Luftfartstilsynet. Veileder. Gjennomføring av risikoanalyser

Transkript

1 Luftfartstilsynet Veileder Gjennomføring av risikoanalyser

2 - 2 -

3 Innhold 1 INNLEDNING Bakgrunn og formål Henvisninger Definisjoner og forkortelser Veilederens struktur og oppbygging Referanser til nasjonale og internasjonale standarder og retningslinjer RISIKOANALYSER Hvorfor gjennomføre risikoanalyser? Når kan risikoanalyser være aktuelt? Den menneskelige faktor (human factors) VEILEDNING TIL TRINNENE I EN RISIKOANALYSE Hva inkluderer en risikoanalyse? Planlegging/Igangsetting Systembeskrivelse Fareidentifikasjon Konsekvensanalyse Årsaksanalyser Risikosammenstilling Følsomhetsvurderinger Risikoevaluering mot beslutningskriterier Risikoreduserende tiltak Dokumentasjon SJEKKLISTE FOR GJENNOMFØRING AV RISIKOANALYSE

4 Dokumenthistorikk: ver Grunnlag utarbeidet av DNV og LT SWS ver Omarbeidet og rettet versjon til intern høring SWS ver utgave SWS - 4 -

5 Proaktivitet og risikoanalyser er veien videre. Luftfartstilsynet skal bidra til å hindre ulykker i sivil luftfart. Et effektivt og viktig verktøy i flysikkerhetsarbeidet er risikoanalyser. De gjør oss i stand til å tenke helhetlig og til å avdekke uønskede situasjoner og tilstander i tide til å gjøre noe med dem. De gir oss også en viss grad av fleksibilitet til å rette begrensede ressurser mot de områdene som gir størst sikkerhetsgevinst. For å forbedre et allerede sikkert system og for å møte nye utfordringer, må vi ta i bruk nye arbeidsmetoder og verktøy. Nøkkelen til en sikrere og mer effektiv luftfart ligger i proaktivitet og risikoanalyser. Internasjonalt går utviklingen i den retningen, og flere nye norske forskrifter vil i de nærmeste årene kreve en proaktiv tilnærming. En veileder vil også bidra til at vi som tilsynsmyndighet får en helhetlig policy for utarbeidelse av risikoanalyser. Det vil sikre hensiktsmessige analyser, samt likebehandling og forutsigbarhet for aktørene. Forskriftene kan inneholde krav om gjennomføring av risikoanalyser, f.eks. i forbindelse med oppstart av nye eller endrede driftsformer. Ved behov for dispensasjon eller særlige tillatelser vil en risikoanalyse kunne være en sentral del av grunnlagsmaterialet. Siden veilederen beskriver hva vi forventer av en risikoanalyse, vil bred kjennskap til denne være nyttig for alle parter. Lykke til med det viktige proaktive arbeidet! Per-Arne Skogstad Luftfartsdirektør - 5 -

