安全降变原理及C-S-R事故致因新模型

吴 超教授 李思贤

（1.中南大学 资源与安全工程学院，湖南 长沙 410083；2.中南大学 安全理论创新与促进研究中心，湖南 长沙 410083；3.乐山市应急管理局，四川 乐山 614000）

0 引言

变化，是世间万事万物的共性。在安全领域，变化与事故的关系一直有研究者开展研究[1-8]，但还未从安全科学原理的高度加以归纳。变化，既有预期的和有利的，又有意外的和不利的。国内外学者将变化中不利于安全的那一类变化视作扰动，并基于变化或扰动提出一系列安全理论与模型，如Benner[1]提出的扰动起源事故理论，将事故看作由事件链中的扰动开始，以伤害或损害为结束的过程；Johnson[2]提出的“变化—失误”模型，认为事故是由管理者或操作者未适应生产过程中物或人的因素的变化而导致的；Sklet[3]将变化分析视为事故分析的一种可行的和重要的手段，并将其与多种经典事故分析方法置于同等地位进行分析研究；国内学者何学秋[4]认为任一事物从诞生到消亡是动态的过程，任一事物的秩序都是由无序和有序两种状态动态地更替变化所致，并基于此提出了经典的“安全流变—突变”这一系统的和动态的安全科学理论；此外，吴超[5]基于扰动给出了安全容量的定义，在此基础上已有众多相关的研究成果[6-7]。除上述基于变化的安全理论与模型之外，对于变化这一自然规律，在安全标准化和项目管理中有变更管理[8]这一应对变化的重要理论与方法，即为了适应系统或项目中因素、状态、功能、理解和行为等的变化，随之进行变化的控制和管理，使系统朝着安全有序的状态演化。

变化是事物发展的客观规律，系统向更安全的状态演化需要经过变化，而系统的事故灾害发生过程也是一种变化。前者是我们所追求的，后者是我们需避免的。因此，从变化入手研究保障系统安全和预防事故灾难是一个非常关键的切入点。但目前已有的基于变化的理念、理论、模型和方法等研究，大多仅停留在表层现象，系统的和成体系的研究甚少。因而，基于变化进行系统的、动态的和科学的安全理论、模型与方法的研究很有潜力并且大有可为，同时对安全科学的发展具有重要意义。

鉴于此，本文重点研究与系统事故灾害发生相关联的不利的和偏离预期计划的变化，我们可将这种变化简称为灾变或恶变。在此基础上，依据变化与系统安全和事故的一般规律，分析提出安全降变原理，基于安全降变原理给出作业场所事故致因的新定义和新分类，并构建基于安全降变原理的C-S-R事故致因新模型，提炼基于安全降变原理的事故致因新机制，以期为事故分析和事故防控提供有效的理论依据和方法。

1 安全降变原理的提出及其解析

1.1 安全降变原理的内涵

系统是由若干要素组成的统一整体，任一事件或事故同样构成一个系统。根据“系统结构决定其功能”[9]的基本系统原理可知，系统是结构和功能的统一体，结构是系统内部要素相互作用的秩序，功能是系统对外部作用的秩序。将讨论的系统具体为某一事件或事故，可将事件或事故发生前后各要素及各要素间关联的状态视为系统结构，将事件或事故的结果和影响视为系统功能，则系统变化（要素变化，以及各要素之间关联关系的变化）将导致系统目标、结果和影响的变化。若继续探究，进行辩证分析可知：

（1）变化会导致事故。系统结构决定其功能，系统结构变化则其功能变化；换言之，系统各要素及各要素间关联状态的变化，将影响系统结果。辩证分析系统的这种变化，则变化既可能是导致系统出现好的结果，又可能是导致系统出现坏的结果。分析其本质，当系统各要素及各要素间关联状态发生变化且作用于系统中的人、物与环境时，人的生理、心理和动作将对应产生变化，物的状态将对应发生变化，环境状态也将随之变化。当人的生理、心理和动作产生不利系统安全的变化，物朝着衰变状态变化，环境朝着更加恶劣的状态发展时，共同的作用将导致系统朝着不利结果发展，将产生不利的影响。简言之，变化会导致事故，恶变必将导致事故。

