9789144094458

Page 1

Ledning av säkerhetskritiska organisationer En introduktion Ledning av säkerhetskritiska organisationer handlar om att leda verksamheter i syfte att förhindra olyckor. Säkerhetsledning innefattar både ett formellt och ett informellt ledningssystem. Det formella systemet behandlar exempelvis roller och ansvar för säkerheten, säkerhetspolicy, de säkerhetskrav som gäller, risk­ identifiering och hur erfarenheter tas om hand. Det informella ledningssystemet handlar om hur man i en organisation formar en kultur som i ord och handling stödjer säkerheten. Boken ger en inblick i både teori och praktik avseende strategier och ram­ verk för dessa aspekter av säkerhetsledning. Ledning av säkerhetskritiska organisationer riktar sig till läsare som söker en orientering inom säkerhetskritisk verksamhet och till studenter inom för ämnet relevanta områden eller säkerhets­ vetenskap.

|  Ledning av säkerhetskritiska organisationer

Björn Wahlström innehade före sin pensionering en forsknings­ professur i systemteknik vid Statens tekniska forskningscentral (VTT) i Finland. Han var koordinator for EU-projekten ORFA och LearnSafe, som under åren 1998–2004 undersökte inverkan av ledning och ­organisation på kärnkraftens säkerhet. Han har efter det tillsammans med Carl arbetat som konsult inom säkerhetsledning.

Rollenhagen Wahlström

Carl Rollenhagen är adjungerad professor i risk och säkerhet vid KTH i Stockholm. Han har en bred och djup teoretisk och praktisk kunskap avseende säkerhet utifrån ett MTO-perspektiv (Människa-TeknikOrganisation) och har skrivit flera böcker och vetenskapliga artiklar om risk och säkerhet.

Ledning av säkerhetskritiska organisationer En introduktion

Art.nr 37873

www.studentlitteratur.se

978-91-44-09445-8_01_cover.indd 1

Carl Rollenhagen Björn Wahlström

2013-10-11 11.23


Kopieringsförbud Detta verk är skyddat av upphovsrättslagen. Kopiering, utöver lärares begränsade rätt att kopiera för undervisningsbruk enligt Bonus Presskopias skolkopieringsavtal, är förbjuden. För information om avtalet hänvisas till utbildningsanordnarens huvudman eller Bonus Presskopia. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman eller rättsinnehavare. Denna trycksak är miljöanpassad, både när det gäller papper och tryckprocess.

Art.nr 37873 ISBN 978-91-44-09445-8 Upplaga 1:1 © Författarna och Studentlitteratur 2013 www.studentlitteratur.se Studentlitteratur AB, Lund Omslagslayout: Jens Martin/Signalera Omslagsbild: Vince Reichardt/Johnér Printed by Exakta AB, Sweden 2013

978-91-44-09445-8_01_book.indd 2

2013-10-09 12.31


Innehåll

Förord  7 K apitel 1

Inledning  9

1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8

Säkerhet, ledning och säkerhetsledning  9 Systemtänkande 12 Fyra delsystem  13 Två viktiga komponenter i ett styrsystem  15 Säkerhetskritiska organisationer  17 Beslutsfattande och säkerhetsledning  18 Om modeller  20 Bokens upplägg  21

Del I

Bakgrund

K apitel 2

Säkerhet, hot och risker  25

2.1 2.2 2.3 2.4

Hot och konsekvenser  26 Osäkerhet 26 Sannolikhet och risk  27 Säkerhetens dilemman  29

K apitel 3

Några uppseendeväckande olyckor  31

3.1 3.2 3.3 3.4

Vad man ofta finner vid analysen av stora olyckor  33 Herald of Free Enterprise  34 Texas City  37 Columbia 41

©  F ö rfattarna och S tudentlitteratur

978-91-44-09445-8_01_book.indd 3

3

2013-10-09 12.31


Innehåll K apitel 4

Teorier om varför olyckor inträffar  45

4.1 4.2 4.3 4.4

Olyckor som en följd av bristande kontroll  46 Klassiska olycksmodeller  51 Resilience engineering  60 Olycksmodellers begränsningar  65

K apitel 5

Beslut om risk och säkerhet  69

5.1 5.2 5.3 5.4

Beslutsteori 70 Riskanalys 77 Beslutsfattande i organisationer  82 Att agera utifrån en försiktighetsprincip  83

