Ledning av säkerhetskritiska organisationer En introduktion Ledning av säkerhetskritiska organisationer handlar om att leda verksamheter i syfte att förhindra olyckor. Säkerhetsledning innefattar både ett formellt och ett informellt ledningssystem. Det formella systemet behandlar exempelvis roller och ansvar för säkerheten, säkerhetspolicy, de säkerhetskrav som gäller, risk identifiering och hur erfarenheter tas om hand. Det informella ledningssystemet handlar om hur man i en organisation formar en kultur som i ord och handling stödjer säkerheten. Boken ger en inblick i både teori och praktik avseende strategier och ram verk för dessa aspekter av säkerhetsledning. Ledning av säkerhetskritiska organisationer riktar sig till läsare som söker en orientering inom säkerhetskritisk verksamhet och till studenter inom för ämnet relevanta områden eller säkerhets vetenskap.
| Ledning av säkerhetskritiska organisationer
Björn Wahlström innehade före sin pensionering en forsknings professur i systemteknik vid Statens tekniska forskningscentral (VTT) i Finland. Han var koordinator for EU-projekten ORFA och LearnSafe, som under åren 1998–2004 undersökte inverkan av ledning och organisation på kärnkraftens säkerhet. Han har efter det tillsammans med Carl arbetat som konsult inom säkerhetsledning.
Rollenhagen Wahlström
Carl Rollenhagen är adjungerad professor i risk och säkerhet vid KTH i Stockholm. Han har en bred och djup teoretisk och praktisk kunskap avseende säkerhet utifrån ett MTO-perspektiv (Människa-TeknikOrganisation) och har skrivit flera böcker och vetenskapliga artiklar om risk och säkerhet.
Ledning av säkerhetskritiska organisationer En introduktion
Art.nr 37873
www.studentlitteratur.se
978-91-44-09445-8_01_cover.indd 1
Carl Rollenhagen Björn Wahlström
2013-10-11 11.23
Kopieringsförbud Detta verk är skyddat av upphovsrättslagen. Kopiering, utöver lärares begränsade rätt att kopiera för undervisningsbruk enligt Bonus Presskopias skolkopieringsavtal, är förbjuden. För information om avtalet hänvisas till utbildningsanordnarens huvudman eller Bonus Presskopia. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman eller rättsinnehavare. Denna trycksak är miljöanpassad, både när det gäller papper och tryckprocess.
Art.nr 37873 ISBN 978-91-44-09445-8 Upplaga 1:1 © Författarna och Studentlitteratur 2013 www.studentlitteratur.se Studentlitteratur AB, Lund Omslagslayout: Jens Martin/Signalera Omslagsbild: Vince Reichardt/Johnér Printed by Exakta AB, Sweden 2013
978-91-44-09445-8_01_book.indd 2
2013-10-09 12.31
Innehåll
Förord 7 K apitel 1
Inledning 9
1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8
Säkerhet, ledning och säkerhetsledning 9 Systemtänkande 12 Fyra delsystem 13 Två viktiga komponenter i ett styrsystem 15 Säkerhetskritiska organisationer 17 Beslutsfattande och säkerhetsledning 18 Om modeller 20 Bokens upplägg 21
Del I
Bakgrund
K apitel 2
Säkerhet, hot och risker 25
2.1 2.2 2.3 2.4
Hot och konsekvenser 26 Osäkerhet 26 Sannolikhet och risk 27 Säkerhetens dilemman 29
K apitel 3
Några uppseendeväckande olyckor 31
3.1 3.2 3.3 3.4
Vad man ofta finner vid analysen av stora olyckor 33 Herald of Free Enterprise 34 Texas City 37 Columbia 41
© F ö rfattarna och S tudentlitteratur
978-91-44-09445-8_01_book.indd 3
3
2013-10-09 12.31
Innehåll K apitel 4
Teorier om varför olyckor inträffar 45
4.1 4.2 4.3 4.4
Olyckor som en följd av bristande kontroll 46 Klassiska olycksmodeller 51 Resilience engineering 60 Olycksmodellers begränsningar 65
K apitel 5
Beslut om risk och säkerhet 69
5.1 5.2 5.3 5.4
Beslutsteori 70 Riskanalys 77 Beslutsfattande i organisationer 82 Att agera utifrån en försiktighetsprincip 83
K apitel 6
