進的角度來看MORT,其關鍵貢獻有以下幾點:
  • 將工程技術(能量與屏障的觀點)與管理系統(組織因素)的觀點整合在此樹狀結構下,扭轉1950-70年代重工程技術分析的主流風潮,MORT認為:系統安全不單指的是軟硬體的機器設備,也包含人所組成的組織與組織管理。
  • 從動態變化的角度來看所謂的人為失誤(change-based accident analysis)-失誤源自於現場環境、任務情境與人員身心狀態的變動(change),而在不停變動的情境下,作業人員偶而會產生失誤或不當的反應(errors),而這些失誤有一部份會有安全疑慮(unsafe conditions or unsafe acts, incidents ),其中一部份有安全疑慮的失誤會演變成有傷亡或損失的事故(injury or damage accidents)(這解釋與呼應了Heinrich 所提的冰山理論現象:每件造成重大工傷的事故背後,有29件導致輕微工傷的事故與300件沒有造成工傷的虛驚事件(1: 29: 300);此一觀點也可謂是變更管理(Management of Change, MOC)的起源)
  • 融合認知與溝通理論的觀點,認為事故之所以會發生,要追究導致錯誤發生的行為決策過程與心理認知機制:沒有被告知與溝通(signal not perceived )?缺乏相關知識、經驗或專業?缺乏危害評估的程序與機制(Hazard Analysis Process)?缺乏時間與資源?缺乏監督(Oversights)還是過度冒險躁進(Undue Risk Acceptance)
  • 所有操作階段所遭遇的失誤(operational level error)必須回到組織系統運作層次以及設計的階段加以調查、追究與檢討,以求一開始就提升與確保安全(1st Time Safe)
  • MORT背後的哲學觀點回到-事故可以被預防,只不過千錯萬錯不是「別人」的錯,而是「我們」的錯-組織在管理上疏忽潛在危害與風險,以及在工程控制上沒有適當的監測與管控(組織當責Accountability的觀念)




常態事故理論(Normal Accident Theory, NAT, 1980s)
正當系統安全觀念與各種製程安全分析(e.g, FTA/MORT)被提出與應用的同時,以最高標準被看待與實踐安全的核電廠卻發生事故(跌破所有工安與安全專家的眼鏡);有鑒於1979三浬島核災事故的啟發,耶魯大學社會學家Perrow(1984)認為-工廠、核電廠或太空梭的運作有如一個複雜的系統,由於系統內部有許多複雜的控制回饋機制與不同單元間環環相扣(The system is complex and tightly coupled),儘管針對可能人為失誤或設備裝置失效都有預先設想與建置各項防護措施與安全連鎖機制,意外事故的發生仍然無法避免或者始料未及(The system has catastrophic potential);換言之,重大事故的發生不是一種意外,而是一種預料之中的常態(Normal)。
從工程分析技術(e.g, FTA/MORT)的角度來看,把重大事故的發生,視為多個因素或錯誤同時發生所產生的後果;因此對於預防事故發生所提出的解決對策,包含各種屏障(Barrier)與保護層(layer of protection, LOPA)本質上可謂是提高人員作業的可靠度與降低設備單元的失效率,觀念上把不同單元間或人機介面之間視為獨立:「彼此之間沒有交互作用、也不會相互影響」;因此提高個別設施裝置的可靠度與降低人為疏失的發生機率,就能夠降低整體系統的事故與災難發生機率。
Perrow的洞見在於挑戰傳統觀念中-不同因素與因子之間「彼此獨立、不會相互影響」的前提假設,他認為:
額外的防呆、備援與安全連鎖機制,看似提高了系統的可靠度,但卻增加了系統的複雜度與讓系統更不可靠(防護機制需要額外的校正與測試)
防呆備援與自動控制機制,反而讓操作的人失去判斷力(因為受制於系統回饋的各項訊號,無力判別各種信號的真偽與實際狀況)
有各項的防護措施與機制,反而讓組織的領導人更放心(忽視安全)追求生產效率(游走在系統安全運作極限與包絡面的邊緣,相對安全餘裕safety margin不足)
NAT觀點可謂震撼與動搖原本的觀念-事故的發生與出現不是一種陰錯陽差的不幸或者作業人員疏失與設備元件失效的異常,可謂是一種必然的常態。刺激許多學界先進思考:面對人員管理、組織運作、製程設備交互影響的複雜系統 (social-technical system),該如何從原先見樹不見林的怪罪犯錯的人與失效的設備原件,提升到從整個組織的宏觀層次與整個系統運作的整體脈絡,分析各種情境因子對於事故發生的貢獻。從組織管理的角度出發,浮現安全文化/氣候的理論觀點;而從系統工程的角度出發,浮現的是從原本線性(1+1=2)與局部單元可靠度的思維模式,逐漸轉變為從系統單元複雜互動"來看待安全與事故的發生-事故的發生不是一個單向與單純的前因導致後果的事件鏈,而是各種因素因子之間動態、非線性交互作用的結果(1+1≠2),安全與可靠度兩者不是同義字(Safety ≠ Reliability)




