Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Sikkerhetsledelse 15.02.2007. High Reliability Organisation  Alvorlige ulykker/katastrofer kan forebygges gjennom et intelligent organisasjonsdesign,

Liknende presentasjoner


Presentasjon om: "Sikkerhetsledelse 15.02.2007. High Reliability Organisation  Alvorlige ulykker/katastrofer kan forebygges gjennom et intelligent organisasjonsdesign,"— Utskrift av presentasjonen:

1 Sikkerhetsledelse

2 High Reliability Organisation  Alvorlige ulykker/katastrofer kan forebygges gjennom et intelligent organisasjonsdesign, gjennomført i alle ledd.

3  Spørsmålene vi ikke stiller  Vi mennesker er sånn passe pålitelige  Vi kan leve med noen feilhandlinger  I enkelte situasjoner kan imidlertid feilhandlinger føre til katastrofe  Utfordring: Organisasjonen som helhet må bli mer pålitelig enn enkeltpersonene.  ”Vi må skape en helhet som er mer pålitelig enn de enkelte delene” (Rosness 2001)

4 Kan vi designe et prosessanlegg som det nedenfor, trene operatørene og teste det ut for å sikre lav nok risiko?

5  Feiltoleranse gjennom organisatorisk redundans på et hangarskip  En høyere amerikansk offiser ga følgende oppsummering av risikoforholdene i forbindelse med hangarskip - operasjoner (Rochlin m.fl. 1987): ”Så du vil gjerne forstå et hangarskip? Vel, bare forestill deg at det er en travel dag, og du skrumper San Francisco Airport til bare én kort rullebane og én rampe og oppstillingsplass. La flyene ta av og lande samtidig, med halvparten av dagens tidsintervall, vugg rullebanen fra side til side, og krev at alle som tar av om morgenen, returnerer samme dag. Sørg for at utstyret er så tett innpå de operative grensene at det er sårbart. Så slår du av radaren for å unngå å bli oppdaget, legger strenge begrensninger på bruk av radio, tanker flyene på stedet med motorene i gang, plasserer en fiende i luften, og sprer skarpe bomber og raketter rundt omkring. Endelig fukter du det hele med salt vann og olje, og bemanner det med 20-åringer, hvorav halvparten aldri har sett et fly på kort hold. Eh - og forresten – forsøk å ikke drepe noen.”

6  All sunn fornuft tilsier at det er umulig å operere et slikt system uten mange dødsulykker hver dag. Imidlertid kan de amerikanske hangarskipene vise til langt bedre ulykkesstatistikk enn sunn fornuft skulle tilsi.  Forskere som har studert slike høy-pålitelige organisasjoner, hevder at enkelte organisasjoner oppnår ekstremt pålitelige operasjoner ved at personell som utfører kritiske oppgaver, overvåker hverandres oppgaveutførelse og om nødvendig korrigerer feil. På samme måte som en kan oppnå høy teknisk pålitelighet ved å duplisere kritiske delsystem eller komponenter.  Dette reiser flere spørsmål:  Er det mulig å organisere aktiviteter på en slik måte at organisasjonen som helhet blir mer pålitelig enn enkeltpersonene?  Er det mulig å oppnå tilsvarende grad av pålitelighet innenfor norsk petroleumsvirksomhet?  Hvordan kan vi legge til rette for høy organisatorisk pålitelighet ved design av installasjoner og ved utvikling av organisasjoner?

