蝴蝶结模型——一款适用于HSE风险管控的实用型工具

蝴蝶结模型，是一种根据危险事件演化过程，基于安全屏障理论的分析方法。在分析模型中，以顶上事件为核心，向前分析导致其发生的可能原因（事故树分析），向后分析事件发生后可能的后果（事件树分析），再针对性地设置屏障进行防控，是事故树和事件树分析的结合和简化。

蝴蝶结模型最早出现在澳大利亚昆士兰大学关于帝国化学工业公司危害分析的课程讲义，随后壳牌公司将其应用于阿尔法钻井平台爆炸灾难分析中，至今这一模型已被广泛应用到生产领域的安全管理和风险识别工作中。

蝴蝶结模型是HSE风险管控的一种工具，旨在通过设置防止一定量的不安全事件发生的屏障方式进行风险管控，来达到降低结果发生的概率或严重程度。

蝴蝶结模型用于展示危险、顶上事件、危害因素和后果之间的关系，并示范如何通过设置屏障来对这些危险、顶上事件、危害因素和后果加以控制。

完整的蝴蝶结模型模型图包含8大要素：危险源、顶上事件、危害因素、后果、预防措施屏障、减缓措施屏障、干扰因素、干扰因素的措施屏障。

理论基础

（一）能量意外释放理论

事故的根本致害物就是各种能量或有害物质，事故的发生就是能量或有害物质失控而意外释放。

第一类危险源：可能导致人身伤害和（或）健康损害的能量或危险物质。（固有型危险源，决定事故后果的严重程度）

第二类危险源：导致约束或限制能量措施失效、破坏的各种不安全因素。（触发型危险源，决定事故发生的可能性）

示例：

※ 机械能可能导致撞击伤、夹伤等机械伤害；

※ 热能可能导致灼烧、中暑等；

※ 电能可能会干扰神经或电击伤等；

※ 声能可能会造成听力的损伤；

※ 化学能、辐射能则可能致病，甚至导致癌变、胎儿畸形等；

※ 一些工作场所高密度粉尘轻则可致患尘肺病，重则可能发生爆炸伤人等等。

（二）奶酪模型

奶酪模型的内在逻辑是：事故的发生不仅有一个事件本身的反应链，还同时存在一个被穿透的组织缺陷集，事故促发因素和组织各层次的缺陷（或安全风险）是长期存在的并不断自行演化的，当多个层次的组织缺陷在一个事故促发因子上同时或次第出现缺陷时，不安全事件就失去多层次的阻断屏障而发生了。

（三）屏障模型

中国安全风险防控与安全文化协会副会长，中国石油大学、中国地质大学、重庆科技学院硕士研究生指导教师胡月婷教授基于两类危险源理论，由能量意外释放理论和奶酪模型，构建新型屏障模型。

屏障模型与奶酪模型的本质区别

1.屏障性质不同：由带有孔洞的奶酪片，变成为不能有孔洞的真实屏障示意图；

2.屏障按类别分层：奶酪模型中所有屏障应有尽有；屏障模型中只有直接屏障，即硬件管理和人员管理。

蝴蝶结模型要素介绍

（一）危险源和顶上事件

“危险源”要素及相关的“顶上事件”要素位于蝴蝶结模型中心位置，可视为蝴蝶结模型的起始点。在蝴蝶结模型中注明了“危险源”这一要素本身以及可能会导致风险的途径(即顶上事件)。

1. 危险源

在蝴蝶结模型中，“危险源”这一要素可视为有可能造成伤害的因素。由于在运行过程中往往存在固有危险，因此不可能杜绝这些危险，但必须对这些危险进行严格管理，确保其始终处于受控状态。在对危险源进行定义时，必须考虑以下内容:

a)危险源存在于日常操作中，即它们不属于某一事件。一定是能量或有害有害物质及其状态的的组合。例如，石化生产设施，常见危险源是存在原油或天然气;

b)必须对危险源进行准确命名和说明，为此，应指明以下内容：

※ 物料存在的状态(例如，对于原油或天然气，应指明其处于液体状态还是气体状态)。

※ 存在危险的环境(例如，应指明存在危险的设备或位置)。

※ 一定不得将危险源与顶上事件相混淆。

※ 在正常运行期间会存在危险源，但只要该危险源能够得以完全控制，就可以接受。

※ “顶上事件”这一要素对可能会导致危险源失控的情形进行说明。

2. 顶上事件

顶上事件是指可能会导致危险失控的机制，在对顶上事件进行定义时，应考虑以下内容：

※ 顶上事件涉及危险变化状态以及所造成的危险，例如，油气管线中存在原油或天然气，与存在原油或天然气相关的典型顶上事件为原油或天然气泄漏。

※ 不应将顶上事件作为事故进行描述，而应作为可能会导致发生事故的机制进行描述。

※ 每一危险源都可能涉及不止一个与之相关、已明确顶上事件。

※ 在命名或描述顶上事件时，应指明导致危险失控的机制；危险失控程度。

※ 在蝴蝶结模型中，顶上事件是伴随危险源出现的，每个顶上事件都有对应的危险源，而每个危险源往往可能有多个顶上事件伴随。

3. 危害因素（原因）

有多个因素会导致发生顶上事件。这些因素被称为“危害因素”， 是指可能会导致发生顶上事件的机制。在识别危害因素时，必须考虑以下内容:

