NOTAT #3 SINTEF Teknologi og samfunn Sikkerhet og pålitelighet Postadresse: 7465 Trondheim Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 27 56 Telefaks: 73 59 28 96 Foretaksregisteret: NO 948 007 029 MVA GJELDER Forslag til metodikk for å utrede samfunnssikkerheten for 3. part i området herunder opplevd risiko GÅR TIL Torstein Nielsen, Stavanger kommune Trygve Steiro, SINTEF Lars Bodsberg, SINTEF Terje Aven, Universitetet i Stavanger Britt Marie Drottz- Sjöberg, NTNU BEHANDLING UTTALELSE ORIENTERING ETTER AVTALE ARKIVKODE GRADERING ELEKTRONISK ARKIVKODE Notat #3 - Forslag til metodebeskrivelse~1.doc PROSJEKTNR. DATO SAKSBEARBEIDER/FORFATTER ANTALL SIDER 504009.01 2005-01-27 Jørn Vatn 13 Sammendrag Dette notatet foreslår en metode for å vurdere om samfunnssikkerheten i forbindelse med NOKAS anlegget er tilstrekkelig ivaretatt. Utgangspunktet er at man skal benytte sammenlignende akseptkriterier ved vurderingene. I den foreslåtte metodikk diskuteres derfor hva som menes med sammenlignende akseptkriterier, og hvordan disse kan etableres. Deretter foreslås en metodikk for å foreta risikovurderingene, hvor dialog med hensyn til et opplevd risikonivå er en integrert del av metodikken. Dette notatet inneholder prosjektinformasjon og foreløpige resultater som underlag for endelig prosjektrapport. SINTEF hefter ikke for innholdet, og tar forbehold mot gjengivelse.
2 Innhold Sammendrag...1 Innhold...2 1 Innledning...3 2 Trinn i metoden...4 2.1 Innledning...4 2.2 Trinn i metoden...4 2.3 Diskusjon av noen innledende spørsmål...4 3 Utdyping av trinnene i metoden...5 3.1 Etablere prinsipper for å sammenligne risiko...5 3.2 Etablere sammenligningskriterier...5 3.3 Etablere en logg over risikoforhold og trusler...5 3.4 Dialog om risiko...6 3.5 Strukturere risiko...7 3.6 Risikovurdering...7 3.7 Tiltaksanalyse...7 4 Kvantifisering av sannsynlighet...8 4.1 Gunstige dividert på mulige - symmetriskbetraktninger...8 4.2 Historisk rate, og ikke-informativ fortolkning av data...8 4.3 Bruk av trendmodeller og forklaringsvariable i dataanalysen...9 4.4 Klassiske Bayesianske metoder...9 4.5 Historisk rate, og fortolkning av data...10 4.6 Ingen relevante historiske data...11 5 Scenariostrukturering...12 Referanser...13
3 1 Innledning I dette notatet skisserer SINTEF en metodikk for å gjennomføre (kompletterende) risikoanalyser samt delta i kommunikasjonen rundt risiko. SINTEF vil stille sin faglige ekspertise til disposisjon som et grunnlag for en best mulig beslutningsprosess i Stavanger kommune. Vi understreker at det ikke er SINTEF som skal fatte beslutninger i denne saken. Etter at SINTEF har gjennomført sitt arbeide vil rådmannen i Stavanger fremme saken for politisk behandling. De skriflige leveransene fra SINTEF vil være: 1. En formell risikoanalyserapport. Her vil risikobildet bli strukturert og kvantifisert. Risikoen vil også bli vurdert opp mot andre risikoforhold. Effekt av risikoreduserende tiltak vil bli vurdert. 2. En rapport som oppsummerer resultatene fra gruppevise møter, og et fellesmøte omkring det opplevde risikobildet, og mulige risikoreduserende tiltak. Innen det risikoanalytiske fagmiljøet i Norge, og verden for øvrig, er det en pågående debatt angående bruken av såkalte risikoakseptkriterier. Professor Terje Aven ved Universitetet i Stavanger er en internasjonal kapasitet på dette området. Han har tatt til ordet for at man ikke lenger bør benytte risikoakseptkriterier på den måten det har vært gjort på f eks innen oljevirksomhet og transportsektoren i Norge. Aven argumenterer for at forhåndsdefinerte risikoakseptkriterier anbefales ikke anvendt fordi bruken av slike kriterier innebærer at spørsmålet om hva som er sikkerhetsmessig akseptabelt forsøkes løst uavhengig av helhetlige nyttebetraktninger, begrenser det politiske spillerommet og fører til et betydelig element av vilkårlighet. SINTEF er delvis enig i Avens argumentasjon, men ser områder hvor bruk av risikoakseptkriterier likevel kan ha sin plass. Etter å ha lest NOKAS-rapporten har SINTEF fått en klar forståelse av at sammenlignende akseptkriterier skal ligge til grunn for vurderingene om samfunnsikkerheten er tilstrekkelig ivaretatt. SINTEF mener det er av verdi å formalisere et slikt sammenlignende akseptkriterium, f eks ved at det kvantitative risikobildet som risikoanalysen gir kan sammenlignes med andre risikoforhold. SINTEF erkjenner imidlertid også at Stavanger kommune selv må fatte beslutningene knyttet til NOKAS anlegget. Spørsmålet er derfor etter SINTEFs oppfatning hvordan beslutningsgrunnlaget presenteres for politikerne i Stavanger kommune.
