□羅建原 程 琦 羅 帆

[1.武漢理工大學(xué) 武漢 430070；2.天安財(cái)產(chǎn)保險(xiǎn)股份有限公司 上海 200000]

在現(xiàn)代社會(huì)技術(shù)系統(tǒng)中，事故不再是單個(gè)組件意外故障或人為錯(cuò)誤的結(jié)果，故傳統(tǒng)事故建模方法不足以分析新環(huán)境下的意外事件。新技術(shù)環(huán)境讓事故致因發(fā)生根本變化，并推動(dòng)了事故模型及其建模方法的演進(jìn)[1～2]。當(dāng)今，高新技術(shù)快速發(fā)展并廣泛應(yīng)用于工業(yè)、商業(yè)和國防等各個(gè)領(lǐng)域，使得事故環(huán)境發(fā)生巨大變化，主要包括：（1）科技創(chuàng)新加速：科技發(fā)展速度超過了其在工程領(lǐng)域的應(yīng)用速度。（2）改變事故性質(zhì)：數(shù)字技術(shù)靜悄悄地再造了工藝流程和控制系統(tǒng)等工程領(lǐng)域的各個(gè)方面，而相關(guān)的安全工程技術(shù)并沒有與之保持同步。數(shù)字系統(tǒng)引入了事故的新“失敗模式”。（3）復(fù)雜性增加：復(fù)雜性涵蓋許多方面，特別是在互動(dòng)復(fù)雜系統(tǒng)中，大部分復(fù)雜性日益增強(qiáng)。（4）耦合性增強(qiáng)：緊耦合將系統(tǒng)某部分的中斷或紊亂交互傳送到遠(yuǎn)方，并產(chǎn)生波及效應(yīng)。上述幾種因素往往交織在一起，共同影響著社會(huì)技術(shù)系統(tǒng)。

總之，日益復(fù)雜的社會(huì)技術(shù)系統(tǒng)日益挑戰(zhàn)現(xiàn)有事故分析方法，也為新方法的誕生提供了機(jī)遇。本文主要從系統(tǒng)角度梳理事故建模方法，并指出其發(fā)展趨勢(shì)。

一、復(fù)雜社會(huì)技術(shù)系統(tǒng)

社會(huì)技術(shù)理論認(rèn)為，人主體和社會(huì)機(jī)構(gòu)是技術(shù)系統(tǒng)的組成部分，實(shí)現(xiàn)組織目標(biāo)不僅需要通過技術(shù)體系的優(yōu)化，也通過技術(shù)和社會(huì)方面的聯(lián)合優(yōu)化[3]。因此，現(xiàn)代復(fù)雜系統(tǒng)的研究需要理解系統(tǒng)各方面，如技術(shù)、人力、社會(huì)和組織之間的交互和關(guān)系。

復(fù)雜系統(tǒng)是由許多以線性和復(fù)雜方式彼此交互的組件構(gòu)成。線性相互作用一般是那些處于生產(chǎn)或維修的序列的簡(jiǎn)單活動(dòng)，或能看到的活動(dòng)；而復(fù)雜非線性的相互作用產(chǎn)生于不熟悉的序列、無計(jì)劃的和意想不到的序列，或是不能立刻理解的序列。兩個(gè)或多個(gè)離散的故障能夠以設(shè)計(jì)人員無法預(yù)測(cè)的方式進(jìn)行交互，從而讓操作人員無法理解或控制，除非無窮盡地建模或測(cè)試。

近年來，“系統(tǒng)系”（System of systems,SOS）成為日益流行術(shù)語，用于描述由各種異構(gòu)、互操作的協(xié)作系統(tǒng)構(gòu)成的大規(guī)模系統(tǒng)[4]。系統(tǒng)系由多個(gè)甚至上百或上千本身獨(dú)立的組件系統(tǒng)構(gòu)成。每個(gè)組件系統(tǒng)有不同治理結(jié)構(gòu)，不同的技術(shù)，不同的目標(biāo)；優(yōu)化方式也各有不同，但是他們所執(zhí)行的任務(wù)相互重疊。毫無疑問，系統(tǒng)系的運(yùn)行存在多種不確定性、潛在風(fēng)險(xiǎn)和故障。

二、系統(tǒng)性建模方法

（一）系統(tǒng)理論方法

事故建模的新方法應(yīng)從整體上考慮系統(tǒng)性能。系統(tǒng)性模型是指，當(dāng)幾個(gè)偶然因素（如人力，技術(shù)和環(huán)境）巧合地存在于特定的時(shí)間和空間時(shí)，意外發(fā)生了[5]。系統(tǒng)性模型將事故視為由系統(tǒng)組件之間復(fù)雜相互作用所導(dǎo)致的突發(fā)現(xiàn)象，可能導(dǎo)致系統(tǒng)性能下降或意外事故。

