事故预防与责任理论基础

事故预防与责任理论基础随着技术与社会的发展，事故预防的基本理论也发生着变化。事故责任、预防理论反映人们对事故责任归属的认识，并要求责任人开展事故预防工作。本章对事故预防与责任的基本理论展开研究，为论文的研究提供理论依据。事故预防相关理论系统安全理论20世纪五、六十年代以后，科学技术进步的一个显著特征是设备、工艺和产品更加复杂。战略武器的研制、宇宙开辟和核电站建设等使得作为先进科学技术标志的复杂巨系统相继问世。这些复杂巨系统中弱小的差错就可能引起大量的能量意外释放，导致灾难性的事故。人们在开辟研制、使用和维护这些复杂巨系统的过程中，逐渐萌发了系统安全的基本思想。所谓系统安全，是在系统寿命期间内应用系统安全工程和管理方法，辨识系统中的危（wei）险源，并采取控制措施使其危（wei）险性最小，从而使系统在规定的性能、时间和成本范围内达到最佳的安全程度1521。在系统安全思想浮现以前，安全计划往往是根据事故预防的“事后原理”逐次地制定的，例如飞机创造常用的“飞-停-飞”方法。安全往往由一些与某些活动有关的人员非正式地予以研究，当事故发生时，就调查事故的原因，然后检查和讨论事故原因以决定今后应该怎样办。根据讨论的结果，对现有结果进行修正、改造或者改正设计的防护措施，以防止类似事故的发生。系统安全包括有计划的，科学的，系统地管理的，“事先”的过程，以安全的“判定-分析-控制〃方法为其特征。重点是在系统实际生产或者运行前，给系统设计以可接受的安全水平。系统安全要求在损失造成前及时地判定和评价子系统的危（wei）险153]O按照系统安全的观点，系统中存在的危（wei）险源是事故发生的原因。所谓危（wei）险源是可能导致事故、造成人员伤害、财物损坏或者环境污染的潜在的不安全因素。系统中不可避免地会存在或者浮现某些种类的危（wei）险源，不同的危（wei）险源有不同的危（wei）险性。危（wei）险性是指某种危（wei）险源导致事故、造成人员伤害、财物损坏或者环境污染的可能性。由于不能彻底从蒸汽机被发明到被用于火车头大约经历了110年，此时设计者的人数也比较少。人们重点关注的是技术的经济效益，而对于技术对人造成的伤害考虑甚少。产品浮现问题，设计者不承担任何责任。随着技术的进步，技术被用于工程的周期大大缩短，设计者的人数也与日俱增。越来越多的人认为，不能把事故责任简单说成工人的不注意，机械的、物质的危（wei）险性在事故致因中同样重要。这时，不安全设备造成的事故，要求设备的创造商承担责任。20世纪五六十年代以后，对于系统本身的安全性要求越来越受到重视。本质安全和产品安全把防止事故的主要责任放在了企业、创造厂家身上，而设计者是技术的主体，这样设计者的安全责任逐渐凸显。设计者的责任可归属于工程师责任，职业伦理的研究推动了设计者责任的发展。如在美国，设计者的责任经历了三个阶段。第一个阶段，19世纪中后期，职业工程社团制定的内部条例。第二阶段，20世纪初，为忠诚伦理学阶段，美国电气工程师学会、美国土木工程师学会和美国机械工程师学会制定伦理学守则，强调商业利益或者公司忠诚。第三阶段始于第二次世界大战，主要特点是强调工程师的责任，承认公共安全、健康和福利的重要性，强调工程师的主要职责是对公众福利负责，关注生命安全和公众健康。20世纪70年代，由于一系列技术事件，如福特发动机设计的失败导致的致命事故、三英里岛的核事故，以及环境保护和消费者保护运动的发起，引起了人们加强设计者技术伦理教育的重视64。2.4政府责任在18至19世纪自由资本主义制度下的法理观念中，政府的职能非常单纯，在这一时期，国家的职能仅仅是自由资本主义社会的“守夜人”，其任务是为社会经济活动创造安全的环境。