屏障分析接觸一個危險目標開始,因為屏障或控制是未使用或充分。
它可以主動使用(如風險評估,FMEA)評估建議行動, 或追溯(如RCA)來定義缺失或失敗屏障, 是見用於展開ECF圖表來考慮泛的潛在原因。
屏障分析結果應該使用ECF圖。
第一個難題是有許多屏障遠端因素有關。
第二個難題是屏障分析可以幫助找出應該置入ECF圖中其他事件。
此點,因為主線調查著重促進因素,而非削弱屏障功能事件。
「危害」﹝Hazard﹞:危害視為一種非期望性能量轉換,例如電力轉換一部設備到一個沒有防護工作人員。
能量可以是動態、生物性、聽覺、化學、電子、機械性、電磁性、熱能或輻射性。
危害是具有潛在或威脅性,會造成或結果。
「目標」﹝Target﹞:目標是人員、設備或其他會危害損傷物體。
目標列舉可以包含多種項目。
進入火星軌道(Mars Orbit Insertion, MOI)前幾個月,調查人員發現○○團隊有「缺乏一些關鍵人物及管理階層變化」情況。
但目標可以是有形,例如建築物或設備;可以是無形,例如和善、友誼、道德或環境。
「屏障」﹝Barrier﹞:預防措施呈現實體和組織性衡量,用來避免目標受到潛在危害影響。
預防措施是指那些應該避免或可以避免非期望事件。
許多防禦機制分析技巧如下:這些危害、目標和預防措施有時區分,因為同樣能量流動時間具有有用無用流動。
分析預防措施,要問下列問題:瑞士起司理論而言,每一片起司代表一個預防措施,且防止潛在危害接觸目標。
洞是環境中活動性潛在,允許危害穿過預防措施接觸目標。
因此, Reason教授建議增加:人行為行政屏障是可靠預防措施,安全方面,因為它們倚靠人行為態度會導致錯誤發生。
加強人行政屏障,我們需要流程階段執行多個屏障最小化系統錯誤。
例如,如果監督同仁 (行政屏障)建議解決方案,以下問題應該同一個時間考慮執行:過程障礙:發展分離(例如寫作SOP)和操作(例如執行)團隊,沒有系統危害分析,測試,缺乏監督。
障礙表對於任務失敗惡化問題,可以得到詳細觀察。
預防措施表格是一種藉由階層觀念﹝預防措施、目標、危害﹞和方法,使得預防措施失敗可以支援事件因果分析機制。
防禦機制分析結果應該結合﹝ECF﹞。
許多預防措施後要素相關,所以基本上,防禦機制分析可以協助找出額外事件,這些事件是應該根本原因分析圖中呈現。
因為主要調查人員放在催化事件,而不是放在消弱預防措施事件。
是人員。
主線調查發現行動導航團隊(Operations Navigation Team)人員配置。
是○○○負責XY作業以外,同時有Z作業。
此工作負荷量於○○團隊有影響。
二位團隊領導者發現關鍵任務期間困難提供24時整天服務,如…。
降低○○○導致分配X作業護士人力增加。
然而早期而言…,這些人員可能會造成行動導航團隊(Operations Navigation Team)其發現XY系統間調查妨礙。
反過來説,這個問題導致行動導航團隊(Operations Navigation Team)無法地運作其任何個案管理問題設屏障,可能危及任務否。
管理變更妨礙了導航問題反應。
進入火星軌道(Mars Orbit Insertion, MOI)前幾個月,調查人員發現○○團隊有「缺乏一些關鍵人物及管理階層變化」情況。
有多問題降低了處理危害管理有效性。
例如因為一些○○○人認為○○團隊任務推給他們,所以覺得「缺乏主導權(Ownership)」。
這個流程中主要管理失敗該導航團隊沒有可能監管流程實施系統管理或任務確保人員。
反過來説,這可能有助於任務中階段溝通。
溝通是防止任務失敗人屏障另一種解釋。
調查人員下了「太空船操作團隊瞭解導航團隊關心事」這樣結論。