系統(tǒng)性模型根植于系統(tǒng)理論。在系統(tǒng)理論的建模方法中，系統(tǒng)由通過信息和控制反饋回路保持平衡的交互組件構(gòu)成。系統(tǒng)不是靜態(tài)設(shè)計(jì)，而是不斷地自適應(yīng)以實(shí)現(xiàn)其目標(biāo)、應(yīng)對(duì)本身和環(huán)境變化的動(dòng)態(tài)過程。意外被視為是有缺陷過程的結(jié)果，涉及到人、社會(huì)和組織結(jié)構(gòu)、工程物理活動(dòng)和軟件系統(tǒng)等諸多組件之間的交互[6]。

（二）認(rèn)知系統(tǒng)工程方法

科技改變了人的工作性質(zhì)，從以手工操作為主任務(wù)轉(zhuǎn)向以知識(shí)密集及認(rèn)知為主任務(wù)，并影響著分析失誤模型和聯(lián)合人-機(jī)系統(tǒng)事故建模的方法發(fā)展。

認(rèn)知系統(tǒng)工程作為一個(gè)框架，用于工作環(huán)境下構(gòu)建人-機(jī)系統(tǒng)的行為模型。傳統(tǒng)的觀點(diǎn)認(rèn)為，“人因差錯(cuò)”代表事后分析的合理化[7]，是基于逆向因果關(guān)系原則：“如果有影響，那么就必須有一個(gè)原因”。而認(rèn)知系統(tǒng)工程認(rèn)為，如果我們不理解事情正常運(yùn)行的原理，那么無法理解事情出錯(cuò)的原因[8]。Hollnagel和Woods為聯(lián)合認(rèn)知系統(tǒng)引入一個(gè)新范例，描述人類和技術(shù)作為一個(gè)聯(lián)合系統(tǒng)如何發(fā)揮功能，而不是人與機(jī)器如何交互。他們提倡，安全工作始于理解人類和聯(lián)合認(rèn)知系統(tǒng)性能的正常變化，而不是關(guān)于特定的、高度推理性的“錯(cuò)誤機(jī)制”。

用于安全和分析的兩個(gè)系統(tǒng)性事故模型都是基于認(rèn)知系統(tǒng)工程原則：認(rèn)知可靠性、誤差分析方法（CREAM）和功能性共振事故模型（FRAM）。

CREAM 是基于對(duì)人行為認(rèn)知的建模，以評(píng)估人為錯(cuò)誤對(duì)系統(tǒng)安全所造成的后果。CREAM 有兩個(gè)版本：DREAM（Driver Reliability and Error Analysis Method）用于交通事故分析，BREAM 用于海上事故。

FRAM是定性分析模型，描述系統(tǒng)組件的功能如何產(chǎn)生共振、失去控制和導(dǎo)致事故危險(xiǎn)[5]。FRAM的前提是，性能變化、內(nèi)部變化和外部的變化都是正常的；且從這個(gè)意義上講，在復(fù)雜社會(huì)技術(shù)系統(tǒng)中，如航空系統(tǒng)，性能是永遠(yuǎn)不穩(wěn)定的。

（三）社會(huì)技術(shù)系統(tǒng)分析框架

社會(huì)技術(shù)系統(tǒng)運(yùn)行在高度可變和動(dòng)態(tài)環(huán)境下，如市場(chǎng)競(jìng)爭(zhēng)、經(jīng)濟(jì)和政治壓力、立法和社會(huì)安全意識(shí)，以及快速發(fā)展的復(fù)雜性科學(xué)技術(shù)。他們促進(jìn)高風(fēng)險(xiǎn)社會(huì)技術(shù)系統(tǒng)的形成與發(fā)展。Rasmussen假設(shè)，這些因素改變現(xiàn)代社會(huì)的動(dòng)態(tài)性，并持續(xù)影響運(yùn)行在復(fù)雜系統(tǒng)中的操作準(zhǔn)則和人的行為。確定性因果模型（如事件順序鏈）無法勝任對(duì)高度適應(yīng)性社會(huì)技術(shù)系統(tǒng)中故障和事故的研究。Rasmussen采用基于控制理論的系統(tǒng)導(dǎo)向分析，提出了構(gòu)建組織、管理和運(yùn)作結(jié)構(gòu)的框架，創(chuàng)建了意外事件的先決條件。Rasmussen的社會(huì)風(fēng)險(xiǎn)管理框架包括結(jié)構(gòu)和動(dòng)力學(xué)兩部分[9]。

