http://www.esafety.cn/blog/wll/66030/index.html

基于系统论和系统安全理论的思考与建议(上)

作者[孙锡云] 发表于[2016-11-21 10:49:00]

从问责调查到问题调查

——基于系统论和系统安全理论的思考与建议(上)

刘铁民

核心提示

生产安全事故调查处理是安全生产工作的一项重要内容,事故调查政策和方法方面的创新对完善我国安全生产工作的体制机制有重要意义。

针对我国安全生产总体形势和事故调查处理的工作现状,本文分析了近3年来我国特别重大事故发生的态势和原因,总结了事故发生的基本规律和共性问题。基于系统安全的思想,笔者认为安全是系统整体属性,系统脆弱性是导致事故发生的主要原因,不应简单地把事故的发生归咎于某些人或某件事的责任。

2001年我国安全生产监管体系建立以来,安全生产形势持续稳定向好,但重特大事故风险依然较高,安全生产形势依旧严峻。

回顾我国安全生产工作的历史沿革,有许多经验与教训值得认真总结、吸取,从而进一步改进和创新我们的工作。

一、安全生产形势严峻是我国经济社会发展的重大挑战

重特大事故的发生频率呈下降趋势,但数据波动幅度很大,当前我国特别重大事故发生的风险依然很高。

虽然近年来的特别重大事故从发生的时间、地点、行业、直接原因、灾变行为上看有很大区别,但具有一些共同的规律性特点。

这一系列同类的问题,暴露出安全生产工作中普遍存在系统脆弱性。我们应把系统整体属性的问题作为工作重点,在提高整体系统重大事故风险治理水平及应对事故的抗逆力上下功夫。

改革开放以来,生产安全重特大事故频发一直困扰着我国经济社会发展。本世纪初,我国建立了沿用至今的安全生产监管体制,党和国家采取了一系列重大措施加强安全生产工作,取得明显成效,其中最突出的表现是生产安全事故总量持续下降(见下图)。

2005年至2015年,我国生产安全事故死亡人数持续下降,2005年的死亡人数为127089人,到了2015年,死亡人数为66182人。

但从下图还可以看出,重特大事故的发生频率虽然也呈下降趋势,但数据波动幅度很大,每年特别重大事故发生频率的变异系数达到0.5,一方面显示出特别重大事故的发生具有离散、随机小概率的特点,另一方面也提示当前我国特别重大事故发生的风险依然很高。

防范遏制重特大事故已成为当前我国安全生产工作的重中之重

2005年前后几年,我国特别重大事故起数在每年10起左右,近5年虽然已降到每年5起上下,但2013年至2015年,每年都发生1起死亡百人以上的特别重大事故,性质特别严重,影响特别恶劣。防范遏制重特大事故已成为当前我国安全生产工作的重中之重。

实际上,特别重大事故的发生并非全无规律可循,但现在的问题不是对特别重大事故的致因毫无所知,而是许多认识似是而非。

基于系统思维的案例分析和对照评估方法,笔者对以往发生的特别重大事故进行了分析研究,或许可以为重特大事故的风险治理探讨出新的思路。

笔者对2013年至2015年发生的12起特别重大事故做了简略分析。这12起特别重大事故中,只有4起是典型的生产安全事故,另外8起一定程度上具有公共安全特征。

12起特别重大事故,共计造成了860人死亡和1218人受伤。这12起特别重大事故发生后,受到责任追究的共计845人。

此外,这12起特别重大事故的调查处理报告中,虽然都指出了事故各自不同的直接原因,但无一例外全部确定为责任事故,自然而然对这些特别重大事故都进行了严肃的责任追究。

一系列同类的问题,暴露出安全生产工作中普遍存在系统脆弱性

现代社会中发生的事故,普遍具有高度复杂性的特点,灾变行为和脆弱性几乎涌现在从自然到社会的所有领域,而且互相交叉、融合,系统脆弱性存在于安全管理的各个层面和突发事件应急准备、响应及恢复的全过程。

系统脆弱性是在事故发生前即已存在的客观条件,在事故发生过程中才涌现。按照系统论的观点,系统脆弱性的涌现性,可以依据系统的特征和变化而表现出不同的行为。在事故发生之前,系统脆弱性具有潜在性,这种不确定性的特征可使事故发生的易感性明显增强。系统的这种涌现,不仅取决于风险在事故发生之前是否已经被感知或辨识,重要的是被辨识出之后,是否采取了与其相匹配的控制措施。只有在事故发生前,使导致事故发生的潜在系统脆弱性被识别、评估和控制,才能全面提高全社会应对事故风险的抗逆力(Resilience)。

这些年,每起重大事故发生后,我国有关部门都会进行严肃认真调查和处理,举一反三,认真总结事故的沉痛教训,亡羊补牢,强化了一系列的防控措施,进行了愈加严厉的责任追究。这些措施的确收到了推动安全生产工作深入开展的效果,但重特大事故的风险仍然没有得到明显控制。