7 Organisatorisk redundans  Organisasjonsmessig slakk: Overskudd av ressurser som ligger i organisasjonsstrukturen i form av overkapasitet (reserver).  Muliggjør at det kan bli frigitt tid til ikke rutinemessige oppgaver eller til uventede oppgaver  Instrumentell/strukturell redundans  Kulturell redundans

8 Organisatorisk redundans  Instrumentell redundans:  Personalet har mulighet til direkte å observere hverandres arbeid  Overlapp av kompetanse  Overlapp av oppgaver og ansvar  Duplisering av komponenter  Kulturell redundans:  Effektiv og god informasjonsutveksling i organisasjonen  Fremhever feedback  Revurderer beslutninger tatt av en selv og kollegaer  Griper inn ved feil utførte aktiviteter

9 Det kan gå galt hvis kompetansen ikke er god nok

10  Instrumentell redundans: Eksempel to piloter i et fly:  Begge behersker oppgaver som skal utføres  De viktigste instrumenter duplisert, dette gir begge umiddelbar tilgang på kritisk informasjon  Begge har informasjon med tårnet  Begge kan nå de viktigste kontrollorganer (duplisering eller plassering)  De kan korrigere/sjekke hverandre ved hjelp av prosedyrer eller sjekklister. Forutsetningen for effektiv organisatorisk redundans er likevel at også den kulturelle redundansen er til stede!  Kulturell redundans  En må tørre å blande seg opp i jobbene til hverandre!  ”Bratt autoritetsgradient” – kan føre til at en ikke utnytter sikkerheten i det å ha to piloter. Eksempel: Flyulykken på Teneriffe i 1977 er et eksempel på at den kulturelle dimensjonen er kritisk for å oppnå organisatorisk redundans. I dette tilfellet hadde copiloten mistanke om at kapteinen hadde misforstått en beskjed fra tårnet. Han antydet dette forsiktig til kapteinen, men ble overhørt. Dette bidro til at flyet forsøkte å ta av i tett tåke, mens et annet fly befant seg på rullebanen. 583 mennesker omkom i ulykken. En bratt ”autoritetsgradient”, dvs. at overordnede ikke lytter til advarsler og råd fra underordnede, kan ha bidratt til denne alvorlige ulykken.

11 Det er ikke lett å stå i mot presset når styrkeforholdet er så ulikt….

12 En studie av en Norsk oljeplattform (Rosness m.fl) Mekanikerne stilte ofte kritiske spørsmål til uteoperatøren som klargjorde for et inngrep i prosessanlegget, spesielt dersom uteoperatøren hadde lite erfaring.  Dette var for å sikre seg mot misforståelser og forglemmelser Driftsjefen som ble intervjuet, ba ofte om en Sikker Jobb Analyse (SJA).  Under SJA – møtene tok han ofte rollen som djevelens advokat, og forsøkte å få frem alt som kunne gå galt. På den måten bidro han til å etterprøve antagelser eller beslutninger, og skape en mulighet for å korrigere feilvurderinger Det var to kontrollromsoperatører på plattformen.  Disse brukte hverandre bla til å vurdere trender, og spørre hverandre om forhold i prosessen. Driftsjefen deltok ikke i det kontinuerlige arbeidet i kontrollrommet, men satt med utsyn til kontrollrommet. Han ble ofte kalt inn til kontrollrommet for rådspørring. På den måten utnyttet operatørene driftsjefens kompetanse for å skape organisatorisk redundans En erfaren mekaniker på plattformen fulgte med på alt som foregikk, og blandet seg inn hver gang han observerte noe som kunne true sikkerheten.  Ved en anledning grep han inn idet to jobber kom i konflikt med hverandre. Han fikk da stanset et ukontrollert gassutslipp i siste øyeblikk, før den førte til eksplosjonsfare og automatisk nedstengning av produksjon. Eksemplene tyder på at organisatorisk redundans ikke bare skapes gjennom formelle systemer, men også gjennom uformelle rutiner som utvikler seg på arbeidsplassen. Den daglige driften ute på plattformen var preget av tette bånd, åpen kommunikasjon og rask tilgang til rådføring med ledelsen. Dette ble oppfattet som viktige forutsetninger for organisatorisk redundans.

