像挑戰者號爆炸這樣的災難,誰該被責怪?沒人——而我們最好習慣這件事
災難的儀式#
在科技時代,災難有一套儀式:飛機墜毀、化工廠爆炸時,每一片實體證據——扭曲的金屬、碎裂的水泥——都成為某種拜物對象,被仔細定位、繪圖、標記、分析;調查委員會審問、訪談、嚴肅地下結論。
這是一種安撫的儀式,建立在這個原則上——「我們從一次事故學到的,能幫助我們防止下一次」。它的有效性指標是:三哩島事件後美國人沒關閉核工業,每次空難後也沒放棄飛行。
但這套儀式從來沒有像 1986 年 1 月 28 日挑戰者號太空梭在南佛羅里達上空爆炸時那樣戲劇化。
爆炸後 55 分鐘,碎片落入海中時救援船已抵達。接下來的 3 個月成了史上最大的海上打撈作業——150,000 平方海里搜尋漂浮殘骸,潛水艇檢查海底。
4 月中找到關鍵:火箭推進器密封圈失效,火焰逸出點燃外部燃料箱。
6 月,總統特別調查委員會結論:密封圈缺陷反映了 NASA 與主承包商 Morton Thiokol 在工程上的草率與管理上的鬆懈。
NASA 受到「適當懲戒」,回到設計桌前——32 個月後 Discovery 號重新升空。任務指揮官 Frederick H. Hauck 在發現號上對 7 名挑戰者號殉職太空人致詞:
「親愛的朋友——你們的犧牲,意味著我們可以滿懷信心地重新開始。」
儀式完成。NASA 回來了。
但儀式的前提,是真的嗎?#
過去幾年,一群學者開始提出令人不安的論點——這些飛機墜毀後、三哩島後的儀式,與其說是真正的反思機會,不如說是「自我欺騙」。
對這些修正主義學者來說,高科技事故可能根本沒有清楚的原因——它們可能是我們所創造的科技系統「複雜性」的內建特性。
社會學家 Diane Vaughan 的《The Challenger Launch Decision》——是迄今對 1986 年 1 月 28 日前事件最權威的分析。
| 傳統觀點 | Vaughan 的結論 |
|---|---|
| 挑戰者號事故是「異常」 | 事故發生正因為 NASA 的人完全照他們應做的去做 |
| NASA 的人沒做好工作 | 「沒有人在 NASA 做出根本性的『為惡』決定」 |
| — | 「一系列看起來無害的決定,逐步把太空總署推向了災難性結果」 |
即便 Vaughan 只說對一部分,意涵也巨大——
如果潛在的災難真的內建在複雜系統的「正常」運作中,那麼:
- 風險不易管理。
- 事故不易預防。
- 災難儀式毫無意義。
三哩島:5 個獨立故障的乘冪#
要理解挑戰者號論點,要先理解 1979 年 3 月**三哩島(Three Mile Island, TMI)**核電廠近災。總統委員會結論是「人為錯誤——尤其操作員」。但真相比這複雜得多:
起點是「polisher」(巨型水過濾器)阻塞——這在 TMI 並不少見、也不嚴重。
但這次堵塞讓濕氣漏入空氣系統 → 無意中觸動兩個閥門 → 切斷蒸氣產生器的冷水流。
TMI 有備援冷卻系統。但那天:
| 故障 | 性質 |
|---|---|
| 1. 備援系統閥門關著 | 不知為何被關了 |
| 2. 控制室指示燈被擋住 | 上方掛著修理標籤 |
| 3. 反應爐依賴第二備援——一個特殊洩壓閥 | 這個閥那天故障——該關時卡住開著 |
| 4. 控制室壓力錶 | 它本身也壞了——無法告知操作員洩壓閥沒運作 |
| 5. polisher 阻塞 | 起點 |
這是 5 個獨立事件造成的重大事故——
- 控制室工程師對任何一項都無從知曉。
- 沒有任何明顯錯誤或糟糕決定使事件惡化。
- 任何一個故障單獨來看都只是麻煩。
造成事故的——是這些小事件以無法預期的方式互動。
Charles Perrow 的「正常事故」#
