安全4.0时代的重大安全科学问题展望*

2022-06-27王秉

灾害学 2022年2期

王秉

(1.中南大学资源与安全工程学院，湖南长沙 410083； 2. 中南大学安全理论创新与促进研究中心，湖南长沙 410083; 3. 中南大学安全科学与应急管理研究中心，湖南长沙 410083)

坚持问题导向是马克思主义的重要方法论和鲜明特点[1]。安全科学问题是安全科学创新与发展的源和本，安全科学学术研究与学科发展要坚持问题导向。以问题导向创新安全科学，意味着不仅要从实际出发，还要回到现实，回应和解决实际安全问题，并站在安全科学高度结合新的安全问题提炼新的安全科学问题，以新的安全科学问题为导向，不断做出新的安全科学理论创造[2]。根据文献[3]，安全科学是随着工业的发展而逐步形成和发展起来的，强烈的问题意识和鲜明的问题导向贯穿于安全科学发展：①工业1.0时代可视为是安全1.0时代，这一时期出现的大量工业安全问题(即各类工业事故及其伤害)催生了安全科学这一专门的学科研究领域；②工业2.0时代可视为是安全2.0时代，这一时期出现的技术性安全问题催生了技术安全科学；③工业3.0时代可视为是安全3.0时代，这一时期出现的多因素安全问题催生了系统安全科学。

目前，人类社会已全面迈入工业4.0时代。在此背景下，安全界宣告，安全科学已步入安全4.0时代[3-4]。就安全科学研究与发展而言，起重大导向作用的问题是什么？是时代安全科学问题。唯有聆听时代的声音，回应时代的呼唤，认真研究解决所处时代重大而紧迫的安全科学问题，才能推动新时期安全科学理论创新和学科发展。尽管近年来已有学者[5-9]开始关注和研究新时期安全科学面临的新问题，但尚未形成全面系统的认识，尚未上升至安全科学高度，尚未显著体现安全4.0时代的特征和趋势。可见，目前，尚未完整提出安全4.0时代的重大安全科学问题，这严重阻碍当前和未来安全科学拓新和发展。因此，亟待开展安全4.0时代的重大安全科学问题研究。鉴于此，笔者基于学科高度，提炼和展望安全4.0时代的重大安全科学问题，以期指导安全4.0时代的安全科学学术研究和学科发展航向。

1 Safety与Security一体化的安全问题

中文中的“安全”一词是Safety与Security两个英文词汇的集成体。根据Safety与Security各自的含义，二者存在一些区别(表1)[10-12]。由于二者存在显著差异，且传统安全问题相对单一，往往是相对孤立的Safety或Security问题，故传统安全研究和实践往往是将Safety与Security割裂开来看待的[12]。例如，在起初安全研究阶段，工程技术科学派安全工作者(除信息安全工作者)侧重于关注Safety[如事故，这是因为“事故”的英文翻译“Accident”一词的形容词形式为“Accidental(中文意为‘意外的’)”]，社会科学派安全工作者侧重于关注Security。

表1 Safety与Security的区别

随着人类的安全认识和安全科学发展步入系统安全科学阶段，学界和实践界逐步认识到系统安全同时涉及Safety与Security两方面，且二者相互转化交织、密不可分[4,10,12](见图1，图1是根据表1建立的系统安全模型框架)。同时，从系统角度看，Safety与Security的目标是一致的，均视为某一系统免受不利影响，即损害(如人员伤亡或资产损失等)。鉴于此，安全界认为，系统安全科学思维、理论和方法是统一Safety和Security的切入点[11]，并从系统角度提出了将Safety与Security进行了统一的安全定义，即“安全(Safety & Security)是指系统免受不可接受的内外因素不利影响的状态[12]”。由此可见，系统安全是Safety与Security一体化的安全问题，如国家安全、社会安全、城市安全、航空安全、化工安全、核安全、食品安全与生物安全等安全问题均是典型的Safety与Security一体化的安全问题。基于统一的安全定义，可提出Security与Safety一体化下的系统安全三要素模型(图2)。由图2可知，可将Security与Safety两方面存在的对系统安全有不利影响的因素概括为威胁，威胁有可能损害系统，为限制威胁对系统的不利影响，需制定和实施安全措施来保护系统安全。

