基于屏障模型的風險管理基礎術語辨析

胡月亭高級工程師 邱少林高級工程師 劉景凱教授級高級工程師 曾明榮教授級高級工程師 杜 民高級工程師

(1.中國石油天然氣集團公司，北京 100035；2.中國安全生產科學研究院，北京 100012)

0 引言

目前，我國有關生產安全風險管理方面的術語與概念比較龐雜、混亂，如與Hazard相關的名詞術語就有20多個，其中，在國家標準中對Hazard就有5種不同的翻譯方式。這些基礎名詞術語的多樣化、不統一，不僅妨礙學術的溝通交流，也直接影響日常風險管理工作。因此，亟需對這些風險管理基礎名詞進行梳理分析，給出明晰定義和統一稱謂，并厘清它們之間的邏輯關系以及這些基礎名詞術語在事故致因和防控中的作用和地位等。本文基于屏障模型辨析安全生產風險管理基礎名詞術語及它們之間的相互關系，從而更好地理解和應用風險管理，做好事故防控。

1 屏障模型基本內涵

瑞士奶酪模型認為，防范能量或有害物質意外釋放的屏障(即風險控制措施)，像有孔洞的瑞士奶酪片一樣，層層遮擋在危害因素(Hazard)之前，這些孔洞的尺寸、位置隨時間在不斷變動，當某一時刻所有屏障上的孔洞都位于一條直線上時，就形成通路，從而導致事故發生。

瑞士奶酪模型對于事故致因的解釋，雖然直觀、形象、生動，但也存在很多問題。單從屏障理論的角度，該模型把屏障比作自始至終都帶有漏洞的“瑞士奶酪”，給人們造成“沒有無缺陷的屏障”的錯覺，由此會誤導人們對屏障本質的認識，降低對屏障質量的重視程度。另外，瑞士奶酪模型把所有對防控能量或有害物質起作用的事物都視作屏障，且放在同一層面上，與客觀實際不符，致使實際應用過程中遇到許多難以解釋的問題。

1.1 屏障模型

筆者嘗試對瑞士奶酪模型進行改進，構建在結構形式上類似于瑞士奶酪模型的屏障模型，如圖1。屏障模型具有3個部分：一是導致事故的源頭、根源——能量或有害物質；二是失控的能量或有害物質對可能波及的對象(稱之為“受體”)造成的事故損失；三是分隔在能量或有害物質與“受體”之間，防止能量或有害物質失控的手段——防控屏障，只要其中任一屏障有效發揮作用，就能夠防控事故發生，否則，事故就可能發生。

圖1 屏障模型示意圖

1.2 屏障模型基本特點

屏障模型除把瑞士奶酪模型中的事故致因物由“危害因素(Hazard)”改變為“能量或有害物質”之外，二者最大的區別體現在防控屏障上。

首先，在屏障質量方面，與瑞士奶酪模型不同，屏障模型中的防控屏障為不能有漏洞的真實屏障。這里的“不能有漏洞”并非意味著屏障的盡善盡美，沒有任何缺陷，而是屏障必須發揮其應有作用或功能，如果屏障出現漏洞，就意味著屏障失去防控作用。因此，必須高度關注屏障的質量，確保屏障不出現漏洞。

其次，在屏障數量方面，屏障模型根據屏障性質，對屏障進行分級、分類。屏障分級是把屏障劃分為直接用于能量或有害物質防控的直接屏障、通過直接屏障而起防控作用的間接屏障。在直接屏障中，只有人員類屏障(一線崗位員工操作)與硬件類屏障(現場設備設施情況)2種基本類型。間接屏障作為直接屏障的支撐，由于其作用已通過直接屏障得以反映，不能再出現在屏障模型中，因此，在屏障模型中，屏障的數量就是人員、硬件類直接屏障的數量。這樣不僅厘清不同層面屏障間邏輯關系，而且屏障的數量可數，為量化風險防控奠定科學基礎。屏障模型可以彌補瑞士奶酪模型沒有對屏障類型進行劃分，解決不同層級的屏障都混放在對能量或有害物質防控的同一個層面上，導致屏障功能重疊、數量重復的問題，能真實地反映客觀實際。