Organisation och ledning 85
6.1 6.2 6.3 6.4 6.5
Klassisk organisationsteori 86 Ledarskapsteori – en översikt 92 Organisatorisk struktur 100 Modern syn på organisationer 103 Lärande organisationer 106
K apitel 7
Kultur, organisationskultur och säkerhetskultur 113
7.1 7.2 7.3
Nationella kulturer 113 Social samverkan 119 Säkerhetskultur och säkerhetsklimat: kunskap, etik och institutioner 123
Del II MTOI-perspektivet och kontrollmetaforen K apitel 8
De fyra systemen 139
8.1 8.2 8.3 8.4 8.5
Modeller 139 Människan 145 Teknik 151 Organisation 153 Information 156
4
978-91-44-09445-8_01_book.indd 4
© F ö rfattarna och S tudentlitteratur
2013-10-09 12.31
Innehåll K apitel 9
Kontrollproblemet 163
9.1 9.2 9.3 9.4 9.5 9.6
Kontroll – några viktiga begrepp 163 Villkor för en fungerande styrning 167 Några enkla kontrollstrukturer 170 Att styra säkerhet 173 Att kontrollera och styra organisationer 178 Komplexitetens grundproblem 183
K apitel 10
Säkerhet i ett livstidsperspektiv 185
10.1 10.2 10.3 10.4 10.5
Säkerhetsmål 186 Säkerhet i konstruktion 187 Säkerhet i drift 189 Säkerhet i underhåll 189 En sista reflektion 190
Del III Säkerhetsledning och säkerhetsteknik K apitel 11
System för säkerhetsledning 193
11.1 11.2 11.3
Ledningssystemets struktur 194 Några dimensioner i säkerhetsledningen 200 Kompetens 205
K apitel 12
Säkerhetsteknik 209
12.1 12.2 12.3
Säkerhetsteknikens grunder 209 Klassificeringssystem 214 Att konstruera för säkerhet 216
K apitel 13
Aktiviteter som är särskilt viktiga för säkerheten 225
13.1 13.2 13.3 13.4 13.5
Säkerhetsanalys 226 Erfarenhetsåterföring 232 Ändringsarbetet 243 Andra aktiviteter som kan påverka säkerheten 249 Säkerhetskultur i praktiken 253
© F ö rfattarna och S tudentlitteratur
978-91-44-09445-8_01_book.indd 5
5
2013-10-09 12.31
Innehåll K apitel 14
Myndighetstillsyn 259
14.1 14.2 14.3
Kravbild 259 Daglig myndighetstillsyn 264 Internationellt samarbete 267
K apitel 15
Ständig förbättring 269
15.1 15.2 15.3 15.4
Kontinuerlig utvärdering 269 Egna erfarenheter och andras 273 Kontinuerlig uppföljning 276 Säkerhetsledningens begränsningar 277
Del IV Sammanfattning och avslutande diskussion K apitel 16
Sammanfattning 285
16.1 16.2 16.3 16.4 16.5
Kvarstående hot mot säkerheten 288 Att hantera systemiska risker 289 Balanser i säkerhetsarbetet 290 Några trender i säkerhetsarbetet 291 Att hålla reda på 293
K apitel 17
Till slut 295
Appendix: Riktlinjer för ledningssystem och säkerhetsledning 297 Referenser 311 Person- och sakregister 317
6
978-91-44-09445-8_01_book.indd 6
© F ö rfattarna och S tudentlitteratur
2013-10-09 12.31
Förord
Välkommen till denna bok om säkerhetsledning! Vi som författare har under många år verkat i ett institut för säkerhetsledning riktat till ledande personal inom kärnkraft och vattenkraft. Trots att det finns många böcker om säkerhet, så har vi saknat en bred introduktion på svenska till det vi kallar ledning av säkerhetskritisk verksamhet – mycket av litteraturen inom området är antingen akademisk och relativt abstrakt eller specifik för olika branscher. Vi har därför sökt en kompromiss mellan akademiskt färgad litteratur och mer handfasta konkreta råd för hur man kan styra en säkerhetskritisk verksamhet. Kompromisser av detta slag innebär ibland att ingen blir riktigt nöjd – akademikern vill kanske ha mer abstraktion och fler referenser och den som verkligen leder en säkerhetskritisk verksamhet vill ha fler konkreta tips. Vi tar risken och beskriver här en medelväg mellan teori och praktik. Framställningen är tänkt som en introduktion till området säkerhetsledning och riktar sig främst till två grupper, dels de läsare som vill orientera sig om området och som ännu har begränsad