图1 系统安全模型框架

图2 Security与Safety一体化下的系统安全三要素模型

Safety与Security一体化的安全问题非常普遍，具体的例子有：①消防安全要同时关注Security方面的人为纵火和Safety方面的意外火灾；②航空安全要同时关注Safety方面的因系统设计不良和管理失误等引发的空难和Security方面的恐怖袭击造成的空难，例如：为保障民航安全，乘客登机前的安全检查(Security check)和乘客登机后的安全指导(Safety instructions)；③核安全/化工安全要同时关注Security方面的人为破坏引发的安全事件(如恐怖袭击)和Safety方面的意外事故(如意外泄漏和爆炸事故)；④关键设施设备和重大工程安全要同时关注Safety方面的因本身质量等引发的意外事故和Security方面的人为破坏引发的安全事件；⑤生物安全要同时关注农用化学品安全与生物实验室安全等Safety问题及生物技术安全、生物恐怖袭击和生物武器威胁等Security问题；⑥对于生产安全而言，起初业界将它视为单一的Safety问题，其实它也是Safety与Security一体化的安全问题，如严重的生产事故灾难会直接造成Security问题(如经济安全、社会稳定与国家安全等问题)，且Security问题(如腐败等政治安全问题)也会严重影响生产安全[9,13]；⑦拥有Security保护措施的人不一定感觉Safe，但无Security措施就不存在Safety；⑧在当今信息化时代，Safety管理高度依赖信息系统，故管理Safety的信息系统的安全(Security)直接决定Safety。

为什么要关注Safety与Security一体化的安全问题？除系统安全同时涉及Safety与Security两方面的安全风险外，还有另一层重要原因：Safety与Security的实现条件或方式有时是相互矛盾的，需均衡考察、设计和管理。例如：①为便于地震、火灾等Safety事件的逃生，房间门应保持敞开，而为避免偷盗等Security事件发生，房间门应保持关闭；②对就消防逃生而言，Security是不让人进入着火场所，Safety是尽快让人离开着火场所；③防盗窗的功能是为了确保Security，但防盗窗又阻碍火灾逃生；④生产安全(Safety)强调标识标注出重大危险源来引起人们的警示和注意，但标识标注出的重大危险源易被破坏分子袭击而不利于Security；⑤为减少和避免因人因失误造成的事故(属于Safety问题)，在信息系统设计时强调冗余设计，但这又给信息系统带来了新的信息安全(Security)隐患；⑥通信过程的防火墙在系统发生故障时，功能安全(Safety)要求其必须传输“故障——安全”指令，但信息安全(Security)却要求不能轻易通过该指令[14-15]。从上述例子可知，若综合考虑和保障系统的Safety与Security，在一些情况下，系统的安全设计和管理要发生系统性变化，安全科学研究与实践需大变革，安全成本会急剧上升。

2 三元空间交互的安全问题

根据空间理论，人类世界原本是二元世界，分为物理空间与社会空间[16-17]。在传统安全科学中，重点关注二元空间(即物理空间与社会空间)交互的安全问题[4]。例如，事故致因理论中经典的轨迹交叉理论指出，就事故的直接原因而言，事故是由物的不安全状态与人的不安全行为两条事件链的轨迹交叉所致。其中，物的不安全状态对应物理空间的安全问题，人的不安全行为对应社会空间的安全问题。同时，产生人的不安全行为或物的不安全状态的原因(即事故的间接原因)是安全管理缺陷(包括安全制度不完善、安全流程缺陷、安全教育培训不到位与不良的安全文化等)，它亦可对应至社会空间的安全问题。再如，根据生产系统安全理论，需从人(生产组织、操作与维修等相关人员)、机(机器、设备和设施等)、环(自然环境与工作环境等)与管(管理)4方面着手开展生产系统安全工作。其中，人与管2方面重点关注社会空间的安全，机与环2方面重点关注物理空间的安全。

近年来，在现实世界中，随着信息技术的迅猛发展应用和信息革命的不断推进，世界已全面进入信息社会。在当今高度信息化的时代，一个庞大虚拟的信息世界已被建立。在此背景下，人类世界生长出了除物理空间和社会空间之外的一个新空间(即信息空间)，越来越多的系统发展成为了信息物理社会融合系统[16-17]。由此，人类世界正从原来的二元空间进入三元空间(包括物理空间、社会空间与信息空间)[16-17]。在信息物理社会融合系统中，安全信息成为连接信息、物理和社会空间的安全的重要载体，物理与社会空间的安全数据信息通过网络传输到信息空间，而信息空间经过安全计算与决策对物理和社会空间的安全状态和管理进行反馈[4]。可见，安全信息可表征、预测和控制物理和社会空间的安全，安全信息是管理和保障物理和社会空间安全的基础要素[4]。正因如此，在信息物理社会融合系统中，安全信息成了最重要的保障系统安全的要素，系统安全问题正从二元空间交互的安全问题逐渐发展演变为三元空间交互的安全问题(图3)。

