TIØ4200: Sikkerhetsledelse
- Sikkerhetsledelse
- Alle aktiviteter som gjennomføres i mer eller mindre koordinerte former av en organisasjon for å kontrollere farer («hazards») [Hale (2003)]
Sikkerhetsteorier
Bakgrunn
Sikkerhetsteorier er utarbeidet for å gi et grunnlag for en felles forståelse av en ulykke, samt gi redskaper for granskning av ulykker. På denne måten hjelper sikkersteoriene oss med å strukturere hva vi kan se etter - Hva har sviktet? - Hvorfor har det sviktet? - Hva kan gi gjøre for å unngå at det skjer i fremtiden?
Det finnes flere sikkerhetsteorier, og det er viktig å kunne bruke flere for å få det faktiske hele bildet av en situasjon. Begreper som WYLFIWYF og WYFIWYF vil komme tilbake innen de fleste måter å analysere og bedømme en situasjon eller hendelse. Sikkerhesteoriene lar deg endre til forskjellige måter å se ulike forhold og forskjellige årsaksmønstre og dermed også kanskje nå ulike konklusjoner som totalt sett gir deg et best mulig helhetsbilde.
- WYLFIWYF
- What You Look For Is What You Find
- WYFIWYF
- What You Find Is What You Fix
De 6 perspektivene
Lesestoff: Organisational Accidents and Resilient organisations: Six perpectives. Revision 2
Innen sikkerhetsteori skilles det ofte mellom inviduelle ulykker, ulykker som har begrenset spredning ofte med en enkel utløsende årsak, og organisatoriske ulykker. Sistnevnte forekommer vanlivis ganske sjeldent men er ofte katastrofale når de først intreffer - mange rammes og årsakene er ofte mange og sammensatte. Energi- og barriereperspektivet dekker begge disse formene for ulykker, mens «Normal accident»-teorien(NAT) kun dekker organisatoriske ulykker
Frekvens | Ofre | Utløsendeårsaker | |
Individuelle personulykker | Skjer ofte (relativt sett) | Begrenset spredning til andre utover de som utløste ulykken | Ofte enkle |
Organisatoriske ulykker | Forholdsvis sjeldne, men ofte katastrofale når de først skjer | Mange kan rammes, utover de som utløste ulykken | Mange og sammensatte |
Vi skal under ta for oss alle de seks perspektivene. Disse teoriene kan både motstride og overlappe hverandre. Dette gjør at de sammen kan være med å danne et bra grunnlag for analyse av ulykker eller sikkerhetsrelaterte hendelser. Det er lurt å ha WYLFIWYF og WYFIWYF i bakhodet.
Energi- og barriereperspektivet
Ulykker kan forstås som «energi på avveie» og forebygges gjennom å skille slik energi fra sårbare mål
Perspektivet tar for seg et tredelt system som består av farekilder, barrierer og sårbare mål. Ulykker oppstår som en konsekvens av både energi på avveie fra farekildene og mangelfulle barrierer. Sikkerheten handler dermed om å kontrollere den farlige energien og etablere riktige barrierer for å beskytte sårbare mål.
Strategier
Ulykkesforebygging i energi- og barriereperspektivet kan deles opp i tre hovedstrategier; Redusere farekilden, Gjøre noe med barrieren, Beskytte eller rehabilitere mulig ofre.
Haddon formulerte 10 strategier for nettopp dette og delte disse inn etter de tre overnevnte kategoriene. Haddon innså også hvordan listen kan reverseres for å skape mer skade feks ved sabotasje.
- Redusere farekilden
- Unngå oppbygging av energi (kinetisk, termisk, elektrisk) – unngå å kjøre bil
- Endre kvaliteter ved energien (overflate, strukturer) – gjøre harde objekter i bilen myke eller avrunda
- Redusere mengden energi - redusere farten på kjøretøy
- Unngå ukontrollert utløsning av energi – strøing/salting av vei
- Endre fordelingen av utløst energi – deformasjonssoner i bil, sikkerhetsbelter
- Gjøre noe med barrieren
- Skille sårbare mål fra utløst energi i tid og rom – bruke fortau, trafikklys
- Skille sårbare mål fra energien ved hjelp av fysiske barrierer (sikkerhetsbur i bil)
- Strategier relatert til offer
- Gjøre det sårbare målet mer motstandsdyktig mot energien – bruke hjelm
- Begrense skaden (førstehjelp)
- Rehabilitere det sårbare målet
Barrierer
- Barriere
- Et middel for å skille sårbare mål fra potensielt farlige energikilder.
Barrierer kan deles inn i fire ulike kategorier
- Fysiske
- Et passivt hinder som forhindrer en uønsket hendelse eller begrenser virkningen av den. (Brannvekkger, midtdelere etc.)
