HMS Petroleum Endring Organisasjon - Teknologi Ti tommeltotter og null ulykker? Om feiltoleranse og barrierer Gass-lekkasje KONTROLL MED TENNKILDER Antennelse Eksplosjon Foreløpig versjon 30. januar 2004
1 Petroleumsvirksomhet innebærer store energimengder og store verdier. Produksjonssystemene er kompakte og komplekse. Mennesker arbeider og sover tett opp til farekildene. Derfor kan forstyrrelser (f eks en gasslekkasje og en gnist) raskt utvikle seg til en alvorlig ulykke. Mennesker har aldri vært ufeilbarlige, og kommer aldri til å bli det. Det samme gjelder tekniske innretninger. Feilhandlinger og svikt i tekniske komponenter kan i noen grad forebygges, men ikke elimineres. For å forebygge storulykker i petroleumsvirksomheten, må vi innrette oss slik at det store flertall av feilhandlinger og tekniske svikt ikke fører til ulykker. Dette vil vi kalle feiltoleranse. Feiltoleranse dreier seg altså om evne til å avbryte eller endre et hendelsesforløp som ellers kunne ha ført til en ulykke, slik at vi avverger ulykken eller i det minste reduserer skadevirkningene. Barrierer er et viktig middel for å skape feiltoleranse. Imidlertid hersker det usikkerhet og uenighet om hva vi egentlig mener med begrepet barriere. Klare begreper er en forutsetning for at vi forstår hverandre og unngår å snakke forbi hverandre. Gode definisjoner kan åpne for nye måter å tenke på, men ord kan også forføre oss, forvrenge budskap og skjule viktige sammenhenger. Språk er makt. Når et begrep er dårlig forstått, blir noen satt utenfor i diskusjonene. Denne introduksjonen henvender seg til personer som ikke er spesialister på barrierefunksjoner, men som ønsker å delta aktivt i diskusjoner om barrierer og å forstå de grunnleggende prinsippene. Vi vil drøfte følgende spørsmål: Hva er en barriere? Hva er en barrierefunksjon og et barriereelement? Hvordan bidrar mennesker og organisasjon til feiltoleranse? Er det konflikt mellom nullfilosofi og feiltoleranse-tenkning? Enkelte steder har vi tatt med utdrag fra forskriftverket med liten skrift. Det er ikke nødvendig å lese disse utdragene for å få med seg hovedpoengene.
2 Bidragsytere Dette dokumentet startet som en popularisering av resultater vedrørende barrierer og feiltoleranse fra prosjektet HMS petroleum: Endring organisasjon teknologi. Prosjektet er støttet av Norges forskningsråd. Underveis ga vi en orientering om dokumentet til en arbeidsgruppe under Samarbeid for sikkerhet som tar for seg barrierer. Vi fant da ut at dokumentet var egnet som et bidrag til informasjonsarbeidet til Samarbeid for sikkerhet, samtidig som Samarbeid for sikkerhet ville gi en effektiv kanal for å spre dokumentet og bidra til at det blir brukt. Følgende personer har bidratt til dokumentet: Ragnar Rosness, SINTEF (redaktør) Stein Hauge, SINTEF Ann Britt Miberg Skjerve, IFE Karina Aase, Høgskolen i Stavanger Vi takker Snorre Sklet, Jørn Vatn, Terje Aven og Knut Øien for konstruktive kommentarer underveis.