“最好的政府是管得至少的政府”是当时的至理名言。然而，随着经济的进一步发展，无节制的自由竞争产生了垄断，而过度垄断破坏了正常的经济秩序，频繁爆发的经济危机使自由市场的缺陷和弊端也暴露无遗。为r减少自由经济制度对社会经济发展所产生的负面影响，政府开始在一定程度上干预市场、干预企业行为，因此而导致了玫府职能的转变。19世纪，英国全面进入工业革命，机器大工业获得广泛应用。大量失去生产资料的无产者将自己出卖给资本家，在恶劣的劳动环境下长期被束缚在工厂机器上，安全条件和职业卫生毫无保障。在此情况下，英国国会开始着手调查在英国普遍存在的恶劣工作环境问题，1802年英国议会首先通过了《学徒健康与道德法》，对雇用学徒的劳动条件及劳动待遇进行了规定［65］。1833年的《工厂法》对工人的劳动安全、卫生、福利作了规定，建立了检查员制度，制订了有关工作时间等规则。而最为重要的，是任命了专职的检查员，同时它也确立了政府干预的原则。随着技术的发展，我们面对着越来越多的风险，这些风险的不确定性及其所带来的无从弥补的伤害，仅靠企业不能得到有效的控制，可以说现代风险社会带来了规制社会的兴起。风险社会最大的特征是“人化”和“制度化”，现代风险的产生其归根结底是由于人类自身的原因，即便是自然风险的产生，仍是人类自身认识和活动能力的增强的连锁反应而导致的不确定性和未来的可能性：在一个由制度性的结构所支撑的风险社会中，风险社会总是与制度联系在一起的，等级秩序混乱和缺乏制度上的一体化标志着风险社会理论的本质［56］,因此，风险社会要求政府负担起责任，以规避风险。规制(Regulation)作为具体的制度安排，是“政府对经济行为的管理或者制约”，是政府或者一些公众机构根据相应的法律法规，依照一定的程序，对企业和消费者的微观经济行为进行的干预、支持、鼓励、限制和约束，以弥补市场失灵，提高经济效率，保障劳动者和消费者安全、健康、卫生以及保护环境和防止灾害。采取合理的规制手段并严格执行，是政府的责任。可以说，在我们日益复杂，相互关系密切的社会结构中，安全责任正从个人转向政府。个人再也没有能力控制其周围的危(wei)险，而要求政府通过法律和各种形式的监管和规章承担较大的安全责任。随着企业受到越来越大的市场压力和预算压力，政府必须提供公众要求的保护，否则，个人和团体将转向法庭寻求保护。地消除所有的危（wei）险源，也就不存在绝对的安全。所谓的安全，只无非是没有超过允许限度的危（wei）险，系统安全的目标不是事故为零而是最佳的安全程度。相应地，作为实现系统安全手段的系统安全工程的基本内容是危（wei）险源辨识、危（wei）险源控制和危（wei）险性评价。几乎与系统安全同一时期，本质安全的理念开始浮现在工业安全领域。本质安全是指相对于依靠对人的教育、管理实现的安全，生产过程、机械设备、劳动条件的安全才是本质上的安全。本质安全本质安全的理念产生于二次世界大战之后，自20世纪中叶以来逐渐成为许多工业发达国家的主流安全理念。“本质安全”一词来源于电器设备的防爆结构，指的是在正常状态或者发生事故时，所产生的火花、电弧和高热都不致引燃爆炸性气体。普通意义上的本质安全，是指从根源上减少或者消除危（wei）险，而不是通过附加的安全防护措施来控制危（wei）险。本质安全主张通过工程技术措施消除、控制系统中的危（wei）险潴创造安全的生产作业条件。这就要求企业采用先进的、安全的生产工艺、机械设备、装置等，为操作者提供安全的生产作业条件。企业必须承担主要的安全生产责任，保证足够的安全投入以提高企业的本质安全程度。本质安全设计是实现本质安全的一种技术理念，被广泛应用于各个工程技术领域。