屏障分析從接觸一個危險目標開始,因為屏障或控制是未使用或不充分的。 它可以主動使用(如風險評估,FMEA)以評估建議的行動, 或追溯(如RCA)來定義缺失或失敗的屏障, 是最常見用於展開ECF圖表來考慮更廣泛的潛在原因。
屏障分析的結果應該使用在ECF圖。 第一個難題是有許多屏障與遠端因素有關。 第二個難題是屏障分析可以幫助找出應該置入ECF圖中的其他事件。 此點特別重要,因為主線調查通常著重在促進因素,而非削弱屏障功能的事件。
基本定義
「危害」﹝Hazard﹞:危害一般視為一種非期望性的能量轉換,例如電力轉換從一部設備到一個沒有防護的工作人員。能量可以是動態的、生物性的、聽覺的、化學的、電子的、機械性的、電磁性的、熱能的或輻射性的。危害是具有潛在或威脅性的,會造成傷害或不良的結果。
「目標」﹝Target﹞:目標是人員、設備或其他會被危害損傷的物體。目標列舉可以包含多種項目。在醫療機構中,目標一般指的是個別或群體人員,會被非期望的事件損害。但目標也可以是有形的,例如建築物或設備;也可以是無形的,例如和善、友誼、道德或環境。
「屏障」﹝Barrier﹞:預防措施呈現不同的實體和組織性的衡量,用來避免目標受到潛在危害的影響。預防措施是指那些應該避免或可以避免的非期望的事件。許多防禦機制分析技巧如下:
- 控制﹝Controls﹞:控制預防措施引導有用的或預期的能量流動,包含導體、不相連的開關、壓力導管和具認證過的工作方法。
- 安全裝置﹝Safety Devices﹞:安全裝置對於沒用的能量流動是預防措施,包含防護性設備、保護桿、安全訓練和緊急安置。
這些危害、目標和預防措施有時很難區分,因為同樣的能量流動也許在不同時間具有有用與無用的流動。
分析預防措施,要問下列問題:
- 預防措施是用來減少對目標的威脅/危害?
- 預防措施是適當的嗎﹝能夠處理威脅﹞?
- 每個預防措施有備援嗎?
三種不同的預防措施模式:
1. 人員
- 「實體的屏障」: (最可靠提供失效解決方案)
- 形的技術產生實體的預防措施,直接避免影響目標的危害方式。它們包括:
- 包含衛兵、手套和護目鏡、防護衣、擋板。這些裝置常被認為有一定的防護效果;例如:一位消防員可以在特別熱和時間限制下提供防火保護。
- 條碼、輸入密碼管控門、電腦程式防止進一步再輸入,如果一個領域沒有完成,藥物控制櫃會鎖起來。
- 天然屏障,如距離、時間或位置的屏障,例如隔離SARS病人在醫院;詢問旅遊回家後發燒的旅客與他們自願隔離自己在家10天以免傳染給其他人。
- 形的技術產生實體的預防措施,直接避免影響目標的危害方式。它們包括:
- 「動態的屏障」:動態預防措施包含警告和警鈴裝置。這些不是持續性的出現,而是在系統偵測到可能有潛在危險時才會作用,包含在關鍵作業期間限制接近或處置的連鎖啟動裝置。限制:動態預防措施的限制源自於警示的動態特性。
- 操作者未能注意到潛在危險的訊息。
- 操作者選擇不理會或逃避警示,特別是,如果錯誤的警示卻能夠正常的運作。
- 相反地,警示也許沒有啟動即使有危害出現。這呈現一項威脅,如果操作者習慣仰賴這些預防措施當作額外的保護。
就瑞士起司理論而言,每一片起司代表一個預防措施,且防止潛在的危害接觸目標。
洞是環境中活動性的與潛在失效,允許危害穿過預防措施與接觸目標。因此, Reason教授建議增加:
- 每一層增加更多起司 (預防措施)
- 每一個流程有更多層 (預防措施)
人的行為與行政屏障是最不可靠的預防措施,在安全失效方面,因為它們倚靠人的行為與態度會導致錯誤發生。為了加強人與行政的屏障,我們需要在不同的流程階段執行多個屏障以最小化在失效的系統錯誤。例如,如果監督同仁 (行政屏障)的建議為解決方案,以下的問題應該在同一個時間考慮與執行:
- 導師具體確認具備適當的技能且訓練有素的主管上司。
- 主管的能力定期評估、對預先設計的能力架構、確保能夠有效的監督。
- 想成為主管應提高教育/認知,讓他們了解期望甚麼與適當的參與。
- 監管會議如何與在哪裡舉行應該要有準則。
- 有時間讓讓監管者可以出現
- 監管 (使用監管者與監事) 流程可以早期偵測到系統的失誤且即時解決問題。
人員的阻礙:人力不足、管理方式改變、不當的訓練、不良的溝通。
2. 流程:包含使用:
- 訓練
- 查檢表
- 標準作業流程﹝SOP﹞
- 其他用來保護操作者和設備潛在危害的工作場所規範。
- 外在的:由各部門支援。
- 內在的:隨著時間所產生每天作業實施結果,這不是很可靠,如果新的員工無法發覺目前員工所遵循未書面化的規則方法。
- 人員:人員處置通常與程序性的預防措施有關。例如:人員處置用來控制危害的情況是控制和滅火,撤除容易引火的建物。
- 理和監督措施:以多層次的預防措施運作,這些限制不會直接避免特定目標受到特定危害;管理和監督預防措施有助於確保取得、開發裝置和系統的維護,確保更直接預防措施的提供來保護潛在目標。
- 風險管理 美國國家航空暨太空總署(NASA)的「理想」風險管理方法指引:
為了降低風險,專案計畫必須進行系統性的管理。風險管理流程對風險進行有效的識別、分析、計畫、追蹤、控制、溝通 及 文件化,以增加實現方案/專案計畫目的的可能性。
風險清單:每個專案計畫都應該在其生命週期的任何一個階段(時間點),有對應的風險優先清單,包含其程序性的衝擊影響。這個清單應該指出哪些風險最有可能發生,哪些風險造成最嚴重後果,以及哪些風險必須立即處理。
團隊成員:代表專案計畫團隊的所有成員都應該取得風險清單,以便每個人都清楚了解有哪些風險。這意味著專案計畫團隊成員應該對這些風險負責。團隊必須對既存的風險進行反應以減少或移除風險,並制定應變計畫,以便在風險發展成實際問題時做好準備。
風險特徵:從專案計畫開始時,專案經理及團隊必須了解計畫的「風險特徵」將會是什麼。風險特徵將找出計畫資源中的預期風險,及計畫風險預計會在何時增加或減少。
追蹤:計畫執行期間,為了確定風險降低措施是否有效,應該要進行風險追蹤。
過程障礙:發展分離(例如寫作SOP)和操作(例如執行)團隊,沒有系統的危害分析,測試不足,缺乏監督。
3.科技
預防措施的會失敗之機轉
- 預防措施不實際─不可能。不可能提供適當的預防措施來違背潛在能量的轉換。理想上,這種情況會在安全性分析找到。如果危害無法避免或減緩,管理者應該確保流程無法獲得必要的認可。例如:一但化學物質已經散佈在環境中,要保護大眾是不可能的。
- 預防措施不實際─不經濟。也許技術上可以發展適當的預防措施,但是成本編列阻礙預防措施發展。可以想到的好處是特定的預防措施會因大眾所關切的特定事件而改變。
- 預防措施部分失敗。預防措施可以成功的導入實際流程,但也可能無法完全保護目標避免潛在危害。在許多事件通報系統中,這是失敗的重要課題。
- 預防措施完全失敗。部分和完全保護之間的區別,在於應用的特性。預防措施的失敗與成功必須依據整體系統全面的安全目標來解釋。
- 沒使用預防措施─沒有提供。這意味著預防措施可能已經起用且保護目標。
- 沒使用預防措施─因為錯誤。在事件發生期間預防措施沒有起用,雖然是可用的,而且可以避免目標暴露在危險下。
障礙表
障礙表對於任務失敗惡化問題,可以得到更詳細的觀察。預防措施表格是一種藉由高階層的觀念﹝預防措施、目標、危害﹞和方法,使得預防措施失敗可以支援不良事件因果分析的機制。
| 屏障 | 失敗原因? |
|---|---|
| 人 | 缺乏工作人員 |
| 管理變更 | |
| 培訓/技能不足 | |
| 溝通不暢 | |
| 過程 | 開發和運營團隊的分離 |
