MU5735坠机事故与瑞士奶酪模型

最近东航MU5735的坠机事件让我着实震惊，尤其是在学习飞行的那段时间对这套系统多少有了一些理解之后。不局限于坠机事故本身，对于很多风险的管理其实有一套非常符合直觉的模型——瑞士奶酪模型 (Swiss Cheese Model)。

听到模型各位可能又要嫌弃园主古板了，怎么什么事儿都有个模型可以套似的？这个模型其实不是一个数理模型，而只是把我们日常积累的经验和行为习惯找了一个比喻具体化了，所以变得更容易消化。说白了，瑞士奶酪模型就是我们平时所说的，“烂到根里了”。

记住这个模型有什么好处呢？其实根本不用刻意去记忆，能忘了这图都挺难的。整个理论就一张图：

这张图说白了，就是事故的发生一定是一层一层疏漏累积的结果。每一层都有洞，但是只有这些洞都串起来才会发生事故（你们也可以去用多件事情同时发生的概率去理解）。故而，如果看到事故发生之后只去解决最近一层的问题、而忽略前面的各种保护层，那么下一次事故依旧可能会发生。对于风险的管理来说，我们能做的无非是两点：

• 减少每一层疏漏的概率
• 设计系统的时候尽量减少各层之间的空洞对齐，即各层之间互为冗余。

这个模型广泛应用于坠机事故上，大致就是分为流程制定、记录、团队执行、检查和飞行员主观状态。因为最后一层飞行员的主观因素是最难控制的，所以一般来说我们借助于其他层次来限制人为因素的发挥空间（比如规定双飞行员、强制睡眠、不许饮酒等等）。

新冠事件上也有类似的模型，我就贴个图不细细翻译了。大致就是流行病的防范一定是多层是相互保护的。当最坏的结果出现的时候，八成是多个保护层同时出了问题。

我经常也用这个思维方式来分析工作生活中的一些问题（包括但不限于“为什么会分手”、“为什么会离职”），时常提醒自己最坏的结果一定是可控的。注意，这里是可控的，而不是可以完全避免的。风险为零就不叫风险了。但是一定不要等到最坏的结果发生了才去反省。如果有可能，每一层的问题都值得积极去观察。

那么回到东航MU5735坠机事件。一方面，从概率上来说，样本量足够大的时候，总会有事故发生的。另一方面，我们也可以多少推测出，有多少类似的事件已经被避免了。在一个如此精密的风控系统之下，一件事故还是发生了，那么说明八成是多层次同时出了问题、叠加上以前从来没机会得知或者知道也无法控制的风险漏洞。地震就是另一个极端，因为我们知道的甚少，所以对于风险的控制甚弱，不得不躺平了。

在事故报告还没有公布的时候，一味地去猜测其中某一层的因素是没有意义的。航空业发展了这么多年，“以前从来没机会得知或无法控制的风险”越来越少了，因为每一起事故的发生都会帮我们查缺补漏，比如法航447号航班查出来飞机部件设计的致命缺陷，马航17号航班揭露的地对空武器。我在看MU5735的相关新闻时，最好奇的就是，到底有没有什么尚未知晓的因素能导致这么严重的事故？因为在我的理解之中，航空业的风险控制系统几乎覆盖了你能想到的方方面面，执行也是我见过的各种系统里面最最严格的。即便如此，严重的坠机事故还是如多米诺骨牌倒下一般发生了，就可想而知成因是有多么错综复杂的了。

最后，逝者安息。命运真的残忍。