erfarenhet av att faktiskt leda säkerhetskritisk verksamhet. Framställningen är också relevant för studenter som tänker sig en framtid som forskare eller konsulter eller på annat sätt avser att verka inom säkerhetskritiska områden. Vi riktar oss också till studenter inom säkerhetsvetenskapen som vill skaffa sig en orientering om säkerhetsledning. Texten kompletterar den managementlitteratur som ofta har ett mycket begränsat innehåll avseende risk och säkerhet (annat än ekonomisk risk). Eftersom texten är en introduktion till området tar vi upp vissa aspekter som kan synas självklara och triviala för den som redan är verksam inom området. Men samtidigt tror vi att också läsare med erfarenhet inom säkerhetskritiska områden kan ha nytta av vissa delar av texten. Vi verkar, som © F ö rfattarna och S tudentlitteratur
978-91-44-09445-8_01_book.indd 7
7
2013-10-09 12.31
Förord
sagt, i huvudsak inom elproduktion (kärnkraft och vattenkraft) och detta innebär att mycket av texten har en slagsida mot dessa branscher. Å andra sidan är mycket av det som ligger i begreppet säkerhetsledning av intresse för alla säkerhetskritiska verksamheter vilket gör att texten är relevant för alla som har intresse för säkerhet. Flera personer har medverkat genom att läsa och kommentera texten. Vi vill rikta ett särskilt tack till Helen Alm, Jan Blomgren, Sven Ove Hansson, Jan-Erik Holmberg, Heikki Raumolin och Erik Walldorf, som har gjort besväret att komma med konkreta förslag till förbättringar i en tidigare version av vår bok. Stockholm, 7 augusti 2013 Carl Rollenhagen och Björn Wahlström
8
978-91-44-09445-8_01_book.indd 8
© F ö rfattarna och S tudentlitteratur
2013-10-09 12.31
Kapitel 3
Några uppseendeväckande olyckor
Vi ska nedan fördjupa oss i några utvalda olyckor. I litteraturen om risk och säkerhet finns beskrivningar och analyser av många uppseendeväckande olyckor. Vi har i detta avsnitt valt ut några och sedan fokuserar vi på tre specifika fall – motivet för valet av dessa tre olyckor är främst att de när de inträffade fick en stor mediauppmärksamhet. Vissa specifika olyckor har ofta lyfts fram i litteraturen om risk och säkerhet. Syftet med detta brukar vara att visa på att storolyckor har gemensamma rötter samt att olyckor har flera samverkande orsaker. De flesta olyckor är resultatet av en kombination av olika förhållanden som tillsammans skapat förutsättningar för att olyckan skulle kunna inträffa. Stora olyckor har ibland haft en mycket genomgripande inverkan på hur en bransch ser på risk och säkerhet. Ett exempel är kärnkraften där både olyckan i USA, 1979 (Harrisburg) och den i Ukraina 1986 (Tjernobyl) skakade om hela branschen. Olyckan vid kärnkraftsanläggningen Fukushima Daiichi i Japan 2011 kommer sannolikt att innebära (och har redan inneburit) vidgade perspektiv när det gäller hantering av kärnkraftsäkerhet.
© F ö rfattarna och S tudentlitteratur
978-91-44-09445-8_01_book.indd 31
31
2013-10-09 12.31
Del I Bakgrund Tabell 3.1 En lista på några stora olyckor, dess konsekvenser och orsaker.
Händelse, bransch Händelse och konsekvens
Orsaker (icke uttömmande lista)
1979, Three Mile Island, Harrisburg Kärnkraft i USA
Kärnkraft. Inga döda och begränsade utsläpp – men händelsen fick stor politisk uppmärksamhet.
Brister i bl.a. underhåll, erfarenhetsåter föring, kontrollrumsutformning, träning av operatörer och instruktioner.
1984, Bhopal Kemisk fabrik i Indien
Utsläpp av isocyanat, 2 000 döda och 20 000 skadade.
Bristande överordnad ledning med underskattning av risker. Brister i underhåll och beredskap att hantera olyckor.
1986, Challenger Rymdfärja exploderade vid start. USAs rymdprogram Besättningen (7 personer) dog omedelbart.
