㊀第31卷第4期2014年12月㊀土木工程与管理学报Journal of Civil Engineering and ManagementVol.31No.4Dec.2014收稿日期:2014-05-03㊀修回日期:2014-07-17作者简介:缑变彩(1986-),女,河南安阳人,助教,硕士,研究方向为施工安全(Email:1621109445@)基金项目:中央高校基本科研业务费专项资金资助项目(2013QN028)系统安全理论与模型发展研究综述缑变彩1,㊀覃亚伟2,㊀王㊀帆3(1.武汉科技大学㊀城市学院,湖北㊀武汉㊀430083;2.华中科技大学㊀土木工程与力学学院,湖北㊀武汉㊀430074;3.长江水利委员会长江科学院,湖北㊀武汉㊀430015)摘㊀要:复杂社会技术系统的安全绩效取决于技术层面因素与组织管理层面因素的相互作用关系,而非个体要素㊂事故被认为是复杂系统中各个要素之间相互作用所产生的一种涌现现象,需要用系统安全思想进行研究,建立相应的系统安全模型㊂本文简要回顾了事故致因与系统安全理论的发展趋势,将事故致因与系统安全理论依据研究范式划分为三代,即规范性理论与模型㊁基于系统状态偏离标准程度的描述性理论与模型㊁以及基于系统实际行为的描述性理论与模型,在此基础上,总结了建立系统安全模型的现状㊁必要性和挑战,强调建立系统安全模型需要从近端因素到远端因素㊁从静态分析到动态建模㊁从还原论到整体论进行转变,将安全分析重点从找寻事故原因转移到事故发生机理上来㊂关键词:系统安全;㊀复杂社会技术系统;㊀安全风险建模中图分类号:X91㊀㊀文献标识码:A㊀㊀文章编号:2095-0985(2014)04-0083-05Review of the Development and Research on System Safety Theories and ModelsGOU Bian-cai 1,QIN Ya-wei 2,WANG Fan 3(1.Wuhan University of Science and Technology City College,Wuhan 430083,China;2.School of Civil Engineering and Mechanics,Huazhong University of Science and Technology,Wuhan 430074,China;3.Changjiang River Scientific Research Institute,Wuhan 430015,China)Abstract :The safety performance of a complex socio-technical system is determined by the interaction between organizational and managerial factors and technical factors,rather than the single elementwithin the system.The accident can be viewed as an emergent phenomenon arises from the interaction of different agents,which requires a system safety perspective and the related system safety model.The development of accident causation and system safety was reviewed.The theories and models were classified into three generations according to the research paradigms,namely prescriptive theories and models,descriptive theories and models in terms of deviations from norms,and descriptive theories and models in terms of actual behaviors.Based on the review,current trends,motivation and challenges of establishing a system safety model were summarized.The importance of shift fromproximal factors to distal factors,from static analysis to dynamic modeling,and from reductionism to holism has been emphasized that the focus should be