+ B3 l* e" |; r% ~温州动车追尾事故之后,安全成为人们的一大话题。但很多激烈的争论中经常忽略的一点是:安全不仅仅是一个技术或者法规问题,安全是一种文化。今日中国缺乏的恰恰是这样一种文化。这个文化不是指风花雪月的事情,而是人们的观念和行为。
; w3 f. C8 }% t2 D0 }2 l7 o
. A7 `5 ]6 ^6 m5 F
动车事故后,人们首先关注的是为什么区间自动闭锁系统没有起到应有的保护作用。铁路被划分为一段一段的区间,每一区间只容许一列列车存在,在一列列车还没有离开这个区间之前,这个区间对任何别的列车是封闭的,以此保证不会追尾或者对撞。这样的自动闭锁系统只是安全技术的一种,属于连锁保护。另一种是像飞机线控一样,对飞行员的操纵动作进行“过滤”,将超过安全极限的操纵动作限制到安全极限之内。这是预防性安全保护。
7 X" e. ^+ m9 j5 A' L; |, H
% n" D0 j' n. ^/ M$ F/ m
除了自动保护系统外,冗余系统是常见的安全技术。对于关键设备,采用多套冗余,保证在任何情况下至少有一套正常工作,这是典型的多重冗余技术。另外一种冗余是在主要手段失效时采用辅助手段,比如飞机的方向舵失灵时,可以用左右两台发动机的差动推力维持一定的方向控制。在正常情况下,这些安全技术能够有效地起到保护作用,但更高的安全境界是safety by design的概念。
3 l; J" @3 m( Q' j 5 U u j+ t1 U7 b. d
Safety by design可以看作是本质安全的设计。比如说,核反应堆在事故时防止无控链式反应是非常关键的。在事故时依赖水泵提供冷却水,哪怕是多重冗余的水泵,也不是本质安全的设计,在福岛核电站事故中已经显示出严重不足。加拿大的坎杜反应堆技术采用重水作为冷却剂和减速剂。发生事故时,如果重水不流失,可以继续保证冷却;如果重水流失,链式反应自动停止,不可能发生无控链式反应的事情,这就是本质安全的设计。秦山二期使用的就是坎杜技术。美国威斯汀豪斯的新型AP1000反应堆将紧急冷却水箱设置在反应堆顶上,在失去所有电力的情况下,可以靠重力维持至少3天的冷却水要求,也在一定程度上达到本质安全的要求。当然,本质安全设计可能导致成本攀升,坎杜和AP1000的成本高于传统反应堆,但事故的代价更加巨大,看看福岛就知道了。
9 | F$ \9 I* Z" S9 R
" o9 A( l$ K5 w' P! {/ t$ d
对于更多的情况,本质安全无法实现,飞机失去动力就要坠毁,轮船漏水了就要沉船,但还是可以通过严格的设计,达到很高的安全程度,这才是safety by design的关键。工业设计需要满足用户要求,但如果到此为止,这就不是safety by design,必须考虑系统的每一部份失效对整体安全的影响,比如断电了怎么办,前方闭锁信号不能辨别怎么办。对于要求相对不高的情况,可以只考虑单一危害因素;对于可靠性要求特别高的情况,就需要考虑多重危害同时发生的情况。比如说,双发民航飞机任一发动机故障的话,可以在空中重新启动;如果启动也失败,这就是双重危害的情况了。按照双重危害的设计要求,剩下的另一台发动机可以保证飞机继续飞行一定的时间,这就是ETOPS的意思,ETOPS180就是说只靠单台发动机就可以继续飞行至少180分钟,一般足够达到紧急备降机场了。波音777是第一架一开始就达到ETOPS180要求的双发客机。最新动向是ETOPS扩展到240,这样大洋或者荒漠上的航线在很大程度上不需要受备降机场的限制,可以自由选择最近距离了。
, M j* |: M1 X/ o3 T
. P0 x0 v4 R# @' f2 X* }& z
在安全管理里有一个“瑞士奶酪”的概念。瑞士奶酪好比奶酪世界里的臭豆腐,有人喜欢,有人憎恨,但瑞士奶酪最大的特点是里面有大大小小的气泡。任何安全措施都是有漏洞的。把一片瑞士奶酪比作一层安全措施的话,气泡可以看成安全的漏洞,实心部分可以看成安全措施有效阻挡了事故的发生。一般情况下,不同的安全措施有不同的漏洞,安全措施的层次增加,只要在所有部位至少有一层是实心的,就可以挡住漏洞,避免事故发生。但要是漏洞多了,漏洞大了,就容易发生有某些部位正好漏洞对齐,事故可以长驱而过,事故就发生了。8 L5 t# M0 ^% n0 f