2013年至2015年,我国发生的12起特别重大事故虽然从发生的时间、地点、行业、直接原因、灾变行为上看,似乎有很大区别,但如果进行深入分析,就可以发现,这些灾变的原因和行为可以总结出一些共同的规律性特点:企业安全生产责任没有落实,当地政府对安全生产重视不够,安全生产监管不力,重大事故隐患排查整改不到位,应急处置不力,以及基础薄弱和相关人员安全素质不高等。

这一系列同类的问题,暴露出安全生产工作中普遍存在系统脆弱性。系统脆弱性本质上是系统的结构性风险。系统脆弱性是系统整体的涌现性,而不是局部性和个别单位的特征。因此,在事故前的风险管控和事后的事故调查处理过程中,应当把系统整体属性的问题作为工作重点,在提高整体系统重大事故风险治理水平及应对事故灾难的抗逆力上下功夫。

二、生产安全是系统属性

在高度复杂的经济社会发展现状中,传统的安全生产管理理论与方法逐渐难以适用于新形势的需求。现代系统安全理论认为:安全是系统的属性。

当前,我国安全生产严峻形势所暴露出的问题,绝不仅仅是个别单位的管理问题,源头主要是广泛存在的基础薄弱、体制机制不健全和法治建设的缺失。风险治理和系统安全的重要意义,就是要在事故发生之前对可能导致严重意外的风险进行识别并加以控制,从而杜绝严重意外发生。

经验告诉我们,对反复出现的某种现象应从规律上寻找答案,而对普遍存在的问题要从包括体制和机制在内的系统结构上分析原因。

当前,我国安全生产工作面临着前所未有的压力与挑战。改革的不断深入发展和城市化进程持续加速,新的生产方式不断涌现,以及全球经济一体化的深刻背景,导致安全生产工作中出现了一些具有高度复杂性的新问题,使传统的安全生产管理理论与方法逐渐难以适用于新形势的需求。

笔者认为,我们长期以来奉为经典的海因里希事故链模型,伯德的管理决策理论,瑞仁提出的事故致因瑞士奶酪模型,以及多年来一直在应用的因果关系判定和事故连锁论等,在高度复杂的经济社会发展现状中,已经不能完全适用于重大事故的预防、应对和事故调查分析工作。

安全是系统的属性,不是个体与局部的属性

现代系统安全理论认为:安全是系统的属性,不是个体与局部的属性,无论是安全性或者事故风险性都是系统的涌现性。

近年来发生的多起重特大事故的分析结果证明:重特大事故的发生及演变涉及整个经济、社会、文化和技术的复杂过程,应重点分析系统整体运行是如何导致事故发生和造成损失的,而不能简单地把事故原因仅仅归咎于谁或什么方面的责任。

大多数重特大事故是在复杂系统内的非线性交互和多元耦合的情况下发生的。简单的事故链模型和因果关系判定方法认为:事故是多个个别事件按时间序列发生的结果,因此就认为切断失效链就可以防止事故发生。现代系统安全理论认为:事故缘于系统各部分之间的交互,一般不能归结为单一变量和个别局部失效,而几乎肯定是存在结构性风险(系统性风险)。重大事故与其说是多个独立事件的同时发生,还不如说是系统随着时间向风险增加状态的迁移。复杂系统本质上具有逐渐向风险迁移的特征,这种迁移倾向是可检测和可预知的,可以通过适当系统设计和事先设定的风险检测指数来加以控制,从而防止事故发生。

在每起事故背后,几乎都存在非常复杂的原因。从表面看,个人或者个别部门的责任因素似乎起到了很大作用,这也就是为什么每当重大事故发生之后,几乎无一例外地被称为责任事故,这种千篇一律的认识可能过于片面和简单。

从系统安全理论上分析,在重大事故的复杂演化过程中,并不十分强调个人所承担的责任与义务,除非当事人确有主动肇事动机,或者涉嫌失职与渎职等违法行为,且对事故的发生与发展具有无可替代的权重。

实际上,仅仅依靠干部的忠于职守并不能完全杜绝事故的发生。例如在巨大的商业压力下,企业生产安全事故的风险就会明显增加,个别人的努力很难左右这种形势。风险治理和系统安全不是仅仅依靠遵守法律法规就可以获得的。法律法规只是安全的基准尺度,不是防止事故发生的高端要求,在基线到高端之间存在很大的工作空间。大量事故调查结果一再证明,建立在法律法规符合性上的安全管理对于非常复杂的系统是远远不够的,因为常规的法律法规符合性无法覆盖由于系统的复杂性与涌现性所产生的高度不确定性,也无法刻画具体的工作细节,而且新技术和新情况的不断出现所产生新的危害也不可能包含在原有的法律法规及标准之中。

重大事故的发生缘于系统约束的失效或反馈失误

安全生产作为复杂、开放的巨系统,其系统安全的管理思维除强调总体性(总体不等于各部分之和)之外,另一个关注要点是系统的层次性,层次性是系统论、系统工程乃至系统安全的一个基本特征。

