安全-I的解构
安全-I的解构将分为三个步骤,对应于安全的三个不同方面,见图5.1。
图1 安全的解构
第一步涉及安全的现象学。现象学这个单词起源于希腊词汇,字面意思是研究所出现的东西。现象学是指可观察到的安全特征或表现,也就是说它是什么,让我们说什么是安全或不安全的。也可以说第一步要考虑安全的表型(phenotype),意思是与安全关联的、可测的特征或特点。
第二步涉及安全的病因学。病因学研究因果关系,即研究为什么事情会发生或研究背后的原因或因素。在医学上,病因学是疾病成因的研究。安全是研究观察到现象的理由或(假设)原因。其病因学描述可观察到现象的机制,构成安全-I关注焦,点的不良结果。第二步是考虑安全的基因型(genotype),即解释表现或表型。
第三步涉及安全存在论(ontology)。存在论研究的是“是什么”,在这种情况下什么是安全的真正特性和根本特征。这是研究安全是什么的问题,而不是它如何表现自己(现象学)或这些表现是如何发生(病因学)的研究。它是有关我们能否一或者应该一理解安全为什么以某种方式表现自己。因此,在某种意义上,这是我们对安全根本性认识的一个问题。简言之,存在论是有关于什么是真正进行的。
一、安全-I的现象学
如果以安全-I为外表,安全被定义为一个条件,其中不良结果的数目(事故/事故征候/未遂事件)尽可能低。因此,从这一定义出发,安全-I的现象学是不良结果的发生。
由于不良结果被假定为不良事件(失效和故障)的结果,现象学从结果延伸至出错的事件或情况,即事件本身。也课定义为任何非意图或未预期的事件,即存在伤害的可能,但不一定出现实际的不良结果。安全水平和不良结果的数量成反比。如果许多事情出错,那么我们会说安全水平低;但如果只是一些事情出错,安全水平则高。换句话说,如果有更多的不安全表现,安全性就不高,反之亦然。完美的安全水平是没有不良后果的,因此,也无法去测量具体事情。不幸的是,这使得无法证明改善安全的努力有任何效果。对于安全的稳定水平存在同样的问题,这意味着存在不良结果数量恒定的状况。这里也无法证明干预行动或努力有任何效果。在这两种情况下,可能很难争取资源花费在安全领域上。
因为安全-I被定义为免于(不可接受)的风险,现象学实际上是“免于”——即没有事情发生的事实。然而,安全-I在现实中是按照它的对立面,即缺乏安全性定义的。这意味着当有事情发生时,我们可以说系统是不安全的。当什么都没有发生时,我们也倾向于认为系统是安全的一一更确切地说,并非不安全的。严格地说,这不是一个有效的逻辑结论。这种“反向”定义带来了有趣的实际问题:如何通过计数多少事情(更少的事情)出错了来衡量安全改进了?
二、安全-I的病因学
安全-I的现象学指的是出错了或可能出错了的事情,即不良结果以及不良事件,那么安全-I的病因学必然是关于这种事情发生的方式。换句话说,其病因学研究必须是关于产生表现可能的原因和机制。因此,病因学研究代表与安全-I相关的事故模型。
在早期的安全思维观中,在简单线性因果关系和技术时代的条件下,事故被看作一系列事件或情况在一个具体特定和可识别的顺序中发生的最为严重的事件。实际上Heinrich提出了工业安全的十条公理,其中第一个表述如下:损伤的发生总是来自各种因素的一个完整序列——这些序列中最后一个就是事故本身。这次事故反过来必然是由一个人和/或机械或物理危害的不安全行为直接导致或准许的。
因此,事故(安全-I的表现)可通过查找并消除可能的原因而得以防止。
在安全-I随后的发展中,复合但仍是线性因果关系的时代大致为1970-1990年,这期间,事故被看作主动失效(不安全行为)和潜在条件(危害)组合的结果。事故可能通过加强壁垒层和防御层而得以防止。大家普遍认为事故是之前原因的后果被概括进入金字塔模型中。