transferred from causes to mechanisms.Key words :system safety;complex socio-technical system;safety risk modeling ㊀㊀社会技术系统于20世纪60年代初由英国Tavistock 研究所提出[1],泛指技术密集和资金密集㊁积聚能量巨大的工业组织,认为生产系统都具有技术和社会表征,而且是紧密联系和相互作用的,系统绩效取决于这种相互作用而不是个体要素,并由此萌发了 系统安全 的基本思想,指在一个项目的全生命周期内运用一定的技术和管理手段,系统地㊁有远见地识别和控制危险[2]㊂然而现有的事故模型对组织等社会层面的分析与生产等技术层面的分析却往往是分开进行,缺少对㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀土木工程与管理学报㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀2014年两者相互作用关系的研究㊂本文将在回顾事故致因与系统安全理论与模型的基础上,分析构建系统安全风险分析模型所面临的挑战,以期作为今后构建地铁施工系统安全风险分析模型的基础㊂1㊀事故致因与系统安全理论及模型的发展㊀㊀Rasmussen [3]根据安全风险研究的思维范式将安全风险分析思路分为三个阶段,据此可将研究安全风险的理论和模型按时间划分为三代(图[4]图1㊀事故致因与系统安全理论及模型的发展1.1㊀规范性理论与模型(第一代)规范性理论与模型主要体现的是一种 深层防御 的思想,通过提高系统的冗余性,建立多层防御,以及将工作流程标准化来改善系统的安全性㊂ 深度防御 思想最大的贡献在于它迫使人们在对系统进行设计和运行时必须考虑事故可能发生的路径,从而为系统的设计和运行提供参考依据㊂然而系统的冗余性也使得系统的复杂性增加,更重要的是,这些 防御措施 可能会隐藏系统发展到危险状态的过程,降低人们的安全意识[4~5]㊂1.2㊀基于系统状态偏离标准程度的描述性理论与模型(第二代)基于系统状态偏离标准程度的描述性理论与模型认为事故的发生是系统状态偏离标准程度过大所导致,具体又可以分为以下两类[6]㊂1.2.1㊀事件序列理论与模型事件序列理论将事故描述为一系列事件依次发生所导致的结果㊂这些模型假设事件发生所产生的影响可以通过预先定义好的因果关系进行传播并最终导致事故的发生,其代表有Heinrich 的多米诺理论[7],Johnson 的能量理论[8],前者认为事故是一系列自我平衡事件的转换结果,即事故是不期望事件发生后的一种补偿,后者则认为事故是由于防护不足导致能量意外释放所致㊂事件序列模型通常采用演绎法或归纳法分析事故发生的原因或事件导致的后果,如事件树(ETA)及故障树(FTA)等㊂Norman Rasmussen 研究并提交的WASH-1400报告[9]建立了概率风险评估技术框架,基于上述方法在核电领域进行安全评估,极大地推动了此类模型的研究和应用㊂FTA /ETA 由于能够描述风险的三个要素,且计算简便,因此也被应用于隧道㊁桥梁等土木工程领域,如Sturk 等人[10]用FTA 分析了公路隧道施工对周围环境的破坏风险;Hong 等人[11]采用ETA 识别了隧道开挖过程中可能遇到的不利事件并用于帮助盾构机选型设计;Choi 等人[12]基于ETA 构建了一个桥梁施工失事场景的自动识别方法㊂1.2.2㊀流行病学理论与模型流行病学理论将事故的发生比喻成疾病传播,认为事故的发生是多个因素(如行为偏差㊁防御措施失效等)共同作用的结果㊂与事件序列理论类似,流行病学理论也是基于因果关系描述事件所产生的影响是如何传播的,但与事件序列理论不同的是,流行病学理论能描述导致事故的因素间更为复杂的作用关系,某个事件既可能是几个事件共同作用的结果,也可能是导致另外几个事件发生的原因之一㊂流行病学模型最著名的代表为Reason 的 瑞士奶酪 模型[5],Reason 将系统的不同层面表示为瑞士奶酪的切片,切片上的 洞 表示系统各个层面的缺陷㊂事故从最远端的组织决策(即规划㊁设计㊁管理㊁沟通等)失误开始,这些缺陷为事故的发生创造了最初的潜在条件;组织决策上的失误可能导致现场管理者的管理难度加大(如需要完成的任务繁杂),并造成工作条件恶化(如工作量过大,进度吃紧),从而导致人的失误或违规操作,并导致事故发生(图2)㊂该理论可以作为风险评估模型的建模框架,如Ren 等人[13]基于 瑞士奶酪 理论构建了一个具有五层层次结构的风险评估模型,用层次结构来描述从根本原因到事故后果的因果作用关系及风险的传播过程㊂图2㊀瑞士奶酪模型然而,无论是事件序列理论还是流行病学理㊃48㊃㊀第4期缑变彩等:系统安全理论与模型发展研究综述论,都是基于事件因果关系来描述事故的发生,这种思路有一定的局限性㊂正如Rasmussen 所说: 基于事件解释事故的发生对于改善系统安全没有多少帮助 