本质安全设计作为危（wei）险源控制的基本方法，通过选择安全的物料、工艺路线、机械设备、装置等，在源头上消除或者控制危（wei）险源，而不是依赖“附加的”安全防护措施或者官理措施去控制它们54.551o进行本质安全设计首先要通过系统安全分析辨识系统中可能浮现的危（wei）险源然后针对辨识出来的危（wei）险源选择消除、控制危（wei）险源效果最好的技术方案，并在工程设计中体现出来。不同的工程技术领域需要消除、控制的危（wei）险源不同，采取的具体技术原则也不尽相同。1974年英国的克莱兹（TrevorKletz）提出了过程工业本质安全设计的理念。在Flixborough>Seveso等重大工业事故之后，本质安全设计的理念在化工、石油化工领域受到广泛重视。SevesoII指令要求作为重大危（wei）险源的重大危（wei）险设施优先采用本质安全设计。化工、石油化工等过程工业领域的主要危（wei）险源是易燃、易爆、有毒有害的危险物质，相应地涉及生产、加工、处理它们的工艺过程和生产装置。1985年克莱兹把工艺过程的本质安全设计归纳为消除、最小化、替代、缓和及简化5项技术原则：（1）消除（elimination）;⑵最小化（minimization）;（3）替代（substitution）;（4）缓和（moderation）;（5）简化（sinplification）应该注意，采用“消除”原则时人们只能消除某种或者某几种选定的危（wei）险物质，而不能消除所有危（wei）险物质。特殊是，许多物质的某种危（wei）险特性往往也是将要加以利用的特性，如可燃性物质虽然可能发生火灾、爆炸，却可以提供能源，不能将其消除。因此，有些文献中只提后面的4项原则。过程工业生产装置本质安全设计的技术原则主要有：⑴避免产生多米诺效应。⑵使得不正确的安装不能进行。⑶使状态清晰：使操作者清晰了解装置、设备的状态。（4）容错：容忍操作失误、安装不良和设备故障。（5）容易控制；采用较少的仪表和较简单的控制系统。⑹软件：软件简单便于使用和理解，所有装置的控制系统的软件应该一致等。在核电站的本质安全设计方面，目前新建的核电站都选用技术成熟、较安全的压水堆，当核能释放得太快时，反应堆能自动限制核能释放的速度，使反应堆功率维持在一个比较安全的水平上。前苏联切尔诺贝利核电站曾经采用的压力管式石墨慢化沸水反应堆早已经被淘汰了。在机械安全领域，在欧盟标准基础上的国际标准IS012100《机械类安全设计的一般原则》中，贯通了“人员误操作时机械不动作”等本质安全要求［57］。在机械设计中要充分考虑人的特性，遵从人机学的设计原则。除了考虑人的生理、心理特征，减少操作者生理、精神方面的紧张等因素之外，还要“合理地预见可能的错误使用机械”的情况，必须考虑由于机械故障、运转不正常等情况发生时操作者的反射行为、操作中图快、怕麻烦而走捷径等造成的危（wei）险。为了防止机械的意外启动、失速、危（wei）险浮现时不能住手运行、工件掉落或者飞出等伤害人员，机械的控制系统也要进行本质安全设计。根据该国际标准，机械本体的本质安全设计思路为：（1）采取措施消除或者消减危（wei）险源；（2）尽可能减少人体进入危（wei）险区域的可能性o主要技术原则包括以下内容：（1）消除锋利的端部、角和突起物等；（2）机械的形状、尺寸以及驱动力等保证操作者身体一部份不被挤伤、撞伤；⑶足够的机械强度；⑷采用无害材料、本质安全型防爆电器等本质安全技术；⑸良好的人机学设计减轻操作者负担、防止误操作；（6）防止控制系统故障产生的危（wei）险；（7）避免人体或者人体一部份进入机械危（wei）险区域作业等。经过本质安全设计后，虽然系统中的危（wei）险源被消除、控制了，危（wei）险性降低了，但是仍然有危（wei）险源和危（wei）险性，即有“残存危（wei）险（residualrisk）”。