※ 识别出的每一危害因素都必须能够直接导致出现顶上事件。

※ 识别出的每一危害因素应单独作用。

※ 识别出的每一危害因素应能够造成每种后果。

4. 后果

后果是指因危险源失控而可能发生的事件，表明在发生危险后会导致何种情形以及可能会造成何种后果。后果为不希望发生的事件，应加以预防。在确定后果时，必须考虑以下内容:

※ 后果是指因发生顶上事件而会导致的、不希望出现的结果或事件。

※ 每一后果都必须因发生顶上事件而直接所致。

※ 已确定的每一后果应因存在任何已明确的危害因素所致。

5. 屏障

“屏障”是指为避免造成不希望出现的后果而采取的控制措施，旨在防止因存在某一危害因素而导致发生危险或将在发生危险后所造成的后果降至最小。

6. 预防性屏障

这些屏障是指为防止发生顶上事件而设置的屏障，以限制某一危害因素所波及的范围或防止同时出现多种危害因素。它们位于领结图左侧，且介于已识别出的危害因素和危险/顶上事件之间。为了将上述屏障与位于领结图右侧的屏障区别开来，将上述屏障定义为“预防性屏障”。在确定预防性屏障时，必须考虑以下内容:

※ 预防性屏障应相互独立，且几乎不存在共同失效模式。

——如果发现预防性屏障之间相互依赖，应考虑对这些预防性屏障进行整合。

——当预防性屏障之间相互依赖性很小时，才视为可接受。

※ 设置预防性屏障的目的是消除危害因素，并防止发生顶上事件。

7. 后果控制屏障

这些屏障是指为对在发生某一顶上事件后所造成后果的严重程度加以控制而设置的屏障，它们位于领结图右侧，且介于顶上事件和后果之间，是在发生顶上事件后为控制所造成的后果而需采取的减缓措施。

为了将上述屏障与位于领结图左侧的屏障区别开来，将上述屏障定义为“后果控制屏障”。

在确定后果控制屏障时，应考虑以下内容:

※ 后果控制屏障应相互独立，且几乎不存在共同失效模式。

——如果发现后果控制屏障之间相互依赖，应考虑对这些屏障进行整合或合并。

——当后果控制屏障相互依赖性很小时，才视为可接受。

※ 设置后果控制屏障的目的是防止同时造成多种后果或降低后果严重程度。

8. 干扰因素（升级因素）

干扰因素是指会导致屏障失效或可能会降低屏障效果的机制。在确定干扰因素时，应侧重于会导致某一屏障失效的因素，不应将干扰因素与发生顶上事件直接关联起来。在对升级因素进行定义时，应考虑以下内容：

※ 仅关注可信事件。考虑在过去已发生的事件可能有助于明确可信衰退机制。

※ 确保干扰因素与某一现有屏障失效直接相关。

※ 不应将某一干扰因素与发生顶上事件直接关联起来。

9. 干扰因素屏障

在识别出某一干扰因素后，必须确定干扰因素的屏障，以防止现有屏障失效。将上述屏障定义为“干扰因素屏障”。应为每一干扰因素至少确定一个相关屏障。在对“干扰因素屏障”进行定义时，应考虑以下内容:

※ 干扰因素屏障应相互独立，且几乎不存在共同失效模式。

——如果发现干扰因素屏障之间相互依赖，应考虑对这些屏障进行整合。

——当预防性屏障之间相互依赖性很小时，才视为可接受。

※ 设置干扰因素屏障的目的是防止现有屏障失效。

蝴蝶结模型建立步骤

建立基本蝴蝶结模型的八个步骤

第1、2步 确定一个危险源和相应的风险事件

第3、4步 确定该风险事件的危害因素（原因）和后果

第5、6步 确定预防措施屏障以及减缓措施屏障

第7、8步 确定干扰因素及干扰因素措施屏障(并最终生成一个蝴蝶结模型

蝴蝶结模型应用意义

※ 建立结构化的风险管理思维框架；

※ 准确识别顶上事件，聚焦“失控”“失效”“能量意外释放”；

※ 既要考虑预防措施，又要考虑减缓措施。

[注：本文部分图片来自互联网！未经授权，不得转载！每天跟着我们读更多的书]

互推传媒文章转载自第三方或本站原创生产，如需转载，请联系版权方授权，如有内容如侵犯了你的权益，请联系我们进行删除！

如若转载，请注明出处：http://www.hfwlcm.com/info/96356.html