瑞士奶酪模型：杜絕鏈效應(yīng)

在“航空事故理論”中有一個(gè)叫作瑞士奶酪的理論模型。這個(gè)模型是由一個(gè)名叫詹姆斯·瑞森的人提出來(lái)的，所以也稱“瑞森模型”，其核心思想是：組織活動(dòng)可以分為不同層面，每個(gè)層面都會(huì)存在漏洞，不安全因素就像一個(gè)不間斷的光源，當(dāng)它剛好能透過(guò)所有這些漏洞時(shí)，事故就一定會(huì)發(fā)生。這些層面疊在一起，猶如把瑞士奶酪疊放在一起，所以被稱為“瑞士奶酪模型”。

我們知道，瑞士奶酪每一層上都有許多洞，這些洞就好比是錯(cuò)誤發(fā)生的管道。如果錯(cuò)誤只穿透一層或兩層奶酪（防衛(wèi)機(jī)制），往往不會(huì)被注意到或者造成較大的影響；如果錯(cuò)誤穿透多層奶酪，就會(huì)造成顯而易見的事故。事故的發(fā)生往往不只是一個(gè)因素或事件本身造成的，更是因?yàn)榇嬖谥毕莸哪撤N集合，才使反應(yīng)鏈能夠貫通重重阻隔而發(fā)生。就像一塊瑞士奶酪，你初看每一塊上都有很多洞，但是疊在一起，沒(méi)有一個(gè)洞是讓你能一眼看穿的，也就是說(shuō)沒(méi)有形成一個(gè)貫通的缺陷路徑。所以，防范錯(cuò)誤的關(guān)鍵，不僅僅在于堵住空洞，更在于避免各個(gè)環(huán)節(jié)的空洞出現(xiàn)聯(lián)動(dòng)性。

瑞士奶酪模型源于“人類必然會(huì)犯錯(cuò)”這個(gè)基本假設(shè)，強(qiáng)調(diào)在作業(yè)流程的每一個(gè)環(huán)節(jié)，不論理論上規(guī)范得如何完整，執(zhí)行面都一定還是存在著因?yàn)槿诵曰蛏矬w疲乏造成的潛在缺失，好比瑞士奶酪上的一個(gè)個(gè)空洞。瑞士奶酪模型就是要為人為的失誤建立一個(gè)系統(tǒng)保障，盡量創(chuàng)造一個(gè)不容易犯錯(cuò)的執(zhí)行環(huán)境，避免重大事故的發(fā)生。

安全冗余：多重備份并非多此一舉

說(shuō)到“安全冗余”，不禁讓人想起一個(gè)摳門老外的生命悲劇。58歲的英國(guó)酒店大亨維克斯（Gary Vickers）有17年駕駛經(jīng)驗(yàn)，當(dāng)時(shí)駕駛他的塞斯納雙引擎小型飛機(jī)，與其42歲的女友克拉克（Kay Clarke）到巴黎購(gòu)物。回程時(shí)，維克斯獲悉英國(guó)的油價(jià)更便宜，每公升油價(jià)較法國(guó)便宜9便士，為了節(jié)省油錢，竟把可裝滿386公升油的油缸只裝了244公升。但他沒(méi)有料到會(huì)遇上逆風(fēng)，結(jié)果導(dǎo)致燃油耗盡，引擎熄滅，最后落得機(jī)毀人亡的下場(chǎng)。

維克多的慳儉有悖安全冗余的道理。所謂“安全冗余”，通常指通過(guò)多重備份來(lái)增加系統(tǒng)的可靠性。換句話講，就是為了更好地保證安全，設(shè)置一些看似多余的、不必要的安全設(shè)施或制度。舉例來(lái)說(shuō)，在電力系統(tǒng)中線路雙重保護(hù)屬于設(shè)備性冗余，為的是保障電網(wǎng)安全；倒閘操作雙監(jiān)護(hù)是通過(guò)制度冗余來(lái)保障人身安全。

實(shí)際上，在生活與工作中，安全與危險(xiǎn)同在，不會(huì)存在絕對(duì)的安全或危險(xiǎn)。要想繼續(xù)保持安全狀態(tài)，就必須采取多重措施，以“冗余”這樣一種安全理念來(lái)預(yù)防，把危險(xiǎn)因素限制在可控的范圍內(nèi)。