rapport - sintef · 2014. 11. 17. · 3 1 evaluering av møtet og innspill 1.1 innledning vi vil...
TRANSCRIPT
RAPPORT TITTEL
Error Tolerance in complex settings. (Feiltoleranse i komplekse omgivelser). Resultater HFC Forum, 1. - 2.oktober 2008, møte #8.
FORFATTER/REDAKTØR
Johnsen S. O.
OPPDRAGSGIVER(E)
HFC – forum for human factors in control Postadresse: 7465 Trondheim Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 03 00 Telefaks: 73 59 03 30
HFC forum
RAPPORTNR. GRADERING OPPDRAGSGIVERS REF.
SINTEF A10368 Åpen Throndsen, T.I. /Statoil GRADER. DENNE SIDE ISBN PROSJEKTNR. ANTALL SIDER OG BILAG
Åpen 9788214047226 504144 166 ELEKTRONISK ARKIVKODE PROSJEKTLEDER (NAVN, SIGN.) VERIFISERT AV (NAVN, SIGN.) https://project.sintef.no/eRoom/civil/504017CRIOPUserGroup/0_c45a Johnsen, Stig O. Bodsberg, L. ARKIVKODE DATO GODKJENT AV (NAVN, STILLING, SIGN.)
20.10.2008 Throndsen, T.I. /Statoil SAMMENDRAG
Denne rapporten dokumenterer presentasjoner/artikler, agenda og deltakerliste fra HFC forum møtet den 1 – 2.oktober 2008 i Oslor, HFC forum møte nr 8. De vedlagte presentasjonene og artiklene er:
Error tolerance in complex settings P.Hudson/Leiden Univ. Safety Reporting in aviation P.Hudson/Leiden Univ. Toolbox talk: Human Error – hva er det A.J.Ringstad/StatoilHydro Fra Snorre A ”Hvorfor gikk det bra” T. Nilsen/StatoilHydro Human Reliability Analysis S. Massaiu/IFE Workshop S.O.Johnsen/SINTEF
• Proaktive indikatorer for fjernovervåkning og fjerndrift • Error tolerance in complex settings • Fra Snorre A – ”Hvorfor gikk det bra?”
Statnett presentasjon og omvisning kontrollrom, Ø. Bergvoll/ Statnett Erfaringer fra ulykkesgranskinger S. Petursson /Havarikom. ”Building safety” R.Tinmannsvik/SINTEF HF Kurs – erfaringer, innspill, veien videre K.Laumann/NTNU Informasjon fra HFN – Human Factors Nettverket i Sverige,
STIKKORD NORSK ENGELSK
GRUPPE 1 Menneskelige Faktorer Human Factors GRUPPE 2 ISO 11064 ISO 11064 EGENVALGTE Sikkerhet Safety
2
INNHOLDSFORTEGNELSE
1 Innledning - evaluering av møtet og innspill 2 Agenda og deltakerliste 3 Error tolerance in complex settings P.Hudson/Leiden Univ Safety Reporting in Aviation 4 Toolbox talk: Human Error – hva er det A.J.Ringstad/StatoilHydro 5 Fra Snorre A ”Hvorfor gikk det bra” T. Nilsen/StatoilHydro 6 Human Reliability Analysis S. Massaiu/IFE 7 Workshop
• Proaktive indikatorer for fjernovervåkning • Error tolerance in complex settings • Fra Snorre A – ”Hvorfor gikk det bra?”
S.O.Johnsen/SINTEF
8 Statnett presentasjon og omvisning kontrollrom, Ø. Bergvoll/ Statnett 9 Erfaringer fra ulykkesgranskinger S. Petursson /Havarikom. 10 ”Building safety” R.Tinmannsvik/SINTEF 11 HF Kurs – erfaringer, innspill, veien videre K.Laumann/NTNU 12 Opprinnelig program/Invitasjon 13 Informasjon fra HFN – Human Factors Nettverket
i Sverige, etter samarbeidsmøte den 7/10 ved KTH
14 Invitasjon til HFN møte 5-6/11 "Utformning av robusta MTOsystem - Resilience Engineering och Riskhantering i praktiken"
3
1 Evaluering av møtet og innspill
1.1 Innledning Vi vil med dette sende ut evaluering av HFC møtet, deltakerliste og presentasjonene fra HFC forum møtet den 1-2 oktober i Oslo. Vi minner om neste HFC møter den 22. til 23. april i Stavanger og 21. til 22. oktober under studenteruka i Trondheim. Dessuten minner vi om mulighetene for å ta kurset ”Introduksjon til Human Factors og integrerte operasjoner” våren 2009. Det er samlinger i uke 7 (10,11,12 februar), uke 11 (10,11,12 mars) og uke 20 (11,12,13,14 mai). Påmelding http://videre.ntnu.no. I det nedenstående har vi sakset inn korte punkter fra de evalueringene som deltakerne leverte inn.
1.2 Evalueringer Generelt synes det som om de fleste er meget godt fornøyd med HFC møtene og formen som benyttes. Kommentarene vi får er positive, med gode tilbakemeldinger på det faglige og sosiale utbytte. Forumet er bredt med mange forskjellige deltakere, og utfordringen er å gi alle noe, både forskere, konsulenter og industrideltakere. Vi får derfor et bredt sett av innspill. I forbindelse med evalueringen ble følgende innlegg trukket frem som gode av de fleste: • ”Error tolerance in complex settings” P.Hudson/Leiden University • ”Toolbox talk: Human Error – hva er det” A.J.Ringstad/StatoilHydro • ”Fra Snorre A -Hvorfor gikk det bra” T. Nilsen/StatoilHydro • Workshop: Proaktive indikatorer for fjernovervåkning, Error Tolerance og Snorre A. • Statnett presentasjon og omvisning kontrollrom Ø. Bergvoll/Statnett • ”Building safety” R.Tinmannsvik/SINTEF
1.3 Formen på HFC møtene Tilbakemeldingene er at en ønsker seg to møter pr år, og det virker bra med en samling som går fra 12 til 12.
1.4 Tema og forelesere til de neste HFC møtene Generelt synes møtedeltakerne at det har vært bra å konsentrere seg om et fåtall emner og behandle de skikkelig. Det var nyttig med en kombinasjon av praktiske erfaringer, metoder og retningslinjer. Viktig med konkret presentasjon av hvordan en spesifikt hadde anvendt temaets momenter/faktorer i konkrete prosjekter, og resultater. Viktig at en passet på å ivareta bredden i HF. Viktig å ha arbeidsgrupper som diskuterer aktuelle tema og ikke dupliserer annen aktivitet. Det var flere tema en ønsket å følge opp senere, eksempelvis:
o ”Shared situational awareness in IO teams.” Viktigheten av å ha en lik situasjonsforståelse ved en overgang til kommunikasjon gjennom “nye” kanaler.
o Utfordringer med Teams of Teams” – spesielt interessant i forhold til IO. o Hendelser hvor Human Factors (HF) eller mangel på HF har vært avgjørende og
eksempler på gode/dårlige HF design. o Luftfart, besøke kontrollrom i flygeledersentraler. o Inntog i det globale: Språk, kultur, tidsforskjell, HF i global setting. o IO og HMS, hva er oppsider og utfordringer.
4
o Risikoforståelse o Hva kan nye perspektiver som Actor-network theory (ANT) bidra med i HF granskninger.
Diskusjon av sosiotekniske system teori (STS) som grunnlag i HF, nye perspektiver. o Hvordan er menneskelige og organisatoriske aspekter behandlet i forskjellige
risikoanalyse tilnærminger, se hvordan HRA/PSA gjør det Mht foredragsholdere ble følgende foreslått:
o Edouarda Salas – med tema ”Teams of Teams” o E. Hollnagel. o Repr fra Luftfarten og/ell tungindustri som Volvo, Saab Aerospace. o Knut Holtan Sørensen (Senter for teknologi og samfunn/NTNU).
1.5 Samarbeid med det svenske HFC nettverket, som heter HFN Thor Inge Throndsen og Stig Ole Johnsen besøkte det svenske nettverket, HFN, den 7/10 ved KIT i Stockholm. Deltakere på møtet fra HFN var Arne Axelsson (styrelseordf.), Gunilla Derefeldt; Lena Mårtensson; Clemens Weikert, Kjell Ohlsson og Martina Berglund (HFN verksamhetsledare). [På vedlagte presentasjon fra møtet dokumenteres de forskjellige rollene til deltakerne i HFN. ] Formålet med møtet var å styrke samarbeidet mellom HFC og HFN nettverkene. Agenda for møtet var:
1. Kort beskrivning/presentation av respektive nätverk, målsättning, verksamhet, styrkor och vad som kan utvecklas vidare
2. Vad vill vi uppnå med samarbetet? 3. Utväxling av information om möten, kurser och annan undervisning 4. Ytterligare steg/aktiviteter för att fördjupa samarbetet 5. Övriga frågor
Det vi ønsker å oppnå er å kunne delta på hverandres møter uten problemer, utveksle og dele erfaring, ha tilgang på informasjon fra web-sidene hos HFC og HFN, arrangere felles møter etter behov hvor vi kan dele forelesere. Presentasjonene og referat fra møtet ligger som vedlegg. Neste møte i HFN er en workshop 5-6 november med temat "Utformning av robusta MTOsystem - Resilience Engineering och Riskhantering i praktiken". Påmeldinger til Lena ([email protected]). HFN vil være vertskap for HFES (Human Factors and Ergonomics Society) konferansen i 2009. I tillegg til at vi ble bedre kjent med HFN nettverket, kom det opp følgende momenter:
o Vi planlegger at HFN deltar i et HFC møte i april, hvor vi legger opp til en workshop hvor vi kan diskutere evt ytterligere konkret samarbeide som er nyttig for deltakerne i nettverkene.
o Vi er enig om at medlemmene kan delta på kurs som arrangeres. For oss i HFC er det mulig å delta på de planlagte kursene hos HFN i 2009, som p.t er: ”Juste culture” (mars 2009)/ ”Drifttagning av tekniska system”(maj/juni 2009) / CRM-seminarium (ikke tidsbestemt). Dersom det er interesse for å delta i CRM kurs – kan det arrangeres etter behov fra de som er interessert i HFC nettverket.
4
Agenda og deltakerliste HFC forum, Oslo 1-2 Oktober, 2008
Error tolerance in complex settings
1-2.oktober 2 0 0 8
HFC Møte
AGENDA
Radisson SAS Scandinavia Hotell, Holbergs gt 30
Dag 1-1/10 Ansvar/Beskrivelse 11:30-12:30 Registrering og lunsj SAS Radisson Hotell 12:30-13:00 Velkommen til møtet – rundgang rundt bordet HFC 13:00-14:00 Error tolerance in complex settings P.Hudson/Leiden Univ. 14:00-14:30 Toolbox talk: Human Error – hva er det A.J.Ringstad/StatoilHydro 14:30-15:00 Kaffe/Pause 15:00-15:30 Fra Snorre A ”Hvorfor gikk det bra” T. Nilsen/StatoilHydro 15:30-16:00 Human Reliability Analysis S. Massaiu/IFE 16:00-16:15 Innledning – Proaktive indikatorer for
fjernovervåkning og fjerndrift Innleder fra HFC
16:15-16:30 Pause 16:30-17:45 Workshop:
• Proaktive indikatorer for fjernovervåkning og fjerndrift, hvordan unngå menneskelige feilhandlinger i forkant?
• Snorre A – Hvorfor gikk det bra • Error tolerance in complex settings
Alle
17:45-18:00 Oppsummering i plenum Plenumsdiskusjon 19:30 Middag på Operaen Dag 2-2/10 08:30 Buss henter på SAS Radisson Hotell, drar 08:30 08:45-09:00 Statnett – Husebybakken 28, Smestad - Kaffe 09:00-10:00 Statnett presentasjon og omvisning kontrollrom Statnett/ Øyvind Bergvoll 10:00-10:30 Refleksjoner og spørsmål til hva vi har sett IFE, HCD 10:30-10:45 Retur SAS Radisson Hotell 10:45-11:00 Kaffe/Frukt Radisson 11:00-11:45 Erfaringer fra ulykkesgranskinger Havarikommisjonen/
Sigurdur Petursson 11:45-12:15 ”Building safety” – et samarbeid for utvikling av
robuste organisasjoner SINTEF/R.Tinmannsvik
12:15-12:30 HF Kurs – erfaringer, innspill, veien videre NTNU/K.LaumannUtgår Human Factors Assessment and Classification
System (HFACS) for the Oil & Gas Industry NTNU/E.Aas
13:00-14:00 Lunsj – SAS Radisson Hotell
Besøk Troll A CCR Mock up Drammen Adresse: GCCD, Sundland, Skogliveien 4 Onsdag 1.oktober kl.09.00 - kl.10.30
Agenda: 1: Troll A CCR design prosess og basis 2: CCR mock up aktiviteter 3: Troll A CCR layout og arbeidsmiljø 4: Troll A CCR storskjermsløsninger og HMI utvikling
Reise info til Troll A mock-up Global Control Center Design AS Sundland Skogliveien 4 N-3047 rammen DNorway
Fra Gardermoen Flytoget fra Gardermoen til Asker tar 48 minutt og går hver 20 minutt. Avgang: 36, 56, 16 Ankomst 24, 44, 04 Det tar 20 minutt fra Asker stasjon til GCCD i Drammen med taxi Fra Oslo S NSB tog avgang Oslo S 07.57. Ankomst Drammen 08.34 Det tar 5 minutt med taxi fra Drammen stasjon til GCCD Asker og Bærum taxi 81533815 Retur Retur til HFC forum, Radisson SAS Scandinavia Hotell: Avgang NSB tog Drammen 10.51. Ankomst Nasjonal Teater 11.25 10 minutt gå avstand til Radisson SAS Scandinavia Hotell, Holbergs gate 30 (11:30-12:30 registrering og lunsj) Arno Pont CCR lead & IO responsible Troll A Project Mob 90067636
5
Etternavn Fornavn Bedrift E-mail
1 Lilleby Jasmine Ramberg
Aker Solutions – Energy Development & Services [email protected]
2 Hordvik Jan Aker Solutions AS [email protected] 3 Storebakken Hasse Bærekraftig Arbeidsmiljø [email protected] 4 Trane Ivar Saga ConocoPhillips Norge [email protected] 5 Fartum Håkon Det Norske Veritas [email protected] 6 Fernander Marius Det Norske Veritas [email protected] 7 Øie Sondre Fagerli Det Norske Veritas [email protected] 8 Petursson Sigurdur Havarikommisjonen [email protected] Green Marie HCD [email protected] Green Mark HCD [email protected]
10 Frohm Jörgen Human Factors Solutions [email protected] 11 Hollingdale Kristin Human Factors Solutions [email protected] 12 Falmyr Odd IFE [email protected] 13 Massaiu Salvatore IFE [email protected] Thunem Atoosa P-J IFE [email protected] 15 Robstad Jan Arvid Kokstad BHT [email protected] 16 Byremo Ståle Kokstad BHT [email protected] Andersen Heidi National Oilwell Varco [email protected] Sandnes Charles Holst National Oilwell Varco [email protected] 19 Eskedal Trond S Petroleumstilsynet [email protected] 20 Kvernberg Rune Petrolink AS [email protected] 21 Wærø Irene SINTEF Teknologi og samfunn [email protected] 22 Johnsen Stig Ole SINTEF Teknologi og samfunn [email protected] Tinmannsvik Ranveig SINTEF Teknologi og samfunn [email protected] Bergvoll Øyvind Statnett [email protected] Moltu Berit StatoilHydro [email protected] 26 Kaasa Øyvind StatoilHydro [email protected] 27 Nilsen Thomas StatoilHydro [email protected] Pont Arno StatoilHydro [email protected] Ringstad Arne Jarl StatoilHydro [email protected] 30 Sæther Geir Golden StatoilHydro [email protected] Throndsen Thor Inge StatoilHydro [email protected] Laumann Karin SVT NTNU [email protected] 33 Hudson Patrick Leiden University [email protected]
Tolerance for Error in Complex Settings
Patrick Hudson
Leiden University
Introduction
• What does error tolerance mean?
• The situation
• Complex situations
• The person and error
• Society and tolerance for error
The 380 is now flying
A380 A Complex Setting
• 490 – 850 passengers
• MTOW 580 tons
• Many different in‐flight computer systems
• Electronic flight bag introduced
• 2 pilots
• We cannot allow this to crash – ever!
Looking from the inside or the outside
Inside view
Outside view
Looking from the outside - and with hindsight - it is easy to see the risks involved. From the inside, the situation may be less obvious.
Looking from the outside - and with hindsight - it is easy to see the risks involved. From the inside, the situation may be less obvious.
Hindsight
(Dekker, 2000)
Actual outcome
Possible outcome
1
Possible outcome
2“Why didn’t they
zag”?
“Why didn’t they zig”?
Going back through a sequence, you may wonder why opportunities to direct events away from the outcome were missed. This, however, does not explain the failure
Going back through a sequence, you may wonder why opportunities to direct events away from the outcome were missed. This, however, does not explain the failure
The Illusion of Free will
• People believe they have free will– They can always choose what they will do– They can foresee the consequences of their actions and act accordingly
• They attribute this to others– They commit the fundamental attribution error– Hindsight bias makes the choices seem less and more obvious than at the time
• They regard human failures as more avoidable than technical failures
Two kinds of accidents
Individual Individual accidentsaccidents
Organizational Organizational accidentsaccidents
FrequentFrequentLimited consequencesLimited consequencesFew or no defencesFew or no defences
Limited causesLimited causesSlips, trips and lapsesSlips, trips and lapses
Short Short ‘‘historyhistory’’
RareRareWidespread consequencesWidespread consequences
Many defencesMany defencesMultiple causesMultiple causes
Product of new technologyProduct of new technologyLong Long ‘‘historyhistory’’
Herald of Free Enterprise
TRIMMING PROBLEM
MANAGEMENT
NO CHECKING SYSTEM
15 MINUTES EARLIER5 MINUTES LATE
DOOR PROBLEM
LOADING OFFICER
ASSISTANTBOSUN
BOSUN
ACCELERATION
NO INDICATION
ASSISTANT BOSUN ASLEEP
HIGH BOW WAVE
SHIP HEAD DOWN
CHIEF OFFICERLEAVES G-DECK
MASTER ASSUMESSHIP READY
CAPSIZE
DOORS OPEN
The Herald of Free Enterprise
• Townsend Thoreson allowed the margins to slip and continued to tolerate problem situations
• The officers’ tasks were extended and made less clear
• Many incidents occurred without consequence
• Finally all it took was one person to oversleep and an officer to misperceive a crewman
What can we do?