K apitel 6

Organisation och ledning  85

6.1 6.2 6.3 6.4 6.5

Klassisk organisationsteori  86 Ledarskapsteori – en översikt  92 Organisatorisk struktur  100 Modern syn på organisationer  103 Lärande organisationer  106

K apitel 7

Kultur, organisationskultur och säkerhetskultur  113

7.1 7.2 7.3

Nationella kulturer  113 Social samverkan  119 Säkerhetskultur och säkerhetsklimat: kunskap, etik och institutioner 123

Del II MTOI-perspektivet och kontrollmetaforen K apitel 8

De fyra systemen  139

8.1 8.2 8.3 8.4 8.5

Modeller 139 Människan 145 Teknik 151 Organisation 153 Information 156

4

978-91-44-09445-8_01_book.indd 4

©  F ö rfattarna och S tudentlitteratur

2013-10-09 12.31


Innehåll K apitel 9

Kontrollproblemet  163

9.1 9.2 9.3 9.4 9.5 9.6

Kontroll – några viktiga begrepp  163 Villkor för en fungerande styrning  167 Några enkla kontrollstrukturer  170 Att styra säkerhet  173 Att kontrollera och styra organisationer  178 Komplexitetens grundproblem  183

K apitel 10

Säkerhet i ett livstidsperspektiv  185

10.1 10.2 10.3 10.4 10.5

Säkerhetsmål 186 Säkerhet i konstruktion  187 Säkerhet i drift  189 Säkerhet i underhåll  189 En sista reflektion  190

Del III Säkerhetsledning och säkerhetsteknik K apitel 11

System för säkerhetsledning  193

11.1 11.2 11.3

Ledningssystemets struktur  194 Några dimensioner i säkerhetsledningen  200 Kompetens 205

K apitel 12

Säkerhetsteknik  209

12.1 12.2 12.3

Säkerhetsteknikens grunder  209 Klassificeringssystem 214 Att konstruera för säkerhet  216

K apitel 13

Aktiviteter som är särskilt viktiga för säkerheten  225

13.1 13.2 13.3 13.4 13.5

Säkerhetsanalys 226 Erfarenhetsåterföring 232 Ändringsarbetet 243 Andra aktiviteter som kan påverka säkerheten  249 Säkerhetskultur i praktiken  253

©  F ö rfattarna och S tudentlitteratur

978-91-44-09445-8_01_book.indd 5

5

2013-10-09 12.31


Innehåll K apitel 14

Myndighetstillsyn  259

14.1 14.2 14.3

Kravbild 259 Daglig myndighetstillsyn  264 Internationellt samarbete  267

K apitel 15

Ständig förbättring  269

15.1 15.2 15.3 15.4

Kontinuerlig utvärdering  269 Egna erfarenheter och andras  273 Kontinuerlig uppföljning  276 Säkerhetsledningens begränsningar  277

Del IV Sammanfattning och avslutande diskussion K apitel 16

Sammanfattning  285

16.1 16.2 16.3 16.4 16.5

Kvarstående hot mot säkerheten  288 Att hantera systemiska risker  289 Balanser i säkerhetsarbetet  290 Några trender i säkerhetsarbetet  291 Att hålla reda på  293

K apitel 17

Till slut  295

Appendix: Riktlinjer för ledningssystem och säkerhetsledning  297 Referenser  311 Person- och sakregister  317

