风险是什么” – 第三部分 hazards、vulnerability和threat的角色

为了有效评估风险，你必须首先区分危险、脆弱性和威胁。这些要素构成了设计有意义的控制措施和在学科之间管理风险的基础。

危险 —— 内在的能量来源。像汽油这样的易燃化学品包含可以作为火灾或爆炸释放的化学能量。这种能量总是存在的；它不能被消除，只能被管理。

脆弱性 ——使伤害更有可能发生的弱点或状态。储存不当——例如容器劣化、通风不良或材料不兼容——为危险能量的释放创造了途径。脆弱性不是伤害的原因，而是允许伤害发生的条件。

威胁 —— 利用漏洞并激活危险的引发剂或力量。威胁包括点火源、物理冲击、泄漏、工人错误或化学反应。这些是将潜在能量转化为实际伤害的触发因素。

为什么这种区别很重要

理解这些角色有助于你：

设计有针对性的控制措施 危险需要工程和管理控制。威胁可能需要监控、访问限制或情报。漏洞需要结构性改进和维护。

在不同学科之间沟通风险 安全、安保和应急响应团队经常使用不同的语言。明确的区分可以提高协调性和清晰度。

通过建模来提高韧性 威胁建模通过预测引发事件和新兴风险来补充灾害分析——特别是在动态或退化系统中。

漏洞

每一个工程控制、每一个独立保护层、每一个行政保障措施、每一个人的表现措施都会随着时间的推移而衰减：

设备磨损

传感器漂移

程序变得过时

训练消退

解决方法出现

维修积压增加

领导关注点转移

假设未经质疑

系统忘记

这些力量在不知不觉中削弱了我们依赖的保护。它们将组织拉回连续体中，进入高风险状态。我们在连续体上的位置永远不会稳定。这就是脆弱。

当能量未施加或未充分施加到保护装置上时，危险被释放并成为重大或灾难性事件的可能性增加。

Risk is not a number in a chart or table. It is the organization’s Vulnerability at any moment; the dynamic gap between Hazard potential and Protections’ strength. Exposure and protection shift continuously, and our assessment of risk is simply our best judgment about where we stand on that moving line.