• If we want to go further and manage error we have to understand what is going on
• This requires understanding people, systems and their interaction
• Requiring perfection is based upon an illusion
3 types of Error Tolerance
• The probability of making an error = p(error)
• The probability of recovering from an error once made = p(recovery)
• The probability that an error is inconsequential = 1‐p(consequences)
• The management of each of these is quite different even if they are intertwined
Making Errors
• The first factor is p(error)
• We know how to ensure that people do not make errors (or make fewer)
• These factors have only a partial relationship, at best, with the consequences if an error is made
• Different types of error do, nevertheless, have different patterns of consequence
Error‐producing conditionsUnfamiliarity with task (x17) Time shortage (x11) Poor signal:noise ratio (x10) Poor human-system interface (x8) Designer-user mismatch (x8) Irreversibility of errors (x8) Information overload (x6) Negative transfer between tasks (x5) Misperception of risk (x4) Poor feedback from system (x4) Inexperience (not lack of training) (x3) Poor instructions or procedures (x3) Inadequate checking (x3) Educational mismatch (x2) Disturbed sleep patterns (x1.6) Hostile environment (x1.2) Monotony and boredom (x1.1)
Altimeters
The perceptual discrimination difficulty makes errors more likely (10,000 foot errors) and caused many crashes
It doesn’t matter in helicopters because they don’t go above 10,000 foot
Consequences of Errors
• Slips are usually benign– Except surgery, low level flying etc
• Lapses are more dangerous– Others assume things have been done (maintenance)
• Mistakes are even more dangerous– We set up a clash between belief and reality
• Violations are occasionally disastrous• Situations become truly dangerous when more than one error is made– Violation + Error = Death/Doom/Disaster
Errors in complex settings
• Slips can be caused by a complex operating environment
• Lapses can be caused by having too much to do/remember
• Mistakes are caused by incomplete understanding of current and future reality
• Violations may be caused by experience and expertise
Complexity
• Complex systems require the development of a mental model– Designer– Operator
• These will inevitably be incomplete• People using complex systems will explore them
– To develop their model – past training– To find out what it can do – what else can it do?– They will regress to trial and error because it is a human thing to do
Mistakes
• Mistakes come in two types– Rule‐based– Knowledge‐based
• In complex systems we may have to rely more on knowledge‐based processing– Not all the possibilities may have been explored– We may be relying on an individual’s competence to control the system
• Violations can often be treated as a form of mistake– Based on belief you know best
Mistakes ‐ 2
• The problem starts once we make our mind up– We go for closure
– The alternative is to dither and do nothing
– Hamlet syndrome
• Unlike skill‐based errors (slips & lapses) we treat counter‐evidence differently– Confirmation bias
– stereotyping
Hindsight Bias
Surgeon at the time Lawyer after the event
Hindsight Bias
• Hindsight Bias (Fischhoff, 1975)• One knew it all along• Known branches are over‐estimated
– We now know the outcome, we didn’t before– The scenario now seems easy to generate and therefore was easy before
the event
• In advance, bad outcomes are evaluated as less likely, especially if you feel you can control matters
• If you knew the best options, and could have controlled for them, then selecting any other must be incompetent!
Boeing 757 Start Sequence
Recovery from Error
• Recovery requires detection
• Slips are easy if there is a physical mismatch
• Lapses are harder to arrange for recovery unless a mismatch can be detected
• Mistakes are the big problem
• Violations might be undone in advance of combining with another error
“Error” rate, detection, and performance
“Error”rate per
hour
2468
101214
40%
50%
60%
70%
80%
90%
100%
“Error”recovery rate (percentage)
Relaxed (inattentive)
Standard performance
Maximum perf.
Loss of control
Wioland & Amalberti, 1994
Consequences of Error
• Many errors are inconsequential– we may never know
• We can try to design Fail‐Safe systems
• we can design for graceful degradation
• We have major problems when we have non‐reversible systems or detection is too late
Things we want to do
• We still need to recognise that we have made errors
• This might be a Harbinger of Doom– Longford
– Texas City
• We can learn before we have an accident
Risk Homeostasis
• Risk Homeostasis proposes that we act to maintain a constant level of perceived risk
• If we know that making errors is inconsequential we may push the envelope further
• Design assumptions will have been based on the original operating envelope
• The inconsequentiality may not apply in a new envelope
Pushing the Envelope
Normal design area
Extended operating area
AB
Errors aren’t all bad
• Error making is a natural consequence of being good
• Skill‐based errors are because we are skilled
• Knowledge‐based errors are because we can
Positions we demand
• Fail safe – may be impossible
• Graceful degradation – we push the envelope
• Make ‘better’ procedures
• Have the best people
Fail Safe
• Difficult to design
• May have unexpected assumptions that errors may expose
Graceful Degradation
• Allows for errorful operation without consequences
• May suddenly prove surprising
Proceduralise
• A simple solution full of problems
• Procedures need to be extremely good and up to date
• People need to be trained and tested
• Violations represent a way of circumventing procedures that ‘get in the way’
• Automation is not necessarily a solution (thinking so may itself be an error)
Get the best
• The best people make the best errors
• These are the people who will push the envelope and bend the rules
• They want to try harder
• They make more errors because they are good
Society
• Society is demanding that we do not tolerate errors
• But errors may be characteristic of good as well as poor operations
• Complex systems will never be fully understood until afterwards
• Over‐defence may be as dangerous as under‐defence
Safety Reporting in Aviation: Safety Management and Safety Culture in Interaction Professor Patrick Hudson Leiden University, Netherlands Abstract This paper examines the necessity for safety reporting in terms of risk management, using the Bowtie model as a way of showing how reports of minor incidents can provide vital information about how well an organisation is managing the risks of the business. As the underlying causes of both major accidents and minor incidents are similar, reporting all types of incidents provides invaluable information that can be used to prevent accidents. The International Civil Aviation Organization has recognised this necessity in its definition of how Safety Management Systems (SMS) should operate. Nevertheless, there are many situations in which people are afraid to report, because of a blame culture, or do not feel it is worthwhile. This paper identifies three different types of blame culture, the Personal, the Professional and the Political and then examines how these might be countered, primarily by education and an understanding of how accidents are caused. The paper ends with a plea for all involved, from pilots and engineers to regulators, politicians and the media, to put aside natural tendencies to blame in favour of supporting full and open reporting in commercial aviation. About the Author Professor Patrick Hudson is with the Centre for Safety Research, Leiden University, Netherlands. He has been Project Leader of the Tripod Research Programme on Human Error for Shell International since 1988, cooperating closely with Prof. J Reason of Manchester University, UK. He was involved in the early development of safety management systems as well as human factors programmes. He currently leads the Hearts and Minds research programme on the development of safety culture in the Oil and Gas industry. Prof Hudson is a member of ICAO’s Human Factors Awareness Group and the Joint Aviation Authorities Human Factors Steering Group. His involvement with aviation includes working with companies such as Ansett Australia, Emirates, British Airways, Cathay Pacific, Shell Aircraft, KLM Helicopters and Swissair. He has over 180 publications in scientific journals, books and conference proceedings.
Safety Reporting in Aviation: Safety Management and Safety Culture in Interaction Professor Patrick Hudson Leiden University, Netherlands Introduction Many incidents in aviation would go unknown unless someone reports them. This is unfortunate, because learning from minor incidents is the most cost-effective way of making the aviation system safer. Accidents are obvious and fortunately rare, but near misses and minor incidents are much more common and can go undetected unless some is willing to tell what happened. The causes of accidents and near misses are the same, especially at the level of the underlying causes (Reason, 1997), which is why they are commonly collected together under the term incidents. This paper will first discuss why it is so important to report more than just the major incidents, placing reporting firmly in the context of safety management, and then consider why people find it so difficult to report, describing a number of distinct organisational cultures. The paper then considers the range of possible mechanisms for ensuring reporting and concludes with a plea to put aside culturally determined barriers in favour of encouraging a truly proactive management of the risks in aviation. Why Report? After a major incident, whether an actual accident or a very public near miss, there will be a formal investigation to discover what happened and, more importantly, why1. After such an investigation, the results can be disseminated throughout the industry and the expectation is that the safety of the system, as a whole, can be improved and possible accidents avoided. In the last 100 years of aviation, learning from accidents has been the main way in which the industry has become safer; almost every line of the ICAO Annexes can be traced back to an incident that now need no longer be repeated. Experience with major incidents in a great many different industries has shown that there are almost always precursors that were, or could have been, identified in less serious incidents. In many cases these minor incidents fall below the threshold that required them to be officially reported and, subsequently, investigated (see Figure 1). These incidents will have breached one or more barriers, “slices of cheese”, but will not have gone so far as to be classified as an actual accident. Barriers are intended to prevent hazards form creating losses,
1 ICAO Annex 13 is quite explicit in its requirement to uncover the reasons why an incident happened and to do this in a blame-free setting. This paper explores just why the blame-free element is so important, especially when incidents do not reach their full disastrous potential.
such as an accident. Some barriers may involve design procedures, others may involve competence and vigilance. Poor design or inappropriate procedures are latent conditions that are represented by ‘holes in the cheese’, but an accident may be prevented by the competence and vigilance of an operator, such as a pilot or air traffic controller. With the benefit of hindsight, such minor incidents have often proven to be the harbingers of a future disaster. The immediate precursors that can be identified from minor incidents will themselves have been caused by organisational failures or shortcomings, such as lack of oversight, inappropriate procedures or a shortage of funding. These are all factors that typically have an impact on a great many other possible defences that prevent future accidents (Reason, 1997). It is this information that reporting of incidents can and should provide. In an ideal world sufficient levels of proactive reporting of minor incidents, allowing the identification of the underlying causes of potential incidents, should help drive down the number of incidents where actual damage or injury occurs.
Figure 1: The Swiss Cheese model of accident causation (Courtesy J. Reason).
Reporting and Risk Management Reporting is one of the three major methods for acquiring information about how well risks are being managed. This is the reason why incident reporting is stressed as one of the major components of an SMS (ICAO, 2005). The other two are audits and, the most unforgiving, accidents and major incidents where no one can deny that something went wrong. Reporting enables us to identify systemic weaknesses as well as providing an important way of identifying new hazards or threats that need to be managed to assure safety. To see reporting in context, it is necessary to understand how risk analysis is performed in other hazardous industries. Risk analysis in general involves: Discovering how undesired consequences can occur and what hazards are
involved (e.g. Terrain, other aircraft, birds, Foreign Object Damage, etc.); Uncovering both the superficial and root or underlying causes of problems;
Identifying how these causes can be managed effectively so that the problems do not arise.
Risk assessment goes further than analysis and involves quantifying the probabilities of such consequences and identifying the frequency of underlying threats – how they may arise – and assessing the effectiveness of preventative and mitigation barriers intended to prevent problems from arising.
Example – Airside Collisions with New Generation Composite Aircraft There is a specific example which shows how reporting of apparently trivial incidents can no longer be treated as a luxury. Future generations of aircraft will almost certainly increasingly be constructed from composites, like the Boeing 787. One particular problem for such aircraft lies exactly in their strength. Many components may fail to show, to simple visual inspection, that they have been damaged to the point of threatening airworthiness as materials may spring back after being hit. There are effective non-destructive techniques that are capable of detecting such damage and allowing an assessment of whether repair is necessary or not, but it is necessary first to know whether and where to look. Whether the damage is caused by dropping tools in engineering or vehicle collisions on the ramp, the only way to set a testing process in operation is to have someone report what happened and where; the alternative of checking the whole of every such aircraft before every flight is unthinkable. At the same time such reports also provide information about why such a collision occurred in the first place; collecting such reports can show if there are trends, such as airside drivers who may not have been given sufficient training to acquire the necessary competence to drive heavy vehicles in the vicinity of composite aircraft.
In aviation, we are concerned with a wide range of possible consequences ranging from multiple fatalities and aircraft loss, e.g. Controlled Flight into Terrain (CFIT), to damage without injury and reputation damage to airlines, airports, Air Traffic Management (ATM) providers and the sector as a whole. One of the lessons from other high-hazard industries requires managing the full range of the problems that can cause such outcomes, not just by working backwards in the hope of preventing specific outcomes like CFIT or runway incursions (Hudson, 2003a). There are two basic approaches, viz. reactive and proactive, to analyzing the risks of an operation. The reactive approach uses actual incidents and uncovers root causes by working backwards from consequence to cause. A more proactive version of incident analysis imagines what possible incidents could happen and again works backwards to ascertain how such an incident could happen. An explicitly proactive approach, Failure Mode and Effect Analysis (FMEA), moves
forward from possible cause towards potential incidents, by systematically varying every element or component in a system and seeing what failures can result. FMEA, while fully proactive, is labour intensive and is usually only applied to engineering problems with a concentration on ‘hard’ component failures because of the difficulty in developing such a systematic approach with softer human factors issues. Representing Risks – The Bowtie Diagram One way of understanding how accidents can be prevented involves using a risk analysis method called the Bowtie, shown in Figure 2, which provides a way of combining these two approaches while significantly reducing the complexity. Bowties are based around a top event, the point at which no adverse consequences have yet occurred, but where control over the hazard has been lost. There are a number of threats, ways in which the hazards can be released leading to a top event and on to the undesirable consequences. To prevent hazards being released and the consequences happening, we can place barriers on the threat pathway. These barriers may depend on hard controls, such as designed hardware or softer controls such as procedures. The barriers are explicit representations of the slices of cheese in the Swiss Cheese model. A full bowtie represents a risk analysis, with all the threat pathways and barriers identified. If the frequencies of threats and the effectiveness of the barriers are also quantified, then we have a risk assessment.
Figure 2: The Bowtie diagram.
Example of a Bowtie Analysis – Bird Strike Bird strike is a major issue in aviation, which can result in a crash or major damage to engines and airframes. These are the consequences that we wish to avoid, but the Top Event, where we have lost control, is the point where birds and aircraft are in the same airspace. Birds are the hazards, either flocks of small birds like pigeons, gulls or occasional large birds such as pelicans or geese. To the left of the Top Event we represent how this can happen (the threats- how we get birds near airports) and what we can do to avoid this from happening in the first place, (the barriers – such as managing rubbish dumps or using bird-scaring tactics). To the right of the Top Event are the recovery measures, mitigation defences, which show what we can do to ensure that the worst consequences are not reached if there is a bird strike despite our best preventative endeavours (engine design, pilot procedures, fire brigade, pre-designed press releases). Each of these barriers is, in fact, a slice of cheese in the Swiss Cheese model shown in Figure. 1. The Escalation factors are shown to see how specific barriers and mitigation measures might fail – how the holes get into the cheese. If one barrier is for an aerodrome to employ an ornithologist, the escalation factor might be cost pressure and it is possible to see that some steps would need to be taken to ensure that cost reduction did not result in the loss of an ornithologist and subsequent increased risk of major bird strike. The conventional barriers and defences are found in the main bowtie; the organisational underlying causes are to be found on the escalation factors. Reporting provides a major mechanism for discovering that one or more barriers are ineffective at either the main bowtie level or within the escalation factors.
Reports can be made about failures at any point in the trajectory from hazard as well as about novel hazards. At the level of consequences we will have had an actual accident, at the level of the top event and where right-hand side barriers have failed, we will have had an incident that can be easily recognised as a near miss. Prior to the top event, on the left-hand side, we could have identified a failing preventive control. The bowtie diagram, in the case of any incident, enables us to identify just which barriers failed and which barriers also worked to avoid the full consequences. Accidents and public near-misses may suffice to set investigation in progress, but there is already a cost, if only to reputation. The less obvious incidents, in contrast, can also be analysed and can provide the same information at considerably less cost, at least in terms of public exposure. One thing is clear from this analysis of reporting as an integral part of the risk management process. Reports have to be investigated to the point where they reveal information about systemic shortcomings that could potentially impact operations and so cause more serious incidents. Without such analysis, reporting is no more than a token exercise most likely to reflect as time-consuming and expensive, requiring extensive training if anything more than a superficial re-
description of the incident and some trivial trending is to be achieved. The bowtie, once in place, provides an accessible and relatively rapid way of setting out the set of barriers available2, allowing the investigator to identify which ones failed, which remained intact, and what if any hazards and new threats can be identified. Why Not Report? If the case for reporting is so clear, why should people not report? The reality is that reporting in many organizations and countries is sometimes infrequent; this despite the belief that there is quite a lot happening, even in very safe operations, worthy of being reported, because individuals fear being personally blamed for what went wrong, or more specifically, the consequences. Blame cultures are those in which there is a strong desire to identify and punish those who have failed in some way, typically those most closely identified with causing some bad outcome. They are found in a wide variety of professions and in many national cultures. Blame cultures can be understood in the light of two factors. One is a well-known and reliable psychological phenomenon called the ‘Fundamental Attribution Error’. This refers to the disparity in explanations of events between the individuals involved and observers; observers explain individuals’ failures in terms of their poor internal psychological characteristics, while those same individuals explain their actions with reference to the external environment. The term pilot error, for instance, is used to blame the pilot, typically in terms of the individual pilot’s personal failings, while the pilot might point to the environmental factors3. The second factor is the belief that people, unlike inanimate forces, have the power to control their own destiny. Taken in combination with hindsight bias (Hudson, 2001; Fischhoff, 1975; Fischhoff & Beyth, 1975), where people believe that “they knew it all along”, this leads to explanations of events in which a person can be expected to have known what was happening and to have had the ability to prevent the bad consequences from happening. The belief is that individuals, typically at the last moment, could have and should have exercised sufficient control over their actions. The fact that they did not makes them candidates for blame. There appear to be three different types of blame culture, the Personal, the Professional and the Political. In the Personal culture, there is a belief that people who immediately ‘cause’ an accident should pay for it. Individuals are afraid of the consequences if they should report, especially when it is their own actions, or inactions, that they are reporting. Even if they are not afraid of the organizational consequences, such as punishment, they may still be keenly aware of the loss of face reporting one’s own failures can incur. In many national cultures the fear of
2 This is not necessarily to imply that the bowtie is the only possible methodology, but it sets a benchmark for quick and effective investigation of minor incidents that other methodologies will have to meet. 3 In contrast people do tend to attribute their successes to their individual qualities, while outsiders may make reference to the environment those individuals found themselves in.
such outcomes is enough to provide a significant impediment to reporting. These impediments to reporting can be overcome if there is sufficient appreciation that front line operators, whose actions may have been in error at the end of the whole incident trajectory, are equally the victims when there are underlying causes over which they have little or no control (shown in Figure 1). In the Professional culture, individuals may still feel ashamed of the fact that they have performed below their own expectations and would rather not tell. Professionals cultures are those in which the key individuals – pilots, engineers, and doctors form good examples – feel that they possess exceptional characteristics and have been given special training so that any failure to exercise the highest professional standards of performance must reflect upon them personally. In many ways these groups may be seen to fall under a reversed attribution error; failure reflects on their failure to exercise sufficient control whatever the circumstances, while success is only what would be expected every day. Finally, the Political culture covers the complex of public constituencies outside the organisation that also seek to identify individuals to blame, from the law to the media. There may be impediments to reporting from external agencies that mean that, even with an open culture within the organisation with the understanding that everyone is fallible, reporting is still an open invitation to some form of sanction, whether legal or in terms of reputation damage to either individuals or the organisation as a whole. The law, almost by definition, institutionalizes the concept of blame and subscribes to the belief that identification and punishment of those who fail, whether intentionally or not, is essential. Often there is a belief that punishment, especially in public, will ensure that other people do not make the same errors – a belief that flies in the face of 100 years of psychological study. The media is also served by providing easily understood explanations of why things went wrong, especially after a public disaster – unfortunately accurate explanations rapidly become too complex to capture in a sound bite or a headline, while pilot error meets the bill easily. In commercial aviation the problem may be exacerbated by the public perception that aviation is safe, therefore any failure of the system must be due to one or more individuals who actively subverted that safe system. Some or all of these cultures may be in effect at the same time, they are different but not incompatible because the same psychological mechanisms of blame underlie all three. Types of Reporting System There are a variety of different ways to collect reports. A number of these systems are intended to encourage reporting by avoiding some of the cultural pitfalls. This section describes the different types of systems available, the next
section considers how they can be used to get people to report. Barach & Small (2000) provide a comprehensive review of reporting systems. Anonymous reporting systems, while potentially capable of lowering the
threshold to report, suffer from a number of problems that make them effectively useless. One is that such systems are open to abuse, allowing people to make reports that bring individuals into focus that may be the result of malicious rather than well-intentioned intent. But more important is the fact that it is hard, or impossible, to get the information that is really important; one is left with the immediate description of what happened and little if any trustworthy information about why the event happened. Yet I have argued above that this is the true value of reporting.
Confidential reporting systems are intended to overcome the problems with
anonymous reporting, removing both malicious reporting and the inability to follow up reported incidents. They should allow people who feel that they may be blamed to report anyway because their names should never be released to those who will blame. The necessity of such systems reflects on the overall culture of the organizations, as it is still felt necessary to protect reporters.
Protected reporting systems are those that provide a degree of protection
from prosecution. The American ASRS provides immunity for those who report in a timely manner.
Open reporting may be constrained, names are known but reports and their
results are typically published without references to persons, or totally open, as when access to all reports in the system is available to everyone in the organisation, or limited to those with a need to know.