6

978-91-44-09445-8_01_book.indd 6

©  F ö rfattarna och S tudentlitteratur

2013-10-09 12.31


Förord

Välkommen till denna bok om säkerhetsledning! Vi som författare har under många år verkat i ett institut för säkerhetsledning riktat till ledande personal inom kärnkraft och vattenkraft. Trots att det finns många böcker om säkerhet, så har vi saknat en bred introduktion på svenska till det vi kallar ledning av säkerhetskritisk verksamhet – mycket av litteraturen inom området är antingen akademisk och relativt abstrakt eller specifik för olika branscher. Vi har därför sökt en kompromiss mellan akademiskt färgad litteratur och mer handfasta konkreta råd för hur man kan styra en säkerhetskritisk verksamhet. Kompromisser av detta slag innebär ibland att ingen blir riktigt nöjd – akademikern vill kanske ha mer abstraktion och fler referenser och den som verkligen leder en säkerhetskritisk verksamhet vill ha fler konkreta tips. Vi tar risken och beskriver här en medelväg mellan teori och praktik. Framställningen är tänkt som en introduktion till området säkerhets­ledning och riktar sig främst till två grupper, dels de läsare som vill orientera sig om området och som ännu har begränsad erfarenhet av att faktiskt leda säkerhetskritisk verksamhet. Framställningen är också relevant för ­studenter som tänker sig en framtid som forskare eller konsulter eller på annat sätt avser att verka inom säkerhetskritiska områden. Vi riktar oss också till studenter inom säkerhetsvetenskapen som vill skaffa sig en orientering om säkerhetsledning. Texten kompletterar den managementlitteratur som ofta har ett mycket begränsat innehåll avseende risk och säkerhet (annat än ekonomisk risk). Eftersom texten är en introduktion till området tar vi upp vissa aspekter som kan synas självklara och triviala för den som redan är verksam inom området. Men samtidigt tror vi att också läsare med erfarenhet inom säkerhetskritiska områden kan ha nytta av vissa delar av texten. Vi verkar, som ©  F ö rfattarna och S tudentlitteratur

978-91-44-09445-8_01_book.indd 7

7

2013-10-09 12.31


Förord

sagt, i huvudsak inom elproduktion (kärnkraft och vattenkraft) och detta innebär att mycket av texten har en slagsida mot dessa branscher. Å andra sidan är mycket av det som ligger i begreppet säkerhetsledning av intresse för alla säkerhetskritiska verksamheter vilket gör att texten är relevant för alla som har intresse för säkerhet. Flera personer har medverkat genom att läsa och kommentera texten. Vi vill rikta ett särskilt tack till Helen Alm, Jan Blomgren, Sven Ove ­Hansson, Jan-Erik Holmberg, Heikki Raumolin och Erik Walldorf, som har gjort besväret att komma med konkreta förslag till förbättringar i en tidigare version av vår bok. Stockholm, 7 augusti 2013 Carl Rollenhagen och Björn Wahlström

8

978-91-44-09445-8_01_book.indd 8

©  F ö rfattarna och S tudentlitteratur

2013-10-09 12.31


Kapitel 3

Några uppseendeväckande olyckor

Vi ska nedan fördjupa oss i några utvalda olyckor. I litteraturen om risk och säkerhet finns beskrivningar och analyser av många uppseendeväckande olyckor. Vi har i detta avsnitt valt ut några och sedan fokuserar vi på tre specifika fall – motivet för valet av dessa tre olyckor är främst att de när de inträffade fick en stor mediauppmärksamhet. Vissa specifika olyckor har ofta lyfts fram i litteraturen om risk och säkerhet. Syftet med detta brukar vara att visa på att storolyckor har gemensamma rötter samt att olyckor har flera samverkande orsaker. De flesta olyckor är resultatet av en kombination av olika förhållanden som tillsammans skapat förutsättningar för att olyckan skulle kunna inträffa. Stora olyckor har ibland haft en mycket genomgripande inverkan på hur en bransch ser på risk och säkerhet. Ett exempel är kärnkraften där både olyckan i USA, 1979 (Harrisburg) och den i Ukraina 1986 (Tjernobyl) skakade om hela branschen. Olyckan vid kärnkraftsanläggningen Fukushima Daiichi i Japan 2011 kommer sannolikt att innebära (och har redan inneburit) vidgade perspektiv när det gäller hantering av kärnkraftsäkerhet.

©  F ö rfattarna och S tudentlitteratur

978-91-44-09445-8_01_book.indd 31

31

2013-10-09 12.31


Del I  Bakgrund Tabell 3.1  En lista på några stora olyckor, dess konsekvenser och orsaker.

Händelse, bransch Händelse och konsekvens

Orsaker (icke uttömmande lista)

1979, Three Mile Island, Harrisburg Kärnkraft i USA

Kärnkraft. Inga döda och begränsade utsläpp – men händelsen fick stor politisk uppmärksamhet.

Brister i bl.a. underhåll, erfarenhetsåter­ föring, kontrollrumsutformning, träning av operatörer och instruktioner.

1984, Bhopal Kemisk fabrik i Indien

Utsläpp av isocyanat, 2 000 döda och 20 000 skadade.

Bristande överordnad ledning med underskattning av risker. Brister i underhåll och beredskap att hantera olyckor.

1986, Challenger Rymdfärja exploderade vid start. USAs rymdprogram Besättningen (7 personer) dog omedelbart.