（2）降变可预防事故。变化会导致事故这条一般规律，为事故预防提供了新的思路与方向。系统结构决定其功能，系统各要素及各要素间关联状态的变化会影响系统结果，变化会导致事故。逆向考虑，为使系统功能不改变，需保证系统结构的不改变；即为使系统结果不变化，需保证系统各要素及各要素间关联状态不变化；为预防事故的发生，需使变化不发生。简言之，减少变化和避免变化可预防事故，即降变可预防事故。当然，往好的变是有利预防事故的。

将以上两条安全系统分析的一般规律加以整理凝炼，可总结成为一条新的安全科学基本原理——安全降变原理。安全降变原理，揭露了变化会导致事故的一般规律，同时指出了降变可预防事故，为系统分析和事故分析提供了新的视角，也为事故预防提供了新思路与新方法。

1.2 安全降变原理的研究意义

理论而言，开展一项研究时应具有充分的缘由，这是顺利开展该项研究的基本前提，也是开展该项研究的价值和意义所在。概括而言，安全降变原理的提出与研究，其缘由主要有以下5个方面。

（1）系统变化的研究具有普适性。“无物常住，万物皆流”，系统是动态的和不断发展的，系统中各要素和各要素间的关联状态是不断变化的。系统变化是动态的，系统变化是普遍的，因而对系统变化的研究也是具有普遍意义和普适性。

（2）变化分析适用于系统各要素，能够统一系统各要素的分析。随着社会和技术的发展，安全系统日趋巨大化与复杂化。安全系统的复杂性，使得系统分析变得复杂化与繁琐化，常规的分析视角很难兼顾系统中各个要素（如对系统中人的心理分析并不适用于系统中物和环境要素的分析）。由于系统的动态性，系统中各要素的动态变化成为系统中各要素的共性，因而系统变化的分析得以连接系统中各要素的分析，实现系统中各要素的连接和统一。

（3）安全降变原理是一般规律而非绝对规律，是适用于系统安全分析的基本原理。由系统安全韧性理论[10-11]可知，安全系统在一定时空内面对风险的冲击与扰动时，具有维持、恢复和优化系统安全状态的能力。因为系统安全韧性，变化不一定都会导致系统事故，需要辩证分析与探究。安全降变原理是经辩证分析得出的原理，是符合系统本质特性的，是合理的。

（4）安全降变原理的研究符合现代安全科学研究的“信息学化”和“行为学化”趋势。安全降变原理的合理性体现在原理研究和应用的辩证思想上，辩证分析的理论基础是系统安全韧性理论，系统安全韧性可由人的行为实现。安全降变原理的研究和应用，其实质最终会落到行为这一基本点，行为的指导又是由信息的感知和认知实现，因而安全降变原理的研究与应用，最终会落到信息与行为这两个实质基本点，这符合现代安全科学研究的“信息学化”和“行为学化”，是具有研究基础的，是可行的。

（5）安全降变原理指出变化会导致事故，将变化作为基本研究要素，为系统安全分析和事故分析提供了新的视角，为事故致因的定义和分类提供新的标准，为事故分析提供新的理论依据；同时，安全降变原理提出降变可预防事故，指出可通过积极的降变手段和措施来预防事故的发生，为事故的预防和事故的控制提供新的切入点和对策措施。

由此可见，进行安全降变原理的研究以及进行基于安全降变原理的一系列研究，在理论层面和实践应用层面都具有重要意义。下面从基于安全降变原理的系统变化分类方法和对作业场所事故致因定义和分类的创新，来证明安全降变原理的实际价值。