Mandatory reporting is normally demanded by legal requirements. Such
reports are invariably specific about individuals, but may be confidential within the confines of the organisation and the regulator, unless the legal authorities decide that they wish to intervene. ICAO Annex 13 (Aircraft Accident & Incident Investigation) sets clear requirements for full and blame-free investigation, implying the same for reporting on non-accident incidents, but the possibility for prosecuting authorities to proceed has always remained, subject to the requirement that they have to collect their own evidence4.
These different systems are intended to make reporting easier for reporters, except for mandatory systems that simply require, with the clear threat of sanctions for non-reporting. It is clear that the level of protection felt necessary to
4 Most jurisdictions allow individuals to remain silent in the event that speaking would provide evidence of guilt in a criminal case. The requirements of Annex 13 are to ensure that the information needed to prevent future accidents becomes available, but the fact that something has been stated in the context of Annex 13 means that prosecutors would need to find other proof. The situation in civil cases is, in my opinion, less clear.
make people feel comfortable with reporting will be a function of the overall safety culture of the organisation (Hudson, 2003b), which primarily impacts on the personal blame culture. A more advanced culture would, hopefully, also have fewer problems with the professional culture (see Figure 3). As the safety culture improves the tendency to report increases. At the same time we expect the number of actual serious incidents to reduce, but this shows that the absolute number of reports may be expected to rise to a point where there are fewer serious incidents and the number of reports starts to drop. A rise in the number of reports may, therefore, be good news about an improvement in the safety culture rather than indicating that real safety performance is getting worse. Unfortunately all reporting will take place within the political blame culture. In societies where blame is directed at individuals, this will always remain as a residual barrier to full and open reporting unless quite explicit steps are taken both within the organization and at the level of the State to protect individuals.
Figure 3: The relationship between safety culture and reporting rate. Whistle-blower systems are sometimes provided to compensate for the reporting of particularly ‘difficult’ cases. However these tend to concentrate on the faults of others, often those higher in the organisation, and again reflect on the true state of the culture of an organisation if they continue to be felt necessary. How Do You Get People To Report? What can overcome the barriers to reporting? The logical arguments for the advantages of reporting are not always sufficient to overcome the obstacles set
up by one or more of the different types of blame culture. Personal blame cultures need to overcome the belief amongst management and peers that is just the individuals closest to an incident who should carry the responsibility. This means more than just forgiving those individuals, it also means developing an acceptance that most incidents will have an organizational cause and that management have a role to play. This is not such a burden as it might appear; incident reporting can uncover weaknesses in the system, especially on the left-hand side of the bowtie, leading to improvements that are typically cost-effective, benefiting that organisation as a whole, and where management can often be happy that issues have been identified before anything wrong or blameworthy has happened. Two major problems arise, one is the continuing belief of management in the reprehensibility of individuals who could have prevented an incident at the last moment, the second is the belief (and expectation) in such individuals that punishment will still be meted out, despite public protestations to the opposite by senior staff. Professional blame cultures are, if anything, more difficult to manage. Professionals like pilots and surgeons have to learn the same lesson as management in the Personal culture, but now applied to themselves. They need to understand that even they may be put into impossible situations and that it is worth reporting to uncover and remedy the reason for those problems. Extending reporting requirements within an explicit framework of professional risk management may help such people to realize that being professional involves discovering sources of error and failure as well as combating them. Political blame cultures are the hardest to circumvent. The historical and cultural background that determines the attitudes of lawmakers and the media are outside the power of most organisations to change. The one possibility that appears to work is supra-national regulation. ICAO, and especially Annex 13, provides an example of how international regulation can be used to overcome national tendencies. The European Union has also made a requirement for blame-free reporting in directive 2003/42/EC. ICAO and the European Union have, unfortunately, little if any influence on the media and the media’s perception that when bad things have happened someone has to pay, and their belief that retribution is what the public wants. Nevertheless even here a proactive approach to the media, coupled with openness from senior management in the organisation, can result in a change in opinion that the media can reflect. Figure 3 shows an interesting relationship between the expected safety performance of an organisation and the number of reports, a message that could be passed to those who immediately equate an increase in the number of reports with a worsening situation5. The lesson appears to be that education about how incidents actually happen, and how information about failures can actually serve to make the system better 5 The question that can be asked in the aviation setting is, “Would you rather fly with an airline that reported, or one that didn’t?”
rather than just provide evidence that things are bad, can impact on blame cultures at all three levels. But there are two other requirements that are essential. First, even with the development of the understanding of how incidents can be illuminating rather than just symptomatic, it is essential that all parties can be made to believe that reporting of all except the most egregious events should be blame-free (or blame-light) and even rewarded (Hudson et al, 2008). In order to this a track record of reporting without negative consequences for the reporter needs to be constructed, and this will take time. One way to develop such a track record involves approaching individuals and essentially setting up a number of reports that ‘prime the pump’, together with publicity about the reports and the lessons learnt while clearly not naming individuals (the message is that reporting makes things better and reporters do not receive bad consequences). A later stage might then involve publishing the incident, the lessons learn and how the reporter was rewarded, thus bringing individuals out into the open in a positive way. The second requirement interacts with the first, it is that reports should be handled in a timely manner and that feedback be given to the reporter so that they feel that reporting is worthwhile. Both of these are related to the development of trust; the first trust that reporters will not suffer bad personal consequences, and may even be rewarded, the second that something useful will be done with the information derived from the report. Conclusion Reporting, especially of apparently minor incidents, is of vital importance in all high hazard industries, but especially in commercial aviation where the numbers of victims in major accidents can be considerable. Proactive reporting is one way to uncover underlying potential causes of future accidents before they happen, along with considered risk analysis and thorough audits. This paper has identified a number of reasons why people would not wish to report, some of them inherent to the industry, some are the result of failures of trust between reporters and the management of their organisation, and some are the result of the behaviour, or expected behaviour, of external bodies such as regulators or the media. There are a number of ways in which reporting can be encouraged, ranging from making reports of certain types of incident mandatory, providing ways of enduring freedom from prosecution, through confidential reporting even to anonymous. The need for these different types of reporting system depends upon the safety culture of the organisation, the regulatory bodies, the legal system and the media. With recent developments in aviation, we can no longer afford the luxury of waiting to learn from accidents, so there is really no alternative to having as full and open a reporting system as is possible. The price we may have to pay to achieve a full and informative system as possible may be considerable. Pilots and engineers, for instance, must be willing to put aside their feelings of professional pride for a greater good. Management of airlines must become
convinced that the benefits of reporting far outweigh their desire to punish individuals. Regulators and other lawmakers must accept that heavy-handed intervention may well prove counterproductive and smother reporting completely. Finally the media must learn to contain simplistic popular interpretations, or at least accept responsibility for the long-term consequences of their actions. Without such concessions from all parties we may remain doomed to continue learning from accidents. In a world in which the consequences of accidents with aircraft like the A380 are almost too considerable to be contemplated, for passengers, the airline and even the industry as a whole, there is no alternative.
References Barach, P. & Small, S.D. (2000) Reporting and preventing medical mishaps: Lessons from non-medical near miss reporting systems. British Medical Journal, 320, 759-763 Fischoff, B. (1975) Hindsight /= foresight: The effect of outcome knowledge on judgement under uncertainty. Journal of Experimental Psychology: Human Perception and Performance. 1, 288-299. Fischhoff, B. & Beyth, R. (1975) “I knew it would happen”: Remembered probabilities of once-future things. Organisational Behaviour and Human Performance. 13, 1-16. Hudson, P.T.W. (2001) They didn’t see it coming: Hindsight and foresight on the road to disaster. In E.R. Mullaer & C.J.J.M. Stolker (Eds.) Ramp en Recht: Beswchouwingen over rampen, verantwoordelijkheid en aansprakelijkheid. Boom Juridische Uitgevers: Den Haag. Pp 91-102 Hudson, P.T.W. (2003a) Applying the lessons of high-risk industries to medicine. Quality and Safety in Health Care. 12, 7-12 Hudson, P.T.W. (2003b) Developing an aviation safety culture. Journal of Aviation Management. 4, 27-48. Hudson, P.T.W., Vuijk, M., Bryden, R., Biela, D. & Cowley, C. (2008) Meeting Expectations: A new model for a just and fair culture. In Proceedings of the 8th SPE International Conference of Health, Safety and Environment in Oil and Gas Exploration and Production. Richardson, TX: Society of Petroleum Engineers. 6 pp. [CD-ROM] ICAO (2005) ICAO Safety Management Manual. Doc 9859 AN/460 Montreal. Reason, J.T. (1997) Managing the Risks of Organisational Accidents. Ashgate.
Classification: Internal Status: Draft
Human Error – what it isn’t and it’s place in the toolbox
Arne Jarl Ringstad
Discipline Advisor – Ergonomics / Human Factors
2
Normative and descriptive Hume (1711-76): Science and ethics are separate fields (an “ought” can never be deduced from an “is” or vice versa).
Logical Positivism: Ethics and aesthetics are not cognitively meaningful (i.e. have no place in science).
Wittgenstein (1889-1951): “Wovon man nicht sprechen kann, darüber muß man schweigen.” (What we cannot speak of we must pass over in silence.)
3
Is HE normatively defined?Most definitions of HE include phrases like ”unwanted”, ”wrong”, ”not according to plan”, ”leading to undesirable consequences”, ”sub-standard” etc.
Complete catalogue of
human behaviours (acts)
HE (subset of human behaviors
where something goes wrong)
4
Expected conceptual problems• The same behaviour is/is not defined as a HE (system state dependent)
• The same behaviour is/is not defined as a HE (observer dependent)
• The same behaviour is/is not defined as a HE (model/tool dependent)
Medical definitions of ”Disease” vary across historical epochs and cultural boundaries.
”Disease” and ”HE” are concepts closely associatedwith guilt, blame, punsishment and social control.
At the same time, both concepts refer to real phenomena of critical importance to HSE.
5
HE and medicine
Use of HE knowledge in HSE work
Medical equivalent
Post hoc Incident investigation Forensic pathology
Broad focus HSE management tool Infection control and epidemiology
Specific focus Risk analyses Surgery
6
The OTS (Operational Safety Condition)
• A management tool for improved safety
• Focuses on major accidents
• Complements TTS (Technical Safety Condition)
– Assess human and organisational factors
– Approach and structure similar to TTS
7
What do we need? • A detailed understanding of the behaviours involved in accident causation
• A detailed understanding of factors that increase the likelihood of these behaviours (error producing conditions, performance shaping factors, risk influencing factors…)
• A tool that makes it possible to monitor the presence/absence of error producing conditions
Tell me more about these errror producing conditions
of your childhood...
8
The overall structure of OTS
Identify relevant behavior
Performance shaping factors
Event type
Check lists
Specific parameters
Gas leak.
Task analysis – identify relevant behavior(initiating event or barrier failure).
Management, competence, work environment and workload, procedures and documentation, communication, change management, work practice.
Each PSF is broken down to a set of specific parameters. Graded on a scale fra A to F.
A set of check points for each parameter.Assessment based on various methods.
9
Behaviour identification (OTS Task analysis)
Behaviour leading to - Initiation of accident sequence- Barrier failure
Incorrect assemblyof valve aftermaintenance
Third partycertification
Containment test
Gasleakage
Self certification
”Safe state”Leakageavoided
Barrier functionsDetection of maintenance
error
Detection prior tonormal operation
ConsequencesInitiating event
-
-
-
++
+
10
Phases in an OTS audit
Arbeids-møte OTS-team og anleggsledelsen
Report presented to
facility
Oppfølging
Initial
planning
Final prep.
for visit to
facility
Interviews and obser-vations on
site
Team visits facility
Survey (all
relevant employ-
ees)
Analyses of data
from var. data-bases
Preparatory phase Field study
Data analyses, gradings,
conclusions
Follow up
Work shop,
mitigating actions
Presentation of report
11
What we want to avoid…
To err is human –to forgive is not company policy.Moralism and scapegoating is
easier to avoid if we realise the
strong normative element in the
HE concept…
Snorre A-hendelsen - hvorfor gikk det bra?
Thomas Nilsen, Sikkerhetsteknologi, StatoilHydro
Innlegg på ”Error tolerance in complex settings”
Human factors-seminar, Oslo, 1. Oktober 2008
Gikk det bra?
•Begge brønnbarrierer ble tapt og en utblåsning var et faktum i ca 18 timer 28-29. november 2004
•181 personer evakuert med helikopter
•Antennbare gassutslipp til luft via sjø
•Lengre nedstengning og produksjonstap
•Massiv negativ omtale for selskapet og industrien
Til å være en utblåsning gikk det bra
– Mister kontroll over reservoaret
– Den mest fryktede hendelsen – både for mennesker og miljø
– Olje strømmer fritt til havbunn eller plattformen
– Kan vare fra timer til måneder
– Kan gi store oljeutslipp
– Ingen kom fysisk til skade
– Kun gassutslipp – kunne ha gått delvis over til olje ved lengre varighet med potensial for miljøskade
– Ved antennelse kunne en ha fått en eskalerende brann og tap av innretningen og et helt annet skadeomfang
– Det var nesten tomt for nødvendig slam ved stans av utblåsningen – forsyninger var vanskelig med gass i sjøen
Innhold
•Hvordan og hvorfor inntraff hendelsen?
•Hvordan ble den stoppet?
•Suksessfaktorer – hvorfor klarte vi å stoppe hendelsen?
13 3/8” shoe @ 2166 m MD / 1780 m TVD, LOT = 1,69 sg
9 5/8” shoe @
3693 m MD / 2443 m TVD
TOC @ 3080 m MD / 2305 m TVD
Hole in 9 5/8” csg @ 1561 m MD
4” Straddle punched in top
BOP
Bottom of 7 5/8” scab liner @ 2316 m MD/ 1866 m TVD
5 ½” DP
Punched hole in tail pipe
7 5/8” scab liner PBR
Reservoir pressure = ±300 bar.Top perforation: 3455 m MD / 2418 m TVD
Sea bed (300 m MSL)
18 5/8” csg @1008 mMD
30” csg @ 528 mMD
2 brønnbarrierer for å hindre utblåsning
• Tungt slam fyller brønnen under boring.
– Sirkuleres ned gjennom borestrengen og bringer borekaks tilbake
– Holder tilbake trykk fra reservoaret
– Hindrer olje og gass å trenge inn i brønnen
– Gir rask tilbakemelding ved innstrømning
• Utblåsningssikringen (BOP) stenges ved innstømning
– Høypålitelig og robust utstyr
– Testes hver 14. dag eller oftere
– Alle feil rapporteres til PTIL
• Foringsrør sementert i formasjonen
– Danner en tett beholder sammen med BOP
• Brønnkontrollprosedyrer
– Fjerne olje/gass fra brønnen kontrollert
– Gjenopprette tungt nok slam i brønnen
– Alt relevant personell fornyer kurs regelmessig
– Hyppige og varierte øvelser/driller – alle skift
• Brønnen var midlertidig plugget
• Skulle bygges om:- Fjerne deler av komplettering
- Permanent plugging med sement
- Sidestegsboring og rekompletteringTop of 7 5/8” scab liner @ 493 m MD
13 3/8” shoe @ 2166 m MD / 1780 m TVD
Hole in 9 5/8” casing @ 1561 m MD
Sub sea hanger
Workover riserBOP
HE-3 plug
• Produksjonsrøret ble kuttet og trukket ut
• Komplettering ble åpnet mot gassreservoaret
• Uforutsette operasjonelle forhold forhindret videre fjerning av deler av kompletteringen
Top of 7 5/8” scab liner @ 493 m MD
13 3/8” shoe @ 2166 m MD / 1780 m TVD
Hole in 9 5/8” casing @ 1561 m MD
Straddle punched @ 2766-2769 m MD
Production packer @ 3120.8 m MD
SSD @ 3149.5 m MD (closed)SSD @ 3664.4 m MD (open)
Workover riserBOP
Tubing cut @ 2750 m MD
Punched hole in 2 7/8” tailpipe
• Beslutter å trekke ut scab liner for å bedre tilkomstBOP
7 5/8” scab liner hanger cut below slips
Workover riser
Etter trekking av ca 45 m:
0 t: Har swabbet inn 950 liter gass, deretter ca 1000 l til
5 t: Første slamtap
16 t: BOP stenges
19 t: Første gassdeteksjon. Brønn erklæres ute av kontroll. Produksjon og systemer stenges ned. Gassbobler i sjøen rundt plattformen. Evakuering. Gassrate senere estimert til 26 kg/s. Kratere i sjøbunnen med 3-8 m diameter.
37 t: Gasslekkasje stoppes endelig med 1.8 s.g. vannbasert slam
13 3/8” shoe @ 2166 m MD / 1780 m TVD, LOT = 1,69 sg
9 5/8” shoe @
3693 m MD / 2443 m TVD
TOC @ 3080 m MD / 2305 m TVD
Hole in 9 5/8” csg @ 1561 m MD
4” Straddle punched in top
5 1/2” PBR @ 3071.9 m MD
Production packer @ 3120.8 m MD
5 1/2” liner PBR @ 3676.3 m MD / 2442 m TVD
SSD @ 3149.5 m MD (closed)
SSD @ 3664.4 m MD (open)
BOP
Bottom of 7 5/8” scab liner @ 2316 m MD/ 1866 m TVD
5 ½” DP
Punched hole in tail pipe
7 5/8” scab liner PBR
Reservoir pressure = ±300 bar.Top perforation: 3455 m MD / 2418 m TVD
Sea bed (300 m MSL)
18 5/8” csg @1008 mMD
30” csg @ 528 mMD
Drepeoperasjonen var komplisert• En brønnkontrolloperasjon i en ”hel” brønn er i utgangspunktet komplisert
– Tyngre slam pumpes inn
– Gass stiger i brønnen og ekspanderer før den tas ut av brønnen
– Trykk kontrolleres med en strupeventil• For høyt trykk kan gi slamtap til formasjonen
• For lavt trykk kan gi mer gass
• Hull i casing og diameteren på røret som ble trukket ut:– Gjorde det vanskelig å forstå hva som skjedde
– Forandrer på fysikken i operasjonen
• Operasjon på nødkraft vanskeliggjorde arbeidet– Operasjoner som normalt kan gå parallelt må gå i sekvens, for eksempel:
• Vertikal kjøring av strengen
• Pumping
• Blanding av slam
• Pga opphenget av røret i strengen kunne ikke brønnen sirkuleres skikkelig via bunnen
• Det var uklart om det var trygt å kjøre en av pumpene pga gassdeteksjon i luftinntaket
• Store slamtap og minskende reserver
Hvorfor gikk det bra - suksessfaktorer
•Organisering
•Sterk operasjonell ledelse
•Kompetanse
•Lokal kultur
Hvorfor gikk det bra – suksessfaktorer 2
Beredskapsoperasjon
Offshore
• Oversikt over situasjon
• Hands on
• Rapportere
BoringLand
• Ledet av SNA
• Støtte fra basis
• Proaktiv
• Jobbe fram løsninger
Organisering:
Hvorfor gikk det bra – suksessfaktorer 3• Sterk operasjonell ledelse
– Ro og overblikk i en presset situasjon– Klar arbeidsfordeling
– ”Fokus på arbeidsoppgaver”
• Kompetanse– Faglig
– Kjennskap til Snorre
• Lokal kultur– Snorre kom inn i selskapet fra Saga via Hydro - manglende integrering med Statoil ble kritisert
• En del av bildet var nok også at de var et sammensveiset, dedikert og samkjørt team
– Høyt aktivitetsnivå, endring av planer, avvik fra styrende dokumenter og svak ledelsesinvolvering• Eksperter på ”brannslukking”
Sector ● MTO 1
Salvatore MassaiuIndustrial Psychology Division
An Introduction to Human Reliability Assessment
Sector ● MTO
Outline• Purpose of HRA and PSA• PSA process
• The main steps• HRA process
• Overview of each step• HRA and simulator studies
2
Sector ● MTO
The Risk Assessment Process
3
D o c u m e n t
C o m p a r e a g a i n s t c r i t e r i a
Q u a n t i f y h a z a r d sF r e q u e n c y &
c o n s e q u e n c e s
D e f i n e h a z a r d s
Sector ● MTO
Why do we need a risk assessment?• HRA is usually done as part of a ’probabilistic risk
assessment’ (PRA or PSA). Why do a PSA?• Accidents continue to occur• Good design practice alone does not work• Presumed low risk is vague• The public wants a demonstration of acceptable safety• Design corrections cannot be prioritised without a ’risk
picture’
4
Sector ● MTO
Why integrate HRA with PSA?• Without integration:
• HF people waste time analyzing events that are notrisk-significant
• HF people miss events that are risk-significant
• Integration of HRA with PSA gives economy and focus• provided HRA is integrated with HF
5
Sector ● MTO
What questions does PSA answer?1. What can go wrong?