2 基于屏障模型的風險管理基礎術語辨析

2.1 危害因素與危險源、隱患

目前，在我國與Hazard對應的詞語很多，如危險因素、有害因素、不安全因素、危險、危險源、危險(源)、危害、危害源、危害(源)、風險源、風險點、風險因素、危害因素、隱患等，因此，應把這些詞語進行整合。如前所述， Hazard單在國家標準中就有5種不同的中文翻譯，其中，在安全生產領域將其譯成 “危險源”最為常見。《職業健康安全管理體系》把Hazard定義為：可能導致人身傷害和(或)健康損害的根源、狀態或行為，或其組合。兩類危險源(Hazard)理論也認為，危險源(Hazard)分2類，一類是系統中存在的、可能意外釋放而引發事故的物質，它就是屏障模型中需要防控的能量或有害物質，即“根源”類Hazard；另一類則是導致限制、約束能量或有害物質措施(屏障)失效的各種不安全因素，它就是屏障模型中人員、硬件屏障上的漏洞，即“行為或狀態”類Hazard。由此可見，Hazard包括導致事故發生的“根源”類Hazard與“行為、狀態或其組合”類Hazard 2種類型。鑒于漢語語境中“危險源”一詞的“源”表示“根源、源頭”十分合適，但不適于表示“行為或狀態”，因此，一直以來把Hazard譯作“危險源”存在很大爭議，同時它也與“重大危險源”的定義不一致。相反，“危害因素”一詞為中性詞語，既可表示源頭、根源類物質，也能表示行為、狀態類情形，而且“危害因素”還可以理解為危險因素、有害因素、危險有害因素以及危險、有害因素的簡稱，因此，把Hazard譯作“危害因素”十分合適。目前，在對2018版《職業健康安全管理體系》翻譯時，已將Hazard由“危險源”改譯為“危害因素”。同時，在企業風險管理活動中，人們也更習慣使用“危害因素”這個術語。總之，把Hazard譯作“危害因素”既可以解決“危險源”無法涵蓋“行為、狀態”類Hazard的問題，也能夠整合與Hazard相關的眾多名詞，同時還與Hazard形成一一對應的關系。

另外，在兩類危害因素中，鑒于能量或有害物質是導致事故發生的根源或源頭性的東西，即危害因素定義中的“根源、源頭”，因此，把這類危害因素稱為“源頭類危害因素”更為合適，“源頭類危害因素”可稱為“危險源”，如“重大危險源”中的“危險源”正是此意；另一類則是在防控源頭類危害因素過程中，伴隨防控屏障(措施)而出現的、可能導致防控屏障(措施)失效的不安全因素，即危害因素定義中不安全的“狀態或行為”，與源頭類危害因素相對應，它們是導致事故發生的外部原因。由于它們是在防控源頭類危害因素過程中，伴隨防控屏障(措施)出現的衍生品，因此，此類危害因素可形象地稱為衍生類(派生類)危害因素。

根據風險管理原理，要防控事故的發生，首要任務是找出可能導致事故發生的致因因素——危害因素，如圖2。為此，應首先辨識出導致事故發生的源頭類危害因素，只有這樣才能有的放矢地設置針對性屏障(措施)進行防控，同時還要辨識出導致屏障(措施)失效的“行為、狀態”類危害因素——衍生類危害因素，只有這樣才能確保屏障(措施)持續有效發揮作用，從而達到防控事故發生的目的。由屏障模型理論可知，限制、約束能量或有害物質的直接屏障(措施)分為2大基本類型：人員屏障與硬件屏障。鑒于任何類型的屏障都可能會因其自身本質特征缺陷而失效，如人員屏障可能會出現人的不安全行為；硬件屏障可能會出現物的不安全狀態。這種由于屏障(措施)自身本質特征缺陷可能出現但尚未出現的衍生類危害因素就是“潛在型危害因素”(The Potential Hazard)，如螺栓固定的組件可能但還未出現螺母松動脫落，人員可能但還未出現違章行為等。對潛在型衍生類危害因素預防失效而轉變為“現實型危害因素”(The Actual Hazard)，現實型危害因素就是所謂的“隱患”。“隱患”的出現就會使屏障(措施)失去作用，至少影響其作用的發揮，從而可能導致源頭類危害因素失控，造成事故發生。