3 Innhold 1 Det gjenstridige barrierebegrepet...4 2 Barrierefunksjoner og barriereelementer...6 3 Uberørt av menneskehånd?...7 4 Mennesket som barriereelement...8 5 Forsvar i dybden: Hva skjer når vi kombinerer barrierer?...8 6 Feiltoleranse skapes ikke bare gjennom barrierer...12 7 Nullfilosofi og feiltoleranse går det i hop?...12 8 Oppsummering...13 9 Forslaget til videre lesning...14 10 Spørsmål til diskusjon:...15 11 Tilbakemeldinger...16
4 1 Det gjenstridige barrierebegrepet Barrierebegrepet et verktøy for å forbedre sikkerheten Utgangspunktet for denne diskusjonen er at barrierebegrepet er et hjelpemiddel for å forbedre sikkerheten. Barrierebegrepet setter oss i stand til å diskutere hva som skal til for å utføre en aktivitet på en forsvarlig måte, men også til å systematisere hva som gikk galt i forbindelse med en ulykke eller en nestenulykke. Barrierebegrepet brukes også i forbindelse med design og risikoanalyser. Fordi barrierebegrepet kan brukes av mange faggrupper og i mange ulike sammenhenger, setter det oss i stand til å diskutere sikkerhet på tvers av fagdisipliner og organisasjoner. Forslag til definisjon Altomfattende begrep er tomme ord. Dersom alle sikkerhetstiltak er barrierer, trenger vi ikke barrierebegrepet. Poenget med å introdusere barrierebegrepet er at det har en mer presis og avgrenset betydning enn sikkerhetstiltak. En folkelig måte å definere barrierebegrepet på er følgende: Barrierer er tiltak og funksjoner som er planlagt for å bryte et spesifisert uønsket hendelsesforløp. Vi kommer tilbake til hva som ligger i begrepet funksjon. Barrierer bryter spesifiserte, uønskede hendelsesforløp Barrierer er rettet mot et bestemt hendelsesforløp. Et eksempel på et slikt hendelsesforløp er gasslekkasje som antennes og eksploderer i prosessanlegget. En aktuell barriere i forhold til dette hendelsesforløpet er kontroll med tennkilder. Dersom en har effektiv kontroll med tennkilder, kan en unngå at en eventuell gasslekkasje blir antent, og dermed bryte hendelsesforløpet.
5 Gass-lekkasje KONTROLL MED TENNKILDER Antennelse Eksplosjon Figur 1. Barrierer bryter spesifiserte, uønskede hendelsesforløp. Noen ganger oppnår en ikke å bryte hendelsesforløpet fullstendig, men å begrense skadevirkningene. Sikkerhetstiltak som ikke er rettet mot et spesifisert hendelsesforløp er altså ikke barrierer. Rapportering av ulykkestilløp er et eksempel på et sikkerhetstiltak som normalt ikke er rettet mot et bestemt hendelsesforløp, og som derfor heller ikke er en barriere. Et annet eksempel er fadderordninger for nyansatte. Barrierer forplikter I Styringsforskriften stilles det krav til at barrierer skal følges opp systematisk. Først når en barriere blir fulgt opp på en troverdig måte, gir det mening å godskrive effekten av barrierer i beslutninger om å akseptere risiko. Her ligger det også en forpliktelse til å gjennomføre kompenserende tiltak dersom en barriere må fjernes eller deaktiveres for å utføre en jobb. Et eksempel er at vi utfører manuelle gassmålinger dersom en jobb krever at gassdeteksjonssystemet kobles ut på en del av installasjonen. I 2 i Styringsforskriften heter det: Operatøren eller den som står for driften av en innretning, skal fastsette de strategiene og prinsippene som skal legges til grunn for utforming, bruk og vedlikehold av barrierer, slik at barrierenes funksjon blir ivaretatt gjennom hele innretningens levetid.