• Initiating events (scenario definition, e.g. small-break LOCA)
• Event sequence logic2. How frequently does it happen?
• Quantification 3. What are the consequences?
• Consequence modeling
6
Sector ● MTO
Definition of HRAHRA has three parts:• Human error identification – to identify what errors
can occur• Human error quantification – to say how likely the
errors are• Human error reduction – to improve human reliability
7
Sector ● MTO
Detailed model of HRA in PSA (IAEA, 1995)
8
R e s p o n d t o c o m m e n t s a n d r e v i s e
P a r t i c i p a t e i n r e p o r t - w r i t i n g .
P e e r r e v i e w
W r i t e r e p o r t
R e c o v e r y a n a l y s i s
R e s u l t s
D a t a a n a l y s i s
Q u a n t i f i c -a t i o n
S y s t e m s a n a l y s i s
S e q u e n c e i d e n t i f i c a t i o n
W o r k f a m i l i a r i z -a t i o n
P r o j e c t p l a n n i n g
D e t e r m i n e i m p a c t o f h u m a n a c t i o n s .I d e n t i f y h u m a n p e r f o r m a n c e p r o b l e m s .
D e s c r i b e p o t e n t i a l r e m e d i a l a c t i o n s .E v a l u a t e r e m e d i a l a c t i o n s .
I d e n t i f y P S F s a n d e v a l u a t e .D e t e r m i n e p r o b a b i l i t i e s f o r h u m a n a c t i o n s .
D e t e r m i n e i m p a c t o f h u m a n a c t i o n s
P S A A C T I V I T I E S H R A A C T I V I T I E S
I d e n t i f y P S F s a n d e v a l u a t e .D e t e r m i n e p r o b a b i l i t i e s f o r h u m a n a c t i o n s .
D e t e r m i n e i m p a c t o f h u m a n a c t i o n s
S e l e c t k e y a c t i o n s f o r d e t a i l e d a n a l y s i s
I d e n t i f y h u m a n a c t i o n s .A d d h u m a n a c t i o n s t o s y s t e m s m o d e l s
I d e n t i f y h u m a n a c t i o n s
I d e n t i f y h u m a n a c t i o n s
P a r t i c i p a t e i n p l a n n i n g .E s t a b l i s h r e p o r t i n g , a n d f i l i n g f o r H R A
Sector ● MTO
HRA process (Kirwan, 1992)
9
D o c u m e n t a t i o n
Q u a l i t y a s s u r a n c e
E r r o r r e d u c t i o n
I m p a c t a s s e s s m e n t
Q u a n t i f i c a t i o n
R e p r e s e n t a t i o n
E r r o r i d e n t i f i c a t i o n
T a s k a n a l y s i s
P r o b l e m d e f i n i t i o n
Q u a l i t a t i v e H R A
Sector ● MTO
Problem definition• Decide scope – this will influence which human
actions you will assess, e.g:• Emergency situations• ’Design-basis’ accidents• Human contribution to maintenance failures
• This is usually decided for you by the PSA team, e.g., ’level 1, ’level 2’, ’level 3’, ”initiating events”, and their grouping
10
D o c u m e n t a t i o n
Q u a l i t y a s s u r a n c e
E r r o r r e d u c t i o n
I m p a c t a s s e s s m e n t
Q u a n t i f i c a t i o n
R e p r e s e n t a t i o n
E r r o r i d e n t i f i c a t i o n
T a s k a n a l y s i s
P r o b l e m d e f i n i t i o n
Q u a l i t a t i v e H R A
Sector ● MTO
Where do initiating events come from?• Definition of scope of PSA – core damage states, initiating
events, time duration• Identification of sources of radioactive release – e.g.,
reactor core, refueling pool, waste storage
• List of events that lead to core damage• Selection of IEs
• Engineering evaluation• Operational experience …
• IE grouping – all events in the same group have the same ’success criteria’ – the minimum performance of systems to fulfill the safety functions
11
Sector ● MTO
Typical Initiating Event groups
12
Sector ● MTO
Task analysisCollect information on what happens in these events
• The exact actions that should occur, equipment and people
• The equipment and interfaces used• The training, skills and procedures used ...
13
D o c u m e n t a t i o n
Q u a l i t y a s s u r a n c e
E r r o r r e d u c t i o n
I m p a c t a s s e s s m e n t
Q u a n t i f i c a t i o n
R e p r e s e n t a t i o n
E r r o r i d e n t i f i c a t i o n
T a s k a n a l y s i s
P r o b l e m d e f i n i t i o n
Q u a l i t a t i v e H R A
Sector ● MTO
Human error identification• Decide what can go wrong (you may need to revise
the initial model):• Error of omission• Error of commission• Extraneous act• Error recovery
14
D o c u m e n t a t i o n
Q u a l i t y a s s u r a n c e
E r r o r r e d u c t i o n
I m p a c t a s s e s s m e n t
Q u a n t i f i c a t i o n
R e p r e s e n t a t i o n
E r r o r i d e n t i f i c a t i o n
T a s k a n a l y s i s
P r o b l e m d e f i n i t i o n
Q u a l i t a t i v e H R A
What shall I do now?
Sector ● MTO
What errors are typically included in a PSA?
• Inputs: systems analysis, accident sequence analysis, task analysis ...
1. Pre-initiator HE (latent errors, Cat.A)• Maintenance errors, e.g., operator fails to correctly restore
equipment in train A2. Human-induced initiators (Cat.B)
• actions that cause an initiating event, e.g., inadvertent operation of pressurizer spray.
3. Post-initiator HE (Cat.C)• Omissions – failures to complete a task• Simple commissions – selection errors, sequence errors, time
errors, qualitative errors• Failures of planned recovery actions
• Collect information on each identified human event (and advise on remodeling if necessary)
15
Sector ● MTO
Representation
• Model the errors: embed the human errors and recoveries in a logical framework with other system risks, such as hardware and software failures, environmental events, e.g:• Fault trees• Event trees
16
D o c u m e n t a t i o n
Q u a l i t y a s s u r a n c e
E r r o r r e d u c t i o n
I m p a c t a s s e s s m e n t
Q u a n t i f i c a t i o n
R e p r e s e n t a t i o n
E r r o r i d e n t i f i c a t i o n
T a s k a n a l y s i s
P r o b l e m d e f i n i t i o n
Q u a l i t a t i v e H R A
Sector ● MTO
Event tree notation
17
I N I T I A T I N GE V E N T , A
E V E N T B E V E N T C E V E N T D S E Q U E N C E ( S )
S U C C E S S
F A I L U R E
A B C D
A B C D
A B C D
A B C D
A B
_
_
_ _
_
Cause (IE) Consequences (S)
End state
Pivotal events
•Events: a safety function’s status, an operator action (HE)...
Sector ● MTO
Fault tree notation
18
T O P E V E N T
A N D
O R
E
A B
C D
P ( T ) = P ( E ) P ( C ) P ( D )= ( P ( A ) + P ( B ) ) P ( C ) P ( D )
Consequence (TE)
Causes (A,B,C,D)
Gate
IntermediateeventGate
Basicevents
TopEvent
Cut Sets: (A,C,D) (B,C,D)
Sector ● MTO
Cut sets• A ’cut set’ is a group of events that will cause a
system failure when they occur together• A ’minimal cut set’ is the smallest set of events in
that group that will cause the system failure• A cut set list shows all minimal cut sets for a single
top event• Usually the list is sorted in order of importance
19
Sector ● MTO
What do cut sets show us?• Give a way to assess large fault trees, e.g.,
• Show us a needed control• Show a single event that is a common problem
throughout the system • e.g. The same event in a high proportion of 2-point-
failure cut sets
• Any one fault tree may have 100s or 1000s of cut sets. Therefore they are calculated & sorted by computer (e.g., 159.000 cut sets in Kola 4 PSA)
20
Sector ● MTO
Fault tree for Zeebrugge ferry
21
Heavy boxes indicate subjective criticality assessmentThis tree has only one cut set.
Sector ● MTO
Human error quantificationQuantify the errors:• Several HRA techniques available• Provide a ’human error probability’ (HEP)
• Decide a nominal HEP based on task analysis• Apply performance shaping factors (task analysis)• Model dependencies and recoveries
• Determine the overall effect on system safety or reliability
22
D o c u m e n t a t i o n
Q u a l i t y a s s u r a n c e
E r r o r r e d u c t i o n
I m p a c t a s s e s s m e n t
Q u a n t i f i c a t i o n
R e p r e s e n t a t i o n
E r r o r i d e n t i f i c a t i o n
T a s k a n a l y s i s
P r o b l e m d e f i n i t i o n
Q u a l i t a t i v e H R A
Sector ● MTO
Fine screening
23
[1] Figures based on Kirwan, B. (1994) A Guide to Practical Human Reliability Assessment, p.207
Category Failure Probability
a) Simple, frequently performed task, minimal stress 1E-3
b) More complex task, less time available, some care necessary 1E-2
c) Complex, unfamiliar task, with little feedback and some distractions
1E-1
d) Highly complex task, considerable stress, little time to performit
3E-1
e) Extreme stress, rarely performed task 1E-0
Detailed quantification is only necessary for human failure events that have an unacceptably large effect on the risk picture
Sector ● MTO
HEART overviewHuman Error Assessment and Reduction Technique
For each human action:1. Select generic error probability2. Identify relevant error-producing conditions (EPCs)3. Assess proportion of EPCs4. Calculate assessed HEP5. Look for way to reduce error
24
Sector ● MTO
Example for a train driver
25
IFE8 Lok. fører oppfatter ikke signalType of task: G (completely familiar, well-designed, highly practised, routine task occurring several times an hour…)Nominal unreliability 0.0004
Factor Total HEART effect
proportion
Assessed effect
3. Low signal-noise ratio x10 0.1 1.9
12. Mismatch between perceived and real risk
x4 0.1 1.3
13. Poor system feedback x4 0.2 1.6
Assessed probability of failure is:0.0004 · 1.9 · 1.3 · 1.6 = 0.0016
Sector ● MTO
Some generic tasks from ’HEART’
26
Totally unfamiliar task, at speed, little idea of consequences ...
0.55
Shift a system to new state without procedures ... 0.26
Complex task requiring a high level of understanding 0.16
Shift a system to new state with procedures, checking ...
0.003
Routine task, highly familiar, occurring often 0.0004
Simple response to dedicated alarm ... 0.0004
Sector ● MTO
Human error probability• Human error probability (HEP) = Number of times an
error has occurred / Number of opportunities for an error to occur
• Nominal human error probability: the probability of failing a task before the effect of some context factors (PSFs) are taken into account• Basic task (THERP), e.g. reading an analogue meter:
atomic level of decomposition• “Generic” tasks (HEART): match the task at issue with
the predefined categories• “Universal” HEP (SPAR-H): one for diagnosis (any)
and one for action (any)
27
Sector ● MTO
Human error probability (2)• Shared: human error as random variability associated
with the task• Systematic variability accounted by the PSFs
• Massaiu, S. (2008). Working with human errors: Concepts and applications. In Embodied Minds – Technical Environments. Conceptual Tools for Analysis, Design and Training, Hoff, T. & Bjørkli, C. A. (eds.). Tapir Academic Press: Trondheim.
28
TOUR OF HRA OFFICE
Sector ● MTO
Modelling dependencies
29
• Look at the cut sets and apply dependency model
•THERP dependency model:Complete : HEP = 1High : HEP = (1+N)/2Moderate : HEP = (1+6N)/7Low : HEP= (1+19N)/20Zero : HEP = N
•Crew – same or not•System – same or not•Location – same or not•Time – close or not•Cues – additional or not
• Risk of NOT modelling dependency: the PSA is too optimistic
Sector ● MTO
Recovery actions
• Do not model them until cut-set-listings are available• Selectively model recovery in cases where:
• the risk is unacceptable• AND there is a good argument for accepting a
recovery action (e.g., include proceduralized use of alternative equipment, but not repairs)
• Use event trees to model them diagonal lines between branches)
• The risk of not modelling recovery is an unduly pessimistic fault tree
30
Sector ● MTO
Impact assessment• Determine whether the overall level of risk is
unacceptable• The PSA as a whole has targets for overall risk
• Determine which ’human failure events’ (HFEs) contribute most to the level of risk• Look at the cut sets and the calculations of
importance• Choose targets for error reduction
31
D o c u m e n t a t i o n
Q u a l i t y a s s u r a n c e
E r r o r r e d u c t i o n
I m p a c t a s s e s s m e n t
Q u a n t i f i c a t i o n
R e p r e s e n t a t i o n
E r r o r i d e n t i f i c a t i o n
T a s k a n a l y s i s
P r o b l e m d e f i n i t i o n
Q u a l i t a t i v e H R A
Sector ● MTO
Error reduction analysis
• Change the root cause• Change the ’performance-shaping factors’ (PSFs)• Assess the task again in context, use
ergonomics/engineering judgement and redesign
Recalculate the the system risk level and iterate until the risk is acceptable
32
D o c u m e n t a t i o n
Q u a l i t y a s s u r a n c e
E r r o r r e d u c t i o n
I m p a c t a s s e s s m e n t
Q u a n t i f i c a t i o n
R e p r e s e n t a t i o n
E r r o r i d e n t i f i c a t i o n
T a s k a n a l y s i s
P r o b l e m d e f i n i t i o n
Q u a l i t a t i v e H R A
Sector ● MTO
Reporting• Quality assurance/peer review• Documentation
• The human factors work should be a separate chapter in the PSA report – plant-specific discussion, all HFEs, screening values, description of each HFE analysed in detail, quantification method, input parameters, assumptions, results of analyses ...
33
D o c u m e n t a t i o n
Q u a l i t y a s s u r a n c e
E r r o r r e d u c t i o n
I m p a c t a s s e s s m e n t
Q u a n t i f i c a t i o n
R e p r e s e n t a t i o n
E r r o r i d e n t i f i c a t i o n
T a s k a n a l y s i s
P r o b l e m d e f i n i t i o n
Q u a l i t a t i v e H R A
Sector ● MTO
Problems with HRA: the data• Questionable numbers: where do they come from?• Human failures are considered ‘events’ (HFE) to be
observed and counted• Errors are not events, errors are divergences of events
(facts) from (expected) standards• For the equipment the standard is given by its design• Standards are completely different before and after the
events• The concept of failure is marginal within HF research:
• focus on positive behavior (what is done and why) rather than on not achieving some external goals (what is not done)
34
Sector ● MTO
Problems with HRA: the models• HRA techniques incorporate “reliability models”, i.e.
models of human performance1. Mostly based on individual (micro) cognition: e.g. skill,
rule and knowledge paradigm; the slips, lapses, and mistakes paradigm• Simulator studies point to macro-cognition
2. The context is treated in terms of independent factors (PSFs)• Simulator studies point to interrelated factors
3. Limited treatment of “crew- factors” i.e. factors explaining crew behavior• Simulator studies point to strong crew effects (variability)
35
Sector ● MTO
Problems with HRA: the application• HRA/PSA reports are made to comply regulatory
requirements• A lot of qualitative HF information from the analysis is
not conveyed in the report• HF departments cannot find the information they need
in quantitative HRA reports
36
Sector ● MTO
The International HRA empirical study• “Halden Benchmark”: an international project lead by IFE/HRP• Motivation: to provide guidance for HRA users (regulators,
utilities, developers)• Method: Compare HRA predictions to simulator performance
• Human Error Probabilities (HEP), PSF predictions, operational expression (difficulties)
• Outcomes• Identify strengths and weaknesses of methods• Insights for error reduction• Matching methods to application scenarios• Identify needs for further development and additional
guidance for use of the methods
37
Sector ● MTO 38
HRA methods in the study
Sector ● MTO
Problems using simulators for HRA• Almost impossible to observe PSA-level failures, the
system is ultra safe• Difficult to categorize the context into PSFs
• Different models, difficult definitions• Some important PSFs will not be present or will be
milder:• The stress of a transient• Noise and control room distractions
• Consequences are not the same, e.g., conflict between performance and safety
• A lot of data would be needed to give a point estimate with reasonable confidence bands.
39
Sector ● MTO
What is there left to do with the simulator?
• Information on the reliability models • Not on counts of failures
• Information on the crew functioning, and failing• Not on micro-cognitive mechanisms
• Information on interactions between causal factors (PSFs), to inform improved “Reliability models”• Alternative: scenario based models
• Knowledge on crew behavior in emergencies provides better coupling with HF:• advanced displays, support systems for emergency…
40
Sector ● MTO 41
End of presentation
Animal Failure Event 156: Ass fails to be heavy enough
1
WorkshopProaktive indikatorer for
fjernovervåkning og fjerndrift
2
• Proaktive indikatorer – hva er det
• Eksempler på prosess for å etablere proaktive indikatorer
• Forslag til proaktive indikatorer
• Gruppeoppgaver
Workshop – kort innledning
3
Proaktiv indikator – Varsle regn
4
Proaktiv indikator – Varsle regn
• Når svalene flyr høyt blir det pent vær, flyr de derimot lavt om kvelden meldes det regn. – Grunnen til at de endrer høyde er at de er på insektsjakt. Og insektene
endrer høyde med trykket i luften, fordi de er vare for luftfuktigheten. Når luftfuktigheten stiger, søker insektene mot luftlag med mindre fukt, da oftest i lavere luftlag, og som kjent følger da svalene etter for å få seg en matbit. Flyr svalene høyt, varsler det om pent vær dagen derpå.
5
Proaktiv indikator• Proaktiv indikator – Noe som varsler om en feilhandling i forkant av en
ulykke (Ref Reason : Swiss Cheese Model)
• Reaktiv indikator – Noe som beskriver ”hull” i forsvarsmekanismene etter en feilhandling eller ulykke
•Hull i en barriere•Manglende barriere
6
Prosess for å innføre indikator(HSE ”Deleoping process safety indicators” 2006)
• Forankring hos ledelsen og ansatte (ansvar og forståelse)
• Omfang (hva ser vi på) – og hva kan gå galt (intervju, diskusjoner)– Tema
• Hvilke barrierer finnes og hva kan gå galt og rett?– Indikatorer på barrieresvikt i forkant – Proaktive indikatorer– Indikatorer på barrieresvikt – reaktive indikatorer
• Diskuter (Workshop) med ledelse og ansatte – prioriter indikatorer
• Rapportering og oppfølging av proaktive indikatorer – Virker indikatorene? (Resultatet er jo færre hendelser)– ”Walk the walk – Talk the talk”
7
• Proaktive indikatorer – hva er det
• Eksempler på prosess for å etablere proaktive indikatorer
• Forslag til proaktive indikatorer
• Gruppeoppgaver
Workshop – kort innledning
8
• Integrerte operasjoner – hva med fjern…. – eks fjernovervåkning, fjernstyring…
9
Områder og tema for proaktive indikatorer
• Engasjement fra ledelsen og ansatte
• Kommunikasjon og felles holdninger
• Systemforståelse og læringsfokus
10
Områder og tema for proaktive indikatorer
• Engasjement fra ledelsen og ansatte– Systematisk måling og oppfølging av HMS nivået mht
fjern(overvåkning/styring) mellom aktørene– % Arbeid utført i tråd med arbeidsordre
• Kommunikasjon og felles holdninger– Måling og sammenlikning av risikoforståelse mellom de som
fjern(overvåkes, styres) og de som overvåker/styrer
• Systemforståelse og læringsfokus– Antall scenarier som er trent på– knyttet til samhandling mellom de som
samarbeider– Tid brukt på scenarietrening (gjennomgang av uønskede hendelser )
11
• Proaktive indikatorer – hva er det
• Eksempler på prosess for å etablere proaktive indikatorer
• Forslag til proaktive indikatorer
• Gruppeoppgaver– A) Hvordan skal en følge opp proaktive indikatorer
– B) Diskutere aktuelle proaktive indikatorer for fjern (overvåkning, styring..) både tema og konkrete indikatorer
Workshop – kort innledning
HFC møte 1-2 oktober 2008 SAK, FORMÅL
Momenter fra diskusjon i workshop om proaktive indikatorer
G
odkj
enn/
Kom
men
ter
OR
IEN
TER
ING
Går til
HFC - forum for human factors in control Postadresse: 7465 Trondheim Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 03 00 Telefaks: 73 59 03 30
Møtedeltakerne i gruppen HFC Forum
X
X
PROSJEKTNR. DATO SAKSBEARBEIDER/FORFATTER ANTALL SIDER
2008-10-20 Stig O. Johnsen 5
1 Workshop ”Proaktive indikatorer for fjernovervåkning og fjerndrift, hvordan unngå menneskelige feilhandlinger i forkant?”