| 無系統危害分析 | |
| 測試不足 | |
| 缺乏監督 | |
| 科技 | 錯誤的軌跡建模 → 表二 |
| 追踪問題 | |
| 拒絕燒烤模式 | |
| 拒絕TCM-5 |
危害:衝擊/重新輸入
目標:火星氣候軌道
- 屏障不實際─不可能
- 屏障不實際─不經濟
- 屏障部分失敗
- 屏障完全失敗
- 沒使用屏障─沒有提供
- 沒使用屏障─因為錯誤
| 屏障 | 屏障失效模式 | 失敗原因? |
|---|---|---|
| 軟體介面規格 | 沒有軟體監測確保 SIS 一致 | |
| 不良的太空梭導航小組的溝通。 | ||
| 不適當 SIS 的重要訓練。 | ||
| 軟體測試與確認 | 如果進行單獨的測試不明確。 | |
| 未能了解任務關鍵軟體。 | ||
| 對介面問題不了解。 | ||
| 意外事件通報系統 | 小組成員沒有使用 ISA 計畫 | |
| 帶領者沒有鼓勵報告。 | ||
| 無法諮詢相關的專家。 |
使用防禦機制分析結果來修改根本原因分析圖。
防禦機制分析結果應該結合﹝ECF﹞。許多預防措施與最後要素相關,所以基本上,防禦機制分析可以協助找出額外事件,這些事件是應該在根本原因分析圖中呈現。因為主要調查人員常常將重點放在催化事件,而不是放在消弱特定預防措施事件。
實踐示例:火星氣候軌道器
人員屏障(People Barriers)
人員不足(Lack of Staff)
首先是人員不足。 主線調查發現行動導航團隊(Operations Navigation Team)的人員配置不足。 特別是○○○除了負責X與Y作業以外,同時還有Z作業。 此工作負荷量對於○○團隊有異常的影響。
二位團隊領導者發現在關鍵任務期間非常困難提供24小時整天的服務,如…。 降低○○○導致分配給X作業的護士人力必須增加。 然而就更早期而言…,這些人員不足可能會造成行動導航團隊(Operations Navigation Team)對其發現在X與Y系統間異常調查的妨礙。 反過來說,這個問題導致行動導航團隊(Operations Navigation Team)無法有效地運作其針對任何個案管理問題所設的屏障,最終可能危及任務成功與否。
管理之變更(Changes in Management)
管理的變更妨礙了對導航問題的有效反應。 在進入火星軌道(Mars Orbit Insertion, MOI)的前幾個月,調查人員發現○○團隊有「缺乏一些關鍵人物及最高管理階層變化」的情況。 有更多的問題降低了對處理特定危害的管理有效性。 例如因為一些○○○人認為○○團隊很隨意的就把任務推給他們,所以覺得「缺乏主導權(Ownership)」。 在這個流程中主要的管理失敗為該導航團隊沒有可能監管流程實施的系統管理或的任務確保人員。 反過來說,這可能有助於任務中不同階段的溝通。
溝通問題(Communication Issues)
溝通不良是防止任務失敗的人為屏障失效的另一種解釋。 調查人員下了「太空船操作團隊不瞭解導航團隊關心的事」這樣的結論。 行動導航團隊似乎被與開發團隊及其他在此行動的團隊同事隔離開來。 其他問題則源於巡航時期的團隊溝通本質。 例如一旦導航團隊發現導航資料有衝突時,他們會依靠電子郵件進行協調反應 調查人員擔心使用這樣的方式通訊可能會造成訊息被「漏掉或沒注意到」的問題。
訓練問題(Training Issues)
