風險必然存在而且會發生,人定勝天並非真理,但是風險和災害發生仍然能將損失降到最低、存活並迅速復原才是人類社會永續的倚仗。
前言
這篇文章討論大部份人對關鍵基礎設施安全防護的一個誤區,為何說是誤區?因為在討論跨地域經營的企業或國家的風險時,把一個複雜系統只當成個別設施討論會出現非常多本質上的謬誤。
建議開始本文的閱讀前,請先閱讀本站另一篇文章:系統與設施 Versus 衝擊與機率 (傳送門)。藉此理解此處所稱系統與設施之間的差異。
串接與並行的系統形式
2個以上設施形成系統的組成形態非常多元,必須視設施的功能與排列組成的形式而決定,當然目的也是為了達成組成後系統的核心功能業務,原則上可以根據關聯類型粗略分成串接和並行二種關係。應用時則有更多延伸形態,例如並行關係可以擴大形成銀行系統或電信系統此類地域各自獨立運作的散布式系統;串接關係則是一種工作接續的概念,生產製造、貨物運送、資訊傳遞、命令指派等都是屬於這種形式;更甚者,一個系統之內或2個設施之間同時包含串接與並行關係也不少見,例如備援機制就是平時並行但當設施營運中斷時就立即串接承擔全部或一部份被中斷的營運項目或功能。只是萬變不離其宗,能徹底理解最核心的組成形態才有可能根據它進一步討論現實生活中的複雜形態。
串接形式:供應鏈管理
在此優先且重點討論串接關係所組成的系統形態,因為這類型的系統往往相對高風險,系統失效機率的失誤樹計算的形式以OR Gate為主,實務上也是重點管理的對象。
由企業管理的角度而論,這裡所稱串接關係的系統呈現形態之一有更為企業熟知的名詞:供應鏈或供應鏈管理,但是此處不能非常狹隘地把供應鏈只用製造業框架定義在生產過程所需的物料,而必須泛指所有涉及營運的資源,包含最基礎的電力與水資源,更甚者包含空氣和陽光等生命基本要素,因此串接關係並不只發生在製造業,只要企業或設施存在(無論實體或虛擬)就很可能處在這種供應關係之中,所謂一日之所需百工斯為備,精細分工與合作本就是人類社會得以發展的原因之一,反之供應鏈中的任何一環節無法正常運作就可能造成系統層面的影響與衝擊。
關鍵資源的傳遞與設施相依性
基於供應鏈一詞為大部份讀者所熟知,在本文中由串接關係所形成的系統也以供應鏈代稱,為了精準表達,避免一個企業同時擔任供應鏈內多個角色的情形,以下一律以設施為單位闡述串接關係裡的任一供應鏈環節,也就完全回到設施與系統的對應關係。另一方面,供應鏈是由一系列加工或服務過程最終滿足人類社會需求的過程,在過程中會傳遞資源與產品的半成品,最終端則完成產品的成品或提供服務。基於這樣一個系統中每一個設施及其串接關係的重要性,在完成產品或提供服務之前所傳遞的資源與產品的半成品都視為一種關鍵資源,反之若非關鍵資源,就表示供應鏈關係並非必要或可被取代。
在供應鏈中,當設施獲得或產出的只是資產半成品或資源時,代表這個企業或設施只是整個供應鏈中的一環,由此必然扮演上游供應商(供應端)、下游客戶(需求端)、或二種身份兼俱的角色,上游供應商的核心功能業務之一就是產出關鍵資源並傳遞給下游客戶,形成系統內或供應鏈內設施之間的相依性(Interdependency),在這個定義下,每一個設施在系統層面或供應鏈裡的基本義務就是正常運作,更精準一些是維持下游客戶取得關鍵資源的核心功能業務正常運作。
串接形式/供應鏈的風險樣態
為了回歸這篇文章的主題,由此我們先梳理一些脈絡以釐清串接關係的系統應該如何評估風險並量化安全防護的績效:
- 正常運作是設施層級的核心課題,每一個設施正常運作在系統層級則是保持穩定狀態的基本前提,否則系統會崩解或不存在。
- 系統內部設施之間的相依性是因為1個以上關鍵資源的傳遞。
- 因為意外、災害、氣候變遷等風險存在,1個以上設施陷入無法正常運作是不可避免的,由此分析對整個系統(或供應鏈)的衝擊是管理重點。
- 關於系統層級的營運中斷與衝擊在現實層面的評估單位與意義,讀者可以參考供應鏈管理與災害評估等領域的理論、研究成果、供應鏈管理軟體等。從關鍵基礎設施防護的立場:人口與經濟是最基本且常見的評估指標,此處則非討論重點,因為安全防護就是為了儘力避免發生系統層級的營運中斷。
- 如果系統營運中斷、對外衝擊(人口、經濟或其他)不可避免地發生,則更為接近災害管理的範疇,可以快速回復的能力一般稱之為韌性。
- 系統層面安全防護重點討論的議題是:在1個以上的設施營運中斷時,避免造成系統營運中斷,將對系統內各設施的影響降至最低。
功能不中斷與系統韌性