圖2 危害因素與危險源、隱患關系示意圖

由此可見，要防止事故發生，首先要設置屏障防控源頭類危害因素，即危險源；防控屏障(措施)上的漏洞就是由潛在性危害因素失控形成的現實型危害因素，即隱患，人員類屏障上的隱患即人的不安全行為；硬件類屏障上的隱患即物的不安全狀態，它們正是導致事故發生的直接原因，表現為直接屏障上的漏洞，間接屏障上的漏洞也是“隱患(管理缺陷)”，間接屏障上的漏洞(管理缺陷)是導致直接屏障漏洞產生的原因，也就是事故的管理(間接)原因，它們是事故直接原因產生的原因，如圖3。

圖3 與危害因素(Hazard)相關的名詞術語關系圖

需要指出的是，理論與現實會有所出入，隱患管理亦如此，例如，按照國家隱患排查治理要求，因安全標準升級也會產生新的隱患界定；在隱患排查治理上，企業往往只是針對物態隱患進行立項整治，對于人的行為型隱患大多并不在隱患排查治理的范疇，等等。

2.2 風險、危害因素及其相互關系

危害因素是指可能導致人身傷害和(或)健康損害的根源、狀態或行為，或其組合，其實質是將來可能引發事故的原因，是一種需要辨識出來并加以防控的客觀存在。鑒于并非所有危害因素都需要防控，因此應通過風險評估，根據危害因素的風險程度，決定是否防控以及如何防控(即風險分級管控)。風險是評判辨識出來的危害因素是否需要防控、如何防控的一種評價指標、衡量參數。所謂風險是指(危害因素導致)事故發生的可能性與事故后果嚴重程度的組合。源頭類危害因素決定著事故后果的嚴重程度，衍生類危害因素決定著事故發生的可能性。總之，事故發生可能性及其后果嚴重程度主要是由危害因素所決定，危害因素決定風險程度的大小、高低，當然同時還受其他因素的影響。

由此可見，危害因素與風險的關系類似于“皮”與“毛”的關系，危害因素是主體，風險是附著在危害因素之上的客體，是反映危害因素危險程度的一種特征指標，有危害因素必然有與之相對應的風險。在風險管理活動中，辨識客觀存在的危害因素，評估辨識出來的危害因素的風險，所謂“風險辨識”實質上是“風險(源)”辨識，“風險(源)”即安全生產領域的“危害因素”。如上所述，雖然風險是對危害因素的一種評價指標，但因危害因素是客觀存在，因而依附于危害因素的屬性——風險，在一定程度上講，也是一種客觀存在，即所謂“風險無處不在”，正是因為危害因素的普遍存在。

3 基于屏障模型的事故致因解釋

事故究竟如何發生？能量意外釋放論解釋事故發生的內因，屏障模型解釋事故發生的外因，二者結合在一起，則能夠科學合理地解釋事故的致因機理。

能量意外釋放論認為，事故之所以發生，究其實質，就在于客觀存在的能量或有害物質失去控制而意外釋放，波及到“受體”(人員、財物、環境等)，當對“受體”的沖擊超過其承受程度(門限值)時，就會受到傷害、破壞或污染等，這就意味著事故的發生，否則，就是未遂事故。因此，只要有能量或有害物質存在，就有事故發生的可能。

