背景
开发背景
HFACS由美国联邦航空管理局(FAA)民用航空医学研究所的Scott A. Shappell博士和伊利诺伊大学厄巴纳-香槟分校的Douglas A. Wiegmann博士于2000年左右开发,最初是为了解决美国海军和海军陆战队航空事故中80%以上都涉及人为因素,但缺乏标准化分析框架的问题。
在HFACS之前,事故调查人员对人为因素的分析往往是零散、主观的,缺乏统一的分类标准和系统方法,导致难以进行跨事故比较和趋势分析,也难以制定针对性的预防措施。
目的
-
标准化人为因素分析:提供一个系统、分层、分类的详细分类体系(taxonomy),用于在组织影响、不安全监督、不安全行为前提和不安全行为四个层面系统地编码和分析人为因素
-
操作化瑞士奶酪模型:将James Reason的瑞士奶酪模型从理论概念转化为可实际应用的事故调查工具,提供"标准化调查清单"
-
支持趋势分析与预防:建立结构化的人为因素数据库,便于识别常见的人为失误模式和系统缺陷,为制定有效的安全预防措施提供数据支持
-
跨组织、跨行业比较:提供统一的分析框架,使不同组织、不同行业的事故调查结果可以进行比较和共享
应用领域
-
航空领域(最初应用领域):军用航空、民用航空、通用航空、航空维修、空中交通管制
-
其他运输领域:铁路、公路运输、海事运输
-
工业领域:石油化工、采矿、电力、制造业
-
医疗领域:医院、诊所、医疗设备操作
-
其他高风险行业:核工业、建筑、消防、应急响应
理论基础
Reason奶酪
HFACS直接基于Reason的瑞士奶酪模型,该模型将事故发生描述为:
-
存在多层防御屏障(像一层层瑞士奶酪)
-
每一层都有潜在的"孔洞"(漏洞),这些孔洞是由潜在失效(latent failures,来自组织和管理层面)和主动失效(active failures,来自一线操作者)造成的
-
当多个孔洞恰好对齐,形成一条"穿透路径"时,事故就会发生
通用错误建模系统(GEMS)
HFACS还借鉴了Reason在《Human Error》一书中提出的通用错误建模系统(GEMS),该系统整合了诺曼(Norman)、拉斯穆森(Rasmussen)等研究者的成果,将人为失误分为:
-
技能型失误(Skill-Based Errors):在执行高度熟练的常规任务时发生的失误
-
规则型失误(Rule-Based Errors):遵循了错误的规则或程序
-
知识型失误(Knowledge-Based Errors):在解决新问题或复杂问题时,由于知识不足或错误判断导致的失误
主动失效与潜在失效的区分
HFACS明确区分了:
-
主动失效(Active Failures):一线操作者在事故发生时的不安全行为(Level 1),这些是直接导致事故的行为
-
潜在失效(Latent Failures):来自组织和管理层面的缺陷(Level 2、3、4),这些缺陷可能在事故发生前就已经存在,为主动失效的发生创造了条件
四层框架与19个因果类别
HFACS框架分为四个层级,从上到下分别是:
-
组织影响(Organizational Influences):最高层级,组织层面的决策和管理缺陷
-
不安全监督(Unsafe Supervision):中层管理和监督层面的缺陷
-
不安全行为的前提条件(Preconditions for Unsafe Acts):直接影响操作者行为的个人、环境和团队因素
-
不安全行为(Unsafe Acts):最低层级,一线操作者的直接不安全行为(主动失效)
每个层级又进一步细分为多个因果类别,总共19个因果类别。
Level 1:不安全行为(Unsafe Acts)——直接导致事故的行为
| 主类别 | 子类别 | 权威定义(来自Wiegmann & Shappell原著) | 典型示例 |
|---|---|---|---|
| 失误(Errors,无意行为) | 技能型失误(Skill-Based Errors) | 操作者在执行常规、高度熟练的任务时发生的失误,与程序、培训或熟练程度有关,导致不安全情况 | 未能正确排序注意力、检查单错误、不良习惯、操作失误 |
| 决策失误(Decision Errors) | 操作者的行为按预期进行,但所选方案不足以实现预期目标,导致不安全情况 | 超出能力范围、规则型错误、不适当的程序选择 | |
| 感知失误(Perceptual Errors) | 操作者的感官输入受损,基于错误信息做出决策 | 视觉错觉、误判距离/高度、未能察觉关键信息 | |