4 2 Trinn i metoden 2.1 Innledning I dette kapitlet listes hovedtrinnene i metoden som SINTEF foreslår. 2.2 Trinn i metoden 1. Etablere prinsipper for å sammenligne risiko 2. Etablere sammenligningskriterier 3. Etablere en logg over risikoforhold og trusler 4. Dialog om risiko 5. Strukturere risiko 6. Modellering og kvantifisering av risiko 7. Risikovurdering 8. Tiltaksanalyse 2.3 Diskusjon av noen innledende spørsmål Stavanger kommune har i sin innledende dialog med SINTEF stilt følgende sentrale spørsmål: 1. Hva er risikoen - og for hvem? 2. Kan risikoen "måles"? 3. Finnes det en objektiv risiko 4. Hvor farlig er den opplevde risikoen for folk? 5. Hva er sannsynligheten for et nytt ran? i så fall, er et slikt "utsagn" noe verdt? Finnes det noe fasitsvar her? Det første spørsmålet vil bli besvart som en del av analysemetodikken SINTEF foreslår. Når det gjelder det andre og tredje spørsmålet så er SINTEFs holdning at det ikke finnes noen objektiv risiko på linje med andre naturvitenskapelige fenomener eller lover. Det gir derfor ikke mening i å snakke om å måle risiko under en slags hypotese om at det finnes en virkelig risiko i verden. Risiko er et uttrykk for vår kunnskap og tro om hva som vil skje i fremtiden. Se videre diskusjoner i SINTEF Notat #2. Mht spørsmål 4 så betrakter ikke SINTEF at den opplevde risikoen folk har er farlig i betydningen av at man tar fysisk skade av den. På lang sikt vil imidlertid en frykt kunne gi både psykiske og fysiske skader. F eks viser ulveforskning at folk i berørte områder er blitt syke pga frykt for ulv. Perspektivet på opplevd risiko er at frykten folk har kan reduseres ved dialog. Ikke all frykt kan elimineres ved dialog, og det er heller ikke noe poeng at all frykt og usikkerhet skal elimineres. Det må være rom for at enkeltpersoner har sin oppfatning uavhengig av hva ekspertene hevder. Det bemerkes også at vanligvis knyttes risiko til fysiske skader på mennesker og verdier, og akseptkriteriene blir definert kun for fysiske forhold. I den foreslåtte metodikken foreslås imidlertid at man også vurderer å knytte akseptkriterier til ranshendelser som sådan fordi slike hendelser vil forringe livskvaliteten til mange selv om man ikke lider fysisk. Spørsmål nummer 5 i likhet med spørsmål 2 og 3, er knyttet til forståelsen av risikobegrepet. Risiko og sannsynligheter er et uttrykk for risikoanalytikeren sin kunnskap og forståelse basert på innspill fra fageksperter, involverte parter med mer. Ideen om at den finnes noen fasitsvar må derfor fortolkes som at sannsynligheter kan etableres av en analysegruppe, og riktigheten av sannsynlighetsvurderingene kan kun sees i sammenheng med ryddighet i analysen, sporbarhet av vurderinger, og overholdelse av reglene for sannsynlighetsregning.
