Rasmus Dahlberg: Normale katastrofer

Tilgang til analyse af menneskelige fejl

Ifølge den britiske psykologi professor James Reason findes der grundlæggende 2 forskellige måder at analyserer menneskelige fejl i relation til ulykker og katastrofer:

1. Persontilgang

Bygger på antagelsen, at menneskelige fejl sker som følge af adfærdsmæssige brister hos den enkelte.

2. Systemtilgang

Her er man ikke så interesseret i hvem der trykkede på den forkerte knap, men derimod hvorfor den pågældende person dels kunne komme til at trykke på den forkerte knap, dels hvorfor den menneskelige fejl ikke blev opdaget og rettet af en anden instans i systemet. Når man analyserer ud fra systemtilgangen fokuserer man på spredning af fejl i højere grad end fejlen i sig selv. Man ser på barrierer og fravær af barrierer i systemet.
En barriere er en sikkerhedsforanstaltning, som sikre at en menneskelig eller teknisk fejl ét sted i systemet ikke får lov til at sprede sig til andre dele af systemet.
En af de mest sårbare brancher overfor sådanne ukontrollable spredninger af fejl er den petrokemiske industri, simpelthen fordi raffinaderier og produktionsanlæg oftest er vævet sammen af rørledninger, som meget hurtigt og nogle gange i det skjulte, kan transportere materiale fra én del af anlægget til en anden. Dermed vokser risikoen for spredning af fejl.

Normalfejlsteori

Denne teori er beskrevet af den amerikanske sociolog Charles Perrow. Teorien tager udgangspunkt i at mennesker begår fejl og at fokus bør ligge på udbredelsen af disse fejl i systemet.
Normalfejl er et indbygget kendetegn ved komplekse systemer som f.eks. luftfart hvor systemet kan bestå af fly, flyveledelse, lufthavne og meterologiske fænomener.
Normalfejlsteorien indeholder 6 DEPOSE-komponenter:
1. Design
2. Equipment
3. Procedures
4. Operators
5. Supplies and materials
6. Environment
Hver af disse komponenter kan fejle eller gennemløbe forandringer, der i sig selv ikke er katastrofale, men som i helheden kan resultere i ulykker og katastrofer. Designet kan eksempelvis være fejlbehæftet gennem forkerte beregninger, udstyret kan bryde sammen på grund af indbyggede svagheder som følge af metaltræthed, procedurerne er måske forældede eller uigennemtænkte, operatørerne kan trykke på en forkert knap eller falde i søvn, forsyninger kan slippe op eller erstattes af forkerte materialer, og omgivelserne kan ændres pludseligt, eksempelvis ved jordskælv, oversvømmelse eller hedebølger.

Løs eller tæt kobling (coupling)

Løs kobling gør det muligt for enkelte dele af et system at fejle selvstændigt, uden at det straks forplanter sig til resten af systemet.
Ved tæt kobling kan en fejl i ét delsystem øve indflydelse på forløbet i et andet eller flere andre delsystemer. Ved tæt kobling er interaktionerne ofte uhyre vanskelige at gennemskue for operatørerne, fordi de komplekse interaktioner udmønter sig i feedback loops. Man kan beskrive komplekse interaktioner som dem, ingeniørerne ikke forudså, da de designede systemet.

Schweizerost-modellen

Denne model er også udviklet af James Reason. Modellen kan benyttes til at beskrive hvordan fejl udvikler sig i bl.a. komplekse systemer. Når man anvender denne model til at analysere en ulykke, er udgangspunktet, at der ikke findes "hændelige uheld" - kun dårligt design, mangelfulde procedurer eller uhensigtsmæssig adfærd.
Modellen består af 3 skiver:
1. Design
2. Procedurer
3. Adfærd

Man kan forstå modellen på den måde, at der til enhver tid begås en masse fejl. Heldigvis bliver mange af fejlene stoppet af et godt design (1. skive).
Hullerne i design skiven symboliserer, det det imidlertid er umuligt at konstruere et perfekt design. Ligegyldigt hvor godt man tænker sig om, vil der være sorte huller i designet, hvor en fejl kan smutte igennem. Man kan også forstille sig, at designerne i konstruktionsfasen er opmærksomme på et sådant sort hul, men alligevel vælger at fastholde designet, fordi det vil være umuligt at eliminere det svage punkt. I dette tilfælde kan man udarbejde en procedure (2. skive), som sørger for, at systemet aldrig bringes i en tilstand, så fejlen kan få lov at udvikle sig.
Hvis en fejl passerer både den 1. og 2. skive, er der kun adfærden tilbage til at stoppe den. Glipper adfærden, så fejlen også slipper igennem 3. skive, ser ulykken.
Eksempler på uhensigtsmæssig adfærd kunne være menneskelige faktorer som kedsomhed og nysgerrighed spiller ind på det forkerte tidspunkt (eks. DC-10 ulykken fra 1973 - hvad sker der når jeg trykker på denne knap?)

I bogen er der eksempel på anvendelse af ovenstående analysemodeller på flykatastrofen på Tenerife i 1977.

Unstoppable (CSX 8888 hændelsen)

Filmen Unstoppable fra 2010 er baseret på CSX 8888 hændelsen fra 2001, hvor et ubemandet tog var løbet løbsk. Hændelsen skete i U.S. State of Ohio. Godstoget kørte med op til 82 km/t uden fører og lastet med farlige kemikalier.
I filmen vises en række faktorer, som er med til at udløse og forstærke hændelsen. Derudover vises faktorer som potentielt kan være med til at udløse ulykker og katastrofer. Nedenfor er nogle af disse faktorer listet op:

1.
Mobiltelefon ringer med problemer i privatlivet, derfor bliver togføreren afledt fra de punkter, som skulle kontrolleres.

2.
Radio løber tør for batteri og batteri skiftes imens der gives vigtig besked. Afsenderen får ikke kvittering for modtagelse af beskeden og efterspørger heller ikke en kvittering. Der anvendes altså ikke "closed loops".

3.
Ikke alle bremsesystemer forbindes for at spare tid - det var jo kun få meter toget skulle flyttes.

4.
Dødemandsknappen er ikke aktiv da ikke alle systemer er blevet forbundet.

5.
Mandskab vil ikke melde fejl, fordi der er frygt for at få kritik.

6.
Ledelsen vil ikke afspore toget fordi det vil være meget kostbart.

7.
Ledelsen der skal træffe beslutninger har ikke alle informationer.