行動導航團隊開發團隊及其他此行動團隊同事隔離開來。
其他問題源於巡航時期團隊溝通本質。
例如導航團隊發現導航資料有衝突時,他們會依靠電子郵件進行協調反應 調查人員擔心使用這樣方式通訊可能會造成訊息「漏掉或沒注意到」問題。
主要及輔助調查發現,訓練是工作人員沒有察覺任務可能危害潛因素。
這個因素與缺乏關鍵人物有關,因為沒有足夠方法確保新團隊成員獲得操作技能。
是沒有指導制度。
調查人員認為「沒有操作於軌道模型建置○○軟體時使用公制單位進行編碼這項問題,應該會訓練中發現」。
一個值得關注重點問題是,○○團隊熟悉太空船上高度控制系統…。
「於經驗溝通,行動導航團隊及太空船操作團隊這些功能其導航影響沒有完全理解」。
於太空船特性理解缺乏事件整體中具有意義。
是它可能會妨礙行動導航團隊察覺其發現差異問題重要性。
圖?我們任務失敗人員屏障分析整合ECF圖中。
此圖一個事件增加到主要時間列,
這表示決定隔離損壞輪椅。
增加這個事件是因為之前屏障分析發現○○是防止危害目標發生作用機會。
圖?利用透過屏障分析瞭解來解釋何此機會沒有運作。
人員缺乏、訓練、管理變行動導航及太空船操作團隊溝通,是未能察覺角動量數據低下(Angular Momentum Desaturation, AMD)因素。
導航需求設定管理層級 所以程式設計師及工程師需要確定如何那些參與開發流程人粗略引導下限度地符合要求。
延伸閱讀…
操作人員缺乏有關○○操作特性訓練。
造成這個問題其中一個原因是整體太空計畫沒有規劃開發人員交接給操作人員詳細交班作業。
○○是多任務○○計畫中第一個任務。
操作人員同時追蹤AB任務情況下設想○○管控。
○○計畫是噴射推進實驗室(Jet Propulsion Laboratory)只有少數開發人員「轉換」到操作團隊後進行第一個任務,這個情況讓這些後問題變得複雜。
沒有導航人員○○開發及操作做交班。
進而影響了整體事件中串重大事件。
是導航團隊其他操作人員可能AB之間硬體軟體相似點作了許多錯誤假設。
此處關鍵點於關鍵開發人員轉換操作階段,而這項決定解除了保護○○任務一個流程屏障機制。
如果導航操作團隊知道關於通知○○開發決定,那麼他們可能會意識到○○潛重要性。
許關情況顯示這個轉換計畫,而這是多任務火星計畫中第一個項目子計畫。
轉換人員這個決策促使操作團隊於AB之間相似點做出錯誤假設狀況發生。
這些假設錯誤本質圖10.9太陽能電池陣列(solar array)變更中提及出來。
儘管這些錯誤設是源於開發轉操作初期而造成後續問題出現,但這些問題整體事件產生影響。
這樣情況代表錯誤假設可能性雙線包圍(並為後續任何嘗試根本原因從促成因素中分離出來行動提供起始點)。
缺乏任何系統危害評估,例如使用故障樹分析整體任務找出多數重點。
這使得工程師考慮到各方面可能模式。
同時阻礙了開發和操作團隊完成系統性關鍵功能評估。
是某些危害分析可能有助於找出行動導航團隊使用地面軟體而言是「關鍵」元素。
後,缺乏連貫危害分析可能會造成應計畫。
沒有進行這樣分析會造成一些潛在屏障去除連鎖反應,這些屏障可能是太空船發射前導航軟體作為關鍵組件進行檢測、或隨後可能促進操作團隊發現後思考應計畫。
流程屏障會因為缺乏系統層級持續驗證而遭到進一步削弱損害。
導航需求設定管理層級 所以程式設計師及工程師需要確定如何那些參與開發流程人粗略引導下限度地符合要求。
延伸閱讀…
如果能透過驗證流程找到這些問題,則那些後果可能會那麼。
然而,只有A毫無保險狀態下發射後,發現幾個系統及子系統問題。
例如,檔案格式錯誤妨礙導航團隊地面系統進行接收遙測譯碼作業,時間6個月之久。
