3. Bộ quy tắc của Bowtie

1. Mối nguy

Mối nguy là tác nhân có khả năng gây tổn hại cho Con người, gây thiệt hại cho Tài sản, tổn thất kinh doanh và tác động đến môi trường hoặc danh tiếng (PAER).

Ví dụ về các mối nguy bao gồm: Chất dễ cháy, phương tiện di chuyển, máy móc, chất độc hại, ngạt thở và làm việc trên cao,...

Các mối nguy trong phân tích Bowtie hoặc phương pháp tương đương sẽ được xác định thông qua phương pháp nhận diện mối nguy HAZID và/hoặc phát triển Sổ đăng ký mối nguy và tác động.

Một hoạt động trong công việc có một số nhiệm vụ liên quan đến nó và có thể dẫn đến tình trạng nguy hiểm. Bản thân hoạt động, công việc KHÔNG phải là Mối nguy.

Ví dụ như bốc/dỡ hàng hóa liên quan đến xăng dầu, nó có thể được xem là một hoạt động Nguy hiểm; Tuy nhiên, mối nguy hiểm trong tình huống này là xăng dầu chứ không phải việc bốc/dỡ hàng.

2. Sự kiện hàng đầu

Sự cố (sự kiện đầu tiên) xảy ra khi một nguy hiểm được giải phóng, chẳng hạn như giải phóng hydrocarbon, chất độc hại hoặc năng lượng. Thông thường, Sự kiện hàng đầu là một số loại mất khả năng ngăn chặn, mất kiểm soát hoặc giải phóng năng lượng. Nếu sự kiện này có thể được ngăn chặn thì sẽ không có ảnh hưởng hoặc không có Hậu quả nào từ Mối nguy hiểm.

Một Sự kiện hàng đầu phải được xác định cho mỗi Bowtie. Tất cả các Mối đe dọa được xác định trên Bowtie phải phù hợp và dẫn đến Sự kiện hàng đầu. Các ranh giới hoặc phạm vi (ví dụ: phương thức vận hành, cơ sở vật chất hoặc đơn vị quy trình đang được xem xét) của sự kiện hàng đầu phải được xác định rõ ràng và được ghi lại.

3. Hậu quả

Hậu quả là những ảnh hưởng đến con người, tài sản, môi trường hoặc danh tiếng do một nguy cơ được giải phóng. Hậu quả là tác hại cuối cùng có thể xảy ra do việc giải phóng Mối nguy hiểm.

Việc giải phóng một mối nguy, tức là sự cố đầu tiên, thường có thể có nhiều hơn một hậu quả. Bowtie tối thiểu phải bao gồm Hậu quả của mối nguy hiểm chính như được xác định trong Sổ đăng ký mối nguy hiểm và tác động. Việc điều chỉnh các Hậu quả từ Sự kiện hàng đầu thường rất hữu ích để cho phép xác định cụ thể hơn các biện pháp giảm thiểu.

Đối với mỗi Hậu quả, phải có một dòng Sự kiện hàng đầu đến Hậu quả riêng biệt trên Bowtie. Nếu phân tích cho thấy các biện pháp phục hồi là giống nhau thì Hậu quả có thể được kết hợp

Ví dụ: cháy tia và cháy chớp có thể được hiển thị trên cùng một dòng Hậu quả 'Cháy' nếu các rào cản đối với cả hai kịch bản đang được xem xét là giống nhau.

Cần nhận ra rằng Hậu quả (ví dụ: cháy, nổ) có thể không chỉ giới hạn ở một khu vực và có thể ảnh hưởng đến khu vực xung quanh và dẫn đến thiệt hại. Nếu việc xác định về Hậu quả là đáng tin cậy thì những kịch bản đó cần được phân tích và bổ sung vào Bowtie nếu thích hợp.

4. Các mối đe dọa

Mối đe dọa là sự xuất hiện (điều kiện, tình huống, hiện tượng hoặc sự kiện) sẽ giải phóng mối nguy và gây ra sự kiện đầu tiên.

Ví dụ như: ăn mòn, quá áp...

Tất cả các mối đe dọa có thể gây ra mối nguy lớn và cần phải xác định được. Trong hầu hết các trường hợp, sẽ có một số mối đe dọa tiềm năng có thể được giải phóng. Đối với mỗi mối đe dọa phải có một dòng riêng và phải liên quan đến hoặc sắp dẫn đến sự kiện đầu tiên được chỉ định và ít nhất một trong các hậu quả đã xác định trước đó.