Produktionspress. Risker tonades ner trots varningar. Brister i säkerhetskulturen.
1986, Tjernobyl Kärnkraft i Sovjet unionen
Kärnkraft. 28 dödsfall inom en månad. Betydande radioaktiva utsläpp. Förhöjd cancerrisk i utsatta områden (ca 6 000 fall av sköldkörtelcancer hos barn – uppfattning om hur olyckan påverkat andra cancerformer diskuteras fortfarande).
Överträdelser. Mänskliga misstag, otillräcklig analys av riskerna med det experiment som ledde till olyckan. Teknisk konstruktion av reaktorn som saknade inneslutning och med grafit som kunde brinna. Bristande säkerhetskultur där det politiska styret medverkade negativt.
1987, Herald of Free Färjan kapsejsar. 188 döda. Enterprise Färjtrafik i Engelska kanalen
Ansvarsproblem, brister i signalering av bogport, brister i teknisk design, bristande ledning, produktionspress, kommunika tionsproblem, överträdelser accepterades.
Gasläcka och explosion vid oljeplattform. 167 döda.
Brister i kommunikation mellan skift, brister i underhåll, brister i grundläggande teknisk design, brister i accident management, tidigare upptäckta brister inte åtgärdade.
1988, Piper Alpha Oljeutvinning i Nordsjön
2003, Columbia Rymdfärja, farkosten slets sönder USAs rymdprogram vid återinträdet till atmosfären. Besättningen (7 personer) dog omedelbart.
Brister i lärdomar från Challenger. Nedprioritering av säkerhetsorganisa tionen. Orealistiska mål i förhållande till resurserna. Kulturfaktorer.
2005, Texas City Oljeraffinaderi
Explosion och brand vid uppstarten av en delprocess, 15 döda, 180 skadade, stora skador på anläggningen.
Nedskärningar på grund av missriktade åtgärder för att spara kostnader, dålig processutformning, dålig kontrollrumsutformning, brister i utbildning.
2012, Costa Concordia Lyxkryssare i Medelhavet
Fartyget går för nära stranden, grundstöter och kapsejsar. 32 passagerare omkommer.
Sjöförklaringen är inte klar, men kaptenen antas ha haft en del i olyckan. Oklara rutiner på bryggan. Rederiet antas ha fördröjt information om det inträffade och därmed ha försvårat räddningsarbetet.
32
978-91-44-09445-8_01_book.indd 32
© F ö rfattarna och S tudentlitteratur
2013-10-09 12.31
3 Några uppseendeväckande olyckor
3.1 Vad man ofta finner vid analysen av stora olyckor Vissa faktorer tenderar att återkomma när analyser gjorts av orsaker och förhållanden bakom stora olyckor. Några av dessa är: • Otillräcklig säkerhetsledning
• Produktionspress och konflikter mellan ekonomi och säkerhet • Bristande förmåga att lära av tidigare händelser
• Normalisering av avvikelser – risker som upptäcks tidigare tonas
successivt ner om ingenting nytt händer
• Successivt minskade säkerhetsmarginaler när allt går bra • Kommunikationsproblem • Kompetensproblem • Brister i underhåll
• Brister i ändringsverksamhet (identifierade svagheter har inte
korrigerats)
• Brister i teknisk design och konstruktion.
