安全降變原理及C-S-R事故致因新模型

吳 超教授 李思賢

（1.中南大學 資源與安全工程學院，湖南 長沙 410083；2.中南大學 安全理論創新與促進研究中心，湖南 長沙 410083；3.樂山市應急管理局，四川 樂山 614000）

0 引言

變化，是世間萬事萬物的共性。在安全領域，變化與事故的關系一直有研究者開展研究[1-8]，但還未從安全科學原理的高度加以歸納。變化，既有預期的和有利的，又有意外的和不利的。國內外學者將變化中不利于安全的那一類變化視作擾動，并基于變化或擾動提出一系列安全理論與模型，如Benner[1]提出的擾動起源事故理論，將事故看作由事件鏈中的擾動開始，以傷害或損害為結束的過程；Johnson[2]提出的“變化—失誤”模型，認為事故是由管理者或操作者未適應生產過程中物或人的因素的變化而導致的；Sklet[3]將變化分析視為事故分析的一種可行的和重要的手段，并將其與多種經典事故分析方法置于同等地位進行分析研究；國內學者何學秋[4]認為任一事物從誕生到消亡是動態的過程，任一事物的秩序都是由無序和有序兩種狀態動態地更替變化所致，并基于此提出了經典的“安全流變—突變”這一系統的和動態的安全科學理論；此外，吳超[5]基于擾動給出了安全容量的定義，在此基礎上已有眾多相關的研究成果[6-7]。除上述基于變化的安全理論與模型之外，對于變化這一自然規律，在安全標準化和項目管理中有變更管理[8]這一應對變化的重要理論與方法，即為了適應系統或項目中因素、狀態、功能、理解和行為等的變化，隨之進行變化的控制和管理，使系統朝著安全有序的狀態演化。

變化是事物發展的客觀規律，系統向更安全的狀態演化需要經過變化，而系統的事故災害發生過程也是一種變化。前者是我們所追求的，后者是我們需避免的。因此，從變化入手研究保障系統安全和預防事故災難是一個非常關鍵的切入點。但目前已有的基于變化的理念、理論、模型和方法等研究，大多僅停留在表層現象，系統的和成體系的研究甚少。因而，基于變化進行系統的、動態的和科學的安全理論、模型與方法的研究很有潛力并且大有可為，同時對安全科學的發展具有重要意義。

鑒于此，本文重點研究與系統事故災害發生相關聯的不利的和偏離預期計劃的變化，我們可將這種變化簡稱為災變或惡變。在此基礎上，依據變化與系統安全和事故的一般規律，分析提出安全降變原理，基于安全降變原理給出作業場所事故致因的新定義和新分類，并構建基于安全降變原理的C-S-R事故致因新模型，提煉基于安全降變原理的事故致因新機制，以期為事故分析和事故防控提供有效的理論依據和方法。

1 安全降變原理的提出及其解析

1.1 安全降變原理的內涵

系統是由若干要素組成的統一整體，任一事件或事故同樣構成一個系統。根據“系統結構決定其功能”[9]的基本系統原理可知，系統是結構和功能的統一體，結構是系統內部要素相互作用的秩序，功能是系統對外部作用的秩序。將討論的系統具體為某一事件或事故，可將事件或事故發生前后各要素及各要素間關聯的狀態視為系統結構，將事件或事故的結果和影響視為系統功能，則系統變化（要素變化，以及各要素之間關聯關系的變化）將導致系統目標、結果和影響的變化。若繼續探究，進行辯證分析可知：

（1）變化會導致事故。系統結構決定其功能，系統結構變化則其功能變化；換言之，系統各要素及各要素間關聯狀態的變化，將影響系統結果。辯證分析系統的這種變化，則變化既可能是導致系統出現好的結果，又可能是導致系統出現壞的結果。分析其本質，當系統各要素及各要素間關聯狀態發生變化且作用于系統中的人、物與環境時，人的生理、心理和動作將對應產生變化，物的狀態將對應發生變化，環境狀態也將隨之變化。當人的生理、心理和動作產生不利系統安全的變化，物朝著衰變狀態變化，環境朝著更加惡劣的狀態發展時，共同的作用將導致系統朝著不利結果發展，將產生不利的影響。簡言之，變化會導致事故，惡變必將導致事故。