Produktionspress. Risker tonades ner trots varningar. Brister i säkerhetskulturen.

1986, Tjernobyl Kärnkraft i Sovjet­ unionen

Kärnkraft. 28 dödsfall inom en månad. Betydande radioaktiva utsläpp. Förhöjd cancerrisk i utsatta områden (ca 6 000 fall av sköldkörtelcancer hos barn – uppfattning om hur olyckan påverkat andra cancerformer diskuteras fortfarande).

Överträdelser. Mänskliga misstag, otillräcklig analys av riskerna med det experiment som ledde till olyckan. Teknisk konstruktion av reaktorn som saknade inneslutning och med grafit som kunde brinna. Bristande säkerhetskultur där det politiska styret medverkade negativt.

1987, Herald of Free Färjan kapsejsar. 188 döda. Enterprise Färjtrafik i Engelska kanalen

Ansvarsproblem, brister i signalering av bogport, brister i teknisk design, bristande ledning, produktionspress, kommunika­ tionsproblem, överträdelser accepterades.

Gasläcka och explosion vid oljeplattform. 167 döda.

Brister i kommunikation mellan skift, brister i underhåll, brister i grundläggande teknisk design, brister i accident management, tidigare upptäckta brister inte åtgärdade.

1988, Piper Alpha Oljeutvinning i Nordsjön

2003, Columbia Rymdfärja, farkosten slets sönder USAs rymdprogram vid återinträdet till atmosfären. Besättningen (7 personer) dog omedelbart.

Brister i lärdomar från Challenger. Nedprioritering av säkerhetsorganisa­ tionen. Orealistiska mål i förhållande till resurserna. Kulturfaktorer.

2005, Texas City Oljeraffinaderi

Explosion och brand vid uppstarten av en delprocess, 15 döda, 180 skadade, stora skador på anläggningen.

Nedskärningar på grund av missriktade åtgärder för att spara kostnader, dålig processutformning, dålig kontrollrumsutformning, brister i utbildning.

2012, Costa Concordia Lyxkryssare i Medelhavet

Fartyget går för nära stranden, grundstöter och kapsejsar. 32 passagerare omkommer.

Sjöförklaringen är inte klar, men kaptenen antas ha haft en del i olyckan. Oklara rutiner på bryggan. Rederiet antas ha fördröjt information om det inträffade och därmed ha försvårat räddningsarbetet.

32

978-91-44-09445-8_01_book.indd 32

©  F ö rfattarna och S tudentlitteratur

2013-10-09 12.31


3  Några uppseendeväckande olyckor

3.1  Vad man ofta finner vid analysen av stora olyckor Vissa faktorer tenderar att återkomma när analyser gjorts av orsaker och förhållanden bakom stora olyckor. Några av dessa är: • Otillräcklig säkerhetsledning

• Produktionspress och konflikter mellan ekonomi och säkerhet • Bristande förmåga att lära av tidigare händelser

• Normalisering av avvikelser – risker som upptäcks tidigare tonas

successivt ner om ingenting nytt händer

• Successivt minskade säkerhetsmarginaler när allt går bra • Kommunikationsproblem • Kompetensproblem • Brister i underhåll

• Brister i ändringsverksamhet (identifierade svagheter har inte

korrigerats)

• Brister i teknisk design och konstruktion.

Listan ovan skulle kunna göras mycket längre. Men klart är att stora olyckor nästan alltid har inslag av åtminstone några av ovanstående faktorer. Med utgångspunkt i vad vi vet om tidigare olyckor kan man därför få viss vägledning beträffande vad man bör vara särskilt uppmärksam på. För det första måste man se till att utveckla ett övergripande system för sin säkerhetsledning som innehåller bl.a. följande komponenter: • Klar definition av ansvar och befogenheter samt rutiner som ser till

att detta ansvar är korrekt uppfattat och infört i verksamheten • Normer, principer, standarder etc. som beskriver vilka tillstånd som är ”godkända/acceptabla” och vilka tillstånd som icke acceptabla • Ett system som gör att man hela tiden kan lära av egna och andras erfarenheter. Att lära innebär inte bara att identifiera utan också att handla • Ett system för att identifiera olika typer av risker och en process för att fatta beslut och genomföra åtgärder som en konsekvens av vad man finner i analyserna • Indikatorer som kan uppfatta om säkerhetsmarginalerna hålls

