一、先从“蝴蝶效应”讲起:
“蝴蝶效应”是人们经常谈论的一个科学典故,说巴西的一只蝴蝶震动翅膀,有可能在几周之后,在美国德克萨斯州,导致一场飓风。人们经常用蝴蝶效应形容微小的事情可能带来很大的影响。
下面这张图,大概是人心目中蝴蝶效应的一个形象写照 ——
从小到大的一堆多米诺骨牌排在一起,最大的一块有一个人那么大,最小的一块比指甲盖还小,只能用镊子拿。放倒最小的一块,骨牌就会连锁反应,最终把最大的一块也推倒。
这不就是蝴蝶效应吗?
这不就是小骨牌导致了大骨牌的倒下吗?
实际上,上述是一个错误的认知。
真正导致了大骨牌的倒下的是这些骨牌的排列方式。它们组成了一个极其危险的系统。就算最小的骨牌不倒,中间任何一个骨牌倒下,都会导致后面所有的骨牌倒下。
要追责的话,我们要问的不是谁推倒了最小的骨牌,更多地应该要追责:是谁 把骨牌排列成这个样子?
这就好比说如果你把一堆炸药堆放在一起,只要一个火星就能引起爆炸,那如果真的爆炸了,你不应该埋怨那个火星,你应该反思的是为什么炸药这么危险的东西不好好管理。
因为:火星总会来的。小骨牌总要倒下。蝴蝶总要震动翅膀。
所以
二、我们应该怪罪的是系统,而不是导火索。
1979 年,美国宾夕法尼亚州的三里岛核电站,发生了一次严重的反应堆融毁事故。事故没有造成直接或者间接的人员伤亡,但是光是清理费用就超过了 10 亿美元。
当时美国政府请了一位叫查尔斯·佩罗(Charles Perrow)的社会学家帮着分析事故原因。是佩罗的研究,从此改变了人们对大事故的看法。
跟一般公众的观点相反,核电站,其实是一种非常不容易出毛病的装置(当然,切尔诺贝利核电站例外,它完全是因为没经验的设计,才出了那么大的灾难)。三里岛核电站是老式的设计,安全性能跟今天的新型核电站不能比,但即便是这样,它也没那么容易出问题。佩罗发现,三里岛事故,是由三个原因同时起作用导致的 :
第一,反应堆有个给水系统,正常情况下应该供水,但是出现故障没用供水。本来这个可能性在设计方案中就考虑到了,还有两个备用系统可以自动供水 —— 但不巧的是,备用系统在之前维护的时候被关闭了,没有按规定打开。
第二,因为没有水,反应堆温度就上升,这时候有个泄压阀就自动开启降低温度。等到温度降下来,按理说泄压阀应该自动关闭,可是因为故障它没有关上,于是导致反应堆的冷却剂往外流。
第三,如果工作人员能正确判断发生了什么,也能立即采取有效措施。可是工作人员看到的指示灯显示泄压阀已经关闭了。这是因为指示灯的设计是显示是否已经“命令 ”泄压阀关闭,而不是显示泄压阀的真实状态。工作人员被误导了。
这三件事只要有一件不发生,大事故就不会发生。
英文中有个词叫“完美风暴(perfect storm)”,意思是几个因素恰好一起发生了,导致一个剧烈的后果 —— 三里岛核事故,就是一场完美风暴。
那请问,这个事故里谁是蝴蝶呢?应该指责谁呢?人们本能反应是指责当时负责操作的工作人员,可是三件事是在 13 秒内发生的!工作人员根本来不及反应!
佩罗说,我们真正应该指责的是系统。
那什么样的系统容易出危险呢?
我们石油化工生产装置构成的整体也是一个容易出危险的系统。它具备危险系统的两个特征:
1、“复杂”。
“复杂”对应到英文有两个词,一个是 complex,一个是 complicated。后者的意思差不多是“很麻烦、不容易理解”,而前者的意思是系统的各个部分互相关联,不是简单的连接。我们说的这个复杂是 complex。
我们知道系统里有正反馈和负反馈回路。正反馈回路会让系统不稳定,负反馈回路会让系统回归稳定。
石油化工生产装置这种系统实在太复杂了,其中有各种反馈回路,有些部分之间的关联还是隐藏的,可能连设计者都想不到。如果其间有一个正反馈关联回路是你没想到的,在事故中开启了,就会很麻烦。
2、“紧致耦合(tight coupling)”。
所谓紧致耦合,就是这个系统缺少缓冲地带 ,错一点都不行,几乎没有任何容错机制。
比如大桥就是一个不复杂、耦合也不紧的系统。哪个桥墩有问题,不至于马上波及别的桥墩,大桥对付着还能用上一段时间。道路交通也不复杂,但是耦合比较紧,一条路上任何一个地方出事故,整条路都得堵车。大学系统很复杂,但是耦合不紧,教授们就算搞搞政治斗争也翻不了天。可是像核电站和化工厂这种东西,如果又复杂耦合又紧,那就容易出大事故。
三、我们的安全培训:
作为部室的安全员,每个月至少需要进行一次安全培训课,每次培训都是需要找些事故案例讲些事故原因,事故教训等等,无非是员工安全意识淡薄,安全监护不到位等,几乎很少提到是我们工厂本身的安全系统配置没有真正落到实处。
当我们们强调“安全”的时候,总爱说什么要狠抓“安全意识”,什么“安全要年年讲月月讲天天讲”,什么“警钟长鸣”。可是光强调安全意识有用吗?
安全意识关注的是蝴蝶。如果飓风真的是由蝴蝶引起的,那你就应该好好教育蝴蝶们,不要随便震动翅膀。如果事故真的是因为工作人员疏忽,那你就应该给员工天天讲。
其实“天天讲”是一个很不好的教育方法,重复的信息会被人脑自动忽略、过滤掉它。如果一个烟雾报警器有事儿、没事儿、动不动就叫,你会直接关掉它了事。
更重要的是,真正的大事故不是由蝴蝶引起的。更多的往往是系统过于追求效率,搞得其系统配置细节上一环紧扣一环,没有冗余、回旋余地,结果一步错就导致后面步步错。就类似上面的多米诺骨牌的倒塌。
我们需要的不是安全意识,而是一个真正安全的系统。
经常与蝴蝶效应同时出现的一句话是“XX无小事”,其实,这也是一个错误的观念。
如果一个领导只会笼统地说什么“这很复杂啊!这很重要啊!千里之堤毁于蚁穴啊!安全无小事!”,我认为这领导啥也不懂。
做事得善于分清轻重缓急。敢于忽略小事,你才能做好大事。
我们只有把系统搞好了,让系统有缓冲余地,具备容错功能,才可以“有恃无恐”。反过来说如果系统不行,我们即便小心驶得万年船般地整天战战兢兢也难保不出事儿。