（2）降變可預防事故。變化會導致事故這條一般規律，為事故預防提供了新的思路與方向。系統結構決定其功能，系統各要素及各要素間關聯狀態的變化會影響系統結果，變化會導致事故。逆向考慮，為使系統功能不改變，需保證系統結構的不改變；即為使系統結果不變化，需保證系統各要素及各要素間關聯狀態不變化；為預防事故的發生，需使變化不發生。簡言之，減少變化和避免變化可預防事故，即降變可預防事故。當然，往好的變是有利預防事故的。

將以上兩條安全系統分析的一般規律加以整理凝煉，可總結成為一條新的安全科學基本原理——安全降變原理。安全降變原理，揭露了變化會導致事故的一般規律，同時指出了降變可預防事故，為系統分析和事故分析提供了新的視角，也為事故預防提供了新思路與新方法。

1.2 安全降變原理的研究意義

理論而言，開展一項研究時應具有充分的緣由，這是順利開展該項研究的基本前提，也是開展該項研究的價值和意義所在。概括而言，安全降變原理的提出與研究，其緣由主要有以下5個方面。

（1）系統變化的研究具有普適性。“無物常住，萬物皆流”，系統是動態的和不斷發展的，系統中各要素和各要素間的關聯狀態是不斷變化的。系統變化是動態的，系統變化是普遍的，因而對系統變化的研究也是具有普遍意義和普適性。

（2）變化分析適用于系統各要素，能夠統一系統各要素的分析。隨著社會和技術的發展，安全系統日趨巨大化與復雜化。安全系統的復雜性，使得系統分析變得復雜化與繁瑣化，常規的分析視角很難兼顧系統中各個要素（如對系統中人的心理分析并不適用于系統中物和環境要素的分析）。由于系統的動態性，系統中各要素的動態變化成為系統中各要素的共性，因而系統變化的分析得以連接系統中各要素的分析，實現系統中各要素的連接和統一。

（3）安全降變原理是一般規律而非絕對規律，是適用于系統安全分析的基本原理。由系統安全韌性理論[10-11]可知，安全系統在一定時空內面對風險的沖擊與擾動時，具有維持、恢復和優化系統安全狀態的能力。因為系統安全韌性，變化不一定都會導致系統事故，需要辯證分析與探究。安全降變原理是經辯證分析得出的原理，是符合系統本質特性的，是合理的。

（4）安全降變原理的研究符合現代安全科學研究的“信息學化”和“行為學化”趨勢。安全降變原理的合理性體現在原理研究和應用的辯證思想上，辯證分析的理論基礎是系統安全韌性理論，系統安全韌性可由人的行為實現。安全降變原理的研究和應用，其實質最終會落到行為這一基本點，行為的指導又是由信息的感知和認知實現，因而安全降變原理的研究與應用，最終會落到信息與行為這兩個實質基本點，這符合現代安全科學研究的“信息學化”和“行為學化”，是具有研究基礎的，是可行的。

（5）安全降變原理指出變化會導致事故，將變化作為基本研究要素，為系統安全分析和事故分析提供了新的視角，為事故致因的定義和分類提供新的標準，為事故分析提供新的理論依據；同時，安全降變原理提出降變可預防事故，指出可通過積極的降變手段和措施來預防事故的發生，為事故的預防和事故的控制提供新的切入點和對策措施。

由此可見，進行安全降變原理的研究以及進行基于安全降變原理的一系列研究，在理論層面和實踐應用層面都具有重要意義。下面從基于安全降變原理的系統變化分類方法和對作業場所事故致因定義和分類的創新，來證明安全降變原理的實際價值。

