On Some Vague Concepts
in the Field of Civil Aviation Safety
安全是民航業重要的主題,將伴隨著行業的全壽命周期。由於民航顯著的國際性特徵,我國既要結合國情發展自己的安全理念,也要吸納國際先進的做法,取長補短、兼容並蓄。在我國民航發展的過程中,尚有部分安全領域的概念存在爭議,外延和內涵模糊,不宜把握。有的因為國際和國內術語不接軌,有的由於學界和民間存在認知差異,有的源於同一術語在不同語境下表達不同語義,還有的由於英漢之間缺乏公認的對等互譯。概念的模糊給民航安全科學研究和生產運行中的安全管理帶來困惑,甚至妨礙安全調查、事故預防等工作。本文擬針對難以理解和容易混淆的概念,諸如「安全」「風險」「危險源」「隱患」「威脅」「原因」「促因」「人的因素」「差錯」等進行辨析,試圖匡正民航安全領域的知識譜系。「安全」中國民航已經普遍不能接受曾經「沒有事故就是安全」的概念,就如同人們不能接受「人活著就是健康」一樣。自從國際民航組織安全管理手冊(SMM)(Doc9859)被引入中國民航以來,關於什麼是「安全」已逐漸形成共識。
SMM第一版:「安全是一種狀態,即通過持續的危險源識別和風險管理過程,將人員傷害或財產損失的風險降至並保持在可接受的水平或其以下。」第二版:「安全是通過持續的危險源識別和安全風險管理過程,將人員傷害或財產損失的風險降低並保持在可接受的水平或其下的一種狀態。」第三版:「安全是一種狀態,即通過持續的危險源識別和安全風險管理過程,將人員傷害或財產損失的可能性,降低到並維持在一個可接受的水平或其以下。」第四版:「安全是與航空器的運行有關或直接保障航空器運行的航空活動的風險被降低並控制在可接受水平的狀態。」
以上定義,一是承認安全是一種可接受的風險狀態,這個狀態可以間接通過風險進行描述,即「安全」=100-「風險」,這意味著安全並不意味著零風險。二是第三版的定義出現了錯誤,風險管理需要降低的不僅僅是可能性,還有嚴重程度,或者降低二者的組合「風險」。三是第四版的定義存在缺陷,它只是強調了結果(風險被降低並控制在可接受水平的狀態),但忽略了過程(持續的危險源識別和安全風險管理)。而事實上,兩者相輔相成,缺一不可。有的系統或組織,即便通過其他過程(例如僥倖甚至蠻幹)實現了理想的結果,狀態依然是不可控、不可預期、不能長久,並非是真正的安全。四是可接受的水平涉及安全績效指標及其目標的設置。指標的顆粒度太粗,關注結果指標忽略過程指標,指標體系貪多求全無視矛盾的主次,摻雜過多不可量化的指標,缺乏詳實可信的歷史統計數據,背離SMART原則的做法,都無法制定出合理可行的安全績效指標及其目標。
此外,目前國際民航組織的安全定義中未涉及到環保方面的考量,表述不完整。建議把「安全」定義為:通過持續的危險源識別和風險管理過程,將人員傷害、財產損失、環境破壞的風險降低並保持在可接受的水平及以下的一種狀態。
「危險源」我國工業安全學界一般認為,「危險源」是可能導致人員傷害、財產損失、環境破壞的因素或基本條件。它是源頭、根源。當「危險」做名詞時,等同於「危險源」。「可能」說明「危險源」是導致後果的必要條件,不是充分條件。既然是源頭、根源,就應該縱深追溯和挖掘,不能被外表、表象所蒙蔽。
在國際民航的文件中,與「危險源」最對等的英語詞彙是「Hazard」。「Hazard」是指「系統或其環境內以某種形式蟄伏的潛在危害」。「蟄伏」和「潛在」說明危險源並不總是必然導致危害,而是存在一定偶然性、意外性和隱蔽性。
以上兩個定義存在差異,但並不衝突,都有助於我們理解「危險源」的本質,各自表述並無大礙。
(一)人的不安全行為本身是否為危險源查找或識別危險源,常常需要結構化思維,比較理想的工具有SHELL模型、5M模型。以5M模型為例,危險源包括:硬體(Machine)的缺陷,環境(Media)的不利,組織管理(Management)的缺陷,人(Man)的因素的負面影響以及任務目標(Mission)的不適當,其爭議是:人的不安全行為本身是危險源嗎?