13 Diablo Canyon Under bygging – NAT?Under drift – HRO?

14 Diablo Canyon  Ligger i San Louis utenfor California  Tok ti år å få bygget atomkraftverket, klart i  Produserer elektrisk kraft  Høy grad av sikkerhet  Organisatorisk redundans i stor grad

15 HRO - Bhopal Instrumentell/strukturell redundans  Økonomi foran sikkerhet  Nedbemanning  Sikkerhetssystemer satt ut av drift  Ikke nok ressurser til å opprettholde sikkerheten  Redundansen/slakk ble borte – det fjernet både det tekniske og mennsekelige back – up systemet.  Kompetansen forsvant, ingen til å overlappe eller rådspørre Kulturell redundans  Operatør som blir beordret til å fortsette spyling av rørsystem  Manglende feedback  Dårlig informasjonsutveksling i hele organisasjonen, spesielt fra USA til India  Lite revurderinger av beslutninger Organisatorisk redundans totalt fraværende  Konklusjon ift HRO – Komplekst system/tett koblet – krever høy sikkerhet og pålitelighet. Total svikt.

16 HRO – Piper Alpha Instrumentell redundans  Dårlige eller ikke fungerende kommunikasjon mellom vedlikehold og driftsfunksjonene på plattformen  Kommunikasjonsfeil mellom skift  Tillit til uformell kommunikasjon var for stor  Arbeidstillatelsessystemet var dårlig Kulturell redundans  Kulturell redundans svekket  Fokuserte på menneskelig feil og skyld  Manglende feedback Organisatorisk redundans dårlig  Konklusjon HRO – Burde vært drevet som en HRO, men ble det ikke! Analyse av ulykken viser at Piper Alpha manglet både den strukturelle og den kulturelle dimensjonen for organisatorisk redundans.

17 HRO – Åsta ulykken Instrumentell/strukturell redundans  Manglet blant annet på grunn av organisatoriske endringer  Redusert på grunn av ny avgangsprosedyre og innføring av fjernstyring på rørosbanen?  Tidligere var organisatorisk redundans bygget inn gjennom formell prosedyre  Kun lokfører som kontrollerte utkjørselsignalet etter ny prosedyre ( mot tidligere konduktør og lokfører)  Kryssingsplan tatt bort. (Endring i kryssingsplan selv med grønt lys hadde vært barriere mot signalfeil)  Monitor hos togleder: Kun skriftlig varsel. (Burde vært skriftlig varsel sammen med lydsignal for å få øyeblikkelig oppmerksomhet)  Manglende ATC: ATC ville stanset nordgående tog dersom det passerte utkjørselsignalet på Rudstad i stopp.  Strekning med dieseldrevne tog.  IkkeTogradio: Burde vært både togradio og telefon  Ikke regler for oppføring av mobilnr eller rutiner ved vaktskifte Kulturell redundans  Dårlig informasjonsutveksling i organisasjonen  Revurdering av beslutninger ble ikke utført pga ”ny” prosedyre Organisatorisk redundans ikke tilfredstillende  Konklusjon HRO – Er i utgangspunktet lineær interaksjon men tette koblinger. Ble ikke drevet som HRO, mangler både strukturell og kulturell dimensjon for å oppnå god organisatorisk redundans

18

19 Et atomkraftverk som ikke har hatt en ulykke er ikke nødvendigvis et sikkert atomkraftverk!  High Reliability versus Normal Accident

20 Gruppeoppgave:  Utdelt kronologisk beskrivelse av Bhopal ulykken  Ut fra det dere nå har vært igjennom av teori. Hvordan vil dere beskrive Bhopal fabrikken som organisasjon og hvordan vil dere beskrive ulykken ut fra begge perspektivene NAT versus HRO? Diskuter de to perspektivene opp mot hverandre. Kom med egne synspunkter (husk teorier er andres meninger om tingene)…

21 HRO versus NAT  Ting som aldri har hendt før hender hele tiden  Industri som Kjemiske fabrikker, Produksjon av olje, legemidler, biokjemi og uorganisk kjemi har bare eksistert i ca 100 år  Nesten ulykker…..