調查人員認為「AA地面軟體獨立核實及驗證(驗證地面軟體微力度(small forces)性能端點端點測試及軟體介面格式適用性測試沒有完成)」。
蝴蝶結模型,是一種危險事件演化過程,基於安全屏障理論分析方法。
分析模型中,頂上事件為核心,向前分析導致其發生可能原因(事故樹分析),後分析事件發生後可能後果(事件樹分析),性地設置屏障進行防控,是事故樹和事件樹分析結合和簡化。
蝴蝶結模型是HSE風險管控一種工具,旨在通過設置防止一定量安全事件發生屏障方式進行風險管控,來達到降低結果發生概率或程度。
蝴蝶結模型於展示危險、頂上事件、危害因素和後果之間關係,並示範如何通過設置屏障來這些危險、頂上事件、危害因素和後果加以控制。
事故致害物各種能量或有害物質,事故發生能量或有害物質失控而釋放。
第一類危險源:可能導致人身和(或)損害能量或危險物質。
(固有型危險源,決定事故後果程度)第二類危險源:導致約束或限制能量措施、破壞各種安全因素。
(觸發型危險源,決定事故發生可能性)※ 化學能、輻射能則可能致病,導致癌變、胎兒畸形;※ 一些工作場所高密度粉塵輕可致患塵肺病,重則可能發生爆炸傷人。
奶酪模型邏輯是:事故發生不僅有一個事件本身反應鏈,還同時存在一個穿透組織缺陷集,事故促發因素和組織各層次缺陷(或安全風險)是存在並自行演化,多個層次組織缺陷一個事故促發因子上同時或次第出現缺陷時,安全事件失去多層次阻斷屏障而發生了。
中國安全風險防控與安全文化協會副會長,中國石油大學、中國地質大學、重慶科技學院碩士研究生指導教師胡月婷教授基於兩類危險源理論,能量釋放理論和奶酪模型,構建新型屏障模型。
1.屏障性質:帶有孔洞奶酪片,變成不能有孔洞屏障示意圖;2.屏障類別分層:奶酪模型中所有屏障應有盡有;屏障模型中只有直接屏障,即硬件管理和人員管理。
“危險源”要素及相關“頂上事件”要素位於蝴蝶結模型中心位置,可視蝴蝶結模型起始點。
蝴蝶結模型中註瞭“危險源”這一要素本身以及可能會導致風險途徑(即頂上事件)。
蝴蝶結模型中,“危險源”這一要素可視有可能造成因素。
於運行過程中往往存在固有危險,因此可能杜絕這些危險,但這些危險進行嚴格管理,確保其處於受控狀態。
危險源進行定義時,考慮以下內容:a)危險源存在於操作中,即它們屬於某一事件。
是能量或有害物質及其狀態組合。
例如,石化生產設施,危險源是存在原油或天然氣;b)危險源進行命名和説,此,應指明以下內容:※ 物料存在狀態(例如,於原油或天然氣,應指明其處於液體狀態是氣體狀態)。
※ 存在危險環境(例如,應指明存在危險設備或位置)。
※ 運行期間會存在危險源,但只要該危險源能夠得以完全控制,可以接受。
頂上事件是指可能會導致危險失控機制,頂上事件進行定義時,應考慮以下內容:※頂上事件涉及危險變化狀態以及所造成危險,例如,油氣管線中存在原油或天然氣,與存在原油或天然氣相關典型頂上事件為原油或天然氣泄漏。
※不應頂上事件作為事故進行描述,而應作可能會導致發生事故機制進行描述。
※命名或描述頂上事件時,應指明導致危險失控機制;危險失控程度。
※蝴蝶結模型中,頂上事件是伴隨危險源出現,每個頂上事件有對應危險源,而每個危險源往往可能有多個頂上事件伴隨。
後果是指因危險源失控而可能發生事件,表明發生危險後會導致何種情形以及可能會造成何種後果。
後希望發生事件,應加以預防。
確定後果時,考慮以下內容:“屏障”是指為避免造成希望出現後果而採取控制措施,旨在防止存在某一危害因素而導致發生危險或發生危險後造成後果降至。
※預防性屏障應獨立,且存在模式。
——如果發現預防性屏障之間依賴,應考慮這些預防性屏障進行整合。
——預防性屏障之間依賴性時,視為可接受。