于是，有人建议使用术语“本质较安全设计（inherentlysaferdesign）取代“本质安全设计”，提醒人们不要产生误解［58］。本质安全理念要求企业从项目建设之初就从源头上控制其危（wei）险，从设计开始就做到用技术解决安全问题，要求设计部门负担起事故预防的责任。纵深谨防与防护层经过本质安全设计后系统中的残存危（wei）险往往高于可接受危（wei）险（acceptablerisk）水平，仍然需要采取安全防护措施进一步降低系统的危（wei）险性。根据安全防护措施发挥防护作用的原理，安全防护分为被动防护（passiveprotection）和主动防护（activeprotection）两类。前者主要是一些没有传感元件和动作部件而被动地限制、减缓能量或者危（wei）险物质意外释放的物理屏蔽，如机械的防护栅、防护罩，化工罐区的防液堤等；后者是一些检测异常状态并使系统处于安全状态的报警、联锁、减缓装置，或者使系统处于低能量状态的装置，如紧急停车系统等。主动防护措施既可以用于防止事故发生，也可以用来减轻事故后果。核电站在运用系统安全工程实现系统安全的过程中，逐渐形成为了“纵深谨防（defense-in-depth）”的理念。为了确保核电站的安全，在本质安全设计的基础上采用了多重安全防护策略，建立了4道屏障和五道防线。其中，为了防止放射性物质外泄设置的4道屏障一被动防护措施包括：（1）燃料芯块。（2）燃料包壳。（3）压力边界。（4）安全壳。核安全领域最早开展了概率危（wei）险性评价（PRA）,并把它作为基于危（wei）险性的（risk-based）设计决策的基础。近年来又浮现了“应用危（wei）险性信息（risk-informed）”的新的决策理念，决策时除了考虑概率危（wei）险性之外，还要把纵深谨防等因素考虑进去。纵深谨防理念在核安全领域已经深入人心，对其它领域也产生了深刻的影响［59］o20世纪80年代美国化工过程安全中心（CCPS）提出了防护层（LayerofProtection,LP）的理念。针对本质安全设计之后的残存危（wei）险设置若干层防护层，使过程危（wei）险性降低到可接受的水平。防护层中往往既有被动防护措施也有主动防护措施。在工艺本质安全设计的基础上设置了6个防护层：（1）基本过程控制系统。⑵监测报警系统。（3）安全仪表系统。（4）机械防护。（5）结构防护。（6）程序防护。其中，机械防护和结构防护都属于物理防护，前者是在危（wei）险物质释放前就发挥作用的防护措施，属于主动防护措施；后者是在危（wei）险物质释放后才发挥作用的防护措施，属于被动防护。因此，它们也被称为主动物理防护和被动物理防护66~611。系统在投入运行前，其危（wei）险性必须控制在可接受的水平。防护层或者纵深谨防理念是对采取本质安全措施后，系统安全的有效补充，需要在设计的过程中加以考虑，反映了对设计过程的事故预防要求。无论是系统安全还是本质安全、纵深谨防思想均强调事前预防的事故预防原则，以应对技术进步、产品复杂化、技术转化速度的加快、劳动分工的细化等因素对安全的影响。新的系统理论事故模型近年来科学技术和社会进步空前迅猛。新技术带给我们的许多未知的东西，甚至是未知的未知(unk-unks)o以计算机为代表的数字技术的广泛应用带来新的故障模式，以往用于提高硬件系统可靠性的冗余技术非但不能防止软件造成的事故，反而由于增加了系统复杂程度导致危(wei)险性增加。莱文森(LevesonN.G)建立了基于系统理论的系统理论事故模型STAMP(Systems-TheoreticAccidentModelandProcesses),从复杂性科学的角度出发，把安全看做是在一定环境下系统元素相互作用产生的涌现特性，而涌现特性受到与系统元素行为相关的约束的控制或者强制，模型结构如图2.1所示62]。