Nếu phân tích Bowtie cho thấy có nhiều Mối đe dọa dựa vào cùng một Rào cản cho mỗi Mối đe dọa thì các Mối đe dọa có thể được kết hợp.

Bowties miêu tả tất cả các Mối đe dọa như nhau - không phân biệt khả năng xảy ra các Mối đe dọa khác nhau, độc lập hoặc đồng thời.

Bowtie ghi lại các Mối đe dọa có thể dẫn đến Hậu quả có rủi ro được xếp hạng trong vùng Vàng 5A/5B và Đỏ của Ma trận đánh giá rủi ro (RAM). Các mối đe dọa có thể gây ra Nguy hiểm (Sự kiện hàng đầu), nhưng không dẫn đến các Hậu quả này, sẽ bị loại khỏi Bowtie

Ví dụ: lấy mẫu.

Các mối đe dọa phải rõ ràng và độc lập.

Ví dụ, ăn mòn là mối đe dọa bên trong và bên ngoài đường ống, nhưng việc sơn phần bên ngoài của đường ống chỉ có thể là biện pháp kiểm soát để quản lý sự ăn mòn bên ngoài. Do đó, mối đe dọa nên được tách thành ăn mòn bên ngoài và ăn mòn bên trong để cho việc kiểm soát mục tiêu trực tiếp vào Mối đe dọa. Tương tự như vậy, các hiện tượng ăn mòn khác nhau có thể yêu cầu xác định các Mối đe dọa riêng lẻ.

5. Sự kiện bắt đầu

Các điều kiện thúc đẩy việc giải phóng Mối đe dọa được gọi là “Sự kiện khởi tạo”. Sự kiện bắt đầu phải đáng tin cậy và có thể là lỗi thiết bị hoặc do lỗi của con người gây ra.

Một mối đe dọa có thể có nhiều Sự kiện Bắt đầu.

Ví dụ: việc lấp đầy quá mức có thể xảy ra do lỗi của con người (ví dụ: sắp xếp không chính xác) hoặc lỗi bộ điều khiển. Nếu phân tích Bowtie cho thấy rằng mỗi sự kết hợp giữa Mối đe dọa và Sự kiện bắt đầu đều có các Rào cản giống hệt nhau thì những Rào cản này có thể được kết hợp thành một đường Đe dọa duy nhất.

6. Rào cản

Các rào cản ở phía bên trái (LHS) của Bowtie là ngăn chặn các mối đe dọa làm giải phóng mối nguy, chúng còn được gọi là kiểm soát. Các rào cản ở phía bên trái (RSH) của Bowtie là các hoạt động giới hạn mức độ thiệt hại hoặc giảm nhẹ thiệt hại từ hậu quả, chúng còn được gọi là biện pháp phục hồi.

Rào cản có thể là phần cứng (ví dụ: thiết bị hoặc hệ thống an toàn) hoặc sự can thiệp của con người hoặc kết hợp cả hai.

Rào cản hợp lệ phải được xác định cho từng mối đe dọa và hậu quả. Rào chắn sẽ có hiệu lực nếu nó có thể ngăn chặn được mối đe dọa gây ra sự kiện hàng đầu (LHS) hoặc sẽ giảm thiểu hậu quả (RHS) của sự kiện hàng đầu. Để rào cản có hiệu lức, thì rào cản đó phải có hiệu quả, độc lập và có thể kiểm tra được.

Kiểm soát hiệu quả, ngăn chặn hoặc giảm thiểu khả năng xảy ra các mối đe dọa dẫn đến sự kiện hàng đầu.
Các biện pháp khắc phục hiệu quả, ngăn ngừa hoặc hạn chế mức độ của hậu quả.