耶魯社會學家 Charles Perrow 把這稱為「正常事故(normal accident)」——這裡「正常」不是指頻率,而是指「在科技複雜運作中可被預期的事故類型」。
現代系統由數千個零件組成,互動方式無法預期——
某些小故障的組合最終演成災難,幾乎是不可避免的。
阿波羅 13 號電影正是經典正常事故的完美範例:氧、氫罐故障+一盞分散太空人注意力的指示燈互動,造成事故。
如果是「真正的事故」——任務因一個重大或人為惡意造成——電影會難看得多。
真實事故中,人們會咆哮、找罪魁禍首——好萊塢驚悚片的劇本。
但阿波羅 13 號不一樣的是——主導情緒不是憤怒,是困惑。困惑於這麼多事在這麼少明顯原因下出錯。
沒有人可以怪、沒有黑暗祕密可挖、沒有出路只能重建一個莫名失效的整套系統——
正常事故,反而更令人恐懼。
挑戰者號是正常事故嗎?#
狹義上不是——它的爆炸有單一、致命的失效:O 形環(橡膠密封圈)沒擋住熱氣外洩。
但 Vaughan 認為:O 形環只是症狀,真正的原因是 NASA 的文化——而那文化導致的決策序列,完全符合正常事故的輪廓。
O 形環的歷史#
O 形環是繞著火箭 4 個段體唇緣的薄橡膠帶——應該像果醬罐蓋子的橡膠密封一樣,把火箭各段密合密封。
從 1981 年起的歷次太空梭飛行中,O 形環問題逐次增加:
- 多次出現危險的橡膠密封侵蝕(暗示熱氣差點逸出)。
- 強烈懷疑 O 形環在低溫下效能更差(橡膠變硬、密封不緊)。
- 1986 年 1 月 28 日,發射台結冰,發射時溫度只比冰點高一點。
- Morton Thiokol 工程師建議延後發射——Morton Thiokol 高層與 NASA 推翻建議。
事後委員會與許多評論者指控 NASA 嚴重——若非犯罪——的誤判。
但 Vaughan 的反駁#
Vaughan 不否認決定是致命的錯誤。但翻閱數千頁文字記錄與 NASA 內部文件後,她找不到證據顯示有人疏忽、或為政治便利赤裸地犧牲安全。
NASA 犯的錯,是在「正常營運中」犯的:
- 事後看「冷天氣損害 O 形環」似乎顯然——但當時不顯然。一次 O 形環受損更嚴重的飛行是在 75°F 的熱天發射。
- 之前 NASA 提議過、但因其他原因取消的幾次發射溫度低至 41°F——Morton Thiokol 都沒提冷天威脅。所以挑戰者號前夕的反對在 NASA 看來不是合理而是隨意的。
- 發射前夜經理與工程師爭論——但太空梭計畫中這類爭論很常見。
- 委員會驚訝 NASA 內部討論中反覆使用「可接受風險(acceptable risk)」「可接受侵蝕(acceptable erosion)」這類措辭——但 Vaughan 證明「帶著可接受風險飛行」是 NASA 文化的標準部分。
太空梭可接受風險清單填滿 6 大冊。
「即使 O 形環侵蝕本身未被預測,它的發生符合對大型技術系統的工程預期。」
「在 NASA,問題就是常態。『anomaly』是日常用語。整個太空梭系統運作的前提是——『偏差可被控制,但無法被消除』。」
NASA 創造了一個封閉的文化,「將偏差正常化(normalized deviance)」——
對外人來說,明顯有問題的決定,在 NASA 管理層眼中是審慎而合理的。
Vaughan 的書最令人不安的是這個內部世界的描繪:
當她列出導致發射的決策序列——每個決策都跟 TMI 的失效一樣微小——很難找出確切哪一點是錯的,或下次該如何改進。
「挑戰者號發射決定確實是基於規則的決定。但過去都管用的文化理解、規則、程序、規範,這次沒管用。
不是不道德的計算經理違反規則造成了悲劇——是『遵從』造成了悲劇。」
風險恆定(Risk Homeostasis)#
另一個觀察事故的角度:人類處理風險的方式。
現代災難儀式的假設之一是「識別並消除一個風險就能讓系統更安全」。新的助推器接頭比舊的好太多了——挑戰者級事故再發生的整體機率必然降低,對吧?