Listan ovan skulle kunna göras mycket längre. Men klart är att stora olyckor nästan alltid har inslag av åtminstone några av ovanstående faktorer. Med utgångspunkt i vad vi vet om tidigare olyckor kan man därför få viss vägledning beträffande vad man bör vara särskilt uppmärksam på. För det första måste man se till att utveckla ett övergripande system för sin säkerhetsledning som innehåller bl.a. följande komponenter: • Klar definition av ansvar och befogenheter samt rutiner som ser till
att detta ansvar är korrekt uppfattat och infört i verksamheten • Normer, principer, standarder etc. som beskriver vilka tillstånd som är ”godkända/acceptabla” och vilka tillstånd som icke acceptabla • Ett system som gör att man hela tiden kan lära av egna och andras erfarenheter. Att lära innebär inte bara att identifiera utan också att handla • Ett system för att identifiera olika typer av risker och en process för att fatta beslut och genomföra åtgärder som en konsekvens av vad man finner i analyserna • Indikatorer som kan uppfatta om säkerhetsmarginalerna hålls
© F ö rfattarna och S tudentlitteratur
978-91-44-09445-8_01_book.indd 33
33
2013-10-09 12.31
Del I Bakgrund
• Att tidigare identifierade risker leder till beslut om åtgärder
• Ett system för att reglera och följa upp åtgärder och identifiera
eventuella negativa konsekvenser av vidtagna åtgärder (gäller både tekniska och organisatoriska ändringar) • Utvecklat underhåll. Utöver ovanstående finns många faktorer som kan kopplas till begreppet ”kultur” i en organisation. Detta är ett mer svårfångat område än mycket annat inom säkerhetsvetenskapen och dess praktik. Vi kommer därför att senare diskutera kulturbegreppet och vad man kan göra för att skapa en organisationskultur som stödjer säkerheten. 3.2 Herald of Free Enterprise MS Herald of Free Enterprise var en så kallad RORO bil- och passagerarfärja som trafikerade rutten mellan Dover och Calais i engelska kanalen. Färjan kapsejsade kvällen den 6 mars 1987 i den belgiska hamnen Zeebrugge snart efter att fartyget lagt ut från kajen. I olyckan omkom 193 passagerare och besättningsmän, vilket gjorde olyckan till den värsta som inträffat på ett brittiskt fartyg sedan Titanic sjönk år 1912 (UK DoT 1987). 3.2.1 Händelsen
Färjan lämnade sin kajplats i den inre hamnen av Zeebrugge klockan 18:05 (GMT) med 459 passagerare och en besättning på 80 personer. På färjan fanns 81 bilar, 3 bussar och 47 långtradare. Färjan lämnade hamnens yttre märke klockan 18:24 och kapsejsade ungefär 4 minuter senare. När färjan kom upp i en hastighet av 18,9 knop, 90 sekunder efter att fartyget lämnat hamnen, började stora mängder vatten strömma in på bildäck. Det ledde till att stabiliteten på fartyget stördes allvarligt, vilket i sin tur ledde till att det fick en slagsida på 30 grader. Färjan rätade upp sig något innan slagsidan igen ökade och färjan kapsejsade. Hela händelseförloppet tog ungefär en och en halv minut. Vatten trängde in och påverkade fartygets elektriska system – både huvud- och nödsystem förstördes. Fartyget slutade sin färd liggande på sidan i grunt vatten en kilometer från stranden. En tillfällig styrbordsgir gjorde att färjan kapsejsade på en 34
978-91-44-09445-8_01_book.indd 34
© F ö rfattarna och S tudentlitteratur
2013-10-09 12.31
3 Några uppseendeväckande olyckor
sandbank, vilket hindrade färjan från att sjunka på djupare vatten. Om detta hade inträffat, så skulle antalet dödsfall ha varit betydligt högre. Besättningen på ett mudderverk nära intill märkte att färjans ljus försvann och larmade hamnmyndigheterna. Ett alarm gick ut och en räddningshelikopter var på plats efter en halvtimme. Något senare kom fartyg från den belgiska marinen och började räddningsarbetet. Många av passagerarna ombord hade utnyttjat ett specialerbjudande om en billig resa från England till kontinenten. De flesta av offren blev instängda i fartyget eller avled av hypotermi, eftersom vattnet var endast tre grader varmt. Räddningsarbetet, som gjordes av den belgiska marinen, hjälpte till att begränsa antalet offer, men stigande tidvatten gjorde att räddningsarbetet måste avbrytas för att återupptas dagen därpå. 3.2.2 Efterspel