- Funksjonelle
- Beskyttende aktivt hinder. (Airbag i bil, sprinkleranlegg, passord, låser etc.)
- Symbolske
- Hinder som krever tolkning. (Skilt, ikke-fysisk avsperring, lys- og lydsignaler, arbeidsordre etc.)
- Immatrielle
- Hinder som krever kunnskap for å ha virkning. (normer, regler, forskrifter, lover etc)
Ettersom barrierer finnes i mange forskjellige kategorier er det ofte praktisk å etablere forsvar i dybden. Dette oppnår man ved å plassere flere barrierer etterhverandre, slik at faren fortsatt kan avverges dersom en barriere svikter.
Hvis vi kombinerer bruken av barrierer både for å forsvare oss mot at en ulykke oppstår(forsvarsbarrierer) og redusere konsekvensene(konsekvensbarrierer) kan vi lage et veldig komplekst system av barrierer. Kompleksiteten og variasjonen av barrierer kan gjøre sårbare mål mindre utsatt for uønsket energi på avveie eller drastisk minske konsekvensen etter ulykken har inntruffet. Det må alikevel ikke glemmes at selv med stor variasjon i barrierer kan forekomme uønskede hendelser på grunn av aktive feilhandlinger eller latente forhold(feil i design, kompetanse etc.).
Ulykker som skjer som en samtidig svikt i flere barrierer går ofte under navnet Sveitserostmodellen.
NAT - «Normal accident»-teorien
Forklarer storulykker som en dårlig tilpasning mellom teknologien som brukes og organisasjonen som skal kontrollere teknologien
«Normal accident»-teorien(NAT) tar for seg de sosiotekniske systemer hvor teknologiske komponenter styres eller påvirkes av mennesker. Systemulykker, eller organisatoriske ulykker, oppstår ofte når flere feil følger etter hverandre og samvirker på utforutsette måter. Slike system kjennetegnes ofte av at de er både komplekse og har tette koblinger.
Koblinger og interaksjoner mellom komponenter
Koblinger og interaksjoner mellom komponenter i et system kan grupperes etter hvordan koblinene og interaksjonene forekommer. Under vil vi først ta for oss koblinger og interaksjoner hver for seg, for deretter å se på dem samlet.
En kobling er en sammenheng mellom to eller flere komponenter. Sammenhengen deles oftest inn i to kategorier og er illustrert i tabellen under.
Kobling | Definisjon | Eksempel |
Tett | Direkte eller umiddelbare sammenhenger mellom komponenter | Togtransport |
Løse | Avstand og forsinkede sammenhenger mellom komponenter | Posten |
Interaksjon mellom komponenter beskrives som hvordan en komponent samhandler med andre komponenter, altså hvordan hver komponent mottar ressurser og sender produkter. Samhandlingen mellom komponenter kan deles i to kategorier og er illustrert i tabellen under.
Interaksjon | Definisjon | Eksempel |
Lineær | Skjer steg for steg, isolert fra andre komponenter | Samlebåndsproduksjon |
Kompleks | Mange sammenhenger og avhengigheter mellom komponenter. Svikter en komponent kan det får følge for flere andre kompontenter | Kjemiske prosessanlegg |
I ethvert system vil det være både kobling og interaksjon mellom komponentene i systemet. Typen kobling og interaksjon i et system kan dermed skje på fire måter som hver krever sin form for styringsmetode. Systemulykker sies å oppstå når feil sprer seg raskt og på uforutsette måter. Dette prøver vi å motvirke ved å introdusere to typer strying av systemer; sentraliser og desentralisert styring.
Sentralisert styring brukes i hovedsak for å håndtere tette koblinger og desentralisert styring for å håndtere uventede interaksjoner mellom komponenter.
Lineær | Kompleks | |
Tette | Sentralisert styring | Sentralisert og desentralisert |
Løse | Sentraliser eller desentralisert | Desentralisert |
I tabellen over ser du at tette og komplekse koblinger er uthevet da denne, i følge modellen, krever både sentraliser og desentralisert styring. Dette er i praksis umulig og gjør at man er sårbar for systemulykker.
Forebyggende strategier
For å forebygge at koblinger og interaksjoner mellom komponenter fører til systemulykker kan man først identifisere hvilke koblinger og interaksjoner systemet har. Deretter er det nødvendig å prøve å forebygge ulykker ved å endre interaktiviteten, koblingene eller innføre et styresett som beskrevet i forrige punkt. Det kan gjøres på følgende måte:
- I et komplekst system, reduser graden av interaktiv kompleksitet
- I et tett koblet system, etterstreb løse koblinger
- Dersom interaktiv kompleksitet ikke kan unngås, innfør en desentralisert styring av systemet
- Dersom tette koblinger ikke kan unngås, innfør en sentralisert styring av systemet
- Hvis systemet er sårbart for katastrofale systemulykker og ingen av strategiene kan anvendes, avvikle systemet
Oppsummering
NAT er en teori som fokuserer på storulykker som et resultat av sårbare sosiotekniske systemer som er komplekse og tett sammenkoblede. Teorien beskriver også hvordan system kan forsøkes å organiseres og styres for å unngå storulykker.