1.1 Deltakere: Etternavn Fornavn Bedrift E-mail Fernander Marius Det Norske Veritas [email protected] Øie Sondre Fagerli Det Norske Veritas [email protected] Green Mark HCD [email protected] Ståle Kokstad BHT [email protected] Rune Petrolink AS [email protected] Johnsen Stig Ole SINTEF [email protected]æther Geir Golden StatoilHydro [email protected] Karin SVT NTNU [email protected]
1.2 Innledning, begrepsavklaring: Definisjoner som utgangspunkt:
• Proaktiv indikator – Noe som varsler om en feilhandling i forkant av en ulykke (Ref Reason : Swiss Cheese Model).
• Reaktiv indikator – Noe som beskriver ”hull” i forsvarsmekanismene etter en feilhandling eller ulykke.
1.3 Momenter fra diskusjonen Risikoforståelse – rettet inn mot IO For å lage proaktive indikatore er det viktig med en god risikoforståelse. Metoder og tilnærminger som kan strukturere risikoforståelse er eksempelvis TRIPOD delta eller HRA studier som påviser risikoer.
2
Poenget er å identifisere risikofaktorer som er viktig for IO, eksempelvis fjernstyring. Vi må da identifisere og snevre inn området og analysere det for viktigste risikoer. (Eks en form for grovanalyse). HRA tilnærming HRA kan kanskje brukes som et utgangspunkt for å påvise faktorer som kan danne basis for proaktive indikatorer. Et eksempel på en tilnærming kan være (ref S.Massaiu slide 23& Kirwani)
Category Failure Probability
a) Simple, frequently performed task, minimal st ress 1E-3
b) More complex task, less time available, some care necessary
1E-2
c) Complex, unfamiliar task, with lit tle feedback and some distractions
1E-1
d) Highly complex task, considerable st ress, lit tle time to perform it
3E-1
e) Extreme stress, rarely performed task 1E-0
Category Failure Probability
a) Simple, frequently performed task, minimal st ress 1E-3
b) More complex task, less time available, some care necessary
1E-2
c) Complex, unfamiliar task, with lit tle feedback and some distractions
1E-1
d) Highly complex task, considerable st ress, lit tle time to perform it
3E-1
e) Extreme stress, rarely performed task 1E-0
CategoryCategory Failure ProbabilityFailure Probability
a) Simple, frequently performed task, minimal st ressa) Simple, frequently performed task, minimal st ress 1E-31E-3
b) More complex task, less time available, some care necessaryb) More complex task, less time available, some care necessary
1E-21E-2
c) Complex, unfamiliar task, with lit tle feedback and some distractionsc) Complex, unfamiliar task, with lit tle feedback and some distractions
1E-11E-1
d) Highly complex task, considerable st ress, lit tle time to perform itd) Highly complex task, considerable st ress, lit tle time to perform it
3E-13E-1
e) Extreme stress, rarely performed taske) Extreme stress, rarely performed task 1E-01E-0
Dette må kanskje tilpassen til IO konteksten. Eksempler på proaktive indikatorer rettet inn mot IO/ idemyldring. Flere eksempler på proaktive indikatorer ble nevnt, eksempelvis:
• Antall ganger en unnlater å kommunisere informasjon som burde deles eksempelvis knyttet til antall ganger en unnlater å kommunisere og type informasjon/kritikalitet av informasjon
• Tid hvor kommunikasjonsutstyret ikke brukes, eks tid komponenter i kommunikasjons- systemet er ureparert
• Opplagte kandidater for indikatorer er om det blir mer stress, mer overtid, mer sykefravær. Det er viktig at vi fanger opp indikatorer som ”basis systemet” ikke fanger opp. Hvordan kan vi fange opp indikatorer som påvirker stressnivået. Et eksempel fra borekabin Heidrun – det var ”vanskelig å rømme” – det stresset borearbeiderne og påvirket yteevnen. Hvordan kan vi fange opp at arbeiderne vil ”fort ut” – det er litt magefølelse og intuisjon. En spørreundersøkelse kan være litt for sein til å fange opp dette. I forhold til samhandling og felles forståelse av utfordringene en står over for mht IO, kan en fokusere på skilnaden mellom hav og land, har man felles mentale modeller? I forhold til dette området kan man diskutere:
• Graden av offshore erfaring blant de onshore som skal jobbe offshore, for å sikre at kommunikasjonen og forståelsen blir så god som mulig. Konkrete indikatorer kan jo være lengden av offshoreerfaring blant de onshore som samhandler opp mot offshore.
• Graden av delte mentale modeller – ett eksempel kan være antall misforståelser mellom de som samhandler.
• For å gå høyere opp i kjeden – trygghet i teamet. Trygget i team kan også utdypes ved eks, ”team cohesion” – hvor man bakker hverandre opp ved prosedyreavvik, følelsen av at man kan hoppe ut av prosedyren og rapportere at en har gjort noe annet enn eksakt prosedyretrinnene.
Holdninger og ”kultur” er også viktige elementer, eksempler:
3
• Kunne tørre å si i fra, dvs ikke ha ”Blame Culture”, alternativt at en har mulighet for å
rapportere anonymt. En indikator kan da være ”antall anonyme rapporteringer” vs ”antall navngitte meldinger”. Et annet mål kan være en oversikt over hva som belønnes og hva som straffes – det vil jo indikere eks graden av en ”blame culture”.
Hvor kan vi hente erfaring om proaktive indikatorer rettet inn mot IO – Subsea? IO er et konsept som er under utvikling, en definisjon fra StatoilHydro (2008): ” Integrated Operations: New way of planning, organizing and performing tasks, made available by use of modern information- and communication technology (ICT). The goal is increased value creation through increased collaboration across disciplines, licenses, corporations and geography.” En tematikk innen IO er fjernstyring. For å lære og hente impulser til fjernstyring kan en se på ubemannede installasjoner – eg ”subsea”. I forbindelse med en slik analyse har vi en annen mental setting, og kan utforske og adaptere indikatorer fra ”subsea” til fjernstyring av andre prosesser og installasjoner. Eg:
• Hvilke sensorer og indikatorer brukes subsea? (et eksempel som ble nevnt var at en benyttet Blåskjell som sensorer for å rapportere oljeutslipp)
• Antall korrigerende aksjoner • Forskjellige indikatorer knyttet til ”Process systems” vs ”Safety Systems”
Scope og omfang av IO – for fokusering For å kunne jobbe godt og systematisk med proaktive indikatorer er det viktig at vi har et klart bilde av hva vi fokuserer på, både område (som eks boring, vedlikehold, produksjonstyring) og selve kommunikasjonsformen og måten kommunikasjon foregår på. Gruppen skisserte en modell som kunne benyttes som utgangspunkt for diskusjonen av proaktive indikatorer. Poenget med figuren er å sørge for at vi fokuserer indikatorene opp mot den prosessen og området som ligger innen IO. Indikatorene må skreddersys hhv mot boring, vedlikehold, produksjonstyring eller andre fagområder. Basert på vår forståelse av prosessen og kommunikasjonen som går rundt prosessen kan vi etablere indikatorer. Referenten er usikker på om vi la det samme i modellen ;)) En bør identifisere indikatorer på basis av en MTO tilnærming – en kan eksempelvis starte med T (og Teknisk Integritet) deretter menneskelige og organisatoriske forhold.
4
IO
Boring (Samspill Offshore, ekspertsenter, Leverandør) Spesifikke arbeidsprosedyrer
Produksjonsopt.
VedlikeholdNN
1-”Must have:” ut fra MTO perspektiv Eks ved samarbeid, og avvikshåndtering pr funksjon: (M)Felles forståelse, (T)felles systemer, (O) Klart ansvar
2 -”Support/støttefunksjoner:” ut fra MTO perspektiv Tillegg – eks grad av ”Reporting Culture”
Eks: (T) Vedlikeholds-
backlogg
I tillegg har referenten lagt ved et eksempel på struktur som kan benyttes ifbm kommunikasjon: In Conzola and Wogalter (2001) there is an overview of individual information processing. It documents the steps from source to action consisting of attention, comprehension, attitudes, beliefs and motivation that a message “passes through”, see figure 3.
Figure : Communication - Human Information Processing (C-HIP) model. (After Conzola and Wogalter, 2001, p. 312). Dette er et område og en tematikk som kan utdypes ytterligere.
5
1.4 Utvalgte referanser
HSE (2006) “Developing process safety indicators” ISBN 0 7176 6180 6 HRA referanser fra K.Laumann HEART:
• Williams, J.C., 1988. A data-based method for assessing and reducing human error to improve operational performance. In: Proceedings of the IEEE Fourth Conference on Human Factors and Power PlantsMonterey, California, 5-9 June, , IEEE, New York, pp. 436-450
CREAM:
• Hollnagel, E., (1988) Cognitive Reliability and Error Analysis Method (CREAM). York: Elsevier Science. New York, Technical Basis and Implementation Guidelines for A Technique for Human Event Analysis (ATHEANA), NUREG.1624, US Nuclear Regulatory Commission, May 2000.
THERP:
• Swain, A. D. & Gutterman, H. E. (1983). Handbook of human reliability Analysis with emphasis on nuclear power plant applications - Final report, NUREG, CR-1278, SAND80-0200, Sandia National Laboratories.
SPAR-H:
• Gertman, D., Blackman, H., Marble, J., Byers, J., Haney,L., and Smith, C. (2004). The SPAR-H Human Reliability Analysis Method. Washington, DC: US Nuclear Regulatory Commission.
ATHEANA:
• NUREG -1624. Technical Basis and Implementation Guidelines for A Technique for Human Event Analysis (ATHEANA). Rev. 1. U.S. Nuclear Regulatory Commission, Washington, DC. May 2000.
• NUREG - 1880. ATHEANA User's Guide. U.S. Nuclear Regulatory Commission, Washington, DC. May 2007
BORA:
• Aven, T.. Hauge, S., Sklet, S. & Vinnem, J. E. (2006). Methodology for Incorporating Human and Organizational Factors in Risk Analysis for Offshore Installation. International Journal of Materials & Structural Reliability, 4, 1-14.
• Aven, T., Sklet, S. & Vinnen, J. E. (2006). Barrier and operational risk analysis of hydrocarbon releases (BORA-Release). Part 1. Method description. Journal of Hazardous Materials, A137, 681-691.
• Haugen, S., Seljelid, J., Sklet, S. & Vinnem, J. E. (2007). Operational Risk Analysis. Total Analysis of Physical and Non-physical Barriers. H3.1 Generalisation Report. Rev 1
• Sklet, S., Aven, T., Hauge, S. & Vinnem, J. E. (2005). Incorporating human and organizational factors in risk analysis. Conference paper presented at ESREL-2005.
• Sklet, S., Vinnem, J. E. & Aven, T. (2006). Barrier and operational risk analysis of hydrocarbon releases (BORA-Release). Part 2: Results from a case study. Journal of Hazardous Materials, A137, 692-708.
MERMOS:
• Electricité de France has developed MERMOS1, a new HRA2 method used for the probabilistic assessment of N4 1450MW units, the latest type of French reactors equipped with a computerized control room. The method has been successfully implemented to carry out 160 different analyses covering the post accidental field of the N4 PSA3 as a whole.
HFC møte 1-2 oktober 2008 SAK, FORMÅL
Momenter fra diskusjon i workshop om “complexity and error”
O
RIE
NTE
RIN
G
Går til
HFC - forum for human factors in control Postadresse: 7465 Trondheim Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 03 00 Telefaks: 73 59 03 30
Møtedeltakerne XXX
PROSJEKTNR. DATO SAKSBEARBEIDER/FORFATTER ANTALL SIDER
2008-10-16 Atoosa P-J Thunem 2
1 Workshop om “Complexity and Error”
1.1 Deltakere: Etternavn Fornavn Bedrift E-mail Hudson Patrick Leiden University [email protected] Atoosa P-J IFE [email protected] Marie HCD [email protected] Salvatore IFE [email protected] Kristin HFS [email protected]
Deltaker 6 (opprinnelig fra Nederland)
Deltaker 7 Deltaker 8 Deltaker 9 Deltaker 10
1.2 Innledning: Aspekter som ramme for diskusjon:
• Hva er “kompleksitet” relatert til systemer? Systemenes kompleksitet og/eller komplekse teknologier som brukes til å utvikle simple og komplekse systemer?
• Hva er forskjell mellom “error”, “deficiency”, “mistake”, “failure”, “fault”, etc.? • Hva skal inneholde en solid risikoanalyse? Hvor viktige er kvalitativ og kvantitativ
risikoanalyse? “The complications of the numbers”. • Tilsynsmyndighetenes rolle til, i samråd/samarbeid med F&U miljøer, å gi retningslinjer.
1.3 Momenter fra diskusjonen 1. Deltakerne diskuterte faktorer rundt både definisjon og håndtering av kompleksitet. I den
forbindelse ble både system- og teknologikompleksitet drøftet. Dessuten kom en inn på
2
hvor viktig det er å atskille simplifisering og forklaring av kompleksitet. Det er ikke nødvendigvis lurt å simplifisere reell kompleksitet eller dennes forklaring, idet dette kan føre til tap av vital informasjon. I den forbindelse ble IO diskutert: IO kan føre til at en bedre kan forstå og håndtere system- og teknologikompleksitet, men den kan også føre til f.eks. organisasjonskompleksitet, som nødvendigvis bør kunne forklares/beskrives. I relasjon til dette kom deltakerne inn på ledelsens rolle hva angår introdusering og drift av IO samt arbeidsprosesser knyttet til IO. Det ble diskutert at arbeidsprosesser er mye mer enn bare skriftlige prosedyrer og regler. Dersom det ikke eksisterer samme holdning hos ledelsen som den ledelsen forventer av organisasjonen som ledes, kan selv de best designede arbeidsprosesser ikke bli fulgt i organisasjonen, og da er det ikke noen poeng i å lage disse. Endelig ble også bruk av systemer/teknologier diskutert. Et system kan være simpelt (altså ikke kompleks), men bruken av systemet kan være komplisert.
2. Deltakerne diskuterte også litt om hvordan klare definisjoner på feil/avvik/svikt/osv kan forbedre prosess rundt risikoanalyse og risikovurdering.
3. Betydningen av kvalitative analyser ble også drøftet. Dessuten ble bruk av modeller tatt opp. I den forbindelse kom en inn på at innen for risikoanalyse har man i mange tilfeller forsøkt å tilpasse systemet som skal analyseres til bestemte feil/risikomodeller, i stedet for det omvente, som jo er den riktige måten å analysere systemene på.
4. Tilsynsmyndighetenes rolle i forbindelse med bl.a. innføring av “safety culture”, detaljert tilsyn av arbeidsprosesser, risikoanalyser, osv, ble også diskutert.
HFC møte 1-2 oktober 2008 SAK, FORMÅL
Momenter fra diskusjon i workshop om ”Snorre A hendelsen – hvorfor gikk det bra?”
O
RIE
NTE
RIN
G
Går til
HFC - forum for human factors in control Postadresse: 7465 Trondheim Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 03 00 Telefaks: 73 59 03 30
Møtedeltakerne X
PROSJEKTNR. DATO SAKSBEARBEIDER/FORFATTER ANTALL SIDER
2008-10-20 Irene Wærø 2
1 Workshop om ”Snorre A hendelsen – hvorfor gikk det bra?”
1.1 Deltakere Etternavn Fornavn Bedrift E-mail Falmyr Odd IFE [email protected] Fartum Håkon DNV [email protected] Moltu Berit StatoilHydro [email protected] Nilsen Thomas StatoilHydro [email protected] Arne Jarl StatoilHydro [email protected] Throndsen Thor Inge StatoilHydro [email protected] Ivar Saga ConocoPhillips Norge [email protected]ærø Irene SINTEF [email protected]
1.2 Innledning Diskusjonen ble basert på 2 hovedspørsmål:
1- Hvorfor gikk det bra? a. For å belyse dette ble det en del diskusjoner om hva som faktisk
skjedde og hvordan hendelsen kunne skje b. Suksessfaktorer identifisert i presentasjonen; organisering, sterk
operasjonell ledelse, kompetanse og lokal kultur 2- Hvordan hindre gjentakelse?
1.3 Momenter fra diskusjonen - Det kunne virke som om de forholdene som førte til hendelsen også førte til at
det gikk bra! De som var igjen på Snorre A var raske problemløsere og dette kan skyldes at de i sitt daglige arbeid var vant med mange samtidige aktiviteter og at det å improvisere var trent på.
- Det finnes ofte ikke prosedyrer som dekker slike situasjoner. Dersom det var prosedyrer for alt ville en ikke behøvd å ha mennesker. Det finnes imidlertid en
2
grundig prosedyre for beslutninger og denne er ikke blitt fulgt underveis i prosessen ved planlegging av denne operasjonen. Det at denne hendelsen kunne skje handler mye om planleggingsprosessen på land og de beslutningene som er tatt underveis. 2 brønnbarrierer ble brutt og urasjonelle beslutninger ble tatt underveis i planleggingen.
- Boring- og Brønn senteret er etablert og fører til en bedre prosess for planlegging og oppfølging av boring- og brønn operasjoner.
- Det er gjort mye arbeid i StatoilHydro når det gjelder ”Well integrity Management” for å hindre gjentakelse.
- Det er lite sannsynlig at akkurat det samme vil skje igjen, men det er elementer som en må ta lærdom av. Denne brønnen var full av unntak.
- En kan bli bedre til å lære av andre hendelser. Det hadde skjedd en lignende hendelse på Bravo tidligere.
- Det ble stilt spørsmålstegn om hvorvidt diskusjonen om eierskap i etterkant av hendelsen var en bortforklaring?
- Det ble stilt spørsmålstegn ved lederne og om dette er et forbedringsområde. Det ble nevnt at ledelsesinvolvering har vært et tema i etterkant av hendelsen.
- IO blir ofte trukket frem som løsningen i og med at man da har mulighet til å formidle den samme virkeligheten til ulike aktører. En påstand er at dette ikke ville ha skjedd dersom man hadde hatt bedre støtte fra land. Dette handler også om at ved en grundigere gjennomgang av operasjonen underveis ville en ha oppdaget at barrierene hadde endret status. I forkant av hendelsen på Snorre A ble barrierene ”glemt” og de 2 brønnbarrierene brutt. I dag ville dette ha kommet mye bedre frem og operasjonen skal da gjennomgås og tegnes på nytt.