很明显,我们需要一种新的方法来描述系统行为,将重点放在实际的㊁动态的工作情景中导致人的失误或违规操作的机理,而不是人的失误或违规操作本身 [3]㊂而Leveson 认为,解决这一问题需要采用系统工程思想[14]㊂1.3㊀基于系统实际行为的描述性理论与模型(第三代)基于系统实际行为的描述性理论,如Barry Turner 的人为灾难理论(MMD)[15],Charles Per-row 的常态事故理论(NAT)[16],Karlene Roberts 提出的高可靠性组织理论(HRO)[17]等,对现在事故致因和系统安全的研究思路有着很深的影响,如MMD 理论认为:(1)事故有着共同的产生模式,可以用来分析并提高系统的安全性;(2)事故发生有一个较长的孵化期,事故发生原因可以深究到过去一系列不利因素的累积;(3)事故不能仅仅归咎于技术问题,组织与管理才是事故发生的关键㊂NAT 理论认为系统交互的复杂程度和耦合程度是决定系统安全与否的两个重要特点㊂而HRO 理论认为要从本质上限制事故的发生并实现尽可能高的系统绩效,一个组织(称为高可靠性组织)通常需要具备四个特点:(1)安全与生产应同等重要,且组织内部对该目标一致认同;(2)权力分散与权力集中的管理模式需同时存在;(3)较强的组织学习能力;(4)广泛使用系统冗余㊂Rasmussen [3]是开创基于控制论㊁系统论分析系统安全的先驱之一,他认为类似博帕尔㊁切尔诺贝利这样的事故并不是各个备件失效和人为失误叠加所造成的巧合,而是在竞争激烈的环境中受到经济效益的压力导致组织行为系统性的向事故发生的边界迁移(图3)㊂图3㊀系统向事故边界自然迁移Rasmussen 认为任何工作都会受到管理㊁功能和安全上的约束,工作目标与约束形成了个体行为,个体要么适应约束要么改变约束来达成既定目标,而在这个过程中,管理提供了一个 效益梯度 ,而个体提供了一个 效率梯度 ,例如管理者通常为了经济效益,期望在最短时间内完成既定任务,但这样会大大增加工人的工作量,而工人为了按期完工便会采取一些捷径㊂因此,在这两个梯度的共同作用下,系统会逐渐向安全边界迁移直到观察或感觉到危险的存在,如果未察觉到危险或察觉到危险但未采取措施,系统继续迁移越过安全边界从而导致事故发生㊂与之前通过标准流程控制系统行为的偏离程度不同,Rasmussen 认为应通过提高边界的可见性并学习如何在边界应对危险来控制系统行为,即构建一个 安全梯度 来遏制系统滑向事故边界的趋势,为此,Ras-mussen 将风险管理描述为一个控制过程,并指出风险管理必须建立在依据控制需求得出的危险源分类之上[3]㊂Leveson [14]基于系统论建立了系统理论事故模型STAMP,认为事故是复杂系统中各个要素相互作用(如人㊁技术㊁环境之间的影响)所产生的一种涌现现象,缺少对这些相互作用施加约束的控制行为将导致事故的发生㊂因此,安全实际上是一个控制问题,事故分析应尝试从控制论的角度对整个社会技术系统进行建模分析,而这个控制结构的基本组成是约束㊁反馈回路和控制层级㊂按照Leveson 的观点,系统不是静态的,而是一个不断适应周围变化来实现目标的动态过程,由于系统处于不断变化之中,系统安全的控制实际是一个不断施加约束来维持或确保这个适应过程安全进行的过程㊂据此,Leveson 从控制论的角度将事故原因分为三类:(1)安全约束不足;(2)控制行为的执行不足;(3)反馈不足或缺失㊂相比之下,第三代系统安全定量分析模型仍处于发展之中,除了Leveson 基于系统动力学构建的STAMP (Systems-Theoretic Accident Model and Processes)模型[18]之外,Mohaghegh 等人[19,20]基于事件序列图㊁故障树㊁贝叶斯网络和系统动力学建立了系统安全风险分析混合模型SoTeRiA (Social-Technical Risk Analysis ),Stroeve 等人[21,22]则提出了TOPAZ(Traffic Organization and Perturbation AnalyZer)模型,采用基于Agent 的动态风险建模技术和Monte Carlo 仿真技术分析飞机地面滑行存在的碰撞风险㊂表1总结了三种模型的不同之处㊂㊃58㊃㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀土木工程与管理学报㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀㊀2014年表1㊀三种模型的对比名称STAMPSoTeRiATOPAZ作者Nancy LevesonZahra MohagheghAli MoslehSybert H Stroeve Henk A P Blom 单位麻省理工航天航空学院马里兰大学风险与可靠性中心荷兰国家航空实验室年份200420072009应用领域多领域航空,飞机维修航空,空中交通管理主要方法系统动力学混合方法(系统动力学,贝叶斯网络,故障树,事件序列图)基于Agent 的动态风险建模技术主要优点从系统论的角度看待事故,识别出缺失的反馈或控制的不足定量分析了影响如何从组织因素传递到技术层面模拟仿真真实环境下人的认识㊁反应㊁决策及行为主要缺点着重强调社会因素,缺少技术系统风险的描述缺乏技术系统对于组织决策的反馈影响其模拟仿真在微观层面,缺乏宏观层面的分析2㊀从第二代到第三代之动机与挑战目前,第三代事故致因与系统安全理论仍处于发展阶段,相应的分析模型则更少,主要仍以第二代分析模型为主㊂那么究竟是否需要第三代安全风险模型呢?