霍志勤

（南京航空航天大学民航学院，南京 210016；中国民航局航空事故调查中心，北京 100028）

长期以来，各安全生产领域一直在综合运用技术、规章及管理手段防范系统的隐性和显性失效。本质安全论是系统安全理念在一定阶段的产物，其概念始于20世纪60年代电气设备的防爆构造。在一定状态下，电气设备通过自身设计的跳开关，可以控制火花、电弧、热效应等不至于引燃爆炸性气体。这种不依赖任何附加安全装置的设计从根本上实现了自我保护功能。随着该思想的升华以及在各类安全生产领域中的扩展应用，逐渐形成本质安全论。本质安全的核心目标是驱动系统趋向更安全状况，因此称之为“本质更安全”较为恰当。安全度可表述为S=1-R，式中：S为安全指数，R为风险指数。当系统风险趋于0时，其安全度趋于最大值1。客观系统中的风险不可能被完全消除，所以本质安全化是人们不断追求系统风险趋于0的动态逼近过程。由于人类对世界的认知和控制能力有限，绝对安全并不存在，本质安全亦不是绝对安全的代名词。与其它安全生产行业比较，民航的风险常表现为“0×无穷大”的“极向性”特点，即航空事故发生的概率（p）低（趋于“0”），但后果（s）往往极其严重（趋于“无穷大”）。该特点似乎暗示着民航业改进安全应着重于减轻事故后果。事实并非如此。事故常是能量的意外失控和释放，由于飞机在运行中承载着巨大能量，试图降低事故的严重程度亦即在事故发生后在管理失控状况下的能量，难度极大。尽管航空事故发生的概率已经很低，但继续降低事故乃至事故征候的发生概率使，仍是民航业控制风险的重要思想。本文将应用本质安全理念，探讨民航系统的安全管理策略。

1 本质安全的内涵

狭义的本质安全主要是针对硬件而言，在特定环境下，设施、设备、技术工艺等通过设计手段从根源上消除或减少风险。①“失误-安全”功能[1]。充分考虑人的因素，使系统具备避错、纠错、容错功能。例如，传统剃须刀锋刃暴露，技术娴熟的理发师也难免对人造成伤害；改进后的剃须刀在刀片两侧设计保护夹具，对人的伤害大大降低；而电动剃须刀的刀片外安装了结实细密的金属网，使刀片和皮肤相互隔离，从而避免对人造成伤害，实现本质安全。②“故障-安全”功能。即使系统出现故障、失效、超限等非正常状况，其自我调节、转换、保护、自检、修复等功能也使之在降级模式下仍然维持一定裕度而安全运行。例如，对于多雷达信号覆盖的空域而言，即使某一个雷达信号中断，雷达的冗余使监视功能并不受影响。③“内置-前瞻”功能。无论是“失误-安全”还是“故障-安全”都是系统本身固有的功能，在其规划设计阶段就被纳入其中，而不是事后才对风险进行弥补性围堵。广义的本质安全指通过系统资源的配置和优化，人员、硬件、软件、环境、管理等系统要素的本质更安全化建设，减少人犯错的可能性和危害，实现诸要素和谐统一的融合，使系统处于安全状态成为必然，处于不可接受的风险状态成为偶然。

2 民航系统本质更安全建设策略

2.1 注重源头上的最小风险设计

系统的前期设计和实时运行中都可能隐含威胁，但设计本身带来或遗留的威胁危害更大。通过源头管理，可以实现在系统规划、设计、制造或建设之始充分预测威胁和风险，基于系统观和以人为中心的原则对系统进行战略谋划。