En offentlig utredning startades omedelbart efter olyckan. Den uppenbara orsaken till olyckan var att fartygets boglucka inte var stängd när fartyget lade ut. Utredningen identifierade tre personer vilka ansågs skyldiga till det inträffade. För det första hade den assisterande båtsmannen, som skulle stänga bogluckan, inte gjort vad han skulle. För det andra hade förste styrman inte verifierat att bogluckan på fartyget var stängd och för det tredje hade kaptenen startat utan att vara säker på att bogluckan var stängd. Den felande båtsmannen ansågs vara mest skyldig till det inträffade: domstolen ansåg att man inte kunde överse med ett sådant ansvarslöst beteende. Lyckligtvis ledde inte denna första analys till att utredningen avslutades. Man frågade sig hur det kunde komma sig att den assisterande båtsmannen sov i sin hytt när han borde ha varit på sin post. En närmare utredning av den arbetspraxis som rederiet använde på sina fartyg visade på problem. Kommunikation mellan olika funktioner på fartygen och i rederiet fungerade dåligt och likaså relationen mellan sjögående och landbaserad personal. Man tyckte sig se en kultur som kännetecknades av slarv och försumlighet på alla nivåer i organisationen. Fartygspersonalen hade t.ex. bett om att på kommandobryggan få en indikator om att bogluckan var stängd, men utan resultat. Det visade sig också att färjans konstruktion var bristfällig. Jämfört med andra liknande fartyg fanns inte vattentäta skott och det ledde till att © F ö rfattarna och S tudentlitteratur
978-91-44-09445-8_01_book.indd 35
35
2013-10-09 12.31
Del I Bakgrund
färjan tog in vatten i hela sin längd. Ett annat problem var att färjan måste trimmas så att fören låg djupt innan man kunde ta in fordon på bildäck. Meningen var att trimtankarna skulle återställas innan färjan lade ut, men detta hade inte gjorts. Man hade också en felaktig uppfattning om att det inte spelade någon roll att bogluckan var öppen, eftersom ett systerfartyg till olycksfärjan fyra år tidigare hade seglat ut ur hamnen med bogluckan öppen. Orsaken var då den samma – att den assisterande båtsmannen hade somnat i sin hytt. Efter utredningen åtalades i oktober 1987 rederiet och sju personer för vållande till annans död, men åtalet förföll efter att domaren instruerat juryn att frikänna företaget och fem av de åtalade personerna. Olycksfärjan bärgades i april 1987. Tanken var ursprungligen att reparera och återinsätta den i trafik, men man beslöt att färjan skule säljas. Dock kunde inga köpare hittas, så fartyget fick ett nytt namn före sin sista seglats till Taiwan där det skrotades. Rederiet bytte namn efter olyckan. Systerfartygen seglade en tid efter olyckan, men såldes sedan och trafikerade inte längre europeiska vatten. Historien slutar dock inte där. De två systerfartygen fortsatte att trafikera Röda havet under namnen Pride of Al Salam 95 och Al Salam Boccaccio 98. Pride of Al Salam 95 sjönk efter en kollision 2005. Nästan 1 500 personer fanns ombord och nästan alla räddades. För Al Salam Boccaccio 98 gick det värre: färjan sjönk 2006 med ungefär 1 300 personer ombord – mer än 1 000 personer drunknade vid förlisningen. 3.2.3 Analys
Den omedelbara orsaken till olyckan var att fartyget lämnade hamnen med bogluckan öppen vilket medförde att vatten kunde strömma in på bildäck. Om det på bryggan hade funnits en indikator för att bogporten var öppen skulle man kanske ha reagerat. Olyckan kanske inte skulle ha hänt om inte fartyget hade varit trimmat så att fören låg lågt. Givet att det funnits vattentäta skott i fartygets längdriktning så skulle vattnet som strömmade in antagligen inte lika snabbt ha gjort fartyget instabilt. Man kan således dra slutsatsen att bidragande orsaker till olyckan var brister i konstruktion och instrumentering av fartyget. Man kan också fråga sig varför den assisterande båtsmannen åtminstone vid två tillfällen somnat i sin hytt så att rederiets färjor lämnade hamnen 36
978-91-44-09445-8_01_book.indd 36
© F ö rfattarna och S tudentlitteratur
2013-10-09 12.31
3 Några uppseendeväckande olyckor
