Jorma Partanen

Turvallisuusasiantuntija

Useissa tutkituissa onnettomuuksissa varsinaiseen onnettomuuteen johtava tapahtumaketju on pitkä ja yleensä jokaisen näistä ketjun osasta tapahtumatta jääminen olisi johtanut siihen, ettei onnettomuuttakaan olisi tapahtunut.

Eräässä hajukaasulinjan räjähdyksessä ketju koostui seitsemästä epätodennäköisestä tapahtumasta. Voidaan siis sanoa, että onnettomuuden todennäköisyys vastasi lottovoittoa, varsinkin kun niiden piti tapahtua tietyssä järjestyksessä. Teollisuudessa me kuittaamme tapahtuman niin epätodennäköisenä, ettei se vaadi toimenpiteitä.

Siviilielämässä kuitenkin hyvin monet käyvät jättämässä sen viikoittaisen lottokuponkinsa

Painelaitteiden ja säiliöiden käyttöön liittyvät onnettomuudet ovat Suomessa onneksi harvinaisia mutta niiden korjaukseen ja kunnossapitoon ja säiliötyöhön liittyvissä onnettomuuksissa on viimeisen viiden vuoden aikana kuollut yli kymmenen ihmistä

Kaikissa niissä on ollut puutteita riskien tunnistamisessa ja turvallisuustyön organisoinnissa ja välillä riskejä on jopa vähätelty. Arkikokemuksella korvataan joskus järjestelmällinen riskien arviointi.

Toinen merkittävä ongelma-alue on tietojärjestelmiin liittyvien sisäisten vikojen vaikutuksien ja ihmisen ja tietojärjestelmän vuorovaikutuksen ongelmien ja niihin liittyvien riskien tunnistamisessa

Seuraavassa esimerkkejä näistä tapauksista, juuri sellaisia joita ei voinut tapahtua

Säiliöräjähdys alihankkijan työntekijöiden tehdessä tulitöitä tislausjäännöksen varastosäiliön uusitulla katolla. Katolla käytettiin kulmahiomakonetta ja hitsauslaitteita, jolloin säiliöön päässyt kaasuilmaseos syttyi räjähdyksenomaisesti. Kaasuilmaseos oli päässyt säiliöön viereisestä säiliöstä hönkäputkea pitkin. Räjähdyksessä kuoli yksi ihminen ja yksi loukkaantui vakavasti. Säiliön katto lensi räjähdyksen voimasta 85 metrin päässä olleen työmaakopin seinään. Tukesin onnettomuusselostus

NAANTALI. Neste Oilin Naantalin öljynjalostamolla syttyi tiistaina räjähdyksen jälkeen uhkaava säiliöpalo. Hitsaustöissä ollut mies loukkaantui räjähdyksen yhteydessä lievästi. Jalostamolla hitsattiin tyhjillään olleen painovesivarastosäiliön ulkopuolelle vaahtosammutusputkistoa, kun säiliössä tapahtui räjähdys ja säiliön katto repeytyi auki.

Tuli levisi yhdysputkea pitkin viereiseen säiliöön ja 16 metriä korkea 5 000 kuution säiliö syttyi tuleen. Säiliössä oli 1 400 kuutiota laivojen painovesisäiliöstä varastoitua veden sekaista öljyä. Naantalin jalostamon turvallisuuspäällikkö sanoo, että säiliöiden yhdysputken olisi pitänyt olla tiiviisti kiinni, kun tyhjän säiliön ulkopuolella ryhdyttiin hitsaamaan. Jostakin syytä näin ei ollut, ja se johti tyhjässä säiliössä kaasuuntuneen öljyn räjähtämisen ja palon leviämisen myös viereiseen säiliöön. Palokunnan onnistui tukahduttaa säiliöpalo ja viilentää suuri säiliö niin, että se ei kokonaan hajonnut eikä sisällä ollut öljy päässyt leviämään luontoon.

HS 16.10.2007

Hitsaaja kuoli korjatessaan avointa selkeytyssäiliötä, jossa erotettiinperunanpesuprossissa syntynyttä jätettä pesuvedestä

Seven Key Lessons to Prevent Worker Deaths During Hot Work In and Around (U.S. Chemical Safety and Hazard Investigation Board)

Säiliön pohjalle oli tullut särö, josta vettä ja saostumaa pääsi vuotamaan helman alle. Sinne kehittyi bakteerikanta, jonka toiminta synnytti räjähtävää kaasua

Kyseessä oli avoin säiliö, jolla oli tehty ennen tulityötä pitoisuusmittauksen miesluukulta mutta ei korjauskohdasta. Pitoisuusmittaukset tehtiin yleisten säiliötyökäytöntöjen perusteella ei sen kaasun-muodostuksen takia, joka räjähdyksen aiheutti.