源头管理大到驾驶舱、机场、管制室、维修车间的设计，小到插头、手柄、螺栓、灯泡的制造。以改进后的起落架为例，当飞机着陆后，起落架控制手柄的内锁装置将手柄锁定在“放下”位，即使发生误操作将手柄上提，也不可能放到“收上”位，于是从根本上防止了飞机在地面滑行或停放时起落架被意外收起。源头上一个微小的设计失误，都可能带来灾难性后果，这在中国民航史上并不鲜见。1992年“7.31”事故中，ЯΚ-42唯有针对起飞前检查工作未完成的警告，而没有真正意义的起飞外形警告，当驾驶员按压“起飞未准备好按钮”就可以取消该警告，以致起飞过程中无论水平安定面在什么角度警告信号都不再激活；1993年“4.6”事故中，MD-11的襟翼/缝翼操作手柄设计不当，易于诱发误操作；1994年“6.6”事故中，TY-154的倾斜阻尼与航向阻尼插头完全一样的设计，机务维修人员出错概率是0.5；2004年“11.21”事故中，CRJ-200的性能对机翼表面的污染高度敏感，裕度太小，为运行埋下了隐患；2007年华航“8.20”事故中，B737-800襟翼前缘条内滑轨上的止档螺帽设计太小，其脱落只是个时间问题。2006年9月29日，一架B737-800在亚马逊地区与一架Embraer Legacy 600公务机空中相撞。事故原因很可能是EMB135/140/145的设计存在缺陷，飞行员把脚放在脚蹬上会无意间改变无线电频率或者将应答机设置在备用模式上。源头管理不仅需要丰富的知识和开阔的视野，还需要充足的资源予以支持。成功的源头管理往往永久性拥有系统的安全属性，失败的源头管理则需要在运行中反复缴费，甚至付出安全代价。2008年胶济铁路上发生了“4.28”事故。调查发现，为了不占民房，降低成本，铁路部门将该段铁路的弯道设计成几乎呈90°，不得不在运行中采取限速措施[2]。中国民航的一些建设工程亦然存在面对矛盾做出不当妥协的问题，为运行环境制造、遗留了无谓的风险。例如，有的新建、改建机场的活动区被建筑物遮挡，管制员无法目视飞机在地面滑行的动态，不仅抑制了运行效率，而且增加了飞机之间的碰撞概率；有的机场将提供航向指引的导航台（NDB、VOR、LOC）设置在跑道侧方，导致飞机仪表进近的最后进近航径与跑道延长线保持夹角，无法尽早实现稳定进近，容易诱发跑道的安全问题；有的机场由于导航台设置不合理，导致飞机进近过程中必须保持大角度下滑，增加驾驶员的操作难度。

不合理的设计可能频繁诱发不安全事件，为其买单者未必就是始作俑者，很多时候一些无辜的利益相关者先是掉进了系统的陷阱，后是被迫承担责任。1倍的系统设计安全性＝1 000倍的系统应用安全性[3]。所以，安全隐患应尽可能通过设计手段予以解决，而不要轻易转移到运行阶段。

2.2 采用风险控制的技术

系统只有通过采用有效的风险控制技术才能减少不安全事件的发生概率、降低不安全事件的严重程度。风险控制技术[4]一般有消除、替代、减缓、隔离、程序和加强人的意识等。如图1所示，以上风险控制方法的效果一般情况下依次衰减，所以应尽可能采取高级别的风险控制方法，并进行多级控制。采取以上手段，可以在一定程度上控制风险，但是并不能完全消除系统的所有风险，安全管理只能追求本质更安全。安全管理还应遵从安全投入最大效益原则[5]，如图2所示，当安全效益在优选范围S1和S2之间，特别是靠近S0点时，系统具有较好的安全效益；安全投入不足必然导致安全效能和安全效益都较差，但毫无限制地加大安全投入，固然可以提高安全效能，但是总体安全效益却呈下滑态势。因此，采用风险控制的技术应该兼顾到安全效能、安全投入与安全效益的关系。

2.3 加强纵深防御体系的建设

对于系统全寿命周期而言，“纵深防御”的事故预防和减灾思想从时间序列上应贯穿于系统投入使用前的安全设计和制造、系统运行中的风险控制、事故发生过程中的应急处置、事故发生后的系统改进等环节，从空间序列上应该综合使用“硬保障”、“软保障”和“人的效能”等立体防范手段。