因此,安全-1的病因学包括关于因果关系(参看因果关系的信条)的假设以及如下假设:结果——安全-I的表现——通过分解和指出组件的特征,特别是它们可能失效或发生故障的方式,从而得以解释。因此,安全-I其病因学研究代表所谓的(缺乏)安全的机制。这些可以是简单的或复合线性发展关系,如多米诺骨牌模型和瑞士奶酪模型所示。其他更复杂但仍是线性模式的解释,可以在如Tripod、AcciMap或STAMP等特定方法或方式中找到。根据Tripod 模型,透过一连串的主动和潜在失效,如发生功能障碍的堡垒层,从而发生事故。AcciMap模型解释了事故原因的抽象等级层次。STAMP模型使用社会技术控制模型,其中包括两层分阶层控制结构作为其解释的基础。然而,病因学也指更基本的东西,即关于事情是如何发生的基本假设。
无论发生什么事情,都会假定有一个在前面的原因。这一原则由米利都学派的Leucippus(公元前480-前420年;认为世间万物都是由不可分割的物质即原子组成的)提出。他最著名的一句话是:没有任何事情的发生是徒劳的,一切都是有原因和必然的。如果真是这样,那么它对于出错事情的情况也是一样的,即事故征候和事故。不良结果是不良事件的结果,不良事件有一个原因——按照Heinrich的工业安全第一公理。
大约在20世纪50年代,人因工程学和人一机系统研究成为一个严肃的学科,系统是比较容易描述和理解的,因此,因果关系的假设在大多数情况下是很有意义的。我们通常要确定事情失败的原因,并对此做些什么。但现在大量的系统很难描述和理解,几乎不可能解开原因一结果之间的关系,而这是我们传统上假定存在的效应。虽然现象学仍然是相同的,即出错了的事情,其病因学不再是明确的。
三、安全-I的存在论
存在论是安全真正的性质和本质特征。存在论揭示了三个基本假设,即系统是可分解的,组成部分的运作可以按双峰模式描述,以及确定事件事先发展的顺序是可能的。
第一个假设:系统是可分解的
希腊哲学家的主张认为不仅是因果关系的原则,而且也是分解的原则,最著名的是德谟克利特理论——一切都由原子组成,在物理上是不可分割的。(德谟克利特是Leucippus的学生。)这使得它几乎不可避免地要考虑系统的组件,以及这些组件如何协同在一起运作,它通常被称为结构。因此,系统的传统定义一直是以其结构即部件构成,它们是如何连接或组合在一起的为基础。对此,一个简单的定义是:一个系统是由连接在一起的部分所构成。一个稍微复杂的定义是:系统是一组对象,里面存在对象之间和它们属性之间的关系。
假设系统可以分解成各部件,这是有道理的。通过把东西组合放在一起和通过仔细结合和组织各种组件,我们可以建立系统(包括飞机、核能电厂、电话网络和医院等)。因此,我们认为也可以逆转这一过程,而且能通过将它们分解为有意义的成分组件而理解系统。我们的确成功分解了一些技术系统以查找事故的原因,如最近的波音B787飞机电池的问题。我们还假设我们可以分解系统(机构或社会技术系统)成为各组件(部门、人员、角色、利益攸关者等)。我们还假定同样的做法适用于任务和事件,部分原因是时间轴或任务分层描述导致这种诱人的视觉上的简单性。可是我们在这两种情况(软系统,以及发生什么的事件)下都错了。在组织的情况下,我们假设我们可以分解成其组件,如我们看到他们在组织结构图中所代表的——永远不要介意我们也知道组织有正式和非正式组织的关键区别。关于工作场所,我们已将它分成其组件,如人一机系统或分布式系统(如分布式决策)。事实上,“分布式”这个说法会假定有可以分发分布的东西,其中每一个都可以在不同的地方,但仍能够通过一些根本性的方式在一起运作。就事情发生的情况而言,我们也有经验可以把活动或事件分成较小的部分-要么通过科学管理理论中的时间与动作研究,要么通过各种形式的任务分析和线性事件序列方法。
第二个假设:双峰性
当不良结果一直追溯到其根源时,则会假设组件是其中运作正常或失效的一部分。双峰性这一原则通常假设事物功能发挥正常直到它们失效。每当单个组件失效,如灯泡烧坏了,则将丢弃组件,并将替换为一个新的(而且通常是相同的)组件。同样的推理适用于复合系统,虽然失效有时可能是间歇性的,尤其是如果复杂逻辑(软件)在其中发挥作用。但是,即使是复合——或者非平凡的系统,也会被假设它的表现基本上是双峰的:要么系统工作正常(按设计),要么不是。双峰性原则是指系统和/或系统组件可以描述为:潜在处于两个不同模式或状态之一,要么正常发挥功能,要么无法运行-并不排除将在这两者之间降级运行的可能性。系统通常设计或按工程设计提供一种特定功能,如果由于某种原因导致没有发挥功能,我们会说失效或发生故障。