22 Ulykker gjennom tiden  Åsta, Norge  Sleipner, Norge  Tjernobyl, Ukraina  Three Mile Island, USA  Seveso, Italia  Bhopal, India  Piper Alpha, UK  Challenger, USA  Columbia, USA  OSV………………………………………

23  HRO – Alvorlige ulykker innen industri med kompleks teknologi kan forebygges gjennom et intelligent organisasjons design, god opplæring og sikkerhetskultur som er gjennomført i alle ledd.  NAT – Alvorlige ulykker innen industri med kompleks teknologi kan ikke forebygges, de er uunngåelige, uansett hvor intelligent en organisasjons design er, god opplæring en har og god sikkerhetskultur en har.  De to perspektivene er kanskje ikke så konfliktfylte som de kan se ut. Begge har kanskje sin plass?.

24 HRO NAT Prioritere sikkerhet og pålitelighetØkonomispørsmål hindrer maks sikkerhet Mye redundans (forsvar i dybden)Bruk av usikker teknologi. Mye redundans gir falsk trygghet og usynlig risiko Pålitelig kultur og desentralisert ledelse der beslutningene er overlatt til de nærmest farekildene Umulig å hele tiden ha samme kultur og grunnlag. Endringer skjer ved at personal skiftes ut. Er nødvendig med både desentralisert og sentralisert ledelse (som ikke er mulig å få til å fungere) Sofistikert organisasjons læringVanskelig for organisasjoner å bygge en kunnskapsbase når ekspertise erstattes med jevne mellomrom Duplisering og overlappInteressekonflikt og skyldfordeling Kontinuerlig læring og øvelse gjennom feil og simuleringer Umulig å få oversikt over systemet, feil i et område kan påvirke et annet område. Lite forståelse av prosessene og ”usynlig” Organisasjonen er designet for å takle menneskelige feil. Du skal kunne stole på systemet Lite slakk i prosessene, du må gjøre riktig første gangen. Sikkerhet er designet og planlagt inn i systemet. Du må stole på systemet.

25 Det NAT bekymrer seg over  Ledere i organisasjonen har begrenset innflytelse  Målkonflikter i organisasjonen kan lede til forhastede beslutninger, brudd på sikkerhetsregler og dårlige prosedyrer  Ulike målsettinger på ulike nivå i organisasjonen  Misinformerte ledere  Sikkerhetssystemene er mindre uavhengig enn designerne tror  Redundans gjør systemet mindre gjennomskinnelig, det er vanskeligere å isolere feil eller en oppdager ikke feil  Beslutninger blir tatt på et høyere og mindre utsatt nivå

26 Det mange er redd for innen HRO  Sikkerhet og pålitelighet – krever store økonomiske investeringer  Redundans – Organisasjonen stoler på systemene og blir mindre oppmerksomme  Kultur – Organisasjonen blir jevnlig distrahert. Kompetanse forringes. Den blir selvtilfreds. Sikkerhetssystemer blir oversett.  Læring – Det er arrogant å tro at en kan ha full oversikt over alle sekvenser i en kompleks teknologi

27 Anbefaling Målet er å utvikle, designe og fornye med akseptabel risiko Dersom vi eliminerer fare, eliminerer vi begge teoriene Dersom vi eliminerer kompleksitet, kan vi stole mer på HRO Dersom vi reduserer tette koblinger, kan vi stole mer på HRO Men! Vi kan ikke la oss blinde av ”arrogante” ingeniører til å tro at vi kan forutse, simulere og designe for alle feil som kan oppstå….