2 基于安全降變原理的系統變化分類和作業場所事故致因新定義及分類

2.1 基于安全降變原理的系統變化分類實例

系統變化的分類，是進行安全降變原理研究的基礎。為準確表征變化與事故之間的聯系，通常需要對系統變化進行準確的分類與分析。

（1）安全科學研究中，常將安全系統劃分為宏觀安全系統、中觀安全系統和微觀安全系統3個層面進行整體分析。宏觀安全系統以社會技術系統的大環境作為中心，如國家政府層面、安全監督管理機構層面等；中觀安全系統以公司等組織系統為中心，可劃分為組織內部和組織外部進行分析；微觀安全系統以人、機或人機交互為中心。因而在探究變化對系統安全的影響機制時，從宏觀安全系統、中觀安全系統和微觀安全系統3個層面進行分析，尋求對研究對象的整體把握。

（2）無論是宏觀安全系統的變化、中觀安全系統的變化還是微觀安全系統的變化，都可能引起系統內行為者的心理、生理、知識結構、感知、認知、決策和行為的變化，使行為者的行為狀態由安全狀態變化為不安全狀態，從而引發事故。

（3）宏觀安全系統的變化、中觀安全系統的變化和微觀安全系統的變化，一方面會影響系統內物的狀態的自然變化，加速或阻礙系統內物的狀態變化；另一方面，變化通過影響系統內行為者的行為，進而對系統內物的變化產生干預，使得系統內物的狀態改變的速度發生變化，或使得系統內物的狀態改變的軌跡發生變化。

（4）宏觀安全系統、中觀安全系統和微觀安全系統間，既有沿著系統層級次序的正向的作用，又有逆向的反饋。一方面，宏觀安全系統變化依次影響中觀安全系統和微觀安全系統的變化；另一方面，微觀安全系統變化和中觀安全系統變化的逆向反饋，最終會影響宏觀安全系統的變化。各層級安全系統間的正向作用和逆向相互反饋，使得各層級系統間相互作用，形成統一整體。

宏觀安全系統、中觀安全系統和微觀安全系統之間并無明顯界定或界限，各層級系統中的變化從不同視角可有不同細致分類方法。

基于上述分析，可列出宏觀、中觀和微觀等各級安全系統中的主要變化類型，如圖1。

圖1 各層級系統變化的分類實例Fig.1 Classification of system changes at all levels

2.2 基于安全降變原理的作業場所事故致因新定義及分類

安全降變原理揭示了變化會導致事故這一一般規律。將導致事故的每一動作、物態、環境情景等的發生瞬間視作特殊的時間節點，則每一特殊時間節點前后的動作、物態、環境情景等狀態的差異，即為導致系統事故發生的變化（災變），即成為事故致因。考慮導致事故發生的事故致因出現的時間節點前后的系統狀態的差異，重新定義導致各類事故發生的事故致因，提出基于安全降變原理的事故致因新定義及分類和例子，見表1。

表1 基于安全降變原理的事故致因新分類及實例Tab.1 New classification and examples of accident causes based on the principle of reducing change for safety

前人已有的研究指出：各類事故發生的直接原因是不安全動作和不安全物態；安全知識不足、安全意識不高和安全習慣不佳是導致不安全動作和不安全物態的原因，即事故發生的間接原因；事故發生的根本原因實質為安全管理漏洞[12]。不安全動作，實質為行為者心理、生理、知識結構、感知、認知和決策等的變化，導致行為者的行為由安全行為狀態轉變為不安全行為狀態，即行為者動作朝不安全的方向變化；不安全物態實質為物的狀態由安全狀態自發的或是受人為干預而轉變為不安全狀態，即物的狀態朝不安全的方向變化。事故發生的直接原因的實質為行為狀態的不安全變化和物態的不安全變化，各層級系統的不利變化和不安全變化影響系統的安全運行，各層級系統的不利變化和不安全變化與事故的發生有著直接的因果關系，變化的錯誤或正確的管理與引導，對事故的發生或預防有著直接的決定作用。

