Risiko og SikkerhetHvorfor skjer ulykker?

Alvorlige hendelser er ofte et sammenfall av uheldige omstendigheter og kan umiddelbart framstå som uflaks. Men det er en feilslutning, og hendelser skjer stort sett fordi organisasjonen ubevisst har spilt en slags roulette som før eller siden uundgåelig ville ha resultert i en alvorlig hendelse.

Sannsynligheten for å oppleve en eller annen form for ulykke bestemmes av 2 ting:

  • Antall mulige potensielle ulykker (utfallsrommet)
  • De mulige ulykkers individuelle sannsynligheter.

Sannsynligheten for en ikke-spesifikk ulykke blir summen av alle sannsynlighetene og er en såkalt forventningsverdi. Dersom det drives med for høy risiko over tid, vil forventningsverdien etter hvert slå til (for eksempel 1 gang hvert 10. år). Dersom det drives med lav risiko vil forventningsverdien være så tilpass lav (for eksempel 1 gang per 200 år) at storulykken sannsynligvis unngås. En eller flere storulykker over en kort perioden, for eksempel 10 år, vil være et sterkt bevis på at det er drevet med for høy risiko.

Vi klarer ikke å identifisere alle potensielle ulykker, og vi klarer i hvert fall ikke å beregne tilhørende sannsynligheter. Det går likevel an å styre risikoen og oppnå et brukbart estimat av risikonivået ved hjelp av risikoanalyser og erfaringer. For eksempel vil barrierer av mer organisatorisk karakter ofte være gode til å kontrollere den del at utfallsrommet som er skjult.

Barrierer bestemmer risikonivået

Årsakene til alvorlige hendelser og storulykker er i prinsippet forutsigelige fordi de stort sett uten unntak følger prinsippene:

  1. Bedriftens handlinger over tid har gjort at en hendelse burde ha vært forventet. Man er med andre ord blitt innhentet av skjebnen.
  2. Flere viktige barrierer fungerte ikke.
    • Organisatoriske forhold er viktigste årsak til at barrierer ikke fungerte.

Ved å ha mange og gode nok barrierer, blir både forventningsverdien for antall ulykker tilfredsstillende og konsekvensene mitigeres slik at resultatet blir et tilfredstillende risikonivå. Risikonivået bestemmes av barrierene fordi det er barrierene som både kan hindre utløsende hendelser eller redusere konsekvensene av en utløsende hendelse.

Fordi store deler av utfallrommet er skjul, er de viktigste barrierer ikke kun tekniske. Tekniske barrierer får nesten alltid al oppmerksomheten, men det er farlig fordi det ikke går an å skrive prosedyrer og gi opplæring i alle mulige hendelser som kan oppstå. En av de viktigste organisatoriske barrierer som til stadighet bør utvikles er derfor selvstendig risikotenkning blant alle ansatte. Øverste sjef må ha et veldig bevisst forhold til risiko og hvordan ulike beslutninger i toppen påvirker risikoen nedover i organisasjonen. Ansatte i den skarpe enden må være trent i risiko slik at de er trygge ved egne vurderinger og ser faremomenter som ikke er åpenlyse. Ingen vil at ulykker skal skje og de fleste ulykker skjer fordi faremomenter ikke identifiseres korrekt.

En foutsetning for å få alt dette til er selvfølgelig en kapabel organisasjon som både har kompetansen, men også rammevilkårene for å få det til. Dette siste kravet er desverre langt fra en selvfølge.

Eksempel på barrierenes betydning i brannen på Melkøya

Storulykken med hetolje på Equinors anlegg på Melkøya ble først vurdert som lite sannsynlig fordi:

  • Det eksisterte prosedyrer for sikker drift av turbinene og hetoljeanlegget som sikrer mot branntilløp.
  • Varslingssystemer ved brann vil varsle og brann vil bli slokket av mannskap før spredning.

Ulykken hendte likevel fordi barrierene ikke eksisterte i den grad Equinor trodde. Nedenfor er nevnt 3 slike eksempler som antas å kunne ha forhindret ulykken. 1. og 2. var direkte brudd på regelverket og pålegg ble gitt fra Petroleumstilsynet.

  1. I granskningsrapporten framstår det som om ulykken kunne ha vært unngått dersom det hadde vært en prosedyre. Under utarbeidelsen av en slik prosedyre ville et kvikt hode sannsynligvis ha trukket i bremsen fordi man naturligvis ikke kan dumpe varme uten at varmen kan ledes bort. Når varmen ikke har noen steder å gå er et sannsynlig utfall gjerne overoppheting og brann.
  2. I tillegg hadde man tidligere skadet luftinntaket på samme måte ved å smelte det med hetoljen. Dette er også et avvik relatert til styringssystemet fordi det er myndighetskrav om at organisasjoner må lære av denne typen feil og forbedre seg. Hvis organisasjonens forbedringsprosess hadde fungert hadde dette også vært en barriere som kunne ha hindret ulykken.
  3. En tredje barriere som kan ha vært for svak er den generelle risikoforståelsen i det utførende leddet. Kunne ulykken også ha vært unngått dersom operatørene var bedre trent i risikotenkning og dermed selv hadde identifisert faremomentet ved å dumpe varmen på denne måten? Hendelsen tilsvarer å slå på en varmeovn vel vitende om at viften som blåser varmen bort fra varmeelementet ikke går rundt. Det blir ofte litt for enkelt kun å peke på manglende prosedyrer og manglende etterlevelse av prosedyrer i etterkant av uønskede hendelser. For det er ikke mulig å dekke alle arbeidsoperasjoner med spesifikke prosedyrer. Uvikling av selvstendig risikotenkning hos alle bør defor alltid være en prioritet.