0 }2 V8 S4 H1 {- t9 v2 i7 A+ c
更危险的是,人的观念或者行为可以使瑞士奶酪的切片移动,在满不在乎中使漏洞增大增多,甚至在无意中使漏洞对齐,导致灾祸。所以说技术是死的,人是活的,人才是安全体系里最重要的一环,人要是缺乏安全观念,什么技术都可能失效。8月15日吉祥航空HO1112航班在卡塔尔航空QR888航班发出Mayday紧急呼叫后拒绝让道,几乎造成巨大空难,就是一个例子。
% |' E, l7 W: j' _* l ( C* U5 R2 W) {5 H0 @ _; ]6 k
技术性的安全措施有一个基本特征:它们都是互相独立的,所以安全漏洞也是互相独立的,所以漏洞对齐的概率非常低,这是多层安全措施可以提高安全的理论基础。但这里有一个大漏洞:人。人的观念和行为不仅可以扩大和增加安全漏洞,还可以摧毁技术性安全措施的互相独立性,使安全漏洞对齐。最典型的问题就是无视自己不安全操作的后果,反正还有其他人、其他系统会保证安全。人人都这么想,这就是安全漏洞人为对齐的时候了。2007年8月29日,一架美国B-52轰炸机违规挂载装有核弹头的巡航导弹升空,飞越美国,幸好没有发生更大的事故。事后调查发现,从弹药库签发到装弹区验收到飞行员起飞前检查都没有意识到挂载的不是预定的拆除核弹头的报废巡航导弹,每个人都认定别人已经检查过了,自己这里只是走过场,结果所有有关人员都付出沉重代价,美国空军参谋长莫斯利上将和空军部长韦恩也丢了官。
# W5 F$ {( S; {. x6 l1 V ) n- [; f5 k$ z0 {* D
安全的低级层次是出现意外后,如果控制损害,化险为夷。这是技术手段擅长的,但也是被动的。如果用人的健康来做比方,这是发病了,如何抢救脱险。只要有可能,正常人不会把健康的赌注押在这上面。较高的层次是寻找安全隐患,把安全问题杜绝在萌芽中。还是用健康作比方的话,这就是定期的医院检查和自我检查。但安全的最高境界是寻找途径,使安全问题不会发生,连萌芽也没有。还是用健康作比方,这就是良好的生活习惯、经常锻炼身体的作用。
" v0 M. E# O- A: [
( f: U$ g3 F9 z! [
如何寻找安全隐患,如何实现本质安全,这些都是很大的话题,在这里就不展开了,最重要的是,这都是人的因素的范畴,而不是单纯技术手段可以做到的。安全首先是一个观念。绝大多数情况下,事故都不是意外,或者说不是适当的安全措施所不能避免的。事故的发生经常起源于人们对概率的错误认识。通常情况下,事故确实是小概率事件,但重复次数多了,累计概率就大了,这就是常在河边走哪有不湿鞋的道理。安全最大的敌人就是对不安全的行为熟视无睹。仅仅因为“不大会”发生,发生的时候就可以造成很大的损害。有些事情有现实经济、技术考虑,但更多的事情更本无须大量投资或者天顶星技术。更加有害的是把安全看作别人必须遵守的东西,而自己可以例外。环顾四周,看看自己,多少次飞机着陆还在滑行中,人们就不顾机组警告,不顾行李滑落的危险,迫不及待地打开头顶行李箱,试图争取那实际上不存在的提前离机时间?多少次空中颠簸而保险带警告灯还亮着,人们就视若无睹地打开头顶行李箱取物或者径自使用机上卫生间?多少人的家里常备灭火机,有大楼火灾时的紧急疏散计划、平时操练并烂熟于心?多少大楼有常规的火灾演习,多少人对此认真?驾车中野蛮超车,驾车人打手机,行路中乱穿马路,抽烟人乱丢烟头,更是屡见不鲜,甚至被当作常态。在这样的心态下,单靠技术手段是难以保证安全的,事故只是一个时间问题。 ) w( Z$ L$ i( _% d2 n% N
西方对安全比较注重,这和西方文明程度是否更高没有关系。西方的工业安全是舆论压力和事后诉讼的结果,口头上唱高调容易,但扎扎实实的出血才是最长记性的。日常生活中,安全观念也是逐步建立起来的。60年代时,醉酒驾车也是犯法的,但一般人不以为然,警察抓住了,也就是斥责一番,扣车送人回家了事。但是80年代里,一批醉酒驾车受害者的母亲发起了一场规模很大的运动,在全社会确立了醉酒驾车有罪的观念。如今醉酒驾车被周围的人看作等同于谋杀无辜路人和其他驾车人,驾车时打手机正在等同于醉酒驾车。这种在全民在观念上仇视、鄙视不安全行为的观念才是安全的保证。所以安全是一种文化,还不只是“有关人员”的文化,是一种全社会的文化。 0 H* G2 T. X t _1 _ A
% t% m, J2 T- w: M; A
|