Butadieen is NIET vergelijkbaar met benzine!



Gisteren (6 maart 2015) vond een treinbotsing plaats bij Tilburg. Zie foto. Personen trein botst op een goederentrein, meer specifiek op een ketelwagen. Zichtbaar is dat het gaat om een ketelwagen voor het vervoer van onder druk vloeibaar gemaakt gas. Zo’n gas is LPG, maar in dit geval wordt gesteld dat het gaat om Butadieen. 

In de (sociale) media wordt steeds maar weer gemeld dat er geen gevaar is, butadieen zou vergelijkbaar zijn met benzine! Verbazingwekkend en gevaarlijk als ook de hulpverlenende instanties er zo over denken. Butadieen heeft een kookpunt van – 4,4 C, benzine + 80 C. Ter vergelijking: Het kookpunt van LPG is afhankelijk van de mix (propaan en butaan) en ligt maar iets lager dan die van butadieen (zeg rond – 10 C). 

Tilburg is ontsnapt aan een brandbare en explosieve gaswolk en/ of een BLEVE.

Geplaatst in Uncategorized | Een reactie plaatsen

Eindelijk: Nieuw LOPA boek

0470343850De LOPA methode (Layer of Protection Analysis) wordt in toenemende mate gehanteerd voor risicoanalyse in het kader het bepalen van een Safety Integrity Level (SIL). In Nederland bv voor overvul beveiligingen in het kader van PGS 29.

LOPA is komen overwaaien uit de VS. Het ‘standaardboek’ over de methode en te gebruiken faalgegevens is uitgegeven door de Center for Chemical Process Safety (CCPS) in de VS. Het boek dateert van 2001. Het was vooral een beschrijving van de methode, niet compleet en deels niet in lijn met de huidige inzichten. In 2014 is er al wel een aanvullend LOPA boek verschenen bij de CCPS over ‘Enabling conditions’ en Conditional Modifiers’ voor gebruik in een LOPA studie. Wat nog ontbrak is een beschrijving/ verdieping van de te beschouwen (LOC) scenario’s/ frequenties  alsmede van de Layers of Protection (LOD’s) die in de methode IPL’s worden genoemd (Independent Protection Layers).  Na veertien jaar is er deze maand (februari 2015) dan eindelijk een Guideline daarvoor verschenen.

De drie CCPS boeken vormen tezamen een zeer aan te bevelen en in feite noodzakelijke LOPA kennis set voor mensen die een LOPA analyse willen uitvoeren. De kwaliteit van de LOPA’s die in Nederland worden uitgevoerd is zodanig dat verlangd zou moeten worden dat de analyse wordt uitgevoerd volgens deze ‘standaard’ werken:

  1. 9781118777930_cover.indd LOPA boek 1Layer of Protection Analysis, simplified Process Risk Assessment; CCPS, 2001 (klik hier)
  2. Guidelines for: Enabling conditions and Conditional M0difiers in LOPA; CCPS, 2014 (klik hier)
  3. Guidelines for: Initiating events and Independent Protection Layers in LOPA; CCPS, februari 2015 (klik hier)

Het is niet de bedoeling om hier de LOPA methode uit de doeken te doen (een andere keer wellicht). Maar hieronder even een stapsgewijze aanpak van LOPA. Deze stappen zijn  keurig beschreven in boek 2.

Stap 1/2:
Scenario selectie criteria: voor welke scenario’s wordt een LOPA uitgevoerd. Vanuit HAZOP studies of anderszins worden de scenario’s voor LOPA geselecteerd.
Stap 3:
Bepaal de begingebeurtenis van het scenario (‘Initiating Event, IE’) en de frequentie ervan.
Stap 4:
Bepaal de IPL’s (Independent Protection Layers) en schat de faalkans (Probability of Failure on Demand, PFD).
Stap 5:
Bereken de frequentie van de gevolgen van het scenario met inachtname van de gegevens in de vorige stappen. In feite is nu een gereduceerd (met de IPL’s) risico vastgesteld.
stappen 6/7
Toets het gereduceerde risico aan een acceptatie criterium. Indien het risico niet aanvaardbaar is een grotere risico reductie nodig (bv hoger SIL).

De inhoudsopgave van boek 3 met betrekking tot frequenties van de scenario’s (IE’s) en met betrekking tot PFD van de in het boek opgenomen IPL’s heb ik gekopieerd. Die zijn hieronder weergegeven (pdf, klikken).