在安全-I神话还有一种观念:原因和结果之间必须有适合性或相称性(proportionality)。如果结果是轻微的或者微不足道的一个轻微的事件或未遂事件——然后我们心照不宣地假设原因也是轻微的。相反,如果后果是重大的——如严重的事故或灾难——那么我们期望原因也会相应匹配,或至少它们并非是微不足道的。(这样一来产生如下假设-事件越严重,我们可以从中学习越多。)在这两种情况下,关于相称性的假设可能会导致寻找原因的偏见。这样,我们会寻找要么是琐碎的、要么是重大的原因。
其他条件都相同(CeterisParibus)的原则
关于分解和双峰性组合的假设得出这样的结论:可以单独描述或分析元素或组件。当然,这是一个非常方便的假设,因为它意味着我们可以一个接一个地应对组件成分。(这一原则也应用于事故调查,通常每次事故都是单独调查其各组件的。)
在某种程度上,它们对彼此有影响,并被假定以线性的方式发生,请参看下面的内容。换句话说,整体只是部分的总和;或整体可以表达和理解为部分的(线性)组合。这一原则可以被看作类似于其他条件都相同(Ceteris paribus)的假设,而这是实证研究中统管一切的规则。Ceteris paribus 可以翻译为与其他事一样或所有其他东西都一样。通过调用这个假设,就有可能在一段时间内把重点放在一个元素或一个功能上,因为其他的都是一样的,没有变化、没有影响。
在科学中,其他条件都相同被假设为大多数形式科学探究的基础。为了做对照实验,常见的做法是通过检查特定的因果关系试图排除干扰因素。实证科学假设我们可以控制所有的独立变量,除了在研究之中的变量,以便单个独立变量对因变量——或变量——的影响可以被隔离。例如,经济学依赖于其他条件都相同的假设,以简化经济学结果的形成和描述。医学临床——和社会——的实验也这样做。风险评估也这样做。这在计算失效概率(例如,故障树)的方式中可以明确看到。其他条件假设还主宰着安全管理、组织发展、质量控制等领域。当事故调查导致提出许多建议,假设每个建议的行动将实现它的目的,而不管其他建议和周围所发生的情况。在社会科学领域中,特别是在工业心理学和认知工程领域,这就是所谓的替代神话,常见的假设是人造物(artefact)是价值中立的,在某种意义上它们引入系统中完成有意图的结果,不会出现非意图的情况。
第三个假设:可预测性
进一步的(经典)假设是事件的顺序或序列是预先确定和固定的。当我们考虑到安全-1思维的起源,其中提到过程应该是明确设计、旨在产生一个给定的结果,不管这个过程是技术的(比如,电厂)还是人类的活动(在工厂或生产线完成一项任务或提供一项服务),这对于安全-1思维是有道理的。事实上,当我们设计用新的方式来做一些事情,作为一个新任务或活动,或作为一种改进,我们习惯性地或不可避免地按照原因和结果的线性思考,尝试安排条件,以便于这样的过程或活动按照计划和预期得以实施。这使过程更容易管理和控制,因此,也使得它更有效率——至少事情会按计划实施,没有出现中断和干扰。另外,我们从日常经验中得知,很多时候有必要更改事情实施的顺序,有必要实施即兴创作,以及调整表现等。
虽然大部分的工作流程和功能按预定的方式进展——这是好的,因为社会作为一个整体取决于此——我们也知道,变异性无处不在并不可缺少。虽然这是可以理解的,我们作出代表事件的简化假设,以便能够分析它们(故障树、事件树、Petri网、网络、任务分析等),但这也是严重的误导。例如,对于事件树(如传统的THERP树)而言,事件发生序列中的差异——即使它只是反转两个步骤——需要一个单独的分析和一个单独的事件树。这显然是运用有力假设的强大动机,让描述和分析尽可能的简单。
