复杂系统事故成因理论及模型

第九章　复杂系统失效的结构敏感性及和谐调控

本章将重点论述复杂社会技术系统失效的和谐调控实现问题。为此，我们从系统失效的形成机制入手，理清事故成因机理，找到和谐调控的切入点。众所周知，从著名的事故成因多米诺骨牌理论问世以来，目前得到学界和业界认可的事故成因理论大约有20种之多，这些事故成因理论基本是建立在共同成因假设之上，并没有考虑事故成因的复杂性及其结构敏感性，认为不论事故大小、事故的形成情境及系统复杂程度高低，所有事故都遵循着共同成因模式。但从事故成因复杂性理论提出之后，人们逐渐意识到复杂系统具有事故成因的结构敏感性。尽管事故成因的构成相同，但由于事故成因结构不同，其造成的后果也不同。对于复杂系统，由于事故成因的交互指数及交互强度的差异性，使得复杂系统的事故成因具有近似性和复杂性，而不遵循共同成因模式。本章针对同因假设事故成因理论存在的缺陷，构建了基于结构敏感性的复杂社会技术系统事故成因模型。

一、事故成因模型的价值判断

1.安全管理理论的有效性决定于对事故成因的正确认识

国内外在事故成因及预防对策方面的研究现状主要表现在对事故成因认识的四次跨越，每次跨越都导致了崭新的事故成因理论诞生及安全管理实践中的事故预防重点的变化。在四次事故成因认识飞跃中产生了大量事故成因模型，这些模型都或多或少地反映了作者的认识取向，具有很强的时代背景，但还没有形成统一认可的事故成因理论和模型。在安全管理实践中，无论是企业还是政府，有关改善组织系统安全性的投入决策通常是建立在事故根本成因的相对重要性基础之上的，安全投入决策通常主要关注那些被认为是相对重要性大的事故根本成因上，没有充分考虑系统整体的和谐性，造成“头痛医头，脚痛医脚”的局面，并没有从根本上杜绝恶性事故的发生。例如，目前在中国煤炭行业，大量的安全投入集中在瓦斯防治上，而其他方面的安全投入就无形中受到抑制，在瓦斯事故得到逐步遏制后，其他类型的事故又有抬头现象。

为了支持安全决策，各种各样的事故成因模型也是根据事故根本成因的相对重要性来构建的，其片面性也就不言而喻，如行为失误模型强调人误的主导作用，文化成因模型强调文化的主导作用，技术成因模型强调技术的主导作用。因此，前三次对事故成因认识的飞跃中形成的事故成因模型有四个常见缺陷：

第一，不考虑系统复杂性影响，认为复杂系统和简单系统都遵循同样的事故成因机理。

第二，共同成因假设（Common Cause Hypothesis），即疏忽、小事故或大事故具有相同的成因，遵循共同的成因路径（Common Causal Pathway）［亨瑞奇（Heinrich）：Industrial Accident Prevention，1931］。

第三，因果律假设，即任何事故一定有清晰严格的因果链，但实际情况却是复杂系统的事故成因存在结构敏感性，使得同样原因并不一定出现同样结果。

第四，只注重那些比较重要的因素，造成安全决策过分注重对某些重要因素的安全投入，人为地增加了系统的不和谐。

随着经济的发展和社会的不断进步，在第四次事故成因认识飞跃中人们认识到，在应对复杂社会技术系统的安全问题时，必须充分考虑系统内外部不断加剧的变化和不确定性特征。同时，也意识到系统复杂性及和谐性在复杂系统的安全控制问题中的重要意义，以及事故成因的复杂性、近似性及非严格因果性。因此，在构建复杂社会技术系统的事故成因模型时必须综合考虑这些因素。