这与建模分析的目的有关,如果分析目的只是 问责 ,那么基于解析法的第二代事故致因与系统安全模型就足够了,因为此类模型可以有效地追溯事件的经过直至发现对事故负有责任的人或物㊂然而实际中往往发现,对于某几个人的问责并不能阻止类似事故的重演,新的管理者同样面临着前任管理者所面临的问题,这是因为此类分析并不能充分揭示事故发生的原因从而从根本上改善系统安全;相反,如果分析的目的是如何构建更安全的系统,那么就需要第三代系统安全分析模型,将重点从找寻事故起因上转移到研究系统的行为模式上来[14]㊂可见,为了预防事故的发生或重演,有必要构建第三代系统安全风险分析模型㊂然而从第二代模型转变为第三代模型主要面临三个挑战㊂2.1㊀从近端因素到远端因素事故的发生背后都有其组织管理原因,组织因素几乎在所有事故中都伴有重要角色并成为理解与预防事故发生的关键[23],如杭州地铁一号线萧山湘湖段 11.15 事故,其主要原因既包括基坑超挖,钢支撑体系存在薄弱环节等技术问题,也包括监测㊁监理工作严重失职等管理原因,然而管理因素究竟如何影响实际施工过程却难以进行定量分析[24]㊂而第二代系统安全模型主要是还原事故发生场景,分析造成事故发生的技术或人为的近端因素,因此如何将远端的组织管理因素纳入到模型中是系统安全风险建模面临的挑战之一㊂2.2㊀从静态分析到动态建模复杂社会技术系统是一个为实现系统目标不断适应自身及周边环境变化的动态过程,事故是由于系统的模块如人㊁组织结构㊁工程任务㊁技术设备在这一过程中相互作用所导致的一种涌现现象[25]㊂因此,第三代系统安全风险分析模型必需考虑系统随时间发展的自适应过程,尤其是在系统受到生产力(如成本㊁进度)的压力时;此外,系统变量之间还会存在一定程度的延迟,一些不利因素的结果并不会立即显现,而这种延迟有时会掩盖事故发生的征兆,增加事故分析的难度[26]㊂例如Goh 等人[27]在分析Tasmania 岩石崩落事故后发现,在事故发生之前已经有不少的征兆,事故的起因可以追溯到较早的时间㊂因此他们得出结论,事故的发生也不是一蹴而就,而是各种不利因素随时间发展不断累积叠加最终导致的㊂然而,基于事件因果关系的第二代模型无法反映系统的时间特性,因此,如何建立系统的动态模型是系统安全风险建模面临的又一个挑战㊂2.3㊀从还原论到整体论传统的建模思路通常是将复杂社会技术系统进行分解后再分别建模分析,然而,许多学者质疑这种基于解析的㊁还原论思想方法的合理性,他们认为这种思路与事故的系统理论思想并不一致[28]㊂相比之下,整体论认为复杂系统整体大于系统个体之和㊂安全分析的系统思想是把安全看作一种涌现现象,是系统整体的一个属性,由系统中的元素相互作用产生,而非其元素自身属性㊂例如,对盾构机本身的安全性和可靠性分析并不能得出使用该盾构机进行地铁施工是否安全的结论,而必需将其置于复杂的 人 机 环境 交互过程之中才有意义㊂因此,一个系统模型不能依靠子模型的简单叠加,而应是一个系统思想为导向的整体模型,将失效事件看作系统工作的一种产物,将事故损失看作系统工作的一种结果[29]㊂因此,如何基于整体论的思想进行建模是系统安全风险建模面临的第三个挑战㊂3㊀结㊀语在过去的几十年间,人类建造的系统和建造这些系统所处的环境一直在不断发生改变,这些改变给人类安全建造和运行这些系统带来了诸多㊃68㊃㊀第4期缑变彩等:系统安全理论与模型发展研究综述挑战,需要采取系统安全思想来指导相应的安全工作,基于系统论㊁控制论构建第三代的系统安全风险分析模型,对事故发生的规律进行总结,从而更好地预防事故的发生㊂参考文献[1]㊀Rice A K.The Enterprise and Its Environment[M].London:Tavistock Publications,1963.[2]㊀Roland H E,Moriarty B.System Safety Engineeringand Management[M].New York:John Wiley,1990.[3]㊀Rasmussen J.Risk management in a dynamic society:a modelling problem[J].Safety Science,1997,27(2-3):183-213.