人的思维是一种填空式的思维。人为了能够更高效的认识和理解世界，进化成了一种头脑中现有参考框架，然后将事物信息进行填空、复现。这样的框架是人们认识世界的基础，也是人与人之间对某些事物交流的基础。这样的框架结构就是我们心目中对现实事物的映射，也就是模型。

事故致因模型（或简称事故模型）是一种特殊的模型，是安全工程中所有工作的基础。事故模型为以下三方面工作提供了基础：（1）调查和分析事故的原因，（2）影响设计以防止未来的损失，（3）评估系统或产品的相关风险。事故模型解释了事故为什么会发生，也确定了防止事故发生需要采取的方法。在从事相关工作时，人们可能不自觉地使用模型，有些事故模型（也需是潜意识中的）始终是安全过程的一部分。（Leveson，2012）

事故模型非常重要，它为我们提供了事故发生的机制。揭示事故发生机制往往分为两个方面——（1）什么造成了事故，以及（2）怎么造成的事故。这两个方面会随着我们对系统结构及事故机理认识（即构建不同的事故模型）的不同，其所包含的内容的交融与分离、独立与统一也会发生变化。下面就让我们跟随这事故模型的发展历程来探索这两方面的内容，并总结对现在的我们需要具有的安全思维的启发。

安全工程出现和发展也走过了将近百年的历史。在此基础上，为了阐明事故是如何发生的，众多的事故模型也被提出，从最早起的多米诺骨牌模型（Heinrich，1931,1980），到能量转移模型，到瑞士奶酪模型（Reason，1987,1990，1997），到风险管理框架模型（Rasmussen，1997），即STAMP（Leveson，2004）和FRAM（Hollnagel，2004）。每一个模型的提出都有其产生的系统背景和人们的认知背景。

关于第一个方面：什么造成了事故。这在现在的安全工程中被称为事故致因。

从19世纪末20世纪初，人们认为系统事故来自于两个方面，即Heinrich提出的安全第一定理：事故是由人的不安全的行为和物的不安全状态所造成的。而这个阶段往往认为设计好的系统出现的不安全状态也是由于人的不安全行为所引起的。这也就是多米诺骨牌模型最早期版本中第一块所代表的内容是人的不安全行为是由“遗传和社会因素”所造成。因此，这个时期也是对人在系统中作用的研究的伊始。最早的观点是人群中有一部分人是有导致事故趋势的特性。于是，更多的是从心理学上对人员进行性格、习惯等进行研究，提出的解决方案就是从人的心理、性格、习惯等方面筛选出适合某些工作的人，讲那些容易出错的人排除在工作岗位之外。

随着，可靠性工程发展，以及20世纪60年代航天工程的发展，人在系统的直接控制过程中参与度有所减少，但是事故依然发生，这让人们认识到人在事故中的作用并没有先前所强调的那么大。因此，以传统系统功能与结构的安全工程全面展开，大量的研究都是以可靠性为基础，依然从机械系统蜕变出来的认知，认为保证部件不出错即组件的高可靠性，就可以保证系统安全。这里依然认为系统设计时就能满足设计之初的安全概念或需求。但是，这里已经有所改变，从最初的认为人是唯一来源，确定为人和物都是事故致因的来源。这时候的事故致因就是，故障或错误，关注点是组件。

随着系统复杂程度的提高，瑞士奶酪模型的出现，将事故的致因的范畴进一步得到拓展。人的不安全行为不再是遗传和虚无缥缈的社会因素所决定，而是可以塑造的，是在整个同的管理、培训中可以控制和避免的；人的不安全行为的出现除去人本身的因素（疲劳、生理状态差）外，更多的是由于安全管理上的不合理，例如，管理系统将不合适的任务交给了不合适的人，或者设置的相关任务已经超过了人的能力之内；物的不安全状态也从最初的人行为引起及本身所具有的故障特性（如机械劳损），也追溯到系统的安全设计，安全管理的缺失将不合适的设计方案应用到实际系统中，如采用了不合适的材料等。Perrow（1984）在《正常事故（Normal accident）》中所提到的系统复杂性和组件耦合的紧密程度，这样复杂的构成和交互，尤其是动态特性已经超出了人的设计所能掌控的极限，有考虑不到的状态是很正常的，因此，系统事故早已隐藏在系统之中，只是静静地等待发生而已。这与瑞士奶酪模型的阐述内容不谋而合。

但是，这时候依然认为消除这些组件的故障，即使是安全管理的缺失，就可以防止事故的发生，或者在系统中加入某些屏障将这些失效的影响阻隔在系统的一部分区域内，阻止其影响传播到系统层，即导致系统的整体状态向危险方向迁移。

关于第二个方面，怎么造成了事故。在安全工程中通常称为因素的耦合关系。

从最早的多米诺骨牌模型，认为是第一块骨牌的倒塌造成了后续事件的接连发生，导致最终事故的发生，如果我们断开了这个链式结构就可以防止事故的发生。

后来，系统复杂程度的提高，人们认识到系统事故的发生不单单是一个链式结构能够阐述的，而且事故的发生的起点往往也不那么一致，出现在系统的各个部分和链式结构的各个环节。因此，瑞士奶酪模型用奶酪片上的孔洞来展示系统中致因的复杂程度，但是其致因之间的耦合关系依然继承了链式结构的模式。根据笔者上一篇博文所阐述的内容，系统的复杂结构，造成组件之间已经不是单纯的顺序型关系，出现了大量的环式结构和反馈迭代结构，这样就造成了事故的发生已经不是单纯的顺序，但是是在组件之间的复杂交互，在系统层面上的向危险侧迁移的趋势（不一定是线性关系，可能是抛物线，指数（如突变理论所阐述的模式），或对数）。但是，在组件的交互层会有多次的反复和循环，可以说是“螺旋上升”的模式。这样的模式，往往并不具备事故模型所假设那样：具有相同的模式。这样的模式在系统层上来看，更多的类似于随机数学中的随机现象和随机事件的关系。

因此，简单的罗列系统中可能出现的组件的故障或失效，是不能解释事故发生的，其实组件之间的组合方式也是事故发生的一部分原因。相同的组件失效，在不同的组合方式时是可能造成不同的结果的，有可能导致事故的发生，有的可能不会。因此，组件之间的组合方式也是事故致因之一。这个观点正好在系统性的事故模型中得以体现。尤其是，FRAM模型和方法中，功能之间的相互影响所产生的共振现象是系统事故发生的系统层表现，STAMP的组件之间的闭环控制关系的循环或迭代式的影响是组件级的影响组合。

综上，事故模型所考量的两个方面其实是独立而统一的，它们都是系统事故发生的致因。防止事故的发生需要从这两方面做工作。之所以需要将这两方面区别开来，是因为这两方面的因素的识别与处理的措施不同罢了。但是，他们都是系统事故的致因，而且不能单独拿出来说可以造成事故，必须一起才能形成完整的事故致因。