Sannsynligheten for å oppleve en eller annen form for ulykke bestemmes av 2 ting:
Sannsynligheten for en ikke-spesifikk ulykke blir summen av alle sannsynlighetene og er en såkalt forventningsverdi. Dersom det drives med for høy risiko over tid, vil forventningsverdien etter hvert slå til (for eksempel 1 gang hvert 10. år). Dersom det drives med lav risiko vil forventningsverdien være så tilpass lav (for eksempel 1 gang per 200 år) at storulykken sannsynligvis unngås. En eller flere storulykker over en kort perioden, for eksempel 10 år, vil være et sterkt bevis på at det er drevet med for høy risiko.
Vi klarer ikke å identifisere alle potensielle ulykker, og vi klarer i hvert fall ikke å beregne tilhørende sannsynligheter. Det går likevel an å styre risikoen og oppnå et brukbart estimat av risikonivået ved hjelp av risikoanalyser og erfaringer. For eksempel vil barrierer av mer organisatorisk karakter ofte være gode til å kontrollere den del at utfallsrommet som er skjult.
Årsakene til alvorlige hendelser og storulykker er i prinsippet forutsigelige fordi de stort sett uten unntak følger prinsippene:
Ved å ha mange og gode nok barrierer, blir både forventningsverdien for antall ulykker tilfredsstillende og konsekvensene mitigeres slik at resultatet blir et tilfredstillende risikonivå. Risikonivået bestemmes av barrierene fordi det er barrierene som både kan hindre utløsende hendelser eller redusere konsekvensene av en utløsende hendelse.
Fordi store deler av utfallrommet er skjul, er de viktigste barrierer ikke kun tekniske. Tekniske barrierer får nesten alltid al oppmerksomheten, men det er farlig fordi det ikke går an å skrive prosedyrer og gi opplæring i alle mulige hendelser som kan oppstå. En av de viktigste organisatoriske barrierer som til stadighet bør utvikles er derfor selvstendig risikotenkning blant alle ansatte. Øverste sjef må ha et veldig bevisst forhold til risiko og hvordan ulike beslutninger i toppen påvirker risikoen nedover i organisasjonen. Ansatte i den skarpe enden må være trent i risiko slik at de er trygge ved egne vurderinger og ser faremomenter som ikke er åpenlyse. Ingen vil at ulykker skal skje og de fleste ulykker skjer fordi faremomenter ikke identifiseres korrekt.
En foutsetning for å få alt dette til er selvfølgelig en kapabel organisasjon som både har kompetansen, men også rammevilkårene for å få det til. Dette siste kravet er desverre langt fra en selvfølge.
Storulykken med hetolje på Equinors anlegg på Melkøya ble først vurdert som lite sannsynlig fordi:
Ulykken hendte likevel fordi barrierene ikke eksisterte i den grad Equinor trodde. Nedenfor er nevnt 3 slike eksempler som antas å kunne ha forhindret ulykken. 1. og 2. var direkte brudd på regelverket og pålegg ble gitt fra Petroleumstilsynet.
Sannsynligheten for å oppleve en eller annen form for ulykke bestemmes av 2 ting:
Sannsynligheten for en ikke-spesifikk ulykke blir summen av alle sannsynlighetene og er en såkalt forventningsverdi. Dersom det drives med for høy risiko over tid, vil forventningsverdien etter hvert slå til (for eksempel 1 gang hvert 10. år). Dersom det drives med lav risiko vil forventningsverdien være så tilpass lav (for eksempel 1 gang per 200 år) at storulykken sannsynligvis unngås. En eller flere storulykker over en kort perioden, for eksempel 10 år, vil være et sterkt bevis på at det er drevet med for høy risiko.
Vi klarer ikke å identifisere alle potensielle ulykker, og vi klarer i hvert fall ikke å beregne tilhørende sannsynligheter. Det går likevel an å styre risikoen og oppnå et brukbart estimat av risikonivået ved hjelp av risikoanalyser og erfaringer. For eksempel vil barrierer av mer organisatorisk karakter ofte være gode til å kontrollere den del at utfallsrommet som er skjult.
Årsakene til alvorlige hendelser og storulykker er i prinsippet forutsigelige fordi de stort sett uten unntak følger prinsippene:
Ved å ha mange og gode nok barrierer, blir både forventningsverdien for antall ulykker tilfredsstillende og konsekvensene mitigeres slik at resultatet blir et tilfredstillende risikonivå. Risikonivået bestemmes av barrierene fordi det er barrierene som både kan hindre utløsende hendelser eller redusere konsekvensene av en utløsende hendelse.
Fordi store deler av utfallrommet er skjul, er de viktigste barrierer ikke kun tekniske. Tekniske barrierer får nesten alltid al oppmerksomheten, men det er farlig fordi det ikke går an å skrive prosedyrer og gi opplæring i alle mulige hendelser som kan oppstå. En av de viktigste organisatoriske barrierer som til stadighet bør utvikles er derfor selvstendig risikotenkning blant alle ansatte. Øverste sjef må ha et veldig bevisst forhold til risiko og hvordan ulike beslutninger i toppen påvirker risikoen nedover i organisasjonen. Ansatte i den skarpe enden må være trent i risiko slik at de er trygge ved egne vurderinger og ser faremomenter som ikke er åpenlyse. Ingen vil at ulykker skal skje og de fleste ulykker skjer fordi faremomenter ikke identifiseres korrekt.
En foutsetning for å få alt dette til er selvfølgelig en kapabel organisasjon som både har kompetansen, men også rammevilkårene for å få det til. Dette siste kravet er desverre langt fra en selvfølge.
Storulykken med hetolje på Equinors anlegg på Melkøya ble først vurdert som lite sannsynlig fordi:
Ulykken hendte likevel fordi barrierene ikke eksisterte i den grad Equinor trodde. Nedenfor er nevnt 3 slike eksempler som antas å kunne ha forhindret ulykken. 1. og 2. var direkte brudd på regelverket og pålegg ble gitt fra Petroleumstilsynet.