Teorien kan anses som et innlegg mot atomkraft da løsningen på å unngå sårbarheten i slike system er avskaffelse av selve systemet.
HRO - «High Reliability organisations»
Forklarer hvordan noen virksomheter klarer å håndtere kompleksitet uten at det skjer ulykker (som tilsvar på NAT)
«High Reliability organisations»(HRO) beskriver organisatorisk redundans og spontan rekonfigurering. HRO kan på mange måter beskrives som motstykket, eller et motsvar, til NAT.
HRO er komplekse og tett koblede systemer, eller virksomheter, som allikevel unngår storulykker og systemulykker. Eksempler på slike organisasjoner er ICU(akuttmottak), flykontrollsystemer, atomkraftverk ol.
For å forstå organisasjoner som inngår i HRO-begrepet må vi se på hvordan disse er bygget opp og hvordan de klarer seg så bra. Dette kan kokes ned til tre store faktorer
- Organisatorisk redundans(overlapp)
- Spontan omstilling når det er nødvendig
- «Mindfulness»
Organisatorisk redundans
Oranisatorisk redundans beskriver overlapp i organisasjonen. Dette overlappet kan være både strukturellt/instrumentelt og kulturelt.
Med strukturelt/instrumentalt overlapp mener vi at organisasjonen har overlappende ansvarsområdet, kompetanse og observasjoner. Dette kan være menneskelig redundans så vel som teknisk redundans. Et eksampel på teknisk redundans er to-krets bremsesystem i bil, hvor begge kretser har samme "ansvarsområde" uavhengig av hverandre.
Kulturell overlapp er derimot i større grad regnet som menneskelig redundans. Her kommer etterprøvning av beslutninger, rette feil og evne og vilje til å utveksle informasjon inn. I organisasjoner med kulturell overlapp kan ofte personers plassering i hierarkiet endres ved behov. Dette henger videre sammen med spontan rekonfigurering/omstilling. Dette forklares mer under eget punkt.
De to dimensjonen av organisatorisk redundans gir oss fire typer organisasjoner
- Kulturelt sterke, strukturelt svake (Strukturell sårbarhet)
- Kulturelt svake, strukturelt svake («Low reliability organizations»)
- Kulturelt svake, strukturelt sterke (Kulturell sårbarhet)
- kulturelt sterke, strukturelt sterke
Sistnevnte kjennetegner en HRO-organisasjon. Utifra listen over kan vi også gjenkjenne svakheter ved andre organisasjoner, samt identifisere det motsatte av en HRO - «Low reliability organizations».
Spontan omstilling
Spontan omstilling eller rekonfigurering beskriver hvordan organisasjoner forandrer seg under kriser og krevende situasjoner. I slike organisasjoner blir rang uviktig og autoritet blir i større grad gitt på bakgrunn av kunnskap og erfaringer.
I en HRO skiftes organiseringen fra en mekanisk organisering til en mer organisk organisering ved omstilling dersom situasjonen krever det. Det legges da mer vekt på flat struktur og fleksibilitet enn hierarki og spesialisering.
«Mindfulness»
«Mindfulness» er et bregrep hentet fra meditasjon, hvor «mindful» kan tolkes som «…å være oppmerksomt til stede».
Begrepet legger tilrette for å ha større oppmerksomhet på uventede hendelser og det å stoppe uventede hendelser før de utvikler seg videre til ulykker.