“硬保障”是指在航空系统建设中依赖工程和技术的改进来提升航空设施、设备和运行环境的可靠性，尤其是通过自组织、自适应、自控制等有形手段来建立防错、容错、纠错的功能以控制风险，例如：安装安全装置、设置告警功能。上文所说的源头管理应着重通过“硬保障”提升系统的本质更安全特性。“软保障”是指在系统建设过程中，通过制定、健全航空法规、规章标准等规范组织和个人行为的制度保障体系来控制风险，例如：制定工作程序、规范书面要求等。由于“软保障”的失效，民航业也付出了代价。1969年11月15日，一架IL14在江西与太平山相撞，其中一个重要原因是机组和管制员使用的航图上实际高度为841 m的太平山被标注成508 m；1995年3月23日，一架夏延在济南撞山坠毁，原因之一就是航行资料中张庄机场南北远台虽呼号不同，但频率一样，容易混淆，以致机组误将南远台当做北远台进近，偏离航径。1995年12月20日，一架B757在哥伦比亚撞山，进近过程中机组选择“R”以期前往“ROZO”导航台，但另一个无线电频率一样且摩尔斯代码也为“R”的导航台“ROMEO”成为首选，导致机组偏航。文献[5]记载了一个副驾驶将飞行程序中的航路点高度3 280 ft念成2 380 ft，导致飞机撞山[6]，究其因主要是该航路点的高度设计不合理，如果是3 300 ft则具有较好的本质更安全特性，想念错都困难。“人的效能”是指系统运行过程中，通过发挥个体及团队的自主自觉性来控制风险。人的本质安全是：①通过筛选，具备良好的职业适应性；②经过教育、培训，掌握良好的知识和技能；③受安全文化的熏陶和引导，拥有积极的安全意识，自觉自愿地承担安全责任。

“硬保障”、“软保障”和“人的效能”都是加强纵深防御体系建设的重要手段，它们之间存在一定的边际替代关系。安全是一种产出效能，如果将“硬保障”、“软保障”、“人的效能”视为民航安全生产要素，Cobb-Douglas生产函数[7]表明，当系统总体安全效能不变的情况下，投入要素之间可以在一定程度上相互替代。

令

式中：Y为系统的安全效能；X1、X2、X3分别为“硬保障”、“软保障”、“人的效能”等投入要素；A为正的常数；L、K、T 分别为“硬保障”、“软保障”、“人的效能”的投入当量；α、β、γ 分别为“硬保障”、“软保障”、“人的效能”对安全效能的产出弹性系数，表示投入要素的变化引起安全效能变化的速率。

对 Y=F（X1，X2，X3）求全微分，即

当效能一定时，dY=0，所以

当然，完全依赖高层次的防御体系并不现实，不足以防范事故的发生，还需要采取综合、立体的防范措施。例如，防止跑道侵入需要在机场设计、建设之初合理考虑跑道、滑行道的布局和结构；飞机装备防止滑行错误的机载设备；安装地面活动监视设备；为机组提供道面标志、标记牌、灯光系统、航行通告；使用无线电标准陆空通话；完善运行程序；加强人员的教育和培训等方面。

为了解决某方面的安全问题增加系统某项功能的同时，又诱发一些新的问题，如自动化虽减轻人的负荷，但它使系统愈发复杂和不透明。因此，在各种矛盾中寻找平衡、合理取舍也是很重要的。“人的效能”虽然是最后选择，但必不可少。到目前为止，民航系统仍旧以人为中心，人常常把握着系统最后一道风险防范关口。很多情况下，虽然“硬保障”和“软保障”阻挡了大量风险，系统中的残余风险仍然存在，继续控制风险的任务只能交给运行人员去完成。试想，某硬件安装中需要将3个螺母依次安装到一个螺栓上时，假设正确的安装方法是唯一的，则错误的安装方法（包括遗漏和顺序不当，不包括安装不到位）有15种（P33+P32+P31+P30-1）。在这种情况下，出错的概率远远大于不出错的概率，这说明“软保障”（安装程序）和人的因素依然很重要。

2.4 加强防御体系间的协同交互

民航系统绝非单纯的技术系统，而是一个复杂的社会技术系统。它是由其构成要素（人、硬件、软件、环境、管理）通过复杂的交互作用形成的有机整体，系统构成要素之间是一种非线性关系。一方面，基于还原论思想，加强各系统要素的可靠性对于提高系统的可靠性固然意义重大；另一方面，基于系统论思想，还应看到系统的性质不能完全归结于其组成要素的性质，系统还有其内部结构和关联度所决定的特有性质。钱学森曾经指出，重复不太可靠的元件可以组成高度可靠的系统（工程控制论，1954）。构成系统的要素永远达不到100%的可靠，但这并不妨碍系统作为一个整体达到预期的安全性。反之，对于复杂的系统而言，系统的本质安全性并不代表系统的构成要素也是本质安全化的。由于系统自身具有一定的避错、纠错、容错和自组织能力，系统本质安全化的实现不能只是片面追求要素的本质安全化，当系统的构成要素具备一定的相对可靠性，可通过系统微观层面的和谐交互机制使系统要素的缺陷避免在同一时间和空间表现出来，从而使系统获得整体的本质更安全性。安全管理是实现人与人、人与硬件、人与软件、人与环境紧密匹配的纽带和桥梁，是加强防御体系之间的协同交互的有效控制手段。因此，堵塞管理漏洞，保证防御体系之间的协同交互是本质更安全化建设的要求。