1．結(jié)構(gòu)層次

Rasmussen將風(fēng)險(xiǎn)管理視為社會(huì)技術(shù)系統(tǒng)中的控制問題，其中人員傷亡、環(huán)境污染和金融災(zāi)難起因于物理過程失控。在環(huán)境壓力和約束背景下，安全取決于工作流程的控制。

圖1 社會(huì)技術(shù)系統(tǒng)的層級(jí)模型

用于風(fēng)險(xiǎn)管理的社會(huì)技術(shù)系統(tǒng)包括幾個(gè)層級(jí)，如圖1所示。頂層L1描述通過立法控制政府在社會(huì)安全習(xí)慣的活動(dòng)；第二層L2描述監(jiān)控者、行業(yè)協(xié)會(huì)和聯(lián)合會(huì)（如醫(yī)療和工程委員會(huì)）的活動(dòng)，其中聯(lián)合會(huì)負(fù)責(zé)促進(jìn)各部門的執(zhí)法；L3描述了公司活動(dòng)；L4描述公司的領(lǐng)導(dǎo)、管理和控制工作人員的管理活動(dòng)；L5描述各個(gè)員工直接地與技術(shù)或工藝進(jìn)行互動(dòng)的控制活動(dòng)；底層L6描述工程學(xué)科的應(yīng)用，包括應(yīng)用于有潛在危險(xiǎn)的設(shè)備和過程控制操作程序的設(shè)計(jì)。

傳統(tǒng)上，每個(gè)層級(jí)由特定的學(xué)科分別地進(jìn)行研究。例如，頂層風(fēng)險(xiǎn)管理研究不涉及較低層級(jí)上的細(xì)節(jié)內(nèi)容。這個(gè)框架提出曾被所有水平研究工作忽視的關(guān)鍵因素，即縱向穿越水平層級(jí)的“垂直”聯(lián)合。上級(jí)所做出的組織和管理決策應(yīng)傳達(dá)給下級(jí)層次，而低層級(jí)的進(jìn)程信息應(yīng)傳送給上級(jí)。這種信息垂直流動(dòng)形成了閉環(huán)反饋系統(tǒng)，它在整體社會(huì)技術(shù)系統(tǒng)的安全中發(fā)揮重要作用。在各個(gè)層面上，決策及決策者的行動(dòng)也可導(dǎo)致事故，而不是僅限于控制層面上工人所導(dǎo)致事故。

如圖1右側(cè)所示，復(fù)雜社會(huì)技術(shù)系統(tǒng)的各層日益受到外部破壞性力量的影響。這種外部力量快速變化和不可預(yù)測(cè)。當(dāng)不同層級(jí)上的系統(tǒng)正經(jīng)受不同的壓力及每個(gè)系統(tǒng)接收不同時(shí)間上的操控時(shí)，通過強(qiáng)調(diào)施加于各個(gè)層面上不斷變化約束的協(xié)調(diào)一致，提高每個(gè)層面的安全性，這才是管理意外事件或不確定性的重點(diǎn)。

2．系統(tǒng)動(dòng)力

在復(fù)雜動(dòng)態(tài)環(huán)境中，特別是在緊急、高風(fēng)險(xiǎn)和非預(yù)期情況下，無法建立適合每種條件下的程序[9]。在核電站運(yùn)行中，任務(wù)和程序都有嚴(yán)格規(guī)定，違反指令的應(yīng)給予監(jiān)管[10]。然而，Vicente認(rèn)為，考慮到實(shí)際工作量和時(shí)間的限制，運(yùn)營商違反正式程序的行為似乎相當(dāng)理性（理智）。經(jīng)營者的行為依賴于情景關(guān)系，并形成于動(dòng)態(tài)工作環(huán)境下。

決策和人類活動(dòng)應(yīng)限制在由行政、功能和安全約束所定義的工作邊界內(nèi)。Rasmussen指出，在分析工作區(qū)域安全時(shí)，重要的是識(shí)別安全操作界限和導(dǎo)致社會(huì)技術(shù)系統(tǒng)朝著邊界遷移或跨越邊界的動(dòng)態(tài)力量[9]，如圖2所示。動(dòng)態(tài)力量能影響復(fù)雜社會(huì)技術(shù)系統(tǒng)，讓其隨著時(shí)間變化改變其行為。安全行為空間是指主體能隨意操作的區(qū)域，是由三個(gè)邊界線合圍而成：個(gè)人不可接受工作量，財(cái)政和經(jīng)濟(jì)的制約，以及安全規(guī)章和程序。財(cái)政壓力產(chǎn)生成本梯度，促進(jìn)個(gè)人行為采取更經(jīng)濟(jì)有效的工作方法；而工作量壓力導(dǎo)致努力梯度，激勵(lì)個(gè)人改變自己工作習(xí)慣，以減少認(rèn)知或體力的勞動(dòng)。這些梯度誘導(dǎo)人們改變行為，類似于氣體分子的“布朗運(yùn)動(dòng)”。

