定义
-
CCPS定义(2018):领结图是一种图解工具,通过绘制危险源、威胁、顶上事件、后果及屏障,排查重大事故路径并评估控制措施有效性,同时识别屏障退化因素与退化控制措施;
-
Rausand定义(2020):在图形中心为危险事件(顶上事件),左侧为致因(威胁/危险源),右侧为后果,中间部署安全屏障,用于可视化风险概念与分析过程;
-
Andonov定义(2017):由FTA与ETA通过单一事件连接的整体方法论,提供**事前风险计算(预防)与事后风险缓解(控制)**的完整工具链。
背景
-
早期由荷兰皇家壳牌公司基于Tripod Beta模型(人为因素主导的风险模型)开发,用于海上平台风险分析;
-
20世纪90年代后,在过程安全领域由CCPS与EI推广标准化应用,逐步扩展至航空、核电、铁路等高危行业;
-
本质是FTA(左侧致因分析)+ ETA(右侧后果分析)+ 屏障管理的整合方法论,弥补单一方法的局限性。
应用范围
| 应用领域 | 具体用途(基于CCPS,2020) |
|---|---|
| 过程安全 | 重大危险源管理、双重预防机制建设、ALARP论证、安全仪表系统(SIS)验证 |
| 航空安全 | 飞行事故场景分析、机组操作程序优化、维修管理体系建设、应急响应计划制定(Andonov书中有多个航空案例) |
| 核电安全 | 反应堆事故分析、屏障完整性评估、应急响应能力建设、辐射防护管理 |
| 铁路安全 | 列车碰撞/脱轨场景分析、信号系统可靠性评估、人员培训体系建设 |
| 风险管理体系 | 风险可视化沟通、管理层决策支持、合规性评估、第三方审核依据 |
要素
| 要素 | 权威定义 | 位置 | 核心作用 |
|---|---|---|---|
| 危险源(Hazard) | 具有潜在伤害能力的能量源或危险物质(如高压气体、易燃液体、高速运动部件) | 左侧起点 | 风险的根本来源,决定顶上事件的性质 |
| 威胁(Threat) | 可能触发危险源失控的事件或条件(如设备失效、人为失误、极端天气) | 危险源与顶上事件之间 | 直接导致顶上事件的触发因素 |
| 顶上事件(Top Event) | 危险源失控的关键节点(如管道破裂、火灾发生、系统失效) | 模型中心 | 领结的“结”,风险从预防到缓解的转折点 |
| 后果(Consequence) | 顶上事件发生后可能产生的不良结果(如人员伤亡、财产损失、环境破坏、声誉损害) | 右侧分支 | 风险的最终表现,决定后果缓解的优先级 |
| 屏障(Barrier) | 置于威胁与顶上事件之间(预防屏障)或顶上事件与后果之间(缓解屏障)的控制措施 | 两侧路径中 | 阻断或降低风险路径的有效性,是领结图的核心管理对象 |
| 退化因素(Degradation Factor) | 导致屏障性能下降的因素(如腐蚀、疲劳、人为失误、管理缺陷) | 屏障旁 | 识别屏障失效的潜在原因 |
| 退化控制措施(Degradation Control) | 防止或减缓屏障退化的措施(如定期检测、维护计划、人员培训) | 退化因素旁 | 保障屏障持续有效,构成双重控制 |
分析步骤
步骤1:准备与范围界定(CCPS,2020)
-
明确分析目标(如重大事故预防、屏障有效性评估、ALARP论证);
-
确定系统边界与关键资产(人员、设备、环境、声誉);
-
组建跨学科团队(工艺、安全、操作、维护、管理);
-
收集基础资料(P&ID、操作规程、事故案例、风险评估报告);
-
召开启动研讨会,确定顶上事件候选清单。
步骤2:核心模型构建(Rausand,2020;CCPS,2020)
-
识别顶上事件:选择最关键的危险源失控节点(如“高压管道破裂”);
-
左侧致因分析(FTA):
-
识别威胁(直接原因)与根本原因(如设计缺陷、人为失误、管理漏洞);
-
绘制故障树,确定各致因的逻辑关系(与/或门);
-
识别预防屏障(如安全阀、联锁系统、人员培训)并标注在路径中;
-
-
右侧后果分析(ETA):
-
识别可能的后果链(如管道破裂→泄漏→火灾→爆炸→人员伤亡);
-
绘制事件树,确定各后果的发生概率;
-
识别缓解屏障(如消防系统、应急响应、疏散通道)并标注在路径中;