Risiko og SikkerhetHvorfor skjer ulykker?

Alvorlige hendelser er ofte et sammenfall av uheldige omstendigheter og kan umiddelbart framstå som uflaks. Men det er en feilslutning, og hendelser skjer stort sett fordi organisasjonen ubevisst har spilt en slags roulette som før eller siden uundgåelig ville ha resultert i en alvorlig hendelse.

Sannsynligheten for å oppleve en eller annen form for ulykke bestemmes av 2 ting:

  • Antall mulige potensielle ulykker (utfallsrommet)
  • De mulige ulykkers individuelle sannsynligheter.

Sannsynligheten for en ikke-spesifikk ulykke blir summen av alle sannsynlighetene og er en såkalt forventningsverdi. Dersom det drives med for høy risiko over tid, vil forventningsverdien etter hvert slå til (for eksempel 1 gang hvert 10. år). Dersom det drives med lav risiko vil forventningsverdien være så tilpass lav (for eksempel 1 gang per 200 år) at storulykken sannsynligvis unngås. En eller flere storulykker over en kort perioden, for eksempel 10 år, vil være et sterkt bevis på at det er drevet med for høy risiko.

Vi klarer ikke å identifisere alle potensielle ulykker, og vi klarer i hvert fall ikke å beregne tilhørende sannsynligheter. Det går likevel an å styre risikoen og oppnå et brukbart estimat av risikonivået ved hjelp av risikoanalyser og erfaringer. For eksempel vil barrierer av mer organisatorisk karakter ofte være gode til å kontrollere den del at utfallsrommet som er skjult.

Barrierer bestemmer risikonivået

Årsakene til alvorlige hendelser og storulykker er i prinsippet forutsigelige fordi de stort sett uten unntak følger prinsippene:

  1. Bedriftens handlinger over tid har gjort at en hendelse burde ha vært forventet. Man er med andre ord blitt innhentet av skjebnen.
  2. Flere viktige barrierer fungerte ikke.
    • Organisatoriske forhold er viktigste årsak til at barrierer ikke fungerte.

Ved å ha mange og gode nok barrierer, blir både forventningsverdien for antall ulykker tilfredsstillende og konsekvensene mitigeres slik at resultatet blir et tilfredstillende risikonivå. Risikonivået bestemmes av barrierene fordi det er barrierene som både kan hindre utløsende hendelser eller redusere konsekvensene av en utløsende hendelse.

Fordi store deler av utfallrommet er skjul, er de viktigste barrierer ikke kun tekniske. Tekniske barrierer får nesten alltid al oppmerksomheten, men det er farlig fordi det ikke går an å skrive prosedyrer og gi opplæring i alle mulige hendelser som kan oppstå. En av de viktigste organisatoriske barrierer som til stadighet bør utvikles er derfor selvstendig risikotenkning blant alle ansatte. Øverste sjef må ha et veldig bevisst forhold til risiko og hvordan ulike beslutninger i toppen påvirker risikoen nedover i organisasjonen. Ansatte i den skarpe enden må være trent i risiko slik at de er trygge ved egne vurderinger og ser faremomenter som ikke er åpenlyse. Ingen vil at ulykker skal skje og de fleste ulykker skjer fordi faremomenter ikke identifiseres korrekt.

En foutsetning for å få alt dette til er selvfølgelig en kapabel organisasjon som både har kompetansen, men også rammevilkårene for å få det til. Dette siste kravet er desverre langt fra en selvfølge.

Eksempel på barrierenes betydning i brannen på Melkøya

Storulykken med hetolje på Equinors anlegg på Melkøya ble først vurdert som lite sannsynlig fordi:

  • Det er prosedyrer for sikker drift (produksjon og vedlikehold) av turbinene og hjelpesystemene (hetoljeanlegget) som sikrer mot branntilløp.
  • Varslingssystemer ved brann vil varsle og brann vil bli slokket av mannskap før spredning.

Ulykken hendte likevel fordi barrierene ikke eksisterte i den grad Equinor trodde. Nedenfor er nevnt 3 slike eksempler som antas å kunne ha forhindret ulykken. 1. og 2. var direkte brudd på regelverket og pålegg ble gitt fra Petroleumstilsynet.

  1. I granskningsrapporten framstår det som om ulykken kunne ha vært unngått dersom det hadde vært en prosedyre. Under utarbeidelsen av en slik prosedyre ville et kvikt hode sannsynligvis ha trukket i bremsen fordi man naturligvis ikke kan dumpe varme uten at varmen kan ledes bort. Når varmen ikke har noen steder å gå er et sannsynlig utfall gjerne overoppheting og brann.
  2. I tillegg hadde man tidligere skadet luftinntaket på samme måte ved å smelte det med hetoljen. Dette er også et avvik relatert til styringssystemet fordi det er myndighetskrav om at organisasjoner må lære av denne typen feil og forbedre seg. Hvis organisasjonens forbedringsprosess hadde fungert hadde dette også vært en barriere som kunne ha hindret ulykken.
  3. En tredje barriere som kan ha vært for svak er den generelle risikoforståelsen i det utførende leddet. Kunne ulykken også ha vært unngått dersom operatørene var bedre trent i risikotenkning og dermed selv hadde identifisert faremomentet ved å dumpe varmen på denne måten? Hendelsen tilsvarer å slå på en varmeovn vel vitende om at viften som blåser varmen bort fra varmeelementet ikke går rundt. Det blir ofte litt for enkelt kun å peke på manglende prosedyrer og manglende etterlevelse av prosedyrer i etterkant av uønskede hendelser. For det er ikke mulig å dekke alle arbeidsoperasjoner med spesifikke prosedyrer. Uvikling av selvstendig risikotenkning hos alle bør defor alltid være en prioritet.
Til topp