6

7 Risikoanalysemal på én side! Innledende fase Planlegging, igangsetting og systembeskrivelse (kap. 3.2, 3.3) Risikoanalysen utføres av en arbeidsgruppe som har god kjennskap til det som skal analyseres og den må ha nødvendig kunnskap om risikoanalyser. Start med å beskrive bakgrunnen for og målet med analysen, og beskriv deretter analyseobjektet i nødvendig detalj. Få med avgrensninger som gjøres. Husk å legge spesiell vekt på forhold som kan ha betydning for sikkerheten. Som underlag for objektbeskrivelse kan man bruke alle tilgjengelige kilder, som AIP, AOM, osv. For å vite gyldigheten av resultatet, må forutsetninger, antagelser og forenklinger også tas med. Beskriv fremgangsmåten og metodene som ble brukt, og en vurdering deres relevans og egnethet. Spesifiser data og datakilder som er brukt og kommentér usikkerhet i resultatet som de kan gi. Igangsett alltid arbeidet så tidlig at resultatet foreligger når beslutningene skal tas. Fareidentifikasjon (kap. 3.4) Uønskede hendelser er de hendelsene man ønsker å analysere årsaken til og konsekvensene av slik at man kan forebygge dem. Ta med hvorfor de uønskede hendelsene er vurdert, hvor de opptrer og når. Analyserende fase Konsekvensanalyse (kap. 3.5) Ta utgangspunkt i de uønskede hendelsene. Beskriv mulige konsekvenskjeder som følger av disse (hva er effekten av at den uønskede hendelsen skjer). Tenk på både umiddelbare konsekvenser og konsekvenser som kommer etter en viss tid. Angi kriterier som benyttes for å avslutte kartlegging. En kvantitativ analyse skal inneholde beregning av skadeomfang og tallfesting av sannsynlighet for konsekvenser av de uønskede hendelsene. Årsaksanalyse (kap. 3.6) Ta utgangspunkt i de uønskede hendelsene. Beskriv mulige årsakskjeder som kan lede frem til hendelsene (hva gjør at de uønskede hendelsene oppstår). Ta hensyn til årsaksfjernende tiltak og forhold som kan påvirke årsakskjedene. Angi kriterier som er benyttet for å avslutte kartleggingen. En kvantitativ analyse skal inneholde tallfesting av sannsynligheten for de uønskede hendelsene. Risikosammenstilling (kap. 3.7) Basert på årsaks- og konsekvensanalysen, kan risiko angis som en opplisting av konsekvenser med tilhørende sannsynligheter. Følsomhetsvurderinger (kap. 3.8) Diskutér og tallfest om mulig usikkerheter i resultatene som følge av data, modeller og metoder. Avsluttende fase Risikoevaluering, tiltak og dokumentasjon (kap ) Risikoanalysen skal presenteres slik at den en hensiktsmessig for målgruppen og slik at den kan etterprøves. Pass på at uønskede hendelser som har størst risikobidrag blir spesielt fremhevet. Påpek eventuelt anbefalinger om risikoreduserende tiltak og behov for videre arbeid. Det bør være en kompetent person som uavhengig foretar en kvalitetssikring av analysene. Husk å spesifisere arbeidsgruppens kompetanse

8 - 8 -

9 1 INNLEDNING 1.1 Bakgrunn og formål Innen internasjonal luftfart er det en klar utvikling i retning av at luftfartsmyndigheter i økende grad etterspør risikoanalyser som dokumentasjon og beslutningsunderlag i forbindelse med godkjenning og oppfølging av aktørene. Dette baserer seg dels på krav hjemlet i nytt regelverk og dels på en internasjonal omstillingsprosess mot mer risikobaserte styringsprinsipper. Luftfartstilsynet arbeider med en slik dreining av tilsynet med norsk luftfart. På bakgrunn av dette har Luftfartstilsynet ønsket å utvikle retningslinjer for gjennomføring av risikoanalyser i norsk luftfart. Dette er gjort for å sørge for at man som tilsynsmyndighet har en helhetlig policy for utarbeidelse av risikoanalyser som sikrer hensiktsmessige analyser samt likebehandling og forutsigbarhet for aktørene. Veilederen går ikke i detalj inn på ulike metoder og teknikker for gjennomføring av risikoanalyser, men gir snarere overordnede føringer for hvordan en skal gjennomføre de enkelte trinnene i en risikoanalyse. Således er ikke veiledningen en lærebok i gjennomføring av risikoanalyser. Det forutsettes at den enkelte aktør som skal gjennomføre analyser, selv har eller skaffer til veie nødvendig kompetanse for å gjennomføre analysene. 1.2 Henvisninger Denne veilederen bygger på Norsk Standard for risikoanalyse, NS5814 Krav til risikoanalyser som ble utgitt i Formålet med standarden er å gi retningslinjer for planlegging, gjennomføring og bruk av risikoanalyser samt å danne grunnlag for spesifisering av kvalitetskrav til risikoanalyser og for vurdering av kvaliteten på utførte risikoanalyser. Standarden reflekterer primært bruk av analyser knyttet til ulykkesrisiko i forbindelse med industrivirksomhet og transport, og er således relevant for analyser knyttet til norsk luftfartsvirksomhet. Standarden definerer risikoanalyse som en systematisk fremgangsmåte for å beskrive og/eller beregne risiko. Standarden og denne veilederen er med andre ord relevant for så vel kvalitative (beskrivende) som kvantitative (beregningsbaserte) risikoanalyser. 1.3 Definisjoner og forkortelser I det etterfølgende er definert en del sentrale begreper og forkortelser slik disse er benyttet i veilederen. Definisjonene er i tråd med tilsvarende definisjoner i NS5814. Forkortelsene som er benyttet er i tråd med internasjonale standarder innen luftfart

