霍志勤

（南京航空航天大學民航學院，南京 210016；中國民航局航空事故調查中心，北京 100028）

長期以來，各安全生產領域一直在綜合運用技術、規(guī)章及管理手段防范系統(tǒng)的隱性和顯性失效。本質安全論是系統(tǒng)安全理念在一定階段的產物，其概念始于20世紀60年代電氣設備的防爆構造。在一定狀態(tài)下，電氣設備通過自身設計的跳開關，可以控制火花、電弧、熱效應等不至于引燃爆炸性氣體。這種不依賴任何附加安全裝置的設計從根本上實現了自我保護功能。隨著該思想的升華以及在各類安全生產領域中的擴展應用，逐漸形成本質安全論。本質安全的核心目標是驅動系統(tǒng)趨向更安全狀況，因此稱之為“本質更安全”較為恰當。安全度可表述為S=1-R，式中：S為安全指數，R為風險指數。當系統(tǒng)風險趨于0時，其安全度趨于最大值1?？陀^系統(tǒng)中的風險不可能被完全消除，所以本質安全化是人們不斷追求系統(tǒng)風險趨于0的動態(tài)逼近過程。由于人類對世界的認知和控制能力有限，絕對安全并不存在，本質安全亦不是絕對安全的代名詞。與其它安全生產行業(yè)比較，民航的風險常表現為“0×無窮大”的“極向性”特點，即航空事故發(fā)生的概率（p）低（趨于“0”），但后果（s）往往極其嚴重（趨于“無窮大”）。該特點似乎暗示著民航業(yè)改進安全應著重于減輕事故后果。事實并非如此。事故常是能量的意外失控和釋放，由于飛機在運行中承載著巨大能量，試圖降低事故的嚴重程度亦即在事故發(fā)生后在管理失控狀況下的能量，難度極大。盡管航空事故發(fā)生的概率已經很低，但繼續(xù)降低事故乃至事故征候的發(fā)生概率使，仍是民航業(yè)控制風險的重要思想。本文將應用本質安全理念，探討民航系統(tǒng)的安全管理策略。

1 本質安全的內涵

狹義的本質安全主要是針對硬件而言，在特定環(huán)境下，設施、設備、技術工藝等通過設計手段從根源上消除或減少風險。①“失誤-安全”功能[1]。充分考慮人的因素，使系統(tǒng)具備避錯、糾錯、容錯功能。例如，傳統(tǒng)剃須刀鋒刃暴露，技術嫻熟的理發(fā)師也難免對人造成傷害；改進后的剃須刀在刀片兩側設計保護夾具，對人的傷害大大降低；而電動剃須刀的刀片外安裝了結實細密的金屬網，使刀片和皮膚相互隔離，從而避免對人造成傷害，實現本質安全。②“故障-安全”功能。即使系統(tǒng)出現故障、失效、超限等非正常狀況，其自我調節(jié)、轉換、保護、自檢、修復等功能也使之在降級模式下仍然維持一定裕度而安全運行。例如，對于多雷達信號覆蓋的空域而言，即使某一個雷達信號中斷，雷達的冗余使監(jiān)視功能并不受影響。③“內置-前瞻”功能。無論是“失誤-安全”還是“故障-安全”都是系統(tǒng)本身固有的功能，在其規(guī)劃設計階段就被納入其中，而不是事后才對風險進行彌補性圍堵。廣義的本質安全指通過系統(tǒng)資源的配置和優(yōu)化，人員、硬件、軟件、環(huán)境、管理等系統(tǒng)要素的本質更安全化建設，減少人犯錯的可能性和危害，實現諸要素和諧統(tǒng)一的融合，使系統(tǒng)處于安全狀態(tài)成為必然，處于不可接受的風險狀態(tài)成為偶然。

