Anders Hägglin - Dolda fel är farligare än aktiva misstag

Dolda fel är farligare än aktiva misstag
GP 941118

Under dygnen efter Estonias förlisning jagade alla efter “den skyldige". Det måste helt enkelt finnas någon som bar ansvaret för olyckan och någon som gjort ett fatalt misstag. Det lättaste och vanligaste är då också att börja leta så lågt som möjligt i hierarkierna. Nästa steg var att skrika “gör något", vilket ledde till igensvetsade bogportar, en åtgärd som i vissa fall kan göra fartygen mindre säkra än innan.

När man granskar stora katastrofer finner man oftast att de aktiva handlingar som till synes ledde till olyckorna skulle varit mindre farliga om det inte vore för dolda fel i de komplexa system som vi idag omger oss med. En systematisk analys av Estonias konstruktion och dess faktiska drift kommer med stor sannolikhet att visa på kedjor av händelser där delarna i sig är ofarliga för fartygets säkerhet men där kombinationerna blir fatala. Kända fel hos Roll on/Roll off-fartyg, som känsligheten för vatten på bildäck, kommer då endast att vara viktiga länkar i olycksförloppet.

Exempel på katastrofer förorsakade av latenta fel är fartygskatastrofen Herald of Free Enterprise, explosionen på oljeplattformen Piper Alpha, kärnkraftsolyckorna vid Tjernobyl och Three Mile Island samt gaskatastrofen i Bhopal.

Analyser av dessa och liknande händelser visar att latenta fel är långt farligare i moderna komplexa system än de aktiva misstagen. Tidigare har man oftast sökt felen bland aktiv personal och utrustningshaverier. Det visar sig dock att de flesta bidragande faktorerna i ett katastrofförlopp har funnits i systemet långt innan något aktivt fel gjordes. Så registrerades till exempel fel på de tätande O-ringarna på rymdskyttelns bärraketer fyra år innan haveriet med Challenger. Den mänsklige operatören är således snarare en förvaltare av defekta system som skapats av dålig utformning, felaktig installation, bristande underhåll och svag ledning, än en olycksorsak. Så länge som vi accepterar riskerna i dessa system som omger oss och som ger oss energi, transportmöjligheter, förbättrad hälsa med mera, så måste vi lära oss att ta eventuella haverier med ett visst mått av realism. Våra liv är en resa där vi måste värdera risker och riskera värden för att ta oss framåt. På Estonia omkom 525 svenskar vilket kan jämföras med de 600-700 svenskar som omkommer i trafiken varje år, ett pris som vi lärt oss att tolerera.

Vid diskussion av “den mänskliga faktorn" i olyckssammanhang bör man skilja på de aktiva och latenta felen. Aktiva fel begås av piloter, sjukhuspersonal, kontrollrumspersonal och liknande och har en omedelbar effekt på olycksförloppet. De latenta felen begås i “andra änden" på systemhierarkin av personer vars aktiviteter är vitt skilda från katastroftillfället i såväl tid som rum, till exempel bland beslutsfattare, ingenjörer/konstruktörer och företagsledare. Felen kan ligga dolda länge för att göra sig påminda när en unik sekvens av händelser inträffar. Fram tills idag har det mesta arbetet med “den mänskliga faktorn" resulterat i förbättringar i gränssnittet mellan människa och maskin, det vill säga cockpiten i flygplan och utformningen av kontrollrum. Förståelsen för de latenta felen ökar dock och idag kan man säga att försök att hitta och neutralisera dolda fel har en större effekt på systemsäkerheten jämfört med punktinsatser för att minimera aktiva fel som att svetsa igen bogportar och bogvisir.

Det är förståligt att man angriper de aktiva felen vid en katastrof för att i media och inför de drabbade framstå som handlingskraftig. Dessa fel utgör dock endast en liten del av det totala säkerhetsproblemet i komplexa system. Det visar sig att om man söker den mänskliga faktorn så omfattar den i dagens system långt fler personer än de bakom spakarna. Det är till och med så att ju längre en viktig person i systemhänseende befinner sig från det aktiva förloppet och dess faror desto större är den potentiella risk som han kan utgöra för systemet. Att sålunda straffa en person för att han med ett handgrepp slår ut ett helt bromssystem på en spårvagn och därmed orsakar 13 personers död, är något absurt.