- Manglende risikokontroll og risikooppfattelse er tema som ofte blir nevnt etter slike hendelser og som må følges opp. Manglende risikooppfattelse er et like vidt begrep som HMS kultur. Hva legger en i det?
- TTS (Teknisk Tilstand Sikkerhet) er etablert og ser på blant annet svekkelse av barrierer
- Må ha fokus på både personulykker og storulykker, eks. Texas City ulykken hvor det var for mye fokus på ”små ting”. Det man fokuserer på får en effekt.
- Gjennomgang av arbeidsprosesser. Dersom dette hadde vært gjort her ville dette ikke blitt en hendelse.
- Ytterligere tiltak som er iverksatt etter Snorre A hendelsen er; bedre skjematikk, bedre oversikt over brønner, brønn integritetsseminarer som gjennomføres hvert år eller annet hvert år og mer fokus på risikoanalyser.
- Det har skjedd mange endringer etter denne hendelsen. Er det andre ting rundt som nå faller bort i det store fokuset på det som førte til denne hendelsen? Man kan ikke fokusere like mye på alt.
- Se mer til andre selskap/land. Hva har skjedd hos dem? Erfaringsoverføring på tvers i bransjen.
Presentasjon av Statnett og Statnetts driftsentraler
Human Factors in Control
Øyvind Bergvoll, leder for Statnetts landssentral
02.10.2008 2
Statnett SF
Statnett er et statsforetak (SF), og eies av staten ved Olje- og energidepartementet.
Etablert 1. januar 1992
Bidra til effektiv utnyttelse av det totale kraftsystemet
Sikre kvalitet
kort sikt: koordinere produksjon og forbruk
lang sikt: utvikle sentralnettet
Håndtere svært anstrengte kraftsituasjoner
Sikre lik tilgang for alle
Sikre transport av strøm
sentralnettet: riksveiene
ledninger og kabler fra utlandet
3
Oslo
Regionsentral Sør
AltaRegionsentral Nord
Regionsentral Midt
Sunndalsøra
Statnett er lokalisert over hele landet
Landssentralen
02.10.2008 5
Hovedtall Statnett SF 2007 i mill. kr.
Driftsinntekter 3 387
Driftsresultat 1 000
Resultat før skatter 818
Årsoverskudd 598
Totalkapital 13 825
Utbytte til eier 318
670 ansatte, 10 000 km ledning, 130 stasjoner
02.10.2008 6
The grid system in the Nordic countries
Ett marked ingen grenser
En organisert markedsplass
Nettselskapene samarbeider i Nordel og eier NordPool
Utfordringen: Fysiske lover i samspill med marked
Strøm i stor skala kan ikke lagres, men må produseres i det øyeblikket den brukes.
I et konkurransebasert marked må noen passe på at vi også holder oss innenfor rammene av de fysiske lovene, slik at elektrisiteten kommer frem til norske forbrukere.
7
8
RegionsentralNord(NG)
L. Mannsverk
RegionsentralMidt(NF)
B. Øverli
RegionsentralSør(NE)
J. H. Holtet
Landssentral
(NL)
Ø. Bergvoll
Drifts-planlegging
(ND)
Ø. Breidablik
Vern ogFeilanalyse
(NV)
J. Eskedal
System-operatør tjenester
(NT)
K.A.Barmsnes
Nettstyring (N)Øivind Rue
Konserndirektør
(9) (15) (9) (21) (17) (10) (10)
(93)
NorNed HandelsprosjektO. Gjerde
Nettstyringsdivisjonen
9
Driftsentralenes arbeidsoppgaver
Utviklingsoppgaver
Analyseoppgaver
Operativ drift
Operative oppgaver
Vedlikeholdskoordinering
Balanse mellom produksjon, forbruk og utveksling til enhver tid
Flaskehalshåndtering i nettet
Spenningsregulering
Tilstrekkelig med reserver
Riktig leveringssikkerhet (N -1)
Koordinere mot utlandet
Håndtere driftsforstyrrelser
Håndtere svært anstrengte driftssituasjoner (SAKS)
11
Landsentralen (NL)
19 personer (skal øke til 21)(ikke alle går 100% vakt)
Helkontinuerlig skift
d-, e- og n-
overordnet vakt dagtid + telefon/påkallinginngår også i ordinær vaktsyklus
ekstra sovende nattevaktukedagene
13 kontordager i vaktsyklusen
12
13
Regionsentralene (NE, NF, NG)
Overvåker kraftsystemet
Koordinerer driften av kraftsystemet
Har viktig rolle i KBO beredskapen
Er Leder for Kobling hos Statnett
Personsikkerhet er viktigste arbeidsoppgave
Bilder fra HFC mote 1.10 og 2.10 Statnett - Kontrollrom
Deltakere – besøk hos Statnett
Kontrollrom 2
Operaen Og så ble det middag
SHT - Ulykkegranskninger
Sigurdur PeturssonSeniorrådgiver SHT
Sigurdur Petursson
Havarikommisjonen – historikk• Ad hoc kommisjoner for flyulykker ble oppnevnt etter
militær modell fra 1923. Påtalemyndigheten var representert
• Flyhavarikommisjonen (HSL) ble etablert med fast ansatte medarbeidere fra 1989, administrert av SD. Påtalemyndigheten ble nå utelatt. Egen etat fra 1999
• Fra 2002 undersøker kommisjonen også jernbaneulykker (HSLB)
• Fra 1. september 2005 undersøker også kommisjonen vegtrafikkulykker (SHT)
• Fra 1. juli 2008 undersøker kommisjonen sjøulykker
• Har dermed blitt nasjonal undersøkelsesmyndighet for hele transportområdet
Statens Havarikommisjon for Transport, SHT
Grete MyhreDirektør
Luft Per E. Bakke/Roger Holm
SeksjonssjefBirger A. Bull
Jon Sneltvedt
Tor Nørstegård
Edith Irgens
Tore HultgreenKnut Lande
Inge Steven Arnesen
BaneKurt Olsen
Seksjonssjef
Hans Bjørnseth
Johan S. Johansen
Henning Johansen
Tor J Vasset
VeiRolf Mellum)Sekssjonssjef
Per Andreas Langeland
Martin Visnes
Ingvild K Ytrehus
Jan Harald Buknotten
AdministrasjonKirsten Mulligan
AdministrasjonssjefAnne S. Østensen
Anne Marit HanssenGrete Svee
Aksel NorbakkenTorunn Henriksen
Nina Nerdrum
SjøWilliam Bertheussen
Sekssjonssjef
Elisabeth Ramos Juel
Bjørn Bratfoss
Morten Kveim
John Wilsgaard
Paal Brennhovd
Kurt Håvard Brenna
Menneskelige FaktorerSigurdur Petursson
Seniorrådgiver
TeknologiKåre HalvorsenSjefsingeniør
SystemsikkerhetKnut Rygh
Sjefsingeniør
Sigurdur Petursson
Våre lokaliteter på Kjeller/Lillestrøm
Sigurdur Petursson
Ulike bransjer/tradisjoner, men likevel mange fellestrekk
Sigurdur Petursson
Roller og motiver i forbindelse med en ulykke
Overlevende og pårørende/etterlatteÅrsak, ansvar/skyld
og straff
MediaSensasjon, salg
og utpeke ”syndebukk”og/eller ”helt”
Påtalemyndighet/politiStrafferettslig ansvar/skyld
Ansvarlige virksomheter og
produsenterIntern gransking
og/eller umiddelbare reaksjoner
Havarikommisjonen”Ren” (uavhengig og helhetlig) sikkerhets-undersøkelse
Tilsynsmyndighet/Direktorat
Umiddelbare reaksjoner/pålegg
ForsikringsselskaperErstatningsoppgjør
Sigurdur Petursson
Mandat og avgrensning• SHT skal undersøke ulykker og hendelser innenfor
luftfarts-, jernbane-,vegsektoren og, fra 2008 også, sjøfart
• Formålet med SHTs undersøkelser er å utrede forhold som antas å ha betydning for forebyggelsen av transportulykker. SHT skal ikke ta stilling til sivilrettslig eller strafferettslig skyld og ansvar.
• SHT avgjør selv omfanget av de undersøkelser som skal foretas, herunder vurderes undersøkelsens forventede sikkerhetsmessige verdi i forhold til nødvendige ressurser.
Sigurdur Petursson
SHT i det store bildetStorting
og Regjering
Samferdsels-departementet
SHTLuftfartstilsynetJernbanetilsynet
SjøfartstdirVegvesenet
Andre virksomheter under SD
Utøvere(for eksempel
SAS, NSB, Vegvesenet)
Sigurdur Petursson
Hva undersøkes?LUFTFART• Må undersøke alvorlige hendelser og luftfartsulykker.
JERNBANE• Kan undersøke alvorlige hendelser og må undersøke omfattende
jernbaneulykker
VEI• Stor frihet til å velge iht. mandat (Mottar varsel om ulykker knyttet til
busser, tungtrafikk, farlig gods og tunnelulykker)
SJØ• Skal undersøke betydelig personskade og sjøulykke med passasjerskip
Andre sjøulykker og arbeidsulykker kan undersøkes
Sigurdur Petursson
Hvilke sjøulykker skal granskes?• Sjøulykker med norsk skip der mannskap, skipsfører
eller noen annen som følger med skipet har eller antas å ha mistet livet eller kommet betydelig til skade.
• Sjøulykker med norsk passasjerskip.
Sigurdur Petursson
Ikke undersøkelsespliktige sjøulykker • Utgangspunktet for en prioritering av hvilke ulykker
kommisjonen vil undersøke utover de undersøkelsespliktige ulykkene, vil være i hvilken grad resultatet fra undersøkelsen antas å kunne gi et stort bidrag til bedring av sjøsikkerheten, uavhengig av skipstype og nasjonalitet.
Sigurdur Petursson
Prioritering av ulykker som ikke kommer inn under undersøkelsesplikten• Omkomne/betydelig skade på person om bord i utenlandske skip og sjøulykker
med utenlandske passasjerskip og spesielt Ro-Ro og hurtiggående passasjerskip fra norsk havn til en annen EØS-havn.
• Norske og utenlandske skip som forårsaker betydelig skade på miljøet.
• Norske fiskefartøy og lasteskip med totalforlis eller betydelig skade på skipet.
• Ulykker med stort risikopotensial
• Høy frekvens av type ulykke eller lignende hendelse.
• Gap eller mangelfullt samspill mellom myndighetsaktører.
Sigurdur Petursson
§ VarslingVed ulykker på vei skal Politiet og Vegvesenet varsle om alvorlige ulykker med tunge kjøretøy, buss, farlig gods og tunnel
§ Tilgang til ”analysemateriale”Kan ta beslag og kreve utlevering av dokumentasjon og materiell som angår undersøkelse av ulykken
§ Forklaringsplikt til undersøkelsesmyndigheten m.v.Enhver plikter å gi opplysninger av betydning for undersøkelsen
§ TaushetspliktOpplysninger skal ikke kunne spores tilbake til enkeltpersoner
Noen viktige felles prinsipper ogføringer i lovgivningen I
Sigurdur Petursson
§ Unntatt offentlighet for utkast til undersøkelsesrapportUtkast til undersøkelsesrapport på høring for involverte parter
§ Forbud mot bevis i straffesakBevisførsel i rettssak kan ikke baseres på undersøkelsesrapporten
§ Felles mål: Forhindre ”nye ulykker” – forbedre sikkerhetenSkal ikke ta stilling til strafferettslig skyld og ansvar
§ UndersøkelsesrapportSkal redegjøre for hendelsesforløp, årsaksforhold og gi evt tilrådinger. 12 mnd generell frist, offentliggjøres på Internett
Noen viktige felles prinsipper ogføringer i lovgivningen II
Sigurdur Petursson
Saksgang - samspill
Mottavarsel
Plan-leggefor-
under-søkelse
Gjennom-føre
under-søkelse
påhavaristed
Avslutteforunder-søkelse
Gjennomførehoved-
undersøkelse
Gjennom-føre
høring
Avsluttesak
Systematisk og metodisk undersøkelsesarbeid
Sigurdur Petursson
Saksgang II• Varsel: 24t vaktordning for alle transport greiner• Ved varsel starter straks innsamling av tilgjengelige
data (forundersøkelse) og en eventuell utrykking iverksettes.
• Ev. Internasjonal varsling • På havaristedet/ulykkesstedet: opprette kontakt med
andre innstanser på stedet.• Starter undersøkelsesarbeidet – ”åsted” og samtaler
parallelt.
Sigurdur Petursson
Saksgang III• Ved mindre ulykker/hendelser: Forundersøkelse,
mottak av rapporteringsskjema – som oftest ikke noen ”åstedsgransking”
• Underretning til berørte parter om at undersøkelse er iverksatt
• Undersøkelsen, eventuelle umiddelbare sikkerhetstilrådninger – kontakt med tilsynsmyndigheter
• Rapportutkast til høring, først internt deretter eksternt• Rapport utgis ved publisering på nettet og utsending til
berørte parter
Sigurdur Petursson
GJENNOMFØRE HOVEDUNDERSØKELSE
Beskrivehendelses-
forløp
Identifiseresikkerhets-problemer
STEP-analyse
Kartlegge og beskriveårsakskjeder/”root causes”(Identifisere årsaksforhold)
Barriere- /årsaksanalyse
Konkludereårsaksforhold
Prosess:
Analyse-metodikk:
Rapport-inndeling:
Faktiskeopplysninger
Kommisjonens analyse/vurderinger Konklusjon
Utformesikkerhets-
tilrådinger somantas å gi
sikkerhetsgevinst
Sikkerhets-tilrådinger
SYSTEMATISK OG METODISK UNDERSØKELSESARBEID
Sigurdur Petursson
Ulykke
Samspillet itrafikksystemet
vei
trafikant
kjøretøy
Grunnlag for lokale/korrektive tiltak, men som oftest konklusjon om menneskelige feil (modellbruk)
Mangler uavhengig veitrafikktilsyn (ref. fly og jernbane)
Tilrettelegging for sikker transport
Organisasjon og ledelseProduksjonsbedrift
TransportvirksomhetVeiholder og forvalter
Transportkjøper og -formidlerGodkjenning av trafikanter og kjøretøy
Sikkerhetsmessige rammebetingelser(Regelverk, kontroll og tilsyn)
Kontroll og tilsyn: trafikant, kjøretøy, veinett, virksomheter
Regelverk: Arbeidsmiljøloven, Internkontroll,Vegtrafikklov, Plan- og bygningslov, Forvaltningslov…
Årsaksanalyse
Sigurdur Petursson
Hendelsesbeskrivelse stepdiagram
Hvilken rolle spilte mennesket i situasjonen?
•intervju•begrensninger•stress
Lokale forhold/tekniske forhold
• sosiologiskkartlegging
•tekniske undersøkelser
Risikokontroll:Hva skulle ha vært tilstedefor å redusere problemet?
risikoanalyse
Organisatorisk innflytelse
organisasjonsanalyse
prod
uksj
onsl
inje
unde
rsøk
else
sret
ning
Sigurdur Petursson
Sigurdur Petursson
Sigurdur Petursson
Sjøfartsulykker
Sigurdur Petursson
Sigurdur Petursson
Sigurdur Petursson
Eksempel på undersøkelser og sikkerhetstilrådninger
Sigurdur Petursson
Utforming av sikkerhetstilrådninger
• Formål: kun å bedre sikkerhet. ÅRSAKEN er ikke nødvendigvis noe mål, men alle sikkerhetsbarrierene på veien mot ulykken er viktige.
• Hvor oppnår man best effekt: Forbedringer der det når flest – og hvor er det?
Sigurdur Petursson
Sikkerhetstilrådninger - effekt
• Best effekt av tilrådningene oppnås ved å forbedre regelverk - internasjonalt og nasjonalt
• Deretter ved at forholdene legges best mulig til rette for utøver – for eksempel utstyr, infrastruktur, opplæring
• Minst effekt har tilrådninger som peker påfeilhandlinger fra utøver.
Sigurdur Petursson
Tilrådningene• Tilrådningene peker alltid på sikkerhetsmessige
svakheter uten å gi konkrete løsninger.• Fra SHT til SD• Fra SD til tilsynene (der det er tilsyn)• Fra ”tilsyn” til eventuelle andre mottakere.
”Tilsynet” har nå ”eieransvaret” for at tilrådningene behandles og melder tilbake til SD. Tilbakemeldingen beskriver den valgte løsningen.
• SD informerer SHT om utfallet. SHT tar dette til orientering.
Sigurdur Petursson
Tilrådninger eksempel, operatørspesifikke• Sikkerhetstilråding SL nr. 2007/22T:• Funksjonsdyktig flybåren værradar og optimal bruk av denne
er viktig for å lokalisere nedbørceller og dermed unngå å fly inn i områder med farlige flygeforhold. SHT tilrår Luftfartstilsynet og Kato Airline å vurdere hvordan det best kan settes fokus på
• vedlikehold av flybårne værradarer og opplæring i optimal bruk av disse.
• Safety recommendation SL nr. 2007/27T• AIBN investigations show that Avinor’s practice of measuring
friction on compact snow or ice covered by loose dry snow, wet snow or slush may be outside the approved acceptable conditions for the measuring devices. AIBN recommends that Avinor review the acceptable conditions for the measuring devices.
Sigurdur Petursson
Tilrådninger eksempel nasjonalSikkerhetstilråding VEI nr. 2006/5Dersom innehaver av førerkort ikke oppfyller helsemessige krav utløses leges
meldeplikt. I tilknytning til den involverte føreren er det mulig at helsetjenesten ikke har fulgt opp sin meldeplikt. Helsetilsynet/Sosial- og helsedirektoratet og Statens vegvesen har erfart at det er en underrapportering når det gjelder førere som ikke oppfyller helsekrav.
Havarikommisjonen tilrår at følgende forslag fra ”Nasjonal handlingsplan fortrafikksikkerhet på veg 2006-2009” følges opp:1. Statens vegvesen og Sosial- og helsedirektoratet vurderer muligheten for åopprette en ordning der enkelte leger med spesialkompetanse får enerett til åbehandle førerkortsaker. Havarikommisjonen mener at ordningen bør gjelde alleførerkortklasser hvor det er krav til legeattest for å opprettholde/utvideførerretten.2. Statens vegvesen i samarbeid med helsemyndighetene etablerer ordninger somsikrer at førere som ikke tilfredsstiller kravene til helse for den enkelteførerkortklasse ikke fører kjøretøy i den aktuelle klasse.
Sigurdur Petursson
Tilrådninger eksempel internasjonalFeilaktig montering av mutre på høyderorets hengslebolter ble ikke
avdekket.
Fabrikantens vedlikeholdsunderlag spesifiserer ikke at det er påkrevd med dobbeltkontroll etter installasjon av høyderor. Vedlikeholdsorganisasjonen har ansvar for å identifisere hvilke vedlikeholdsoppgaver og prosesser som er sikkerhetskritiske og krever spesielle tiltak for å oppdage og korrigere eventuelle feil. Samtidig har operatøren et ansvar for å spesifisere hvilket vedlikeholdsarbeid som skal utføres og til hvilken standard når de kjøper vedlikeholdstjenester fra en vedlikeholdsorganisasjon.
SHT mener denne ansvarsfordelingen kan føre til at den systematiske vurderingen og spesifikasjonen av hvilke arbeidsoppgaver som skal være gjenstand for dobbeltkontroll ikke blir gjort. SHT tilrår derfor at JAA/EASA vurderer om regelverket bør endres for i større grad å sikre at sikkerhetskritiske systemer blir underlagt dobbeltkontroll etter utført vedlikeholdsarbeid. Det bør spesielt vurderes om fabrikanten bør pålegges et ansvar i denne forbindelse. (SL tilråding 12/2006).