2.事故成因模型有效性的评价标准

事故成因模型的有效性决定了安全管理理论的科学性和实用性，在实践中我们可以用以下五个标准来评价事故成因模型的有效性。

（1）有助于安全问题的发现和界定

Benner在分析了大量安全问题的成因后指出，事故来源于发现和界定安全问题过程中的认识不足，而非其他原因。因此，有效的事故预防依赖于我们是否具备发现和界定安全问题的知识。大量的事实表明，很多事故的最终发生是由于我们对事故成因机制及事故可能造成伤害的认知不足，无法确定问题的真正所在，造成安全决策时间过长，延误预防事故的最佳时机。有效的事故成因模型可以正确解释事故的成因机理，刻画事故形成及演化过程，因此，不仅有助于安全问题的发现和界定，支持安全决策，而且可以在事故发生后帮助选择正确的调查和分析工具及制定解决方案。

（2）有助于追踪隐患发展过程

安全管理的一项重要内容是对事故的预防。我国的安全生产方针就是“安全第一，预防为主”，因此，在管理实践中，人们试图寻找到危险的源头并采取有效措施将其消除。但是，由于事故危险源的客观存在性，只要有生产活动存在，危险源就会相伴而生，无法从根本上消除。相反，伴随着生产活动的进行，危险源会逐步发展成为隐患，如果没有得到及时有效的控制，则会演化为事故。因此，有效事故成因模型反映了事故从危险源、隐患到事故的发展过程，能够在隐患的发展过程中为制定和执行正确的预防措施提供指导，截断事故成因路径，从而达到预防事故目的，如著名的多米诺骨牌模型、Benner的多重线性序列模型等。

（3）有助于重现和排练事故演化过程，实现应急预案的科学编制

对于复杂系统，如核电站、航天飞机等，这些新出现的人造系统在形成之初还没有发生过事故，人们对事故真实危害程度还没有经验可以参照，但是基于现有知识可以预知这类系统一旦发生事故会造成严重灾难，如人类历史上的第一次核事故——切尔诺贝利核电站爆炸事故。因此，人们渴望借助事故成因模型来刻画事故的形成和演化过程，并根据事故成因模型设计排练事故情景，为事故预防和安全决策提供理论和方法指导。由此可见，有效的事故成因模型通过重现事故演化过程提供了一些预设事故情境，为事故应急预案的编制提供了依据。

（4）兼顾事故的内容及过程

目前，事故成因模型众多，其复杂程度也各不相同，简单的如Wigglesworth’s（1972）只针对直接原因的伤害成因模型（Injury Causation Model），复杂的有Johnson（1980）的MORT模型，但从这些模型中却很难找出一个能够解释任何事故成因机理的模型。每种具体的事故成因模型都或多或少地反映了作者的专业偏向及具体的事故类型和控制方式，有些模型偏重于事故过程，有些则偏重于事故内容（Campbell等人，1970），侧重于事故过程的模型试图解释事故为什么会发生，而侧重于事故内容的模型则试图解释事故是怎么发生的。因此，有效的事故成因模型应该兼顾事故的内容和过程，这样可以从事故的构成及形成过程两个方面入手对事故进行预防和控制，增加事故预防措施的可靠性。

（5）有助于提高事故预测的准确性及预防措施的有效性

目前，处于高危险行业的企业一般都采用了先进的仪器和设备，试图实现对事故的准确预测和有效预防，但结果事与愿违，一些重大事故仍然无法得到根本遏制，主要原因之一就是没有弄清事故的成因机制。良好的事故成因模型由于较为客观地反映了事故成因机制，综合考虑了事故的内容和过程，从而可以实现事故预防措施有的放矢，不仅提高了事故预测的准确性，还可以提高事故预防措施的针对性及有效性。

二、复杂系统事故成因的结构敏感性

事故同因假设思想来源于亨瑞奇通过统计方法形成的多米诺骨牌理论。他对50000起事故研究后发现，在通常的情况下，由于人的不安全行为或者机械原因而导致的329起事故中，只有一起类似的事故会导致停工伤害。在这329起事故中，有300起不会产生任何伤害，29件只会导致轻微伤害。无论是疏忽、轻伤、重伤还是死亡，也即事故不分严重程度，其成因相同，其共同成因路径为：家庭和社会环境因素→人的缺陷→不安全的行为/机械的或物质危险→事故→伤害。因此，同类型事故无论其严重程度如何，其预防措施相同，在安全管理实践中，发生概率很小的重特大事故预防措施也与小事故的相同。