安全文化與氣候 (Safety Culture/ Climate, 1980s)
安全文化(Culture)與安全氣候(Climate)對一般實務界人士是同義詞,然而Denison's (1996), “What is the difference between organizational culture and organizational climate?一文當中提到:文化Culture比較是人類學的用語與觀念-長期的種族行為模式(透過田野調查),氣候Climate相對是心理學的用語與觀念-短期的心理認知(透過問卷調查與SEM分析)
International Nuclear Safety Group (INSAG)1988年針對1986車諾比核能電廠的事故發行的調查報告當中,首次引用安全文化(Safety Culture)這個名詞(報告內容參見 https://www-pub.iaea.org/MTCD/publications/PDF/Pub913e_web.pdf)Cox and Cox(1991)定義所謂的安全文化是:「工作場所當中所有員工對於安全的態度、信念、認知與價值觀(Safety Culture is the attitude, beliefs, perceptions and values that employees share in relation to safety in the workplace. 不同學者的界定略有差異出入)
從安全文化或組織安全氣候的角度來看,事故的發生不在於沒有針對潛在危害進行風險分析,也不是因為組織沒有制定關於風險的政策或管理規章(相關的危害分析與風險管理程序書,在核電廠或工風險的石化廠很多)而是由於追求績效或有時間與成本的壓力等因素下,組織共同的默契與價值觀傾向於忽視危害與風險。因此就事故的預防,應該正本清源從改變大家的認知與觀念著手,首先就是要調查組織的安全文化與氣候,接著透過一些管控機制與手法,讓大家從「心」重視安全。
延伸Easrman(1910)、心理學家與Gorden.(1949)流行病三角的洞見,安全文化與氣候認為:不安全行為背後的是員工的心理認知,而組織因素塑造員工的心理認知。換言之不安全行為的根本原因是組織因素,當員工面臨日常種種安全與績效成本的取捨(e.g., 作業速度與成本VS按部就班的確認與測試),久而久之員工自然會意會與認知到組織的取捨與優先為何者,進而在行為與決策上展現出不重視安全的現象、行為模式與下有對策的組織潛規則和默契(不同於組織檯面上宣示的安全政策)Zohar(2010)將以上不安全行為背後潛在的心理認知、感受與作業情境不確定因素的干擾描繪如下圖


不安全行為背後的心理認知與組織脈絡 (source: Zohar, 2010)