©  F ö rfattarna och S tudentlitteratur

978-91-44-09445-8_01_book.indd 33

33

2013-10-09 12.31


Del I  Bakgrund

• Att tidigare identifierade risker leder till beslut om åtgärder

• Ett system för att reglera och följa upp åtgärder och identifiera

eventuella negativa konsekvenser av vidtagna åtgärder (gäller både tekniska och organisatoriska ändringar) • Utvecklat underhåll. Utöver ovanstående finns många faktorer som kan kopplas till begreppet ”kultur” i en organisation. Detta är ett mer svårfångat område än mycket annat inom säkerhetsvetenskapen och dess praktik. Vi kommer därför att senare diskutera kulturbegreppet och vad man kan göra för att skapa en organisationskultur som stödjer säkerheten. 3.2  Herald of Free Enterprise MS Herald of Free Enterprise var en så kallad RORO bil- och passagerarfärja som trafikerade rutten mellan Dover och Calais i engelska kanalen. Färjan kapsejsade kvällen den 6 mars 1987 i den belgiska hamnen Zeebrugge snart efter att fartyget lagt ut från kajen. I olyckan omkom 193 passagerare och besättningsmän, vilket gjorde olyckan till den värsta som inträffat på ett brittiskt fartyg sedan Titanic sjönk år 1912 (UK DoT 1987). 3.2.1  Händelsen

Färjan lämnade sin kajplats i den inre hamnen av Zeebrugge klockan 18:05 (GMT) med 459 passagerare och en besättning på 80 personer. På färjan fanns 81 bilar, 3 bussar och 47 långtradare. Färjan lämnade hamnens yttre märke klockan 18:24 och kapsejsade ungefär 4 minuter senare. När färjan kom upp i en hastighet av 18,9 knop, 90 sekunder efter att fartyget lämnat hamnen, började stora mängder vatten strömma in på bildäck. Det ledde till att stabiliteten på fartyget stördes allvarligt, vilket i sin tur ledde till att det fick en slagsida på 30 grader. Färjan rätade upp sig något innan slagsidan igen ökade och färjan kapsejsade. Hela händelseförloppet tog ungefär en och en halv minut. Vatten trängde in och påverkade fartygets elektriska system – både huvud- och nödsystem förstördes. Fartyget slutade sin färd liggande på sidan i grunt vatten en kilometer från stranden. En tillfällig styrbordsgir gjorde att färjan kapsejsade på en 34

978-91-44-09445-8_01_book.indd 34

©  F ö rfattarna och S tudentlitteratur

2013-10-09 12.31


3  Några uppseendeväckande olyckor

sandbank, vilket hindrade färjan från att sjunka på djupare vatten. Om detta hade inträffat, så skulle antalet dödsfall ha varit betydligt högre. Besättningen på ett mudderverk nära intill märkte att färjans ljus försvann och larmade hamnmyndigheterna. Ett alarm gick ut och en räddningshelikopter var på plats efter en halvtimme. Något senare kom fartyg från den belgiska marinen och började räddningsarbetet. Många av passagerarna ombord hade utnyttjat ett specialerbjudande om en billig resa från England till kontinenten. De flesta av offren blev instängda i fartyget eller avled av hypotermi, eftersom vattnet var endast tre grader varmt. Räddningsarbetet, som gjordes av den belgiska marinen, hjälpte till att begränsa antalet offer, men stigande tidvatten gjorde att räddningsarbetet måste avbrytas för att återupptas dagen därpå. 3.2.2  Efterspel

En offentlig utredning startades omedelbart efter olyckan. Den uppenbara orsaken till olyckan var att fartygets boglucka inte var stängd när fartyget lade ut. Utredningen identifierade tre personer vilka ansågs skyldiga till det inträffade. För det första hade den assisterande båtsmannen, som skulle stänga bogluckan, inte gjort vad han skulle. För det andra hade förste styrman inte verifierat att bogluckan på fartyget var stängd och för det tredje hade kaptenen startat utan att vara säker på att bogluckan var stängd. Den felande båtsmannen ansågs vara mest skyldig till det inträffade: domstolen ansåg att man inte kunde överse med ett sådant ansvarslöst beteende. Lyckligtvis ledde inte denna första analys till att utredningen avslutades. Man frågade sig hur det kunde komma sig att den assisterande båtsmannen sov i sin hytt när han borde ha varit på sin post. En närmare utredning av den arbetspraxis som rederiet använde på sina fartyg visade på problem. Kommunikation mellan olika funktioner på fartygen och i rederiet fungerade dåligt och likaså relationen mellan sjögående och landbaserad personal. Man tyckte sig se en kultur som kännetecknades av slarv och försumlighet på alla nivåer i organisationen. Fartygspersonalen hade t.ex. bett om att på kommandobryggan få en indikator om att bogluckan var stängd, men utan resultat. Det visade sig också att färjans konstruktion var bristfällig. Jämfört med andra liknande fartyg fanns inte vattentäta skott och det ledde till att ©  F ö rfattarna och S tudentlitteratur