由此上述各點可知,針對串接關係所形成的系統,決定安全防護是否完整或健全的判斷基準是不發生系統營運中斷。在發生系統營運中斷之前,系統中每一個設施採取的安全防護與應變措施則是吸收或消除衝擊,回復系統的穩定狀態,由於此處涉及的應變措施之目的也在防護整個系統不發生營運中斷,在此統一稱之為系統安全防護韌性或系統韌性。系統內部自一個設施營運中斷開始逐步擴大到整個系統營運中斷存在連鎖反應與時間,因此在這段時間內設法消弭風險因子、吸收衝擊、最小化衝擊等等都是系統韌性的落實方向,而評估系統韌性的安全防護績效衡量單位是:回復至系統穩定狀態所需要的時間與能力,其中,安全防護強度和應變效率的衡量單位是時間,所需要的應變處置能力則與不安全狀態的情境相呼應,必須分別檢視,通常設施需要分別制定安全防護計畫與應變計畫,透過反覆演練與實際操作中確認可防護程度與應變效率,最終,可以明確量化並訂定指標的單位是時間,而每一個時間評估結果都涉及情境說明,評估結合實務時,每一個時間評估都應存在經過實際運作或測試結果等資料累積與統計分析所計算出的敍述統計或機率分布結果。
關鍵鏈與系統衝擊
一個最小的串接關係系統可以用二個具有供需關係的設施表示為供應端與需求端,進一步結合設施層級不安全狀態的觀念,則系統韌性可以表達如下圖所示:
系統韌性
每一個設施在關鍵基礎設施安全防護的方法論架構下,都以相同的重要元件(核心功能業務、必要資產、關鍵資源)表達組成關係結構,只是在各設施內重要元件代表的具體標的物不同,同時設施對於每一個重要元件及其相應風險必須具備安全防護(Protection, p)和應變(Response, r)二種能力。在供應鏈的觀念裡,除了系統的最前端與最末端的設施,中間的每一個設施都將在不同環節分別扮演供應端(Supply side, s)與需求端(Demand side, d),因此上圖中所表達的供需關係可依據串接關係的複雜度持續延伸,直到最末端設施納入評估。
系統韌性評估的起始點是供應鏈中任一環的關鍵資源無法正常取得(在上圖中表示為供應端無法取得其所需的關鍵資源),從而評估其下游供應鏈成員的總體安全防護與應變的能力,以下依據發生時序的方式說明設施之間的關係與系統韌性的評估原則:
- 圖中的起點(T=0),因為由供應端設施的外部因素或災害導致關鍵資源無法取得,導致其控管的關鍵資源進入不安全狀態,初期可能因為數量不足導致降低產能,無法應變處置或嚴重時就進一步影響核心功能業務無法達成,導致供應鏈中所擔負的功能中斷(若供應端設施只有一項核心功能業務,則同時表示設施營運中斷)。
- 功能中斷之前,安全防護與應變的評估時間在理想狀態下是並行的,也就是第一時間啟動安全防護措施與應變措施,以製造業為例,安全防護包含設施內部平時就儲備更多庫存關鍵資源、調整生產規劃等方式讓設施短時間之內仍然持續正常運作,由此形成安全防護時間(t_sp/t_dp),以此為安全防護績效評估標準時,該值越長越佳;應變措施則必須額外啟動平常待命的機制,包含協調或協助供應端的前一個供應商恢復供應、從其他管道取得關鍵資源、轉換方式生產可替代的關鍵資源等。
- 功能中斷發生之後,代表供應端安全防護的緩衝消耗殆盡,只是基於供需二端的緊密程度、衝擊效應的擴大速度、供應鏈之間保有緩衝機制等因素,供需二端之間可能存在⌈次一設施衝擊未形成⌋的時間差,在此之前供應端仍有應變空間避免波及到接續的需求端設施,由此形成應變時間(t_sr/t_dr)可容許最大值,以此為應變績效評估標準時,該值越短越佳。
- 沒有經過管理或優化的系統韌性評估結果是經由串接關係中各設施的應變時間疊加而產生(t_sr+t_dr+- – – )。
- 設施處於供應鏈的位置越趨於上游,則越可能是重點管理的對象;反之,風險若發生在處於下游位置的設施對整個系統的影響較小,系統韌性對其要求較低,完成設施層級的安全防護即可。
- 無論在設施層級或系統層級,最佳的績效呈現方式是以應變時間(t_sr/t_dr)小於安全防護時間(t_sp/t_dp)為目標,當納入敘述統計特徵值或機率分析時,除了集中趨勢量數應該遵照前述目標,離散趨勢量數(如標準差、變異數等)也應越小越好,藉此最小化單一設施對系統造成衝擊的可能性。當納入其他實務考量(例如投入安全防護與應變的成本)時,則在上述應考量的變數中取得平衡。
- 系統存在高風險時,除了試圖增加安全防護時間(t_sp/t_dp)、縮短應變時間(t_sr/t_dr)、降低離散趨勢量數等做法,也可以納入各種形式的時間緩衝,提高⌈次一設施衝擊未形成⌋的時間區間,此時必須基於整個供應鏈的立場或系統層級的管理者介入,例如國家八大領域主管機關介入所屬系統層級的關鍵基礎設施管理,提升系統內部的容錯率。
- 系統安全防護韌性或系統韌性是在上述理論、管理手段、實務做法、成本等多目標考量下最佳化或權衡的結果。
結語
原則上,任何關鍵基礎設施都應該進行安全防護(設施層級請參考另一篇文章:風險評估與安全防護量化績效—設施層級),與只要設法降低風險機率並保護好自己的獨立設施(如中小企業或供應鏈最末端的設施)不同,在串接關係的系統架構下,設施就必須擔負更多提高系統韌性的考量,越上游擔負權重理應越高。另一方面,設法總體性提升系統韌性,降低系統中斷營運所造成的衝擊則主要由系統層級的管理者評估與管控,這些都需要由系統層級的管理者妥善協調、分配資源、確實管理之後才有可能達成。
若有疑問或需求可洽詢CIPService@nbhic.com。
文章內容歡迎轉載,請註明出處及作者,謝謝!!