6 Det skal være kjent hvilke barrierer som er etablert og hvilken funksjon de skal ivareta,, samt hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementer som er nødvendige for at den enkelte barrieren skal være effektiv. Det skal være kjent hvilke barrierer som er ute av funksjon eller er svekket. Den ansvarlige skal sette i verk nødvendige tiltak for å rette opp eller kompensere for manglende eller svekkede barrierer. 2 Barrierefunksjoner og barriereelementer En funksjon er en oppgave Det er ofte nyttig å tenke på en barriere som en oppgave og ikke som en ting (dvs. en fysisk gjenstand). Hvis vi tenker på kontroll med tennkilder som en oppgave, innser vi at denne oppgaven kan utføres på flere måter. Vi kan stille krav til innkapsling av elektrisk utstyr. Vi kan styre varmt arbeid gjennom et system for arbeidstillatelser. Vi kan sørge for at strømuttak blir koblet ut automatisk ved en gassalarm. Hvis vi vil understreke at vi tenker på en barriere som en oppgave, snakker vi om barrierefunksjoner. En funksjon er altså det samme som en oppgave. Én funksjon mange elementer For å vite om en barrierefunksjon er ivaretatt, må vi vite hvem eller hva som utfører eller ivaretar barrierefunksjonen. Menneskene, utstyret eller systemene som utfører eller ivaretar barrierefunksjoner kaller vi barriereelementer. Barrierefunksjonen kontroll med tennkilder kan følgelig omfatte bl.a. følgende elementer: Innkapsling av elektrisk utstyr Tekniske system for gassdeteksjon og automatisk utkobling av tennkilder ved gasslekkasjer Operatører som lukter gass og kobler ut tennkilder manuelt Kontrollromsoperatører som manuelt kan aktivere utkobling av tennkilder Prosedyre og skjema for arbeidstillatelse for varmt arbeid Menneskene som skal iverksette reglene for varmt arbeid Sveisehabitat
7 Det fremgår av 2 i Styringsforskriften at det skal stilles ytelseskrav til barriereelementene: Det skal være kjent hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementer som er nødvendige for at den enkelte barrieren skal være effektiv. Med barrieresystem mener vi MTO-løsningen som skal sørge for at den aktuelle barrierefunksjonen oppfylles, altså helheten av menneskelige, tekniske og organisatoriske elementer som skal ivareta en gitt barrierefunksjon. Ytelsespåvirkende forhold er forhold som påvirker ytelsene til barrieresystemet, men som ikke direkte påvirker hendelsesforløpet, for eksempel vedlikehold av tekniske barriereelementer. 3 Uberørt av menneskehånd? Mange av oss tenker på barrierer som fysiske ting eller tekniske innretninger som virker uavhengig av menneskers inngrep eller mangel på inngrep. I praksis er det vanskelig å finne eksempler på barrierer som er uavhengige av hva operatører og vedlikeholdspersonell foretar seg. Følgende eksempler illustrerer dette: En brannvegg svikter fordi noen har ført en ledningsbunt med brennbart isolasjonsmateriale gjennom veggen. En rømningsvei er utilgjengelig eller har utilstrekkelig kapasitet fordi noen har etterlatt en stor gjenstand slik at den sperrer for rømningsveien. En kontrollromsoperatør observerer at en gasslekkasje skyldes en stor skade på fakkelsystemet. Hun griper inn og hindrer at en automatisk nedstengning og trykkavlastning fører til at hydrokarboner blir blåst inn i det defekte fakkelsystemet. En kontrollromsoperatør observerer at nivået i en atmosfærisk lagertank for olje stiger uten at dette medfører nedstengning. Dette fordi nivåmåling i tanken er koblet ut i forbindelse med forrige vedlikehold. Han griper inn og stenger ventil på innløpet til tanken og forhindrer dermed lekkasje fra atmosfærisk vent. De to første eksemplene viser at menneskelige inngrep kan etterlate sovende feil som kan føre til at barrierefunksjonen svikter den dagen det blir behov for den. De to siste eksemplene illustrerer at menneskelige inngrep kan være nødvendige fordi det kan oppstå situasjoner som designeren av de tekniske barriereelementene ikke har tatt høyde for. I motsetning til fysiske og tekniske barriereelementer kan mennesker improvisere, og på den