med bogluckan öppen. En närmare analys av detta visade på ett mycket hårt arbetsschema – den ansvariga båtsmannen hade inte sovit på nästan 24 timmar och somnade av trötthet. Arbetsrutinerna på färjorna följde inte vad man i dag anser vara grundläggande krav på acceptabel arbetsmiljö. Instruktionen till kaptenen var att om han inte hade fått några med delanden om problem, så skulle han segla när avgångstiden var inne. En bättre instruktion skulle ha varit att kaptenen fått ett meddelande om att fartyget var klart för avgång. Kaptenen på ett av färjans systerfartyg hade till rederiet framfört önskemål om att få en indikation avseende bogportens läge. Men rederiet ville inte ta på sig kostnaden för en sådan ombyggnad. Man kan här också diskutera de båda systerfartygens öde. Uppenbart var att rederiet ville bli av med fartygen, men man kan fråga sig om det mottagande rederiet var medvetet om fartygens brister. 3.3 Texas City Den 23 mars 2005 klockan 13.20 lokal tid drabbades BP:s raffinaderi i Texas City av en förödande explosion. Explosionen och efterföljande eldsvådor dödade 15 personer och skadade 180. Olyckan var den dittills värsta industri olyckan i USA och den förorsakade skador för ungefär 1,5 miljarder dollar. Den direkta orsaken till olyckan var att ett fördelningstorn överfylldes vid uppstarten av raffinaderiets isomeringsenhet (ISOM). Följden blev att tryckreduceringsventilerna öppnades och en gejser av ytterst lättantändlig vätska sprutade upp, förgasades och exploderade. Dödsfallen uppstod när några kontorsbaracker som fanns nära enheten totalförstördes av explosionen. Händelseförloppet har i detalj beskrivits i flera rapporter och det finns även en film på nätet som beskriver förloppet1. 3.3.1 Vad händelseanalysen visade
Olyckan orsakades enligt U.S. Chemical Safety and Hazard Investigation Board (CSB 2005) av allvarliga brister på alla nivåer i BP:s organisation. Man hade under en längre tid observerat olika tecken på att allting inte var i sin ordning, men inte gjort någonting för att korrigera bristerna. Detta 1 http://archive.org/details/gov.csb.2005.explosion
© F ö rfattarna och S tudentlitteratur
978-91-44-09445-8_01_book.indd 37
37
2013-10-09 12.31
Del I Bakgrund
associerades i rapporten till att en undermålig säkerhetskultur hade til�låtits uppstå. Med detta ville man i rapporten speciellt peka på att tekniska brister och mänskliga operativa misstag inte ensamma kunde betraktas som ”grundorsaker” till olyckan – man ansåg att företaget borde ställas till svars. För att förstå bakgrunden till olyckan måste man ställa den i relation till det engelska oljebolaget BP:s historia. Efter att BP hade förlorat många av sina installationer i Iran år 1979, då shahen störtades, fanns det inte mycket kvar av det ursprungliga företaget. BP byggde upp en ny organisation och växte snabbt genom att köpa raffinaderier och oljekällor i hela världen. Raffinaderiet i Texas City hade ursprungligen tillhört det amerikanska bolaget Ameco som 1998 slogs ihop med BP till en enda organisation. Ameco hade redan före sammanslagningen dragit på sig en underhållsskuld på sitt raffinaderi i Texas City. Problemen fortsatte när BP år 1999 krävde kostnadsnedskärningar på 25 procent och sedan 2005 ytterligare nedskärningar, då också på 25 procent. Detta gjorde att investeringar i tekniska förbättringar senarelades samtidigt som man minskade kraftigt på både personal och utbildning. Den myndighet som då övervakade den kemiska industrin i USA, OSHA (Occupational Safety and Health Administration), hade under flera år genomfört inspektioner i Texas City (eftersom arbetsolyckor med dödlig utgång hade inträffat på raffinaderiet). I en av dessa inspektioner, som begränsades till tre av raffinaderiets delprocesser, hade OSHA identifierat totalt 301 avsiktliga säkerhetsöverträdelser. För detta fick BP betala 21 miljoner dollar i böter – det största bötesbeloppet som OSHA utdömt under sin 35-åriga historia. Trots ytterligare olyckor under 2005, företog OSHA inte vidare inspektioner av de andra 29 delprocesserna i raffinaderiet. I den tekniska beskrivningen av olyckan identifieras många olika brister. Man hade t.ex. inte informerat personalen som satt i kontorsbarackerna om risken i samband med uppstarten av ISOM-enheten. Barackerna var dessutom placerade i en riskzon som klassats som olämplig för kontorsändamål. Kritiska alarm och visningar i de kontrollrum som var involverade i uppstarten fungerade inte eller var svåra att tolka. Den teknologi som användes i ISOM-enheten var föråldrad och hade i flera fall utdömts av den tekniska personalen på raffinaderiet. Den person som skulle övervaka starten lämnade anläggningen utan att få en ersättare, vilket betydde att den nyanställda operatören i kontrollrummet inte hade tillräcklig kunskap för att genomföra starten. Dessutom var operatörerna trötta efter att ha arbetat 29 dagar i sträck 38
