29.3.2024 | Svátek má Taťána


ROZHLEDNÍK: Můžeme existovat bez technologických nehod?

11.11.2009

Jsme hrdi na to, že jsme dospěli do stavu technologií, který A. C. Clark nazval "nemožností rozeznat technologii od zázraku". Mnoho lidí ale podvědomě považuje nehody téměř za daň za používání technologií a v dešti každodenních zpráv z našeho domácího telezázraku jsou pro nás často čímsi virtuálním a vzdáleným. Reset zde ale neplatí. Martin - Cyprus Airlines

Pozorovatel z některé ze starých vyspělých civilizací by možná popsal naše chování tak, že používáme zázraky pro ulehčení života, božstvo si občas zahřmí a vybere svou daň, a my pak to božstvo usmiřujeme tím, že vybereme jednoho nebo několik z nás - to podle míry hněvu božstva - a znemožníme mu na určitou dobu využívat výhod naší civilizace. Pak žijeme šťastně do dalšího výbuchu hněvu, a protože to fungovalo posledně, tak postup zopakujeme.

Náhodně v čase, náhodně v prostoru a náhodně v důsledcích - vypadá to, že se nedokážeme poučit. Je to zvláštní, když přece téměř vždy následuje vyšetřování a my, šťastni, že s tím nemáme co do činění, akceptujeme, že někdo kompetentní vše vysvětlil. V novinách nebo na internetu se pak dočteme o neštěstí, o počtu postižených, o materiálních škodách a o příčině. Ventil, potrubí, špatná oprava.

Proč tedy po katastrofě v chemické továrně v Sevesu v Itálii v roce 1976, při které došlo "pouze" ke zraněním a devastaci plochy o rozloze 17 km2 , došlo ke katastrofě v Bhopálu v roce 1984 s 4 000 mrtvými? Jestli se nabízí odpověď, že jde o jiné kulturní a bezpečnostní poměry, proč tedy došlo k další nehodě v chemičce v Toulouse v roce 2001, která nechala za sebou 30 mrtvých? A řetězec pokračuje v Texas City v roce 2005. Rafinerie, opět mrtví. To jsou příklady z chemického a ropného průmyslu, obdobné řetězce hrůzy existují samozřejmě v leteckém průmyslu, výrobě a transportu energií, v těžařství.

Příklady charakteristických nehod:

  • Kontrolka hermetického uzavření prostoru byla po rutinní meziletové kontrole přepnuta do beobvyklé polohy a osvětlena sluníčkem v okamžiku kontroly pilotem. Výsledek? Celkem 120 mrtvých poté, co neovládané letadlo plné lidí v bezvědomí směřovalo na Atény, a jenom zázrakem se probudivší steward se základy pilotního kurzu přesměroval letadlo do hor. Cyprus Airways, 2005.
  • Pět set litrů vody, které přetekly do nádrže s metylizokyanátem v továrně Union Carbide v Bhopálu - 4 000 mrtvých, 1984.
  • Volba nejrychlejší trasy - Titanic, 1912, 1500 mrtvých
  • Vadná kontrolka rychlosti v letadle Air France, 2009 - 447 mrtvých

Bariéry omezující rizika

Lze nebo nelze provozovat velká a technologicky komplikovaná zařízení bez nehod? Jistěže lze, existují tisíce rafinerií, letadel, dolů, elektráren, kde nikdy nedošlo a nikdy nedojde k neštěstí. V čem se tedy liší? Co mají společného ty, kde ke katastrofám došlo?

Pro pochopení musíme zkoumat, co vlastně nehoda je, a jaké společné charakteristiky tyto nehody mají. Omlouvám se, pokud to bude znít trochu samozřejmě a školometsky, ale je dobré sjednotit si slovník.

Nehoda znamená obvykle událost, která má za následek ztrátu něčeho, čeho si ceníme - života, zdraví, čistého životního prostředí, peněz nebo reputace. Proti nehodám a jejím důsledkům stavíme bariéry. Za bariéru lze považovat cokoli, co sníží nebo vyloučí možnost výskytu události vedoucí ke ztrátě, nebo zabrání nechtěným důsledkům události.

Za těch pár tisíc let jsme se naučili docela dobře stavět bariéry. Už víme, jaký materiál a tloušťku potrubí pro jaký tlak a prostředí v něm panující potřebujeme, kam dát zábradlí, umíme vybudovat solidní protipožární dveře nebo ochrannou obálku jaderného reaktoru. Naučili jsme se také, že je dobré vědět, v jakém stavu je systém, který řídíme a jestli se nechystá atakovat limitní podmínku (například teplotu nebo tlak), v blízkosti které jej nechceme vidět. Limitní podmínka je bariérou, měření je bariérou.

Zařízení stárne a meze jeho provozuschopnosti a únosnosti se mohou měnit. Proto máme bariéry ve formě inspekcí a údržby. Víme, že nemůžeme spoléhat na ad hoc zásahy a máme tedy vymyšlené postupy a organizační pořádky - ty tvoří organizační bariéry. Jako společnost známe své pappenheimské a vytvořili jsme legislativu omezující naši libovůli v provozování potenciálně nebezpečných technologií. Legislativa je tedy další bariérou.

