1979年的三里岛核电危机差点酿成美国核电历史上最大的灾难。事故是这样发生的:工程师在清理堵塞的过滤器时,不小心让一杯水漏进了错误的系统。这次漏水事件本身没什么危害,却触发了一个自动安保设施,它关闭了主泵机,水无法在热交换器、蒸汽轮机和冷却塔之间流动,因此反应堆需要用其他方式降温。接下来发生的事情堪称查尔斯·佩罗系统事故的经典案例,本来不难解决的错误滚雪球般越积越严重。
操作人员本应该启动两个备用泵,把冷水注入反应堆压力外壳,但是在两根管道保养后,阀门都错误地被关闭起来。报警灯本应该提醒操作人员阀门被关闭,但是吊在报警灯开关上的警示纸牌遮住了报警灯。反应堆温度越来越高,一个安全阀就像高压锅的安全阀一样随之自动弹开。到压力下降到最佳水平时,这个安全阀本应该自动关闭,但是它却紧紧卡住无法关闭,导致反应堆的压力下降到了危险的水平。
如果当时操作员注意到安全阀被卡住无法自动关闭,就可以把管道更深处的阀门关上。但是根据中控台的显示,阀门似乎已经正常关闭。其实中控台显示的只是向阀门发送的关闭信号已正常发出,而不是阀门已被正常关闭。就在大家费尽心思搞清楚问题出在哪里时,监管人想到可能安全阀还开着。于是他安排一名工程师去检查气温仪表读数,而这名工程师却报告一切正常,因为他看的仪表不对。
这是个严重错误,但是鉴于当时的情况,这也是可以理解的。现场到处是混乱的讨论声,还夹杂着一百多个警报器发出的刺耳的报警声;中控台更是让人眼花缭乱:上面布置了约750盏灯,每一盏都标着一个字母码,有些和对应的开关离得很近,有些则离得很远,有些在上面,有些在下面。红灯表示阀门开启或设备运转,绿灯表示阀门关闭或设备停止。但因为有些灯一直是绿的,有些灯通常都是红的,即使是接受过培训的熟练操作员,也不可能快速检查那么多闪烁的红绿灯,迅速找到问题所在。
早上6:20,另一批值班人员进行了重新的判断,这才意识到温度过高的冷却剂已经从压力过低的反应堆中持续往外流淌了两个小时。这批刚接班的操作员成功地控制了局势,虽然未能阻止12.1万升高度污染性的冷却剂溢出,但还是避免了核电站的全面崩溃。如果有更好的仪表来显示运行状况,这个事故本应更快得到控制。
我访问了国际原子能机构核设施安全部的主任菲利普·雅梅(Philippe Jamet),请他谈谈三里岛事故中的教训。他回答说:“审视事故发生的过程,你会看到核电厂的工作人员束手无策。”
雅梅说,三里岛事故后,大家更加关注如何用简单易懂的方式向操作员说明其职责,确保操作员在试图启动熄火的反应堆堆芯时,不受100多个报警器和1 000多个明灭的指示灯的干扰。
欣克利角B(Hinkley Point B)核电站的教训更为明显。欣克利角B核电站坐落在英格兰西南部,俯瞰布里斯托湾,这座核电站已经达到了使用年限。核电站旧址过去是学生的参观基地,但是为了防范恐怖分子,这里被设置了重重关卡,四周也建起了围栏。在蒙蒙细雨中,我参观了核电站旧址。透过雨幕,隐约可见旧址中心矗立着一幢庞大又敦实的灰色建筑,两个核反应堆就安装在里面。不远处有一座低矮的办公楼,看上去和城郊工业园区里随处可见的办公楼没什么区别。办公楼中央摆放着模拟装置,堪称欣克利角B控制室的完美复制品。这台模拟装置很有20世纪70年代的感觉:结实的大型金属控制台、繁多的塑料开关。和真实的控制室一样,这台装置还增加了很多现代化的宽屏监视器,专门显示计算机处理的反应堆信息。屏幕后面是一台功能强大的计算机,用来激发核反应堆,按照程序指令进行各种复杂工作。
“这些年做了很大的改进,”模拟装置解说员史蒂夫·米奇尔(Steve Mitchelhill)带我参观了这里,他解释道,“有些东西看起来像装饰,其实不然,这些都是为了减少人为因素的影响。”当然,这里的“人为因素”指的是核电站操作员的失误。米奇尔特地展示了20世纪90年代中期引进的一个具有迷惑性的创新装置:一种彩色的涂层,能在操作员惊慌失措或疏忽大意时帮他理解开关和指示灯的关系。这个小点子可能会帮助操作员在几分钟内化解三里岛事故。
