[系統工程] 正名與新解瑞士乳酪理論(Swiss Cheese Model)
瑞士乳酪理論(Swiss Cheese Model)是一個常用來討論意外發生原因以及風險管理的例子。常常在某件公共意外發生慘烈的人員死傷後,政治人物都會用瑞士乳酪理論來塘塞,卻不知自己在講什麼。而媒體也常亂引用,大家好像聽到了一些東西,卻不知所以然,也不知道未來政府或相關單位會做出什麼作為。這邊講幾個重點讓大家知道瑞士乳酪理論到底是什麼:
1. 瑞士乳酪理論並不適用於新研發產品。很多在教系統工程的教科書上都會帶到瑞士乳酪理論,但是這常會讓人造成誤解,把這套理論套用在研發新產品上,這導致很多新科技因為做太多保護而難產。瑞士乳酪理論最常使用的領域是「已經運行多年的系統」上,比如運行多年的航空飛機發生嚴重空難、運行多年的軌道運輸發生嚴重車禍以及運行多年的核能電廠竟然發生嚴重意外。James Reason提出這套理論也是用在「已經運行多年的系統」上,他們那時候是針對各種核能電廠的意外來做風險管理,而這些核能電廠並不是新蓋的,而是「運行多年的」。而許多不知所以然的"所謂專家們",卻在新的產品上套用這套理論,讓新產品研發窒礙難行。新產品研發有新產品的風險管理,要硬套瑞士乳酪理論,就是一場經費災難,浪費一堆你我納稅人的錢。
2. 瑞士乳酪理論有提到「解方」,但因為大部分人(尤其政府官員)根本不知道瑞士乳酪理論在講什麼,所以常常講了很多可改進的缺失,但卻無法想到解決方案。James Reason的核心理論其實是Defence in Depth,是的,Defence就是James的「解方」。這個解方並不是去修正原本的系統,而是「辨識出原本系統的Latent Failure以及Unsafe Acts」,然後在下一個階段,Reason稱為Engineering階段,「建立起防火牆」。注意,是辨識原有系統的漏洞,用新系統去補足,而不是改正原本的漏洞。如下圖,而這張圖Reason在1990年提出時,並沒有想到這個跟瑞士乳酪很像,是之後相關研究人員跟他提出,Reason才在2000年以「瑞士乳酪理論」來舉例。
3. 以台灣相關新聞來看,政府官員誤用「瑞士乳酪理論」誤用很大,因為他們最後都變成「讓原有的乳酪的洞變小」,而不是在建立防火牆。但這也無可厚非,台灣的相關公共工程本來就亂七八糟,太多人在鑽法律漏洞,所以不只是乳酪本身有洞,是相關人士會自己鑽出一個洞。更別說,很多執行者根本都不知道這個系統的規則,比如交通系統,一堆人都不知道閃黃燈與閃紅燈該做的相對應行為,以這種低落的交通教育,還想談行人路權,簡直是緣木求魚。所以以台灣來看,「瑞士乳酪理論」是高階的風險管理方法,等台灣人民先學會「不要鑽乳酪的洞」,再來談怎麼執行Reason的Defence吧。
4. 最後,很多人可能會質疑,原本有漏洞,有被辨識出來為什麼不補,這個瑞士乳酪理論也太奇怪了吧,只在乎建立新的防火牆。這邊要注意,「瑞士乳酪理論」本來就不是風險管理的唯一方法,是其中之一的方法,Reason也有提出很多補上原本漏洞的方法,比如他在1990年就有以「病原體」提出解決Latent Failure的解方,但看起來建立Defence比較能讓這些風險管理專家賺到錢。商業就是這樣,去修理一個千瘡百孔的系統吃力不討好,要嘛就換一個新系統,要嘛簡單又賺到錢的方法,就是幫這個系統後面加個昂貴防火牆。這才是「現代商人提瑞士乳酪的背後動機」。
Ref
[1] https://en.wikipedia.org/wiki/Swiss_cheese_model
[2] https://royalsocietypublishing.org/doi/10.1098/rstb.1990.0090
[3] https://www.cambridge.org/highereducation/books/human-error/281486994DE4704203A514F7B7D826C0#overview
[4] https://link.springer.com/chapter/10.1007/978-3-319-58768-4_22
[5] https://www.managertoday.com.tw/articles/view/64873
[6] https://newtalk.tw/news/view/2020-04-29/399341
[7] https://www.thenewslens.com/article/134950/fullpage