[4]㊀Saleh J H,Marais K B,Bakolas E,et al.Highlightsfrom the literature on accident causation and systemsafety:review of major ideas,recent contributions,andchallenges[J].Reliability Engineering and SystemSafety,2010,95(11):1105-1116.[5]㊀Reason J.Managing the Rsks of Organizational Acci-dents[M].Birmingham:Ashgate Publishing Limited,1997.[6]㊀Hollnagel E.Barriers and Accident Prevention[M].Birmingham:Ashgate Publishing Limited,2004. [7]㊀Heinrich H W.Industrial Iccident Prevention[M].New York:McGraw-Hill,1936.[8]㊀Johnson W G.The Management Oversight and RiskTree(MORT)Safety Assurance Systems[R].USA:National Safety Council,1980.[9]㊀Rasmussen N.Reactor Safety Study,an Assessment ofAccident Risks in US Nuclear Power Plants[R].Wash-ington DC:US Nuclear Regulatory Commission,1975.[10]Sturk R,Olsson L,Johansson J.Risk and decision anal-ysis for large underground projects,as applied to theStockholm Ring Road tunnels[J].Tunnelling and Un-derground Space Technology,1996,11(2):157-164.[11]Hong E S,Lee I M,Shin H S,et al.Quantitative riskevaluation based on event tree analysis technique:ap-plication to the design of shield TBM[J].Tunnellingand Underground Space Technology,2009,24(3):269-277.[12]Choi H H,Lee S Y,Choi I Y,et al.Reliability-basedfailure cause assessment of collapsed bridge duringconstruction[J].Reliability Engineering and SystemSafety,2006,91(6):674-688.[13]Ren J,Jenkinson I,Wang J,et al.A methodology to mod-el causal relationships on offshore safety assessment fo-cusing on human and organizational factors[J].Jour-nal of Safety Research,2008,39(1):87-100. [14]Leveson N.A new accident model for engineering safersystems[J].Safety Science,2004,42(4):237-270.[15]Turner B A.Man-made Disasters[M].London:Wyke-ham Publications,1978.[16]Perrow C.Normal Accidents:Living with High-riskTechnologies[M].New York:Basic Books,1984.[17]Roberts K H.Managing high-reliability organizations[J].California Management Review,1990,32(4):101-113.[18]Leveson N,Daouk M,Dulac N,et al.Applying STAMPin Accident Analysis[DB/OL].[2013-12-08].ht-tp:///caib/walkerton.pdf. [19]Mohaghegh Z,Mosleh A.Incorporating organizationalfactors into probabilistic risk assessment of complex so-cio-technical systems:principles and theoretical foun-dations[J].Safety Science,2009,47(8):1139-1158.