相应地，事故致因中除了故障和人失误之外，还有元素之间非功能性的相互作用。系统元素之间非功能性相互作用引起的事故称为系统事故，系统事故的发生是由于缺乏适当的控制来约束元素之间的相互作用。基于此提出，防止事故需要辨识和消除或者者减轻系统元素之间的不安全的相互作用，在系统开辟、设计和运行过程中加强控制和强化有关的安全约束。技术系统之上的是提供目的、目标和决策准则的社会系统。企业是社会的一部份，一个国家、一个地区的政治、经济、文化、科技发展水平等诸多因素都对企业内部事故的发生有着重要的影响。日本的北川彻三很早就注意到，事故的基本原因还应该包括学校教育的、社会的、历史的原因，防止事故不仅仅是企业的事情，还需要全社会的共同努力。拉斯姆逊等人认为，事故的发生是涉及立法、政府机构、工业协会和保险公司、企业管理者、工程技术人员和操作者在内的整个社会-技术系统的复杂过程[63]o根据STAMP模型，复杂社会-技术系统的安全控制呈阶层构造，阶层之间的交壤面处运行着控制系统。事故是由于安全控制没有充分强化对系统设计和运行的约束造成的，于是主张在整个系统寿命期内通过复杂社会-技术系统各阶层，特殊是较高阶层

的控制活动不断强化安全约束，实现系统安全。在日益复杂、相互关联密切的复杂社会-技术系统中，个人已经没有能力控制其周围的危(wei)险，只能要求政府通过法律、法规和各种形式的监督管理担负起较大的防止事故责任。防止事故的责任正在从个人向政府转移［7］。公司管理规范、国会、立法机构立法回府南机构I工业协会政府报告游说议员听证会事故的费者协会、工会保险公司、法院标准认证处罚起诉■事故报告

运行报告

维护报告出标资运行报告项目管理安全方针 ，情况汇报标准 危(wei)险评价资源 ▼ 意外报告设计、文件 |.检测报告i危~|(wei)官理——危(wei)由分派报告运行假设运行程序工作指令安全约束佥分推圆要求 审查结果实施和保障公司管理规范、国会、立法机构立法回府南机构I工业协会政府报告游说议员听证会事故的费者协会、工会保险公司、法院标准认证处罚起诉■事故报告

运行报告

维护报告出标资运行报告项目管理安全方针 ，情况汇报标准 危(wei)险评价资源 ▼ 意外报告设计、文件 |.检测报告i危~|(wei)官理——危(wei)由分派报告运行假设运行程序工作指令安全约束佥分推圆要求 审查结果实施和保障安翎艮告建设文件设计原理i）险新版硬件更新实际过程▲ 变更申请审计报告问题报告工作程序安全报告J，3■审计——检查建造维护与发展问题报告意外事件

绩效审计图2.1系统理论事故模型（STAMP）Fig.2.1Systems-theoreticaccidentmodelandprocesses（STAMP）由此可见，事故的发生是涉及立法、政府机构、工业协会和保险公司、企业管理者、工程技术人员和操作者在内的整个社会-技术系统的复杂过程，产品安全与工业安全二者是相互影响，共同促进的。系统理论事故模型对事故责任的认识又有了进一步的发展，从企业责任发展为政府责任等多方面的责任。事故的演变也由单向链事故致因模型，发展为具有反馈、反映约束的复杂社会-技术系统模型，应对事故更突出了预防的作用。以此理论模型为基础，对产品责任预防问题进行分析可知，创造商是产品责任预防的主体，产品缺陷对用户造成伤害，要求创造商承担赔偿责任，一方面是对创造商的惩罚，同时也体现了对受害者的救济。但产品缺陷的始作俑者应该是设计者，产品缺陷的真正责任者是设计者，从这个角度，创造商也是受害者，处于被拯救的地位。而惟独设计者才干拯救创造商，使其免受追责。