Rào chắn bên phải chỉ có thể được coi là hiệu quả nếu chức năng của nó không bị ảnh hưởng bởi tình huống đang phân tích. Ví dụ, hệ thống phát hiện khí phải được thiết kế bằng vật liệu chống cháy nếu muốn đây là biện pháp thu hồi hiệu quả trong quá trình Hydrocacbon thoát ra do bốc cháy;

Rào chắn phải được bảo vệ khỏi Hậu quả của việc giải phóng một Nguy hiểm khác và hoạt động như dự định khi bị ảnh hưởng bởi một Mối đe dọa khác. Ví dụ, van cách ly ranh giới phải được bảo vệ khỏi cháy nổ bằng vị trí của nó hoặc bằng vỏ bảo vệ;

Một rào cản không thể được xem là độc lập với một rào cản khác nếu có một sai sót do nguyên nhân chung.
Có thể xác minh/kiểm tra được có thể được đánh giá để xác minh rằng có thể và sẽ hoạt động khi yêu cầu (Ví dụ như thông qua kiểm nghiệm và kiểm tra... để duy trì rào chắn hiệu quả). Phải nhận ra rằng nhân sự tham gia vào việc xây dựng, thực hiện và duy trì rào cản phải có đủ năng lực. Có nhiều trường hợp, rào cản chỉ có hiệu lực một phần hoặc là một phần của rào cản. Chính vì thế, cần sự hỗ trợ của một (một phần) rào cản khác để giải quyết đầy đủ mối đe dọa hoặc hậu quả. Khi thấy có rào chắn PV thì cần cố gắng kết hợp nó với rào chắn khác (có hiệu lực một phần) để làm cho cả 2 có hiệu lực.

Rào cản có thể là rào cản phần cứng hoặc sự can thiết của con người hoặc kết hợp cả hai.

Rào chắn phần cứng là thiết bị, phần cứng hoặc hệ thống an toàn. Những rào cản này có tác dụng ngăn chặn sự kiện hàng đầu hoặc giảm thiểu hậu quả.
Rào cản con người dựa vào con người như một phần của rào cản, khởi xướng hoặc thực hiện các hành động (để phản hồi thông tin) để ngăn chặn sự kiện hàng đầu hoặc giảm thiểu hậu quả. Rào cản con người thường được sử dụng kết hợp với sự kiện phần cứng để thực hiện một hành động (Ví dụ: phản ứng của người vận hành khi có cảnh báo, bắt đầu phản ứng khẩn cấp). Rào cản về phần cứng và con người trong Bowtie phải là những rào cản có thể đảm bảo hoặc xác minh được tính hợp lệ của chúng.

Để quản lý tốt các mối nguy chính thì việc đảm bảo rào cản có thể kiểm tra được. Phần cứng liên quan đến rào cản cần được con người kiểm tra và bảo trì (Hoạt động này cực kỳ quan trọng).

Hardware Barriers (HW)/ Rào cản phần cứng (HW)	Human Barriers (HUM)/ Rào cản con người (HUM)	Critical Processes/ Quy trình quan trọng
· Structural Integrity/ Tính toàn vẹn về cấu trúc · Process Containment/ Mechanical Design/ Quy trình ngăn chặn/Thiết kế cơ khí · Ignition Control/Kiểm soát đánh lửa · Detection Systems/Hệ thống phát hiện · Protection Systems/Hệ thống bảo vệ · Shutdown Systems/Hệ thống dừng · Emergency Response/Phản hồi khẩn cấp · Life Saving - Personal Survival Equipment/Thiết bị sinh tồn, cứu sinh cá nhân	· Operating in accordance with procedures/Vận hành đúng quy trình. · Surveillance, operator rounds and routine inspection/ giám sát tuần tra của người vận hành và kiểm tra định kỳ. · Authorisation of temporary and mobile equipment/Cấp phép cho thiết bị tạm thời và di động. · Acceptance of handover or restart of facilities or equipment/ Chấp nhận bàn giao hoặc khởi động lại cơ sở vật chất hoặc thiết bị. · Response to process alarm and upset conditions/ Phản ứng với các điều kiện báo động và khó khăn trong quá trình. · Response to emergencies/Ứng phó với trường hợp khẩn cấp.	· Management of Change (MOC)/Quản lý thay đổi. · Permit to Work (PTW)/giấy phép làm việc · Emergency Response / Management/Ứng phó/quản lý khẩn cấp · Competency Management/Quản lý năng lực · Contractor Management/Quản lý nhà thầu · Design Integrity/Tính toàn vẹn trong thiết kế · Operating Integrity/Tính toàn vẹn trong vận hành · Equipment Isolation/Cách ly thiết bị · Technical Integrity/Tính toàn vẹn trong công nghệ. · Wells Integrity/An toàn thang máy · Security Management/Quản lý an ninh · HSE Compliance/Tuân thủ · Risk Management/Quản lý rủi ro · Integrity Leadership/ · Contracting and Procurement/Hợp đồng và mua sắm · Assurance/Bảo hiểm · Project Execution/Thực hiện dự án · Incident Investigation and Learning’s/Điều tra và tìm hiểu sự cố · Management Systems/Hệ thống quản lý · Health/Sức khỏe · Environment/Môi trường