5 3 Utdyping av trinnene i metoden 3.1 Etablere prinsipper for å sammenligne risiko I mandatet for den opprinnelige NOKAS-rapporten er det foreslått å benytte sammenlignende akseptkriterier. SINTEF foreslår at et slikt prinsipp videreføres. Det er imidlertid viktig, at slike kriterier ikke benyttes som mekaniske beslutningskriterier, jmfr diskusjoner i Notat #2. En utfordringen nå blir å operasjonalisere et slikt prinsipp. Dette betyr at man må avgjøre hvilke dimensjoner av risiko som det skal sammenlignes risiko for. Det vil være naturlig at Stavanger kommune avgjør hvilke dimensjoner som skal inngå, hvor man også kan søke råd hos involverte parter. Foreløpige forslag til dimensjoner fra SINTEF er knyttet til følgende slutthendelser : 1. Ranssituasjon som resulterer i tap av menneskeliv 2. Ranssituasjon som resulterer i tap av 5 eller flere menneskeliv (storulykke) 3. Ranssituasjon som resulterer i personskade 4. Ranssituasjon som resulterer i en gisselsituasjon 5. Ranssituasjon som resulterer i en truende politiaksjon En bør begrense antall dimensjoner både fordi mange dimensjoner utvider kostnaden av studien, og fordi mange dimensjoner kan gjøre beslutningsprosessen vanskelig. Det må også etableres et prinsipp for hvordan tallverdier for sammenligningskriteriene skal settes. For de 3 første dimensjonene ovenfor foreslår SINTEF at man benytter ideer fra det såkalte MEM- prinsippet (Se EN 50126). MEM- prinsippet baserer seg på at livet ikke er risikofritt, og at alle mennesker har en såkalt bakgrunnsrisiko (den er ca 2 10-4 per år mht dødsrisiko). Økt risiko som følge av en aktivitet, skal ikke bidra signifikant til denne bakgrunnsrisikoen. Med signifikant forstår man med bakgrunn i MEM- prinsippet at grunnrisikoen ikke skal øke med mer enn 5 %. Ut fra tankegangen i MEM prinsippet, kan man nå etablere et nivå for uakseptabel risiko. For dimensjonene 4 og 5 foreslår SINTEF at man som basis ser på tilsvarende hendelser, og velger en % - verdi i forhold til erfart frekvens av slike hendelser. Dette vil kreve innsamling av data. I diskusjonen om fastsettelse av akseptkriterier bør også spørsmål som Risiko for hvem? og Rrettferdighetsprinsipp tas opp. 3.2 Etablere sammenligningskriterier Med utgangspunkt i diskusjonen i avsnitt Error! Reference source not found. skal man nå ta utgangspunkt i de valgte dimensjoner. Så må man samle inn grunnlagsdata om historisk risiko, for til slutt å tallfeste sammenligningskriterier. 3.3 Etablere en logg over risikoforhold og trusler SINTEF foreslår å lage en logg over risikoforhold og trusler som identifiseres med utgangspunkt i tidligere analyser, og i dialogen med berørte parter. Formålet med en slik logg er å ha et utgangspunkt for den systematiske analysen av scenarier, men også for at berørte parter som føler en frykt i forbindelse med NOKAS skal kunne spore hvordan de forhold som de er opptatt av blir håndtert og vurdert i risikoanalysen. Formatet på en slik logg kan være følgende:
6 Tabell 1 Log over risikoforhold og trusler (eksempel) Risikoforhold- /trussel Scenario Referanse til risikoanalysen Relevante kvantitative vurderinger Referanse til annen dokumentasjon Gisseltaking Presset fluktscenario Barriere X Sannsynlighet fastsatt til Y%. Uttalelse fra NN Trusselloggen vil bli kontinuerlig oppdatert gjennom analysen. 3.4 Dialog om risiko Egne møter foreslås arrangert for å etablere en god dialog omkring risikobildet. Følgende (typer) møter er identifisert: A. Informasjonsmøte som avholdes 27. januar 2005. Her presentere SINTEF sin vurdering av tidligere arbeid. Her får risikoanalytikeren forklare hvordan tenkningen rundt formaliserte risikoberegninger er. Videre legges det frem en plan for arbeidet med risikokommunikasjon (dialogprosessen). Pressen er til stede på dette møtet. B. Diskusjoner i grupper. Først gjennomføres separate møter med de involverte parter (f eks fra barnehagen, fra beboerforeningen, fra politiet osv). Det utarbeides så en protokoll fra alle disse møtene hvor alle synspunkter tas med og sammenfattes. Deretter arrangeres et felles møte hvor en representant