Hitsaustyön yhteydessä kaasu räjähti ja hitsaaja kuoli Poikkeavien tilanteiden tunnistamisen lisäksi usein

unohdetaan aikafunktio. Jotkut tilanteet kehittyvät hitaasti ja huomaamatta, jos niitä ei ole tunnistettu

Korjaustöillä on aina kiire ja jos kohteelle tehdään riskiarviointeja, ne tehdään hyvin nopeasti ja pintapuolisesti. Arkikokemuksen perusteella

Hyvin poikkeavat ja harvinaiset tilanteen jäävät tällöin huomaamatta

Vaikka kattavien riskiarvioiden teko tuntuukin arkisissa ja turvallisiksi arvioiduissa kohteissa tarpeettomalta, pitäisi koko prosessi kuitenkin käydä läpi, jos se epätodennäköinenkin riski sieltä löytyisi

Järjen käyttäminen elämässä on enemmän kuin suotavaa mutta joskus paras tulos tulee kuitenkin järjestelmällisten menettelytapojen kautta. Yksittäisellä järjellä on rajoituksensa

Suuri osa säiliöonnettomuuksista tapahtuu kun säiliöihin mennään sisälle silloin kun ne ovat vielä osittain täynnä. Usein näin tehdään häiriötilanteissa:o Raaka-aineen syöttö ei toimio Aine on holvautunut säiliön seinämilleo Selvitellään prosessin toimintahäiriöitäo Selvitetään syöttöaineen määrää

Yleensä tällöin on kiire, eikä riittäviä turvalliseen sisään menoon kuuluvia varmistuksia tehdä tai ei ole tunnistettu säiliötyön riskejä näissä tilanteissa.

Seuraavilla kalvoilla muutamia kuvia hautautumisen riskeistä ja nopeudesta.

Oheisessa kuvasarjassanähdään kuinka nopeastihautuminen viljasiilossatapahtuu.Sama pätee moniin muihinkinaineisiin.

Kuvat ovat dokumentistaOSHA FactSheet”Worker Entry into GrainStorage Bins”

Kiinteiden polttoaineidenkäytön lisääntyessäholvautuminen on ongelmaviljasiilojen lisäksi niinhake- kuinpellettisiiloissakin

Liikkeenharjoittaja menehtyi turvesiiloon sen holvaantumista purkaessaan

Liikkeenharjoittaja (49-v.) oli mennyt yksin tutkimaan palaturpeella käyvän lämpölaitoksen toimintaa. Poltin oli sammunut vaikka suurehkoon siiloon oli tuotu palaturvekuorma kaksi päivää aiemmin. Hän oli laskeutunut palaturpeiden päälle lapio kädessä kiinteitä tikkaita pitkin tutkiakseen holvaantumisen syytä. Kun holvaantunut palaturvekasa romahti, hän putosi siilon pohjalle käyvän syöttöruuvin kohdalle ja jäi metrin korkuisen turvekasan alle. Hän yritti pyytää apua käsipuhelimella puolitoista tuntia, mutta siilon kenttä ei riittänyt puhelinyhteyden muodostamiseen. Hänet löydettiin menehtyneenä noin kahdeksan tunnin kuluttua tapaturmasta

”itse olen ollut lukemattomia kertoja erinäisissä umpinaisissa pellettisiiloissa yksin, ilman mitään sen ihmeempiä tuuletteluja. 10t- 50t kokoluokaltaan olevissa eikä ainakaan tähän mennessä ole vielä henki lähtenyt puhelin taskuun mukaan ja välillä käy miehistöluukulla haukkaan raikasta ilmaa niin hyvin on pärjännyt. ei noihin silti asumaan kannata jäädä!”

Nettikeskusteluista ei aina kannata hakea turvallisuusvihjeitä säiliö-työhön. Ohessa erään keskustelijan näkemyksiä ja hänen kommenttiensajälkeen sitten eräs onnettomuuskuvaus.