10 Definisjoner Akseptkriterier Kriterier basert på forskrifter, standarder, erfaring og/eller teoretisk kunnskap som legges til grunn for beslutninger om akseptabel risiko. Akseptkriterier kan uttrykkes med ord eller være tallfestede. Analyseobjekt Teknisk, organisatorisk, miljømessige og menneskelige systemer/forhold som omfattes av risikoanalysen. Beslutningskriterier Kriterier som har innvirkning på beslutninger som skal tas, f.eks. akseptkriterier, økonomiske rammebetingelser, tilgjengelig tid og hva som er politisk akseptabelt. Fare En egenskap ved et system eller en aktivitet som innebærer at en uønsket hendelse kan inntreffe. Følsomhetsvurdering Systematisk fremgangsmåte for å beskrive og/eller beregne effekten av variasjoner i inngangsdata på sluttresultatet av analysen. Konsekvens Mulig følge av en uønsket hendelse. Konsekvenser kan uttrykkes med ord eller som en tallverdi for omfanget av skader på mennesker, miljø eller materielle verdier. Kvalitativ Et forhold som er beskrevet med ord. Kvantitativ Et forhold som er tallfestet. Risiko Uttrykk for den fare som uønskede hendelser representerer for mennesker, miljø eller materielle verdier. Risikoen uttrykkes ved sannsynligheten for og konsekvensen av de uønskede hendelsene. Risikoanalyse Systematisk fremgangsmåte for å beskrive og/eller beregne risiko. Risikoevaluering Sammenligning av resultater fra en risikoanalyse med akseptkriterier for risiko og andre beslutningskriterier

11 Forkortelser ATC Air Traffic Control ARP Aerospace Recommended Practise BSL Bestemmelser for Sivil Luftfart CAA Civil Aviation Authority EUROCONTROL European Organisation for the Safety of Air Navigation ESARR EUROCONTROL Safety Regulatory Requirement FMEA Feil Modi Effekt Analyse HAZOP Hazard and Operability Study JAA Joint Aviation Authorities JAR Joint Aviation Requirements ICAO International Civil Aviation Organisation NATS National Air Traffic Services SAE Society of Automotive Engeneers 1.4 Veilederens struktur og oppbygging Veilederen er bygget opp i henhold til de trinnene som inngår i en systematisk gjennomføring av en risikoanalyse og er således ment som et hjelpemiddel i denne prosessen. Veilederen gir henvisning til ulike analyseteknikker og metoder der dette er relevant men går ikke inn på detaljer knyttet til praktisk gjennomføring. Innledningsvis gis det referanser til nasjonale og internasjonale retningslinjer og standarder innen luftfart knyttet til risikoanalyser og etablering av sikkerhetsledelsessystemer i sin helhet. Deretter gir veilederen en innføring i risikoanalysens plass i moderne sikkerhetsstyringsarbeid samt eksempler på anvendelsesområder. Veilederen følger så en 10- trinns prosess (Figur 1) fra planlegging frem til endelig dokumentasjon av analysearbeid og resultater. 1.5 Referanser til nasjonale og internasjonale standarder og retningslinjer I Tabell 1 nedenfor er det oppsummert en del sentrale standarder og retningslinjer knyttet til risikoanalyse innen nasjonal og internasjonal luftfart. Dels er disse knyttet til risikobasert sikkerhetsstyring generelt sett, dels er de spesifikt rettet mot gjennomføring av risikoanalyser som sådan. Som det fremgår av oversikten eksisterer det en rekke standarder og retningslinjer for flere ulike anvendelsesområder innen teknisk og operativ sikkerhet. Det vil være opp til den enkelte virksomhet å avgjøre i hvilken grad disse dokumentene kommer til anvendelse ved gjennomføring av en analyse