金融监管机构似乎没有总结出这么明确的经验。发生在三里岛的错误有着让人百思不得其解的特点,同样的错误也困扰着金融危机中的决策。2008年9月的第二个星期,金融界也出现了类似三里岛事故的危机时刻。所有人的目光都集中到麻烦缠身的雷曼兄弟公司身上,密切关注雷曼公司的还有当时纽约联邦储备银行的主席蒂莫西·盖特纳(Timothy Geithner),他负责监管银行系统。盖特纳刚从大西洋彼岸飞回美国,AIG公司的董事长罗伯特·维伦斯坦德(Robert Willumstad)就要求与他会面。据记者安德鲁·罗斯·索尔金(Andrew Ross Sorkin)(25)的报道,盖特纳让维伦斯坦德等了半个小时,因为他正在和雷曼兄弟公司通电话。会面时,维伦斯坦德询问AIG能否像投资银行一样,使用联邦储备银行的借贷工具。
维伦斯坦德还递交给盖特纳一份简报,承认AIG拥有价值2.7万亿美元的岌岌可危的金融合同,其中超过1/3是与12家最重要的金融机构签订的信用违约掉期交易。这意味着一旦AIG垮掉,就会拖垮全球的金融体系,AIG比雷曼兄弟公司的威胁更大、更让人震惊。但是盖特纳并没有察觉其中的危险,毕竟AIG是家保险公司,负责监管它的是财政部而不是盖特纳掌管的纽约联邦储备银行。或许是长途飞行让盖特纳疲惫不堪,或许是他没时间研究维伦斯坦德的简报,或许是这份简报太拐弯抹角,总之盖特纳把AIG的问题推到一边,转而继续关注雷曼兄弟公司的问题。
整个周末,政府官员和最重要的投资银行家们都在为拯救雷曼兄弟公司进行紧张而忙乱的谈判。直到星期天晚上,一个投资银行家接到了财政部官员打来的电话,询问是否要组织一个团队展开类似讨论,先来拯救AIG,此时大家才回过神来。听到这个令人震惊的消息,他说:“等一下,等一下……你星期天晚上才打电话,我们为雷曼的事熬了一个周末就是这个结果?我们花了48小时原来搞错了对象?”和三里岛事件一样,在突如其来的嘈杂喧嚣中,复杂金融体系的管理者显然也找不到最关键的信息。
ADAPT Why success always starts with failure
试错法则
“我们总是责怪操作员,认为这是‘控制错误’。”耶鲁社会学家查尔斯·佩罗如此评论。但是,就像看错了指示灯的核电站操作员一样,蒂莫西·盖特纳并非因为愚钝才抓错了重点,而是因为提供给他的信息既混乱又不充足。斥责盖特纳、雷曼兄弟或AIG的管理者可能会赢得称赞,但是佩罗这样的安全专家明白,更富有成效的做法是设计出更优秀的体系,而不是期望出现更优秀的管理者。
无论任务本身多么艰巨,都有可能设计出值得信赖的体系,最有名的例子就是空中交通管理。是不是也可以为金融监管机构设计一个类似空中交通管理的模式,让它们看到金融机构何时面临冲撞的危险呢?目前,金融监管机构根本不知道是否还隐藏着另一个AIG,也找不到寻找潜在危险的系统方法。它们需要更多的信息,而且最重要的是,向它们传递信息时要用一种容易理解的方式,就像雷达屏幕上移动的光点那样一目了然。
负责维持金融稳定的英格兰银行执行董事安德鲁·霍尔丹(Andrew Haldane)希望,有一天金融监管机构能利用检查电网运行状况的现代技术,绘制一张标示金融体系内压力大小的热点图(heat map)。这种热点图会利用合适的软件对正确数据进行准确的分析,一些关键的联系、压力过大的节点以及意外的相互影响都会在图上重点标示。监管机构再也不用目不转睛地盯着一个个孤立的电子数据表或一张张让人迷惑的幻灯片,只要看看这张清晰、直观的金融关系图,金融体系中的风险就能一目了然。如果这张热点图还能每天、每小时进行更新,甚至能即时更新,那就更理想了。
“我们离那一天还有十万八千里呢!”霍尔丹毫不犹豫地承认。2010年7月,奥巴马总统签署了《多德-弗兰克改革法案》(Dodd-Frank Reform Act),建立了一个全新的金融研究办公室,他似乎有意绘制这样一幅热点图。从理论上讲,这种技术应该用来揭示那些公司是否具有系统重要性,即是否属于“大而不倒”机构,以及随着时间的流逝,这种系统重要性会有什么变化。虽然新的《巴塞尔协议III》探讨了适用于这些具有系统重要性的机构的规则,但目前看来,系统重要性的定义并不比艺术、文学或色情的定义清晰多少。从那之后,蒂莫西·盖特纳这类重要人物就不会为AIG这样的机构竟然如此重要而深感意外了。
尽管这种系统热点图魅力不凡,单靠它还是不可能解决所有问题,就像唐纳德·拉姆斯菲尔德的信息控制策略无法解决作战问题一样。维护金融体系安全的前提是为监管机构提供准确的系统信息以及更多的东西。就像在战场上一样,没有计算机能概括金融前线的突发状况。