2 民航系統(tǒng)本質更安全建設策略

2.1 注重源頭上的最小風險設計

系統(tǒng)的前期設計和實時運行中都可能隱含威脅，但設計本身帶來或遺留的威脅危害更大。通過源頭管理，可以實現在系統(tǒng)規(guī)劃、設計、制造或建設之始充分預測威脅和風險，基于系統(tǒng)觀和以人為中心的原則對系統(tǒng)進行戰(zhàn)略謀劃。

源頭管理大到駕駛艙、機場、管制室、維修車間的設計，小到插頭、手柄、螺栓、燈泡的制造。以改進后的起落架為例，當飛機著陸后，起落架控制手柄的內鎖裝置將手柄鎖定在“放下”位，即使發(fā)生誤操作將手柄上提，也不可能放到“收上”位，于是從根本上防止了飛機在地面滑行或停放時起落架被意外收起。源頭上一個微小的設計失誤，都可能帶來災難性后果，這在中國民航史上并不鮮見。1992年“7.31”事故中，ЯΚ-42唯有針對起飛前檢查工作未完成的警告，而沒有真正意義的起飛外形警告，當駕駛員按壓“起飛未準備好按鈕”就可以取消該警告，以致起飛過程中無論水平安定面在什么角度警告信號都不再激活；1993年“4.6”事故中，MD-11的襟翼/縫翼操作手柄設計不當，易于誘發(fā)誤操作；1994年“6.6”事故中，TY-154的傾斜阻尼與航向阻尼插頭完全一樣的設計，機務維修人員出錯概率是0.5；2004年“11.21”事故中，CRJ-200的性能對機翼表面的污染高度敏感，裕度太小，為運行埋下了隱患；2007年華航“8.20”事故中，B737-800襟翼前緣條內滑軌上的止檔螺帽設計太小，其脫落只是個時間問題。2006年9月29日，一架B737-800在亞馬遜地區(qū)與一架Embraer Legacy 600公務機空中相撞。事故原因很可能是EMB135/140/145的設計存在缺陷，飛行員把腳放在腳蹬上會無意間改變無線電頻率或者將應答機設置在備用模式上。源頭管理不僅需要豐富的知識和開闊的視野，還需要充足的資源予以支持。成功的源頭管理往往永久性擁有系統(tǒng)的安全屬性，失敗的源頭管理則需要在運行中反復繳費，甚至付出安全代價。2008年膠濟鐵路上發(fā)生了“4.28”事故。調查發(fā)現，為了不占民房，降低成本，鐵路部門將該段鐵路的彎道設計成幾乎呈90°，不得不在運行中采取限速措施[2]。中國民航的一些建設工程亦然存在面對矛盾做出不當妥協的問題，為運行環(huán)境制造、遺留了無謂的風險。例如，有的新建、改建機場的活動區(qū)被建筑物遮擋，管制員無法目視飛機在地面滑行的動態(tài)，不僅抑制了運行效率，而且增加了飛機之間的碰撞概率；有的機場將提供航向指引的導航臺（NDB、VOR、LOC）設置在跑道側方，導致飛機儀表進近的最后進近航徑與跑道延長線保持夾角，無法盡早實現穩(wěn)定進近，容易誘發(fā)跑道的安全問題；有的機場由于導航臺設置不合理，導致飛機進近過程中必須保持大角度下滑，增加駕駛員的操作難度。

不合理的設計可能頻繁誘發(fā)不安全事件，為其買單者未必就是始作俑者，很多時候一些無辜的利益相關者先是掉進了系統(tǒng)的陷阱，后是被迫承擔責任。1倍的系統(tǒng)設計安全性＝1 000倍的系統(tǒng)應用安全性[3]。所以，安全隱患應盡可能通過設計手段予以解決，而不要輕易轉移到運行階段。