28 Informasjonsbehandling  Bygger på at ulykker oppstår som resultat av kombinasjon av Energi og Feilinformasjon  Utgangspunktet er Turners teori om Man Made Disasters (1997)  Informasjonsflyt og distribusjon  Åpne og klare informasjonslinjer  Fokus på sikkerhet i alle ledd

29 Turners teori  Store katastrofer opplevd som store overraskelser både av media og av organisasjonen selv  Katastrofe nesten alltid assosiert med kulturelle misforhold ift faresituasjon  Ulykker og katastrofer utvikler seg gjennom en lang kjede av hendelser  Grunnårsaken viser seg å være dårlig informasjonsflyt eller misoppfatning mellom personer  ”Inkubasjonsperiode” – kjeden får utvikle seg ubemerket  Katastrofeutvikling – prosess over lang tid  Faresignaler blir ofte ”avledet” til mindre farlige  Informasjonsforstyrrelser og utdaterte regler og prosedyrer forverrer ofte situasjonen

30 Det som bekymrer Turner mest:  Nedkutting i informasjon som har forbindelse med energi og fysiske tilstander (Olje, gass, kjemikalier etc)  Prosesser som kan ende i katastrofer som Åsta, Piper Alpha og Bhopal

31 Hvordan behandler en organisasjon informasjon? PatologiskByråkratiskGenerativt Vil ikke viteFinner kansje ikke utSøker aktivt informasjon Budbringere blir ”skutt” Budbringere blir hørt på om de kommer Opplært i å være budbringere Ansvaret er ”låst”Ansvaret er avdelingsbasert Ansvaret er delt Brobygging er ulovligBrobygging er lov men blir neglisjert Brobygging blir belønnet Feil blir straffet eller skjult Organisasjonen er rettferdig å barmhjetig Feil blir sett på som kilde til læring og revurdering Nye ideer blir slått ned på Nye ideer blir sett på som problemskapende Nye ideer er velkomne

32 Sett pris på og verdsett at noen sier i fra

33 Beredskapsplaner og ”fantasi” dokumenter  Clarke og Perrow (1996) mener at mange høyrisiko organisasjoner har beredskapsplaner som ser fine ut på papiret men ikke holder mål i virkeligheten.  Vanskelig å få til en effektiv respons i en krisesituasjon – ulykkens karakter, utvikling, panikk, redning etc

34 Risiko kontroll strategier Turner:  Fullstendig mangel på grunnleggende informasjon  Har grunnleggende informasjon men er ikke fullt utnyttet pga ulik risikooppfatning  Har grunnleggende informasjon men er ikke videreformidlet til andre  Har informasjon men blir ikke utnyttet for kom i konflikt med grunnleggende informasjon, regler eller verdier. Informasjon blir oversett/overhørt og ikke tatt med i diskusjon  For å kunne kontrollere risiko må en formidle og synligjøre informasjon. En må samle inn å analysere informasjon.  Eksempel: Rapportering av uønskede hendelser (RUH)

35 Farereduksjon gjennom instruksjon

36 Pidgeon (1997): Hvordan oppnå god sikkerhetskultur?  Seniorledelsen er forpliktet til å tenke sikkerhet – å vise det i praksis  Felles omsorg og bekymring når det gjelder fare og konsekvenser for mennesker – vise at en bryr seg sammen  Realistiske og fleksible normer og regler vedrørende faresituasjoner – det må være mulig å gjennomføre  Kontinuerlig læring gjennom overvåkning, analyser og ”feedback” systemer – ikke bli sovepute

37 ”Forenkling” til tredimensjonalt regelverket til gir oss alle lesevansker  Lover og forskrifter utformes som funksjonelt regelverk basert på henvisninger til standarder og ”anerkjente normer”  Bruk av regelverket fordrer direkte tilgang til internett  Henvisningsregelverket krever usedvanlig gode leseferdighet  Henvisningene kan ofte være store dokumenter som må ”leses i sammenheng