但加拿大心理學家 Gerald Wilde 在《Target Risk》提出風險恆定理論——
某些情況下,看似讓系統更安全的改變實際上沒有變更安全。
為什麼?因為人類在某個領域風險降低時,傾向在另一個領域承擔更大風險。
慕尼黑計程車實驗#
幾年前德國的一項實驗:慕尼黑計程車隊一部分裝了 ABS(防鎖死煞車系統)——大幅改善煞車,特別在濕滑路面。其餘車輛保持原樣。兩組原本完全匹配,3 年內被秘密觀察。
你會以為更好的煞車造就更安全的駕駛——
完全相反。
給駕駛 ABS 後事故率沒變化——而且使他們變成明顯更糟的駕駛:
- 開更快。
- 轉得更急。
- 車道紀律更差。
- 煞車更猛。
- 更愛跟車(tailgate)。
- 變道更差。
- 涉入更多瀕近事故(near misses)。
ABS 沒有被用來「減少事故」——駕駛把它換成「在不增加事故率的情況下開得更快、更冒險」。
用經濟學家的話:他們「消費(consume)」了風險降低,沒有「儲蓄(save)」它。
其他風險恆定的例子#
- 斑馬線(marked crosswalk)行人死亡比無斑馬線多——因為行人在「安全」環境裡對來車警覺降低。
- 兒童安全瓶蓋引入後,兒童中毒致死案例大幅增加(一項研究)——因為大人疏於把藥瓶放在小孩拿不到的地方。
反向也成立:1960 年代末瑞典從靠左駕駛改靠右——你以為會引發事故潮——接下來 12 個月交通死亡下降 17%,才慢慢回到原水平。Wilde 半開玩笑說:「真正想讓街道更安全的國家,應該定期換邊」。
NASA 的俄羅斯輪盤#
諾貝爾物理學家、挑戰者號委員會成員 Richard Feynman 那句被廣泛引用的話:
「在 NASA,決策是『一種俄羅斯輪盤』。
當 O 形環開始出問題卻沒事,太空總署開始相信『下次飛行的風險不再那麼高』、『我們可以稍微降低標準,因為上次也沒事』。」
但修好 O 形環不代表這種冒險停止——
太空梭上有 6 整冊 NASA 認為和 O 形環一樣風險高的零件。
完全可能——更好的 O 形環只是給了 NASA 對另一件事玩俄羅斯輪盤的信心。
我們真的想要最安全的世界嗎?#
我們對安全的口頭承諾,與我們忠實演出的災難儀式,一直掩蓋著某種偽善。
我們其實不要「所有可能世界中最安全的那個」:
- 全國 55 mph 限速可能比過去一代任何單一政府介入都救了更多命——但國會上月幾乎沒爭論就解除了它。安全帶與氣囊的安全進步,被「消費」掉了,沒有被儲蓄。
- 飛機與導航系統設計的巨大進步本可以把空難率壓到最低——但消費者要的是便宜、可靠、便利——所以這些安全進步部分被「在更糟天氣與更擁擠航道中飛行降落」消費掉了。
像挑戰者號這樣的事故應該教會我們的是——
我們建造的世界裡,「高科技災難的潛在性」內建在日常生活的紋理中。
在未來某個時間——為了最平凡的理由、出於最好的意圖——
NASA 太空船會再次墜毀燃燒。
我們至少現在就應該對自己承認這件事。
而如果我們無法承認——如果這種可能性太難承受——那我們唯一的選項,就是開始思考全面廢除太空梭這類東西。