随着复杂系统理论的研究深入，人们逐渐意识到同因假设思想的局限性。同因假设考虑的是事故成因的构成，而不是事故成因的结构。对于复杂的动态系统，事故成因具有显著的结构敏感性，从隐患（系统出现行为偏差，该偏差是所有活跃元素行为偏差的合成，见图9-4）出现到形成事故一般有一个演化过程，具有一定的情境依赖性（详见后文），事故成因结构上的微小差异会形成显著差别的结果。现存的大多数事故成因理论建立在共同成因假设之上，没有界定事故形成及存在的情境和载体，认为任何复杂程度系统的事故成因机制相同，也不考虑结构敏感性，这显然是不合适的。

复杂动态系统特别是复杂社会技术系统都具有一定的自组织性，如果在系统行为接近于危险区域过程中有适当的防御手段介入，则会改变事故的演化进程，使有可能进入危险区域的系统行为重新回到安全区域，或使本在安全区域的系统行为更靠近理想状态线（见图9-4）。如果介入的控制手段不当或者没有介入，则系统行为进入危险区域或更加偏离理想状态线；如果处在危险区域内，就会发生事故，且偏离理想状态线越远，事故就越严重。在对大量的真实事故进行分析和调查后发现，在同一系统内重复发生的同一类型事故，尽管事故成因的构成基本相同，但造成的事故严重程度却不相同，有的只是引起人们的警觉，有的会对正常工作造成一定干扰，而有些则造成重大事故，这正是由于事故成因结构上存在的微小差异导致的结果。

三、复杂系统事故成因理论及模型

1.复杂系统事故成因模型的研究现状

学者们逐渐意识到复杂系统和简单系统事故成因机制的根本区别以及事故控制模式的截然不同，开始从新的视角来重新认识复杂系统的事故成因机理，重新构建事故成因模型。在此背景下，James Reason于2000年在BMJ杂志上发表了针对复杂系统并以医疗事故为研究对象的Swiss Cheese模型，该模型从系统防御体系存在的缺陷形象刻画了复杂系统失效的发生过程，提出主动失误和潜在条件的共同作用是造成复杂系统防御层存在漏洞的原因。虽然该模型对复杂系统事故形成机制给出了一个形象解释，但并没有论及复杂系统事故控制模式。此外，James Reason 在Swiss Cheese模型中不再强调对具体的事故因果路径分析，而只考虑预防系统的可靠性，指出“主动失误”和“潜在条件”造成的系统防御层上的漏洞是事故成因，但又没有说明这些漏洞是如何形成的，以及复杂系统所需要的防御层数，这很显然不够科学，也不利于预防措施的实施。因此，其模型仍然有待于进一步完善。本书作者曾在其博士论文中提出事故复杂成因论，对复杂系统的事故成因机制从系统和谐及整体性安全观出发作了进一步解释，并以此为基础形成了交互式安全管理理论研究思路，综合考虑了事故成因模式及控制模式的选择问题，但没能够将复杂事故成因理论模型化。

2.复杂系统事故成因模型

事故成因模型是用高度抽象化的模型刻画了事故的形成过程，该过程包括对事故的根本成因、造成事故的过程、事件或情境的确认。因此，复杂系统事故成因模型应该包括三个步骤。

（1）确认事故的根本成因

在以往的事故成因模型中，确认的事故根本致因主要包括人的因素、物的因素、文化因素、设备因素、环境因素及工艺流程因素，而且每一类因素又可以划分出很多具体的类别，因此，在一个模型中很难综合考虑事故成因。为了解决这个难题，我们用元素行为偏差来代替所有类型的事故致因。例如，瓦斯事故就可以看做是空气行为偏差（在正常环境中，空气不含瓦斯，但在煤矿矿井中，瓦斯从煤层涌出，使空气中的瓦斯含量增加，这时就出现了空气的行为偏差）与合适的温度（电气设备等的行为偏差，如电火花）条件交互作用的结果。