高可靠度組織(High Reliability Organization, HRO, 1980s)
相較於悲觀、認為事故很難被預料與預防的常態事故NAT觀點,有批學者反過來思考:「為什麼有的組織與系統極端複雜,出錯和發生事故幾乎是不可避免的(“unforgiving environments”),然而這些組織卻能夠運作良好,到底它們是怎麼辦到的?」,另外也呼應安全文化認定組織因素才是關鍵的觀點。
於是有一批專家學者,挑選海軍航空母艦、機場航管人員與核電廠等組織進行研究(高可靠度組織理論的發展歷史請參見https://en.wikipedia.org/wiki/High_reliability_organization),於1987年的研討會當中提出高可靠度組織的概念,Sutcliffe(2011)歸納此一理論的洞見與重點如下:
  • 事前預想各種可能出錯情境與失效模式,預先準備乃至於在設計階段就納入考量,針對各種遭遇的事件也進行試後的檢討,並且將相關討論紀錄與檢討經驗心得列入交接(Preoccupation with failure)
  • 抗拒簡單解釋的事故原因,多深入追問幾個why,乃至於運作團隊成員的組成盡可能多樣化,吸納不同的見解以避免決策盲點的一言堂、鼓勵團隊成員隨時反應與討論問題(Reluctance to simplify interpretations)
  • 現場運作與變化資訊進行傳遞與即時分享,確保現場人員具備高度的環境狀況警覺意識(situation awareness, sensitivity to operations),運作當中不挑戰系統人員與設施的極限,當遭遇意外狀況時,不同單位資源支援
  • 承諾投入資源以建構系統與組織對於各項意外事故的耐受力、恢復彈性與韌性(Commitment to resilience) 例如船艦在建造時規劃有多個防水艙間,單一區劃與艙間受損,船隻不會沉沒;針對每次事故不斷檢討、調整與改進原有的運作模式
  • 決策尊重專業與現場人員 (Deference to expertise),有不安全、危險疑慮與危機狀況發生時,最清楚狀況的第一線人員與技術專家可以無需請示高層,立刻中斷生產採取必要措施,決策依據專業而非職稱與位階(彼此清楚與尊重各自的專業)

而從理論與觀念演進的角度來看HRO,其特點如下:
  • 接受事故與意外發生的必然,不強調究責或當責。
  • 發生事故與意外是必然,重點在於發展組織應變與承擔錯誤的能耐,認為透過組織內人員對於當下情境的高度覺知(Mindfulness)以及快速反應等等作為可以有效因應各種想定外的事件(Unexpected events)。。
  • 發展組織的承擔失誤與出錯的韌性能耐,在觀念上不同於傳統的嚴教勤管或是周密的事前預測與管控,而在於保留彈性、餘裕與授權賦能。
  • 事故的發生導因於複雜的作業情境,情境涉及不同利害關係人,利害關係人間的溝通、協調與協作是重點之一。






乳酪理論(Swiss Cheese, 1990)

Reason 曼徹斯特大學心理學教授,學經歷請參見http://www.safetyleaders.org/superpanel/superpanel_james_reason.html
 Reason1990)以切片孔洞乳酪的比喻來說明各種主被動的失誤或與潛在的失誤如何導致事故的發生(Reason本人一開始未使用Swiss Cheese這個名詞,據說Swiss Cheese這個稱呼起源於Rob Lee(the Director of the Bureau of Air Safety Investigation (BASI) in Canberra.)):乳酪切片中孔洞的比喻暗示事故發生的原因與背後有著多個貢獻因素,在因緣際會或巧合下同時發生(各乳酪切片中孔洞同時對齊)。此一比喻生動與具有教學意義,世界各地與不同行業的事故或安全分析開始使用它,也說明分析人為失誤時,不能忽略當下作業環境狀況與深層的組織因素。
下圖是關於此一理論模型的建構與推演,源起於Reason本人在1987-88年間對於人為失誤(Human Error)的研究,發想過程參照了1970-1980年代重大事故(包含挑戰者號太空梭、印度波帕、車諾比核電廠、煉油平台等),嘗試解釋與剖析複雜系統(如核電廠、太空梭)事故發生的過程、也受到當時常態事故NAT、複雜系統與安全文化理論的影響,乳酪的比喻與理論發展可謂到1990年代中後期才成熟與被業界週知。而理論的建構與發想,一開始用的是沒有孔洞骨牌與平面來表示與事故發生有關的各種構面(諸如:組織因素、作業環境因素、人員心裡認知因素等等);而各構面的另一個涵義或解釋是代表導致事故發生的各項要素,例如存在危害(hazards), 防禦屏障不足(defenses)與產生負面後果(losses)。在這些構面加上孔洞(成為乳酪)是為了說明各構面之間不是百分之百完備與完美,或多或少存在一些隱性缺陷(latent failures),而這些隱性缺陷遭遇到關鍵事件(triggering eventse.g., 當事人不安全的行為)的交互作用(觀念源自於Gordon流行病三角的:當事人抵抗力差、環境衛生不佳又接觸到病媒,自然會發病(釀成事故))導致事故與損失的發生。