2 基于安全降变原理的系统变化分类和作业场所事故致因新定义及分类

2.1 基于安全降变原理的系统变化分类实例

系统变化的分类，是进行安全降变原理研究的基础。为准确表征变化与事故之间的联系，通常需要对系统变化进行准确的分类与分析。

（1）安全科学研究中，常将安全系统划分为宏观安全系统、中观安全系统和微观安全系统3个层面进行整体分析。宏观安全系统以社会技术系统的大环境作为中心，如国家政府层面、安全监督管理机构层面等；中观安全系统以公司等组织系统为中心，可划分为组织内部和组织外部进行分析；微观安全系统以人、机或人机交互为中心。因而在探究变化对系统安全的影响机制时，从宏观安全系统、中观安全系统和微观安全系统3个层面进行分析，寻求对研究对象的整体把握。

（2）无论是宏观安全系统的变化、中观安全系统的变化还是微观安全系统的变化，都可能引起系统内行为者的心理、生理、知识结构、感知、认知、决策和行为的变化，使行为者的行为状态由安全状态变化为不安全状态，从而引发事故。

（3）宏观安全系统的变化、中观安全系统的变化和微观安全系统的变化，一方面会影响系统内物的状态的自然变化，加速或阻碍系统内物的状态变化；另一方面，变化通过影响系统内行为者的行为，进而对系统内物的变化产生干预，使得系统内物的状态改变的速度发生变化，或使得系统内物的状态改变的轨迹发生变化。

（4）宏观安全系统、中观安全系统和微观安全系统间，既有沿着系统层级次序的正向的作用，又有逆向的反馈。一方面，宏观安全系统变化依次影响中观安全系统和微观安全系统的变化；另一方面，微观安全系统变化和中观安全系统变化的逆向反馈，最终会影响宏观安全系统的变化。各层级安全系统间的正向作用和逆向相互反馈，使得各层级系统间相互作用，形成统一整体。

宏观安全系统、中观安全系统和微观安全系统之间并无明显界定或界限，各层级系统中的变化从不同视角可有不同细致分类方法。

基于上述分析，可列出宏观、中观和微观等各级安全系统中的主要变化类型，如图1。

图1 各层级系统变化的分类实例Fig.1 Classification of system changes at all levels

2.2 基于安全降变原理的作业场所事故致因新定义及分类

安全降变原理揭示了变化会导致事故这一一般规律。将导致事故的每一动作、物态、环境情景等的发生瞬间视作特殊的时间节点，则每一特殊时间节点前后的动作、物态、环境情景等状态的差异，即为导致系统事故发生的变化（灾变），即成为事故致因。考虑导致事故发生的事故致因出现的时间节点前后的系统状态的差异，重新定义导致各类事故发生的事故致因，提出基于安全降变原理的事故致因新定义及分类和例子，见表1。

表1 基于安全降变原理的事故致因新分类及实例Tab.1 New classification and examples of accident causes based on the principle of reducing change for safety

前人已有的研究指出：各类事故发生的直接原因是不安全动作和不安全物态；安全知识不足、安全意识不高和安全习惯不佳是导致不安全动作和不安全物态的原因，即事故发生的间接原因；事故发生的根本原因实质为安全管理漏洞[12]。不安全动作，实质为行为者心理、生理、知识结构、感知、认知和决策等的变化，导致行为者的行为由安全行为状态转变为不安全行为状态，即行为者动作朝不安全的方向变化；不安全物态实质为物的状态由安全状态自发的或是受人为干预而转变为不安全状态，即物的状态朝不安全的方向变化。事故发生的直接原因的实质为行为状态的不安全变化和物态的不安全变化，各层级系统的不利变化和不安全变化影响系统的安全运行，各层级系统的不利变化和不安全变化与事故的发生有着直接的因果关系，变化的错误或正确的管理与引导，对事故的发生或预防有着直接的决定作用。