for hver av de ulike gruppene (partene) deltar. Et viktig formål med dette siste møtet er å enes om hvilke scenarier som er viktigst å ta fatt i. Basert på disse møtene utarbeides de en rapport fra møtene som oppsummerer synspunktene og som tjener som et beslutningsunderlag for kommunen. Denne prosessen ledes av Britt Marie Drottz- Sjöberg som har lang erfaring med slike prosesser. Pressen deltar ikke i disse møtene. C. En virtuell møteplass hvor SINTEF presenterer resultater. En slik møteplass vil bli realisert ved en egen internettadresse for de som har tilgang på internett, og evt basert på mailing-lister for interesserte som ikke har tilgang på internett. Her vil protokollen fra diskusjonsmøtene (B) bli lagt ut, samt sluttrapporten. Videre vil utkast til den formaliserte risikoanalysen bli lagt ut. Den formaliserte analysen vil i stor grad basere seg på innspill fra diskusjonsmøtene, men også på informasjon fra andre kilder, erfaringsdata/historikk osv. Her får berørte parter innsikt i hvordan risikoanalytikeren vurderer og strukturerer risikoforhold, jf. Tabell 1. D. Et oppsummeringsmøte hvor resultatene fra den formelle risikoanalysen. Risikoanalyserapporten vil også tjene som beslutningsunderlag for kommunen. Pressen er tilstede på dette møtet. E. Andre møter. Det vil kontinuerlig bli vurdert behov for ytterligere informasjonsmøter. Det er allerede påpekt viktigheten av at politiet viser ansikt. Det kan her være snakk om besøk i barnehagen Pelle Politibil, informasjonsmøter hvor politiet informerer om arbeidet de gjør (etterretning på et overordnet nivå). Det kan også være informasjonsmøter hvor NOKAS informerer om prinsipper for verdisikring. Her ligger åpenbart en begrensning i at man ikke ønsker å vise kortene. På et overordnet nivå mener imidlertid SINTEF at man med fordel kan informere om prinsipper og teknikker som benyttes. F. Informasjonsmøte etter politisk behandling. Etter at politiske vedtak er fattet, anbefaler SINTEF at kommunen orienterer om beslutningen, og hvilke tiltak som skal gjennomføres.
7 3.5 Strukturere risiko Med utgangspunkt i trusler og risikoforhold i Tabell 1 foreslås at man etablerer en del scenarier som vil danne grunnlaget for den kvantitative risikoanalysen, men også for diskusjon omkring risikoforholdene. Her må man regne med at kun et begrenset antall scenarier vil bli analysert. 3.6 Risikovurdering Risikovurderingen består av flere trinn. Først skal risiko beregnes ut fra sammenstilling av bakgrunnsinformasjon, analyse av denne, vurdering av ekspertuttalelser, uttalelser fra berørte parter med mer. Etter at risikobildet er kvantifisert, skal risikoen vurderes opp mot sammenligningskriteriene, og resultatet diskuteres med berørte parter. Kvantifisering av risiko betyr at risikoanalytikeren uttrykker usikkerhet knyttet til hendelser og observerbare størrelser i form av sannsynligheter. I kapittel 4 diskuteres ulike aspekter av prosessen med å etablere slike sannsynligheter. Det skal bemerkes at innenfor oljevirksomheten og transportsektoren har man i en årrekke jobbet med kvantitative risikoanalyser, og her er ekspertene og risikoanalytikere rimelig vant til å benytte sannsynlighetsvurderinger som en del av risikoanalysen. Innenfor områder som security, verdisikring, politiets sikkerhetsvurderinger osv er imidlertid bruk av sannsynlighetsbegrepet mindre vanlig. Her kan nevnes at den politifaglige vurderingen til Leif A Lier i Motrapporten overhode ikke gir sannsynlighetsvurderinger. Når man nå velger å jobbe med kvantifisering av risiko for å kunne sammenholde samfunnsrisikoen med akseptkriteriene 1 går man inn på et område hvor risikoanalysemetodikken ikke er utprøvd i særlig grad. SINTEF forventer derfor at analysen vi presenterer vil bli møtt med at dette er synsing av personer som ikke har tilstrekkelig innsikt. Dette vil vi være ydmyke i forhold til, men vi understreker som nevnt ovenfor at vi her står ovenfor et område hvor risikoanalysemiljøene ikke i særlig grad har vært på banen, og hvor fagekspertisen (politifaglig, verdisikringsmessig osv) ikke har trening i å uttrykke seg ved hjelp av sannsynligheter. 3.7 Tiltaksanalyse Dersom den beregnede risikoen er høy iht. sammenligningskriteriene er det sterke argumenter for at risikoreduserende tiltak må iverksettes. Dette kan i ytterste konsekvens bety at NOKAS sitt anlegg må flyttes. Selv om risikoen er lav, skal man vurdere å iverksette ytterligere tiltak. I hvilken grad en kvantitativ nytte/kost analyse skal gjennomføres må avklares. 1 Se NOKAS-rapporten (2004) side 5