Hardware Barriers (HW)/ Rào cản phần cứng (HW)

Human Barriers (HUM)/ Rào cản con người (HUM)

Critical Processes/ Quy trình quan trọng

· Structural Integrity/ Tính toàn vẹn về cấu trúc

· Process Containment/ Mechanical Design/ Quy trình ngăn chặn/Thiết kế cơ khí

· Ignition Control/Kiểm soát đánh lửa

· Detection Systems/Hệ thống phát hiện

· Protection Systems/Hệ thống bảo vệ

· Shutdown Systems/Hệ thống dừng

· Emergency Response/Phản hồi khẩn cấp

· Life Saving - Personal Survival Equipment/Thiết bị sinh tồn, cứu sinh cá nhân

· Operating in accordance with procedures/Vận hành đúng quy trình.

· Surveillance, operator rounds and routine inspection/ giám sát tuần tra của người vận hành và kiểm tra định kỳ.

· Authorisation of temporary and mobile equipment/Cấp phép cho thiết bị tạm thời và di động.

· Acceptance of handover or restart of facilities or equipment/ Chấp nhận bàn giao hoặc khởi động lại cơ sở vật chất hoặc thiết bị.

· Response to process alarm and upset conditions/ Phản ứng với các điều kiện báo động và khó khăn trong quá trình.

· Response to emergencies/Ứng phó với trường hợp khẩn cấp.

· Management of Change (MOC)/Quản lý thay đổi.

· Permit to Work (PTW)/giấy phép làm việc

· Emergency Response / Management/Ứng phó/quản lý khẩn cấp

· Competency Management/Quản lý năng lực

· Contractor Management/Quản lý nhà thầu

· Design Integrity/Tính toàn vẹn trong thiết kế

· Operating Integrity/Tính toàn vẹn trong vận hành

· Equipment Isolation/Cách ly thiết bị

· Technical Integrity/Tính toàn vẹn trong công nghệ.

· Wells Integrity/An toàn thang máy

· Security Management/Quản lý an ninh

· HSE Compliance/Tuân thủ

· Risk Management/Quản lý rủi ro

· Integrity Leadership/

· Contracting and Procurement/Hợp đồng và mua sắm

· Assurance/Bảo hiểm

· Project Execution/Thực hiện dự án

· Incident Investigation and Learning’s/Điều tra và tìm hiểu sự cố

· Management Systems/Hệ thống quản lý

· Health/Sức khỏe

· Environment/Môi trường

Sự can thiệp của người vận hành là rào cản con người hợp lệ nếu có đủ thời gian để ứng phó và ngăn chặn sự kiện.

7. Quy trình quan trọng về an toàn

Một quy trình quản lý được thiết lập để triển khai và duy trì các Biện pháp kiểm soát nhằm quản lý các mối nguy có rủi ro đỏ về Ma trận đánh giá rủi ro và rủi ro 5A/5B màu vàng đối với Sổ tay ứng dụng quản lý AIPS.

Các quy trình quan trọng về an toàn rất cần thiết cho sự ổn định của tất cả các Rào cản phần cứng và con người, vì chúng hỗ trợ việc thiết kế, xây dựng, vận hành/thực thi và bảo trì, thử nghiệm và/hoặc kiểm tra Rào chắn một cách hiệu quả.

Đây thường là các thành phần của Hệ thống quản lý (ví dụ: Quản lý thay đổi hoặc Giấy phép làm việc). Các quy trình quan trọng được liệt kê ở trên có thể là nguyên nhân cơ bản gây ra lỗi phần cứng hoặc rào cản con người.

Sự thất bại của các quy trình này có thể dẫn đến sự thất bại của các rào cản phần cứng hoặc con người.