在很多方面,通过单独关注它们的成分功能或组件来分析一个过程或系统,这很清晰、方便。但分解这一事实将意味着:在分析结束的时候,需要把它们再次放在一起,以了解系统作为一个整体如何发挥功能或被执行实施。因为分解假设了线性关系,整合或聚合在一起也是假设了线性关系。换句话说,在(重新)组合时,假设组件之间的相互作用或关系是微不足道的(因果的,松散耦合联系的),是单向的,是非相互作用的。对于许多过程和系统(设计旨在能够以某种方式提供某些特定产品或服务)而言,这是有意义的。这让我们确保它们的功能应该按照发挥的那样实施——其中一个原因就是我们通常依赖于结果。我们假设这适用于所有系统,但这是我们在自我欺骗。虽然这种假设在20世纪第一个10年是合理的,当时生活的相对简单,但对于今天而言,它是不合理的。当然,还有许多系统和过程从实际的立场让这种假设合理,或至少没有不可弥补的损害。但我们也看到越来越多的情况——首先常常是令人惊叹的事故,随着发生频率的增加以及次优运作(不涉及或导致事故发生)的复杂情况,一个简单的分解一聚合方法是既不可能也不能得以保证的。讽刺的是,这些情况的增加是由于我们对自己构建的系统无法理解。显然,我们应该放弃这些和其他简化的假设。
然而,还有另一种不被人注意的假设,但也很重要。这一假设是:情景/条件的影响是有限的,是可量化的。我们必须承认,工作不是发生在真空中,虽然在同一时间,我们力求设计工作情况和工作场所按照它们所应该的那样(参看上文所述的其他条件都相同的假设),但是总是有来自环境或情景中的影响。为了合理地分析,某种程度上我们必须要考虑到这一点。许多科学学科已经意识到这个问题,虽然有时是心甘情愿的,有时是不情愿的。例如,决策理论的历史至少要追溯到Blaise Pascal(1623-1662年),但最近屈从于自然主义决策理论(naturalistic decision theory)。该理论描述人们如何在严峻的情况下作出决策。经济学试图尝试,并仍然保持关于市场理性的假设。行为科学和认知心理学,不得不放弃无关背景(context-free)的认知——或信息处理——替代有情景的认知和荒野中的认知(cognition in the wild)。事故调查显然不能忽略背景的影响,虽然它往往导致这样的结论:事故是因为特别的情况产生,如果这些条件本来可以避免,系统(或人)会完美运作-这些想法经常出现在调查的建议中。风险评估,尤其是在定量的情况下,如概率风险评价(PRA),固执地坚持独立式的假设。这可以从如下的方式得以阐述:比如,功能被独立地描述和分析(参看以上),焦点仍然是关于按功能分类的(失效)概率。因此,虽然它是公认的受条件或环境的影响,但呈现给大家的是修改失效概率的一整套表现塑造因素(PSF)。PSF本身既是元素也可以被分解,它们联合的影响可以通过简单的算术运算获得。换句话说,是在线性和独立假设的基础上。
存在论总结
以打字机为例,几天的电脑打字已经不是机械打字机的因果关系那么明晰为代表,世界变得更加复杂。行动与结果之间的因果关系不再是合理的假设,甚至不再能按照因果关系来描述它们。越来越多的情况促使我们不能理所当然地认为:我们可以找到事情发生的原因——或者我们可以想出一个合理的解释。无论结果是想要的或不想要的,虽然通常我们更担心后者,但我们必须停止一些理所当然的思维。
简单地说:安全-I的存在论不能持续。换言之,安全-I思维不再是普遍适用的。尽管我们限制聚焦点在传统的安全关注上,但这种思维方式几乎是一个世纪所前形成的。在1931年出版的一本书中对多米诺骨牌模型进行了描述,这本书里所形成的思想和理论来自更早时间的经验。那时的思维是关于20世纪初的工作环境,很难适用于今天的情况。今天的社会技术系统不是分解的、双峰型的,也不是可预测的。
参考文献:
(丹麦)埃里克·郝纳根 (Erik Hollnagel). 安全Ⅰ与安全Ⅱ 安全管理的过去和未来[M].北京:出版社: 中国工人出版社.2015-11
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。