2.2 采用風險控制的技術

系統(tǒng)只有通過采用有效的風險控制技術才能減少不安全事件的發(fā)生概率、降低不安全事件的嚴重程度。風險控制技術[4]一般有消除、替代、減緩、隔離、程序和加強人的意識等。如圖1所示，以上風險控制方法的效果一般情況下依次衰減，所以應盡可能采取高級別的風險控制方法，并進行多級控制。采取以上手段，可以在一定程度上控制風險，但是并不能完全消除系統(tǒng)的所有風險，安全管理只能追求本質更安全。安全管理還應遵從安全投入最大效益原則[5]，如圖2所示，當安全效益在優(yōu)選范圍S1和S2之間，特別是靠近S0點時，系統(tǒng)具有較好的安全效益；安全投入不足必然導致安全效能和安全效益都較差，但毫無限制地加大安全投入，固然可以提高安全效能，但是總體安全效益卻呈下滑態(tài)勢。因此，采用風險控制的技術應該兼顧到安全效能、安全投入與安全效益的關系。

2.3 加強縱深防御體系的建設

對于系統(tǒng)全壽命周期而言，“縱深防御”的事故預防和減災思想從時間序列上應貫穿于系統(tǒng)投入使用前的安全設計和制造、系統(tǒng)運行中的風險控制、事故發(fā)生過程中的應急處置、事故發(fā)生后的系統(tǒng)改進等環(huán)節(jié)，從空間序列上應該綜合使用“硬保障”、“軟保障”和“人的效能”等立體防范手段。

“硬保障”是指在航空系統(tǒng)建設中依賴工程和技術的改進來提升航空設施、設備和運行環(huán)境的可靠性，尤其是通過自組織、自適應、自控制等有形手段來建立防錯、容錯、糾錯的功能以控制風險，例如：安裝安全裝置、設置告警功能。上文所說的源頭管理應著重通過“硬保障”提升系統(tǒng)的本質更安全特性?！败洷Ｕ稀笔侵冈谙到y(tǒng)建設過程中，通過制定、健全航空法規(guī)、規(guī)章標準等規(guī)范組織和個人行為的制度保障體系來控制風險，例如：制定工作程序、規(guī)范書面要求等。由于“軟保障”的失效，民航業(yè)也付出了代價。1969年11月15日，一架IL14在江西與太平山相撞，其中一個重要原因是機組和管制員使用的航圖上實際高度為841 m的太平山被標注成508 m；1995年3月23日，一架夏延在濟南撞山墜毀，原因之一就是航行資料中張莊機場南北遠臺雖呼號不同，但頻率一樣，容易混淆，以致機組誤將南遠臺當做北遠臺進近，偏離航徑。1995年12月20日，一架B757在哥倫比亞撞山，進近過程中機組選擇“R”以期前往“ROZO”導航臺，但另一個無線電頻率一樣且摩爾斯代碼也為“R”的導航臺“ROMEO”成為首選，導致機組偏航。文獻[5]記載了一個副駕駛將飛行程序中的航路點高度3 280 ft念成2 380 ft，導致飛機撞山[6]，究其因主要是該航路點的高度設計不合理，如果是3 300 ft則具有較好的本質更安全特性，想念錯都困難?！叭说男堋笔侵赶到y(tǒng)運行過程中，通過發(fā)揮個體及團隊的自主自覺性來控制風險。人的本質安全是：①通過篩選，具備良好的職業(yè)適應性；②經過教育、培訓，掌握良好的知識和技能；③受安全文化的熏陶和引導，擁有積極的安全意識，自覺自愿地承擔安全責任。

“硬保障”、“軟保障”和“人的效能”都是加強縱深防御體系建設的重要手段，它們之間存在一定的邊際替代關系。安全是一種產出效能，如果將“硬保障”、“軟保障”、“人的效能”視為民航安全生產要素，Cobb-Douglas生產函數[7]表明，當系統(tǒng)總體安全效能不變的情況下，投入要素之間可以在一定程度上相互替代。

令

式中：Y為系統(tǒng)的安全效能；X1、X2、X3分別為“硬保障”、“軟保障”、“人的效能”等投入要素；A為正的常數；L、K、T 分別為“硬保障”、“軟保障”、“人的效能”的投入當量；α、β、γ 分別為“硬保障”、“軟保障”、“人的效能”對安全效能的產出彈性系數，表示投入要素的變化引起安全效能變化的速率。