3 C-S-R事故致因新模型构建

3.1 变化对系统安全的影响机制

各层级安全系统中的不利变化和不安全变化成为新定义下的事故致因，这些不利变化和不安全变化影响系统的安全运行，与事故的发生有着直接的因果关系。

为更深入探究变化与系统安全的联系，分析变化对系统安全的影响机制。研究变化对系统安全的影响机制时，基于“系统结构决定其功能”[9]的基本原理、系统安全韧性理论[10-11]以及安全科学研究的“信息学化”和“行为学化”热。由“系统结构决定其功能”的基本系统原理可确定研究要素有系统主要要素人与物；由系统安全韧性理论可确定研究时需考虑系统自调节能力；顺应安全科学研究的“信息学化”和“行为学化”热，可确定研究方向主要考虑安全信息认知和人的行为。因而，可将变化对系统安全的影响机制简述为：变化作用于各层级系统中的人与物；因受变化影响，系统产生自调节，系统中人产生安全信息的认知并指导其行为；系统中各要素对变化进行应对，最终导致系统结果。将上述变化对系统安全的影响机制作进一步简化，可用“变化—系统—应对”的影响链表示，取各要素英文单词（Change, System, Reaction）的首字母进行简化，即成为C-S-R，此即变化对系统安全的影响机制。

3.2 C-S-R事故致因新模型的构建

根据变化对系统安全的影响机制，按照事件的时间逻辑进程，进一步细化分析，得出C-S-R事故致因模型，即基于安全降变原理的事故致因新模型，如图2。

图2 C-S-R事故致因新模型Fig.2 New model of accident cause of C-S-R

变化对系统安全的影响，大致经过如下7个阶段：

（1）无论是宏观安全系统、中观安全系统还是微观安全系统，均处于动态变化的状态，任一时间点前后的系统状态都在发生变化，各级系统之间产生变化的联动与反馈，相互影响。

（2）各级安全系统既有自发的变化又有受联动和反馈而产生的联动变化。各级安全系统因系统韧性，对自身系统的变化和作用于系统的变化具有一定自调节能力。但这种自调节能力是有限的，当系统承受变化，作出合理的调节时，系统保持有序运转；当系统不足以承受变化，无法作出合理的调节时，将对各层级系统产生冲击和扰动。

（3）各层级系统受到的冲击和扰动，最终会因联动影响作用于微观安全系统。微观安全系统因其自身的系统韧性，受冲击和扰动后产生自调节。当微观系统能够承受变化，作出合理的调节时，微观系统保持有序的运转；当微观系统不足以承受变化，无法作出合理的调节时，将作出实时的应对，改变与完善原有的计划，产生新的目标与新的计划。

（4）微观系统的新目标与新计划，将对微观系统中的人与物产生直接的影响与指导。其中直接操作人因系统变化，其生理和心理均会受到影响，若直接操作人能够适应系统变化，则通过调整行为方案与计划，经准确的安全预测、决策与执行，最终达到原来的行为目标。

（5）受微观系统新目标与新计划的出现的影响与指导，若直接操作人不足以适应变化，则其最终的行为将存在失误与失控。若直接操作人能正确感知扰动，但因为不适应变化，经自身的知识结构对感知的变化进行认知时，会存在认知的失解，最终无法正确指导一系列的安全预测、决策和执行行为，最终导致行为的失误与失控；若直接操作人未感知扰动时，将影响其后续的认知，认知失解将导致不正确的安全预测、决策或执行行为，最终导致行为的失误与失控。

（6）微观系统中的直接涉事物，一方面会受到系统新目标与新计划出现的影响与指导，另一方面还将受到系统中操作人行为的影响。直接涉事物受影响后，若其能够维持原状态或是改善其原有状态，则将成为安全的物态；若受影响后，加速了其衰变，则最终将演变为不安全的物态。

（7）微观安全系统中直接操作人行为的失误与失控（即不安全动作）与直接涉事物的不安全物态，最终将直接导致事故的发生。

综上分析可知，动态调节的宏观、中观和微观安全系统中，自发或是受联动影响产生的变化超出系统承受阈值时，微观安全系统中直接操作人不适应变化，原本安全动作变化为不安全动作；直接涉事物受联动变化影响，原本安全物态变化为不安全物态，不安全动作和不安全物态最终直接导致系统事故的发生，此即基于安全降变原理的C-S-R事故致因新模型。