Ibland försöker man minska risken för systemhaverier genom att eliminera specifika aktiva fel som identifierats av haverikommissioner efter olika katastrofer. Det är förvisso bra att lära sig av tidigare olyckor men man måste ha klart för sig att en katastrof i ett komplext system förorsakas av en unik sekvens av händelser som var för sig inte har någon omedelbar inverkan på systemets säkerhet. Eftersom sannolikheten att samma kedja av händelser skall inträffa igen är mycket liten, har sådana åtgärder begränsad effekt.

Människans roll i ett komplext tekniskt system är, förutom att övervaka diverse övervakningssystem, att hantera de fel som systemkonstruktören inte kunde förutse. Man vill alltså att människan med sin kunskapsbaserade förmåga skall åtgärda för honom nya problem med mycket liten tidsmarginal för att förhindra en katastrof. Det står klart att människor inte fungerar så i krissituationer, trots stjärnexemplet med astronauterna i Apollo13 där tre män under direkt dödshot kunde improvisera i en extremt automatiserad och högteknologisk miljö och därmed kunde rädda sig själva tillbaka till jorden. En människa som skall agera under stor risk faller gärna in i verkningslösa inlärda rutiner, som också kan vara meningslösa, bara för att göra något. Så skedde till exempel med en central person vid flygkraschen i Gottröra.

Många katastrofer orsakas officiellt av operatörsfel. Problemet är bara det att fram till de flesta krissituationers uppkomst och operatörens ställningstagande om han skall göra A eller B, så visste ingen att ett av alternativen kunde leda till en okontrollerbar haverisituation. Vid analys av en händelsekedja som leder fram till ett större systemhaveri spelar också tidsrymden en viktig roll. Vissa förlopp, till exempel Three Mile Island, kan spåras flera år tillbaka i tiden medan andra endast kan härledas några dagar bakåt i tiden.

När det gäller fartygsolyckan med Herald of Free Enterprise tycktes den vid första anblicken bero på fel i agerande och överträdelse av regler bland manskap och befäl. Matrosen som skulle stänga porten låg och sov i sin hytt. Hans överordnade såg att porten var öppen men ansåg inte att det ingick i hans jobb att stänga den. Befälet med ansvar för bildäcket skulle enligt stående order vara på bryggan 15 minuter före avgång och kunde alltså inte kontrollera förhållandena på däck. Dessa händelser var led i den kedja som ledde till katastrofen. Dock utpekade undersökningskommissionen för olyckan ledningen i bolaget som medskyldiga till olyckan beroende på mycket stora brister i ledningen av verksamheten.

Vid lossning och lastning i Zeebrugge måste fartyget trimmas om för att dess ramper skulle nå bägge bildäck. Detta förfarande gav färjan slagsida var gång den löpte in och ut ur hamnen som dels påverkade olycksförloppet och dels gjorde att befälet ombord inte insåg fartygets belägenhet i tid. Dessutom hade rederiet lagt stor press på befälet att hålla tidtabellen och ta igen förseningar i Dover. Vidare hade rederiet en stående order att om ingen meddelande att något var fel skulle man anta att allt var OK. Slutligen hade fartyget inte försetts med indikatorer som visade om portarna stängts, trots upprepade påstötningar från befälet ombord. Ett sådant varningssystem skulle kostat cirka 5000 kronor. Dessutom var Herald of Free Enterprise ett Roll on/Roll-off fartyg med allt vad det innebär av hög tyngdpunkt, känslighet för vatten på bildäck och därmed associerade stabilitetsproblem.

Vad det gäller de händelser som ledde fram till Estonias förlisning så kommer vi inte med säkerhet att helt kunna rekapitulera förloppet. Det kommer bland annat att bli svårt att analysera förehavandena på bryggan från det att färjan förlorade bogvisiret och vände tills dess att nödsignaler började sändas. Denna tidsrymd kommer det att spekuleras mycket i.