8 4 Kvantifisering av sannsynlighet I dette kapitlet vil vi se på hvordan sannsynlighet for ulike hendelser kan kvantifiseres. Vi understreker at sannsynlighet er risikoanalytikeren sitt uttrykk for hvorvidt en hendelse inntreffer eller ikke. I en risikoanalyse gjøres ofte sannsynlighetsvurderingene på to nivå. Det første nivået representerer hendelser som inngår i et scenario. Det kan være sannsynligheter knyttet til om en varslings- og evakueringsrutine er effektiv, om det blir et ran av en verditransport osv.. Hendelsenene vil inngå i risikoanalysen (hendelsestreet), men er ikke direkte knyttet til de hendelser som vi knytter akseptkriterier til (slutthendelsene, f eks at noen blir drept). Det andre nivået hvor sannsynlighet kvantifiseres er på Slutthendelsesnivå. Dette er det nivået vi ofte har relevante akseptkriterier, f eks et gisselscenario som resulterer i tap av menneskeliv. Kvantifiseringen av sannsynlighet på de to nivåene er prinsipielt helt forskjellig. På det lave nivået etablerer vi sannsynligheter ut fra statistikk, ekspertvurderinger osv. På det høyeste nivået (sluttnivået) er sannsynlighetene etablert med utgangspunkt i sannsynlighetsregning. Slik sannsynlighetsregning understøttes av logiske modeller vi har av systemet eller situasjonen, f eks hendelsestremodeller. I diskusjonen nedenfor er det i hovedsak utfordringene knyttet til å fastsette sannsynligheter på et lavt nivå i risikoanalysen som er av interesse. 4.1 Gunstige dividert på mulige - symmetriskbetraktninger De fleste av oss møter sannsynlighetsbegrepet i forbindelse med eksempler fra terningkast, myntkast, kortspill, lotto osv. Det som karakteriserer slike situasjoner er at man kan benytte symmetribetraktninger for å uttrykke at visse hendelser er like sannsynlig. Det er få som har problemer med å uttrykke at å få mynt i et myntkast er like sannsynlig som å få krone. Da det er kun disse to utfallene som er mulig, må sannsynligheten for å få mynt være 50 %. Tilsvarende for terningkast, så er sannsynligheten for å få en 6-er lik 1/6 fordi det er 6 mulige utfall, og det er kun ett av disse utfallene som gir 6-er. Man kan diskutere hvorvidt terningen er blitt jukset med osv, men ofte er dette ikke særlig relevant. Ved å benytte regler for sannsynlighetsregning, kan man så finne sannsynligheten for mer kompliserte utfall, f eks hva er sannsynligheten for å få to 6-ere dersom man kaster en terning 10 ganger? Eksemplene ovenfor er sjeldent relevant innen risikoanalysen. Vi vil imidlertid noen ganger ha situasjoner hvor symmetribetraktninger kan benyttes. For eksempel dersom man vurderer en situasjon hvor et ran har inntruffet, og ranerne kan ta en av tre mulige fluktruter. Dersom man benytter en symmetribetraktning mht fluktrutene, vil sannsynligheten for at ranerne tar en spesiell av disse være 1/3. En risikoanalytiker som gjør en analyse av situasjonen må i denne situasjonen argumentere for hvorfor han tror at alle fluktrutene er like sannsynlige. Ofte kan en negativ argumentasjon kunne benyttets, f eks at han ikke ser noe forhold som tilsier at det er noen forskjell mellom fluktrutene, mht hvilken fluktrute ranerne vil velge. I denne situasjonen vil derfor tallet 1/3 være risikoanalytikeren vurdering for hvorvidt han tror at en spesiell fluktrute blir valgt, og dokumentasjonen han gir i risikoanalysen er symmetribetraktning, samt hvorfor han tror på symmetribetraktningen. Andre risikoanalytikere, eller eksperter osv vil kunne gjøre andre vurderinger. 4.2 Historisk rate, og ikke-informativ fortolkning av data Basissituasjonen her er også kjent fra innføringskurs til sannsynlighetsregning. F eks vi kan se på kast med tegnestift. Vi vil ofte benytte historisk frekvens som et uttrykk for hvor sannsynlig det er at et fremtidig kast f eks resulterer i at stiften lander opp. En tenkning her er at det er visse fysiske mekanismer som avgjør utfallet av kastet. Som risikoanalytiker vil vi ikke kunne forstå og modellere disse forhold. Ved å kaste tegnestiften mange ganger kan vi imidlertid måle effekten
