|
专业技术@翼知堂 民航界在人为因素研究领域里有一些经典的理论,比如“海因里希法则”、“REASON模型”、“SHEL模型”、“墨菲定律”等,其中墨菲定律最为有名,它与帕金森定律、彼得原理并称为二十世纪西方文化中最杰出的三大发现。帕金森定律和彼得原理的提出者分别为英国著名历史学家诺斯古德帕金森和美国管理组织学家劳伦斯彼得(出生于加拿大),他们以书籍形式将其生成的理论出版,被翻译成多国文字,在读者中引起强烈反响,进而影响人们的思想。而“墨菲定律”的发现与它们不同,更像是提出者的一句“戏言”,来历至今还是一段有争议的历史。 美国空军上尉工程师爱德华·墨菲(EdwardMurphy)在1948至1949年间参加了一项代号为MX981的研究项目,目的是测试人对重力加速度的耐受能力,测试过程中有人质疑原方案记录加速度仪器的准确性,爱德华墨菲提议使用电子应变仪来测量。但MX981团队出师不利,试验测试结果显示,电子应变片传感器的读数无效。测试传感器有两种安装形式,其中一种方式是错误的,更令人感到神奇的是,有人竟把所有的传感器方向全部安装错误。据说在试验前曾经给出墨菲团队进行传感器测试和校准的时间,但是墨菲拒绝了,事后又把失败归咎于他的助理。MX981项目负责人在后来的记者招待会上提出了“墨菲定律”这个名词,并转述了墨菲的话:“凡事有出错的可能,就一定会出错。”后来,爱德华·墨菲的儿子罗伯特·墨菲(Robert Murphy)纠正了这一说法,指出他父亲的描述是:“如果一项工作不止一种方法,其中一种会导致灾难,那么他就会这么做(If there''smore than one way to do a job, and one of those ways will result in disaster,then he will do it that way)。” 尽管“墨菲定律”的出现得有些扑簌迷离,但这个法则还是在技术界不胫而走,因为它指出了一个不争的事实:(1)人,是要犯错误的;(2)任何事情都不像表面看上去那么简单;(3)任何可能出错的事情,终将会出错,还是在最不合适的时候;(4)暗含在设计中的技术风险,会由可能性变为突发必然性。1955年,“墨菲定律”第一次被正式引用在航空力学通告的第二季度杂志里:“如果一个飞机部件可以被不正确的安装,那么就一定会有人将它错误安装(Ifan aircraft part can be installed incorrectly, someone will install it thatway.)。 “墨菲定律”对民航运输飞机在维修保障方面杜绝人为差错的发生起到了重要的帮助作用,针对可能因为实施维修不正确或者使用了不当的部件将会危及飞行安全的情况,民航监管局方对飞机维修提出了必检要求(RII:Required Inspection Item),要求维修工作执行者和检查者应采取分离的工作方法,这种分离需要一个独立的检查者对维修工作进行核实检查,以确保工作不会出现差错。 摆在科学技术发展道路上的难题,不仅仅让人们知道“人,是一定会犯错误”的这一事实,而是在未来的道路上,要知道如何减少犯错和如何降低犯错带来的影响,这需要我们必须“直面错误”并且“深入研究错误”。我曾在工作中遇到一个装配人为差错的案例(如图1):飞机在装配线上,停留刹车阀1号液压系统管路与2号液压系统管路接反,测试时导致两套液压系统油路发生串联故障。这两根液压系统导管外径材料相同,管子为细钢管,本身具有一定弹性,两根管路在停留刹车阀接口位置较近,同时无其它支架完全控制导管的走向,容易出现装配差错的情况。 图1:装配人为差错案例 读者可能会认为这是一个非常简单的“人-硬件”交联时发生的差错,改善差错的方法是要从硬件自身改进,如果头脑风暴的话,可能会想出几十个优化更改方案。事实上,分析在产品上发生的人为差错相关问题,技术决策的最终结果不仅仅是给出“改或不改”的结论,而是更需要给出支撑结论内部系统分析的立据。不能只是停留在原地踏步,要权衡考虑,向前迈出一步:如果要进行设计更改则需要怎么改,要拿出更改的计划和方案;向后退一步:如果不需要设计更改也应拿出怎样防止再次出现问题的措施。图2是我给出部件安装出现差错后的处置分析流程,其实应对此类部件装配的人为差错并不复杂,有两种方法可以视情使用,一种是消除差错风险的原因(从硬件角度,减少差错发生的起因),另一种是管理差错风险(从软件或管理上,包容差错,控制差错带来的影响)。 图2:装配差错处置措施的分析流程 组织体系在运作过程中一旦出现的差错或风险,如果不妥善分析和处理,会给犯错误的工作人员或者发现风险的工作者带来极大的挫败感,并且这种挫败感会潜移默化迁移成为一种消极对待差错或风险的文化,若不建立“以人为中心”的研究差错和风险管理的内核模式,就会导致不良文化的蔓延,也终究会给组织体系安全带来巨大影响。