Følgende elementer er viktige i «Mindfulness»
Oppmerksomhet på uventede hendelser
- Stor vekt på læring av feil
- Også små feil blir sett på som mulige symptomer på at noe kan være mer grunnleggende galt
- Skepsis til enkle forklaringer
- Oppmerksomhet på nyanser, kritiske spørsmål belønnes
- Sensitivitet for mulige negative konsekvenser av
arbeidsoperasjoner
- Hovedfokuset er mot den skarpe enden, der ting kan gå galt
Stoppe uventede hendelser før de utvikler seg til ulykker
- Engasjement for å skape robusthet
- Håndterer uventede hendelser og klarer å komme tilbake til en «normaltilstand»
- Verdsetting av faktisk kompetanse
- Mangfold dyrkes og oppmuntres
Samstilling - NAT og HRO
Som nevnt tidligere kan HRO ses på som et motsvar/svar på NAT. Under er en samstilling for å vise litt forskjeller på de to perspektivene
Normal Accidents theory | High Reliability Theory |
Ulykker kan ikke unngås i komplekse og tett kobla systemer | Ulykker kan unngås gjennom god organisering og ledelse |
Sikkerhet er et av flere konkurrerende mål | Sikkerhet har førsteprioritet |
Redundans kan føre til ulykker gjennom at det øker kompleksitet og oppmuntrer til risikotaking | Redundans øker sikkerhet og bidrar til å gjøre upålitelige elementer til pålitelige systemer |
Virksomheter kan ikke trene på scenarier de ikke har forutsett eller som er svært farlige | Kontinuerlig arbeid, trening og simulering kan skape og opprettholde høypålitelige organisasjoner |
Resilience-perspektivet
Kombinerer begreper fra de andre perspektivene og presenterer et proaktivt alternativ i sikkerhetstenkningen
Robusthet defineres i daglig tale som evne til å motstå endringer, eller opprettholdelse av tiltenkt funksjon på tross av interne og ytre påvirkninger. I resilience perspektivet står nettopp disse egenskapene i fokus. Utgangspunktet for dette perspektivet er den økende kompleksiteten i systemer og operasjoner som omgir oss.
En robust organisasjon har egenskaper som gjør den i stand til å korrigere for forutsette avvik, eller opprettholde operasjon til tross for avvik. Med økende kompleksitet vil man få en økt interaksjon mellom systemer, og derfor et hav av utfalls muligheter. Så i stedet for å fokusere på alle mulige utfall som kan skape uønskede hendelser, er fokuset i resilience perspektivet mer rettet mot årsakene til en vellykket operasjon. Dette er et proaktivt perspektiv som ved å bruke læring fra tidligere ulykker, for å gjenkjenne karakteristiske trekk ved disse, og på denne måten klare å korrigere operasjonen før ulykken inntreffer.
I (Hollnagel, 2011) konstateres det at det er fire viktige egenskaper som er med å definere en robust organisasjon. Disse fire hjørnesteinene er de følgende:
Respondere Å vite hvordan man til enhver tid skal respondere på en situasjon, hvorvidt dette er en forutsett eller uforutsett hendelse, i henhold til en handlingsplan.
Overvåke Ved å overvåke de kritiske delene av et system eller en operasjon, kan man kartlegge karakteristiske trekk ved ulike typer avvik og gryende feil, og dermed unngå uønskede hendelser.
Være forberedt Man skal alltid være forberedt på situasjoner som kan oppstå, kritiske situasjoner så vel som muligheter man potensielt kan utnytte.
Læring At man har et læringsutbytte fra hendelser, både positive og negative, ved at man evaluerer det som faktisk har skjedd.
Man-made disasters
Forklarer storulykker som et sammenbrudd i informasjonsflyt og manglende forståelse for risiko
Teorien om «Man-made disasters», også kjent som informasjonsperspektivet, beskriver ulykker som sammenbrudd i, eller mangel på, informasjonsflyt. Grunntanken bak teorien er at det nesten alltid, ved tilbakeblikk, er mulig å identifisere faresignal eller forløpere til ulykken som burde gjort det mulig å unngå selve ulykken.
Informasjonsperspektivet tar utgangspunkt i en tilnærmet «normal-situasjon», med overgang til en inkubasjonsperiode, etterfulgt av en utløsende hendelse for ulykken. Ulykker vil dermed være en kjede av hendelser som kan spores tilbake til lenge før selve ulykken finner sted. Inkubasjonsperioden kan regnes som hovedperioden for denne teorien.
Inkubasjonsperioden består av en hendelse, eller serie av hendelser, som ikke blir lagt merke til eller som blir feiltolket. En bedre forståelse av hendelser i inkubasjonsperioden vil gjøre det mulig å avdekke, og dermed også forhindre, avvik fra en «normal-situasjon» for å unngå at det utvikles til å bli en ulykke. I retrospekt vil hendelser i inkubasjonsperioden ofte være med på å beskrive forløpet til ulykken og dermed også kaste lys på årsaken til ulykken.
Målkonflikter og beslutningstaking
Relaterer ulykker til (manglende) håndtering av målkonflikter
Human factors
Etterlevelse og tilpasning
Myter om sikkerhet
Sikkerhet og etikk
Helhetlige sikkerhetsteorier
Sikkerhetskultur og -klima
Referanser
Notat til innholdsreferanser
Dette wikipendiumet er i stor grad basert direkte eller indirekte på forelesningene i faget, notater fra forelesning og pensumlitteratur. Formuleringer, bilder og lignende kan være hentet direkte fra pensum i faget. Det vil forsøkes i så stor grad som mulig å vise til kilder eller relevant pensumlitteratur underveis i wikipendium-artikkelen.