Revisiting 瑞士奶酪模型（2）-hazard的定义

按照SCM模型，事故的原因可能有三种，一是外来的，比如组织在购买生产、业务运行资源时带来的物质和能量及其不正常传递过程；二是生产、业务运行过程中产生的，最终表现为组织内各层人员各类（有意无意、知道或者不知道的）不安全行为及其产生的不安全物态；三是生产过程中各种防护措施的缺欠（defenses、barriers and safeguards）。第一种，Reason把它叫做危险源hazards，根据是SCM的第1、第3版的模型图以及他在Human Error中列举的hazard的内容。未见Reason给出过hazards的严格定义，他认为hazards是当然存在的、没必要研究其来源，做好防护更重要；第二种，Reason称之为引发事故的因素causal factors，第三种，Reason认为是防护措施的失效（failure 或者weakness）。

OHSAS 18000系列等职业安全健康管理体系标准中，是将很多因素（不安全的situation、source、condition、behavior等等）定义为hazard，这样看来，Reason定义的危险源显然过窄。管理体系标准中，是把SCM中的三种原因都包括在hazard之内的。

同时，Reason认为，防护措施及其缺欠（第三类原因）存在于业务运行的各个层面，业务运行因素及其缺欠、弱点（理解为第二类原因）也存在于业务运行过程和防护措施中，也就是说防护措施（含“软硬件”）、业务运行过程（也含“软硬件”）实际上是不能分开的，他们都是同时起着业务运行和安全防护的双重作用（是不是有点像业务安全不分家、管业务必须管安全？），完全可以合并（SCM第一版第三个图，1997年），第一类原因其实也可以看作组织之内的，此时，事故原因最终就表现为组织内的不安全物态、人的不安全行为两大类。所谓“不安全”和“弱点”、“失效”都是一个意思。所谓defenses、barriers and safeguards，虽然是Reason创造出来的很重要概念，也是SCM的核心概念，但事实上客观世界或生产、业务系统及其运行过程中大多时候并不存在，是抽象出来的概念，不易理解，也不能从生产系统中区分出来属于它的独立内容。

另一个问题是，SCM模型中，认为事故最后是在尖端（sharp end）由一线员工产生。即便是在尖端，也不一定是一线员工。一线员工也可以在钝端（管理层，blunt end），非一线员工也可以在尖端。这样，产生事故的不安全动作的发出者也就不一定是一线员工。此外，SCM模型中的钝端内容，行为人、行为、行为结果不能区分，因此钝端的具体内容，实际上也是含混的。

结论：Reason在SCM中，仅把第一类原因（物质和能量）定义为危险源，而各国及国际安全管理体系标准中是将所有事故原因（SCM中的三类）定义为危险源的。标准是实务运行的依据，Reason的观点也只是学这个人的观点，不是实务运行的依据。

关键词：瑞士奶酪模型，事故致因理论，危险源的定义