（2）确认造成事故的情境、过程或事件

图9-1　活跃因素的行为模型

复杂社会技术系统内，并不是所有元素都会产生行为偏差，按照元素的活跃性可将其构成元素分为活跃元素（即产生行为偏差元素，也即事故的载体）和非活跃元素（包括蛰伏元素或者稳定因素，即无行为偏差元素）两类。

对于非活跃元素，在正常情况下与前置元素和后继元素只存在两种交互作用关系：①与前置元素间的程序化交互作用（如图9-1中的实线），非活跃元素接收前置元素发送来的指令以及向前置元素发送请求。②与后继元素间的程序化交互作用。非活跃元素接收后继元素发送来的请求以及向前置元素发送指令。

对于活跃元素，除了程序化的交互作用外，由于行为偏差的出现，与前置元素和后继元素就产生了非程序化的交互作用（如图9-1中的虚线），当非程序化的交互作用出现时，这时需要激活协助元素（即纠正偏差的元素，可以是人、部门或某个程序）。协助元素可以是系统内的也可以是系统外的，若在系统内，协助元素本身可以是活跃元素也可以是非活跃元素。协助元素的存在使得在任何时候都有内外在防御力作用于系统的元素，当元素处于蛰伏状态时，内外在防御力与元素自身活动力的合力恰好处于平衡状态；当元素处于活跃状态时，内外在防御力与元素自身活动力的合力处于不平衡状态，这就是事故存在的情境。

一般情况下，系统失效都具有类似的微观机理，主要受到三类因素的影响。

第一类因素是基础因素。如煤矿瓦斯，它是非普遍存在的，只是在特定条件下，如煤矿的特定地点才具有的一类因素。如果没有诱导条件，其会一直处于蛰伏状态，不具有危险性；当诱导因素存在时，且调控失效才会造成人员伤亡或财产损失，即由蛰伏因素转变为所谓的危险因素。

第二类因素是诱导因素。如煤矿瓦斯事故中的温度条件，通常是由火花造成，它是非普遍存在的。基础因素在孤立存在的情况下，并不能够形成危险因素，那些能够诱导基础因素形成危险因素的因素称之为诱导因素。

第三类因素是调控因素，通过对基础因素和诱导因素的调整和控制，防止系统失效的因素称为调控因素。

根据这三类因素，我们可以用图9-2来表示系统失效的微观机理。

（3）事故形成过程模型化

为了分析问题的方便，这里将前文中给出的五类因素对应的元素合并为三大类，即物质层因素（物的因素、环境因素、工艺流程因素）、行为层因素及思想意识层因素（见图9-3）。在某一时刻这三类元素的行为偏差共同作用形成了系统的行为偏差。除了系统行为偏差，还有个体元素的行为偏差、群体的行为偏差等，它可以是人或人构成的群体的行为偏差，也可以是元器件或设备的行为偏差，这些偏差如果不能够得到及时纠正就有可能演化为系统行为偏差，若系统行为进入危险区，即会造成事故。

图9-3　一次事故的发生过程

复杂系统的事故形成过程实际上就是一个可用时间序列表示的系统行为状态演化过程（见图9-4）。系统行为是系统构成元素行为通过交互作用的合成结果，系统的不安全行为是其活跃元素行为通过交互作用的合成结果。在任一时刻，系统行为都处在某一状态，可以给处于该状态的系统行为赋予一个安全指数。该安全指数是从安全到危险的连续域中的一点，所有元素行为的合成作用，要么在安全区域，要么在危险区域。当该指数处于安全区域，则系统处于安全状态；一旦偏离安全区域，即系统出现不安全行为，则意味着事故的发生。

由于社会技术系统的动态性，在不同的时间内其构成元素行为偏差的程度以及元素间的交互作用强度也不同，造成了事故成因结构上的差异，元素行为偏差通过交互作用合成的系统行为偏差偏离安全区域的程度决定了事故的严重程度。事故成因结构上的差异导致了事故有大小之分，从而解决了共同成因假设所不能解释的事故为何有严重程度之分的问题。随着时间的推移，结构上的微小差异使得行为偏差的合成有可能漂移到另一区域（见图9-4），这就是事故成因的结构敏感性。