主要及輔助調查也發現,訓練不足是工作人員沒有察覺任務可能危害的潛在因素。 這個因素與缺乏關鍵人物有關,因為沒有足夠的方法確保新團隊成員已經獲得必要操作技能。 特別是沒有明確的指導制度。 調查人員認為「沒有在操作用於軌道模型建置的○○軟體時使用公制單位進行編碼這項問題,應該會在適當的訓練中發現」。 一個特別值得關注的重點問題是,○○團隊不熟悉太空船上的高度控制系統…。「由於經驗不足與溝通不良,行動導航團隊及太空船操作團隊對這些功能與其對導航的影響都沒有完全理解」。 對於太空船特性的理解缺乏在事件整體中具有非常大的意義。 特別是它可能會妨礙行動導航團隊察覺其發現的差異問題的最高重要性。
附加屏障分析事件(Adding Barrier Analysis Events)
圖?將我們對任務失敗的人員屏障分析整合至ECF圖中。 此圖將一個新的事件增加到主要時間列, 這表示決定不隔離損壞的輪椅。 增加這個事件是因為之前的屏障分析發現○○是防止危害對目標發生作用的重要機會。 圖?同樣利用透過屏障分析的了解來解釋為何此機會沒有被運作。 人員缺乏、訓練不足、管理變更與行動導航及太空船操作團隊的溝通不良,都是未能察覺角動量數據低下(Angular Momentum Desaturation, AMD)異常的重要因素。 圖?也說明了屏障分析其助於發現在不良事件最初分析時,可能還沒被確定的關鍵事件序列的方法。
過程屏障不能保護
團隊分離(Separation of Teams)
操作人員缺乏有關○○操作特性的必要訓練。 造成這個問題的其中一個原因是整體太空計畫沒有規劃由開發人員交接給操作人員的詳細交班作業。 ○○也是多任務○○計畫中的第一個任務。 操作人員必須在同時追蹤A與B任務的情況下設想○○的管控。 ○○計畫也是噴射推進實驗室(Jet Propulsion Laboratory)在只有少數開發人員「轉換」到操作團隊後進行的第一個任務,這個情況讓這些後勤問題變得更加複雜。 沒有導航人員從○○的開發及操作做交班。 進而影響了整體事件中的一連串重大事件。 尤其是導航團隊與其他操作人員可能對A與B之間的硬體與軟體相似點作了許多錯誤假設。 此處的關鍵點在於未將關鍵開發人員轉換至操作階段,而這項決定解除了保護○○任務的一個流程屏障機制。 如果導航操作團隊知道更多關於通知○○開發的決定,那麼他們可能會意識到○○異常的潛在重要性。
許多相關情況顯示這個轉換計畫的不足,而這是多任務火星計畫中的第一個項目子計畫。 只轉換最少人員的這個決策促使操作團隊對於A與B之間的相似點做出錯誤假設的狀況發生。 這些假設的錯誤本質也在圖10.9太陽能電池陣列(solar array)的變更中被提及與突顯出來。儘管因為這些錯誤假設是源於開發轉至操作的初期而造成後續問題出現,但這些問題仍對整體事件產生影響。 這樣的情況代表錯誤假設的可能性被雙線包圍(並為後續任何嘗試將根本原因從促成因素中分離出來的行動提供重要的起始點)。
無系統危害分析(No Systematic Hazard Analysis)
缺乏任何系統危害評估,例如使用故障樹分析為整體任務找出多數的重點。 這使得工程師無法考慮到各方面的可能失效模式。 同時也阻礙了開發和操作團隊完成系統性的關鍵功能評估。 特別是某些危害分析可能有助於找出對行動導航團隊使用的地面軟體而言是「極其關鍵」的特定元素。 最後,缺乏連貫的危害分析可能也會造成意外因應計畫不足。 沒有進行這樣的分析會造成一些潛在屏障去除的連鎖反應,這些屏障可能是在太空船發射前將導航軟體作為關鍵組件進行檢測、或隨後可能促進操作團隊在發現異常後重新思考意外因應計畫。
測試不足(Inadequate Testing)
流程屏障會因為缺乏系統層級的持續驗證而遭到進一步的削弱損害。 導航需求設定在太高的管理層級 所以程式設計師及工程師需要確定如何在那些參與開發流程人的粗略引導下最大限度地符合要求。 如果能透過適當驗證的流程找到這些問題,則那些後果可能還不會那麼嚴重。 然而,只有A在毫無保險的狀態下發射後,才發現好幾個重大的系統及子系統問題。例如,檔案格式錯誤妨礙導航團隊從地面系統進行接收與遙測譯碼作業,時間幾乎長達6個月之久。 調查人員認為「AA地面軟體的獨立核實及驗證不足(驗證地面軟體微力度(small forces)性能端點對端點測試及軟體介面格式適用性測試似乎沒有完成)」。