Nancy G. Leveson High-Pressure Steam Engines and Computer Software

Korostaa niitä riskejä joita automaatio- ja turvajärjestelmiin liittyvät ohjelmistot sisältävät. Niitä ei yleensä edes tunnisteta.Hän mainitsee, että esimerkiksi Englannissa Sidewellin B-reaktorin hätäpysäytys pitää sisällään 100 000 riviä koodia. Se tarkoittaa kuutta Päätaloa.Jos ajatellaan, että tämän koodin kirjoittaa useampi henkilö, muodostaa tämä melkoisen mahdollisuuden loogisille virheille.Useimmiten nämä virheet tulevat esille moninkertaisissa poikkeus-tilanteissa, joita ei ole edes osattu ajatella.Ei pelkästään puhtaissa ohjelmoitavissa järjestelmissä, vaan myös perinteisessä automaatiossa, voi järjestelmässä olla loogisia yhteyksiä, joita ei edes tiedetä

Dr. Leveson's book on software safety, (Safeware: System Safety and Computers, Addison-Wesley, 1995) includes almost everything she knew about the subject in 1995. Since then she has either gotten wiser or more confused (depending on your viewpoint) and is writing a second book . Recent research papers are available via the web

THERAC-25o Vuosina 1985…1987 kuusi ihmistä sai sädehoidon historian

suurimman säteily-yliannostuksen hoidon yhteydessä, Perussyynä oli laitteiden ohjelmoinnissa olevat virheet.

o Laitteessa luotettiin kohtuuttomasti jo käytössä olleeseen järjestelmään, jonka viat kuitenkin ilmenivät vasta uudessa laitteessa. Ohjelmoitavissakin järjestelmissä turvallisuus muodostuu kokonaisuudesta. Sitä ei takaa muualla toimineen järjestelmän käyttö

o Kuviteltiin, että yhden järjestelmävirheen korjaaminen poistaa ongelmat. Monimutkaisissa järjestelmissä on usein usempiakin virheitä. Standardit testiohjelmat eivät välttämättä paljasta monimutkaisten järjestelmien virheitä.

o Järjestelmien tekeminen liian käyttäjäystävällisiksi voi lisätä ohjelmointivirheitä

Erään tehtaan ohjausjärjestelmän kellot kävivät kolmea eri aikaa. Masterkello oli hävinnyt eräältä prosessiasemalta.

Työntekijä meni paikalle ja resetoi aseman. Resetoinnin seurauksena soodakattilan pää- ja varaväylän liikenne jumiutui. Sen seurauksena valvomosta ei pystynyt operoimaan mitään.

Prosessiasema sammutettiin, jolloin väyläliikenne palautui normaaliksi

Prosessiasemassa vaihdettiin CPU-kortti mutta käynnistyksen jälkeen sama tilanne toistui.

Kun asema sammutettiin ja reititin resetoitiin, tilanne normalisoitui.

Masterkello siirrettiin toiselle asemalle, jonka jälkeen havaittiin, etteivät muut kellot tahdistu masterkelloon.

Todettiin, ettei eräs kortti ei toimi oikein ja se vaihdettiin ja käynnistettiin asema.

Tämän jälkeen soodakattilan pää- ja varaväylä sekosivat jälleen, eikä niitä saatu toipumaan. Tilanne muodostui niin epästabiiliksi, että soodakattilan alasajo jouduttiin käynnistämään.

Huoltomiehiä pyydettiin poistumaan kattilarakennuksesta ja ennen hätäpysäytystä varmistettiin, että kattilahuone oli muutenkin tyhjä.

Valvomosta pystyi seuraamaan pysäytystä ainoastaan kaukovesilasin, tulipesäkameran ja kattilahuoneen kameroiden avulla

Pysäytyksen yhteydessä lieriön pinta alkoi nousta. Syöttövesipumppu voitiin pysäyttää vain turvakytkimestä. Lieriön pinnansäätöä lukuun ottamatta alasajo sujui normaalisti mutta ainoastaan malttinsa säilyttäneiden kokeneiden käyttäjien ansiosta

Varsinaista vian aiheuttajaa ei ole löytynyt

Nykyiset ohjaus- ja automaatiojärjestelmät ovat laajoja ja moneen kertaan paikkailtuja

o Kapasiteetin riittämättömyys voi aiheuttaa ongelmiao Koodia ei ole kirjoittanut yksi Päätalo, vaan

mahdollisesti useampi yrityskino Muutoksia on voinut tulla sekä ohjattavaan

prosessiin, ohjaavaan järjestelmään että ohjelmointiin

o Standardit testausohjelmat eivät välttämättä paljasta monimutkaisten järjestelmien vikoja

On varauduttava toimintaan järjestelmien jumiutuessa tai toimiessa ennakoimattomalla tavalla

