正常運作與衝擊評估 Versus 設施與系統 — 設施安全防護觀念介紹 Part III

每一個安全防護計畫唯一須要說明的是設施很安全,可以的話,用量化的方式告訴主管單位它有多安全,因此核心功能業務可以正常運作。衝擊評估雖然是風險評估中很重要的一環,卻不是單一設施自己可以說清的,除非考慮的是系統或總體。

關鍵基礎設施安全防護執行架構 (摘錄自國家關鍵基礎設施安全防護指導綱要,作者補充量化評估重要項目)

設施安全防護的目標是:⌈核心功能業務 正常運作!⌋ 這並不是筆者新創的概念,完全符合當前美國的最新研究趨勢,也符合我國的法規架構,並且是用非常務實的角度提醒正在寫安全防護計畫的各位:⌈聚焦在自己說得清楚的績效,而不是試圖去說明一個想像中的情境

延續前一篇(傳送門在這裡)提醒各位的觀點:⌈落實與改善作業標準,因為它們從本質上就是讓設施運作正常,更高標準的作業規範當然也更確保設施更符合預期功能⌋。這既是安全防護議題中最大的盲點,也是最大的Bug!

首先,設施的運作本來就因為它應該提供的核心功能業務而存在,就算不特別討論安全防護它也一樣在運作,難道會因為進一步討論安全防護就改變核心功能業務的質和量?不會的,討論安全防護只是要設施和它的核心功能業務更安全更穩定。如果涉及必須改變核心功能業務的質和量,那也是針對設施本身運作的作業標準進行改善(喂!越界了!!),與額外的安全防護措施何干?所以單純從個別設施管理單位的安全防護觀點,如果影響核心功能業務的質和量是因為不安全的負面影響才會獲得話語權。請注意,這是單純從一個設施本身的運作談起,每一個設施本身就要做好安全防護。

很快的,應該會有讀者馬上想到風險評估的方法不是機率(Probability) X 衝擊(Impact)嗎? 為什麼又要創造一個正常運作的觀念,原因很簡單,如果不用主觀的李克特量表設計風險矩陣圖,幾乎99%以上的設施安全防護計畫決定不了風險的衝擊值,為何?因為我們都沒有能力看那看不到的東西,知那不知的事物。舉2個例子:

  • 一個電塔有多重要?有可能事前評估嗎?無論是1999年左鎮的高壓電塔;還是施工不當造成左營高鐵站停電的高壓電塔,事前如果有早知道,這些事件還會發生嗎?
  • 一個電廠有多重要?興達電廠發生幾次事故,每一次事故的經濟和人口的影響範圍和數值一樣嗎?興達電廠自己有能力評估出它的不安全會造成多少人口、經濟、民心士氣、相依設施數量的衝擊嗎?如果電廠內部進行檢討或台電進行整體電網的改善後又要怎麼評估?難道可以用⌈非常嚴重⌋降低到⌈嚴重⌋或⌈不嚴重⌋就代表安全防護做好了?

相信大家早就注意到文章代表圖中的衝擊評估被打上一個問號,不是筆者愛舖梗,而是沒有一步步釐清的話,直接挑戰這個議題會戰不完!(當然筆者很歡迎大家來挑戰這個論點,前提是需要各位先理解才能聚焦討論問題)打上這個問號的理由有至少以下2個:

  • 安全防護不是災害治理,請理解,設施安全防護的理論和方法當然是在風險管理的架構下進行(災害治理也是),但安全防護本身又是複雜到不能以風險管理的基本理論一體適用(災害治理也是),又怎麼可能直接將災害治理的理論套用到安全防護議題上? 這也回到為什麼Part I (前一篇的傳送門在這裡)要特別將不安全與災害的差異闡述明白,想要評估衝擊本身就太快陷入災害已發生或會發生的觀點,做不到的理由也很簡單,已經發生的災害情境未必會再重現(難道發生了都不會改善?),無論時間、地點、涉及的設施都可能改變;想像中的情境如果不發生或與後來的現實情境不符合,又怎麼可以當做衝擊的評估基礎,相信這是每一位寫過安全防護計畫的專業人士都有過的疑惑。
  • 衝擊評估是總體觀點的評估,這件事情的複雜度就算寫多少篇專案報告、博士論文或國際期刊都不一定有標準答案,又怎麼可能是一個關鍵基礎設施的管理單位有能力做到的評估?需要做衝擊評估的單位是關鍵基礎設施的上級機關、八大領域主管機關(或國家總體觀點),舉例來說,興達電廠的上級機關是台電,領域主管機關是經濟部,興達電廠本身做不到的衝擊評估,台電可以,因為台電掌握包含興達電廠在內的電力系統的上位資訊,可以從台電總體電力設施配置的觀點評估興達電廠可能造成的系統性衝擊;經濟部掌握包含台電在內的民生、工商業的最高層資訊,可以從全國經濟的總體觀點評估興達電廠可能造成的經濟衝擊。由一個電廠來評估它自己會造成的衝擊這件事,本身就是很有問題的事情。

如果有單位要進行關鍵基礎設施的衝擊評估,它必然是在系統觀點上進行,評估的基礎是建立在2個以上設施組成的系統,因此可以進行個體對個體之間的衝擊評估(或稱相依性評估);個體對總體的衝擊評估(所以這個設施會被從總體角度定義為關鍵基礎設施)。(設施、關鍵基礎設施和關鍵基礎設施組成的系統是後續會再找時間為各位釐清的議題,伴隨一體二面的議題是設施、必要資產和關鍵資源)

回歸主題,一個設施的管理單位既然做不到總體層面的衝擊評估,難道就不能評估安全防護的績效了嗎?答案當然是否定的,為此我們需要一個明確且通用的比較基礎:正常運作。在排除所有不安全行為和不安全狀態時,設施就能處於它原本安全狀態下的理想情境,由此達成預期的核心功能業務,亦即,安全防護計畫的所有作為都是為了達成排除不安全,達成正常運作

正常運作的前提下,雖然還有一些需要釐清的安全防護績效,但問題也已經能簡化很多了。例如一個關鍵基礎設施包含2個以上核心功能業務,核心功能業務之間的效用與不安全的程度之間需要比較釐清,設施才能經由安全防護措施最大化設施的安全程度或核心功能業務的綜合績效;完全安全是一個理想狀態,逼近這個理想狀態的程度也會有許多呈現方式,至少包含不安全行為與不安全狀態的機率降低,或其他呈現方式,

(明天就要第二次參加CIOTxFITI計畫的創新宏圖營,練習簡報的空檔寫完這一篇,算是讓腦袋換個軌道休息一下!對這個議題有興趣的讀者都歡迎交流,CIPService@nbhic.com

文章內容歡迎轉載,請註明出處及作者,謝謝!!

Share
Share

國立雲林科技大學工學博士 / 民邦資訊執行長,專長:風險管理、營建管理、設施安全防護、TCFD實體風險、人工智慧

文章類別
下一篇文章

(小結)沒經歷過不安全,要怎麼討論安全防護? — 設施安全防護觀念介紹 Part IV

閱讀文章

本網站由民邦資訊股份有限公司管理與維護,於中華民國113年7月1日更新系統及版面,更名為【實體風險與設施防護】。原有文章資訊均予保留,另提供最新課程資訊及外部報名連結(本網站無報名系統),本網站不會主動蒐集使用者資訊,請勿上傳或發布個人資訊。

— ©民邦資訊股份有限公司 / 實體風險與設施防護 2024 —

本網站內所有資料之著作權、所有權與智慧財產權均為發文者所有。未經本網站作者和圖片擁有者明確書面許可(或E-mail:CIPService@nbhic.com)告知,嚴禁未經授權使用或複製。相關中華民國專利編號:M659422。