图3 信息物理社会融合系统中的安全事件致因的三元空间交互模型

由图3可知，在信息物理社会融合系统中，安全事件的致因变得更加复杂多变，安全事件是物理、社会与信息3个空间的不安全因素(三者间相互影响)的交互所致。与二元空间交互的安全问题相比，三元空间交互的安全问题最显著差异是：通过安全监测技术、传感器与物联网技术等，从物理和社会空间获取的安全信息流改变人类对系统安全的认知，安全信息流将推动系统安全的认知和控制能力提升。已有诸多研究指出，安全信息可统一安全事件的致因因素，安全信息缺失是安全事件发生的共性原因，故安全信息是通往安全的必经之路。例如，可利用信息空间收集的社会和物理空间多种安全信息，对安全事件进行预警或及时响应，具体如：美国警方使用多源感知数据对历史性逮捕模式、发薪日、体育项目、降雨天气和假日等变量进行分析，结合大规模历史犯罪记录对犯罪行为进行预测，实现警力的优化配置，并极大降低了犯罪率[17]。也正因如此，近年来的安全管理日益重视安全管理信息系统的建设和应用，以期提升安全信息的收集、分析与利用能力。其实，安全管理信息系统是一个典型的信息物理社会融合系统，它集成和融合信息空间(如政府与组织机构的安全数据)、物理空间(如安全监控摄像头、传感器与受监控的设施设备等)和社会空间(如群智感知与移动社交感知)的安全信息，以期实现对系统安全的高质量感知、预测和控制。

此外，根据图3，保障信息物理社会融合系统安全需在空间上“同时”，即同时保证物理、社会与信息空间均安全[16]。例如，目前的核电站就是典型的信息物理社会融合系统，核电站安全问题就是典型的三元空间交互的安全问题，核电站安全运行需同时确保三元空间的安全。一是物理空间的安全：确保核燃料、运行过程中产生的放射性物质和机器设备设施等的安全；二是社会空间的安全：确保核电站工作人员的行为安全，并有效防控恐怖活动等社会蓄意破坏行为的影响；三是信息空间的安全：在当前高度信息化的时代，核电站安全管理主要依赖于安全管理信息系统，若安全管理信息系统本身的安全无法得到保障，一旦安全管理信息系统瘫痪，就可能引发核电站系统性的安全风险，从而造成严重的安全事件。

3 涉及安全管理多对象的安全问题

概括看，就安全管理而言，涉及4种不同对象，即安全、威胁、安全事件与危机[18]，它们的含义依次是：①安全是指系统免受不可接受的内外因素不利影响的状态；②威胁是指对系统安全存在不利影响的系统内外因素(相当于危险因素)，它往往是客观存在；③安全事件是指可能对系统造成负面影响的一起或一系列非期望事件，需明确的是，安全事件中的“事件”一词所对应的英文单词是“Incident(一般指不期望发生的、具有负面影响的事件)”；④危机是指安全事件对系统造成了巨大影响和根本性损害，它直接关系到系统的存亡和发展。根据安全、威胁、安全事件与危机的含义，建立系统安全管理全对象模型，如图4所示。

图4 系统安全管理全对象模型

根据图4，分析安全、威胁、安全事件与危机间的基本关系，具体如下：

(1)安全是相对的，它是指系统免受不可接受的威胁的状态，即在主观上威胁可接受并不存在恐惧，系统安全风险由威胁引起，可通过降低(甚至消除)威胁来实现系统安全。

(2)安全事件由威胁引起，若威胁被成功预防，系统则处于安全状态，但若威胁预防存在缺陷，威胁就有可能演变为安全事件。

(3)危机由安全事件引起，若安全事件被成功应急处置使其未对系统造成严重影响和毁灭性损害，系统仍可在事后回归至安全状态，但若安全事件应急处置失败并对系统造成严重影响和毁灭性损害，就会引发危机，可见，从安全事件的影响演化角度看，危机是指安全事件严重地危害到系统存亡和发展的关头。

(4)危机是系统安全的最大挑战和最紧要关头，处理危机的基本对策是化解危机，若化解危机失败，则系统就会面临消亡，但危中有机，若抓住时机就能转危为机(即危机被成功化解)，系统仍可回归至安全状态。