從此一理論的演化與組成要素來看,可謂集先前各家理論之大成:一方面透過乳酪蛋糕的孔洞,暗示事故的發生某種程度上是機率的必然;而一片片的乳酪阻擋在危害(hazard)與損失(loss)之間,背後是從DeBlois接觸危害到Haddon屏障分析的觀念;再者不安全行為背後的作業現場與組織因素(下半部的三角形)呼應的是安全文化所提的心理認知與組織脈絡






資料來源:Revisiting the "Swiss Cheese" Model of Accidents
乳酪蛋糕譬喻的核心是能量釋放與保護屏障,背後考慮了組織與作業環境的因素(傳染病三角)


結論與建議
不同時代的生產作業方式、產業危害特性與時代背景,帶來不同的事故災害型態與安全挑戰;理論的誕生有其背景脈絡,遭遇到什麼事故,就會嘗試回答事故原因與該如何預防事故,例如二戰前的簡單組裝生產作業型態,塑造出人為疏失的主流觀點;而在二戰之後,科技進步與生產自動化,規模放大的石化製程與更複雜的交通運輸機械,引導出了人機介面、資訊溝通、系統安全與製程安全評估等新觀念;而1980年代之後,更加龐雜的作業流程、控制程序軟硬體與組織間的權責界面,乃至於核電廠等意料之外的重大事故案例引導出常態事故理論的觀點,而主流的安全文化、高可靠度組織與乳酪蛋糕理論則認為深層的組織因素與運作脈絡慣例才是導致不安全行為與各種疏失的根本原因。
各種工安譬喻與理論的誕生有其脈絡與傳承可循,例如人為疏失的觀點發展出行為安全的對策,從人機作業介面發展出認知溝通的理論,再從認知與心理的觀點,發展出組織安全文化與安全氣候的研究;從工傷等於人員接觸危害的觀點,演變成能量釋放與屏障分析,屏障分析進而演化為製程安全評估、系統安全與保護層的觀念。而一個理論的發展動輒十到數十年,發展過程會不斷汲取與借用不同學門的觀念加以修正,例如圖11的乳酪蛋糕理論,透過從Reason本人的說明,可以發現這個理論本身已經不是單只有傳統心理與行為安全的觀念,而是融合工程角度的能量釋放與屏障與安全文化/氣候的觀點。
工業安全是實務應用與解決問題的一門學問,運作上必須兼顧法(政府法規與法律規範)、理(運作有效性與成本效益)、情(現場情境與組織文化脈絡);回顧過去的理論與歷史脈絡有助於避免重蹈覆轍與認清適合自身特性的事故預防對策,需要依據不同行業與製程特性選擇應用不同理論與方法(例如針對化工連續製程或自動控制失效的危害,應採用製程安全分析或MORT等分析方法,而非執著於人員行為安全的管控與教化)1990年代之後工安的主流,從學術研究來看是複雜系統(Safety Research 2011年發行special issue探討Complexity and Safety)與韌性工程(Resilience Engineering),從工程技術與製程安全角度來看是保護層分析分析(LOPA),而從組織管理與實務運作來看則是職安衛管理系統(ISO-45001預計2018/03公告發行)
導入職業安全管理系統,不單是依據條文標準建置與通過第三方認證機構查核,更需要思考如何依據製程危害特性與組織脈絡,發展出適切與可持續改善的作業程序與管理機制。本文回顧工安觀念演變的歷史及評論不同背景前人面對安全問題的思維與智慧(各前輩大師的生平與經典著作下載網址已盡量註記,同業先進可下載參考(會比看本文或其他網路上的乾貨更有收穫)),掌握理論發展脈絡有助於發現問題不同的樣貌、自身的盲點與開發不同的解決手法,進而掌握管理系統運作的機會與風險、達成組織的持續改善與永續經營。