| 违规(Violations,故意行为) | 常规违规(Routine Violations) | 操作者的习惯性行为,被管理当局容忍 | 习惯性地简化检查单、超速、违规操作程序 |
| 例外违规(Exceptional Violations) | 孤立的偏离规定行为,既不是个人典型行为,也不被管理层宽恕 | 紧急情况下的违规操作、一次性的程序偏离 | |
| 注:失误是无意的,而违规是故意无视规则和规定 |
Level 2:不安全行为的前提条件(Preconditions for Unsafe Acts)——导致不安全行为的直接条件
| 主类别 | 子类别 | 权威定义(来自Wiegmann & Shappell原著) | 典型示例 |
|---|---|---|---|
| 环境因素(Environmental Factors) | 物理环境(Physical Environment) | 包括操作环境(天气、高度、地形)和周围环境(温度、振动、照明、毒素)的因素 | 恶劣天气、夜间低能见度、高海拔缺氧、振动过大 |
| 技术环境(Technological Environment) | 包括设备设计、自动化问题、显示/界面特性、检查单布局等设计因素 | 人机界面不友好、自动化设计缺陷、显示信息模糊 | |
| 操作者状态(Condition of Operators) | 不良心理状态(Adverse Mental State) | 影响绩效的心理条件 | 压力过大、精神疲劳、动机不足、焦虑 |
| 不良生理状态(Adverse Physiological State) | 影响绩效的医疗或生理条件 | 疾病、身体疲劳、缺氧、药物影响 | |
| 生理/心理限制(Physical/Mental Limitations) | 操作者缺乏应对情况的生理或心理能力 | 视力限制、反应时间不足、认知能力限制 | |
| 人员因素(Personnel Factors) | 机组资源管理(Crew Resource Management) | 沟通、协调、规划和团队合作问题 | 缺乏沟通、协调不当、未能有效分配任务 |
| 个人准备(Personal Readiness) | 与工作外活动有关的因素,影响工作表现 | 休息不足、酒精影响、个人问题干扰 | |
| 注:这一层级是连接主动失效(Level 1)和潜在失效(Level 3、4)的关键桥梁,直接影响操作者的行为能力和决策质量 |
Level 3:不安全监督(Unsafe Supervision)——中层管理和监督缺陷
| 类别 | 权威定义(来自Wiegmann & Shappell原著) | 典型示例 |
|---|---|---|
| 监督不足(Inadequate Supervision) | 监督者未能为员工提供成功的机会,未能提供指导、培训、领导、监督或激励,以确保任务安全高效地执行 | 未能提供足够的培训、监督不力、缺乏指导、未能进行绩效评估 |
| 计划不当的操作(Planned Inappropriate Operations) | 正常操作期间不可接受,但紧急情况下可能可接受的操作 | 不合理的风险评估、不适当的机组配对、过高的操作节奏 |
| 未能纠正已知问题(Fail to Correct Known Problem) | 监督者已知存在缺陷,但允许其继续存在 | 已知不安全倾向未报告、未采取纠正措施、未解决安全隐患 |
| 监督违规(Supervisory Violations) | 监督者故意无视现有规则和规定 | 未能执行规则和规定、授权不必要的危险、文档不足 |
| 注:这一层级反映了中层管理和监督在安全管理中的关键作用,是组织影响(Level 4)与操作者行为(Level 1、2)之间的中介 |
Level 4:组织影响(Organizational Influences)——最高层级的组织决策和管理缺陷
| 类别 | 权威定义(来自Wiegmann & Shappell原著) | 典型示例 |
|---|---|---|
| 资源管理(Resource Management) | 组织层面关于组织资产(人力资源、财务/预算资源、设备/设施资源)分配和维护的决策 | 人员配备不足、培训预算削减、设备维护不足、资源分配不合理 |
| 组织氛围(Organizational Climate) | 组织内部的工作氛围,包括结构、政策、文化 | 安全文化薄弱、过度强调生产效率、惩罚性报告文化、缺乏安全沟通 |
