系統安全的機遇（中）

劉卓軍中國科學院研究員

有問題，就要找尋解決問題的方法。在與自然界長期共存的過程中，人類已經習慣于使用模擬方法，既通過設計與自然現象或過程相似的模型來認識、理解和解決問題。系統安全之所以重要且有意義，不僅僅因為它引入了恰當的概念和綜合關聯的理念，更因為它造就了一種具有可實施特征的方法，這是一種結構化的方法。結構化方法研究事物或系統的各個組成部分或要素以何種方式組合成為整體，進而明確問題并解決問題。它不把事物或系統的性質和功能看作是各構成部分或要素的性質和功能的簡單“加總”，而是看作由它們構成的整體的、融合起來的性質和功能。結構化方法與系統方法有著密切聯系，系統方法的基本原則如整體性、最優化、模型化，也是結構化方法的基本原則。結構化方法是認識事物或系統的規律、性質、功能的基本方法，是模擬方法的基礎，有利于思維的符號化、形式化、公理化和算法化。結構化方法有著一步一步可遵循和可操作的重要特點。

仍然以雨天積水問題為例，淹死人是不可避免的嗎？危險要素的觸發機制因素已經呈現到了臨界狀態，這時地鐵一定要運行嗎？

人們常說，“溫故知新”和“以史為鑒”，對已經發生的事件進行回顧性分析，過去需要、現在需要、今后也需要。如果把這種做法看成是“放馬后炮”，就未免太狹隘了。分析不在于去指責，主要為的是吸取教訓，這也是詮釋“失敗是成功之母”的必然舉措。

作為一種常識，人們都知道，高層建筑在發生火災和地震時，電梯是禁止使用的。這當然主要是以生命和傷亡代價換來的“教訓”。比較容易理解，火災和地震很可能引發高溫、煙霧、電氣線路損毀、電梯箱體變形等，這些都會造成搭乘人員受到傷亡的威脅，后果可想而知。地震無情，水火無情，但管理智慧和標準規范卻能避免或減緩傷亡和損失。

大暴雨天，地鐵真就不能、不應該運行嗎？這的確是無法確切回答的問題。要看情況！完全可以理解，做出繼續運營決定的著眼點和初衷是好的：畢竟在地面公共交通幾近癱瘓的情況下，地鐵還是能夠解決一部分乘客急切需求的手段。問題是結局很悲慘。

從風險管理和應對的角度看，在千變萬化的世界里，對于任何一件不希望發生的事件，至少要分析兩個方面，一是該事件發生的可能性;二是該事件一旦發生，造成的損失程度如何。對于發生的可能性極大，并且會造成損失的;以及發生的可能性不是很肯定，可一旦發生就會造成非常巨大損失的，這樣的高風險類事件，社會必須高度重視并積極應對。就運行地鐵發生車廂灌水并致乘客溺水死亡這類事件來說，過去幾乎就沒有發生過，盡管想象中其發生的可能性極低，但它還是發生了，并且造成了重大傷亡和損失。這是一次全社會都應牢記的重大教訓，更說明加強系統安全意識的重要性和必要性。換句話，如果系統安全的理念和方法得以普及，已經發生的悲劇就可以避免。

不妨粗略地按照構成危險要素的三個成分做一番討論。對于地鐵車廂灌水造成人員傷亡的重大惡性事件來說，危險要素源是，地鐵列車運行在不能根本防范高處水源灌入的地下隧道中。設想一下，如果不是地鐵而是行駛在地面高架上的輕軌，惡劣條件可能會造成其它不希望事件的發生，但雨再大也不會導致車廂灌水以致淹死乘客的事件;危險要素的觸發機制是持續不停的大暴雨和由于地勢低洼匯集了來自它處的更多積水，以及在惡劣條件下還要列車運行的安排;危險要素所威脅到的目標是車上的人，車上的乘客。容易理解，若該事件危險要素三項內容的任何一項被消除，悲劇就不會發生。比如，空車行駛（回庫）當然不會有人傷亡，即便有危險情形，車上的司乘人員由于具有的職業能力也應當能有驚無險地躲過一劫。再比如，若列車不運行，危險要素根本就不會被觸發，就更不會有人員傷亡了，至多是一些人想要搭乘的需求得不到滿足而已。至于地鐵隧道大量灌水，就要從工程設計的合理性，建設質量的達標性，防范預案的周密性等方面進行嚴肅追查，需要糾正的必須實事求是地面對。

伴隨社會的發展，安全問題將始終是一個挑戰

事實上，地鐵交通系統在安全管理上是有相當高要求的。對隧道進水且水面達到一定高度時，列車是否應繼續運行是有規范可循的。問題是，這樣的規范是否合理，特別地現有規范是否得到了嚴格執行，這些都是必須回答和不可回避的問題。而且出了危機情況，也應有逃逸措施和方式。同樣關鍵的是，這種避險機制是否啟動了，為什么沒有發揮出作用？痛定思痛，亡羊補牢，如果十幾條鮮活的生命還換不來社會在系統安全管理上上一個臺階，那真是不可思議、不可原諒。

伴隨社會的發展，安全問題將始終是一個挑戰。由于技術的繁榮和進步，就安全特性問題來說，各種產品和人們所處在其中的系統，不是變得簡單了，而是變得更復雜了。產品的生產和系統的建造與產品和系統的使用往往是分開的，而安全事件則更多地是發生在使用階段。上述地鐵車廂灌水造成人員傷亡的事件可以解釋成是地鐵運營機構和部門在使用地鐵系統向乘客提供交通運輸服務過程中發生的悲劇，乘客是接受交通服務的弱勢一方，他們可以對地鐵系統的安全特性完全不了解，只要你運營我就可以搭乘。所以，地鐵系統的使用方，包括地鐵系統的建設方，是根本的責任方。怎么建能保證安全，如何使用能不造成傷害，是需要解決的關鍵問題，是先決條件。根據系統安全的理念，要把安全要素通過設計植入系統。系統建造的設計階段要考慮安全，系統使用流程的設計階段也要考慮安全。其中，一個切實可行和有效的方式就是制定和實施系統安全規劃方案（SSPP）。

系統的建造通常是一個復雜而綜合的過程，往往需要多方參與。發包方或總包方必須明確闡述系統安全的總體需求，做出詳細說明，包括對各參與方的人員要求，如責任、資質和業務能力;對參與過程的要求，如將要執行的任務和使用的技術等;對參與方提供產品的要求，如以什么樣的形式和進度完成所承擔的任務。各參與方則要根據自己所承擔的任務，制定出相應的規劃方案以滿足總包方提出的系統安全要求。一個非常典型的系統安全任務是能夠有效地辨識出危險要素。至少要提供基本危險要素列表，如歷史數據，相關的事故信息，以及所學習和了解到的教訓。隨著系統開發的進展，危險要素列表的內容將不斷添加，對于列表中的每一項危險要素都要做出分析和應對的處置方案。這些內容在必要時，要以適當的形式在系統如何使用的說明中呈現。

系統是“物”是“綜合體”，有功能。系統安全是結構化方法是流程，旨在通過使用各種工具，包括技術的、工程的、標準的甚至法規的，以保證系統和產品的使用以及民眾在接受各種相關聯的服務過程中不產生傷害和損毀事件，產品和系統的功能得以保持。

人與產品、系統、流程及環境高度融合，安全問題也就變得異常復雜，而系統安全的價值將越發顯現并深入人心。