Rozvoj nehody si lze představit jako řetězec událostí, ze kterých žádná, pokud by se vyskytla jako jediná, by nejenom nevyvolala ztrátu, ale mnohé bychom ani nezaznamenali. Často ale představují rozdíl mezi životem a smrtí.

Když se chyby zřetězí

Když operátor bloku izomerické jednotky v Texas City po noční směně připravil vše k náhřevu pece, byl to pro něj standardní úkol, kterých dělal za svoji kariéru stovky. Viděl, že objem hořlaviny v nádrži je pod limitem (indikátor limitu nic nesignalizoval), i když přidal trochu kapaliny a dostal se na jiném budíku na maximum - to byla také rutina, aby se zabránilo chodu pece naprázdno a jejímu poškození. Maximum budíku bylo hluboko pod nastavením druhého indikátoru (nazvěme jej fixní). Martin - Texas City BP

Ovšem nevěděl, že fixní indikátor nefunguje. Pomalu se těšil domů, zapsal stav příprav do sešitu a odešel. Další operátor nastoupil ráno. Byl už 30. den ve službě, ze které chodil domů jenom spát, ale tohle byla rutina. Jeho šéf musel jít na chvíli domů, měl pravděpodobně nemocné dítě. Operátor zůstal proti předpisům sám na obsluhu tří jednotek, protože v důsledku šetřících opatření bylo zrušeno místo druhého operátora.

Zjistil, že fixní kontrolka nic neindikuje, otevřel oběh a připouštěl kapalinu. Pak zapnul pec. Teplota kapaliny v zásobníku se zvyšovala, tlak směsi kapaliny a par rostl a hladina dosáhla úrovně, kdy mělo dojít automaticky k odpuštění. Tomu ale v cestě stál zavřený ventil. Ten šel na dálku otevřít, ale podle informací, které měl operátor k dispozici, nebylo pořád dosaženo maximální přípustné hladiny kapaliny.

Teplota stoupala, havarijní signál ukázal operátorovi přehřátí, on reagoval otevřením ventilu. Ten ale kvůli konfiguraci zařízení pustil další vysokoteplotní obsah do nádrže. V této chvíli se vrátili ze slavnostního oběda pracovníci jiné firmy, která náhodou využívala buňky poblíž izomerační jednotky. Co slavili? Život občas píše hodně hořké scénáře: měsíc bez pracovního úrazu... Mezitím už ale horká kapalina našla cestu přes pojišťovací ventil a celé okolí se prosytilo benzínem. Co čert nechtěl, dva jiní lidé zrovna seděli v autě se zapnutým motorem, když ten najednou v benzínem prosyceném prostředí zvyšoval otáčky a nešel vypnout. Jako zkušení harcovníci věděli, že mají pár vteřin. Byli jedni z těch, kteří následný výbuch přežili... Dalších 15 to štěstí nemělo.

Co bylo tedy příčinou? Na první pohled vadný signalizátor maxima hladiny. Na druhý pohled to byla logika monitorovacích zařízení (kdyby byly dva snímače maxima nebo indikace nefunkčnosti, zcela jistě by k neštěstí nedošlo). Na třetí pohled neschopnost řídícího software vypočítat množství kapaliny v zásobníku. Na čtvrtý pohled osamělost operátora a jeho pracovní vytížení. Na pátý pohled snížení počtu pracovníků kvůli šetření. Na šestý rozhodnutí umístit buňky s lidmi, kteří neměli nic společného s provozem, v blízkosti izomerační jednotky. Na sedmý... Jakákoli z těchto bariér, pokud by fungovala, by s velkou pravděpodobností zabránila neštěstí.

Jako díry v ementálu

Většina neštěstí funguje na tomto principu. Píšu většina, protože chci být opatrný a nestudoval jsem všechny - určitě ale podle něj fungovaly všechny, které jsem kdy studoval.

Vraťme se ale k oné principiální otázce - co mají všechna neštěstí společného. Mají společnou erozi bariér, které byly vytvořeny, aby bezpečnost zajišťovaly. Vždy došlo k porušení několika (i desítek) bariér, kde často funkčnost jediné by stačila zabránit havárii nebo omezit její důsledky. Martin - bariérový model

Tento bariérový model (snaha zabránit nehodám a neštěstím stavěním různých bariér) si lze představit jako plátkovaný švýcarský sýr (ementál), přičemž jednotlivé plátky představují bariéry vůči průniku nebezpečí - které si můžeme představit jako paprsek. Obvykle jsou díry na různých místech a tak paprsek neprojde. Stačí ovšem náhodou posunout plátky, a můžeme vytvořit skrz celý blok sýra "tunel". A teorie praví, že projde-li paprsek celým sýrem - neštěstí je na světě. Jediný plátek bez díry nebezpečí zažehná. Spoléhat se na jeden plátek je ovšem bláhové - díry rostou, a pokud se jim nevěnuje péče, zvětšují se.

