当事故“从未发生”，怎么估计概率？

一、一个在安全工程中反复出现、却极少被正视的问题

在高风险系统或场景中，我们经常需要回答一个看似简单的问题： 某类灾难性事故发生的概率是多少？

长期以来，这个问题往往被简化为一个统计操作—— 用历史事故发生次数，除以系统运行的年数、设备数量或暴露机会数。

这种做法在直觉上合理，也在教学与实践中被广泛采用。然而，当事故极其罕见、甚至从未发生时，这种频率式理解便迅速失效。这并非一个技术细节问题，而是一个关于“概率究竟代表什么”的根本性误解。

二、频率方法在“零事故”世界中的逻辑崩塌

从现有文献中，一个反复出现的背景事实是：

对核电站、海上平台、大型化工装置或自动化系统而言，“零事故”本身并不罕见。

这并不是因为系统没有风险，而恰恰相反—— 它们正是因为风险后果不可接受，才被设计为“几乎不允许失败”。

在这种情境下，传统频率估计会陷入所谓的“零失败困境”：

• 事故没有发生

• 样本数持续增长

• 频率却始终为零

统计上，这并不意味着事故“不可能”；决策上，却极易被误解为“足够安全”。

传统文献中，有多种频率修正方法， 如 rule of three、Poisson 上界、修正置信区间，这些方法本质上是在承认频率本身已经不足，需要额外假设才能继续使用。

三、概率并非“事故发生过多少次”，而是“我们知道了什么”

如果事故概率不是频率，那它到底是什么？

一个跨行业共识是：

在低频高后果风险中，概率是一种基于不完全信息的判断结构，而非经验比例。

这正是事故前兆（precursors）在风险建模中被引入的根本原因。 前兆不是事故本身，也不是事故原因，而是与事故共享因果路径甚至非因果路径的异常状态。从 NRC 的 ASP 项目到化工、海工和自动系统研究，研究者们实际上是在用前兆信息构造一个事故尚未发生时的概率分母。

在这里，概率不再是一个回溯性统计量，而变成了一种前瞻性推断结果。

四、从“发生过几次”到“出现了哪些信号”

目前的估计方法，大致可归纳为四大类： 频率规则、贝叶斯估计、ASP 逻辑树和贝叶斯网络。

尽管形式各异，它们在逻辑上共享一个关键转向：

事故概率不再由事故计数决定，而由“与事故相关的信息结构”决定。

在这一视角下：

• 一次关键前兆的出现，可能比十年无事故更有信息量

• 多种前兆的并存，可能意味着风险结构的质变

• 同一前兆的反复出现，会改变我们对系统状态的信心，而不仅仅是频率值

这可能遵循 Logistic–Exponential 框架， 其理论动机所在： 概率是如何随“前兆多样性”和“前兆重复性”非线性变化的。

五、为什么这个问题在 AI 时代反而更危险

一个常见的误解是：

“有了大数据和 AI，事故概率就能被学出来。”

但事实上，应该有一个更谨慎的答案。

在大多数安全 AI 应用中，模型学习的仍然是历史相关性模式，而不是事故机理本身。当事故极少甚至未发生时，模型实际上是在用前兆数据、异常日志和代理指标进行推断。

这意味着： 如果我们在概念上仍然把概率当作频率，那么 AI 只是在更高维度上重复同一种误解。

前兆模型的价值不在于“预测事故是否发生”，而在于帮助决策者理解风险正在如何积累、是否接近阈值、以及哪些信号值得被严肃对待。

六、重新理解概率，是为了更诚实地面对不确定性

将事故概率从“频率”中解放出来，并不是否定统计方法，而是为风险判断恢复其应有的谦逊与透明性。

几乎所有成熟方法都在显式或隐式地承认：

• 概率依赖于假设

• 概率反映的是信息状态

• 概率必须与模型结构一同被解释

这正是风险分析在复杂系统中不可回避的现实。

结语：

当事故尚未发生时，概率真正衡量的是什么？

在零事故的世界里，继续把概率理解为频率，不仅在数学上站不住脚，在决策上也极其危险。 不只是某一类模型的改进，而是一个更根本的问题：

当事故尚未发生时，我们究竟凭什么说“风险有多大”？

答案不在于更精细的计数，而在于我们如何理解前兆、结构化不确定性，并对判断负责。