3 C-S-R事故致因新模型構建

3.1 變化對系統安全的影響機制

各層級安全系統中的不利變化和不安全變化成為新定義下的事故致因，這些不利變化和不安全變化影響系統的安全運行，與事故的發生有著直接的因果關系。

為更深入探究變化與系統安全的聯系，分析變化對系統安全的影響機制。研究變化對系統安全的影響機制時，基于“系統結構決定其功能”[9]的基本原理、系統安全韌性理論[10-11]以及安全科學研究的“信息學化”和“行為學化”熱。由“系統結構決定其功能”的基本系統原理可確定研究要素有系統主要要素人與物；由系統安全韌性理論可確定研究時需考慮系統自調節能力；順應安全科學研究的“信息學化”和“行為學化”熱，可確定研究方向主要考慮安全信息認知和人的行為。因而，可將變化對系統安全的影響機制簡述為：變化作用于各層級系統中的人與物；因受變化影響，系統產生自調節，系統中人產生安全信息的認知并指導其行為；系統中各要素對變化進行應對，最終導致系統結果。將上述變化對系統安全的影響機制作進一步簡化，可用“變化—系統—應對”的影響鏈表示，取各要素英文單詞（Change, System, Reaction）的首字母進行簡化，即成為C-S-R，此即變化對系統安全的影響機制。

3.2 C-S-R事故致因新模型的構建

根據變化對系統安全的影響機制，按照事件的時間邏輯進程，進一步細化分析，得出C-S-R事故致因模型，即基于安全降變原理的事故致因新模型，如圖2。

圖2 C-S-R事故致因新模型Fig.2 New model of accident cause of C-S-R

變化對系統安全的影響，大致經過如下7個階段：

（1）無論是宏觀安全系統、中觀安全系統還是微觀安全系統，均處于動態變化的狀態，任一時間點前后的系統狀態都在發生變化，各級系統之間產生變化的聯動與反饋，相互影響。

（2）各級安全系統既有自發的變化又有受聯動和反饋而產生的聯動變化。各級安全系統因系統韌性，對自身系統的變化和作用于系統的變化具有一定自調節能力。但這種自調節能力是有限的，當系統承受變化，作出合理的調節時，系統保持有序運轉；當系統不足以承受變化，無法作出合理的調節時，將對各層級系統產生沖擊和擾動。

（3）各層級系統受到的沖擊和擾動，最終會因聯動影響作用于微觀安全系統。微觀安全系統因其自身的系統韌性，受沖擊和擾動后產生自調節。當微觀系統能夠承受變化，作出合理的調節時，微觀系統保持有序的運轉；當微觀系統不足以承受變化，無法作出合理的調節時，將作出實時的應對，改變與完善原有的計劃，產生新的目標與新的計劃。

（4）微觀系統的新目標與新計劃，將對微觀系統中的人與物產生直接的影響與指導。其中直接操作人因系統變化，其生理和心理均會受到影響，若直接操作人能夠適應系統變化，則通過調整行為方案與計劃，經準確的安全預測、決策與執行，最終達到原來的行為目標。

（5）受微觀系統新目標與新計劃的出現的影響與指導，若直接操作人不足以適應變化，則其最終的行為將存在失誤與失控。若直接操作人能正確感知擾動，但因為不適應變化，經自身的知識結構對感知的變化進行認知時，會存在認知的失解，最終無法正確指導一系列的安全預測、決策和執行行為，最終導致行為的失誤與失控；若直接操作人未感知擾動時，將影響其后續的認知，認知失解將導致不正確的安全預測、決策或執行行為，最終導致行為的失誤與失控。

（6）微觀系統中的直接涉事物，一方面會受到系統新目標與新計劃出現的影響與指導，另一方面還將受到系統中操作人行為的影響。直接涉事物受影響后，若其能夠維持原狀態或是改善其原有狀態，則將成為安全的物態；若受影響后，加速了其衰變，則最終將演變為不安全的物態。

（7）微觀安全系統中直接操作人行為的失誤與失控（即不安全動作）與直接涉事物的不安全物態，最終將直接導致事故的發生。

綜上分析可知，動態調節的宏觀、中觀和微觀安全系統中，自發或是受聯動影響產生的變化超出系統承受閾值時，微觀安全系統中直接操作人不適應變化，原本安全動作變化為不安全動作；直接涉事物受聯動變化影響，原本安全物態變化為不安全物態，不安全動作和不安全物態最終直接導致系統事故的發生，此即基于安全降變原理的C-S-R事故致因新模型。