本文認為,作為瞬態的人的不安全行為不應視為危險源,而是危險源導致的外在表現,真正的危險源應該是隱藏在其後的常態的人的生理、心理、意識、習慣、知識、技能等方面的不適應不匹配,例如帶病上崗、酒精或藥物的作用、情緒不穩定、應知應會的專業知識和技能欠缺,以及更深層次的人員選拔、培訓和激勵機制的不足。這些內在狀態在觸發不安全行為之前,處於蟄伏期,是真正的危險源。不應該混淆危險源與危險源的外在表現(觸發事件),恰如不能把發燒當做危險源,病毒才是。此外,危險源是客觀存在的,但不一定時時處處都有外在表現,沒有外在表現並不意味著危險源不存在。
(二)我國工業安全界對危險源的細分我國工業安全界學者陳寶智等提出了二類危險源理論。他認為事故的發生是兩類危險源共同作用的結果。I類危險源是指可能發生意外釋放能量、能量載體或有毒、有害、危險物質;Ⅱ類危險源是指造成約束、限制I類危險源的屏障失效失控的各種不安全因素。其後,學者田水承等又提出三類危險源理論,即在二類危險源理論的基礎上,增加了Ⅲ類危險源:組織失誤,例如不符合安全規律的組織文化、組織程序、規章制度等。第一類危險源是事故發生的物質性前提,影響後果的嚴重程度;第二類危險源是事故發生的觸發條件;第三類危險源是第一類尤其是第二類危險源的深層次原因,是事故發生的組織性前提。顯然,三類危險源理論吸納了Reason模型系統性思維的精髓。以飛行區中高速行駛的引導車為例,汽車本身的巨大動能和油箱中的汽油是第一類危險源;內場司機長期不按照機坪服務車道行駛的違章習慣,汽車的剎車部件失靈,低能見度等,屬於第二類危險源;而病態的安全文化,缺少飛行區交通規則和標誌標記牌培訓,車輛安全管理鬆懈,企業對車輛的疏於維護,對司機的遴選、考核、配備的不足,就是第三類危險源。二類危險源理論和三類危險源理論,對於安全管理人員認識「危險源」,並對其進行分類管控是大有裨益的。雖然國際民航沒有相關內容,但我國民航從業者也沒有必要抗拒。「隱患」我國民間以及工業安全界還有一個耳熟能詳的概念「隱患」,或者「安全隱患」「事故隱患」,但在ICAO文件中沒有對等的概念。我國民航正式文件中以「隱患」作為關鍵詞的有《民航安全隱患排查治理工作指南》《民航安全隱患排查治理長效機制建設指南》,平時民航領導講話和工作人員也時常使用該概念。所謂「隱患」是指風險管理過程中出現的缺失、漏洞和風險管控措施失效的環節,包括可能導致不安全事件發生的物的危險狀態、人的不安全行為和管理上的缺陷。它相當於二類危險源理論、三類危險源理論中導致I類危險源失控的因素。既然是缺陷或漏洞,當然不包括外界客觀存在的因素。舉例說明:颱風登陸不是隱患,但是機場工作人員思想麻痺、僥倖心理是隱患,這個隱患導致不作為,未對停場航空器額外加固系留,放之任之,導致航空器被吹離機位,相互刮碰。
當然,以上學者定義的「隱患」與普通老百姓腦海中包羅萬象的「隱患」不同,後者範圍更大,相當於「危險源」。「隱患」在國際社會交流中存在障礙,不通用。
「威脅」在威脅與差錯管理(TEM)模型中,「威脅」(Threat)是指一切不由運行人員自身控制但增加運行複雜性、提高運行難度、易於造成不良後果的外部根源或狀況。TEM概念需要確立一個主體,例如飛行員、管制員,威脅不包括自身的狀況,只包括外界有意或無意施加給自身、只能接受的環境或條件。因此「威脅」是「危險源」把關於主體的人的因素內容剔除後的真子集,不是全集。例如,對於飛行員而言,惡劣的氣象條件、擁堵的交通狀況、複雜的地形、硬體設備的故障或降級運行、無線電頻率遭受幹擾、飛機隱載、機場活動區標誌標記牌不清晰、機場的不停航施工、相近的航班呼號等等,都是威脅。
當然,威脅還包括來自其他利益相關方的差錯,例如管制員的口誤。這些威脅勢必更容易誘導主體自身發生差錯。無論是威脅還是差錯,都需要主體進行管理和恢復,從而減少非期望狀態、事故徵候、事故。由此可見,威脅是針對某一個主體而言的外在危險源,而危險源是針對後果或風險而言的不利客觀條件,其範圍較威脅更大。
「風險」「風險(Risk)」是指不期望的事件(事故、事故徵候、一般事件等)發生的概率(可能性)(Probability)及其引起不良後果的嚴重程度(Severity)的乘積,即R=P×S。風險不是後果,也不是危險源,是針對一類事件、一個系統或一個組織對可能結果的不確定性預期。對於已經發生的具體事件,不存在風險之說。沒有危險源,就不存在風險和後果,因此風險(R)和基於5M模型的危險源(H)的關係也可以表達為R=f(H1,H2,H3,H4,H5)。降低風險的方法常常有:避免、減少、隔離等措施。