12 Tabell 1 Eksempler på standarder og retningslinjer for risikoanalyse Organisasjon JAA ICAO Dokument JAR : Equipment, systems and installations AMJ : System Design and Analysis Doc 9422-AN/923: Accident Prevention Manual Doc 9689-AN/953: Manual on airspace planning methodology for the determination of separation minima Doc 9274-AN/904: Manual on the use of the Collision Risk Model (CRM) for ILS operations EUROCONTROL ESARR2: Reporting and assessment of Safety Occurrences ESARR3: Use of Safety Management Systems by ATM Service Providers ESARR4: Risk Assessment and Mitigation EATMP SAM SAF.ET1.ST MAN-01-00: Air Navigation System Safety Assessment Methodology EATMP Working Draft V. 0.3: Safety Assessment of ATM procedures SAE NATS UK CAA ARP 4761 (Aerospace Recommended Practise): Guidelines and methods for conducting the safety assessment process on civil airborne systems and equipment NATS College of ATC: ATC Training Schemes CAP 712: Safety management Systems for Commercial Air Transport Operations CAP 730: Safety Management System for Air Traffic Management - 12-

13 2 RISIKOANALYSER 2.1 Hvorfor gjennomføre risikoanalyser? Tradisjonelt har sikkerhetsstyring innen luftfartsindustrien så vel som annen industri vært basert på tekniske og operative krav, tiltak utviklet med basis i internasjonale standarder og myndighetskrav, og gjennom å arbeide med de erfaringer inntrufne hendelser har gitt. Dette betegnes ofte hendelsesbasert sikkerhetsstyring. Hendelsesbasert sikkerhetsstyring anses for å ha to vesentlige svakheter. For det første tar den ikke tilstrekkelig hensyn til endringer. Forslag til nye tekniske og operasjonelle løsninger vurderes ut fra eksisterende krav, prosedyrer og regler. Endringer innebærer nye rammebetingelser eller tekniske og operasjonelle løsninger som ikke har vært prøvet ut tidligere og som man ikke har erfaring med å bedømme opp mot eksisterende systemer for styring og kontroll. Dette kan føre til at endringene introduserer nye og ukjente farer som dagens praksis ikke tar høyde for og dermed økt ulykkesrisiko. For det andre mangler hendelsesbasert sikkerhetsstyring et helhetssyn. Kompleksiteten i moderne luftfartsindustri er så stor at det kreves en helhetlig oversikt for å kunne vurdere på hvilken måte en enkelt endring kan påvirke sikkerheten i alle deler av virksomheten. Risikobasert sikkerhetsstyring er mer forebyggende enn hendelsesbasert styring og innebærer at man gjennomfører kartlegging og vurdering av risiko (risikoanalyse) før tekniske og/eller operasjonelle endringer som nytt utstyr, nye rutiner etc. iverksettes. Denne type sikkerhetsstyring har vokst frem innenfor virksomheter der det har vært for farlig og for dyrt å gjøre forsøk i full skala uten å ha noen oppfatning av hva som kan gå galt og hvorledes man kan håndtere det. Eksempler på slike områder er kjernekraftindustri og offshore og i økende grad innen luftfart. Sentralt i risikobasert sikkerhetsstyring står med andre ord aktiv bruk av risikoanalyser som beslutningsgrunnlag ved valg av løsninger og prioritering av tiltak for ivaretakelse av flysikkerheten. 2.2 Når kan risikoanalyser være aktuelt? Ut over det teoretiske grunnlaget for å gjøre risikoanalyser er det mange gode grunner til å benytte risikoanalyser i daglig praktisk sikkerhetsarbeid. I mange tilfeller er prosessen like viktig eller til og med viktigere enn resultatet. Arbeidet med å utføre analyser gir i seg selv en bedre forståelse for risikoforholdene i virksomheten og dermed bedre kontroll. Videre utføres arbeidet gjerne i tverrfaglige grupper hvor ressurspersoner fra ulike deler av virksomheten sitter sammen og arbeider systematisk med sikkerhetsproblemstilinger. Dette gir totalt sett økt fokus på sikkerhet. 2.3 Den menneskelige faktor (human factors) Kunnskap om menneskelige feilhandlinger og om optimalisering av grensesnittet mellom mennesket og øvrige deler av et teknologisk system er samlet inn det flerfaglige området human factors. I forbindelse med gjennomføring av risikoanalyser er det avgjørende at man i tillegg til å vurdere feil og farer knyttet til svikt i tekniske systemer også vurderer det menneskelige aspektet ved sikkerhetsarbeidet. Det er et faktum at ulykker forårsaket av menneskelige feil i mange tilfeller er en vesentlig bidragsyter til totalrisikoen ved en aktivitet

