Hva diskuterer jernbanefolk over matpakken? Ragnar Rosness, SINTEF ragnar.rosness@sintef.no Sikkerhetsdagene 2008 1 Hva diskuterer jernbanefolk over matpakken? Er jernbanefolk forskjellige fra andre folk? Har dette sammenheng med jernbanens særpreg som system? Hva skjer når risikoanalytikere og sikkerhetsguruer fra andre bransjer skal lære jernbanefolk å kjøre tog sikkert? Hva skjer når jernbanefolk forsøker å sette prinsipper for moderne sikkerhetsstyring ut i praksis? Har moderne sikkerhetsstyring blitt en Prokrustes seng? 2 1
Hva diskuterer jernbanefolk over matpakken? 11.3.2.2 Kryssingen legges til betjent stasjon hvor toget som skal holdes tilbake, etter ruten verken stopper fast eller om det trengs Har togleder ikke sendt forhåndsunderretning til det toget som skal holdes tilbake, eller hvis melding fra underretningsstasjon ikke er mottatt, og det andre toget ikke har kommet, kan det bare vises innkjørsignal på den nye kryssingsstasjonen for det toget som skal holdes tilbake dersom lokfører gir signalet "Beredt". På stasjoner med enkelt innkjørsignal skal det ikke i noe tilfelle vises innkjørsignal før lokomotivfører har gitt signal "Beredt. (Fra Togframføringsforskriften) 3 Hva slags system er egentlig jernbanen? Jernbanen som én stor maskin: Tett koblet teknologi med overveiende lineært samspill mellom delsystem Geografisk distribuerte aktører med fattige kommunikasjonskanaler Trafikkstyring er ekstremt sentralisert gjennom kommandolinjer, kommunikasjonslinjer og regelverk Gammel og ny teknologi side om side og menneskene tilpasser seg som best de kan 4 2
17. september 1921: Nidareidulykken 6 drept, 12 skadet 5 1921: Nidareid-ulykken Kollisjon, Nordgående tog passerte kryssingsstasjon (Marienborg) uten å stoppe Sammentreff av misforståelser Fire tjenestemenn frikjent i straffesak etter at forsvarerne hadde pekt på systemsvakheter: uklare og ufullstendige formuleringer i sirkulære og reglementer mangelfulle prosedyrer for utarbeidelse og utstedelse av sirkulærer mulige svakheter i sikkerhetsopplæringen hardt arbeidspress og knapp bemanning nedslitt utstyr endringer og tidspress i forbindelse med åpningen av Dovrebanen 6 3
Konkurrerende perspektiver på sikkerhet Den gamle jernbanekulturen: Trafikksikkerheten forankret i trafikksikkerhetskontoret 1992: Internkontrollprinsippet innføres for virksomheter på land 1993: Rambjør oppretter en konsernstab for HMS og legger Sikkerhetskontoret under denne Konfrontasjoner mellom HMS-sjefen og trafikksikkerhetssjefen 1996: Separate organisasjoner for infrastrukturforvaltning (JBV), drift av togene (NSB) og tilsyn (SJT) SJT blir overkjørt i spørsmålet om avgangsprosedyre Konfrontasjoner mellom SJT og JBV gjennom revisjoner 2000: Åsta-ulykken, offentlig gransking Kritikk av sikkerhetsstyringen til JBV i NOU 2000:30 7 Groth-kommisjonen på krigsstien: Det er Kommisjonens syn at Åstaulykken fikk skje fordi det i Jernbaneverket var grunnleggende mangler i sikkerhetstenkningen og sikkerhets-styringen som innebar at det mangelfulle sikkerhetsnivået på strekningen til dels ikke ble oppdaget og uansett ikke fulgt opp. Disse grunnleggende mangler i sikkerhetsstyringen omfatter alle de deler av Jernbaneverkets virksomhet som Kommisjonen har sett på og er derfor å betrakte som en alvorlig systemfeil. 8 4
Nytt regelverk for togfremføring TRJ 2003-prosjektet skulle revidere regelverket for togfremføring Prosjektet ble gjennomført av Jernbaneverket frem til 4. januar 2004 og så overtatt av Statens Jernbanetilsyn Det nye regelverket og arbeidsmåten i prosjektet skulle avspeile moderne prinsipper for sikkerhetsstyring: Behovet for regler skulle avklares gjennom risikoanalyser og samfunnsmessige vurderinger Så langt det var hensiktsmessig, skulle regelverket gjøres funksjonsorientert 9 Risikobasert regelverksutvikling i praksis (Blakstad, 2006) Prosjektorganisasjonen tok de nye prinsippene