對 Y=F（X1，X2，X3）求全微分，即

當效能一定時，dY=0，所以

當然，完全依賴高層次的防御體系并不現實，不足以防范事故的發(fā)生，還需要采取綜合、立體的防范措施。例如，防止跑道侵入需要在機場設計、建設之初合理考慮跑道、滑行道的布局和結構；飛機裝備防止滑行錯誤的機載設備；安裝地面活動監(jiān)視設備；為機組提供道面標志、標記牌、燈光系統(tǒng)、航行通告；使用無線電標準陸空通話；完善運行程序；加強人員的教育和培訓等方面。

為了解決某方面的安全問題增加系統(tǒng)某項功能的同時，又誘發(fā)一些新的問題，如自動化雖減輕人的負荷，但它使系統(tǒng)愈發(fā)復雜和不透明。因此，在各種矛盾中尋找平衡、合理取舍也是很重要的。“人的效能”雖然是最后選擇，但必不可少。到目前為止，民航系統(tǒng)仍舊以人為中心，人常常把握著系統(tǒng)最后一道風險防范關口。很多情況下，雖然“硬保障”和“軟保障”阻擋了大量風險，系統(tǒng)中的殘余風險仍然存在，繼續(xù)控制風險的任務只能交給運行人員去完成。試想，某硬件安裝中需要將3個螺母依次安裝到一個螺栓上時，假設正確的安裝方法是唯一的，則錯誤的安裝方法（包括遺漏和順序不當，不包括安裝不到位）有15種（P33+P32+P31+P30-1）。在這種情況下，出錯的概率遠遠大于不出錯的概率，這說明“軟保障”（安裝程序）和人的因素依然很重要。

2.4 加強防御體系間的協同交互

民航系統(tǒng)絕非單純的技術系統(tǒng)，而是一個復雜的社會技術系統(tǒng)。它是由其構成要素（人、硬件、軟件、環(huán)境、管理）通過復雜的交互作用形成的有機整體，系統(tǒng)構成要素之間是一種非線性關系。一方面，基于還原論思想，加強各系統(tǒng)要素的可靠性對于提高系統(tǒng)的可靠性固然意義重大；另一方面，基于系統(tǒng)論思想，還應看到系統(tǒng)的性質不能完全歸結于其組成要素的性質，系統(tǒng)還有其內部結構和關聯度所決定的特有性質。錢學森曾經指出，重復不太可靠的元件可以組成高度可靠的系統(tǒng)（工程控制論，1954）。構成系統(tǒng)的要素永遠達不到100%的可靠，但這并不妨礙系統(tǒng)作為一個整體達到預期的安全性。反之，對于復雜的系統(tǒng)而言，系統(tǒng)的本質安全性并不代表系統(tǒng)的構成要素也是本質安全化的。由于系統(tǒng)自身具有一定的避錯、糾錯、容錯和自組織能力，系統(tǒng)本質安全化的實現不能只是片面追求要素的本質安全化，當系統(tǒng)的構成要素具備一定的相對可靠性，可通過系統(tǒng)微觀層面的和諧交互機制使系統(tǒng)要素的缺陷避免在同一時間和空間表現出來，從而使系統(tǒng)獲得整體的本質更安全性。安全管理是實現人與人、人與硬件、人與軟件、人與環(huán)境緊密匹配的紐帶和橋梁，是加強防御體系之間的協同交互的有效控制手段。因此，堵塞管理漏洞，保證防御體系之間的協同交互是本質更安全化建設的要求。