8. Các yếu tố leo thang và kiểm soát chúng

Yếu tố leo thang là những tình huống, điều kiện hoặc hoàn cảnh làm suy giảm, làm suy yếu hoặc vượt qua Rào cản và có thể dẫn đến sự thất bại một phần hoặc toàn bộ Rào cản.

Rào cản (kiểm soát Hệ số leo thang) cho mỗi Hệ số leo thang phải được xác định để đảm bảo tình trạng Rào cản bằng cách ngăn chặn Hệ số leo thang xảy ra hoặc để quản lý Rào chắn bị đánh bại cho đến khi chức năng bình thường của nó được khôi phục. Để lập rào chắn đối với các yếu tố leo thang thì cần phải tuân thủ bộ quy tắc của rào cản. Tuy nhiên, có thể không phải lúc nào cũng có thể thực hiện được và trong nhiều trường hợp, các biện pháp kiểm soát yếu tố này được nắm bắt trong các quy trình quan trọng như quản lý thay đổi, kiểm tra.... mà không phải lúc nào tính hợp lệ của quy trình này cũng không thể xác nhận. Các yếu tố leo thang thường xảy ra lặp đi lặp lại và điều này có thể kiến Bowtie mất đi tính hiệu quả.

Tiêu chí hiệu suất (ví dụ: tiêu chuẩn hiệu suất về thiết kế hoặc vận hành) cho Rào cản phần cứng sẽ xác định các yếu tố phổ biến và được hiểu rõ có thể làm suy yếu Rào cản;

những Yếu tố leo thang này nên được bỏ qua khỏi Bowtie.

Các Quy trình và Thủ tục được tuân thủ và việc đào tạo bắt buộc đã được thực thi,

Do đó “Lỗi của con người” và “Thiếu đào tạo” không nên đưa vào làm yếu tố leo thang.

Thay vì sử dụng những yếu tố này để xác định những mối quan ngại cụ thể trong các thủ tục hoặc quy trình, cần đưa ra các hành động để thu hẹp khoảng cách đã xác định.

9. Các hướng dẫn bổ sung

Bộ quy tắc Bowtie được thiết lập ở trên cho các Mối nguy chính cũng có thể được áp dụng để phát triển Bowtie cho các Mối nguy hiểm không chính (đặc biệt là các cân nhắc về tính hợp lệ của Rào chắn).

Mức độ chi tiết cần thể hiện trên Dây đeo nơ (và cụ thể là đối với Rào chắn) phải được xác định trước khi phát triển Dây đeo nơ để đảm bảo thu thập được thông tin phù hợp; Ví dụ, để cho phép thiết lập tính hợp lệ của các Rào cản và xác định SCE. Phân tích Bowtie phải được cân nhắc trong phạm vi hệ thống và bổ sung chi tiết để mang lại sự rõ ràng cho việc thực hiện Rào cản.

Các mối đe dọa không nên phụ thuộc lẫn nhau, nghĩa là một Mối đe dọa không nên phụ thuộc vào một kịch bản Mối đe dọa khác đang xảy ra; một trong các Mối đe dọa có thể là 'sự kiện khởi đầu' cho mối đe dọa kia. Trong trường hợp này, các Mối đe dọa có thể được kết hợp để thể hiện một kịch bản sự kiện vì Rào cản sẽ giải quyết chuỗi sự kiện.

Rào cản bên phải thường có hiệu lực một phần, cần tập trung vào việc đảm bảo rằng Rào cản sẽ giảm thiểu hoặc giảm thiểu khả năng xảy ra Hậu quả.

Khi phát triển Bowtie, trọng tâm có thể sẽ nằm ở phía bên trái của Bowtie (tức là để ngăn chặn việc giải phóng Nguy hiểm), thay vì cố gắng giảm thiểu hậu quả và phục hồi sau hậu quả đó. Mặc dù điều này có thể hiểu được (cũng theo quan điểm ở điểm trước), người ta cũng nên chú ý đến việc xác định chính xác phía bên phải của Bowtie.

Rào cản của con người là Rào cản chủ động và phải được viết dưới dạng hành động đang được thực hiện (bắt đầu bằng một động từ, ví dụ: Phản hồi khi có báo động, Kích hoạt thiết bị ứng phó khẩn cấp). Mô tả Rào cản phải chứng minh rằng đó là Rào cản hiệu quả, tức là bao gồm cảm biến, bộ giải logic và bộ truyền động khi viết Rào cản