图9-4　基于活跃元素合成行为的复杂社会技术系统事故成因过程模型

在图9-4中，直线表示在理想状态下，系统中的每个元素的运动都是无偏差的，系统处于绝对的安全状态。黑色的粗曲线表示在实际情况中，系统中存在活跃元素运动，由这些元素运动合成的系统状态在大部分时间总是偏离绝对安全状态。因此，无法达到绝对安全性，一旦该曲线运动到危险区域，就会发生事故。

复杂社会技术系统事故成因过程模型的构建为以基于关系配置作为主要管理手段的交互式安全管理理论的和谐调控体系设计提供了理论依据。

四、复杂社会技术系统失效的和谐调控模式设计

1.和谐调控模式的主要任务

根据以上事故模型，系统的调控体系有两项经常性任务：①防止活跃元素的出现；②纠正活跃元素的行为偏差。

对于现实中的复杂社会技术系统，人们已经设计了一条安全线路，规定了系统构成元素的行为，即每个元素都有自己既定的行为路径，沿着这条路径可以保证系统始终处于理想的安全状态。但是在每个时刻，系统的活跃因素行为及活跃因素间的交互作用（结构不稳定性）会产生一定偏差，这些偏差的合成可以使系统偏离安全区域而逐渐接近危险区域。随着时间的推移，如果这些偏差没有被校正过来，最终使得系统偏离安全区域越来越远，从而酿成事故。

校正特定的活跃元素行为偏差并不是一件难事，但是对于复杂的动态系统，有时会在同一时间内存在大量的活跃元素，要同时校正这些元素的行为偏差，使这些偏差不至于通过交互作用合成为系统偏差，成了复杂系统的安全控制难题。此外，系统行为偏差的产生也会引起系统结构的不稳定性，使每个时刻的系统安全区域和危险区域是变化的，这反过来又会增加控制系统行为偏差的难度。

活跃元素的行为偏差可分为确定性行为偏差和不确定性行为偏差两类：前者指没有思想意识的物元素行为偏差，预防措施是采用确定性控制和优化（运用刚性手段）；后者指的是有思想意识元素的行为偏差，预防措施是采用不确定性规避和运用（运用柔性手段，通过系统和谐来实现）。其实，对于复杂动态系统，并不是在系统行为偏差出现时就会导致事故。由于人是这类系统的关键构成要素，人具有能变性、能动性及主动性，可以运用自己的知识和经验进行判断、选择和行动，可以发现偏差，并将偏差校正。因此，尽管系统行为在大部分时间内存在偏差（远离平衡态），但仍然不会造成事故。

2.和谐调控模式的技术手段

目前，和谐调控模式的设计与开发还处于探索阶段，在实践中我们主要尝试采用以下技术手段：

第一，运用分形几何方法并结合关系论及集合论相关知识，提取复杂社会技术系统安全事故成因的结构敏感性数据，并对复杂社会技术系统安全事故的结构敏感性进行动态模拟。

第二，综合运用关系论、集合论、控制论、重正规化群及群论来分析和处理系统的关系配置问题及和谐调控问题，形成复杂社会技术系统的和谐调控模式。

本章小结

本章是交互式安全管理的应用体系的根据，是交互安全流程管理、交互式安全预警系统等应用部分的基础。本章内容主要涵盖了以下五个部分：

第一，给出了事故成因模型有效性的判断标准。

第二，系统阐述了复杂系统事故成因的结构敏感性的来源，及其对事故预防对策有效性的影响，指出针对事故的不同严重程度，事故预防措施应该有所区别。

第三，对事故根本致因进行了一般化，提出行为偏差是复杂系统事故的根本致因，并进一步将系统元素分类为活跃元素和蛰伏元素，构建了元素的行为模型，刻画了事故的情境和载体，并给出了复杂系统事故的演化过程。

第四，构建了基于结构敏感性的复杂系统事故成因模型，从模型中得出了元素行为偏差通过交互作用合成的系统行为偏差偏离安全区域的程度决定了事故的严重程度。解决了共同成因假设所不能解释的事故为何有严重程度之分的问题。

第五，给出了复杂社会技术系统失效的和谐调控模式设计框架。