4 基于C-S-R模型的事故分析实例

下面以“7.23”甬温线特别重大铁路交通事故为例。2011年7月23日20时30分05秒，甬温线浙江省温州市境内，由北京南站开往福州站的D301次列车与杭州站开往福州南站的D3115次列车发生动车组列车追尾事故，造成40人死亡、172人受伤，中断行车32小时35分，直接经济损失19371.65万元[13]。

根据“7.23”甬温线特别重大铁路交通事故调查报告[13]，提取该事故中的主要主体。在该事故中，可将涉事的D3115次列车及司机、D301次列车及司机、列控中心、轨道电路、通信设备和相关的调度、检修和值班人员的集合视为该事故相关的微观安全系统；将上海铁路局、甬温线沿线及站点和事故地区视为该事故相关的中观安全系统；将铁道部、运输局客运专线技术部和科学技术司等监督监察管理机构视为该事故相关的宏观安全系统。分析整个事件经过及各级安全系统，可列出该起事故的整个事件流程中的相关变化，见表2。

表2 “7.23”甬温线事故的事件流程中的相关变化Tab.2 Related changes in the entire accident process of '7.23' Yong-Wen railway

由整个事件流程中各级安全系统的相关变化及事件的详细经过分析，可得出变化对事件整个流程的影响及变化影响下整个事故的详细经过，如图3。

图3 基于安全降变原理和C-S-R事故致因新模型分析“7.23”甬温线事故流程Fig.3 Analysis of the '7.23' Yong Wen railway accident based on the principle of reducing change for safety and the new model of accident cause of C-S-R

由基于变化分析的“7.23”甬温线特别重大铁路交通事故流程分析可知：整个事件流程中，以铁道部等监督监察管理机构为代表的宏观安全系统、以上海铁路局和甬温线为代表的中观安全系统和以列车和列控中心为代表的微观安全系统均处于动态自变化和自调节状态，同时各级安全系统按层级次序依次产生联动变化；各层级安全系统在多时间点和多空间点发生变化，突发和多发变化导致D3115次列车、D301次列车和列控中心不足以承受和准确应对，最终造成列控中心、轨道电路和通信设备等的状态变化为不安全状态，同时D3115次列车司机、D301次列车司机和调度、检修、值班人员等的动作变化为不安全动作，最终导致追尾事故。

将基于安全降变原理和C-S-R事故致因新模型分析的事故流程与事故原因的结论与“7.23”甬温线特别重大铁路交通事故调查报告[13]对比分析可知，基于安全降变原理和C-S-R事故致因新模型分析的事故流程与事故原因与事故调查报告鉴定结果一致。

5 结论

（1）基于“系统结构决定其功能”的基本原理和辩证分析思维，分析得出变化会导致事故和降变可预防事故两条一般规律，经整理凝练提出安全降变原理，并对安全降变原理的内涵和研究意义进行了解释说明。

（2）依据系统划分原则，将安全系统划分为宏观、中观和微观安全系统，辨别和分类例举了各层级系统中的变化，基于安全降变原理给出了事故致因新定义及分类。

（3）经分析可知，变化对系统安全的影响机制可用“变化—系统—应对”的影响链表示，基于“系统结构决定其功能”的基本原理、系统安全韧性理论以及安全科学研究的“信息学化”和“行为学化”热，对其进行扩展和细化，构建了基于安全降变原理的C-S-R事故致因新模型。

（4）以“7.23”甬温线特别重大铁路交通事故为分析案例，验证安全降变原理及C-S-R事故致因新模型的可行性与可靠性。由安全降变原理和C-S-R事故致因新模型分析可知，该事件系统中的主要变化对系统中各要素的行为和状态等产生影响，不利的和不安全的变化最终导致事故。对比分析可知，基于安全降变原理分析的事故流程与事故原因与事故调查报告鉴定结果一致。