同时，根据图4，还可得出以下2点重要认识：

(1)概括而言，系统安全管理共涉及4种安全措施，依次为降低威胁(如消除威胁源、把高风险的威胁源替换为低风险的威胁源或降低威胁源本身的风险等安全措施)、预防威胁(如隔离、防御、控制与防护等安全措施)、应急处置与化解危机，4种安全措施相当于系统安全的4道“安全屏障”，共同维护系统安全和提升系统安全韧性，系统安全管理失败的主要原因是4种安全措施方面存在的缺陷(或称为“安全隐患”或“安全漏洞”)。

(2)以安全事件为分界点，可将系统安全管理阶段分为常态安全管理与非常态安全管理(即应急管理)[18]：①在常态安全管理阶段，系统内未发生安全事件，系统处于正常运行和发展的安全状态，这一阶段系统安全管理的重点对象是安全与威胁，主要关注系统是否处于安全状态与如何保持安全状态，以及是否受到威胁与如何降低和预防威胁；②在非常态安全管理(即应急管理)阶段，系统内已发生安全事件或已造成严重影响，系统正常运行和发展被阻碍和打断，这一阶段系统安全管理的重点对象是安全事件与安全事件引发的危机，主要关注如何对安全事件进行应急处置及如何化解危机。

综上可知，针对某一单一系统安全管理对象的安全管理体系都无法全面保障系统安全，为提升系统安全保障能力和系统安全韧性，系统安全管理体系需针对系统安全管理全对象设计和实施。唯有这样，无论出现何种系统安全管理对象，系统安全管理都有具体相关准备和安全措施来保障系统安全，才能实现全环节、全天候、全方位与全覆盖的系统安全管理。在传统安全管理中，由于安全资源有限和安全管理的侧重点不同，往往未形成针对系统安全管理全对象的系统安全管理体系，导致系统安全管理难免存在薄弱环节和缺位。近年来，涉及系统安全管理多对象的安全问题频发，同时，随着新领域、新业态与新材料等的不断出现，各类新兴威胁(安全风险)、新兴安全事件、新兴危机不断涌现，安全管理的对象不断多元化，涉及系统安全管理多对象的安全问题会日益增多。

4 复杂巨系统的安全问题

从系统角度看，系统安全涉及多要素、多主体、多层级、多环节，具有显著的复杂性(包括高维性、多尺度、非线性、开放性、整体性、交互性、耦合性、联动性与动态性等特征)。可见，安全问题本身就是复杂问题，安全科学本身就是复杂性科学[8]。近年来，各种人类(人类活动)参与的系统日趋复杂而巨化[8]，如从小工厂到大工厂、从单个工厂到工业园区、从小城市到大城市、从单个城市到城市群、从单个国家或地区到全球化。同时，近年来，随着信息和通信技术在各类系统建设、运行和管理中的广泛应用，各类系统所附属的信息系统本身就异常巨大而复杂，且信息技术联通了系统内各子系统之间的信息交流，使系统各子系统之间的互动、关联和互相影响更加紧密、繁杂和活跃。可见，信息化、数字化与智能化建设会使各类系统(如智慧城市)的复杂巨系统特征得到前所未有的充分体现[19]。正因如此，各系统正变得相互联系、依存且巨化，单个系统或系统局部的安全问题有可能相互叠加与增强，从而威胁整个复杂巨系统的安全，系统安全问题的复杂性日趋增强，复杂巨系统的安全问题逐渐得到学界和实践界的高度关注[8,19-20]。与传统系统安全问题相比，复杂巨系统安全问题呈现出一系列主要的新特征(表2)。

综上可知，复杂巨系统安全问题已成为当前安全科学领域的重点研究方向与任务之一，这应是21世纪安全科学的重大挑战之一。为应对复杂巨系统安全问题带来的安全挑战，安全研究者需更新研究理念、开拓研究思路，重点加强对复杂安全科学研究，将复杂巨系统(包括人类和人类活动在内)作为一个整体开展长期和系统整体性的安全综合研究。在此背景下，吴超[8]指出，安全复杂性已成为客观存在和急需研究解决的重大安全课题，安全复杂性研究已成为安全科学研究的新领域和新难题，安全复杂学的建立可促使安全科学进入一个崭新阶段，对丰富和发展安全科学意义重大。针对复杂巨系统安全问题，需开展一些前沿具体研究，例如：①复杂巨系统安全方法论；②复杂巨系统各安全风险要素间的相互联系、作用、响应与反馈机制；③复杂巨系统安全协同治理；④系统局部和整体安全变化的预测、反应与应对；⑤系统性安全风险的防范化解；⑥系统安全风险涌现。