14 Det er mange innfallsvinkler til vurdering av human factors i forbindelse med risikoanalyser. Hvorvidt en analyse av slike forhold skal gjøres som en separat analyse eller integrert i en større analyse avhenger av analysens formål, graden av menneskelig påvirkning på det systemet som skal analyseres, tidligere gjennomførte analyser etc. Separate risikoanalyser med fokus på human factors vil typisk følge flyten i en arbeidsprosess for å vurdere hvor i denne prosessen det er størst risiko knyttet til menneskelige feil. Integrerte analyser vil søke å sette den samme prosessen inn i en større sammenheng for å vurdere årsaker knyttet til menneskelige feil og barrierer disse. Uansett hvordan en analyse tilnærmer seg problemstillingene rundt human factors er det viktig å være klar over at ulike typer menneskelige feil peker på ulike typer tiltak. I denne veilederen er det gitt kommentarer knyttet til vurdering av menneskelige feil på relevante trinn i prosessen for gjennomføring av en risikoanalyse. Ut over dette gis det ikke detaljer om prinsipper og teknikker for gjennomføring av spesialanalyser innen human factors

15 3 VEILEDNING TIL TRINNENE I EN RISIKOANALYSE 3.1 Hva inkluderer en risikoanalyse? Figur 1 viser en prinsippskisse av de viktigste elementene som inngår i en risikoanalyse. Den viser også sterkt forenklet gangen i en analyse og hvordan elementene (aktivitetene) bygger på hverandre i en helhetlig prosess. Selve analysen består av: 1) en innledende fase der de tre første elementene (aktivitetene) i figuren inngår, 2) en analyserende fase der de fire neste elementene (aktivitetene) inngår og 3) en avsluttende fase, som inkluderer de tre siste elementene (aktivitetene) i figuren. Dels vil dette være elementer som kan gjennomføres parallelt og dels vil det være elementer som kan føre til en gjentagende (iterativ) prosess før man oppnår sluttresultatet. Dette vil variere med analysens formål hvor mye arbeid som inngår i hvert element. Sammenhenger mellom og viktig momenter innen hvert element presenteres i de etterfølgende kapitler. Når man skal gjennomføre en risikoanalyse bør man være oppmerksom på følgende: Erfaringer fra gjennomføring av risikoanalyser har vist at det er viktig å finne en riktig balanse mellom den innsats man legger i de tre fasene. Det er ikke uvanlig, særlig ifm. omfattende kvantitative analyser at den analyserende fasen får uforholdsmessig stor oppmerksomhet, noe som kan gå ut over det arbeidet som legges i den innledende og avsluttende fasen. Motsatsen er en prosess der hovedvekten av arbeidet legges i innledende og avsluttende fase og med en slankere innsats i den analyserende fasen. Ved en slik tilnærming bruker man i større grad ressurser på å definere problemstilling, innhente tilgjengelig bakgrunnsdata for etablere et helhetlig bilde av farene forbundet med problemstillingen samt å identifisere evt. tiltak. Hovedprinsippet bør være at den mengde arbeid som legges ned i den analyserende fasen faller naturlig ut fra denne innledende fasen, hvoretter man til slutt bruker tilstrekkelige ressurser på utarbeidelse av nødvendige tiltak. 1. Innledende fase Planlegging/Igangsetting Systembeskrivelse Fareidentifikasjon 2. Analyserende fase Konsekvensanalyse Årsaksanalyse Risikosammenstilling Følsomhetsvurdering 3. Avsluttende fase Risikoevaluering mot beslutningskriterier Tiltak Dokumentasjon Figur 1 Skjematisk fremstilling over trinnene i en risikoanalyse - 15-

