În managementul riscului , modelul de brânză elvețiană ( modelul șvaițer în limba engleză ) este un model de cauzalitate accident pentru analiza mecanismelor de securitate pentru a preveni nedorite sau accidente , inclusiv riscuri majore . Modelul compară sistemele de securitate cu mai multe felii de brânză elvețiană aliniate una după alta. Amenințarea unui pericol este astfel limitată de aceste straturi de apărare care se suprapun unele pe altele fără ca defecțiunile lor individuale să fie aliniate. Acest lucru previne, în special, apariția unui singur punct de eșec .
Modelul a fost dezvoltat pentru prima dată de către Dante Orlandella și James T. Motivul de la Universitatea din Manchester , de la sfârșitul anilor 1980 și a fost adoptat pe scară largă , deoarece în mai multe domenii , cum ar fi siguranța aviației , inginerie , asistență medicală. Sănătate , securitatea sistemelor de informare și de apărare în profunzime .
Motivul a emis ipoteza că majoritatea accidentelor provin din unul sau mai mulți dintre cei patru factori: influențe organizaționale, supraveghere, condiții prealabile și acte specifice. De exemplu, în aviație, condițiile prealabile includ oboseala echipajului sau practici slabe de comunicare. Supravegherea nesigură include, de exemplu, alocarea piloților fără experiență zborurilor nocturne în condiții meteorologice dificile. La rândul lor, influențele organizaționale pot duce la reducerea costurilor de instruire pentru piloți în perioade de austeritate.
În modelul de brânză elvețiană, securitatea unei organizații este ilustrată de o serie de bariere, asemănate cu felii de brânză. În ceea ce le privește, găurile ilustrează defecțiunile din fiecare dintre bariere, defecțiuni care variază în mărime și în poziție în fiecare secțiune. Sistemul eșuează atunci când o gaură din fiecare dintre felii este aliniată momentan cu celelalte, ceea ce duce la un incident.
Robert A. Frosch a descris modelul Rațiunii în termeni matematici și îl leagă de teoria percolației , în special o formă de rețea Bethe (în) .
Modelul include vulnerabilități active și latente. Defecțiunile active sunt legate de acțiuni nesigure care pot duce direct la un accident, cum ar fi, de exemplu, erori de navigare , în timp ce defecțiunile latente contribuie la factori care sunt prezenți de ceva timp și contribuie, atunci când sunt îndeplinite condițiile., La accident. .