Tento model dobře ukazuje, kde je rozdíl mezi těmi organizacemi, kde k neštěstí nedošlo a těmi, kde se stalo. V první skupině jsou jak ty, které dbají o co nejmenší počet děr, tak ty, které zatím měly štěstí, že paprsek neprošel. O skupině těch, kde paprsek prošel, čteme v novinách. Společného mají to, že nevytvořily dostatečně spolehlivý systém, který by zajišťoval integritu bariér a indikoval jejich porušení.

Příčiny porušení bariér a vzniku neštěstí

A jak této znalosti využít a neštěstí omezit, když už ne úplně vyloučit? Podrobné analýzy prokázaly, že kořenová příčina neštěstí je obvykle hluboko v organizaci. K porušení bariér dochází obvykle z důvodů, které mají původ zejména ve třech podstatných oblastech:

První se týká toho, jak je vedení organizace vnitřně ztotožněno s péčí o bezpečnost, a jak bere za svůj (ne)formální závazek mít bezpečnost na prvním místě. Zde jsou správná slova důležitá jako nositelé poselství. Proto se omlouvám za použití anglických slov, jsou ale zbavena nánosů ideologie nebo amatérského marketingu, který chudák čeština nese sebou: jde o commitment, walk to talk a leadership. Čili závazek, slova v souladu s činy a vůdcovství.

Zde mám dobrou zprávu: čím dál více firem a jejich vedení si je vědomo, že machovský postoj "ale jděte, problémy v bezpečnosti naše firma nemá, protože jsme nejlepší" nebo snad ještě horší "máme certifikát, tak co chcete" jsou vyměňovány za snahu pochopit, co může vedení udělat pro zajištění bezpečnosti své organizace. Když pro nic jiného tak proto, že (ne)bezpečnost stojí obvykle více než bezpečnost. A ti nejlepší už pochopili, že bariéry, které chrání zdraví, jsou obvykle totožné s bariérami, které chrání schopnost produkovat. Ti pak používají certifikaci jako další bariéru - zvou si do firmy cizí odborníky, aby bariéry prozkoumali.

Druhou oblastí, která obvykle vede k výskytu porušení vícero bariér je kultura bezpečnosti v organizaci. Jde o velikou a ne lehce popsatelnou oblast, tak mi dovolte jenom poměrně primitivní příměr. Když nahlášení problému je vnímáno kolegou jako "podraz" - ať již z důvodu represivního postoje vedení k nahlášeným incidentům nebo čistě z tolerovaného postoje "udělatvšeprotoabychzatonemohljá", když není vnímáno jako péče o společnou hodnotu, kterou je zdraví, je na průšvih zaděláno. Známým příkladem neštěstí v důsledku naprosto neexistující kultury bezpečnosti a schopnosti pracovat s rizikem je havárie Černobylské jaderné elektrárny.

Tou třetí oblastí je schopnost poučit se z nehod, incidentů a úspěchů a rozšířit zobecněné ponaučení do denní praxe v organizaci. Vyšetřování nehod se často zastavuje na povrchním "kdo za to může" místo "co - jaké nastavení naší práce - za to může".

Všechny tři základní příčiny najdeme u většiny z neštěstí citovaných v úvodu.

A pak je tady ještě jedno slovo, které je symptomem vysoké pravděpodobnosti neštěstí: uspokojení z neexistence problémů. Jestli se na něčem shodnou vyšetřovací zprávy z nejrůznějších neštěstí, tak je to nádherný pocit uspokojení a pocitu neohroženosti ve vedení organizace před neštěstím. V Černobylu, na Titaniku, v Texas City, i v Praze před povodní.

Jestli tento článek vyvolá u čtenáře kritické otázky, když si přečte nebo uslyší zprávy o technologických neštěstích, pak splnil svůj cíl.

Pro ilustraci bych si dovolil z Texas City použít tři čísla, která podle mne ilustrují rychlost změny vztahu k bezpečnosti po tomto neštěstí:

  • 32 - je to číslo stránky ve výroční zprávě BP, která jako první zmiňují slovo "bezpečnost" v roce 2004 
  • 4 - číslo stránky ve výroční zprávě BP, která jako první zmiňují slovo "bezpečnost" po nehodě v roce 2005
  • "No 1" - Umístění BP na pomyslném řebříčku bezpečnosti v USA několik let po havárii

Pro zájemce se znalostí angličtiny doporučuji ke zhlédnutí video o vyšetřování neštěstí v Texas City, které patří k tomu nejlepšímu, co se v oboru najde. Shrnuje výsledky Bakerova panelu, ze kterého jsem čerpal také pro tento článek. 

Obrázky: 1) Havárie letadla Cyprus Airways, 2005 2) Texas City BP, 2005  3) Švýcarský sýr - model bariér proti nehodám

Martin