38 Eksempel på bruken ”tredimensjonalt regeleverk” Aktivitetsforskriften §34 Kjemisk helsefare Arbeidsgiveren skal sikre at helseskadelig kjemisk eksponering ved lagring, bruk, håndtering og avhending av kjemikalier, og ved arbeidsoperasjoner og prosesser som avgir kjemiske komponenter unngås, jf, innretningsforskriften §14 om kjemikalier og kjemisk påvirkning. Før helseskadelige stoffer tas i bruk eller lagres skal det opprettes et stoffkartotek med HMS datablad som nevnt i forskrift 14.april 2000 nr 412 om oppbygging om stoffkartotek for helsesakedlige stoffer og i virksomheter (stoffkartotekforskriften) §§ 1,2, 5,6,7,8,og 9. Kjemikalier som omfattes av § 2, jf § 4 i forskrift 30. april 2001 nr. 443 om vern mot eksponering for kjemikalier på arbeidsplassen (kjemikalieforskriften), sist endret 20. mars 2003 nr 415, skal håndteres etter bestemmelsene i kjemikalieforskriften. Ved arbeid der det foreligger biologiske faktorer som omfattes av §2 og § 3 i forskrift 19. desember 1997 nr om vern av arbeidstakerne mot farer ved arbeid med biologiske faktorer, med endringer 7. september 1998 nr. 864, skal arbeidet utføres etter bestemmelsene i den forskriften.

39 Felles for alle tre ulykkene  Dekobling av beslutninger som følge av at ledelsen systematisk ikke får informasjon om sikkerhetsproblemer og nødvendig informasjon om faresignaler. Informasjonen om at noe var galt var tilgjengelig et sted i organisasjonen men ble ikke kommunisert til relevante beslutningstakere  Mangel på rapportering  Organisasjonen ser bort fra faresignalene  Kostnadsbesparelser ble gitt høyere prioritet enn sikkerhet

40 Informasjonsbehandlingsperspektivet og Piper Alpha  Informasjonsflyt og distribusjon:  Dekobling av beslutninger  Utførte revisjoner som ikke avdekket problemer  Morselskapet Exxon var veldig klar over farene med driften, men kunnskap ble ikke effektivt ført over til Esso.  Mangel på rapportering  Uformelle avgjørelser  Arbeidstillatelsesystemet  Kostnadsbesparelser ble gitt høyere prioritet enn sikkerhet:  Produksjon ble prioritert før sikkerhet  Kutt i vedlikehold  Outsoursing Grunnårsaken kort: Dårlig informasjonsflyt. Inkubasjonsperiode. Informasjonsforstyrrelser og dårlig krisehåndtering forverret ulykken.

41 Informasjonsbehandlingsperspektivet og Åsta  Informasjonsflyt og distribusjon  Dekobling av beslutninger  Endring i avgangsprosedyre ble ikke koblet opp mot ATC  Kostnadsbesparelser ble gitt høyere prioritet enn sikkerhet:  Jernbanen satte regularitet og drift i fokus  Utbygging av ATC utsatt på rørosbanen, selv om bevilgninger ble gitt  ATC ytterligere utsatt i handlingsplan  Grunnårsak: Kjørte på grønt lys  Medårsak: Dårlig informasjonsflyt og misoppfatning mellom personer, Andre informasjonsforstyrrelser.

42 Gruppeoppgave til neste gang  Utdelt kronologisk beskrivelse av Bhopal ulykken  Ut fra det dere nå har vært igjennom av teori. Se på informasjonsprosess perspektivet i forhold til Bhopal ulykken.  Beskriv hva dere mener perspektivet peker på i forhold til hva som førte til ulykken, og hva som gjorde den så katastrofal.

43 Neste gang skal vi:  Gå gjennom 2 – 3 presentasjoner av gruppeoppgaven  Gå gjennom informasjonsprosess perspektivet i forhold til Bhopal ulykken.  Ta for oss siste perspektiv om Målkonflikter og Beslutningsdilemmaer


Laste ned ppt "Sikkerhetsledelse 15.02.2007. High Reliability Organisation  Alvorlige ulykker/katastrofer kan forebygges gjennom et intelligent organisasjonsdesign,"

Liknende presentasjoner


Annonser fra Google