圖2 安全操作邊界

在經(jīng)過一段時(shí)間后，這種適應(yīng)性行為使人們跨越安全工作法規(guī)的邊界和朝著功能上可以接受行為的邊界進(jìn)行系統(tǒng)遷移。如果失去控制邊界權(quán)，這可能會(huì)導(dǎo)致意外。Rasmussen聲稱，這些適應(yīng)環(huán)境壓力的不協(xié)調(diào)企圖發(fā)展緩慢而穩(wěn)步地“為事故做準(zhǔn)備”。切爾諾貝利核電站事故表明，幾個(gè)事故不是由巧合的獨(dú)立故障和人為失誤引起的，而是由于組織在侵略性競(jìng)爭(zhēng)環(huán)境中承受著成本效益壓力，迫使組織行為向著事故進(jìn)行系統(tǒng)性遷移[9]。

因此，為提高社會(huì)技術(shù)系統(tǒng)安全性，必須定義安全操作界限，使得參與者能看到邊界，從而有機(jī)會(huì)控制行為的波動(dòng)范圍。

（四）STAMP方法

1．事故的系統(tǒng)理論模型

事故的系統(tǒng)理論模型（System-theoretic model of accidents，STAMP）假設(shè)，系統(tǒng)理論是分析事故的有效途徑，特別是系統(tǒng)性事故[6]。當(dāng)控制系統(tǒng)不能充分處理外部干擾、組件故障或系統(tǒng)組件之間的紊亂相互作用時(shí)，事故就發(fā)生了。安全被認(rèn)為是一個(gè)控制問題，并由嵌入在自適應(yīng)社會(huì)技術(shù)系統(tǒng)的控制結(jié)構(gòu)來實(shí)施管理或約束。如果要理解為何會(huì)發(fā)生事故，就要確定為什么控制結(jié)構(gòu)是無效的。為防止未來發(fā)生意外，就需要設(shè)計(jì)一個(gè)執(zhí)行必要約束的控制結(jié)構(gòu)。系統(tǒng)被視為相互關(guān)聯(lián)的組件，是由信息和控制的反饋回路來保證系統(tǒng)處在動(dòng)態(tài)的平衡狀態(tài)。于是，STAMP使用反饋控制系統(tǒng)作為特定因果模型：（1）在有目的系統(tǒng)中，各子系統(tǒng)維持著防止事故發(fā)生的約束；（2）如果發(fā)生了意外，這些約束就已無效了；（3）STAMP通過調(diào)查所涉及的系統(tǒng)，特別是人力組織子系統(tǒng)，找出缺失或不適當(dāng)功能（那些未能維持約束的功能）；（4）通過分析反饋和控制操作，STAMP保持工作狀態(tài)。

STAMP所關(guān)注的最基本對(duì)象不是事件，而是強(qiáng)制制約。因此，風(fēng)險(xiǎn)和事故被視為是由違反系統(tǒng)安全約束的組件之間的相互作用所致的結(jié)果。強(qiáng)制執(zhí)行這些約束的控制流程必須將系統(tǒng)行為變化限制在安全范圍內(nèi)和適應(yīng)所施加約束的調(diào)整?？刂撇涣赡茉醋匀鄙侔踩s束，不適當(dāng)?shù)耐ㄓ嵓s束，或者源自強(qiáng)制約束處在較低水平，或無法達(dá)到約束要求。

三、形式化方法和事故分析

（一）事故分析的邏輯形式體系

許多事故調(diào)查報(bào)告的結(jié)構(gòu)、內(nèi)容、質(zhì)量和有效性一直受到質(zhì)疑。他們不能準(zhǔn)確地反映事件，或無法確定因果關(guān)系的關(guān)鍵因素，有時(shí)結(jié)論含有不正確事故原因。報(bào)告中的遺漏、含糊或不準(zhǔn)確信息可能導(dǎo)致不安全系統(tǒng)設(shè)計(jì)和誤導(dǎo)立法[11]。因此，迫切需要提高傳統(tǒng)事故調(diào)查報(bào)告中信息準(zhǔn)確性。