16 3.2 Planlegging/Igangsetting 1. Innledende fase Planlegging/Igangsetting Systembeskrivelse Fareidentifikasjon 2. Analyserende fase Konsekvensanalyse Årsaksanalyse Risikosammenstilling Følsomhetsvurdering 3. Avsluttende fase Risikoevaluering mot beslutningskriterier Tiltak Dokumentasjon Ved gjennomføring av en risikoanalyse er det viktig at man bruker tilstrekkelig tid på å planlegge analysen. God planlegging vil alltid gi resultater i forhold til prosjektstyring og sluttprodukt. Planlegging / igangsettingsfasen inkluderer avklaring av: problemstilling og formål evt. relevante myndighetskrav og standarder beslutningskriterier/akseptabel risiko antagelser og nødvendig grunnlagsdata omfang og tidsperspektiv for gjennomføring sammensetning av analysegruppen Det er viktig for et godt analyseresultat at man entydig avklare problemstillingen man står overfor, dvs. hvorfor analysen skal gjennomføres og hvilke spørsmål man ønsker å finne svar på. Innebærer aktiviteten en akseptabel risiko (f.eks med hensyn til mennesker, miljø, verdier )? Hvilke tiltak bør vi iverksette for å bedre sikkerheten på en kostnadseffektiv måte? Kan endringen gjennomføres uten å redusere sikkerheten? Dette er eksempler på noen problemstillinger hvor det å gjennomføre risikoanalyser kan gi beslutningsgrunnlag for å ivareta sikkerheten. Dersom man ikke har formålet med analysen klart for seg fra starten og gjennom hele prosessen er det ikke gitt at analysen gir svar på de spørsmål man nettopp er ute etter å finne svar på. Risikoanalyser igangsettes enten på bakgrunn av virksomhetens eget behov for beslutningsstøtte eller med utgangspunkt i myndighetskrav og/eller retningslinjer fra internasjonale organer (se Tabell 1). Dersom utgangspunktet er et myndighetskrav eller det eksisterer definerte retningslinjer og standarder for gjennomføring av denne type analyser, er det viktig at man tidlig identifiserer hvilke føringer dette legger på analysearbeidet. I denne sammenheng er det også viktig at virksomheten identifiserer og/eller tar stilling til egne eller pålagte beslutningskriterier mht. akseptabelt risikonivå. Dersom estimert risiko skal måles opp mot pålagte kriterier i form av f.eks. høyeste tillatte risiko er det viktig at analysene planlegges og gjennomføres på en slik måte at de endelige resultatene kan sammenholdes med de definerte kriteriene. Tilsvarende gjelder dersom resultatene skal måles opp mot spesifiserte interne krav til sikkerhet