良好的组织体系文化是注重理解和解决差错或风险问题的,应寻找有效途径去清晰地制定可接受和不可接受行为的界限,而不是责备技术人员。 乔萨特曾在他的《未了的传奇》一书里,介绍了他应美国前总统里根邀请参与“挑战者”号航天飞机事故调查工作。导致“挑战者”号航天飞机事故的直接原因是由于固体火箭推进器上两个部件的连接部位密封圈设计不合理,导致燃气密封失效所致。在航天飞机发射升空的过程中,用于保证这个连接部位密封性的是一个圆形橡胶圈,这个密封圈是绝对不允许暴露在燃气之下的,过低的外界温度也会使橡胶圈的材料变脆,从而进一步降低其密封性能。“挑战者”号航天飞机发射的当天,外界温度只有36华氏度,较以往任何一次发射时的温度低了15华氏度,高温、高压的燃气自固体火箭助推器中泄露出来,而且燃料泄露处的另一侧恰好是外部燃油箱,航天飞机升空后,泄露孔起火,击穿了外部的燃油箱事故调查还是揭开了组织体系内部的多重缺陷。在早期的试验中,已经有迹象显示固体火箭助推器的设计存在明显的缺陷,制造密封圈的橡胶公司官方说法是“情形虽不令人满意,但是可以接受。”当NASA的工程师和技术专家发现固体火箭推进器“连接问题”是安全隐患需要引起注意时,其管理层也未能及时采纳和引起重视,也就是说,制造方和用户的工程师都曾再三警告了固体火箭推进器存在着灾难性设计缺陷,但是双方的管理层对此却没有采取任何措施,而是一味地将问题缩小化,称其为“一个可接受的风险。” 萨特说:“NASA内部并没有建立统一且正式的安全报告机制,导致涉及重大利害关系的问题不具备透明度,也不能确保潜在的问题能够得到及时的解决。”在挑战者号航天飞机失事之后,NASA启动了全面的改革和机构重组工作。 组织体系中出现的各类差错和缺陷具有必然性,能够在体系内传递并具有不确定性等特征,差错或缺陷带来的安全风险是长期存在也在不停地演变。如果人的差错耦合了硬件设备设计的缺陷,并且涉及了多种硬件设备,再耦合了不成熟的新技术缺陷,再耦合组织体系中出现的工作程序或管理缺陷,差错的分析和处置就会变得非常复杂。为了管理体系中的这些威胁和错误,需要组织体系不断地对风险进行预测、识别及恢复,公开透明地讨论体系中的差错和缺陷仍是杜绝或减缓风险发生的有效手段。 美国联邦航空局(FAA)于1975年4月30日设立了一个自愿的航空安全报告系统(Aviation Safety Reporting Program:ASRP),旨在鼓励航空运营领域各个专业的工作人员识别和报告民用航空系统中的差错和缺陷,这些报告不仅仅可改进当前的安全系统,对规划未来的安全系统还能提供有意义的数据。FAA认为,如果不是FAA来完成对差错报告系统中原始数据的接收、处理和分析, ASRP的效率将大大提高。1975年8月,FAA与NASA签订备忘协议,由FAA转至NASA来设计和管理ASRP系统,自NASA管理ASRP系统以来运行至今已有40余年。NASA的ASRP系统称为 ASRS(Aviation Safety Reporting System),负责民用航空安全信息的报告接收、分析和识别。此外,ASRS还定期向公众、航空界和联邦航空局发布报告。ASRS发布的安全通讯月刊CALLBACK,可以在ASRS网站免费下载阅读。CALLBACK以不署名的报告摘录形式,与公众分享航空领域的经验教训。此外,CALLBACK还会分享ASRS的研究成果和相关航空安全信息。 图3:NASA ASRS和CALLBACK NASA ASRS的保密系统确保报告人和报告事件涉及人员的匿名性, ASRS项目实施的40多年来,没有发生过任何违反保密规定的事件。这样的报告系统形式因为跨越行业,形成了一种强制物理隔离的特性,可以确保在最大程度上对差错或不安全事件的分析仅限于事件本身,而不介入对当事的人或组织进行主观臆断和事件之后产生的影响。同时,也可以让安全相关的经验教训和科学的处置方法能够在不同行业之间达到相互借鉴的目的,在先进的组织管理模式或先进技术上形成跨行业的融合(如图3)。 科学技术进步的同时,“墨菲定律”是始终悬在人们头顶上时时刻刻警示人们的达摩克利斯之剑。面对在发展或认知过程中人们所犯下的错误,应该抛开以漠视、逃避或批判为内涵的管理模式,完成从批判走向建设的转变,建立起一种人人都可参与,人人都愿意参与,人人都可建议,人人都愿意建议的公开透明的对错误识别,搜集,分析及研究机制。彼得德鲁克曾说过:“风险和安全不是对立的,而是平行的。”我认同这个观点,如果没有风险,安全也无处安放。在风险始终存在的工作环境里,通过持续的危险识别和风险管理过程,强调系统中建立面对问题时的临时评估和持续纠正措施。组织体系或产品技术上的风险确实存在,但同时也是无止境的,要对风险的种类进行区分,判断优先顺序,通过优化管理,将对人员的伤害或财产损失的风险真正降低或保持在可接受的水平之下。 |
|
|