978-91-44-09445-8_01_book.indd 35

35

2013-10-09 12.31


Del I  Bakgrund

färjan tog in vatten i hela sin längd. Ett annat problem var att färjan måste trimmas så att fören låg djupt innan man kunde ta in fordon på bildäck. Meningen var att trimtankarna skulle återställas innan färjan lade ut, men detta hade inte gjorts. Man hade också en felaktig uppfattning om att det inte spelade någon roll att bogluckan var öppen, eftersom ett systerfartyg till olycksfärjan fyra år tidigare hade seglat ut ur hamnen med bogluckan öppen. Orsaken var då den samma – att den assisterande båtsmannen hade somnat i sin hytt. Efter utredningen åtalades i oktober 1987 rederiet och sju personer för vållande till annans död, men åtalet förföll efter att domaren instruerat juryn att frikänna företaget och fem av de åtalade personerna. Olycksfärjan bärgades i april 1987. Tanken var ursprungligen att reparera och återinsätta den i trafik, men man beslöt att färjan skule säljas. Dock kunde inga köpare hittas, så fartyget fick ett nytt namn före sin sista seglats till Taiwan där det skrotades. Rederiet bytte namn efter olyckan. Systerfartygen seglade en tid efter olyckan, men såldes sedan och trafikerade inte längre europeiska vatten. Historien slutar dock inte där. De två systerfartygen fortsatte att trafikera Röda havet under namnen Pride of Al Salam 95 och Al Salam Boccaccio 98. Pride of Al Salam 95 sjönk efter en kollision 2005. Nästan 1 500 personer fanns ombord och nästan alla räddades. För Al Salam Boccaccio 98 gick det värre: färjan sjönk 2006 med ungefär 1 300 personer ombord – mer än 1 000 personer drunknade vid förlisningen. 3.2.3  Analys

Den omedelbara orsaken till olyckan var att fartyget lämnade hamnen med bogluckan öppen vilket medförde att vatten kunde strömma in på bildäck. Om det på bryggan hade funnits en indikator för att bogporten var öppen skulle man kanske ha reagerat. Olyckan kanske inte skulle ha hänt om inte fartyget hade varit trimmat så att fören låg lågt. Givet att det funnits vatten­täta skott i fartygets längdriktning så skulle vattnet som strömmade in antagligen inte lika snabbt ha gjort fartyget instabilt. Man kan således dra slutsatsen att bidragande orsaker till olyckan var brister i konstruktion och instrumentering av fartyget. Man kan också fråga sig varför den assisterande båtsmannen åtminstone vid två tillfällen somnat i sin hytt så att rederiets färjor lämnade hamnen 36