通過強(qiáng)調(diào)定義和精確描述的重要性，并提供描述和推理事故的某些符號(hào)，形式化方法可以改善事故分析效果。形式化方法是以數(shù)學(xué)為基礎(chǔ)的技術(shù)，提供了嚴(yán)格和系統(tǒng)的框架，以規(guī)范、設(shè)計(jì)和驗(yàn)證計(jì)算機(jī)系統(tǒng)（包括軟件和硬件）。形式化方法本質(zhì)上是由三個(gè)主要部分所構(gòu)成的正式規(guī)范語言：確認(rèn)句子語法結(jié)構(gòu)良好的規(guī)則（語法）；在所考慮范疇內(nèi)，以精確、有意義的方式解釋句子的規(guī)則（語義）；并從規(guī)范推斷出有用信息的規(guī)則（證明）[12]。形式化分析方法提供了這樣一種手段：證明規(guī)范可實(shí)現(xiàn)，證明系統(tǒng)已正確執(zhí)行，證明系統(tǒng)的性能，而不必通過系統(tǒng)運(yùn)行來確定其行為。在工業(yè)和研究領(lǐng)域中，使用形式化方法需要大量綜合經(jīng)驗(yàn)[13]。具體應(yīng)用形式化方法的實(shí)例，可以參見有關(guān)文獻(xiàn)[14～16]。

形式化方法已成功地應(yīng)用于設(shè)計(jì)和驗(yàn)證關(guān)鍵安全系統(tǒng)。但是，為進(jìn)一步洞察事件和事故報(bào)告中的諸多方面，該方法仍需要擴(kuò)展。單一的建模語言不太可能模擬事故中的所有因素及各個(gè)方面。同樣，擴(kuò)大形式化方法在模擬完整的社會(huì)技術(shù)系統(tǒng)時(shí)也有局限性，這需要更多的數(shù)學(xué)專家參與解決，但不是任何因素或過程都可以形式化的。

1.內(nèi)陸開放高地建設(shè)為重慶市現(xiàn)代農(nóng)業(yè)探索國際化路徑提供條件。在“一帶一路”倡議下，長江黃金水道、中歐班列、“南向通道”、江北國際機(jī)場(chǎng)等國際大通道建設(shè)初見成效，兩江新區(qū)、中新互聯(lián)互通項(xiàng)目和自貿(mào)試驗(yàn)區(qū)等國家級(jí)開放平臺(tái)初步成型，為現(xiàn)代農(nóng)業(yè)探索國際化新路徑提供必要條件。

（二）因果關(guān)系概率模型

到目前為止，所討論的事故建模方法是基于因果關(guān)系的確定性模型。這些模型聚焦于確定性因果關(guān)系序列的識(shí)別，但是其結(jié)果是難以驗(yàn)證的[17]。例如，它不能保證一組效果將會(huì)產(chǎn)生，盡管在某個(gè)特定時(shí)刻存在所謂的充分必要條件。而因果關(guān)系概率模型則重點(diǎn)關(guān)注在給定情景中讓效果更可能出現(xiàn)的條件，以支持事故分析。概率因果關(guān)系是指一組哲學(xué)理論，其目的是利用概率理論工具來表征因果效應(yīng)之間的關(guān)系[17]。理論背后的核心思想是，原因提高了其影響的概率。若要了解因果關(guān)系概率模型的應(yīng)用，可閱讀相關(guān)文獻(xiàn)[18～20]。

四、社會(huì)學(xué)和組織分析方法

重大事故的調(diào)查都強(qiáng)調(diào)，在尋求復(fù)雜系統(tǒng)的事故原因時(shí)，必須考慮技術(shù)和組織系統(tǒng)之間的交互與依存關(guān)系。Shrivastava認(rèn)為，工業(yè)事故能確認(rèn)其原因，即人力、組織和技術(shù)[21]。這些事故后果呼吁設(shè)計(jì)新的政策，以防止未來發(fā)生此類危機(jī)。

一些關(guān)于航空和海運(yùn)意外事故的研究表明，人因和組織是事故和事故征候的主要致因因素。Johnson和Holloway分析了北美在1996～2006年的主要航空和海上事故并得出結(jié)論，組織因素的比例超過了人為錯(cuò)誤的比例[22]。例如，美國航空事故中的因果關(guān)系表明：48%的組織因素，37%的人為原因，12%的設(shè)備原因，3%其他原因；海上事故的分析歸類顯示：53%的組織因素，24～29%的人為差錯(cuò)，10～19%為設(shè)備故障，2～4%為其他原因。