4 基于C-S-R模型的事故分析實例

下面以“7.23”甬溫線特別重大鐵路交通事故為例。2011年7月23日20時30分05秒，甬溫線浙江省溫州市境內，由北京南站開往福州站的D301次列車與杭州站開往福州南站的D3115次列車發生動車組列車追尾事故，造成40人死亡、172人受傷，中斷行車32小時35分，直接經濟損失19371.65萬元[13]。

根據“7.23”甬溫線特別重大鐵路交通事故調查報告[13]，提取該事故中的主要主體。在該事故中，可將涉事的D3115次列車及司機、D301次列車及司機、列控中心、軌道電路、通信設備和相關的調度、檢修和值班人員的集合視為該事故相關的微觀安全系統；將上海鐵路局、甬溫線沿線及站點和事故地區視為該事故相關的中觀安全系統；將鐵道部、運輸局客運專線技術部和科學技術司等監督監察管理機構視為該事故相關的宏觀安全系統。分析整個事件經過及各級安全系統，可列出該起事故的整個事件流程中的相關變化，見表2。

表2 “7.23”甬溫線事故的事件流程中的相關變化Tab.2 Related changes in the entire accident process of '7.23' Yong-Wen railway

由整個事件流程中各級安全系統的相關變化及事件的詳細經過分析，可得出變化對事件整個流程的影響及變化影響下整個事故的詳細經過，如圖3。

圖3 基于安全降變原理和C-S-R事故致因新模型分析“7.23”甬溫線事故流程Fig.3 Analysis of the '7.23' Yong Wen railway accident based on the principle of reducing change for safety and the new model of accident cause of C-S-R

由基于變化分析的“7.23”甬溫線特別重大鐵路交通事故流程分析可知：整個事件流程中，以鐵道部等監督監察管理機構為代表的宏觀安全系統、以上海鐵路局和甬溫線為代表的中觀安全系統和以列車和列控中心為代表的微觀安全系統均處于動態自變化和自調節狀態，同時各級安全系統按層級次序依次產生聯動變化；各層級安全系統在多時間點和多空間點發生變化，突發和多發變化導致D3115次列車、D301次列車和列控中心不足以承受和準確應對，最終造成列控中心、軌道電路和通信設備等的狀態變化為不安全狀態，同時D3115次列車司機、D301次列車司機和調度、檢修、值班人員等的動作變化為不安全動作，最終導致追尾事故。

將基于安全降變原理和C-S-R事故致因新模型分析的事故流程與事故原因的結論與“7.23”甬溫線特別重大鐵路交通事故調查報告[13]對比分析可知，基于安全降變原理和C-S-R事故致因新模型分析的事故流程與事故原因與事故調查報告鑒定結果一致。

5 結論

（1）基于“系統結構決定其功能”的基本原理和辯證分析思維，分析得出變化會導致事故和降變可預防事故兩條一般規律，經整理凝練提出安全降變原理，并對安全降變原理的內涵和研究意義進行了解釋說明。

（2）依據系統劃分原則，將安全系統劃分為宏觀、中觀和微觀安全系統，辨別和分類例舉了各層級系統中的變化，基于安全降變原理給出了事故致因新定義及分類。

（3）經分析可知，變化對系統安全的影響機制可用“變化—系統—應對”的影響鏈表示，基于“系統結構決定其功能”的基本原理、系統安全韌性理論以及安全科學研究的“信息學化”和“行為學化”熱，對其進行擴展和細化，構建了基于安全降變原理的C-S-R事故致因新模型。

（4）以“7.23”甬溫線特別重大鐵路交通事故為分析案例，驗證安全降變原理及C-S-R事故致因新模型的可行性與可靠性。由安全降變原理和C-S-R事故致因新模型分析可知，該事件系統中的主要變化對系統中各要素的行為和狀態等產生影響，不利的和不安全的變化最終導致事故。對比分析可知，基于安全降變原理分析的事故流程與事故原因與事故調查報告鑒定結果一致。