但如果把事故的责任都归于设计者，设计者将不堪忍受，必须有合理的制度拯救设计者。政府指导制定的各种安全标准正是保护设计者的制度，它承认通过设计能达到的安全的界限，并认为超过该界限而发生事故属于不可抗拒的，应该由创造厂家进行赔偿。但即使遵循了标准，降低了危（wei）险性，也不能随意断言事故是不可抗拒的，第三者认证制度是保证做出正当判断的制度，推进标准化进程、建立认证制度并推进其执行是政府的责任。经过产品责任预防后，产品仍有缺陷并造成伤害，就要由产品责任法进行处理。这样就浮现了保证产品安全的责任的转移，由创造商向设计者转移，再由设计者向标准的制定机构与认证部门的转移。可见，预防产品责任的任务正从个人向政府转移，产品安全工作是个系统工程，需要多方面共同的努力才干够实现。从系统理论事故模型中可以看出，产品安全与工业安全关系密切。生产过程中使用的机械设备、工具等是产品，计算机控制软件也是产品，产品的安全性直接影响了工业的安全。而工业安全与产品安全实现的路径基本相同，都要依靠立法、政府机构、工业协会和保险公司、企业管理者、工程技术人员和操作者等各方面的力量才干实现，工业安全的实现可以借鉴产品安全措施。2.2事故责任基本理论2.2.1管理者责任19世纪80年代，美国的工人管理者发起了工作安全的理性管理运动，他们主张劳动过程的管理、等级、理性化模式。工程师建立起协会，还浮现了面向工程师与管理者的杂志，这些都促进了专业知识的传播与整理。科学管理可以以科学理性取代工人非正式的操作技巧。这种管理工程改变了美国人的工作理念，同时也引入了管理者责任的新原则。在管理者看来，如果雇员的疏忽是不可避免或者无法阻挠的，如果偶尔的遗忘、过失和无知是人性的通病，那末可以推论出事故预防与经济过程的有效合理化必然不能依靠工人，关键在于走上生产与劳动管理的新科学路径。管理者在讨论事故原因时，考虑到了哪一方最有可能阻挠事故的发生。事故的原因至少是双边的，有时还可能涉及其他人，但制度化的公司组织以及管理者所具备的技能，可以来解决工作事故问题。这就是事故成本应该分配给公司而不应分配给雇员的原因。管理人员面对工业危机，建立起由公司设立的雇员事故赔偿金。管理者责任的原则促使雇主赔偿基金的浮现，而将受伤工人的赔偿看做是应包括在生产成本中的费用。关于管理者责任与事故原因的新理论促使了工业安全运动的开始。科学的工程设计、建造、操作、检查在锅炉爆炸与铁路事故上的成功也使人们认识到科学设计、管理与工业安全的关系。建立和检查安全设施，传播安全信息，执行安全规定等工业安全理念逐渐浮现。管理者责任的理念使得美国铁路、钢铁业等一些企业设立了雇主赔偿基金，但19世纪末，许多公司的领导对管理专家建议的安全措施和事故项目没有表现出太多的兴趣。法院拒绝执行雇佣合同中禁止受伤工人起诉雇主侵权的条款，以及采取事故救济方案会使公司在竞争中处于劣势的现实，形成为了私方雇主赔偿项目的制度障碍。但管理者责任的理念却大大推动了工业安全工作的发展，该理念的浮现也使得对设备设施安全重要性的认识进一步加深。2.2.2企业的社会责任二十世纪初，企业以利润最大化作为其惟一的目标，认为企业的社会责任就是其经济责任。在自由经济理论指导之下，企业以利润最大化为惟一目标，置社会公共利益于不顾，贪婪地攫取一切可能的利润，这必然会给社会造成严重的伤害，带来一系列的社会问题。到了20世纪二、三十年代，随着企业经济的急剧发展，企业引起的社会问题也日趋严重，许多学者和企业管理者认为企业除了经济责任外，还应负担起更为广泛的社会责任，如法律责任、伦理责任等。企业社会责任观念的提出，引起了理论界和社会的广泛关注和讨论，并与此先后的劳动者维权运动、消费者权益保护运动、自然资源和环境保护运动等社会运动相结合，形成为了轰轰烈烈的企业社会责任运动