9 av disse fysiske mekanismene. F eks dersom vi kaster tegnestiften 1 000 ganger, og stiften lander opp i 267 av disse kastene, er det naturlig å angi 0.267 som sannsynligheten for at kast nummer 1 001 resulterer i at stiften lander opp. Vi kan også benytte en slik argumentasjon når vi vurderer sjansen for at en lyspære overlever en gitt tidsperiode, f eks ett år. Dersom vi kjøper OSRAM 25-Watts pærer og benytter denne i nattbordlampa, kan vi tenke at det er visse fysiske forhold som tilsier at lyspære varer ett år. Disse forholdene vi her snakker om er kvaliteten på glødetråden, som avhenger av kvaliteten i produksjonen av lyspærene, hvilken legering som benyttes, hvor ofte lyspæren slås av og på, hvor mange timer lyspæra benyttes, spenningsforhold i det elektriske nettet osv. Vi kan også benytte en slik tankegang i en situasjon med skuddveksling etter ett ran. Vi kan tenke oss at sannsynligheten for at politiet avfyrer skudd som treffer tilfeldige personer er avhengig av ferdigheten til politiet mht å treffe på en raner, hvordan politiet vurderer sikkerheten til forbipasserende der og da, tidspress, siktforhold, bevegelsesmønster til ranere osv. Utgangspunktet for risikoanalytikeren her er at kanskje har tilgang på historiske data hvor det fremgår i hvor mange ranssituasjoner med skuddveksling at forbipasserende har blitt truffet. Dersom f eks man har hatt 150 hendelser med skuddveksling, og forbipasserende har blitt truffet i 3 situasjoner kan man fastsette sannsynligheten for at en fremtidig skuddveksling skal resultere i at forbipasserende blir truffet til 3/150=1/50. Det som er viktig her er at i alle disse situasjoner foretar risikoanaytikeren en ikke-informativ fortolkning av data. Dvs. han antar egentlig at det er de samme forhold som har påvirket tidligere hendelser, som også vil påvirke fremtidige hendelser. I risikoanalysen må da risikoanalytikeren argumentere for hvorfor grunnlagsdataene er relevant, og hvorfor han betrakte at en fremtidig situasjon ikke er vesentlig forskjellig fra de situasjonene hvor han har data. Her vil det ofte være to viktige forhold som må vurderes: 1. Er det scenariet vi analyserer sammenlignbart med historiske hendelser, dvs. er det snakk om samme type ran, samme type forhold på ransstedet (siktforhold, hindrer osv). 2. Er det skjedd til som gjør at fremtidige hendelser ikke er sammenlignbare med historiske hendelser. F eks kan politiets instruks ha blitt endret, man har endret våpentype, ranerne oppsøker i større grad enn før områder hvor det befinner seg tilfeldige forbipasserende. 4.3 Bruk av trendmodeller og forklaringsvariable i dataanalysen Situasjonen nå kan være tilsvarende som i avsnitt 4.2, men vi har datagrunnlag som gjør det mulig å etablere mer sofistikerte modeller. F eks så kan vi ha data over tid, og vi vil foreta en eksplisitt modellering av trend. Vi kan også ha informasjon om viktige forhold som kan påvirke utfallet i hver enkelt situasjon, f eks i lyspæresituasjonen kan vi ha informasjon om antall ganger vi har slått av og på lyspæra det første året. Denne informasjonen kan så legges inn i modellen vi benytter for å analysere dataene, og vi kan oppnå en mer realistisk modell. Eksempler på en slike modeller er Cox-proportional hazard models. Vi merker os imidlertid også her at risikoanalytikeren må gjøre vurderinger om gyldighet av modellen. F eks så er det ingen naturlov som sier at en trend vil fortsette også i fremtiden. 4.4 Klassiske Bayesianske metoder Situasjonene beskrevet i avsnittene 4.2 og 4.3 krever at vi har god tilgang på relevant data for å kunne fastsette sannsynlighetene vi er ute etter. I situasjoner med lite data er det vanlig å benytte uttalelser fra eksperter om et område for å etablere det som betegnes en a priori