2.5 安全文化建设

民航是一个复杂的巨系统，远非一个电动剃须刀可以比拟，其本质更安全化建设也绝非如此简单。无论是通过源头上的最小风险设计，还是消除风险的控制技术，或是采纳“硬保障”、“软保障”的手段并不能解决所有的安全问题，还必须依赖“人的效能”进行弥补。Cobb-Douglas生产函数也表明，如果任何一种投入要素为0，则产出也为0。一般情况下，每种投入要素都是必需的，没有一种要素可以完全替代另一种要素。虽然人的可靠性有限，其提升的难度颇大，差错无法避免，但“人”毕竟是系统的中心，其积极意义远大于消极影响。任何一层系统防线都不可能完美无缺。在运行现场，“硬保障”和“软保障”都是按照预先的设计而呆板工作，不可能面面俱到预测到现实运行中的所有情况，“硬保障”、“软保障”都可能失效，如在规章制度覆盖不到的地方，系统中心的“人”往往是完成任务、解决问题唯一的屏障。“硬保障”、“软保障”从根本上讲都是辅助人的工具。因此，关注“人的效能”是一个亘古不变的话题。

T=（K+S）× A，式中：T 为“人的效能”，K 为知识，S为技能，A为态度。知识和技能可以通过教育和培训获得，而决定员工形成某种态度的因素主要包括价值观、制度、习惯。价值观是行为的内驱力，制度是行为的外驱力，行为不断重复形成习惯。知识、技能、态度都是安全文化建设所关注的内容。安全文化可以提高人的效能，减少协调成本，弥补“硬保障”、“软保障”的缝隙。随着安全管理的发展，文化逐渐成为一种高效的管理手段。广义的民航安全文化是人们在民用航空活动中所创造的物态文化、行为文化、制度文化、观念文化的总和。狭义的民航安全文化侧重于文化的精神层面，它是指人们在民用航空安全实践中逐渐形成、积淀并普遍认同的思想观念、行为准则和价值趋向的总和[8]。由此可见，无论是“硬保障”、“软保障”还是“人的效能”，都是文化的具体表现。没有人可以脱离文化去思考或行动。如同生活在空气中一样，我们还生活在文化中。民航安全管理中的本质安全化建设需要培育积极的安全文化，潜移默化地熏陶员工“我要安全”的态度。

3 结语

狭义的本质安全并非随时随处都能得以实现。关于本质安全的理论和实证、概念和内涵都有待继续发展，相对于“现象安全”或“安全表象”而言，其明确要求从系统的整体出发，充分考虑系统要素的协同交互，追求系统的更优解，无论系统处于正常运行状况或偏离正常状态，均能保持安全运行。本质更安全建设主张通过源头管理、“硬保障”措施消除或控制系统风险，创造安全的生产条件。在加强系统诸要素可靠性建设的同时，本质安全论倡导优先选择高级别保障手段、加强系统要素之间的相互协同，构建纵深防御体系，从而避免各要素缺陷在同一时空表现，击穿防御体系的所有层面。

[1]吴宗之，任彦斌，牛和平，等.基于本质安全理论的安全管理体系研究[J].中国安全科学学报，2007，17（7）：54-58.

[2]高 阳.“4.28”胶济铁路事故深度调查[J].中国安全生产，2008（5）：38-40.

[3]罗 云，程五一.现代安全管理[M].北京：化学工业出版社，2004：13.

[4]ICAO.Safety Management Manual（Doc9859）[G].2nd ed.New York：ICAO，2009.

[5]罗 云.安全经济学[M].北京：化学工业出版社，2004：42-43.

[6]刘汉辉.民用航空安全之道[M].北京：中国民航出版社，2008：75.

[7]蒋殿春.高级微观经济学[M].北京：北京大学出版社，2006：2-5.

[8]徐德蜀，邱 成.安全文化通论[M].北京：化学工业出版社，2004：58-60.