978-91-44-09445-8_01_book.indd 38
© F ö rfattarna och S tudentlitteratur
2013-10-09 12.31
3 Några uppseendeväckande olyckor
under 12-timmars skift. Utbildningsprogrammen var undermåliga efter att man hade skurit ner personalen från 28 personer till 9. Simulatorer som kunde ha använts för att utbilda operatörerna saknades. Instruktionerna för starten var inte uppdaterade och innehöll direkta felaktigheter. Starten genomfördes trots att flera instrument och alarm inte var driftklara på grund av fel. På ISOM-enheten hade man tidigare erfarenhet av åtta allvarliga utsläpp av brännbara gaser och vätskor, men man hade inte gjort någon utredning av dessa händelser. 3.3.2 Andra händelser inom BP
Man kan ju fråga sig om man bör betrakta en stor olycka som en enskild händelse eller som något som ska förstås i ett större sammanhang. I BP:s fall kan man misstänka att olyckan i Texas City var just en sådan händelse som bör sättas in ett större sammanhang. Fem år före olyckan i Texas City hade man flera problem på Grangemouth-raffinaderiet i Skottland (HSE 2003). Detta ledde till att BP fick böta en miljon pund för säkerhetsöverträdelser. I samband med händelsen uppträdde BP:s generaldirektör med meddelandet ”aldrig mera” – men det tog alltså bara fem år innan en ännu svårare olycka inträffade. Den 2 mars 2006 upptäckte man ett stort oljeutsläpp från BP:s anläggningar i Prudhoe Bay, Alaska. Orsaken visade sig vara underlåtenhet att inspektera och underhålla oljeledningarna från anläggningen. För detta fick BP böta 20 miljoner dollar. Även här hade man fått olika varningssignaler, men tydligen inte brytt sig om att göra något. Fem år efter olyckan i Texas City var det dags igen. Den 20 april 2010 exploderade oljeriggen Deepwater Horizon och 11 personer dog och 17 skadades (Deep Water 2011). Plattformen totalförstördes och sjönk på ungefär 1 500 meters djup. Detta ledde till att olja strömmade ut ur källan under totalt tre månaders tid. Världens största miljökatastrof inom oljeutvinning var ett faktum. Återigen visar händelseutredningen på underlåtenhet i säkerhetsledning på flera nivåer.
© F ö rfattarna och S tudentlitteratur
978-91-44-09445-8_01_book.indd 39
39
2013-10-09 12.31
Ledning av säkerhetskritiska organisationer En introduktion Ledning av säkerhetskritiska organisationer handlar om att leda verksamheter i syfte att förhindra olyckor. Säkerhetsledning innefattar både ett formellt och ett informellt ledningssystem. Det formella systemet behandlar exempelvis roller och ansvar för säkerheten, säkerhetspolicy, de säkerhetskrav som gäller, risk identifiering och hur erfarenheter tas om hand. Det informella ledningssystemet handlar om hur man i en organisation formar en kultur som i ord och handling stödjer säkerheten. Boken ger en inblick i både teori och praktik avseende strategier och ram verk för dessa aspekter av säkerhetsledning. Ledning av säkerhetskritiska organisationer riktar sig till läsare som söker en orientering inom säkerhetskritisk verksamhet och till studenter inom för ämnet relevanta områden eller säkerhets vetenskap.
| Ledning av säkerhetskritiska organisationer
Björn Wahlström innehade före sin pensionering en forsknings professur i systemteknik vid Statens tekniska forskningscentral (VTT) i Finland. Han var koordinator for EU-projekten ORFA och LearnSafe, som under åren 1998–2004 undersökte inverkan av ledning och organisation på kärnkraftens säkerhet. Han har efter det tillsammans med Carl arbetat som konsult inom säkerhetsledning.
Rollenhagen Wahlström
Carl Rollenhagen är adjungerad professor i risk och säkerhet vid KTH i Stockholm. Han har en bred och djup teoretisk och praktisk kunskap avseende säkerhet utifrån ett MTO-perspektiv (Människa-TeknikOrganisation) och har skrivit flera böcker och vetenskapliga artiklar om risk och säkerhet.
Ledning av säkerhetskritiska organisationer En introduktion
Art.nr 37873
www.studentlitteratur.se
978-91-44-09445-8_01_cover.indd 1
Carl Rollenhagen Björn Wahlström
2013-10-11 11.23