10 sannsynlighetsfordeling 2. Deretter benytter man historiske data for å oppdatere sannsynlighetsfordelingene til en såkalt a posteriori fordeling. En slik tilnærming betegnes en Bayesiansk tilnærming. Vi vil ikke gå inn på hvordan man kan gjøre dette. Vi vil imidlertid understreke at man som oftest lager parametriske modeller, hvor parametrene kan forstås som egenskaper til fenomenet som betraktes. Ved å benytte disse parametriske modellene kan man så foreta en vurdering av sannsynlighet for en gitt fremtidig hendelse av interesse. Bayesianske metoder krever høy grad av modellformulering, og er ofte svært ressurskrevende. I den foreslåtte risikoanalysen ser SINTEF ikke for seg at man skal benytte slike formaliserte metoder pga tids- og kostnadsbegrensninger. 4.5 Historisk rate, og fortolkning av data Situasjonene beskrevet i avsnittene 4.2 og 4.3 er karakterisert av at det i svært liten grad foretas fortolking av data. Risikoanalytikeren må riktignok vurdere relevans av ulike datapunkter (hendelser), men han benytter en statistisk modell hvor han ikke foretar eksplisitte vurderinger. Hovedargumentasjonen er at det ikke er spesielle forhold som tilsier at fremtidige hendelser ikke kan predikeres ut fra tidligere erfarte hendelser. Ofte vil imidlertid risikoanalytikeren har kunnskap om fenomenet som analyseres som tilsier at han vil justere dataene. Det er ulike situasjoner som krever ulike prinsipper for en slik justering. F eks for lyspæreeksemplet så kan man tenke seg å ta ut fra statistikken alle hendelser hvor lyspære har blitt knust etter putekrig hvis situasjonen nå er at barna har flyttet hjemmefra, og en ikke lenger har putekrig. En slik vurdering er en ren logisk argumentasjon hvor det er lett å følge resonnementet. En annen situasjon kan være at man har installert en jordvernbryter, samtidig med en rehabilitering av det elektriske anlegget. Kanskje har man også detaljert informasjon om årsak til tidligere feil, f eks 10 % av feilene kan skrives tilbake til spenningsvariasjoner i nettet, og det vil være naturlig å redusere feilsannsynligheten med 10 %. Men som oftest vil man ikke ha slik detaljert informasjon, og det kan også være knyttet usikkerhet til hvor effektiv den nye jordvernbryteren virkelig vil være. Å etablere formallogiske metoder for å håndtere slike situasjoner krever ofte svært mye ressurser, og man vil ofte bli ganske pragmatisk i vurderingene. Risikoanalytikeren kan ofte nøye seg med å evt. konferere ekspertise på et kvalitativt nivå, og så gjøre en direkte prosessering av informasjon. F eks vil følgende argumentasjon i en risikoanalyse være tilfredsstillende: Elektrikeren i huset sa at det har vært spenningsvariasjoner i nettet, og at en stor del av lyspæresviktene må kunne skrives tilbake til dette forholdet. Videre har eksperter på jordvernbrytere sagt at den kun slår ut på svært store spenninger, og derfor ikke har så stor effekt. Konklusjonen blir da at vi tror ca 20 % av historiske feil kan skrives tilbake til spenningsvariasjoner, og 30 % av disse kan igjen forhindres med den nye jordvernbryteren. Videre kan 10 % forhindres pga rehabiliteringen av det elektriske anlegget. Dette tilsier en reduksjon på 20 % (30 % +10 %) = 8 % i feilsannsynligheten. En tredje situasjon kan være at nye forhold nå har inntruffet, og at man ønsker å øke anslaget for sannsynligheten. Noen ganger kan man kanskje argumentere relativt, f eks si at lokale forhold på OSRAM fabrikken tilsier at feilraten økes med 20 % ( f eks kostnadskutt i produksjonslinja som kan gi kvalitetstap og høyere innebygd feilrate). En slik relativ vurdering kan imidlertid være vanskelig dersom det er snakk om nye fenomener som ikke så lett kan relateres til erfarte fenomener hvor vi har data. Utgangspunktet er imidlertid at i alle disse situasjonene må risikoanalytikeren bli eksplisitt på hvordan han vurderer og prosesserer historisk informasjon. 2 For en diskusjon av relevante tilnærminger til ekspertvurderinger henvises til f eks Øien m.fl. (1998).