缺乏監督(Lack of Oversight)
在BB任務期間,因為更多的監督不足造成驗證問題及缺乏任何系統層級危害分析情況愈發惡化。 對洛克希德‧馬丁航天製造廠商的子系統噴射推進開發監督不足。 造成了從開發轉移到操作的過渡期間人員配置數量減少的問題。 包含導航及軟體驗證等數個任務關鍵功能都有管理監督不足的情況。 這同樣使得在計畫執行期間維持責任與課責變得困難。
調查期間「誰負責?」及「誰是任務管理人員?」。 這些問題一再重複,調查人員記述了每當詢問人員這些問題時人員出現「猶豫及搖擺」的情況。 一線操作者對不良事件發生反應出感到罪惡和怪罪感是很正常的。 還有一位受訪者回答太空船操作管理者把自己當作任務管理者,好像沒有被指派一樣。
缺乏監督對○○開發和操作等不同面向都有重大影響。 如果這些監督確實到位,則可能讓相關人員在對○○硬體與軟體特性的假設更加審慎。 更連貫一致的監督也可能促進系統危害分析,特別是當高層要求其對於驗證須花費更多心力時。
附加屏障分析事件(Adding Barrier Analysis Events)
是否應該要將「觸發失效的事件」或「形成事件後果的情況」來表示特定的失效是很難以做決定的。 例如,用事件標示「決定不對火星軌道者號氣象觀測太空船(Mars Climate Orbiter, MCO)可能出現的錯誤進行事前分析」,可能會用情況標示「沒有系統危害分析」。 我們使用「事件」來表示那些在整體事件中可能變成後續分析焦點的各個階段。
實踐示例:在吸煙區從輪椅上跌倒
人員不足(Lack of Staff)
由於患者坐在輪椅上,因此要求初級護士將患者運送到吸煙區,但是在旅途中,由於最近流行感冒請假幾位理人員,所以單位上班人員減少;因此,初級護士被召回病房)。
訓練問題(Training Issues)
初級護士是直接從護理學校來上班,尚未完成「新進人員教育課程」。沒有人負責評估她是否已經接受過培訓或有能力做縮要求她進行的任務。
溝通問題(Communication Issues)
病房護理組長非常簡短地叫小護士帶輪椅病人到抽煙區,並沒有提供任何風險或責任的解釋。
管理之變更(Changes in Management)
病房護理品質督導長最近換人,尚未對新護士的任何培訓項目進行監督。
附加屏障分析事件(Adding Barrier Analysis Events)
非事件/非狀態:相關狀態導致護士沒有意識到待送修的輪椅是高風險,因為病人可以用得到之。
輪椅沒有被鎖定:等待被送修,但留在公開場合。
如果所有屏障都有效地運作,黃色背景將變得透明,順序將是:訓練有素的人員=>知道在等送修的輪椅的風險=>確保輪椅被鎖定,等待發送到 修理店。
實踐屏障分析
- 使用從輪椅跌倒的事件,繪製屏障分析表
- 將您的發現應用到事件的ECF圖上
參考文獻:
- C.W. Johnson, Failure in Safety-Critical Systems: A Handbook of Accident and Incident Reporting. University of Glasgow Press, Glasgow, Scotland, October 2003. www.dcs.gla.ac.uk/~johnson/book/
- Wikipedia. Mars Climate Orbiter. en.wikipedia.org/wiki/ Accessed March 7,1997.