Sigurdur Petursson
Ulykke med hjullaster på E39 ved Vikeså i Rogaland 24. nov 2005
Sigurdur Petursson
Umiddelbare tilrådninger til Arbeidstilsynet
Begrunnelse: SHT betrakter kombinasjonen av ratt og spakstyring som et sikkerhetsproblem. En mulig årsaksfaktor at betjeningsinnretningen for spakstyringen utilsiktet kan ha blitt aktivisert.
Tilrådning til Arbeidstilsynet:• Vurdere funksjonen av spakstyring i kombinasjon med
rattstyring i forhold til ”Forskrift om maskin”. • Vurdere iverksatt umiddelbare tiltak som eliminerer
muligheten for å kunne manøvrere alle typer hjullastere med spakstyring i hastigheter over den som anses som sikkerhetsmessig forsvarlig.
Sigurdur Petursson
Sigurdur Petursson
Sigurdur Petursson
HF i ulykkesgranskning – noen refleksjoner
• Hva mener vi med HF?• Når kan en faktor bli definert som medvirkende
sikkerhetsfaktor?• ”Link-by-link approach” or ”relative-to-occurrence
approach”• Hvilken metoder og verktøy skal man bruke når man
undersøker HF delen i ulykkesgranskningen?• Når skal man undersøke HF områder i
ulykkesgranskning?
Teknologi og samfunn 1
”Building Safety” –et samarbeid for utvikling av robuste organisasjoner
Møte i HFC-forum, Oslo, 1. og 2. oktober 2008Ranveig Kviseth Tinmannsvik, SINTEF
Teknologi og samfunn 2
Målsetting med prosjektet
Å utvikle kunnskap for å ”bygge”robuste organisasjoner
for petroleumsaktivitet i nordområdene, og å unngå uønskede hendelser gjennom
tidlig varsling/ proaktive indikatorer.
Teknologi og samfunn 3
Teknologi og samfunn 4
Faglige utfordringer, del I
“Bygge” robuste organisasjoner:
Utvikle kunnskap, teorier og metoder for å forstårelasjoner og samspillseffekter mellom komplekse teknologiske systemer, mennesker og organisasjon (MTO).
Gi velbegrunnede råd om hvordan man kan designe og operere – og hvordan man kan trene personell og organisere komplekse systemer – for ågjøre organisasjonen robust, og å møte spesifiserte krav til sikkerhet.
Teknologi og samfunn 5
Faglige utfordringer, del II
Utvikle nye tilnærminger for overvåking av sikkerhet:
Utvikle proaktive indikatorer for å overvåke endringer i sikkerhetsnivået over tid (leading indicators for safety performance).
Benytte indikatorene som beslutningsstøtte for åkunne gripe inn før en ulykke skjer (early warning when moving out of the "predefined HSE envelope”).
Teknologi og samfunn 6
Hovedaktiviteter - arbeidspakker
WP1: Menneskelige og organisatoriske bidrag til robusthet (”resilience”); inkl. evne til improvisasjon.
WP2: Beslutningsprosesser og håndtering av målkonflikter relatert til sikkerhet.
WP3: Bruk av ny teknologi for effektiv samhandling, og hvordan dette påvirker robusthet.
WP4: Indikatorer for tidlig varsling av storulykker.
Teknologi og samfunn 7
Strukturen i hver arbeidspakke
Teknologi og samfunn 8
Status tid
Teknologi og samfunn 9
WP1 - Menneskelig og organisatorisk bidrag til robusthet (”resilience”)
Litteraturgjennomgang:Resilience Engineering (Hollnagel et al, 2006) – det sjette perspektiv på organisatoriske ulykker og robuste organisasjoner:
1. Energi-barriere – perspektivet (Gibson, 1961; Haddon, 1970)2. Normalulykke – perspektivet (Perrow, 1984)3. High Reliability Organisations (HRO) – perspektivet (LaPorte &
Consolini, 1991)4. Informasjonsprosess – perspektivet (Turner, 1978)5. Beslutningsprosess – perspektivet (Rasmussen, 1997)6. Resilience Engineering – perspektivet (Hollnagel, 2006)
Egenskaper ved robuste organisasjoner:Evne til å oppfatte og forstå risikoEvne å forutse farlige situasjonerTilfredsstillende støtte i sikkerhetskritiske beslutningerOrganisatorisk redundans (strukturell, kulturell)Fleksibilitet og tilpasningsevneEvne til å improvisere
Teknologi og samfunn 10
WP1 - Menneskelig og organisatorisk bidrag til robusthet (”resilience”), forts.
Empiri – vellykket gjenvinning av faresituasjoner.Intervju med offshore-personellScenariebasert gjennomgang/ STEP-analyseSpørsmålsbatteri med utgangspunkt i egenskaper ved robuste organisasjonerFant man spor av disse egenskapene i de valgte hendelsene?
Hva betyr dette for utvikling av robuste organisasjoner?Krav til bemanning, bufferkapasitetKrav til kompetanse Krav til trening/opplæringKrav til ny teknologi/ samhandlingsteknologi
Teknologi og samfunn 11
WP2 / WP3 – Beslutningsprosesser, håndtering av målkonflikter og bruk av ny teknologi
Utvikle prinsipper for organisering av beslutningsprosesser i samhandlingsrom som ivaretar krav til sikkerhet.
Utvikle kunnskap om hvordan bruk av samhandlingsteknologi påvirker robusthet.
Teknologi og samfunn 12
WP4 - Indikatorer for tidlig varsling av storulykker
Identifisere underliggende årsaker (tekniske, menneskelige, organisatoriske) til risiko for storulykker og miljøulykker og utvikle proaktive indikatorer for tidlig varsling.
To tilnærmingsmåter:1. Utvikle indikatorer basert på erfarte
hendelser/kjente scenarier (analytisk tilnærming)
2. Utvikle indikatorer basert på en metode brukt i kjernekraft: Leading Indicators of Organizational Health (LIOH)(prosessbasert tilnærming), EPRI, 2001.
EPRI – Electric Power Research Institute, USA
© Crown copyright 2006
Teknologi og samfunn 13
WP4 - Indikatorer for tidlig varsling av storulykker, forts.
LIOH – temaområder (EPRI, 2001):Management commitment Awareness of safety performance Preparedness for problems Flexibility built in for responding to problems Just culture to promote reporting of errors and failures Learning culture to promote fixing of problems Transparency (visibility of safety performance).
Themes General issues Indicators
Videre arbeid:Workshop – utvikling av indikatorerUtvikle et regime for datainnsamling/- analyseEvaluering/uttesting
EPRI – Electric Power Research Institute, USA.
Teknologi og samfunn 14
Vil du vite mer om Building Safety?
www.sintef.no/buildingsafety
NOTAT
HFC - Human Factors in control Postadresse: 7465 Trondheim Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 03 00 Telefaks: 73 59 03 30
SAK, FORMÅL
Kurs “Introduksjon til Human Factors og Integrerte Operasjoner”
DATO
29/9-2008 FRA: K.Laumann/NTNU og S.O.Johnsen/SINTEF
1 Introduksjon til Human Factors og integrerte operasjoner Startdato: 10. februar 2009, slutt: 4. juni 2009. Søknadsfrist: 10. desember 2008. Kursavgift: Kr 25 000. Studiepoeng: 15 poeng, kurset kan innpasses i en mastergrad i organisasjon og ledelse. Eksamen: Semesteroppgave, med innleveringsfrist tre uker etter siste samling. Se: http://videre.ntnu.no/shop/courses/displayitem.do?dn=uid%3Dnv10778%2Cou%3Dntnuvproducts%2Cdc%3Dntnu%2Cdc%3Dorg
1.1 Tid og sted for kurs/samlinger Første samling: 10. - 12. februar 2009. Andre samling: 10. - 12. mars 2009. Tredje samling: 11. - 14. mai 2009. Alle samlinger foregår ved NTNU på Dragvoll. Obligatorisk oppmøte.
1.2 Målsetting Målsettingen med Human Factors kurset er å lære metoder og teknikker som kan bidra til å øke brukskvaliteten; redusere brukerfeil; øke sikkerheten; øke arbeidskvalitet og effektivitet; forbedre ergonomi og redusere arbeidsfraværet; minske behov for opplæringskostnader og brukerstøtte; og redusere vedlikeholdsutgiftene.
1.3 Målgruppe Kurset retter seg mot personer med yrkesbakgrunn som ingeniør, systemutviklere, psykologer samfunnsviter og/eller innen ergonomi/helsefag, og er ment som en videreutdanning av disse. Kurset bygger på ISO 11064 standarden, samt et teoretisk rammeverk som kan benyttes i design av integrerte operasjonsmiljøer og kontrollsenter. Kurset kombinerer grunnleggende human factors prinsipper og metoder.
1.4 Tema • Viktigheten av å fokusere på human factors i designprosessen • Utfordringene knyttet til human factors i offshoreindustrien, med hovedfokus på integrerte
operasjonsmiljøer og kontroll • De viktigste human factors-metodene og -teknikkene • Når og hvordan human factors-metoder og -teknikker bør benyttes i designprosessen
2
1.5 Forelesere Forelesere er: Gunhild Zeiner Ingstad/NTNU, Stig Ole Johnsen/SINTEF, Karin Laumann/NTNU og Adam Balfour/HFS og andre inviterte forelesere ved behov.
1.6 Fagansvarlig/Forelesere Karin Laumann , Førsteamanuensis, Psykologisk institutt, Telefon: 73590993 E-post: [email protected] Stig Ole Johnsen, SINTEF, Telefon: 73596959 E-post: [email protected] Kontakt: Linda Bjørgan, NTNU VIDERE, Telefon: 73 59 14 33 E-post: [email protected]
1.7 Krav til forkunnskaper (opptakskrav) Generell studiekompetanse. Anbefalte forkunnskaper: Det vil være en fordel om man allerede arbeider med human factors problemstillingene og/eller har kjennskap til ISO 11064 i en eller annen tilknytning.
2 Pensum:
2.1 Obligatorisk: 1. Wickens, J. E., Lee. J., Lui & Gorden-Becker, S. (2003). Introduction to human factors engineering. Prentice Hall. 2. Ivergård, T. (1989). Handbook of control room design and ergonomics. Taylor and Francis. 3. Stanton, N. A., Salmon P. M., Walker G.H., Baber C. & Jenkins D.P. (2005). Human factors methods: A practical guide for engineering and design. Asgate publishing. 4. Bower, C., Salas, E., Jentsch, F. & Bowers C. A. (2006). Creating high-tech teams: Practical guidance on work performance and technology. American psychology association. 5. Salas, E. & Fiore, S. M.(2002). Team cognition: Understanding the factors that drive process and performance. American Psychology Association. 6. Johnsen & al. CRIOP 7. Johnsen, S.O., Lundteigen, M.A., Fartum, H., Monsen, J. (2005). Identification and reduction of risks in remote operations of offshore oil and gas installations, SINTEF. (Alternativt Norsk versjon “Sikrere fjerndrift med CRIOP” Stig.O.Johnsen, Mary Ann Lundteigen) 8. Kompendium av utvalgte artikler og bokkapitel. 9. ISO 11064: Principles for the design of control centres, International Organization for Standardization. Kan bestilles via http://www.pronorm.no/ Består av: NS-EN ISO 11064-1:2000 Utgave: 1 (03.04.2001) Språk: Engelsk, Ergonomisk utforming av kontrollsentre - Del 1: Prinsipper for utforming av kontrollsentre (ISO 11064-1:2000) NS-EN ISO 11064-2:2000 Utgave: 1 (03.04.2001) Språk: Engelsk, Ergonomisk utforming av kontrollsentre - Del 2: Prinsipper for utforming av kontrollrommets støttefunksjoner (ISO 11064-2:2000) NS-EN ISO 11064-3:1999 Utgave: 1 (09.05.2000) Språk: Engelsk, Ergonomisk utforming av kontrollsentre - Del 3: Utforming av kontrollrom (ISO 11064-3:1999) (innbefattet rettelsesblad AC:2002 NS-EN ISO 11064-4:2004 Utgave: 1 (11.10.2004) Språk: Engelsk, Ergonomisk
3 utforming av kontrollsentre - Del 4: Utforming og størrelse på arbeidsstasjoner (ISO 11064-4:2004) ISO/CD 11064-5 Utgave: 1 () Språk: Engelsk , Ergonomic design of control centres - Part 5: Displays and controls 0,00 - Har ikke kommet ut enda NS-EN ISO 11064-6:2005 Utgave: 1 (01.11.2005) Språk: Engelsk, Ergonomisk utforming av kontrollsentre - Del 6: Krav til arbeidsmiljø i kontrollsentre (Ikke del av obligatoris pensum) NS-EN ISO 11064-7:2006 Utgave: 1 (01.08.2006) Språk: Engelsk, Ergonomisk utforming av kontrollsentre - Del 7: Prinsipper for vurdering av kontrollsentre (ISO 11064-7:2006)
2.2 Valgfritt 1 Dix, A.J., Finlay, J. Abowd G.D. & Beale R. (2004), Human computer interaction. Prentice Hall. 2. Endsley, M.R., Bolte, B., & Jones, D.G. (2003). Designing for situation awareness; An approach to user centered design. Taylor & Francis. 3. Henderson J., Wright K., Brazier A., (2002). Human factors aspects of remote operations in process plants. Health and Safety Executive (HSE). 4. Kirwan, B. (1992). A Guide to task analysis. Taylor and Francis 5. Reason, J. (1990). Human error. Cambridge University Press. 6. Redmill F. and Rajan, J. (1996). Human factors in safety-critical systems. Butterworth Heinemann. 7. Salvendy, G. (1997). Handbook of human factors and ergonomics. John Wiley and Sons. 8. Sandom C. and Harvey R. S., (2004). Human factors for engineers. The Institution of Engineering and Technology (IET). 9. Wilson, J. R. and Corlett, E. N (1990), Evaluation of human work: A practical ergonomics methodology. Taylor & Francis. Mesteparten av pensumlitteraturen kan kjøpes på amazon.com
1-2 Oktober 2 0 0 8
Error tolerance in complex settings
Human Factors in Control
INVITASJON
Kjære deltaker!
4. september 2008
Vi vil med dette invitere til møte i HFC- forum (Human Factors in Control). Møtet holdes onsdag 1. og torsdag 2.oktober 2008 i Oslo. Vi starter kl 11:30 onsdag på Radisson SAS Scandinavia Hotell, Holbergs gate 30 og avslutter etter lunsj på torsdag. Vi har reservert rom på Radisson SAS Scandinavia Hotell, frist for beskjed om rombestilling er 26.september. SINTEF kan bestille rom for dere – kryss av på siste side, alternativt direkte bestilling tlf: 23 29 30 00. Program Tema for møtet vil være ”Error tolerance in complex settings”. Vi har foredrag fra P.Hudson fra University of Leiden, sammen med andre mange gode og spennende foredrag. Vi arrangerer middag på Operaen. Vi skal besøke Statnett og det vil bli en kort gjennomgang av status for HF kurset*. Forumets visjon og hovedoppgave Visjon: "Kompetanseforum for bruk av HF innen samhandling, styring og overvåkning i olje og gass virksomheten." Hovedoppgave: "Å være et forum for erfaringsoverføring som bidrar til å videreutvikle HF metoder til bruk ved design og vurdering av driftskonsepter. " (Mer informasjon om HFC kan finnes på WEB-siden: http://www.hfc.sintef.no) Vi håper du har anledning til å delta, og ønsker at du fyller ut og returnerer det vedlagte registreringsskjemaet så raskt som mulig, senest 26/9. Vi ser frem til din deltakelse. Neste HFC møte er planlagt til 22. til 23. april, sted ikke fastsatt, og 21. til 22. oktober under studenteruka i Trondheim. *(Det blir også nytt human factors kurs våren 2009, i uke 7 (10,11,12 februar), uke 11 (10,11,12 mars) og uke 20 (11,12,13,14 mai). Påmelding http://videre.ntnu.no)
Vennlig hilsen Thor Inge Throndsen /StatoilHydro, Jon Kvalem/IFE, M. Green/HCD, Stig Ole Johnsen/SINTEF.
Vær vennlig og returner registreringen innen 26.september 2008 til: [email protected]
Sintef Teknologi og samfunn Tel: 93087720 Fax: 73592896
Error tolerance in complex settings
1-2.oktober 2 0 0 8
HFC Møte AGENDA
Radisson SAS Scandinavia Hotell, Holbergs gt 30
Dag 1-1/10 Ansvar/Beskrivelse 11:30-12:30 Registrering og lunsj SAS Radisson Hotell 12:30-13:00 Velkommen til møtet – rundgang rundt bordet HFC 13:00-14:00 Error tolerance in complex settings P.Hudson/Leiden Univ. 14:00-14:30 Toolbox talk: Human Error – hva er det A.J.Ringstad/StatoilHydro 14:30-15:00 Kaffe/Pause 15:00-15:30 Fra Snorre A ”Hvorfor gikk det bra” T. Nilsen/StatoilHydro
15:30-16:00 Human Reliability Analysis A.Bye, S. Massaiu/IFE 16:00-16:15 Innledning – Proaktive indikatorer for
fjernovervåkning og fjerndrift, hvordan unngå menneskelige feilhandlinger i forkant?
Innleder fra HFC
16:15-16:30 Pause 16:30-17:45 Workshop - Proaktive indikatorer for
fjernovervåkning og fjerndrift, hvordan unngå menneskelige feilhandlinger i forkant?
Alle
17:45-18:00 Oppsummering i plenum Plenumsdiskusjon 19:30 Middag på Operaen Dag 2-2/10 08:30 Buss henter på SAS Radisson Hotell, drar 08:30 08:45-09:00 Statnett – Husebybakken 28, Smestad - Kaffe 09:00-10:00 Statnett presentasjon og omvisning kontrollrom Statnett/ Øyvind Bergvoll
og Ole Gjerde 10:00-10:30 Refleksjoner og spørsmål til hva vi har sett Panel(IFE, HCD) 10:30-10:45 Retur SAS Radisson Hotell 10:45-11:00 Kaffe/Frukt Radisson 11:00-11:45 Erfaringer fra ulykkesgranskinger Havarikommisjonen/
Sigurdur Petursson 11:45-12:15 ”Building safety” – et samarbeid for utvikling av
robuste organisasjoner SINTEF/R.Tinmannsvik
12:15-12:30 HF Kurs – erfaringer, innspill, veien videre 12:30-13:00 Human Factors Assessment and Classification
System (HFACS) for the Oil & Gas Industry NTNU/E.Aas
13:00-14:00 Lunsj – SAS Radisson Hotell
Vær vennlig og returner registreringen innen 26.september 2008 til:
[email protected] Sintef Teknologi og samfunn Tel: 93087720 Fax: 73592896
1-2 oktober 2 0 0 8
REGISTRERING
Tema: Error Tolerance in complex settings
Human Factors in Control Radisson SAS Scandinavia, Hollbergsgt 30
Ja, jeg vil gjerne delta: Navn: __ ____________________________________ Tittel / stilling: ____ __________________________________ Organisasjon: ___ ___________________________________ Adresse: __ ____________________________________ Kryss av for: __Lunsj 1/10, __Middag 1/10, __ Bestiller hotell 1/10 __ Lunsj 2/10 Tlf. : __________ Fax: ___________ E-post: _______________ For å være med må man betale inn medlemsavgift. Den er pr år: - 25.000 for bedrifter med mer enn 15 ansatte (dekker 3 deltakere) - 12.500 for mindre enn 15 ansatte (dekker 2 deltakere) - 6.500 kr pr møte for ikke medlemmer (og overskytende deltakere) Medlemsavtale, informasjon og publikasjoner om HFC kan finnes på WEB-siden: http://www.hfc.sintef.no
Vær vennlig og returner registreringen innen 26.september 2008 til: [email protected]
Sintef Teknologi og samfunn Tel: 93087720 Fax: 73592896
2008-10-06 Minnesanteckningar från möte HFC - HFN Datum: 2008-10-06 Tid: 12:00-16:00 Plats: Kungliga Tekniska Högskola Närvarande: Arne Axelsson, vice ordf HFN Martina Berglund, VerkL HFN Gunilla Derefeldt, HFN Stig-Ole Johnsen, Sintef Lena Mårtensson, Kungliga Tekniska Högskola Kjell Ohlsson, Linköpings universitet Thor Inge Trondsen, StatoilHydro Clemens Weikert, vet ledare HFN Mötet öppnades och ordföranden hälsade välkommen. 1 Kort beskrivning av respektive nätverk
a. Målsättning, verksamhet, styrkor, vad som kan utvecklas vidare
Martina Berglund och Stig-Ole Johnsen presenterade respektive nätverk, se bifogade presentationer
2 Vad vill vi uppnå med samarbetet?
• Delta i varandras möten, kurser och workshops
• Erfarenhets- och kompetensutbyte
• Medlemmarna ska känna det lika naturligt att delta i respektive nätverks aktiviteter
• Lättillgänglig information på respektive hemsida
• Samarrangemang för att anlita externa föreläsare
3 Utväxling av information
a. Möten, kurser och annan undervisning
Information från respektive nätverk mailas mellan Stig-Ole Johnsen och Martina Berglund/Lena Sundling
4 Ytterligare steg/aktiviteter för att fördjupa samarbetet
• Förslag att HFN deltar i HFCs möte i april. En timmes föreläsning kring tema ”CRM” åtföljs sedan av workshop där medlemmar diskuterar och tar fram konkreta projektidéer eller aktiviteter inom området.
