瑞士奶酪模型：杜絕鏈效應(yīng)

在“航空事故理論”中有一個叫作瑞士奶酪的理論模型。這個模型是由一個名叫詹姆斯·瑞森的人提出來的，所以也稱“瑞森模型”，其核心思想是：組織活動可以分為不同層面，每個層面都會存在漏洞，不安全因素就像一個不間斷的光源，當(dāng)它剛好能透過所有這些漏洞時，事故就一定會發(fā)生。這些層面疊在一起，猶如把瑞士奶酪疊放在一起，所以被稱為“瑞士奶酪模型”。

我們知道，瑞士奶酪每一層上都有許多洞，這些洞就好比是錯誤發(fā)生的管道。如果錯誤只穿透一層或兩層奶酪（防衛(wèi)機制），往往不會被注意到或者造成較大的影響；如果錯誤穿透多層奶酪，就會造成顯而易見的事故。事故的發(fā)生往往不只是一個因素或事件本身造成的，更是因為存在著缺陷的某種集合，才使反應(yīng)鏈能夠貫通重重阻隔而發(fā)生。就像一塊瑞士奶酪，你初看每一塊上都有很多洞，但是疊在一起，沒有一個洞是讓你能一眼看穿的，也就是說沒有形成一個貫通的缺陷路徑。所以，防范錯誤的關(guān)鍵，不僅僅在于堵住空洞，更在于避免各個環(huán)節(jié)的空洞出現(xiàn)聯(lián)動性。

瑞士奶酪模型源于“人類必然會犯錯”這個基本假設(shè)，強調(diào)在作業(yè)流程的每一個環(huán)節(jié)，不論理論上規(guī)范得如何完整，執(zhí)行面都一定還是存在著因為人性或生物體疲乏造成的潛在缺失，好比瑞士奶酪上的一個個空洞。瑞士奶酪模型就是要為人為的失誤建立一個系統(tǒng)保障，盡量創(chuàng)造一個不容易犯錯的執(zhí)行環(huán)境，避免重大事故的發(fā)生。

安全冗余：多重備份并非多此一舉

說到“安全冗余”，不禁讓人想起一個摳門老外的生命悲劇。58歲的英國酒店大亨維克斯（Gary Vickers）有17年駕駛經(jīng)驗，當(dāng)時駕駛他的塞斯納雙引擎小型飛機，與其42歲的女友克拉克（Kay Clarke）到巴黎購物?；爻虝r，維克斯獲悉英國的油價更便宜，每公升油價較法國便宜9便士，為了節(jié)省油錢，竟把可裝滿386公升油的油缸只裝了244公升。但他沒有料到會遇上逆風(fēng)，結(jié)果導(dǎo)致燃油耗盡，引擎熄滅，最后落得機毀人亡的下場。

維克多的慳儉有悖安全冗余的道理。所謂“安全冗余”，通常指通過多重備份來增加系統(tǒng)的可靠性。換句話講，就是為了更好地保證安全，設(shè)置一些看似多余的、不必要的安全設(shè)施或制度。舉例來說，在電力系統(tǒng)中線路雙重保護屬于設(shè)備性冗余，為的是保障電網(wǎng)安全；倒閘操作雙監(jiān)護是通過制度冗余來保障人身安全。

實際上，在生活與工作中，安全與危險同在，不會存在絕對的安全或危險。要想繼續(xù)保持安全狀態(tài)，就必須采取多重措施，以“冗余”這樣一種安全理念來預(yù)防，把危險因素限制在可控的范圍內(nèi)。