從文化和組織的角度，Hopkins研究了英國皇家委員會(huì)關(guān)于朗福德埃索氣廠爆炸的事故報(bào)告。認(rèn)為，事故主要成因都與一系列的組織失敗有關(guān)：警示標(biāo)志問題、通信問題、不重視重大危險(xiǎn)源、敷衍了事的審核，以及沒能從以前故障中汲取教訓(xùn)[23]。

Sagan從關(guān)于核武器組織研究中發(fā)現(xiàn)，政治影響組織，許多利益沖突起因于指揮和控制、以及軍事和文職領(lǐng)導(dǎo)人之間矛盾。權(quán)力和政治必須受到重視，不僅在尋找組織事故的原因過程中，而且在組織設(shè)計(jì)和變革的艱難過程中，以提高組織的安全性和可靠性[24]。

2011年3月11日，日本福島第一核電站爆炸。福島核事故獨(dú)立調(diào)查委員會(huì)經(jīng)過6個(gè)月的調(diào)查，向參眾兩院提交了事故正式調(diào)查報(bào)告，認(rèn)為“事故并非自然災(zāi)害，明顯是人禍”。報(bào)告認(rèn)為，福島第一核電站事故是由于政府、監(jiān)管機(jī)構(gòu)和東京電力公司的一些串通行為以及缺乏明確指導(dǎo)所造成的。

五、討論和結(jié)論

系統(tǒng)建模方法將事故視為一種突發(fā)現(xiàn)象，起因于諸多系統(tǒng)組件之間的復(fù)雜非線性相互作用。這些互動(dòng)和事件很難理解，僅通過安全工程的標(biāo)準(zhǔn)技術(shù)來分析是不夠的，它們不能充分洞察無故障運(yùn)行的諸多組件之間的不正常交互。

Rasmussen的框架應(yīng)用于埃索氣廠爆炸等事故的分析。這些案例研究表明，Rasmussen的框架在解釋事故原因后驗(yàn)方面的有效性。此外，要進(jìn)一步地研究這個(gè)框架并擴(kuò)展至事故的預(yù)測(cè)，并探討將其應(yīng)用于關(guān)鍵社會(huì)技術(shù)系統(tǒng)中的風(fēng)險(xiǎn)和安全性分析。

同樣，STAMP應(yīng)用到諸多事后事故分析的案例研究[26]?，F(xiàn)在，應(yīng)從方法上發(fā)展STAMP模型，包括開發(fā)適應(yīng)于有缺陷的分類控制模型和解釋指南。STAMP模型在系統(tǒng)設(shè)計(jì)早期階段的主動(dòng)事故調(diào)查方面進(jìn)行了拓展。Leveson和Dulac討論使用STAMP模型進(jìn)行危害分析，安全（風(fēng)險(xiǎn)）評(píng)估，并作為綜合風(fēng)險(xiǎn)管理體系的基礎(chǔ)[27]。

組織社會(huì)學(xué)家在理解復(fù)雜社會(huì)技術(shù)系統(tǒng)中的事故方面做出了顯著貢獻(xiàn)。他們強(qiáng)調(diào)事故的組織方面，而往往忽視了技術(shù)問題。針對(duì)社會(huì)技術(shù)系統(tǒng)，系統(tǒng)的理論方法提供了安全分析框架，適用于包括技術(shù)、人力、社會(huì)和組織因素及系統(tǒng)組件之間交互的建模。社會(huì)技術(shù)系統(tǒng)必須視為一個(gè)整體，強(qiáng)調(diào)并行和系統(tǒng)地考慮社會(huì)和技術(shù)層面，包括社會(huì)結(jié)構(gòu)和文化、社會(huì)互動(dòng)過程[28]。

在新的系統(tǒng)性事故模型進(jìn)展方面，基于認(rèn)知系統(tǒng)工程的FRAM模型應(yīng)進(jìn)行深入的研究，并應(yīng)用于復(fù)雜的社會(huì)技術(shù)系統(tǒng)的建模，以理解人類和系統(tǒng)性能的可變性，以及變化如何與事故的因果關(guān)系相關(guān)。

雖然形式化方法成功地應(yīng)用于關(guān)鍵安全系統(tǒng)的設(shè)計(jì)和驗(yàn)證，但是他們需要擴(kuò)展以洞察許多因素，包括事故中人的行為和組織因素。所開發(fā)的語言和語義仍需進(jìn)一步地研究，以適應(yīng)針對(duì)現(xiàn)代復(fù)雜系統(tǒng)事故各個(gè)方面的建模，如組織、文化、社會(huì)屬性和人的表現(xiàn)。