| 操作流程(Operational Process) | 管理组织日常活动的组织决策和规则,包括操作、程序、监督 | 程序设计不合理、操作标准不明确、监督机制不完善、风险管理流程缺失 |
| 注:这一层级是所有潜在失效的根源,反映了组织高层管理在安全管理中的核心责任 |
步骤
应用前提
-
调查人员必须接受HFACS框架的专业培训,理解每个类别的精确定义
-
必须收集完整的事故数据,包括组织背景、监督情况、操作者状态和行为、环境条件等
-
必须采用系统方法,而不是简单地归咎于操作者的失误,要深入分析导致失误的前提条件、监督缺陷和组织因素
分析步骤
-
事故场景重建:收集并分析事故数据,重建事故发生的完整序列和场景
-
识别不安全行为(Level 1):确定导致事故的直接不安全行为(失误或违规),并分类到相应的子类别
-
分析不安全行为的前提条件(Level 2):识别导致不安全行为的直接条件(环境因素、操作者状态、人员因素)
-
评估不安全监督(Level 3):分析监督层面的缺陷(监督不足、计划不当操作、未能纠正已知问题、监督违规)
-
审查组织影响(Level 4):识别组织层面的决策和管理缺陷(资源管理、组织氛围、操作流程)
-
建立因果链:将四个层级的因素连接起来,建立从组织影响到不安全行为的完整因果链
-
制定预防措施:针对每个层级的关键因素,制定相应的预防措施,重点关注潜在失效的消除
数据收集方法
-
文件审查:事故报告、飞行数据记录仪(FDR)、驾驶舱语音记录仪(CVR)、维护记录、培训记录、政策文件
-
访谈:事故相关人员(操作者、监督者、同事)、专家(人为因素专家、系统设计师)
-
现场调查:事故现场检查、设备检查、环境条件评估
-
模拟与实验:必要时进行模拟实验,重现事故条件,验证假设
扩展版本
-
HFACS-ME(Maintenance Extension):用于航空维修人为因素分析的扩展版本,由FAA开发
-
HFACS-AD(Aviation Decision-Making Extension):针对航空决策失误的扩展版本
-
HFACS-Maritime:用于海事事故分析的扩展版本
-
HFACS-Medical:用于医疗事故分析的扩展版本
优势与局限性
主要优势
-
系统性:提供全面、分层的分析框架,避免了简单的操作者归咎
-
标准化:统一的分类标准,便于跨事故比较和趋势分析
-
操作化:将复杂的人为因素理论转化为可实际应用的工具
-
灵活性:可以根据不同行业和组织的需求进行扩展和调整
-
数据支持:支持结构化数据库的建立,为安全决策提供数据支持
主要局限性
-
培训要求高:需要对调查人员进行大量培训,才能准确应用每个类别的定义
-
数据需求大:需要收集完整的事故数据,包括组织层面的信息,这在某些情况下可能很困难
-
主观性:尽管有标准定义,但在某些情况下,分类仍然可能存在主观性
-
不包括技术故障:HFACS主要关注人为因素,对于纯技术故障的分析能力有限
-
需要持续更新:随着技术和组织的变化,HFACS框架需要不断更新和扩展
延申阅读
-
Wiegmann, D. A., & Shappell, S. A. (2003). A Human Error Approach to Aviation Accident Analysis: The Human Factors Analysis and Classification System. Routledge.(HFACS模型的原始权威著作)
-
Reason, J. T. (1990). Human Error. Cambridge University Press.(HFACS的理论基础著作)
-
Salmon, P., Stanton, N., Lenne, M., Jenkins, D., & Rafferty, L. (2012). Human Factors Methods and Accident Analysis. Routledge.(包含HFACS详细应用方法的权威书籍)
-
(美)Douglas A. Wiegmann, Scott A. Shappell 著,《飞行事故人的失误分析:人的因素分析与分类系统》,中国民航出版社(中文权威译本)
-
Federal Aviation Administration (FAA). (2006). Aviation Maintenance Human Factors Accident Analysis: HFACS-ME Student Guide.(FAA官方HFACS扩展版本培训材料)