-
-
屏障与退化管理:
-
评估每个屏障的有效性(可靠性、可检测性、可维护性);
-
识别屏障的退化因素(如腐蚀、疲劳、人为误操作);
-
制定退化控制措施(如定期检测、预防性维护、人员资质管理)。
-
步骤3:分析与评估(CCPS,2020;Andonov,2017)
-
定性分析:
-
评估屏障的充分性(是否覆盖所有关键路径);
-
识别薄弱环节(屏障失效概率高或后果严重的路径);
-
验证ALARP原则(是否在合理可行范围内将风险降至最低);
-
-
定量分析(可选):
-
计算顶上事件发生概率(基于FTA的最小割集);
-
计算后果严重程度(基于ETA的概率-后果矩阵);
-
量化屏障可靠性(PFD、MTTF等指标);
-
评估人为因素对屏障的影响(HRA方法);
-
-
质量检查:
-
团队评审与外部专家审核;
-
与历史事故案例对比验证;
-
检查数据来源的权威性与完整性。
-
步骤4:应用与持续改进(CCPS,2020)
-
输出结果:领结图报告、屏障清单、薄弱环节报告、风险降低建议;
-
应用场景:
-
风险管理:双重预防机制建设、屏障管理计划;
-
设计阶段:本质安全设计、安全仪表系统(SIS)配置;
-
运行阶段:操作程序优化、应急响应计划制定;
-
变更管理:MOC流程中的风险评估;
-
事件调查:事故原因分析与改进措施制定;
-
-
定期更新:根据设备老化、工艺变更、法规更新、新事故案例等,每1-3年更新一次领结图。
优势
-
可视化优势:一张图呈现完整风险路径,非专业人员也能理解,便于跨部门沟通(CCPS,2020);
-
整合性优势:同时覆盖致因预防与后果缓解,弥补FTA(仅致因)和ETA(仅后果)的单一局限(Andonov,2017);
-
屏障管理核心:以屏障为分析焦点,符合现代安全管理的“纵深防御”理念(CCPS,2020);
-
灵活性强:可用于定性分析(中小风险)和定量分析(重大风险),适应不同评估需求(Rausand,2020);
-
持续改进机制:通过退化因素与退化控制措施的闭环管理,实现风险的动态控制(CCPS,2020)。
局限性与改进方向
主要局限性
-
数据依赖:定量分析需要大量可靠的失效数据,实际中难以完全满足;
-
人为因素挑战:准确量化人为失误对屏障的影响(HRA)仍存在方法局限;
-
复杂性限制:大型系统的领结图可能过于复杂,难以维护和更新;
-
静态特性:传统领结图是静态模型,难以实时反映系统状态变化。
改进方向
-
多层领结图:对复杂系统采用分层建模,从宏观到微观逐步细化(CCPS,2020);
-
动态领结图:结合实时数据与监测系统,实现风险的动态评估与预警;
-
贝叶斯网络整合:利用贝叶斯网络处理不确定性,改进人为因素量化;
-
软件工具支持:使用专业领结图软件(如BowTieXP)提高建模效率与可视化效果。
延申阅读
| 著作名称 | 作者/机构 | 出版年份 | 出版社 | 核心价值 |
|---|---|---|---|---|
| 《Bow Ties in Risk Management: A Concept Book for Process Safety》 | CCPS & Energy Institute | 2018 | Wiley-AIChE | 过程安全领域领结图的权威标准,详细介绍模型、创建流程与屏障管理 |
| 《Risk Assessment: Theory, Methods, and Applications》(第2版) | Marvin Rausand | 2020 | Wiley & 清华大学出版社(中文版) | 风险评估领域的经典教材,系统阐述领结图的理论基础与分析方法 |
| 《Bowtie Methodology: A Guide for Practitioners》 | Sasho Andonov | 2017 | CRC Press | 聚焦航空等行业的实践指南,包含大量FTA与ETA整合的实例 |
| 《风险管理领结图——CCPS过程安全概念书》 | CCPS(赵宏展等译) | 2020 | 中国石化出版社 | 中文版权威教材,适合国内企业落实双重预防机制 |