11 4.6 Ingen relevante historiske data Noen fenomener er karakterisert ved at det ikke finnes historiske data som kan si noe om sannsynligheten for at hendelsen vil inntreffe, eller at slike data ikke kan fremskaffes innenfor tids- og kostnadsramme som gjelder for analysen. Et slikt eksempel er knyttet til Hovedscenario B i NOKAS-rapporten (2004) hvor man skal vurdere om Barn og ansatte i barnehagen kan sikres ved varslingsrutiner og lignende i forbindelse med en ranssituasjon. Sannsynlighetsutsang om denne hendelsen krever en presisering ut over det vi gjør her, men vi kan kanskje tenke oss en situasjon hvor ranerne angriper inne i NOKAS- anlegget, og det vil ta 15 minutt fra ransalarmen går til ranerne starter fluktforsøket. Spørsmålet er da hvorvidt barn og ansatte kan evakueres trygt i løpet av et kvarter. Vi antar videre at man har et rom i barnehagen som i denne sammenheng betraktes trygt 3. Her finnes ikke data som kan hjelpe oss, men man kan gjøre ulike vurderinger. F eks basert på om man har gjort evakueringsøvelser osv. Jo bedre rutiner man har, jo høyere vurderes sannsynligheten. I Motrapporten (2004) vurderer Lier at barn og ansatte i barnehagen kan ikke garanteres at de blir sikret. Dette er et politifaglig utsagn som ikke direkte er et sannsynlighetsutsagn, men vi kan kanskje likevel tolke det i retning av at sannsynligheten for at barna kan sikres i alle fall ikke er over 99 %. Dette er risikoanalytikerens vurdering basert på en forståelse av scenariet, evakueringsrutiner, og politifaglig vurdering. 3 Dette er kun et konstruert eksempel. Et annet scenario med forsøk på gisseltaking kunne også vært vurdert, men det ser vi bort i fra her.
12 5 Scenariostrukturering I dette kapitlet vil vi indikere formatet på scenariene som vil danne basisen for den kvantitative analysen. Vi henviser til SINTEF Notat #2 for en utdyping av scenariotenkningen og sammenhengen mellom scenarier og uønskede hendelser. Figur 1 viser strukturen i et scenario. Det bemerkes her at dette scenariet ikke er komplett, men kun ment som en illustrasjon på innholdet i et scenario. Helt til venstre i scenariet er den initierende hendelsen, som her er at en pengetransport forsøkes ranes. Boksene som nå følger (fra venstre mot høyre) representerer barrierer eller utfall av ulike hendelser som har betydning for hendelsesforløpet. Helt til høyre er sluttkonsekvensene antydet. Disse vil etter en oppsummering kunne sammenlignes med akseptkriteriene. For hver boks må man angi frekvenser eller sannsynligheter slik som det er diskutert i kapittel 4. Figur 1 Eksempel på scenariomodellering
Referanser Aven, T. Foundations of risk analysis. Wiley, West Sussex, 2003. Drottz- Sjöberg, B.M. Current trends in risk communication: Theory and practice. Directorate for Civil Defence and Emergency Planning, 2003. EN 50126. 2000. Railway applications - The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS). CENELEC. Fischhoff, B., S. Lichtenstein, P. Slovic, S.L. Derby, and R.L. Keeney. Acceptable Risk. Cambridge University Press, New York, 1981. IEC 60050(191). International Electrotechnical Vocabulary (IEV) - Chapter 191 Dependability and quality of service. International Electrotechnical Commission, Geneva, 1990. EC 60300-3-9. International Electrotechnical Vocabulary (IEV) - Dependability management Part 3: Application guide Section 9: Risk analysis of technological systems. International Electrotechnical Commission, Geneva, 1995. Kaplan. S. Risk Assessment and Risk Management - Basic Concepts and Terminology. Hemisphere Publ. Corp., Boston, Massachusetts, USA, 1991. In Risk Management: Expanding Horizons in Nuclear Power and Other industries, pp. 11-28. Nabogruppen og Frøystad Andelsbarnehage. Verdivalget Nokas eller barna ( Motrapporten ), 2004. Ramberg, J, A., H. Roald, G. Havenstrøm og A. Angeltveit. Utredning av samfunnssikkerheten ved NOKAS anlegg på Gausel ( NOKAS-rapporten ). Teknisk rapport 33.790.002/R1. Scandpower Risk Management AS. 2004. Rausand, M. and A. Høyland 2004. System Reliability Theory, Models, Statistical Models, and Applications. John Wiley & Sons, New York. Vatn, J. Notat #2 - SINTEFs vurdering av NOKAS-rapporten, Motrapport, og andre kommentarer. Januar 2005. Vatn, J. A discussion of the acceptable risk problem. Reliability Engineering and System Safety, 61(1-2):11-19, 1998. Øien, K., P.R. Hokstad and R. Rosness. 1998. Handbook for performing Expert Judgment. SINTEF rapport STF38 A98419. Kan bestilles fra http://www.sintef.no. 13