Lento Varsovaan 1993o A320-211 oli saapumassa Varsovan kentälle kun sitä varotettiin

tuulenpuuskista kiitoradalla. Lentäjä lisäsi ohjekirjan mukaisesti laskeutumisnopeutta ja laskeutui kiitoradalle. Automaatiojärjestelmä havaitsi toisen laskutelineen keveän kosketuksen mutta ei mitään toisesta ja päätteli, ettei laskeutumista ollut tapahtunut. Tämän seurauksena siivekkeiden ja työntövoiman käyttäminen jarrutuksen tukena viivästyi 9 sekuntia. Näiden toimintojen käsikäyttö ei toimintaprosessin aikana ollut mahdollista. Kun kiitorata oli sateen jäljiltä liukas ei konetta saatu pysähtymään kiitoradan matkalla.

o Onnettomuudessa kuoli 2 ihmistä, 52 loukkaantui vakavasti ja 5 lievästi

Itsestään ajavan Google-auton eteen tullut yllättäviä ongelmia Talouselämä 24.1.2012 14:44päivitetty 24.1.2012 14:45

Viime vuoden erikoisimpia uutisia oli, että hakukonejätti Google on kehittämässä tietokoneohjautuviaautoja. Autot olivat jo ajaneet liikenteessä pitkiä matkoja ilman onnettomuuksia, kerrottiin tuolloin. Nytmonet alan asiantuntijat suhtautuvat kuitenkin epäillen mahdollisuuksiin kehittää itsestään ohjautuviaautoja. Lainoppineet, vakuutusyhtiöt ja hallituksen edustajat varoittavat Yhdysvalloissa, että ideanedessä on monia suuria ongelmia, kertoo The New York Times. Mitä esimerkiksi tapahtuu, jos poliisihaluaa pysäyttää tällaisen auton, eikä autoa ohjaava tietokone huomaa poliisia? Ja mitä jos tietokoneenohjaama auto on "liian kohtelias" eikä pääse etenemään risteyksessä, jossa muut autot ovataggressiivisemmin ajavien ihmisten ohjaamia? Tällaiset kysymykset nousivat esille taannoisessakonferenssissa, jossa kartoitettiin automaattiohjattujen autojen ongelmia. Asiantuntijoiden mukaankysymyksille ei ole vielä vastauksia. Googlen kokeet osoittavat, että tällaiset autot voivat vähentäähuomattavasti ihmisten ajovirheistä johtuvia onnettomuuksia. Lisäksi tietokoneen ohjaamat autot voivatvähentää päästöjä ja käyttää vähemmän polttoainetta. Autojen tekoäly ei kuitenkaan välttämättä riitäpysäyttämismerkkiä käyttävän poliisin tunnistamiseen tai risteyksestä läpi pääsemiseen. "Auto on niinkohtelias, että se saattaa istua risteyksessä ikuisesti, koska kukaan muu ei pysäytä autoaan", sanoo

Stanfordin yliopistontutkija SvenA. Beiker lehden mukaan.

Kun automaatio- ja tietojärjestelmässä on ongelmia jää perussyy usein selvittämättä. Yleisin selitys on sitten ylikuormitus

Kun ylikuormitusta tapahtuu ihmisten maailmassa tiskin eteen syntyy jonoja ja palvelu viivästyy, kun sitä tapahtuu tietojärjestelmissä, järjestelmä kaatuu

Yksi suurista riskilähteistä on edelleenkin koneen ja ihmisen yhteispeli. Toimintaperiaatteet ja havainnot ovat niin erilaisia. Mittalaitteet ja anturit havaitsevat vain yhden tai rajatun määrän suureita. Ihminen havannoi kokonaisuutta. Liiallinen luottaminen mittauksen ja tietojärjestelmän tietoon voi merkitä, että saamme virheellistä tai ainakin puutteellista tietoa turvallisuuden kannalta

Mielestämme se symboloi teknologisen aukon sulkeutumista robottien ja ihmisten välillä, NASAn robottitoimintojen kehittelystä vastaava Casey Joyce kertoi.

Toivottavasti tämä merkitsee sitä, että alamme tehdä virheitä tavalla jota kumpikin ymmärtää

NASA julkaisi kuvan robotin ja ihmisen lähentymisestä Michelangelon teoksen hengessä

Todellisuus ei aina ole sitä mitä kuvittelemmeo Ikä vaikuttaa

• Laitteiden kuntoon• Kerrostumiin ja sakkautumisiin• Mittalaitteiden näyttämiin• Turvajärjestelmien toimintavarmuuteen• Käyttäjien valppauteen

o Laitteet eivät välttämättä ole sellaisia kuin halutaan• Laatutaso• Virtaukset• Kannakoinnit, liitännät

o Laitteisto ei ainakaan hetkittäin toimi kuten on suunniteltu