17 I praksis vil allikevel mange analyser gjennomføres uten klart definerte kriterier. Det kan for eksempel i forbindelse med analyse av risiko knyttet til endringer være tilstrekkelig å vurdere om risikoen øker i forhold til dagens nivå eller det kan være et generelt ønske om å forbedre sikkerheten ved gjennomføring av kostnadseffektive tiltak. I slike situasjoner vil forhåndsdefinerte kriterier for akseptabelt risikonivå ikke nødvendigvis være relevant og verdien i analysen ligger i vurdering av resultater og den risikoreduserende effekten av ulike tiltak. En nærmere diskusjon av evaluering av resultater opp mot beslutningskriterier er gjort i Kap Enhver risikoanalyse innebærer vurdering av forhold som kan variere med tid og sted. For at en analyse praktisk sett skal kunne gjennomføres vil det derfor alltid være behov for å gjøre en rekke antagelser som grunnlag for analysen. Dette kan for eksempel være: representativt trafikkbilde typiske flytyper typisk passasjerantall typiske klima/værforhold Dette er grunnleggende forutsetninger for analysearbeidet og disse må således dokumenteres fortløpende. Antagelsene vil måtte gjøres etter hvert som behovet for spesifisering og avklaring av detaljer melder seg i de ulike trinnene i analysen men det er viktig at man i en tidlig fase avklarer de mest grunnleggende forutsetningene samt beslutter hvordan antagelser skal dokumenteres underveis i analysen. Det kan være hensiktsmessig å etablere et eget antagelsesskjema som kan benyttes av analysegruppens deltagere for dokumentasjon og avklaring av antagelser med resten av gruppen. Tilgjengelighet av data og de antagelser som er gjort, vil danne grunnlag for hvilke data som skal benyttes i de ulike trinnene i gjennomføringen av en risikoanalyse. Det bør under planleggings- og igangsettingsarbeidet legges vekt på å identifisere ulike datakilder samt deres relevans og kvalitet. Når det gjelder omfang av analysearbeidet og tidsperspektivet for gjennomføring er det på lik linje med alt prosjektbasert arbeid viktig at dette avklares tidlig. Dette innebærer vurdering av behov for ressurser og tidsperspektivet for gjennomføring av analysen. I denne sammenheng er det spesielt viktig at man har et bevisst forhold til sammensetning av analysegruppen. Gruppen må som en helhet dekke nødvendig erfaring og kompetanse innenfor tekniske og operative forhold knyttet til de aktiviteter som skal analyseres inklusive god forståelse for aspekter knyttet til menneskelige feil (human factors). Videre må gruppen samlet ha nødvendig kompetanse knyttet til teknikker for gjennomføring av risikoanalyser. Ulike analyseteknikker vil være relevante for ulike trinn i prosessen. Slik kompetanse vil sikre en effektiv gjennomføring og et godt resultat. Sjekkpunkter O Er formålet med analysen klart definert? O Er relevante myndighetskrav og standarder identifisert? O Er evt. beslutningskriterier for akseptabel risiko definert? O Er et system for dokumentasjon av antagelser etablert? O Er omfang og tidsplan for gjennomføring fastlagt? O Er sammensetningen av analysegruppen tilpasset analysens formål? - 17-

18 3.3 Systembeskrivelse 1. Innledende fase Planlegging/Igangsetting Systembeskrivelse Fareidentifikasjon 2. Analyserende fase Konsekvensanalyse Årsaksanalyse Risikosammenstilling Følsomhetsvurdering 3. Avsluttende fase Risikoevaluering mot beslutningskriterier Tiltak Dokumentasjon Hensikten med dette punktet i en risikoanalyse er å beskrive de tekniske, organisatoriske, miljømessige og menneskelige systemer/forhold som omfattes av risikoanalysen. Analyseobjekt er en annen vanlig brukt betegnelse for system i denne sammenheng. Systembeskrivelse innebærer at man gjør seg kjent med det som skal analyseres. Beskrivelsen skal være tilstrekkelige detaljert til å kunne danne grunnlag for analysen og omfanget vil avhenge av hva som skal analyseres. Systembeskrivelse inkluderer ikke bare hvordan systemet fungerer teknisk, organisatorisk, etc., men også de begrensninger og/eller sikkerhetsbarrierer som ligger i systemet. Det kan være at skriftlig dokumentasjon av deler av systemet ikke finnes men at slik kunnskap kun befinner seg i hodet på de ansatte i organisasjonen. Dersom dette er tilfelle er det viktig at slik informasjon dokumenteres skriftlig slik at det ikke hersker tvil om hva som ligger til grunn for den gjennomførte analysen. Denne beskrivelsen vil også kunne få en del hjelp fra foregående element planlegging/ igangsetting, spesielt fra avgrensninger/begrensninger. Jo mer presist man beskriver systemet til å begynne med, jo mer letter det den videre gjennomføringen av analysen. Sjekkpunkter O Er alle relevante tekniske forhold dokumentert? O Er alle relevante organisatoriske forhold dokumentert? O Er alle relevante miljømessig forhold dokumentert? O Er alle relevante menneskelige forhold dokumentert? - 18-

