Reason 模型

理论

  1. 奠基之作(1990):《Human Error》(剑桥大学出版社)

    • 首次系统提出“瑞士奶酪”隐喻,区分主动失效(Active Failures)与潜在条件(Latent Conditions)两大核心概念

    • 建立四层次防御失效框架,将人为错误与组织系统联系起来

    • 核心论点:无论设备多精良、制度多合理,人永远无法超越系统限定,错误是系统缺陷的“症状”

  2. 系统完善(1997):《Managing the Risks of Organizational Accidents》(阿什盖特出版社,后由Routledge再版)

    • 深化组织事故理论,系统阐述“潜在条件是事故的根本原因,主动失效只是触发因素”

    • 扩展防御层模型,加入安全文化、组织学习等维度

    • 提供组织事故风险评估与管理的具体方法

  3. 航空领域应用经典:《Aviation Human Factors》(与Daniel E. Maurino、Neil Johnston等合著,中国工人出版社引进版)

    • 将模型直接应用于航空安全,分析机组操作、签派、维护等环节的人为因素与系统失效

概念与理论框架

核心隐喻与基本原理

  • 瑞士奶酪切片:代表系统的防御屏障/保护层(如制度、培训、监督、技术防护)

  • 孔洞:代表防御层中的缺陷(主动错误、设计漏洞、程序缺陷、资源不足等)

  • 孔洞的动态性:孔洞不是固定的,会因人员状态、系统负荷、环境变化等因素而随机移动与变化

  • 事故发生条件:当来自危险源的“威胁向量”(Hazard Vector)能够穿过所有切片上对齐的孔洞时,防御失效,事故发生

  • 核心主张:复杂系统事故几乎从不源于单一错误,而是多层次失效累积与耦合的结果;潜在条件比主动错误更关键(主动错误是“冰山一角”,潜在条件是“水下基座”)

主动失效与潜在条件

类型 原著定义 典型表现 时效性
主动失效 由一线操作人员直接产生、立即对系统造成影响的不安全行为/错误 飞行员误操作、签派员指令错误、机械师工具误用、管制员口令失误 即时性,通常在事故发生时或前不久
潜在条件 源于组织高层决策、设计缺陷、程序不合理、资源不足、文化问题等,长期潜伏在系统中的“病原体” 不合理的排班、培训不足、设备设计缺陷、安全文化缺失、预算削减导致的维护滞后 长期性,可能在事故发生前数月甚至数年就已存在
  • 核心关系(《Human Error》p.179):潜在条件创造主动失效发生的可能性,主动失效触发潜在条件的破坏性后果;事故调查应优先识别并消除潜在条件

四层次防御失效框架

《Human Error》与《Managing the Risks of Organizational Accidents》明确提出的四层级失效,从直接到根本依次为:

  1. 不安全行为(Unsafe Acts):最外层,一线人员的主动失效

    • 类型:失误(Slips/Lapses,无意)、违规(Violations,有意)、错误决策(Mistakes)

    • 防御目标:防止错误执行或及时纠正

  2. 不安全行为的前提条件(Preconditions for Unsafe Acts):第二层,影响人员行为的即时条件

    • 个体因素:疲劳、压力、技能不足、注意力分散

    • 环境因素:设备布局不合理、工作空间拥挤、天气恶劣、通信不畅

    • 防御目标:消除或控制导致不安全行为的条件

  3. 不安全监督(Unsafe Supervision):第三层,管理与监督失效

    • 表现:监督不足、程序执行不力、违规默许、培训不到位、风险评估缺失

    • 防御目标:建立有效监督机制,确保程序被正确执行

  4. 组织影响(Organizational Influences):最内层(根本层),组织层面的决策与资源分配问题

    • 表现:高层决策失误、资源不足、安全文化缺失、组织结构不合理、法规合规性问题

    • 防御目标:从源头设计安全的组织系统,提供充分资源与正确政策导向

应用方法

事故调查

  1. 收集事故数据,识别直接不安全行为触发条件

  2. 分析前提条件:为什么操作人员会犯这样的错误?

  3. 评估监督失效:监督系统为何未能预防或及时发现问题?

  4. 追溯组织影响:组织政策、资源分配、文化等深层次原因

  5. 制定分层整改措施:针对各层级失效,优先解决潜在条件

引用(《Managing the Risks of Organizational Accidents》核心方法)

风险管理与安全防御设计

  1. 多层防御原则(《Human Error》p.201):设计相互独立、功能互补的防御层,避免“共因失效”(多个防御层因同一原因失效)

  2. 潜在条件管理

    • 定期开展系统安全审计,识别潜伏的设计、程序、资源问题

    • 建立安全文化:鼓励报告错误(无责备文化),将错误视为学习机会

    • 实施组织学习:从事故与未遂事件中提取经验,改进系统

  3. 主动失效控制

    • 设计防错界面(Error-proofing),减少人为错误可能性

    • 提供充分培训,提高人员识别与应对错误的能力

    • 建立独立验证机制(如双人复核、自动化监控)

航空安全领域典型应用

  1. HFACS(人因分析与分类系统):基于Reason模型四层次框架,由Shappell与Wiegmann开发,用于航空事故人因分析(《A Human Error Approach to Aviation Accident Analysis》)

  2. 机组资源管理(CRM):将模型应用于机组协作培训,强调识别并弥补团队工作中的“孔洞”

  3. 运行安全审计:国际民航组织(ICAO)推荐使用该模型进行安全管理体系(SMS)评估

局限性与扩展

局限性

James Reason本人在著作中也承认模型的局限性:

  1. 简化性:“瑞士奶酪”隐喻是概念模型而非精确数学模型,实际系统的防御层与失效路径更复杂

  2. 静态视角:原始模型对动态系统(如高负荷、快速变化的航空运行)的适应性有限,忽略了人在系统中的自适应能力

  3. 因果关系复杂性:未能充分考虑非线性因果关系多重交互作用

  4. 安全文化维度不足:早期模型对安全文化的作用强调不够,后期在《Managing the Risks of Organizational Accidents》中有所补充

发展

  1. 动态扩展模型:加入自适应防御学习反馈环,使模型更适用于复杂动态系统

  2. 安全-II视角:从“预防事故”向“促进成功”转变,强调识别并强化系统的弹性能力

  3. 数字时代应用:扩展到网络安全、自动驾驶等领域,分析人机协作中的防御失效

延申阅读

  1. Reason, J. T. (1990). Human Error. Cambridge University Press.

  2. Reason, J. T. (1997). Managing the Risks of Organizational Accidents. Ashgate Publishing (Routledge, 2016 Reprint).

  3. Reason, J. T., Maurino, D. E., & Johnston, N. (2018). Aviation Human Factors (2nd ed.). Ashgate Publishing.

  4. Shappell, S. A., & Wiegmann, D. A. (2019). A Human Error Approach to Aviation Accident Analysis (3rd ed.). Routledge.