Цопа Віталій Використання моделі STAMP для керування емерджентними ризиками СУ ОЗіБП
10.03.2026Інтеграція STAMP у систему управління охороною здоров’я та безпекою праці є конче потрібним кроком для організацій, що прагнуть керувати складними й динамічними професійними ризиками, зокрема емерджентними. Це дає змогу перейти від реактивного до проактивного управління, від фокусування на помилках персоналу до зосередження на вдосконаленні елементів системи управління та їх взаємодії.
Ця стаття про:
- STAMP – Systems-Theoretic Accident Model and Processes (з англ. «системно-теоретична модель аварій та процесів») – сучасну техніку моделювання аварій. На відміну від традиційних моделей, які розглядають аварії як ланцюжок невідповідностей в організації робіт і відмов (збоїв) у роботі окремих компонентів, STAMP базується на теорії систем.
- STPA – Systems-Theoretic Process Analysis (з англ. «системно-теоретичний аналіз процесів») – техніку аналізу небезпек, що базується на моделі STAMP. Ця техніка пропонує структурований підхід до ідентифікації небезпек, небезпечних чинників та їх ризиків, який значно перевершує можливості традиційних методів.
Сучасна промисловість і сфера послуг перебувають на етапі безпрецедентної трансформації, що характеризується стрімким зростанням складності технологічних процесів, поглибленням автоматизації, активним застосуванням ШІ та розширенням соціотехнічної взаємодії.
У цьому динамічному середовищі традиційні підходи до системного управління охороною здоров’я та безпекою праці (далі – ОЗіБП), які десятиліттями слугували фундаментом для безпеки праці, починають демонструвати свої онтологічні обмеження. Стандарт ISO 45001:2018 «Системи управління охороною здоров’я та безпекою праці» став важливою віхою, уніфікувавши глобальні вимоги до систем управління ОЗіБП та запровадивши системний підхід через структуру високого рівня (High Level Structure), що сприяє інтеграції з іншими бізнес-процесами. Однак сама структура стандарту окреслює лише межі для подальших кроків, вона відповідає на запитання «Що робити?» і потребує наповнення дієвими методологіями, які відповідають на запитання «Як робити?».
Застосування моделі Systems-Theoretic Accident Model and Processes (далі – STAMP), розробленої професором Ненсі Левесон з Массачусетського технологічного інституту (MIT), у контексті ISO 45001 пропонує новий шлях розвитку і вдосконалення систем управління. На відміну від традиційних моделей, які фокусуються на надійності окремих компонентів та лінійних ланцюжках подій, модель STAMP базується на теорії систем і теорії управління.
У статті проведено аналіз теоретичних засад і практичних аспектів інтеграції моделі STAMP у процеси ISO 45001 та продемонстровано, як системне мислення дозволяє вирішувати проблеми емерджентних професійних ризиків, складних взаємодій програмного забезпечення та організаційних чинників, які часто залишаються поза увагою класичних методів аудиту та керування професійними ризиками.
ЕМЕРДЖЕНТНІ РИЗИКИ В СИСТЕМАХ УПРАВЛІННЯ БЕЗПЕКОЮ
Емерджентні (англ. emergent) ризики в системах управління безпекою – це ризики, які виникають через складну взаємодію між різними елементами системи управління, а не через відмову якогось одного компонента. Цей термін походить від поняття «емерджентність» (англ. emergence – «виникнення»), яке застосовується в теорії складних систем. Емерджентність – це властивість системи, яку неможливо передбачити, просто вивчивши її окремі елементи. Простіше кажучи, це ситуація, коли ціле створює небезпеку, якої не було в жодній з його окремих частин. Усі компоненти можуть працювати справно (згідно з інструкціями, техпаспортами тощо), але через те, як вони поєднуються між собою в конкретний момент, стається інцидент, аварія тощо. Згідно з емерджентним (системним) підходом, аварія – це резонанс. Пояснимо на прикладі. Деталь А працює нормально, оператор Б діє за інструкцією, програма В працює без помилок. Але їхня одночасна взаємодія в певних умовах створює нові, непередбачені небезпечні умови – небезпеку. Якщо професійний ризик виникає від небезпеки «зламана деталь», то емерджентний ризик – від небезпеки «невдала взаємодія» справних деталей. У сучасному світі, де технології тісно переплітаються з впливом людського чинника, більшість великих катастроф мають саме емерджентну природу.
Емерджентність – це властивість складних систем, коли ціле має унікальні властивості, не притаманні його окремим частинам, і ці якості неможливо пояснити сумою властивостей цих частин; це поява нових, непередбачуваних властивостей завдяки взаємодії компонентів (наприклад, свідомість з нейронів чи родючість ґрунту з мінералів). Це феномен, який можна описати фразою «ціле більше за суму його частин».
ПІДХОДИ В УПРАВЛІННІ БЕЗПЕКОЮ: SAFETY-I І SAFETY-II
Safety-I і Safety-II – це два різних підходи в управлінні безпекою, розроблені та популяризовані професором Еріком Холлнагелем (Erik Hollnagel). Вони описують, як організації розуміють безпеку та як вони намагаються її досягти. Докладно розглянемо відмінності між ними (табл. 1).
1. Safety-I (традиційний підхід). Це класичний погляд на безпеку, який домінував протягом більшої частини ХХ століття.
Визначення. Безпека – це стан, коли кількість небезпечних подій (аварій, інцидентів, нещасних випадків тощо) є якнайменшою (мінімальною).
Фокус. Зосередження на тому, що пішло не так (помилки, відмови, збої, порушення, невідповідності тощо).
Методи. Розслідування інцидентів, пошук корінних причин, оцінка ризиків, стандартизація процедур.
Припущення. Системи (технічні та людські) працюють безпечно, якщо дотримуються правил. Аварія стається через збій (людська помилка або поломка обладнання).
Мета. Запобігти повторенню минулих помилок.
2. Safety-II (сучасний підхід). Виник через розуміння того, що в складних сучасних системах неможливо прописати правила для кожної ситуації.
Визначення. Безпека – це здатність системи досягати успіху в мінливих умовах, тобто коли кількість успішних операцій є якнайбільшою (максимальною).
Фокус. Зосередження на тому, що йде так, як треба (повсякденна робота, адаптація).
Методи. Вивчення нормальної роботи, розуміння того, як працівники адаптуються до реальних умов (Work-as-Done vs Work-as-Imagined), підвищення стійкості.
Припущення. Люди – це не джерело помилок, а гнучкий ресурс, який забезпечує для системи можливість працювати навіть за непередбачуваних обставин. Успіх (коли вдається оминути небезпечні події / інциденти, нещасні випадки, аварії тощо/ та уникнути втрат життя та здоров’я працівників) і невдача (коли настають небезпечні події / інциденти, нещасні випадки, аварії тощо / та втрати життя і здоров’я працівників) часто мають однакові причини (адаптація до умов).
Мета. Забезпечити успішну роботу за будь-яких умов.