• HFN diskuterar igenom möjligheten att anordna ytterligare ett CRM-seminarium i maj (istället för hösten 2009) för att möte ett intresse från HFC. Intresse från HFC ska undersökas.
• Gemensam workshop för HFC/HFN- medlemmar. Syfte är att konkretisera och utveckla samarbetet.
5 Övrigt
Stig-Ole Johnsen och Martina Berglund/Clemens Weikert tar en förnyad kontakt efter att ha stämt av intresset för ovanstående frågor i respektive organisation.
HFN lägger ut information om CRIOP på hemsidan.
Bifogat material:
• Presentation av KTH samt avdelningen för Human Factors Engineering
• Presentation av HFC, (för ytterligare information: www.hfc.sintef.no)
• Presentation av HFN, (för ytterligare information: www.humanfactorsnetwork.se)
Vid protokollet
Martina Berglund
- 2 –
Möte HFC - HFN• Kort beskrivning av respektive nätverk
– Målsättning, verksamhet, styrkor, vad som kan utvecklas vidare
• Vad vill vi uppnå med samarbetet?• Utväxling av information
– Möten, kurser och annan undervisning• Ytterligare steg/aktiviteter för att fördjupa
samarbetet• Övriga frågor
Swedish Network for Human Factors(fr.o.m. 20060203)
www.humanfactorsnetwork.se
HFN VerksamhetsidéHFNs verksamhetsidé är att genom ett öppet och aktivt nätverk bidra till ökad systemsäkerhet och systemeffektivitet, samt förbättrade operatörsmiljöer.
Detta ska uppnås genom att inhämta, producera och distribuera relevant kunskap inom Human Factors området i HFN-nätverket och därmed dra nytta av de existerande resurserna hos medlemsorganisationerna
HFN Inriktning• Säkerhet, risk och kris
– Säkerhetskultur– Riskhantering– Krishantering
• MTO-systemutveckling– Utformning av ny teknik– Ledningssystem– Plattformsutveckling– Arbetssätt för HF/MTO
Tillämpningsområden – Komplexa system med säkerhetsanknytning
• Transportområdet – Flyg, bil, sjöfart, järnväg – Utformning av förarmiljö och trafikledning
• Kärnkraftsindustri• Produktutveckling• Tillsyn, säkerhet
• Framtida områden: Sjukvård, anti-terror, kris i samhället (crisis management)
Säkerhet, risk och kris• Säkerhetskultur
– Ledarskap, utbildning, organisation, kultur, CRM/TRM, regelverk (ledningssystem), införande ny teknik
• Riskhantering– Riskanalyser– Utredning av händelser/erfarenhetsåterföring
• Krishantering– Hantering av olyckor/incidenter
MTO-systemutveckling• Utformning av ny teknik• Ledningssystem
– Ledning för säkerhet (effektivitet, användbarhet, logistik)
• Plattformsutveckling– Operatörsmiljöer
• Arbetssätt för HF/MTO– Metoder, riktlinjer, standarder– Utvärdering HF, verifiering, validering, ackreditering– Införande av ny teknik
Produkter – former för nätverkande
• HFN-kurser• Seminarier• Workshops
– Interna m teman: säkerhetskultur, utformning av robusta MTO-system
• Hemsida– Vem är vem (kompetens,
intresse)– Länkar till dokument– Diskussionsforum?
• Forum för att diskutera egna frågeställningar, stöd att genomföra arbete
• Möte i medlems-organisationerna, bjuda in övriga, få ut info i org.
• Samarbete och dialog för att skapa doktorand- och industridoktorandtjänster
• Söka gemensamma projekt nationellt, internationellt
• Besök i FoU-miljöer• Stafettutbyte av föreläsare
HFN-kurser• Juni 08 Evaluation of Team Performance (Peter Essens)
• Mars 08 The Human Factors Aspect of Business and Procurement Processes – A System View (Stuart Arnold)
• Nov 07 Human Factors Design of Control Room Environments, (Ian Nimmo)
• April 07 CRM-seminar (Bo Johansson, Clemens Weikert m fl)
• Mars 07 The future of human-machine systems (Pete Hancock)
• Nov/Dec 06 Människa, teknik, organisation - Human factors, riskhantering och team management (Clemens Weikert och Roland Axelsson)
• Okt 06 CRM-course (Carey Edwards)
• Juni 06 Civil aircraft flight deck design (Don Harris)
HFN medlemmar• Chalmers, HMI-forskarskolan• Entry Point North AB• FMV• FOI• Försvarsmakten• KTH• Linköpings universitet• Luftfartsstyrelsen• Luftfartsverket• Luleå Tekniska Universitet
• Lunds universitet, Change at Work• Saab Aerosystems AB• Saab Avitronics AB• Saab Systems AB• SAS• Sjöfartsverket/Sjöfarts-
inspektionen• Statens Kärnkraftsinspektion• TFHS (Trafikflyghögskolan, Lund)• Vägtrafikinspektionen
HFN Organisation
• Programråd, arbetsgrupper• Styrelse• Medlemskollegium
Vilka är vi som arbetar förHFN-medlemmarna
Ledningen av HFN• Arne Axelsson - styrelseordf.
(fd chef för Luftfartsinspektionen, tidigare överingenjör på SAAB)
• Hans Brandtberg– vice styrelseordf.
(Saab Avitronics, [email protected])
Vilka är vi som arbetar förHFN-medlemmarna
HFN drift• Martina Berglund – verksamhetsledare
([email protected]; Tel: 281530)
• Lena Sundling – administratör ([email protected]; Tel: 285834)
• Clemens Weikert – vetenskaplig ledare(docent i psykologi vid Lunds universitet, [email protected])
Förslag till verksamhet 2009Medlems-kollegium
Programråd Styrelsemöte HFN-kurser Intern workshop, konferens
Jan 09 2009-02-05 2009-02-26 ”Juste culture”(mars?)
Maj 09 2009-05-07 2009-05-28 ”Drifttagning av tekniska system”(maj/juni)
Hösten 09 2009-09-03 2009-09-24 CRM-seminarium HFES Europe Chapter konferens
2009-11-05 2009-11-26 Intern workshop (hösten 2009)
HistorikHFA grundades 1995 för att samla den nationella kompetensen och intresseparterna inom flygsysteminriktad Människa System Interaktion (MSI Flygsystem) mot bakgrund av en föränderlig och alltmer globaliserad flygbransch med allt högre teknisk och organisatorisk komplexitet. HFA stod då för Swedish Center for Human Factors in Aviation. 2003 togs beslutet att bredda verksamhetsidén och utvidga HFAs medlemsrekrytering bland företag och organisationer, som har en kompetens inom, eller behov av Human Factors verksamhet. Förkortningen ändras 2006 för att markera breddningen till HFN Swedish Network for Human Factors.
1
Welcome to KTHHFC-HFN, 08-10-07
KTH, Royal Institute of Technology
KTH - Schools - January 2005
School of Architecture and the Built EnvironmentSchool of BiotechnologySchool of Computer Science and CommunicationSchool of Electrical EngineeringSchool of Industrial Engineering and ManagementSchool of Information and Communication TechnologySchool of Chemical Science and EngineeringSchool of Engineering SciencesSchool of Technology and Health
2
Students 2006
UNDERGRADUATE STUDENTS12000 active undergraduate students; 30% women and 70% menPOSTGRADUATE STUDENTS1,444 active postgraduate students with a minimum of 50% activity; 30% women and 70% menDEGREES180 licentiate degrees awarded; 33% to women and 67% to men216 doctoral degrees awarded; 28% to women and 72% to men
Industrial Work Science, School of Industrial Engineering and Management, KTH
Industrial work science at KTH operates in the interface between humans, organisations, and technology, with a change perspective.
3
Industrial Work Science, School of Industrial Engineering and Management, KTH
• Human Factors Engineering– Lena Mårtensson, Professor, memb univ board of KTH– Pernilla Ulfvengren, Ph.D., Ass. Senior lecturer– Fredrik Barchéus, Ph.D., Researcher– Research areas: Human-machine interaction in industry,
aeronautic systems, user centred design.
• Operations and Innovations Management– Marianne Ekman Guest Professor – Matti Kaulio, Ph.D., Senior lecturer– Kristina Palm, Ph.D., Researcher– Lars Uppvall, M.Sc. MBA, Ph.D. student– Research areas: Leadership, Sustainable work systems,
organisational change, innovation management
Industrial Work Science, School of Industrial Engineering and Management, KTH
Selected Master level courses:• Work Science• Human Factors Engineering• Psychology for engineers• Risk management in complex technical systems• Work organisation and leadership• Human Resource Management• Organisational change
4
Industrial Work Science, Operations Management
Vision for sustainability, a concept of four related fields:
• The regeneration and development of human resources;• The promotion of quality of working life and competitive
performance;• The nature of sustainable change processes for renewal
and change;• The provision for employment.
Docherty, Forslin, Shani (2002). Creating Sustainable work systems. Emergingperspectives and practice
Industrial Work Science, Human Factors Engineering
The aircraft accident at Gottröra – the start of aviation research
5
Industrial Work Science, Human Factors Engineering
The aircraft accident at Gottröra – the start of aviation research
• Warning systems– NFFP (Swedish National Aeronautics Research Programme)
• Role of the pilot in future highly automated systems– KFB (Swedish advisory group for communication research)
• New navigation systems in aviation – new ways of cooperation– VINNOVA (Swedish Governmental Agency for Innovation Systems)
• Human integration into the lifecycle of aviation system– EU FP6
Industrial Work Science, Human Factors Engineering
6
Flight operations and maintenance;
• Develop tools to be used by staff for collecting, integratingand analysing human factors data in relation to technicaldata;
• To be used in risk analysis and safety management systems of the airlines.
• Design of a tool for improvement of reporting culture in the airline.
Task support in an EFB in cockpit for:• prompt real-time information for decision-making;• information on critical points along the normal process;• improved flight and turn around processes.
Human Integration into the Life Cycle of Aviation Systems(40 partners, EU FP6)
Industrial Work Science, examples of projects
New navigation systems in aviation – new ways of cooperation
• Current controller/pilot roles are partly defined by enabling technology– Pilots responsible for aircraft and
human lives onboard– Controllers responsible for
separation and orderly flow
Industrial Work Science, examples of projects
Because they can
7
• New technology enables pilots to do controller work and vice versa
• Delegation to other human operators can be compared to automation
• New roles for pilots and controllers
New navigation systems in aviation – new ways of cooperation
Industrial Work Science, examples of projects
In order to mitigate effects caused by increased air traffic levels in Europe the EC launched the Single European Sky (SES) initiative in 2004
Currently two large European initiatives in aviation:• SESAR (Air Traffic Management)• Clean Sky (Mainly aircraft centred)
The SESAR project is composed of three phases: • Definition phase (2004-2008)• Development phase (2008-2013)• Deployment phase (2014-2020)
• SESAR is the technological platform of Single European Sky
Single European Sky ATM Research
Budget 2008-2013SESAR €2.1 billionClean Sky €1.6 billion
Industrial Work Science, examples of projects
1
1
HFC - Forum for Human Factors in Control Systems
Forum for Human Factors in Control (HFC)
Stig Ole JohnsenSINTEF 2008
2
HFC - Forum for Human Factors in Control Systems
HFC-forum - visjon og hovedoppgave
Human Factors in Control : • ” Kompetanseforum for bruk av Human Factors (HF) innen samhandling,
styring og overvåkning i olje og gass virksomheten"
Hovedoppgave: • ”Være et forum for erfaringsoverføring som bidrar til å videreutvikle HF
metoder til bruk ved design og vurdering av driftskonsepter.”
2
3
HFC - Forum for Human Factors in Control Systems
HFC-forum aktiviteter
1. Utveksle erfaring og ideer knyttet til design og drift av kontrollsystemer*, inklusive kompetansekrav og opplæring av personell
2. Utveksle erfaring og ideer knyttet til "Human factors" i kontrollsystemer, ved minst å arrangere årlige brukerseminarer
3. Bidra til å videreutvikle og oppdatere CRIOP slik at den forblir en anerkjent HF metode for vurdering av kontrolløsninger.
4. Bidra i F&U-prosjekter vedrørende kontrollsystemer 5. Fremme kunnskap om gode løsninger for styring og overvåking av integrerte
operasjoner/e-Drift. 6. Bidra til undervisningsopplegg ved universitet og høyskoler 7. Bidra i nasjonalt og internasjonalt standardiseringsarbeid*Kontrollsystemer er ment ut fra ett helhetlig MTO perspektiv – vi tenker eks på kontrollrom,
beredskapssentral, samhandlingsrom, borekabin, krankabin
4
HFC - Forum for Human Factors in Control Systems
Kontrollsystem fra ISO 11064 (Controlled system)
3
5
HFC - Forum for Human Factors in Control Systems
HFC har sitt utspring fra CRIOP
CRIOP etablert 1989
CRIOP nyutviklet 2003-2004
Andre aktiviteter:•Opplæring kontrollromsoperatører•HF aktiviteter i SINTEF
Ingen løpende utvikling
Forum for Human Factors in Control (HFC)Første møte 27.& 28/4- 2005 (Deretter 26&27/10-2005)
Deretter 2 møter pr år i April og Oktober
6
HFC - Forum for Human Factors in Control Systems
– Gir en kostnadseffektiv læringsprosess mellom brukere og ”designere”
– Består av sjekklister og en scenarioanalyse
– Krever ca 2-5 dagsverk innsats
– Utviklet av SINTEF i samarbeid med Norsk Hydro, STATOIL, Scandpower, HFS, IFE og NTNU.
– Finansiert av Norsk Hydro og Norges forskningsråd (2003-04)
CRIOP – et analyseverktøy for kontrollromBidrar til sikker og effektiv drift gjennom verifikasjon og validering av menneskelige, tekniske og organisatoriske forhold i kontrollrom
http://www.criop.sintef.no/
4
7
HFC - Forum for Human Factors in Control Systems
CRIOP på Web: www.criop.sintef.no, (med møtereferat)
8
HFC - Forum for Human Factors in Control Systems
CRIOP Historikk
• CRIOP prosjekt (1985-89)– Styringsgruppe
• Norsk Hydro (SG formann), John Monsen, Roald Løvberg, Alf T Lid• Elf Aquitaine Norge (2 år), Trond Bergan, Sverre Stenvaag• Saga Petroleum (2 år), Aage Aarskog• Statoil (1 år), Leif Jørgensen
• CRIOP prosjekt (2003-2004)– Styringsgruppe
• Norsk Hydro (SG formann), John Monsen• Statoil, Thor Inge Throndsen• ScandPower, O Silkoset• Ptil/Norwegian Petroleum Directorate, T Eskedal• Institutt For Energiteknikk, L Seim • Nutec, A Tideman• Human Factors Solutions, A Balfour
5
9
HFC - Forum for Human Factors in Control Systems
Deltakere i etableringsmøte HFC 27-28 april 2005 (*-betalende medlemmer i 2005, årsavgift 25,000)
• Norsk Hydro*• Statoil ASA*• ENI*• A/S Norske Shell*• SINTEF*
• Petroleumstilsynet
• Scandpower*• IFE*• Human Factor Solutions*• Sense Intellifield*• Nutec
• Universitetet i Bergen• Universitetet i Lindkjøping• NTNU
10
HFC - Forum for Human Factors in Control Systems
HFC aktiviteter 1. Criop brukermøte (2005.04.27 )
2. Etablering av HFC forum (2005.10.26)
3. Human Factors erfaringer og utfordringer med ISO 11064 (2006.04.19)
4. Kompetansebehov og erfaring innen Human Factors (2006.10.25)
5. God praksis for Human Factors i kontrollrom og Integrerte Operasjoner (2007.04.18)
6. Læring fra feil /HF i fjernstyring av prosessanlegg (2007.10.17)
7. Praktisk erfaring fra samhandlingsrom (2008.04.23)
8. Error Tolerance in complex settings (2008.10.01)
6
11
HFC - Forum for Human Factors in Control Systems
Kurs – ”Introduksjon til HF og IO”
• Vår 2008 (15 deltakere), Vår 2009 (?), 10 dagers kurs, med eksamen ved NTNU
1. Wickens, J. E., Lee. J., Lui & Gorden-Becker, S. (2003). Introduction to human factors engineering. Prentice Hall.
2. Ivergård, T. (1989). Handbook of control room design and ergonomics. Taylor and Francis. 3. Stanton, N. A., Salmon P. M., Walker G.H., Baber C. & Jenkins D.P. (2005). Human
factors methods: A practical guide for engineering and design. Asgate publishing. 4. Bower, C., Salas, E., Jentsch, F. & Bowers C. A. (2006). Creating high-tech teams: Practical
guidance on work performance and technology. American psychology association.5. Salas, E. & Fiore, S. M.(2002). Team cognition: Understanding the factors that drive
process and performance. American Psychology Association.6. Johnsen & al. CRIOP7. Johnsen, S.O., Lundteigen, M.A., Fartum, H., Monsen, J. (2005). Identification and reduction
of risks in remote operations of offshore oil and gas installations, SINTEF. (Alternativt Norsk versjon “Sikrere fjerndrift med CRIOP” Stig.O.Johnsen, Mary Ann Lundteigen)
8. Kompendium av utvalgte artikler og bokkapitel.
Program — HFN-workshop
Utformning av robusta MTO-system
Resilience engineering och Risk management i PRAKTIKEN
Onsdag – 5 november 2008, Sal A37, (Hus A, plan 3, ing 15)
10:00-10:15 Samling, kaffe o fralla
10:20 – 11:30 Riskanalys i PRAKTIKEN, Göran Davidsson, FB Engineering AB, Göteborg
11:35 – 12:20 Allmän frågestund
12:30 – 13:30 Lunch
13:35 - 14:35 Resilience Engineering, Sidney Dekker, Lunds universitet
14:35 – 15:15 Allmän frågestund i samband med kaffe
15:15 – 17:30 Diskussion kring dagens föreläsningar
17:30 - ?? Gemensam buffé (prel Mjärdevi Västergård)
Torsdag – 6 november 2008, sal A37 08:00 – 09:45 Gruppdiskussioner Exempel på frågeställningar:
Vad innebär detta för den egna organisationen? Hur kan HFNs medlemmar stötta varandra i detta?
Hur kan vi m h a temana för föreläsningarna gå vidare i arbetet med att vidareutveckla vår säkerhetskultur?
09:45 - 10:00 Kaffe
10:00 - 12:00 Gruppredovisning Avslutande diskussion i plenum
12:00 – 12:30 Hur går vi vidare?
12:30 Lunch