依据系统安全的理论,安全管理系统应划分为若干个结构或组织层级,安全性是基于上层对下层的约束来实现的。无论分层结构如何,都是从上至下的层层约束形成立体化、全方位的安全管理系统网络。下层对上层的作用不是约束,而是对约束的执行力和反馈机制,即及时准确地反映问题,做好信息交互。底层对系统也不具备约束力,当上层对下层整体的约束力是稳定和有效时,系统就会涌现出安全性。而当上层对下层的约束力失效或下层对上层的反馈有误,都可能导致系统中事故风险的增加,即所谓系统中风险的涌现性,甚至可能出现整体系统约束的失败,导致重大事故发生。

从系统安全理论看,重大事故的发生缘于系统约束的失效或反馈失误,这个运动过程不仅仅取决于单一变量或仅仅局部因素的作用。即使整体中某个子系统或局部进行优化,也不能使系统最优。

实际上,个别人的失误和局部故障都难以完全避免,但系统结构上的冗余性和容错机制,以及系统环境可以明显降低事故风险。

例如,通过对山东青岛“11·22”中石化东黄输油管道泄漏爆炸特别重大事故的深入分析,造成事故的危险源是中石化输油管道泄漏的3000吨以上轻质原油流入开发区的地下排水暗渠,石油气蒸发后在密闭的地下空间中形成大量可爆炸性气体,泄漏事件发生后,没有采取针对爆炸危险的有效风险控制措施,泄漏10个小时后终于导致大爆炸发生。事故发生的更深层次的原因还有:开发区及原油储运缺乏长远规划,建设20多年的输油管线年久失修;对重大危险源没有严格规范的安全监管,泄漏后没有及时启动应急响应,也没有立即采取公众保护措施。归结起来,事故发生的技术原因是风险治理不够和应急准备不足,而从系统安全理论看,可判定为系统结构风险逐渐演变为重特大事故。与其说事故的本质是基层干部和企业工作人员的失职渎职,还不如归结为在相应层级上整体涌现出系统脆弱性。实际上,很难确证哪一位干部或哪一件工作上存在明显违法行为,更无法确认这些个别行为与事故发生具有直接和必然的因果联系。

应更加注重查找自身的问题,这对于防止同类事故再次发生至关重要

多年来的安全生产实际情况证明,仅仅依靠追究个人责任,虽然可暂时缓解来自社会的压力,解决一些局部或表层的问题,但并不能深刻探究事故发生的根源,也不能从根本上解决系统性、基础性和制度化建设上存在的深层次问题。由于个人或单一因素造成重大事故的几率很低,驱动力也十分有限,而源于组织性因素、社会性因素和文化性因素的系统结构性缺陷,才是导致事故不断发生、甚至同类事故反复发生的主要原因。

当前,我国安全生产严峻形势所暴露出的问题,绝不仅仅是个别单位的管理问题,源头主要是广泛存在的基础薄弱、体制机制不健全和法治建设的缺失。这在我国安全生产领域中具有全局性和普遍性。

历史经验证明:重大事故之后,如果把事故原因一律归于责任,即使责任分配非常均衡,追究力度适中,充其量也不过是从思想上认识到了问题的严重性,只是接受了教训和找到事故的一部分原因。

系统安全理论中有一个重要论断:如果对系统的风险没有认识到位,或是对已认识的风险没有采取与风险相匹配的控制措施,这几乎就是相当于默认或等待事故发生

从风险治理的角度看,任何生产安全事故都是可知和可预防的。对于复杂系统所发生的高度不确定性事故,确实很难在事前从时间与空间维度上做出精确、具体感知,并且越是复杂的系统,由于系统脆弱性的潜在,越容易出现系统失效,从而发生重特大事故。

相对而言,复杂程度高且紧密耦合的系统发生事故的风险更高。复杂系统可能带来更大的不确定性,并且在多重因素紧密耦合状态下会存在非线性交互,导致事故风险增加。正如著名安全专家詹姆斯·莱森曾指出复杂和紧密耦合的系统能够突然涌现严重的意外

201561日,长江湖北监利航段发生了东方之星号客轮翻沉事件,造成442人死亡。这起灾难就是这种突然涌现严重的意外的典型案例。这一事件的本质,不应完全归结为浪有多高或风有多大,而主要是因为船体的本质安全性能缺乏可靠性。在船体的设计和改造上,存在安全缺陷,在航行安全管理系统上存在明显漏洞和隐患。客轮管理人员的风险意识和应急准备均有欠缺,在突发危险的应对上也存在突出问题。

对这样的案例,我们应该更加注重查找自身存在的问题,尤其是注意发现在事件发生过程中涌现出来的系统脆弱性,这对于防止同类事故再次发生至关重要。

风险治理和系统安全的重要意义,就是要在事故发生之前对可能导致严重意外的风险进行识别并加以控制,从而杜绝严重意外发生。
  • 圈子:注安之家 
  • 发表评论:
    载入中.......................

    Photo(相册)




    My Groups(群组)

    载入中.......................


    Good friend (好友)

    载入中.......................
    Powered by Oblog.