978-91-44-09445-8_01_book.indd 36

©  F ö rfattarna och S tudentlitteratur

2013-10-09 12.31


3  Några uppseendeväckande olyckor

med bogluckan öppen. En närmare analys av detta visade på ett mycket hårt arbetsschema – den ansvariga båtsmannen hade inte sovit på nästan 24 timmar och somnade av trötthet. Arbetsrutinerna på färjorna följde inte vad man i dag anser vara grundläggande krav på acceptabel arbetsmiljö. Instruktionen till kaptenen var att om han inte hade fått några med­ delanden om problem, så skulle han segla när avgångstiden var inne. En bättre instruktion skulle ha varit att kaptenen fått ett meddelande om att fartyget var klart för avgång. Kaptenen på ett av färjans systerfartyg hade till rederiet framfört önskemål om att få en indikation avseende bogportens läge. Men rederiet ville inte ta på sig kostnaden för en sådan ombyggnad. Man kan här också diskutera de båda systerfartygens öde. Uppenbart var att rederiet ville bli av med fartygen, men man kan fråga sig om det mottagande rederiet var medvetet om fartygens brister. 3.3  Texas City Den 23 mars 2005 klockan 13.20 lokal tid drabbades BP:s raffinaderi i Texas City av en förödande explosion. Explosionen och efterföljande eldsvådor dödade 15 personer och skadade 180. Olyckan var den dittills värsta industri­ olyckan i USA och den förorsakade skador för ungefär 1,5 miljarder dollar. Den direkta orsaken till olyckan var att ett fördelningstorn överfylldes vid uppstarten av raffinaderiets isomeringsenhet (ISOM). Följden blev att tryckreduceringsventilerna öppnades och en gejser av ytterst lättantändlig vätska sprutade upp, förgasades och exploderade. Dödsfallen uppstod när några kontorsbaracker som fanns nära enheten totalförstördes av explosionen. Händelseförloppet har i detalj beskrivits i flera rapporter och det finns även en film på nätet som beskriver förloppet1. 3.3.1  Vad händelseanalysen visade

Olyckan orsakades enligt U.S. Chemical Safety and Hazard Investigation Board (CSB 2005) av allvarliga brister på alla nivåer i BP:s organisation. Man hade under en längre tid observerat olika tecken på att allting inte var i sin ordning, men inte gjort någonting för att korrigera bristerna. Detta 1  http://archive.org/details/gov.csb.2005.explosion

©  F ö rfattarna och S tudentlitteratur

978-91-44-09445-8_01_book.indd 37

37

2013-10-09 12.31


Del I  Bakgrund

associerades i rapporten till att en undermålig säkerhetskultur hade til�låtits uppstå. Med detta ville man i rapporten speciellt peka på att tekniska brister och mänskliga operativa misstag inte ensamma kunde betraktas som ”grundorsaker” till olyckan – man ansåg att företaget borde ställas till svars. För att förstå bakgrunden till olyckan måste man ställa den i relation till det engelska oljebolaget BP:s historia. Efter att BP hade förlorat många av sina installationer i Iran år 1979, då shahen störtades, fanns det inte mycket kvar av det ursprungliga företaget. BP byggde upp en ny organisation och växte snabbt genom att köpa raffinaderier och oljekällor i hela världen. Raffinaderiet i Texas City hade ursprungligen tillhört det amerikanska bolaget Ameco som 1998 slogs ihop med BP till en enda organisation. Ameco hade redan före sammanslagningen dragit på sig en underhållsskuld på sitt raffinaderi i Texas City. Problemen fortsatte när BP år 1999 krävde kostnadsnedskärningar på 25 procent och sedan 2005 ytterligare nedskärningar, då också på 25 procent. Detta gjorde att investeringar i tekniska förbättringar senarelades samtidigt som man minskade kraftigt på både personal och utbildning. Den myndighet som då övervakade den kemiska industrin i USA, OSHA (Occupational Safety and Health Administration), hade under flera år genomfört inspektioner i Texas City (eftersom arbetsolyckor med dödlig utgång hade inträffat på raffinaderiet). I en av dessa inspektioner, som begränsades till tre av raffinaderiets delprocesser, hade OSHA identifierat totalt 301 avsiktliga säkerhetsöverträdelser. För detta fick BP betala 21 miljoner dollar i böter – det största bötesbeloppet som OSHA utdömt under sin 35-åriga historia. Trots ytterligare olyckor under 2005, företog OSHA inte vidare inspektioner av de andra 29 delprocesserna i raffinaderiet. I den tekniska beskrivningen av olyckan identifieras många olika brister. Man hade t.ex. inte informerat personalen som satt i kontorsbarackerna om risken i samband med uppstarten av ISOM-enheten. Barackerna var dessutom placerade i en riskzon som klassats som olämplig för kontorsändamål. Kritiska alarm och visningar i de kontrollrum som var involverade i uppstarten fungerade inte eller var svåra att tolka. Den teknologi som användes i ISOM-enheten var föråldrad och hade i flera fall utdömts av den tekniska personalen på raffinaderiet. Den person som skulle övervaka starten lämnade anläggningen utan att få en ersättare, vilket betydde att den nyanställda operatören i kontrollrummet inte hade tillräcklig kunskap för att genomföra starten. Dessutom var operatörerna trötta efter att ha arbetat 29 dagar i sträck 38