på alvor I praksis var det så tidkrevende å gjennomføre risikoanalyser at skrivearbeidet måtte starte lenge før risikokanalysene var fullført Gruppen fant frem til en iterativ arbeidsform hvor risikoanalysene ble brukt til å verifisere utkast til nytt regelverk I de få tilfellene resultatene fra risikoanalysene kom i konflikt med gjeldende regelverk, ble det ofte funnet forhold som var utelatt i risikoanalysene Prosjektgruppen flettet sammen proaktive og reaktive tilnærminger på en måte som ikke var forutsett da prosjektet startet. Hovedmønsteret var at risikoanalysene bidro til å styrke tilliten til kunnskapen som var innbakt i det gjeldende regelverket 10 5
Funksjonsbasert regelverk for togfremføring? (Blakstad, 2006) Prosjektgruppen forsøkte å utforme funksjonsbaserte regler for togfremføring Prosjektgruppen kom til at det ikke var mulig å ivareta sikkerheten uten å ha detaljerte regler om hvordan personellet skulle opptre i ulike situasjoner De foreslo å bruke funksjonsorienterte regler for pedagogiske formål for å vise hensikten med de detaljerte reglene Det var ikke ressurser til å følge opp dette forslaget 11 Kan vi ivareta trafikksikkerheten med funksjonskrav? 1. Tog skal ikke kollidere med hverandre. 2. Tog skal holde seg på sporet. 3. Tog skal ikke kjøre på mennesker, biler, hester, sauer, hunder, katter, elg, reinsdyr, hjort, kaniner m.v. 4. Tog skal ikke brenne, eksplodere, lekke, eller miste passasjerer eller gods i fart. 5. Det skal ikke skje noe skummelt inni toget. Hvordan ivareta koordinering over avstand? Hvordan tydeliggjøre grensen for akseptabel risiko? Men: Forståelse på funksjonsnivå er avgjørende for etterlevelse av reglene 12 6
Moderne sikkerhetsstyring som Prokrustes seng? (1) Proaktiv sikkerhetsstyring er en god idé men Vi har ikke verktøy for å forutsi alle endringer i komplekse sosiotekniske system og vi vil aldri få slike verktøy Ressursene til problemidentifisering må stå i et rimelig forhold til oppnådd risikoreduksjon Endringstempoet i moderne organisasjoner kan gjøre det umulig å identifisere og løse sikkerhetsproblemer i forkant av kritiske beslutninger Noen forhold tilsier at en legger stor vekt på proaktive elementer i sikkerhetsstyringen Potensial for svært alvorlige ulykker Rask teknologisk utvikling Relativt analyserbare systemer 13 Moderne sikkerhetsstyring som Prokrustes seng? (2) Funksjonstenkning fokuserer på funksjoner (oppgaver) som er kritiske for å ivareta sikkerheten Funksjonstenkning gir oss et mer helhetlig bilde av hvordan sikkerheten ivaretas og hvordan ulykker kan oppstå Funksjonskrav gir fleksibilitet og rom for å velge nye løsninger Funksjonstenkning innebærer også abstraksjon Detaljerte krav og regler kan være nødvendige for å ivareta koordineringsbehovet i tett koblede system, skape forutsigbarhet og avklare målkonflikter Mange organisasjoner har omfattende taus og eksplisitt kunnskap på et konkret nivå er det mulig og hensiktsmessig å oversette denne til funksjonsnivå? Hva skjer i møter mellom parter tenker og kommuniserer på ulikt nivå? 14 7
Moderne sikkerhetsstyring som Prokrustes seng? (3) Systemtilsyn skal avlaste tilsynsmyndighetene og ansvarliggjøre virksomhetene: Ansvaret for det konkrete inspeksjonsarbeidet delegeres til virksomhetene Tilsynsorganet overvåker at virksomhetene har et effektivt sikkerhetsstyringssystem Innebærer systemtilsyn i praksis en byråkratisering av sikkerhetsarbeidet? Myndighetene vil etterspørre dokumentasjon av styringssystemer, ansvar, analyser, oppfølging Vil virksomhetene dreie sin innsats fra konkret problemløsning til produksjon av dokumentasjon? Er et tilfredsstillende styringssystem en tilstrekkelig forutsetning for å ivareta sikkerheten? Er det mulig å vurdere godheten av styringssystemet uten konkret inspeksjonsarbeid? Kan tilsynsmyndighetene opprettholde tilstrekkelig kompetanse uten å drive inspeksjonsarbeid? 15 8