未來的研究需要綜合地分析新系統(tǒng)模型在廣泛社會(huì)技術(shù)系統(tǒng)類型中的適用性，特別是在安全關(guān)鍵領(lǐng)域，如交通、核電、海洋、國防和航空航天。進(jìn)一步的研究應(yīng)關(guān)注新的系統(tǒng)性事故模型在各種復(fù)雜社會(huì)技術(shù)領(lǐng)域的比較和對(duì)比。

復(fù)雜系統(tǒng)具有動(dòng)態(tài)特性，為應(yīng)對(duì)環(huán)境波動(dòng)而不斷調(diào)整自己的行為。系統(tǒng)的這種適應(yīng)性無法在系統(tǒng)設(shè)計(jì)期間編入預(yù)定程序[29]。系統(tǒng)可能會(huì)在安全法規(guī)的邊界處變得不穩(wěn)定或失去控制。因此，應(yīng)變能力是組織保持控制的能力，以阻止區(qū)域內(nèi)發(fā)生事故。韌性工程是阻止這種情況發(fā)生的有效方法、原則和工具。系統(tǒng)性事故模型支持對(duì)韌性工程的分析。STAMP已應(yīng)用到面臨高風(fēng)險(xiǎn)和高性能要求的組織韌性分析[29]。

現(xiàn)代社會(huì)技術(shù)系統(tǒng)的復(fù)雜性，對(duì)新的安全分析及模型提出了跨學(xué)科研究挑戰(zhàn)，因此，迫切需要研究人員走出自己的傳統(tǒng)邊界，在更廣泛的系統(tǒng)觀點(diǎn)下洞察現(xiàn)代社會(huì)技術(shù)系統(tǒng)的復(fù)雜性，以便從安全的多個(gè)維度進(jìn)行理解和構(gòu)建系統(tǒng)事故模型。

基于上述分析，本文提出綜合視角下的事故分析框架，如圖3所示。

圖3 基于復(fù)雜社會(huì)技術(shù)系統(tǒng)的事故分析框架

（1）在具體分析時(shí)，可以選擇元件、組件、系統(tǒng)或系統(tǒng)系作為分析對(duì)象，并界定對(duì)象邊界；（2）從選擇維度上，選擇物理功能維度，或選擇社會(huì)組織維度，或政治等其他維度，或多種維度的組合。一般地，關(guān)于簡(jiǎn)單事故的分析，選擇基于物理功能維度的傳統(tǒng)事故模型，還可進(jìn)一步地關(guān)聯(lián)多個(gè)事故模型進(jìn)行分析。關(guān)于復(fù)雜事故的分析，可基于社會(huì)組織維度選擇系統(tǒng)事故模型。（3）從組件之間耦合關(guān)系上，有松散和緊密耦合之分。（4）從事故因果關(guān)系上，有線性簡(jiǎn)單與非線性復(fù)雜之分。（5）從模型拓展及趨勢(shì)來看，傳統(tǒng)事故模型需要拓展或提升，以適應(yīng)在復(fù)雜社會(huì)技術(shù)系統(tǒng)中的事故分析的需要。同樣，系統(tǒng)事故模型要避免忽視技術(shù)因素的不足，通過深化分析內(nèi)容，兼顧更多的技術(shù)分析因素。

隨著復(fù)雜社會(huì)技術(shù)系統(tǒng)的發(fā)展，系統(tǒng)系的概念或模式為分析不確定性事件提供了更廣闊視角。系統(tǒng)系旨在通過控制約束或組件之間的協(xié)調(diào)來實(shí)現(xiàn)未來特定目標(biāo)。系統(tǒng)系事故模型關(guān)注未來情景下正常運(yùn)行組件之間交互所導(dǎo)致的不確定性分析，突出以盡可能預(yù)測(cè)未知的方式分析不確定性，也是事故分析的一種新挑戰(zhàn)。

[1]郭文晶,劉祖德,蔣暢和.事故致因理論和研究方法分析研究[J].現(xiàn)代商貿(mào)工業(yè),2012,23:207-208.

[2]陳寶智,吳敏.事故致因理論與安全理念[J].中國安全生產(chǎn)科學(xué)技術(shù),2008,01:42-46.

[3]TRIST E L,BAMFORTH K W.Some Social and Psychological Consequences of the Long wall Method of Coal-Getting[J].Human Relations,1951,4:3-39.

[4]羅建原,羅帆.西方系統(tǒng)系理論初探[J].當(dāng)代經(jīng)濟(jì)管理,2014,04:6-9.

