De ‘Unsafe Act Mouse’

Je kan bijna niet meer om het Swiss Cheese Model (SCM) heen. In artikelen, presentaties en scripties duikt het model steeds weer op. Het wordt meestal genoemd in het kader van incidenten onderzoek . De achtergrond en het juiste gebruik zijn vaak niet bekend. Een klein tipje van de sluier.

Historie

Het Swiss Cheese Model (SCM) is afkomstig van James Reason (Manchester University). Hij heeft diverse versies ontwikkeld, de versies kregen steeds meer een ‘cheesy flavor’ (volgens James in zijn laatste boek ‘The Human Contribution’). Uiteindelijk zijn anderen het gaan benoemen als SCM. James (ik mag James zeggen, heb nog training met hem gegeven) weet zelf niet precies wie, maar noemt twee ‘suspects’, allebei uit de Aviation Safety wereld. Goed om ze hier te noemen (historisch van belang): het was OF Rob Lee van Air Safety Investigation in Canberra OF Captain Dan Maurin0 van het ICAO (ook aviation) in Montreal.  Hoe dan ook:  de kaas doet het sindsdien goed in veiligheids- en incident onderzoeksland. De laatste versie van James die in toenemend mate in diverse sectoren opduikt staat in de figuur hieronder (links). Deze figuur staat ook in het boek dat ik noemde, zij het dat er geen ‘Accident’ staat maar ‘Losses’ en geen “defenses” maar: ‘defences, barriers and safeguards’. We moeten de meester wel goed citeren. Hij zegt er nog bij dat het ‘Emmentaler kaas’ is. Dan weten we tenminste ook om welke Zwitserse kaas het gaat!

James Reason vermoedt dat het kaas verhaal begonnen is met zijn plaatje hieronder, waar hij voor het eerst plakjes met gaten gebruikte (figuur 5.2). Zie ook de latere versie (5.3)   Ik heb deze uit zijn boek gekopieerd, lastig bij zo’n dik boek, maar ze zijn leesbaar:

Maar hoe gebruiken we het SCM model?

Het SCM wordt ook toegepast in de spoorweg sector

Inhoudelijk

Het SCM model visualiseert het barrière concept. Hierboven door James ook wel genoemd defences of safeguards. Ze worden ook wel Lines Of Defense (LOD) genoemd. Of ook Layer Of Protection (LOP) in een LOPA analyse. In de praktijk visualiseren we die in een vlinderstrikmodel of bowtie. Het type barrière, het aantal en de betrouwbaarheid wordt bepaald middels veiligheidsstudies en risico analyses. Een bekende barrière is bv een instrumentele beveiliging. De noodzakelijke betrouwbaarheid ervan wordt uitgedrukt in een Safety Integrity Level (SIL).

Hier zijn 4 barrières in serie afgebeeld. Alleen als de rode lijn naar het incident vrij spel krijgt doordat de gaten in alle 4 de barrières zijn opgelijnd zal het incident plaatsvinden. De kans daarop is heel klein. De vraag is hoe klein die kans moet zijn, dat hangt af van de gevolgen. We spreken dus altijd over risico.

De barrières die een incident moeten voorkomen (of de gevolgen beperken) zijn dus bekend. Bij een incident is dan ook de eerste vraag: welke barrières hebben gefaald of hadden we er misschien een te weinig?

Tripod bèta methode

De uitdaging bij ongevalsonderzoek is vervolgens het falen van een barrière te analyseren. Daarbij komt het echte werk van James Reason om de hoek. Zie de driehoek figuur. Een gat in een barrière kan volgens hem ontstaan door een ‘unsafe act’ van iemand (‘menselijk falen’..), of door een reeds bestaande fout in de organisatie (de route buiten de driehoek).

Hier zien we de oorsprong van de Tripod bèta methode. James: onveilige handelingen (Tripod: Active Failures) komen voort uit specifieke suboptimale omstandigheden op de werkvloer (Tripod; preconditions) die op hun beurt geworteld zijn in problemen in de organisatie (Tripod: Latente fouten). Er is een belangrijk verschil met Tripod: Bij James kan ook een gat in een barrière ontstaan door een Latente fout (de route buiten de driehoek). Dat is wel een interessante gedachte, ik kom op dit punt en op Tripod, het barrière concept en bowtie in een volgend blog terug.