把这三件事情放在一起，也许有人觉得很牵强，其实他们都是大的复杂设备，用来承载很多人的公众交通工具，这些灾难本质都是一样，都是根本的重大设计失误引起的！

首先，人就是人，总会产生失误，有的人失误多些，经常发生，有的人失误少些，很少发生，但是，不存在没有失误的人，也就是说100%正确的人，是根本就不存在的。违反这条原则，就是违反天理！别说人，上帝就不能制造一块他/她自己搬不动的大石头，就是一个很好的例子。

如果讲究以人为本，就要首先认真考虑这一条。

其次，进行这些高级复杂设备（动车，飞船，电动楼梯）设计的最高原则是就是要以人为本，违反这一条，就是犯了天条，早晚一定出事故。

第三，既然遵守以人为本，那么人制造出来的任何东西也不会是100%完美的，可以看作是人类“原罪”的传播。比如，正常的打火机总有偶然打不着的时候（几乎没有打火机能100次连续打着！别提1000次了），正常情况下汽车总有打火不着的时候，计算机/手机也有无理由就启动不了/启动不好的事情。例子太多了。

温州高铁相撞来自于这个致命设计缺陷，那个信号系统，驾驶室中只有得到出错信息的情况下才能提示停止运行；而实际的设计应该是，只有驾驶室得到报告，一切完全正常的情况下才能正常运行。结果，高铁/动车相撞了。如果这一条不修改，以后还会多次相撞。

这两点有什么关键区别？如果铁路路况一切正常，而传输铁路信号的某个导线连接不好（老化了，接口松了等），驾驶室就得不到正确的信号，列车就不能启动，这样做才正确。而实际情况是，前方有了情况，但是情况不能送达到驾驶室，所以驾驶员就加速往前跑，结果追尾。

再说这次湖北电动楼梯吃人，也是设计上的重大失误！首先，只有一切正常的情况下，电动楼梯才能运行，这一点没有做到。其次，踏板松动了，出现异常情况，就应该有设计的机制停止电动楼梯的运行（参考，现在新型的车，车门没有关好，你就是开不走！）第三，踏板移开了，设计的机制应该决定：电动楼梯立即停止，这样就算人掉进去了，不会严重受伤。看到这么多严重设计缺点了没有？再举个例子，电梯门关不上，电梯就不能启动，这个设计就是正确的。

还有我自己工作中的例子，激光实验室的门没有关好，激光是启动不了的，因为有一套安全措施（interlock）在主导；就算门关好了，激光也启动了，但是激光的盖子是不能打开的，如果掀开一条缝，激光立刻停止。另外旁边总有便利停止激光的很多紧急按钮。

今天看到消息，去年在美国加州沙漠上空爆炸的维珍银河公司（Virgin Galactic）“太空船二号” （SpaceShipTwo），调查结果出来了，同样存在严重的设计问题。

以前相关博文：

科学网—维珍银河载人商业“太空船二号”美国加州坠毁

科学网—爆炸的维珍银河“太空船二号”火箭首次使用新燃料

这则事故的触发原因是，驾驶员提早打开了太空船的减速装置。减速装置在飞船尾翼，翘起后增加飞行阻力，以降低飞船降落时的速度。减速装置应该在1.4马赫时启动，但是由于驾驶员的偶然失误，试飞中在1马赫时就启动了。之后，由于飞船在高速运行同时遇到减速措施，导致制动系统生效，从而使飞船在强大空气动力过载的情况下被撕裂解体，这就是发生了爆炸。

举个类似的例子：高速路上高速行驶的汽车（120公里/小时或者更高），如果驾驶员敢一脚把刹车踩死，必然导致车身翻滚跟头（谁不服气可以亲自试试），通常轮胎冒烟甚至着火，车内没有系安全带的必然被甩出去。正确操作是，先半踩刹车降速，降到80公里/小时以下才能把车一脚踩死。如1楼评论中补充，现在的车都安装了ABS刹车系统，就是防止把车彻底刹死，但是请注意，ABS刹车也会偶尔刹车失灵的，特别是下很长的山坡的时候。还有，如果手闸没有完全松开就在高速上开，那就等着灾难降临吧。不过，现在新型的车，手闸没有完全松开，就有提示。

这次太空船灾难的报告说，设计者没有考虑驾驶员能犯这样的偶然操作错误。“设想认为，这些训练有素的试飞员不会犯这样的错误 （要求100%正确！）。但是事实，人就是人。最训练有素的人，在最佳状态下，也会犯错误。”  设计公司的错误在于，他们把希望完全寄托在了飞行员不会犯错误的状态。必须预测到人为错误的可能，飞船系统必须能够应对这样的错误。

最后再讲点战争电影中的集体冲锋人海战术的例子作为对比，不管你看电影《南征北战》《保卫延安》《三大战役》还是《一条大河》，里面很多集体冲锋的场面，那样做的最基本的设计原则是以赢为本，不惜代价赢得战争，冲锋中必然有大量伤亡。如果这条原则用在高铁/动车，电动楼梯，太空船的设计中，相信80%的情况运行很好，但是其他20%的情况，就会有灾难发生了。

不同情形下，不同场合，设计的总原则是不同的。和平时代的安全要求是以人为本，和战争时代的以赢为本的信念差别很大。