[5]HOLLNAGEL E.Barriers and Accident Prevention[M].Hampshire:Ashgate,2004.

[6]LEVESON N.A New Accident Model for Engineering Safer Systems[J].Safety Science,2004,42(4):237-270.

[7]WOODS D D,JOHANNESEN L J,COOK R I,SARTER N B.Behind Human Error:Cognitive Systems,Computers and Hindsight[C].SOAR Report 94-01,Wright-Patterson Air Force Base,Ohio,CSERIAC,1994.

[8]HOLLNAGEL E,WOODS D D.Joint Cognitive Systems:Foundations of Cognitive Systems Engineering[M].New York:Taylor &Francis,2005.

[9]RASMUSSEN J.Risk Management in a Dynamic Society:A Modeling Problem Safety [J].Science,1997,27(2/3):183-213.

[10]VICENTE K J,MUMAW R J,ROTH E M.Operator monitoring in a complex dynamic work environment:A qualitative cognitive model based on field observations [J].Theoretical Issues in Ergonomics Science,2004,5(5):359-384.

[11]LEVESON N G.Software:System Safety and Computers[M].Reading,MA:Addison-Wesley,1995.

[12]LAMSWEERDE A V.Formal Specification:A Roadmap.Proceedings of the Conference on The Future of Software Engineering [M].Limerick,Ireland:ACM Press,2000:147-159.

[13]HINCHEY M G,BOWEN,J P.Applications of Formal Methods[C].International Series in Computer Science,Herts,UK:Prentice Hall,1995.

[14]吳建安,吳雪蓮,孫丙宇.自然災(zāi)害應(yīng)急預(yù)案形式化表示技術(shù)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2012,09:133-136+26.

[15]崔琳琳,柴躍廷.企業(yè)群體協(xié)同機(jī)制的形式化建模及存在性研究[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2008,04:486-489.

[16]閆仕宇,胡義香,蔣輝,申君.形式化方法在核事故評(píng)價(jià)系統(tǒng)中的應(yīng)用[J].南華大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,03:73-78.

[17]JOHNSON C W.Failure in Safety-Critical Systems:A Handbook of Accident and Incident Reporting.Glasgow [M].Scotland:University of Glasgow Press,2003.

[18]陸寧云,何克磊,姜斌,呂建華.一種基于貝葉斯網(wǎng)絡(luò)的故障預(yù)測(cè)方法[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版),2012,S1:87-91.

[19]趙金寶,鄧衛(wèi),王建.基于貝葉斯網(wǎng)絡(luò)的城市道路交通事故分析[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版),2011,06:1300-1306.

[20]李東寧,尚云龍,鄭中義.淺議貝葉斯網(wǎng)絡(luò)應(yīng)用于海上交通事故致因分析的可行性[J].交通建設(shè)與管理,2009,05:140-144.

[21]SHRIVASTAVA P B.Anatomy of a Crisis [M].Second Edition,London:Paul Chapman,1992.

[22]JOHNSON C W,HOLLOWAY C M.A Longitudinal Analysis of the Causal Factors in Major Maritime Accidents in the USA and Canada (1996-2006)[C].Bristol,UK:Proceedings of the 15th Safety-Critical Systems Symposium,2007.

[23]HOPKINS A Lessons from Langford:The Esso Gas Plant Explosion[C].Sydney:CCH,2000.

[24]SAGAN S.Limits of Safety.Organizations,Accidents,and Nuclear Weapons[M].Princeton,NJ:Princeton University Press,1993.

[25]伍浩松,王海丹.福島核事故獨(dú)立調(diào)查委員會(huì)公布調(diào)查報(bào)告 福島核事故被認(rèn)定“明顯是人禍”[J].國防科技工業(yè),2012,10:77.

[26]JOHNSON C,Holloway C M.The ESA/NASA SOHO Mission Interruption:Using the STAMP Accident Analysis Technique for a Software Related‘Mishap’[J].Software:Practice and Experience,2003b,33:1177-1198.

[27]LEVESON N G,DULAC N.Safety and Risk Driven Design in Complex Systems-of-Systems[C].Orlando:1st NASA/AIAA Space Exploration Conference,2005.

[28]MARAIS K,DULAC N,LEVESON N.Beyond Normal Accidents and High Reliability Organizations:The Need for an Alternative Approach to Safety in Complex Systems[C].Cambridge,MA:ESD Symposium,Massachusetts Institute of Technology,2004.

[29]HOLLNAGEL E,WOODS D D,LEVESON N.Resilience Engineering:Concepts and Precepts[M].Alders hot:Ash gate,2006.