8 måten bidra med den fleksibiliteten som er nødvendig for å håndtere uventede situasjoner. I tillegg kan menneskene påvirke barrierenes ytelse gjennom arbeidet med å overvåke og vedlikehold barrierene. 4 Mennesket som barriereelement Ved design av barrierer har man tradisjonelt sett på mennesket som en kilde til mulige feilhandlinger og uforutsigbarhet. Enkeltindivider er feilbarlige, og menneskets kapasitet kan begrenses som følge av tidspress, utmatting og uvante situasjoner. Mennesket fremstår nærmest som en mislykket maskin. Gjennom automatisering og detaljerte operasjonsprosedyrer har man forsøkt å minimere og kontrollere menneskets bidrag som barriereelement. Et slikt menneskesyn erstattes i dag i større og større grad av et syn der mennesket betraktes som aktivt. Mennesket har en evne til improvisasjon og fleksibilitet til å takle ukjente situasjoner, som langt overgår det teknologi og prosedyrer klarer. Dette er illustrert i de to siste eksemplene i avsnittet over. Improvisasjon krever kunnskap langt utover det å kunne følge sjekklister og prosedyrer. Vellykket improvisasjon forutsetter også at arbeidet er godt tilrettelagt, for eksempel at nødvendig informasjon er lett tilgjengelig og enkel å tolke. Det kan også være avgjørende at operatøren har noen å rådføre seg med i en kritisk situasjon. 5 Forsvar i dybden: Hva skjer når vi kombinerer barrierer? Fordi verken mennesker eller tekniske systemer er feilfrie, kan det tenkes at én enkelt barriere ikke gir tilstrekkelig sikkerhet. Vi kan da redusere risikoen ytterligere ved å etablere flere barrierer. Ved å utstyre en sykkel med to bremser, reduserer vi sannsynligheten for å skades på grunn av bremsesvikt. For å reduserer risikoen knyttet til hydrokarbonbranner og -eksplosjoner i et prosessanlegg offshore, innfører vi flere ulike barrierefunksjoner:
9 1. Hindre prosessforstyrrelser 2. Hindre hydrokarbonlekkasje 3. Kontroll med tennkilder 4. Minimere utslipp av brennbare væsker og gasser 5. Aktiv brannbekjempelse 6. Passiv beskyttelse mot eskalering av brann og eksplosjon 7. Sikre rømning og evakuering Bruk av flere barrierefunksjoner utenpå hverandre kalles ofte forsvar i dybden. Prinsippet er illustrert i Figur 2. Barrierefunksjonene er fremstilt som osteskiver som ligger utenpå hverandre. Hullene i osteskivene illustrerer at barrierefunksjoner ikke alltid er hundre prosent effektive. Vi kan tenke oss mulige faresituasjoner som stråler fra farekilden i retning av en storulykke. En storulykke vil bare inntreffe dersom det er hull i alle barrierefunksjonene, og disse hullene ligger på linje. På figuren har vi antydet en hendelse hvor det oppstår en prosessforstyrrelse, men hvor vi unngår hydrokarbonlekkasje fordi prosessanlegget er dimensjonert for å tåle noe overtrykk.
10 Sikre rømming og evakuering Ulykke Passiv beskyttelse mot eskalering Aktiv brannbekjempelse Minimere utslipp av brennbare væsker og gasser Kontroll med tennkilder Hindre hydrokarbonlekkasje Hindre prosessforstyrrelser Farekilde Figur 2. Forsvar i dybden. (Figuren er inspirert av Reason, J.: Managing the Risks of Organizational Accidents. Aldershot: Ashgate, 1997, s. 12). 1 + 1 = 1,5? Avhengighet mellom barrierer En sykkel med én brems vil være uten bremsemuligheter dersom den ene bremsewiren ryker. Har vi to bremser med hver sin bremsewire, vil vi fortsatt ha mulighet for å bremse selv om én bremsewire ryker. Dette eksemplet illustrerer at flere barrierer som hovedregel gir lavere risiko. På den annen side kan det tenkes at veien er så isete at vi mister bremseevnen selv om begge bremsene teknisk sett er i orden. Begge barrierene er satt ut av funksjon som følge av et