[20]Mohaghegh Z,Kazemi R,Mosleh A.Incorporating or-ganizational factors into probabilistic risk assessment(PRA)of complex socio-technical systems:a hybridtechnique formalization[J].Reliability Engineeringand System Safety,2008,94(5):1000-1018. [21]Stroeve S H,Blom H A P,Bakker G J.Systemic acci-dent risk assessment in air traffic by Monte Carlo simu-lation[J].Safety Science,2008,47(2):238-249.[22]Stroeve S H,Sharpanskykh A,Kirwan B.Agent-basedorganizational modeling for analysis of safety culture atan air navigation service provider[J].Reliability En-gineering and System Safety,2011,96(5):515-533.[23]Leveson N,Dulac N,Marais K,et al.Moving beyondnormal accidents and high reliability organizations:asystems approach to safety in complex systems[J].Organization Studies,2009,30(2-3):227-249. [24]解东升,钱七虎,戎晓力.地铁工程建设安全风险管理研究[J].土木工程与管理学报,2012,29(1):61-67.[25]Marais K,Dulac N,Leveson N.Beyond Normal Acci-dents and High Reliability Organizations:Lessons fromthe Space Shuttle[C].Cambridge:Paper presented atthe ESD External Symposium,2004. [26]Lofquist E A.The art of measuring nothing:the para-dox of measuring safety in a changing civil aviation in-dustry using traditional safety metrics[J].Safety Sci-ence,2010,48(10):1520-1529.[27]Goh Y M,Love P E D,Brown H,et anizationalaccidents:a systemic model of production versus pro-tection[J].Journal of Management Studies,2012,49(1):52-76.[28]Hollnagel E,Woods D D,Leveson N.Resilience Engi-neering:Eoncepts and Precepts[M].Aldershot:Ash-gate Publishing Limited,2006.[29]Santos-Reyes J,Beard A N.A systemic approach tomanaging safety[J].Journal of Loss Prevention in theProcess Industries,2007,21(1):15-28.㊃78㊃系统安全理论与模型发展研究综述作者：缑变彩， 覃亚伟， 王帆， GOU Bian-cai， QIN Ya-wei， WANG Fan作者单位：缑变彩,GOU Bian-cai(武汉科技大学 城市学院,湖北 武汉,430083)， 覃亚伟,QIN Ya-wei(华中科技大学 土木工程与力学学院,湖北 武汉,430074)， 王帆,WANG Fan(长江水利委员会长江科学院,湖北 武汉,430015)刊名：土木工程与管理学报英文刊名：Journal of Civil Engineering and Management年，卷(期)：2014(4)引用本文格式：缑变彩.覃亚伟.王帆.GOU Bian-cai.QIN Ya-wei.WANG Fan系统安全理论与模型发展研究综述[期刊论文]-土木工程与管理学报 2014(4)。