一、先從“蝴蝶效應”講起：

“蝴蝶效應”是人們經常談論的一個科學典故，說巴西的一只蝴蝶震動翅膀，有可能在幾周之后，在美國德克薩斯州，導致一場颶風。人們經常用蝴蝶效應形容微小的事情可能帶來很大的影響。

下面這張圖，大概是人心目中蝴蝶效應的一個形象寫照 ——

從小到大的一堆多米諾骨牌排在一起，最大的一塊有一個人那么大，最小的一塊比指甲蓋還小，只能用鑷子拿。放倒最小的一塊，骨牌就會連鎖反應，最終把最大的一塊也推倒。

這不就是蝴蝶效應嗎？

這不就是小骨牌導致了大骨牌的倒下嗎？

實際上，上述是一個錯誤的認知。

真正導致了大骨牌的倒下的是這些骨牌的排列方式。它們組成了一個極其危險的系統。就算最小的骨牌不倒，中間任何一個骨牌倒下，都會導致后面所有的骨牌倒下。

要追責的話，我們要問的不是誰推倒了最小的骨牌，更多地應該要追責：是誰 把骨牌排列成這個樣子？

這就好比說如果你把一堆炸藥堆放在一起，只要一個火星就能引起爆炸，那如果真的爆炸了，你不應該埋怨那個火星，你應該反思的是為什么炸藥這么危險的東西不好好管理。

因為：火星總會來的。小骨牌總要倒下。蝴蝶總要震動翅膀。

所以

二、我們應該怪罪的是系統，而不是導火索。

1979 年，美國賓夕法尼亞州的三里島核電站，發生了一次嚴重的反應堆融毀事故。事故沒有造成直接或者間接的人員傷亡，但是光是清理費用就超過了 10 億美元。

當時美國政府請了一位叫查爾斯·佩羅（Charles Perrow）的社會學家幫著分析事故原因。是佩羅的研究，從此改變了人們對大事故的看法。

跟一般公眾的觀點相反，核電站，其實是一種非常不容易出毛病的裝置（當然，切爾諾貝利核電站例外，它完全是因為沒經驗的設計，才出了那么大的災難）。三里島核電站是老式的設計，安全性能跟今天的新型核電站不能比，但即便是這樣，它也沒那么容易出問題。佩羅發現，三里島事故，是由三個原因同時起作用導致的 ：

第一，反應堆有個給水系統，正常情況下應該供水，但是出現故障沒用供水。本來這個可能性在設計方案中就考慮到了，還有兩個備用系統可以自動供水 —— 但不巧的是，備用系統在之前維護的時候被關閉了，沒有按規定打開。

第二，因為沒有水，反應堆溫度就上升，這時候有個泄壓閥就自動開啟降低溫度。等到溫度降下來，按理說泄壓閥應該自動關閉，可是因為故障它沒有關上，于是導致反應堆的冷卻劑往外流。

第三，如果工作人員能正確判斷發生了什么，也能立即采取有效措施?？墒枪ぷ魅藛T看到的指示燈顯示泄壓閥已經關閉了。這是因為指示燈的設計是顯示是否已經“命令 ”泄壓閥關閉，而不是顯示泄壓閥的真實狀態。工作人員被誤導了。

這三件事只要有一件不發生，大事故就不會發生。

英文中有個詞叫“完美風暴（perfect storm）”，意思是幾個因素恰好一起發生了，導致一個劇烈的后果 —— 三里島核事故，就是一場完美風暴。

那請問，這個事故里誰是蝴蝶呢？應該指責誰呢？人們本能反應是指責當時負責操作的工作人員，可是三件事是在 13 秒內發生的！工作人員根本來不及反應！

佩羅說，我們真正應該指責的是系統。

那什么樣的系統容易出危險呢？

我們石油化工生產裝置構成的整體也是一個容易出危險的系統。它具備危險系統的兩個特征：

1、“復雜”。

“復雜”對應到英文有兩個詞，一個是 complex，一個是 complicated。后者的意思差不多是“很麻煩、不容易理解”，而前者的意思是系統的各個部分互相關聯，不是簡單的連接。我們說的這個復雜是 complex。

我們知道系統里有正反饋和負反饋回路。正反饋回路會讓系統不穩定，負反饋回路會讓系統回歸穩定。

石油化工生產裝置這種系統實在太復雜了，其中有各種反饋回路，有些部分之間的關聯還是隱藏的，可能連設計者都想不到。如果其間有一個正反饋關聯回路是你沒想到的，在事故中開啟了，就會很麻煩。

2、“緊致耦合（tight coupling）”。

所謂緊致耦合，就是這個系統缺少緩沖地帶 ，錯一點都不行，幾乎沒有任何容錯機制。

比如大橋就是一個不復雜、耦合也不緊的系統。哪個橋墩有問題，不至于馬上波及別的橋墩，大橋對付著還能用上一段時間。道路交通也不復雜，但是耦合比較緊，一條路上任何一個地方出事故，整條路都得堵車。大學系統很復雜，但是耦合不緊，教授們就算搞搞政治斗爭也翻不了天。可是像核電站和化工廠這種東西，如果又復雜耦合又緊，那就容易出大事故。

三、我們的安全培訓：

作為部室的安全員，每個月至少需要進行一次安全培訓課，每次培訓都是需要找些事故案例講些事故原因，事故教訓等等，無非是員工安全意識淡薄，安全監護不到位等，幾乎很少提到是我們工廠本身的安全系統配置沒有真正落到實處。

當我們們強調“安全”的時候，總愛說什么要狠抓“安全意識”，什么“安全要年年講月月講天天講”，什么“警鐘長鳴”。可是光強調安全意識有用嗎？

安全意識關注的是蝴蝶。如果颶風真的是由蝴蝶引起的，那你就應該好好教育蝴蝶們，不要隨便震動翅膀。如果事故真的是因為工作人員疏忽，那你就應該給員工天天講。

其實“天天講”是一個很不好的教育方法，重復的信息會被人腦自動忽略、過濾掉它。如果一個煙霧報警器有事兒、沒事兒、動不動就叫，你會直接關掉它了事。

更重要的是，真正的大事故不是由蝴蝶引起的。更多的往往是系統過于追求效率，搞得其系統配置細節上一環緊扣一環，沒有冗余、回旋余地，結果一步錯就導致后面步步錯。就類似上面的多米諾骨牌的倒塌。

我們需要的不是安全意識，而是一個真正安全的系統。

經常與蝴蝶效應同時出現的一句話是“XX無小事”，其實，這也是一個錯誤的觀念。

如果一個領導只會籠統地說什么“這很復雜??！這很重要啊！千里之堤毀于蟻穴啊！安全無小事！”，我認為這領導啥也不懂。

做事得善于分清輕重緩急。敢于忽略小事，你才能做好大事。

我們只有把系統搞好了，讓系統有緩沖余地，具備容錯功能，才可以“有恃無恐”。反過來說如果系統不行，我們即便小心駛得萬年船般地整天戰戰兢兢也難保不出事兒。

四、感悟：

凡夫畏果，菩薩畏因，（對于有現代化管理意識的我們還要再加一句）佛畏系統。