11 enkelt forhold (glatt føre). Det at flere barrierer blir svekket eller satt ut av funksjon av en enkelt hendelse eller forhold kaller vi avhengighet. Gevinsten ved å legge til flere barrierer avtar dersom det er sterk avhengighet mellom barrierene. En sykkel med fem bremser på hvert hjul er ikke vesentlig sikrere enn en sykkel med én brems på hvert hjul, fordi vi fortsatt ville miste bremseevnen på glatt føre. På en offshore oljeinstallasjon vil en også ha mange eksempler på slike avhengigheter. Svikt i felles hjelpesystemer slik som strømforsyning, hydraulikk- og lufttilførsel kan medføre at flere ventiler ikke lukker samtidig, at brannvannspumper ikke vil starte eller at flere vanntette dører ikke stenger ved forespørsel. Likeledes kan en kritisk programvarefeil i nødavstengningssystemet medføre at flere ulike barrierefunksjoner, slik som isolering av tennkilder, segmentering av prosessen og aktivering av brannvann, settes ut av spill samtidig. En slik feil i programvare må anses som lite sannsynlig, men kan for eksempel forekomme i forbindelse med utskifting til nye versjoner, hvor tid til uttesting av systemene normalt er begrenset. I tillegg til tekniske avhengigheter, vil en også ha muligheter for at menneskelige aktiviteter kan være en kilde til samtidige feil. For eksempel vil en dårlig eller manglende utfylt arbeidstillatelse for en vedlikeholdsjobb kunne medføre at operatøren åpner en feil ventil slik at gass slepper ut, samtidig med at nødvendige kompenserende tiltak (for eksempel en brannvakt med gassniffer) ikke er innført til tross for at gassdetektorer ble koblet ut før jobben startet. For å sikre effektivt forsvar i dybden er det altså ikke tilstrekkelig at de enkelte barrierene hver for seg er effektive og pålitelige. Vi må også sørge for at det ikke er så sterke avhengigheter mellom barrierene at mange barrierer kan bli slått ut av en enkelt feil eller hendelse. Sannsynligheten for at seks eller syv barrierer skal svikte uavhengig av hverandre på samme tidspunkt, er som regel forsvinnende liten sammenlignet med sannsynligheten for at flere barrierer skal svikte samtidig på grunn av én eller to felles årsaker eller bakenforliggende faktorer. Fordi mennesker vedlikeholder og overvåker barrierer, og kan sette disse ut av funksjon, kan organisatoriske faktorer skape betydelige avhengigheter.
12 I Styringsforskriftens 1 heter det: Der det er nødvendig med flere barrierer skal det være tilstrekkelig uavhengighet mellom barrierene. I veiledningen til denne bestemmelsen heter det: Kravet til uavhengighet innebærer at flere viktige barrierer ikke skal kunne svekkes eller settes ut av funksjon samtidig, blant annet som følge av en enkelt feil eller en enkelt hendelse. For at forsvar i dybden skal være mest mulig effektivt, er det viktig at de ulike bestanddelene i dybdeforsvaret er basert på forskjellige designprinsipper ( diversitet ). For eksempel er det vanlig at en for å beskytte mot overtrykk i en offshore prosesstank har én primær instrumentell sikring. Hvis denne svikter har en i tillegg en mekanisk beskyttelse, for eksempel en sprengskive. 6 Feiltoleranse skapes ikke bare gjennom barrierer Ut fra vår definisjon er ikke alle sikkerhetstiltak barrierer. Mange tiltak er ikke knyttet til bestemte hendelsesforløp. Et eksempel kan være fadderordninger for nyansatte. Andre tiltak blir ikke fulgt opp så systematisk som vi krever for en barriere. Disse andre tiltakene bidrar til å oppfylle virksomhetens sikkerhetsmålsetning, men det er ikke naturlig å kalle dem barrierer. Mange ulykker blir unngått ved at folk rådspør hverandre, stiller kritiske spørsmål, holder et øye med hverandre og om nødvendig korrigerer hverandre i en kritisk situasjon. Her skapes feiltoleransen gjennom samhandlingsmønstrene i et arbeidsfellesskap. En god sikkerhetskultur er blant annet karakterisert ved at folk gjør disse tingene uten at det står i noen prosedyre. Den er også karakterisert ved at arbeidsplassens utforming og tilretteleggingen av arbeidsforholdene understøtter effektiv samhandling. En god sikkerhetskultur skaper derfor feiltoleranse også i situasjoner som ingen designer eller prosedyreskriver har forutsett. 7 Nullfilosofi og feiltoleranse går det i hop? Utgangspunktet for denne diskusjonen om barrierer er at både mennesker og teknologi svikter før eller senere. Er denne tankegangen forenlig med nullfilosofi?