2.5 安全文化建設

民航是一個復雜的巨系統(tǒng)，遠非一個電動剃須刀可以比擬，其本質更安全化建設也絕非如此簡單。無論是通過源頭上的最小風險設計，還是消除風險的控制技術，或是采納“硬保障”、“軟保障”的手段并不能解決所有的安全問題，還必須依賴“人的效能”進行彌補。Cobb-Douglas生產函數也表明，如果任何一種投入要素為0，則產出也為0。一般情況下，每種投入要素都是必需的，沒有一種要素可以完全替代另一種要素。雖然人的可靠性有限，其提升的難度頗大，差錯無法避免，但“人”畢竟是系統(tǒng)的中心，其積極意義遠大于消極影響。任何一層系統(tǒng)防線都不可能完美無缺。在運行現場，“硬保障”和“軟保障”都是按照預先的設計而呆板工作，不可能面面俱到預測到現實運行中的所有情況，“硬保障”、“軟保障”都可能失效，如在規(guī)章制度覆蓋不到的地方，系統(tǒng)中心的“人”往往是完成任務、解決問題唯一的屏障?！坝脖Ｕ稀?、“軟保障”從根本上講都是輔助人的工具。因此，關注“人的效能”是一個亙古不變的話題。

T=（K+S）× A，式中：T 為“人的效能”，K 為知識，S為技能，A為態(tài)度。知識和技能可以通過教育和培訓獲得，而決定員工形成某種態(tài)度的因素主要包括價值觀、制度、習慣。價值觀是行為的內驅力，制度是行為的外驅力，行為不斷重復形成習慣。知識、技能、態(tài)度都是安全文化建設所關注的內容。安全文化可以提高人的效能，減少協調成本，彌補“硬保障”、“軟保障”的縫隙。隨著安全管理的發(fā)展，文化逐漸成為一種高效的管理手段。廣義的民航安全文化是人們在民用航空活動中所創(chuàng)造的物態(tài)文化、行為文化、制度文化、觀念文化的總和。狹義的民航安全文化側重于文化的精神層面，它是指人們在民用航空安全實踐中逐漸形成、積淀并普遍認同的思想觀念、行為準則和價值趨向的總和[8]。由此可見，無論是“硬保障”、“軟保障”還是“人的效能”，都是文化的具體表現。沒有人可以脫離文化去思考或行動。如同生活在空氣中一樣，我們還生活在文化中。民航安全管理中的本質安全化建設需要培育積極的安全文化，潛移默化地熏陶員工“我要安全”的態(tài)度。

3 結語

狹義的本質安全并非隨時隨處都能得以實現。關于本質安全的理論和實證、概念和內涵都有待繼續(xù)發(fā)展，相對于“現象安全”或“安全表象”而言，其明確要求從系統(tǒng)的整體出發(fā)，充分考慮系統(tǒng)要素的協同交互，追求系統(tǒng)的更優(yōu)解，無論系統(tǒng)處于正常運行狀況或偏離正常狀態(tài)，均能保持安全運行。本質更安全建設主張通過源頭管理、“硬保障”措施消除或控制系統(tǒng)風險，創(chuàng)造安全的生產條件。在加強系統(tǒng)諸要素可靠性建設的同時，本質安全論倡導優(yōu)先選擇高級別保障手段、加強系統(tǒng)要素之間的相互協同，構建縱深防御體系，從而避免各要素缺陷在同一時空表現，擊穿防御體系的所有層面。

[1]吳宗之，任彥斌，牛和平，等.基于本質安全理論的安全管理體系研究[J].中國安全科學學報，2007，17（7）：54-58.

[2]高 陽.“4.28”膠濟鐵路事故深度調查[J].中國安全生產，2008（5）：38-40.

[3]羅 云，程五一.現代安全管理[M].北京：化學工業(yè)出版社，2004：13.

[4]ICAO.Safety Management Manual（Doc9859）[G].2nd ed.New York：ICAO，2009.

[5]羅 云.安全經濟學[M].北京：化學工業(yè)出版社，2004：42-43.

[6]劉漢輝.民用航空安全之道[M].北京：中國民航出版社，2008：75.

[7]蔣殿春.高級微觀經濟學[M].北京：北京大學出版社，2006：2-5.

[8]徐德蜀，邱 成.安全文化通論[M].北京：化學工業(yè)出版社，2004：58-60.