19 3.4 Fareidentifikasjon 1. Innledende fase Planlegging/Igangsetting Systembeskrivelse Fareidentifikasjon 2. Analyserende fase Konsekvensanalyse Årsaksanalyse Risikosammenstilling Følsomhetsvurdering 3. Avsluttende fase Risikoevaluering mot beslutningskriterier Tiltak Dokumentasjon Fareidentifikasjon betyr å spørre seg hva som kan gå galt i det systemet vi analyserer. Farer defineres her som egenskaper ved systemet som innebærer at en uønsket hendelse kan inntreffe og utvikle seg til en ulykke. Dette kan også være en kjede av hendelser eller kombinasjon av omstendigheter som fører frem til en ulykkessituasjon. Fareidentifikasjon er et meget viktig trinn i en risikoanalyse. Det er her man etablerer en oversikt over hvilke farer som er mulig i forhold til det systemet man analyserer. Det som ikke her er blitt identifisert kan verken bli risikovurdert eller risikoredusert. Det finnes flere metoder for å identifisere farer. Eksempler er: Idé-dugnad Man samler en arbeidsgruppe med detaljert kunnskap om systemet som skal analyseres, og går igjennom systemet på en systematisk måte for å avdekke hva som kan gå galt. Gruppen kan benytte metoder som FMEA og HAZOP nevnt under som hjelpemiddel i denne gjennomgangen. Idé-dugnad er en god tilnærming til fareidentifikasjon fordi man gjennom dette involverer flere i analysen og på den måten skaper forankring av- og tiltro til analyseresultatene. Databaser over uønskede hendelser Dette kan være interne databaser, bransjedatabaser eller databaser hos/fra leverandører. Databaser gir oversikt over tidligere erfaringer og er viktig og riktig verktøy for å sette i gang fareidentifiseringsprosessen. Ulempen med databaser er at farer som ikke har inntruffet tidligere kan bli uteglemt fra analysen. Befaringer - Dersom analysen gjelder et allerede eksisterende system/ forhold er det ofte nyttig med en befaring. Det er viktig at man ved befaringen benytter en systematisk tilnærming f.eks. gjennom bruk av enkle sjekklister slik at flest mulig relevante faresituasjoner identifiseres. Sjekklister Dersom man har gjennomført tilsvarende risikoanalyser tidligere kan det vær nyttig å utarbeide sjekklister basert på disse. Man skal her være oppmerksom på at komplekse/sammensatte farer kan være vanskelig å identifisere ut fra slike sjekklister. Slike lister bør derfor alltid inneholde et punkt vedr. om er det noe nytt/spesielt ved det aktuelle systemet som ikke var relevant eller ikke ble betraktet tidligere. FMEA (FeilModi - Effekt Analyse) Dette er en metode hvor et teknisk system gjennomgåes komponent for komponent for å identifisere mulige feilmekanismer (Feilmodi) og effekten av disse på det tekniske systemet. Metoden gir en strukturert og logisk gjennomgang av systemet men har den svakheten av man kun har fokus på enkeltfeil og ikke mulige kombinasjoner av - 19-

20 feil som kan ha kritikk innvirkning på et system. Ref. /2/, Risikoanalyse Veiledning til NS5814 gir en innføring i FMEA. HAZOP (HAZard and OPerability study)- Hensikten med en HAZOP er å identifisere mulige sikkerhetsmessige eller operasjonelle problemer (farer) som kan oppstå under drift av et system. Analysen gjennomføres som en strukturert idé-dugnad hvor en HAZOP-leder styrer gruppen via forhåndsdefinerte ledeord og sjekklister. Ref. /2/ gir en innføring i HAZOP metodikk. Listen over er ikke komplett, men er ment å gi eksempler på hvordan man kan identifisere farer ved det systemet som skal analyseres. Det er viktig at fareidentifiseringsarbeidet har fokus på så vel tekniske som organisatoriske og menneskelige feil. Fareidentifisering inkluderer ofte en grovvurdering av de identifiserte faresituasjonene for utvelgelse av farer som skal inkluderes i den videre analyse. Alle farer som ikke analyseres videre må dokumenteres med begrunnelse for hvorfor de er utelatt. Sjekkpunkter O Har analysegruppen deltatt i fareidentifiseringsarbeidet? O Er databaser over uønskede hendelser benyttet? O Har det blitt gjennomført befaring? O Er det gitt begrunnelse for utelukkelse av de farer som ikke inngår i den videre analysen? - 20-