屏障模型理論認為，能量或有害物質之所以失去控制，就是因為防控能量或有害物質的直接屏障——人員屏障與硬件屏障，都因其自身本質特征缺陷而存在潛在危害因素，其失控就會轉變為現實型危害因素——隱患，隱患會導致屏障失去作用，造成能量或有害物質失控，進而造成事故發生。當然，鑒于對能量或有害物質的防控一般都具有多重屏障(人員類屏障、硬件類屏障)，既使個別或部分屏障存在隱患，只要其中任何一個屏障能夠發揮防控作用，就能夠防控事故發生，這就是多重屏障設計能夠提升安全系數的道理，更何況，屏障即使存在隱患，也不一定立即、完全喪失作用，這就是事故是小概率事件的道理。

4 基于屏障模型的事故防控認識

源頭類危害因素即能量、有害物質，它們是導致事故發生的根源、源頭，只要有源頭類危害因素存在，就有事故發生的可能。雖然“消除”源頭類危害因素，可做到一勞永逸，但可被 “消除”的源頭類危害因素并不多，即便采用“替代”或“減少”措施，也未必能夠使其風險程度削減到“合理、實際且盡可能低”的水平，因此，絕大多數源頭類危害因素防控，都將通過工程控制和管理控制2類措施分別與屏障模型中的硬件類屏障和人員類屏障相對應。

鑒于約束、限制源頭類危害因素(能量或有害物質)的防控屏障(措施)都具有可能致使屏障產生漏洞的潛在型危害因素，如果其失控轉化為現實型危害因素(隱患)，屏障就會失去作用，因此，要有效防控事故發生，必須確保防控屏障上潛在型危害因素始終處于“潛在”狀態。如前所述，衍生類危害因素按照存在狀態，可分為潛在型危害因素與現實型危害因素，若按照其表現形式，又可分為直接屏障漏洞與間接屏障漏洞，間接屏障漏洞(不良安全文化、組織監管問題等)導致直接屏障漏洞的產生。因此，應通過培育企業良好安全文化或強化組織監管等手段，也就是通過發揮間接屏障的作用，確保直接屏障完好無漏洞，從而確保源頭類危害因素(能量或有害物質)受控，事故就不會發生。

綜上所述，要做好事故防控工作，首先要通過本質安全措施，或從根本上消除源頭類危害因素，或通過替代/減少手段消減源頭類危害因素，做到本質安全，避免事故發生。否則，就需要建立安全屏障(風險控制措施)，做好對源頭類危害因素的防控。對安全屏障進行控制時，應通過間接屏障做好對直接屏障的維護工作，提升直接屏障質量，使衍生類危害因素始終處于潛在狀態，從而使防控屏障發揮其應有作用，在此基礎上，還應該考慮通過增加安全屏障數量來提升安全系數。當然，應對潛在型衍生類危害因素防控失當而出現的現實型衍生類危害因素(隱患)，應通過隱患排查治理，立即消除隱患，使屏障重新發揮防控作用。

5 結論

(1)眾多與Hazard相關的名詞可梳理整合為“危害因素”一詞，危害因素按其致因機理，可分為源頭類危害因素(危險源)與衍生類危害因素2大類型。衍生類危害因素按其存在狀態，可分為潛在型危害因素與現實型危害因素，其中，現實型危害因素就是隱患。風險管理實質上就是圍繞上述3類危害因素進行管理。

(2)危害因素是一種客觀存在，風險是反映危害因素危險程度的一種特征指標、衡量參數。在危害因素與風險的關系中，危害因素是主體，風險是附著在危害因素之上的屬性、客體。衍生類危害因素決定著發生事故的可能性；源頭類危害因素決定著事故后果嚴重程度；同時還受其他相關因素的影響。因此，有危害因素必然有與之相對應的風險，反之亦然。

(3)屏障模型既可用于對風險管理基本術語的解釋，還可用于事故致因分析，也可用于事故防控，同時，也是屏障類工具、方法的基本組成單元，因此，屏障模型可作為屏障理論的基本模型。