參考文獻
Cox, S. & Cox, T. (1991) The structure of employee attitudes to safety - a European example Work and Stress, 5, 93 - 106
Dunn, J., 1972. A safety analysis technique derived from skills analysis. Applied Ergonomics 3 (1), 30–36.
Edwards, E., 1972. Man and Machine: Systems for Safety. Proceedings of British Airline Pilots Association Technical Symposium, British Airline Pilots Association, London, 21-36.
Gordon, J., 1949. Epidemiology of accidents. American Journal of Public Health 39:504–515. In: Haddon, W., Suchman, E., Klein, D. (Eds.), Accident Research, Methods and Approaches. Harper & Row, New York.
Guarnieri, M., 1992. Landmarks in the history of safety. Journal of Safety Research 23, 151–158.
Greenwood, M., Wood, H., 1919. The Incidence of Industrial Accidents upon Individuals with Special Reference to Multiple Accidents. Industrial Fatigue Research Board. Report No. 4. Her Majesty’s Stationary Office, London.
Haddon, W., 1963. A note concerning accident theory and research with special reference to motor vehicle accidents. Annals of the New York Academy of Science 107, 635–646.
Haddon, W., 1968. The changing approach to the epidemiology, prevention, and amelioration or trauma: the transition to approaches etiologically based rather than descriptive. American Journal of Public Health 58 (8), 1431–1438.
Haddon, W., 1973. Energy damage and the measure to counter strategies. Human Factors 15 (4), 355–366.
Haddon, W. (1983). Approaches to prevention of injuries. Washington D.C.: Insurance Institute for Highway Safety.
Hale, A., Hale, M., 1970. Accidents in perspective. Occupational Psychology 44, 115–122.
Hawkins, F.H., 1975. Human factors in flight (1st ed.). England: Avebury Technical
Johnson, W. G., 1973. The Management Oversight and Risk Tree-MORT: Including Systems Developed by the Idaho Operations Office and Aerojet Nuclear Company. U.S. Atomic Energy Commission. Division of Operational Safety
Kuhn, T. S. The Structure of Scientific Revolutions. Chicago: University of Chicago Press, 1962. ISBN 0-226-45808-3
Perrow, C., 1984. Normal accidents : living with high-risk technologies
Reason J. T. Human Error. Cambridge University Press. October 1990.
Sutcliffe K. M., High reliability organizations (HROs) Best Practice & Research Clinical Anaesthesiology 25 (2011) 133–144
Swuste, P., Gulijk, C., van Zwaard, W., 2010. Safety metaphors and theories, a review of the occupational safety literature of the US, UK, and The Netherlands, till the first part of the 20th century. Safety Science 48 (8), 1000–1018.
Swuste, P., Gulijk, C., van Zwaard, W., Oostendorp, Y., 2014. Occupational safety theories, models and metaphors in the three decades since World War II, in the United States, Britain and the Netherlands: A literature review. Safety Science 62 16–27
Zohar, D., 2010, Thirty years of safety climate research: Reflections and future directions. Accident Analysis and Prevention 42 1517–1522

沒有留言: