技术哲学视阈中的风险和安全*

斯文·欧威·汉森 张秋成译

(1.皇家理工学院哲学部,瑞典斯德哥尔摩 100 44;2.东北大学文法学院,辽宁沈阳 110819)

技术在使人类获益的同时也带来了风险。降低技术风险是工程师的中心任务之一。对技术风险进行哲学的分析和澄清也因此成为技术哲学家支持工程活动的重要任务。技术哲学家可以澄清风险、不确定性和安全性等核心概念的含义。通过运用伦理学和决策理论所提供的工具,技术哲学家可以更好地理解工程师为降低技术风险和提高技术安全性所采取的措施。我将试图探讨技术哲学家在降低技术风险和提高技术安全性的理论与实践等方面能够发挥作用的一些途径。因为我不懂汉语,所以我不知道本文中的一些概念区分在汉语中是否自然,但是我要指出,这些概念在普通英语中也还没有固定下来。这种情况说明,许多在哲学和科学等方面重要的概念区分是很难用日常语言中含义模糊的词语来表达的[1]。

一、 “风险”的概念

毋庸置疑,被广泛使用的“风险”一词有多种含义,其中既有口语化的模糊含义,也有比较精确的技术含义[2-3]。在“风险”一词的诸多含义里面,有两点共性:

首先,“风险”指称“不合人们心意的事物”。例如,希望能有一周晴天的游客会把降雨看做“风险”,相反,其庄稼受干旱威胁的农民会把降雨看做“好运”而不是“风险”。既然“风险”的概念包含“不合心意性”,它就是负载价值的[4]。因为诸如死亡、疾病和环境破坏等被人们谈论最多的风险,毫无争议地是不合人们心意的,“风险”概念的负载价值性往往被人们所忽略。然而,从哲学的观点来看,我们不能把“具有无可争议的价值”和“根本不具有价值”相混淆。同样重要的是,“负载价值”并不等同于“缺乏事实或者客观内容”。一个像“如果你踩上地雷,你就会有断腿的风险”这样的陈述,既有客观内容(脚踩地雷会致残)又负载价值(断腿是不合人们心意的)。这个例子表明,“风险”概念兼具事实和价值两种因素。

其次,“风险”意味着“缺乏知识”。如果我们肯定地知道一家工厂将会发生爆炸,就没有理由视这次爆炸为“风险”。类似地,如果我们知道没有任何爆炸会发生,我们同样没有理由谈论“风险”。我们说的“爆炸的风险”是指这样的情况,即是否会发生爆炸无从知晓。由此可以看出,关于“风险”的知识是不确定的,因此这样的知识经常会遭到人们的质疑也就不足为怪。

在日常语言中,“风险”通常不具有量化含义。我们可以认为海洋石油开采具有很高的风险,却不会想到对这种风险进行量化。但是在技术语境中,对风险进行精确量化却是一种强烈的趋势。对风险进行量化主要有两种方法。其一是指出风险事件可能发生或不发生的概率。一位向医生询问治疗方案失败的风险有多大的病人,期望被告知该治疗方案在历史上失败的概率。但是在风险分析领域,这种概率量化方法自从上世纪80年代以来就越来越少用了。目前,另外一种对风险进行量化的方法成为主流:指出风险事件可能发生或不发生的统计期望值。这种方法略微有些复杂:把风险事件可能发生的概率和负价值量相乘。如果只考虑死亡风险(这是相当普遍的限定),则意味着风险的量值等同于一种或若干种可能事件所导致的死亡统计期望值。因此,如果200名深海潜水员执行某一项任务的个人死亡概率是0.1%,执行该任务的死亡统计期望值就应当是0.001×200=0.2。这种风险量化方法自从1975年以来被用于著名的“核反应安全研究”[5],目前,在技术领域占统治地位。

从哲学定义理论的观点看来[6],采用统计期望值对风险进行量化至少存在两个问题。首先,这种方法混淆了“风险”和“风险的严重程度”。当我们把1000人玩过山车有一人死亡的可能性,与一次核事故所涉及的100万人中有1000人死亡的可能性相比,认为它们的概率或“风险的严重程度”相同(都是0.001)是有意义的,但是如果我们据此认为这两种风险相同则毫无意义,因为这是两种各具特色的风险。

其次,“具有相同统计期望值的风险,其严重程度是相同的”,这样的价值陈述也是有争议的。一些学者认为,有些统计期望值较低的风险事件在决策方面应该比它们在统计期望值应用模型中所表明的情况被给予更多的重视[7-9]。但不幸的是,采用统计期望值对风险进行量化,这种术语方面的选择,却使得上述对风险严重性的观点不可能实现。为了清晰地讨论风险问题,我们须要在“风险”和“风险的严重程度”之间作出明确的区分,我们也要避免使用无视在“风险的严重程度”方面存在不同理解的术语。因此,在风险分析方面,把统计期望值看成是对“预期破坏”的刻画要优于看成是对“风险”的刻画。

二、 “不确定性”的概念

在前文所讨论的对风险量化的两种方法都基于这样的假设:可能的风险可以用概率来描述。把对风险的概率分析和决策理论中对“风险”与“不确定性”的传统区分进行比较将会是富有启发意义的。在决策理论中,对“风险”的决策被定义为依据已知概率所作的决策;对“不确定性”的决策被定义为在不知晓概率的情况下所作的决策[10]。

对关键术语“风险”和“不确定性”的这种使用与它们的日常用法明显不同。但是,它们是得到确立的技术术语,在接下来的讨论中,我们将采用它们的标准技术含义。

关于“不确定性”,我们还有三点附加的评论:首先,“不确定性”不像“风险”那样蕴涵“不合心意性”。我们对合心意的未来事件也可以使用“不确定性”的技术含义。其次,用“不确定性”代替“风险或不确定性”是很普遍的,也就是说,把“不确定性”定义为缺乏知识(无论是否概率性知识),把“风险”定义为“不确定性”的特例。最后,“不确定性”还有在未知可能后果的情况下作出决策的含义。

三、 “风险”还是“不确定性”?

人们在实际生活中很少依据确定的概率作决策。严格说来,“风险”(具有已知概率)的明确例子似乎就是理想化的教科书中的例子,例如骰子、硬币或者轮盘赌等被人们确信为公平的游戏。玩轮盘赌的人作出的决策接近于在已知概率的风险情况下作出的决策。只要轮盘赌的规则是公平的,赢钱和输钱的各种结果的概率是很容易计算的,因此是可知的,虽然赌博的人可能并不真的这样做。我们举一个明显地依据不确定性进行决策的例子,请考虑这样的情况:一个探险者要对是否进入至今无人光顾的丛林深处进行探险作出决策。丛林里有老虎和毒蛇,但是对是否会受它们的攻击所作的概率估计不会比盲目猜测好到哪儿去。此类攻击是具有未知概率的已知危险。另外,预测丛林里可能会有未知的物种——比如昆虫和微生物——会构成危险也是合乎情理的。未知的不仅仅是这些危险的概率,还包括危险的性质和是否存在这些危险。

无论如何,生活通常更像对未知丛林的探险,而不是光顾娱乐场。大多数的真实生活场景包含不具有准确概率的不确定性,这一点也适用于技术。因此,我们所谓的“技术风险”,用决策理论的术语来说,在很大程度上可以称为“技术不确定性”。

在决策支持诸学科中有一种强烈的倾向,即认为可以根据可靠的概率估计所有可能的结果。我把这种观点称为“晚礼服谬误”[11]。这种谬误在于把决策所依据的认知条件等同于轮盘赌的认知条件。犯“晚礼服谬误”是危险的,因为它会导致一种“可以控制”的幻想,也会导致人们忽视对决策有很大影响的不确定性。

四、 科学的不确定性

在健康和环境领域中的许多问题都具有显著的不确定性,决策者要依赖科学家的意见对这些问题作出决策。虽然我们知道全球变暖正在发生,但其严重程度却是不确定的。在生产化工产品的过程中,对化学物质的毒性缺乏充足的知识成为化学工程师和管理者的主要障碍[12]。因此,处理科学的不确定性的策略必须成为以科学为指导的工程的主要部分。

在这里,把内在科学知识生产作为出发点是有用处的。科学知识生产始于通过实验和观察获得的资料。通过批判性评估,这些资料成为科学事实总体,见图1。

图1 科学中的知识生产过程

科学事实总体是研究者共同体后续研究所共同承认的东西,如果没有新的资料和充足的理由,它是不可置疑的[13]。只有当新理论有充足的证据支持,才可以被引进。

对科学事实总体的修改要基于严格的证据标准。这些标准是科学特质的基本部分。那些想要改变科学事实总体(例如通过认可以前未经证明的现象或引进新的科学理论)的人要承担依据证据标准举证的责任。这表明,科学事实总体有很高的准入标准。这对于确保科学的稳步发展是必须的,如果我们过于草率地接受新思想,科学的进步就可能被错误的假设所阻碍。

科学信息不但用于指导科学进步,而且用于指导实际决策。例如,对温室效应的研究既可以用于获取关于气候变化的可靠科学知识,也可以用于决策采取哪些实际的气候政策。在这个和其他许多事例中,存在两类决策,即关于我们可以相信什么的科学内部的决策和关于做什么的科学外部(实践)的决策,它们必须依据相同的科学信息。虽然它们利用了相同的科学资料,但这却是两类不同的决策,见图2。

图2 为决策目的使用科学资料的两种方式的比较

图2展示了科学信息的实际应用。将科学信息用于指导决策目的的明显方式是使用来自科学事实总体的信息(箭头2)。在某些情况下,这样做就足够了。但在某些场合,人们在处理一些实际问题时,强度达不到科学事实总体准入标准的证据却有着足够强的合法影响力。例如:一种婴儿食品中的防腐剂被怀疑对人体健康有害。现有的证据对于这一点只有些许的支持,而且大多数的科学家认为存在这种危害的可能性大于其不存在的可能性。尽管如此,现有的证据不是决定性的,从科学的观点看,这仍是一个悬而未决的问题。考虑到问题的严重性,有关的食品公司或政府机构停止使用这种防腐剂将是明智的。这样的决策不得不依赖于无法满足科学事实总体准入标准的科学信息。更一般地说,决策者忽视可能危险的所有预先征兆是不明智的,在道德上也是得不到辩护的,尽管这些预先征兆还不等于完全的科学证明。我们当然愿意保护自己免受可疑的健康危险,即使现有证据跟科学证明的要求相比要弱很多。因此,为了指导我们想要的决策类型,这些决策所依赖的证据标准只能与适用于科学内部目的的证据标准不同。达不到科学事实总体准入标准的证据不能影响由图2中箭头1和箭头2所表示的决策。在这类情况中,我们须要采取从资料到实际决策的直接路径,请见箭头3。

但至关重要的是,在后者的过程中,使用这条旁道不会导致对现有科学信息的无效使用。为了看清这里的要求,比较一下箭头1和箭头3代表的过程是有启发意义的。首先,须要考虑的证据类型是没有区别的。因此,在婴儿食品的例子中,相同的实验和流行病学研究分别对科学内部的决策(箭头1)和对实际的决策(箭头3)都是相关的。虽然使用方式不同,但证据是相同的。进而,在这两个过程中,对证据强度的评估也是相同的,所不同的是这两种目的各自所要求的证据强度。

五、 预防原则

“预防原则”这个术语经常被用于指称图2中箭头3的过程。这个原则被用于对科学的不确定性进行决策,已经体现在几个和环境政策有关的国际协议中。这个原则所传递的主要信息是:环境问题的政策决策可以合法地依据标明危险的科学证据作出,即使现有证据的强度还不足以确证危险的确存在[14-17]。

在我看来,为了应对许多与可证实性有关的科学的不确定性,我们须要运用基于科学的预防措施。我这样说的意思是,规避危险的决策可以依据我前面对科学信息的解释来作出,具体说就是:①使用与科学内部目的所要求的类型相同的证据;②对证据强度的评估与科学内部的情况相同;③所需要的证据强度要根据必须要作的决策来调整[18]。

六、 处理不确定性的工程方法

从19世纪以来,工程师们就一直专门研究工人的安全和其他与安全性有关的任务。随着技术科学的发展,工程安全性的理念受制于学术的眼光。虽然如此,但是关于工程安全性的大多数讨论却散见于不同的技术领域[19]。有关安全性的基本哲学思想似乎在工程的不同领域或多或少地独立发展着。因此,相同或类似的思想经常被化学、核工业和电子等领域的工程师们以不同的名义进行探讨。但是,在这种多样性中却存在着很大的一致性。尽管术语不统一而且类似或相互重叠的安全性原则多得令人困惑,在不同的工程安全性领域的许多基本思想却大致相同[20]。为了弄清这一点,我们讨论三个工程安全性的主要原则:内在安全性、安全因素和多重安全阻抗。

1. 内在安全性

内在安全性,也被称为首要预防,是指消除危险。而与之相对的次要预防是指降低与危险相关的风险。这可以通过减少危险事故发生的概率或不良后果来做到。举一个简单的例子,请考虑使用可燃材料的过程。内在安全性的做法是用非可燃的材料替换可燃材料。次要预防的做法是去掉和隔离燃烧源并且(或者)安装灭火装备。这个例子表明,次要预防通常涉及附加的安全设备。

传统上有四种安全措施在工厂的内在安全性设计上值得推荐[21-22]:

① 最小化(强化):使用较少量的危险材料;

② 替代:用较少危险的材料替换危险的材料;

③ 降低效力(缓和):以较少危险的形式使用危险的材料;

④ 简单化:避免设施或过程中的无必要的复杂性,以利于减少运行错误。

现代内在安全性的倡导者认为在同等条件下,“消除”是较好的选择。其主要理由是:只要危险存在,它就可能被某种难以预料的事件所引发。即使采用最佳控制措施,某种不可预料的事件链条也可能导致事故。即使最好的附加安全技术也可能在事故的过程中失败或被破坏。

支持内在安全性的另外一个论据是,它在应对恐怖主义威胁时是有用的。恐怖分子经常会轻易地使附加的安全措施失效。当恐怖分子进入一家化学工厂意图炸毁它,燃烧源是否从爆炸物质附近清除是不太重要的(虽然这可能在过去曾解决过安全问题)。作恶者可以自己携带燃烧源。与此相反,大多数使得工厂内在安全性较高的措施也会有助于转移恐怖威胁的目标。如果爆炸物质被非爆炸物所代替,或者爆炸物质和可燃物质的数量可以大幅度削减,那么工厂对于恐怖分子就会不那么具有吸引力,也因此不太可能成为被袭击的目标[23]。

2. 安全因素

可能人类自出现以来就已经在使用安全防护措施。为了确保安全,我们在房屋、工具和其他人造物上面附加额外的强度。但是,使用数值因素来度量安全防护措施似乎只是相对较晚才出现的事情,可能出现于19世纪下半叶。人们发展了详尽的安全因素系统,并落实在规范和标准里面[24]。

根据机械结构学的标准描述,安全因素被用来弥补五种主要的故障源[25-26]:高于所预测的负荷、劣于所预测的材料性能、有关故障机制的不完善理论、可能未知的故障机制、人为失误(例如在设计方面)。

后三项基本上是指理论及其应用中的失误。它们因此明显是不确定性的例子,用概率的方法很难处理。换言之,在我们的计算或对计算的证实中失误的可能性,是应用安全因素的一个重要原因。这是一种不能被还原为概率的不确定性。因为计算本身存在失误的可能性,所以试图通过准确地调整计算来弥补计算自身存在的失误是难以实现的。虽然如此,但是这些困难不会影响在安全性分析和工程设计中考虑这些故障源的重要性。安全因素既被用来处理可以用概率术语解释的失误,也被用来处理不能用概率术语解释的失误。

3. 多重安全阻抗

多重安全阻抗的使用基于这样一条简单的原则:即使我们用于避免危险的一项措施失灵,还应当有其他备用措施可以避免它。多重安全阻抗的原型是古代的堡垒。如果敌人设法通过了第一道墙,还会有其他多道墙保护着防御部队。一些工程安全阻抗同样遵循强化物理障碍物的原则。核废料管理是这方面有趣的例子。

多重安全阻抗的概念也指称不按空间序列排列,但具有功能连续性的安全阻抗。作为说明,请考虑可能是现代历史上最著名的技术失误的例子——于1912年4月使1500人丧生的泰坦尼克号。该船被认为是永远不会沉没的,因此船上只配备了大约够一半人逃生的救生艇。

我们现在知道了泰坦尼克号还远未达到永不沉没的程度。让我们考虑一个假设的场景:明天一个轮船制造商想出来一个令人信服的造一艘永不沉没的船的计划。计算显示沉船的概率极低,并且用救生艇挽救每条生命预计要花费100亿元人民币。很明显,把这么多钱用在别的地方可以更有效率地挽救生命。舰艇工程师如何回应这个提议?他会接受概率计算和经济分析的裁定而将救生艇排除在设计之外吗？我们有理由相信一个负责任的工程师不会这样做。计算是会出错的,一旦出现这种情况,后果将是灾难性的。因此,一定要考虑救生艇、疏散程序以及其他的附加安全阻抗。虽然计算显示此类措施没有效率,但这些计算也不足以支持不设计救生艇的决策[27]。

上述安全性工程的三个原则有一个共同点:它们都旨在保护我们不但抵御风险(在技术的意义上)而且抵御不确定性。这里不确定性是指不能用概率估计的危险,例如某种不可预料的事件可能引发似乎可以控制的危险。在工程传统中的这个领域已经有很多智慧的经验。对于工程哲学家来说,把这些智慧的经验系统化并且澄清如何成功建造安全工程的基础是一项重要的工作。

七、 结 语

我希望已经展示了与技术风险和不确定性有关的几个重要的哲学问题域。这些问题域为技术哲学家提供了广阔的用武之地。请允许我借此机会强调在这些问题上加强国际性对话的必要性。考虑到中国在国际社会和技术发展中的关键作用,我个人希望与中国的同行加强接触,以利于共同在国际上为防范风险和提高安全性作出贡献。

参考文献:

[1] Ove Hansson S. Philosophical Terminology[J]. Theoria, 2005,71(4):291-293.

[2] Ove Hansson S. Seven Myths of Risk[J]. Risk Management, 2005,7(2):7-17.

[3] Ove Hansson S. The Entry “Risk” in the Stanford Encyclopedia of Philosophy[EB/OL]. [2010-08-30]. http:∥plato.stanford.edu/entries/risk/.

[4] Ove Hansson S. Risk——Objective or Subjective, Facts or Values?[J]. Journal of Risk Research, 2010,13:231-238.

[5] Rechard R P. Historical Relationship Between Performance Assessment for Radioactive Waste Disposal and Other Types of Risk Assessment[J]. Risk Analysis, 1999,19(5):763-807.

[6] Ove Hansson S. How to Define——A Tutorial[J]. Princ′pios, Revista de Filosofia, 2006,13(19/20):5-30.

[7] O'Riordan T, Cameron J. Interpreting the Precautionary Principle[M]. London: Earthscan, 1994.

[8] O'Riordan T, Cameron J, Jordan A. Reinterpreting the Precautionary Principle[M]. London: Cameron May, 2001.

[9] Burgos R, Defeo O. Long-term Population Structure, Mortality and Modeling of a Tropical Multi-fleet Fishery: The Red Grouper Epinephelus Morio of the Campeche Bank, Gulf of Mexico[J]. Fisheries Research, 2004,66:325-335.

[10] Luce R D, Howard R. Games and Decisions: Introduction and Critical Survey[M]. New York: Wiley, 1957:13.

[11] Ove Hansson S. From the Casino to the Jungle: Dealing with Uncertainty in Technological Risk Management[J]. Synthese, 2009,168:423-432.

[12] Rud′en C, Ove Hansson S. REACH Is but the First Step——How Far Will It Take Us? Six Further Steps to Improve the European Chemicals Legislation[J]. Environmental Health Perspectives, 2010,118(1):6-10.

[13] Ove Hansson S. Values in Pure and Applied Science[J]. Foundations of Science, 2007,12:257-268.

[14] Ove Hansson S. The Limits of Precaution[J]. Foundations of Science, 1997,2:293-306.

[15] Ove Hansson S. Adjusting Scientific Practices to the Precautionary Principle[J]. Human and Ecological Risk Assessment, 1999,5:909-921.

[16] Sandin P, Ove Hansson S. The Default Value Approach to the Precautionary Principle[J]. Human and Ecological Risk Assessment, 2002,8:463-471.

[17] Sandin P, Bengtsson B-E, Bergman ?, et al. Precautionary Defaults——A New Strategy for Chemical Risk Management[J]. Human and Ecological Risk Assessment, 2004,10:1-18.

[18] Ove Hansson S. Regulating BFRs——From Science to Policy[J]. Chemosphere, 2008,73:144-147.

[19] Ove Hansson S. Risk and Safety in Technology[M]∥Meijers A. Handbook of the Philosophy of Science:Vol 9.Amsterdam: Elsevier, 2009:1069-1102.

[20] Møller N, Ove Hansson S. Principles of Engineering Safety: Risk and Uncertainty Reduction[J]. Reliability Engineering and System Safety, 2008,93:776-783.

[21] Khan F I, Abbasi S A. Inherently Safer Design Based on Rapid Risk Analysis[J]. Journal of Loss Prevention in the Process Industries, 1998,11:361-372.

[22] Bollinger R E, Clark D G, Dowell III A M, et al. Inherently Safer Chemical Processes——A Life Cycle Approach[M]. New York: Center for Chemical Process Safety of the American Institute of Chemical Engineers, 1996.

[23] Ove Hansson S. Promoting Inherent Safety[J]. Process Safety and Environmental Protection, 2010,88:168-172.

[24] Clausen J, Ove Hansson S, Nilsson F. Generalizing the Safety Factor Approach[J]. Reliability Engineering and System Safety, 2006,91:964-973.

[25] Knoll F. Commentary on the Basic Philosophy and Recent Development of Safety Margins[J]. Canadian Journal of Civil Engineering, 1976,3:409-416.

[26] Moses F. Problems and Prospects of Reliability-based Optimisation[J]. Engineering Structures, 1997,19:293-301.

[27] Ove Hansson S. Safe Design[J]. Techne, 2007,10(1):43-49.