13 Nullfilosofi er en forpliktelse til å bygge opp feiltoleranse Nullfilosofi betyr at en organisasjon forplikter seg til å gjøre det den kan for å forebygge skader. Fordi vi vet at mennesker og teknologi kan svikte, innebærer nullfilosofien at vi må bygge opp feiltoleranse dersom feil kan føre til skader. Feiltoleranse innebærer derfor en bestrebelse på å øke organisasjonens indre motstand mot ulykker mot å gjøre organisasjonen robust. Barrierer er et viktig virkemiddel til å bygge opp feiltoleranse. Andre virkemidler kan være å sikre høyt kompetansenivå, slik at operatører klarer å håndtere uforutsette farlige situasjoner, eller å bygge opp en sikkerhetskultur hvor det er akseptert og forventet at folk korrigerer en kollegas farlige feilvurderinger og feilhandlinger. Nullfilosofi er en forpliktelse til å lære Nullfilosofi er også en forpliktelse til å lære. Når det inntreffer en ulykke eller et ulykkestilløp, er det ikke tillatt å bagatellisere hendelsen eller å konkludere med at dette var et hendelig uhell. Organisasjonen må følge opp uønskede hendelser på en systematisk måte. Den må også bygge en kultur som fremmer læring av uønskede hendelser. Nullfilosofi er ikke nulltoleranse Læring forutsetter åpenhet og tillit. Dersom feilhandlinger og feilvurderinger fører til leting etter syndebukker, vil vi holde tilbake informasjon som kan bli brukt mot oss. Nullfilosofi betyr altså ikke at det er forbudt å gjøre feilvurderinger eller feilhandlinger. Det er meningsløst å beslutte at mennesker skal slutte å gjøre feil, så lenge vi ikke er skapt feilfrie fra naturens side. Vi må også ta inn over oss at ansatte og ledere kan komme i situasjoner hvor ulike hensyn må veies mot hverandre, og hvor de ikke alltid har den informasjon som skal til for å ta den beste beslutningen. 8 Oppsummering For å forebygge storulykker i petroleumsvirksomheten må vi bygge feiltoleranse. Det vil si at vi må innrette oss slik at feilhandlinger, feilvurderinger og tekniske svikt normalt ikke fører til ulykker. Barrierer er et middel til å skape feiltoleranse.
14 Barrierer er tiltak og funksjoner som er planlagt for å bryte en spesifisert uønsket hendelsesforløp. Vi bruker begrepet barrierefunksjon for å understreke at vi ser på barrieren som en oppgave som må ivaretas for å beskytte mot uønskede konsekvenser. Med barriereelementer mener vi menneskene, utstyret eller systemene som utfører eller ivaretar barrierefunksjonen. Styringsforskriften pålegger den ansvarlige å stille ytelseskrav til barriereelementene og etterprøve om disse kravene er oppfylt. Fysiske og tekniske barriereelementer er sjelden uberørte av menneskelige inngrep. Mennesker vedlikeholder og tester barrierer, menneskelige inngrep kan etterlate sovende feil som svekker en barriere, og mennesker kan gripe inn og hindre at en barriere virker mot sin hensikt. Forsvar i dybden betyr at vi etablerer flere barrierer mot samme hendelsesforløp for å oppnå tilstrekkelig beskyttelse. Forsvar i dybden er bare effektivt dersom barrierene er tilstrekkelig uavhengige av hverandre. Med uavhengighet mener vi at ikke flere barrierer skal kunne svekkes eller settes ut av funksjon samtidig som følge en enkelt feil eller hendelse. Feiltoleranse skapes både gjennom barrierer, gjennom sikkerhetstiltak som ikke er knyttet til bestemte hendelsesforløp, og gjennom en god sikkerhetskultur. Nullfilosofi innebærer en forpliktelse til å bygge opp feiltoleranse i aktiviteter og systemer hvor feil kan føre til alvorlige konsekvenser. Nullfilosofi betyr ikke at det er forbudt å gjøre feilvurderinger eller feilhandlinger. Derimot innebærer nullfilosofi en forpliktelse til å lære av ting som går galt. Dersom organisasjonen leter etter syndebukker, vil ansatte holde tilbake informasjon om ting som går galt, slik at det ikke skjer noen læring. 9 Forslaget til videre lesning Reason, J.: Managing the Risks of Organizational Accidents. Aldershot: Ashgate, 1997. Boken handler om store ulykker med kompliserte årsaksforhold. Reason diskuterer bl.a. hvordan barrierer kan svikte, og i enkelte tilfelle forårsake ulykker. Boken gir også anvisninger på hvordan en systematisk kan forebygge disse ulykkene.