事故的「原因」與「促因」安全調查中有兩個概念:「原因(Causes)」和「促因(Contributing Factors)」,後者也翻譯為「貢獻因素」。《國際民航公約》附件13指出,調查報告的結論中應陳述調查結果、原因和促因,所列原因應既包括直接原因也包括深層次的體制上的原因,各國在結論中可使用原因也可使用促因或兩者同時使用。
「原因」是導致事故或事故徵候的行為、失職、情況、條件或其組合。「促因」是指不安全行為、疏忽、事件、條件或其組合,如果消除、避免或缺失,將降低事故或事故徵候發生的概率或減輕後果的嚴重程度。本文認為二者之間並沒有顯著的區別。從實踐來看,「原因」更聚焦,「促因」比較發散。雖然附件13申明查明原因並不意味著追究過失或確定行政、民事或刑事責任,但原因委實給責任追究提供了便利。促因往往按時間順序排列,並不凸顯各因素對後果的貢獻程度。
當然,我國民航還常常使用直接原因、間接原因等措辭,但一直缺乏說服力的定義和界定方法。一般來說,將人的不安全行為、物的不安全狀態、環境的不利影響等這些事發現場的因素當做直接原因,而遠離現場的組織管理以及系統間接口問題等視為間接原因。如此一來,這實質上是背離SHELL模型、Reason模型、5M模型等最先進的事故致因模型以及組織事故理論(任何事故都是組織失效的結果)和全系統時代認知的,有利於追責,不利於安全改進。
國際民航界的調查報告中,不乏「原因」或「促因」沒有觸摸到神經末梢的案例,只是指出了最終結果發生之前的一些瞬間現象或表現,意義不大。真正的「原因」或「促因」應該是「危險源」。研究對比上文中的「危險源」和「原因」或「促因」定義發現,它們本質應是極度相近類同的概念。只有將「原因」或「促因」指向「危險源」,才有抓手,才可能在安全建議中提出務實的措施,否則就是空中樓閣。這樣也將日常的風險管理和事後的安全調查統一起來,不至於形成兩套無法銜接的體系。
「人的因素」及人的「差錯」「Human Factor」被翻譯為「人的因素」或「人為因素」,其中「人的因素」更準確。這個概念出現在安全(Safety)的框架之下,而不是出現在面向非法幹擾行為的安保(Security)框架之下,因此往往不考慮惡意蓄意破壞動機的行為。而「人為因素」的「為」有「做」「幹」「造」的含義,與天然、自然相對,常常有「故意」「不應當」之嫌,感覺後果是人禍導致的,有指責的意味,這是不公平也是不公正的。「人的因素」中「的」做助詞用,表示領域限定,包括消極影響和積極影響,不應該有貶義和歧視。
在James Reason的 著 作Human Error中,「Error」是人類行為在某種形式上相對於預期或理想標準的偏差,不包括Violation(違章)。「Error」的後果雖然不受歡迎,但其行為本身沒有好壞之分。國際民航組織安全管理手冊中,將「Error」和違章並列作為不安全行為的兩個組成部分。以上「Error」是同一個概念。但是國際民航組織《航線運行安全監測》(Doc9803)中,TEM模型所指的「Error」卻包括違章。這種混亂,常常導致誤解。從邏輯和語義上考慮,本文建議將「Error」翻譯為「差錯」,將不安全行為和差錯等同看待,分為「失誤」和「違章」,再把失誤細分為「疏忽(Slip)」「遺漏(Lapse)」和「錯誤(Mistake)」,如圖1。當然,還需要甄選一個與「失誤」匹配的英文單詞,貢獻給國際民航組織。
圖1:差錯(Error)的細分
結論與建議(1)剖析、釐清民航安全領域的相關概念,對規範學術研究、促進行業交流是必要而迫切的。民航系統的規章標準以及院校的教材應考慮與國際接軌,注重不同概念的準確使用,以求相互呼應和維護。
(2)「安全」和「風險」是一對此消彼長的概念。建議在「安全」的概念中加入環保的內容,注重過程和結果的表述。「危險」=「危險源」=「Hazard」。人的不安全行為不是危險源,人的生理、心理、意識、習慣、知識、技能等方面的不適應不匹配才是危險源。建議淡化「隱患」的概念,對「危險源」和「威脅」區別對待。
(3)建議淡化事故「原因」,羅列「促因」時應回歸到「危險源」。「人的因素」是一個中性概念。人的「差錯(Error)」包括「失誤」和「違章」。
(聲明:文章來源中國民航科學技術研究院 霍志勤,如涉及版權問題,請您告知,我們立即進行處理。)