978-91-44-09445-8_01_book.indd 38

©  F ö rfattarna och S tudentlitteratur

2013-10-09 12.31


3  Några uppseendeväckande olyckor

under 12-timmars skift. Utbildningsprogrammen var undermåliga efter att man hade skurit ner personalen från 28 personer till 9. Simulatorer som kunde ha använts för att utbilda operatörerna saknades. Instruktionerna för starten var inte uppdaterade och innehöll direkta felaktigheter. ­Starten genomfördes trots att flera instrument och alarm inte var driftklara på grund av fel. På ISOM-enheten hade man tidigare erfarenhet av åtta allvarliga utsläpp av brännbara gaser och vätskor, men man hade inte gjort någon utredning av dessa händelser. 3.3.2  Andra händelser inom BP

Man kan ju fråga sig om man bör betrakta en stor olycka som en enskild händelse eller som något som ska förstås i ett större sammanhang. I BP:s fall kan man misstänka att olyckan i Texas City var just en sådan händelse som bör sättas in ett större sammanhang. Fem år före olyckan i Texas City hade man flera problem på Grangemouth-raffinaderiet i Skottland (HSE 2003). Detta ledde till att BP fick böta en miljon pund för säkerhetsöverträdelser. I samband med händelsen uppträdde BP:s generaldirektör med meddelandet ”aldrig mera” – men det tog alltså bara fem år innan en ännu svårare olycka inträffade. Den 2 mars 2006 upptäckte man ett stort oljeutsläpp från BP:s anläggningar i Prudhoe Bay, Alaska. Orsaken visade sig vara underlåtenhet att inspektera och underhålla oljeledningarna från anläggningen. För detta fick BP böta 20 miljoner dollar. Även här hade man fått olika varningssignaler, men tydligen inte brytt sig om att göra något. Fem år efter olyckan i Texas City var det dags igen. Den 20 april 2010 exploderade oljeriggen Deepwater Horizon och 11 personer dog och 17 ­skadades (Deep Water 2011). Plattformen totalförstördes och sjönk på ungefär 1 500 meters djup. Detta ledde till att olja strömmade ut ur källan under totalt tre månaders tid. Världens största miljökatastrof inom oljeutvinning var ett faktum. Återigen visar händelseutredningen på underlåtenhet i säkerhetsledning på flera nivåer.

©  F ö rfattarna och S tudentlitteratur

978-91-44-09445-8_01_book.indd 39

39

2013-10-09 12.31


Ledning av säkerhetskritiska organisationer En introduktion Ledning av säkerhetskritiska organisationer handlar om att leda verksamheter i syfte att förhindra olyckor. Säkerhetsledning innefattar både ett formellt och ett informellt ledningssystem. Det formella systemet behandlar exempelvis roller och ansvar för säkerheten, säkerhetspolicy, de säkerhetskrav som gäller, risk­ identifiering och hur erfarenheter tas om hand. Det informella ledningssystemet handlar om hur man i en organisation formar en kultur som i ord och handling stödjer säkerheten. Boken ger en inblick i både teori och praktik avseende strategier och ram­ verk för dessa aspekter av säkerhetsledning. Ledning av säkerhetskritiska organisationer riktar sig till läsare som söker en orientering inom säkerhetskritisk verksamhet och till studenter inom för ämnet relevanta områden eller säkerhets­ vetenskap.

|  Ledning av säkerhetskritiska organisationer

Björn Wahlström innehade före sin pensionering en forsknings­ professur i systemteknik vid Statens tekniska forskningscentral (VTT) i Finland. Han var koordinator for EU-projekten ORFA och LearnSafe, som under åren 1998–2004 undersökte inverkan av ledning och ­organisation på kärnkraftens säkerhet. Han har efter det tillsammans med Carl arbetat som konsult inom säkerhetsledning.

Rollenhagen Wahlström

Carl Rollenhagen är adjungerad professor i risk och säkerhet vid KTH i Stockholm. Han har en bred och djup teoretisk och praktisk kunskap avseende säkerhet utifrån ett MTO-perspektiv (Människa-TeknikOrganisation) och har skrivit flera böcker och vetenskapliga artiklar om risk och säkerhet.

Ledning av säkerhetskritiska organisationer En introduktion

Art.nr 37873

www.studentlitteratur.se

978-91-44-09445-8_01_cover.indd 1

Carl Rollenhagen Björn Wahlström

2013-10-11 11.23


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.