15 Weick, K.E. og Sutcliffe, K.M.: Managing the Unexpected. Assuring High Performance in an Age of Complexity. San Francisco: Jossey-Bass, 2001. Boken presenterer funn fra høypålitelige organisasjoner, dvs. organisasjoner som har svært få ulykker til tross for at de utfører særdeles farefylte aktiviteter. --- Følgende rapporter kan lastes ned fra www.risikoforsk.no (gå til Helse, miljø og sikkerhet i petroleumsnæringen ) eller fra www.hmsforsk.no: Skjerve, A.B.M., Rosness, R., Aase, K., Bye, A. (2003): Mennesket som sikkerhetsbarriere i en organisatorisk kontekst. Rapport IFE/FR/E-2003/023. Halden: Institutt for energiteknikk. Rapporten diskuterer medarbeidernes rolle som sikkerhetsbarriere på norske petroleumsinstallasjoner, i tillegg til at enkelte generelle sikkerhetsmekanismer beskrives. Rosness, R., Skjerve, A.B.M., Alteren, B., Berg, Ø., Bye, A., Hauge, S. Seim, L.Å., Sklet S., Tveiten, C.K., Aase. K. (2003): Feiltoleranse barrierer sårbarhet. SINTEFrapport STF38 A3404. Trondheim: SINTEF Teknologiledelse. Rapporten drøfter barrierer og feiltoleranse i petroleumsvirksomheten ut fra ulike organisatoriske perspektiver. Spesielt diskuteres avhengighet mellom barrierer og hvordan en organisasjon kan bidra til feiltoleranse. 10 Spørsmål til diskusjon: 1. Kjenner du til konkrete eksempler på at ulykker har blitt avverget på grunn av operatørinngrep? 2. Hvordan kan en operatør skaffe seg den kunnskapen som skal til for å kunne improvisere på en sikker og effektiv måte dersom de tekniske barrierene ikke tar effektivt hånd om en kritisk situasjon? 3. Kjenner du til hendelser på din installasjon hvor flere barrierer sviktet samtidig?
16 4. Kan du tenke deg en situasjon på ditt arbeidssted hvor flere barrierer kan svikte samtidig på grunn av én hendelse eller ett forhold? 5. Finnes det barrierefunksjoner eller barriereelementer på din installasjon som du trenger mer kunnskap om? 11 Tilbakemeldinger Har du sterke motforestillinger mot det som står i dette dokumentet? Savner du noe? Er det noe som burde vært uttrykt klarere? Vi tar gjerne mot tilbakemeldinger på innhold og form i dette dokumentet, og vil etter beste evne ta hensyn til tilbakemeldingene i den endelige utgaven. Tilbakemeldinger kan sendes: Ragnar Rosness Postadresse: SINTEF Teknologiledelse, 7465 Trondheim E-post: ragnar.rosness@sintef.no Telefon: 73 59 27 53
HMS Petroleum: Endring organisasjon teknologi er et langsiktig, kompetanseutviklende prosjekt om organisatoriske og teknologiske endringer av betydning for HMS i petroleumsvirksomheten. Prosjektet skal også utvikle vår forståelse av hvordan en organisasjon kan skape øket feiltoleranse, slik av tekniske feil og feilhandlinger ikke fører til alvorlige ulykker. Prosjektet blir støttet av Norges forskningsråd. Følgende fagmiljøer samarbeider om oppgavene: Arbeidsforskningsinstituttet Det norske Veritas Høgskolen i Stavanger Institutt for energiteknikk Norges Teknisk-Naturvitenskapelige Universitet Rogalandsforskning SINTEF Universitet i Oslo