LOPA tabel IE

LOPA tabel IPL 1

LOPA tabel IPL 2

Geplaatst in Risicoanalyse | Tags: , , | Een reactie plaatsen

Tripod analyse treinramp Wetteren

wetteren foto1In een vorige blog heb ik de oorsprong van het ‘Swiss Cheese Model (SCM)’ besproken. Het is een opstapje naar de Tripod incidentanalyse methode, waarin ook barrières (beveiligingen) gehanteerd worden.  Recent is het onderzoeksrapport verschenen van de treinongeval in Wetteren (ook eerder besproken, klik hier). Deze twee zijn mooi te combineren. Op basis van het officiële onderzoeksrapport van de treinramp bij Wetteren heb ik een simpele Tripod analyse structuur opgezet waarin drie falende barrières zijn opgenomen die het ontsporen van de trein hadden moeten voorkomen. Tevens ook een missende barrière: een automatisch ingrijpend systeem om te remmen. Het thans aanwezige TBL1+ systeem grijpt niet in onder deze omstandigheden (geen rood sein, 40 km/u). Vergelijk met het Nederlandse ATB systeem. Pas in 2019 zal het ECTS systeem zijn geïnstalleerd dat wel ingrijpt. Tot die tijd blijft het systeem dus kwetsbaar voor onveilige handelingen van machinisten. Zie de figuur hieronder. Klik hier voor een leesbare Tripod pdf versie: wetteren (dan doorklikken op wetteren).

wetteren

In het onderzoeksrapport wordt ook gebruik gemaakt van het SCM ‘barrière’ model:

Wetteren Reason

Kern is dat de trein te hard reed (84 km/u ipv de voorgeschreven 40 km/u) bij het passeren van een wissel bij het overgaan van tegenspoor naar normaal spoor (tegenspoor was nodig ivm werkzaamheden). Kern is ook dat dit werd veroorzaakt door ‘fouten’ van de machinist, waardoor alle drie de barrières zijn doorbroken. Een Tripod analyse is in zo’n geval bij uitstek geschikt om na te gaan hoe dat kan. Wat waren de achtergronden in de organisatie/ de beveiligingen die dit mogelijk hebben gemaakt? De machinist doet dit immers niet zo maar, zijn eigen veiligheid is bovendien ook in het geding.

Het officiële onderzoek kwam tot de volgende, terechte conclusie: Een groot deel van de spoorwegveiligheid rust op de schouders van de machinist.

Dit maakt de kans op dit soort ongevallen substantieel. Dat is ook de reden dat er in het onderzoek en in de Tripod analyse nog een 4e, missende barrière is opgenomen: een automatisch ingrijpende remming van de trein, los van de actie van de machinist. Op dit spoor zal dat systeem (ECTS) echter pas naar verwachting in 2019 geïnstalleerd zijn.

Mijn conclusie vanuit de Tripod analyse: Spoorwegveiligheid heeft in België niet de prioriteit die het zou moeten hebben. Stelselmatig wordt de keuze gemaakt voor de treinenloop en de kosten beperking (Tripod Basis Risico Factor: ‘Incompatible goals’). Waar heb ik dat meer gehoord? In Nederland is het niet anders. Zie de diverse rapporten van de Onderzoeksraad voor Veiligheid. Intussen houden we onze ‘fingers crossed’. We beseffen onvoldoende dat de risico’s bij het transport van gevaarlijke stoffen aanzienlijk groter zijn dan bv. de risico’s van Chemiepack en Odfjell samen.

 

Samenvatting onderzoek (Onderzoeksorgaan voor Ongevallen en Incidenten op het Spoor (OOIS)

Op zaterdag 04 mei 2013 omstreeks 01u58 ontspoort de goederentrein Z44601 tussen Schellebelle en Wetteren. De goederentrein voert een rit uit van Kijfhoek (Nederland) over Gent-Zeehaven (België) met als eindbestemming Terneuzen (Nederland). De trein is samengesteld uit twee locomotieven en 18 wagons.

Wetteren foto2

Seinbeeld (zie figuur) voor snelheidsvermindering
Bij de ingang van het station van Dendermonde komt de machinist een sein tegen (RX-W6) dat een Groen Geel Horizontaal seinbeeld vertoont. Dat betekent dat een remming moet worden ingezet zodanig dat de trein bij het volgende sein (FX-W6) max. 40 km/u rijdt. De remming wordt echter niet ingezet door de machinist maar hij geeft wel aan dat hij dat gaat doen en het sein heeft begrepen: hij ‘kwitteert’ het Memor beveiligingssysteem. Er blijft dan een lamp in de cabine branden die hem eraan herinnert. Als hij niet zou hebben gekwitteerd zou het Memor systeem een noodremming hebben ingezet en zou het ongeval niet hebben plaatsgevonden.

De trein wordt naar het tegenspoor geleid omwille van werken in uitvoering verderop op het normaalspoor. De machinist rijdt langsheen de werken aan de linkerzijde van het spoor en kruist vervolgens het volgende sein (FX-W6) dat een knipperend groen seinbeeld vertoont met twee vast brandende aanduidingen: een witte keper “V” en een wit cijfer “4”. Dit seinbeeld geeft aan dat het regime verandert, dit is de overgang van tegenspoor naar normaalspoor, en herinnert aan de instructie dat de snelheid waarbij dit moet gebeuren 40km/h is. Ter hoogte van sein FX-W.6 is de snelheid van de trein ongeveer 84 km/u. 77 Meter na het sein FX-W.6, rijdt de trein over wissels terug op het normaalspoor. In de wisselzone ontsporen de 7 eerste wagons van de trein. Zeker drie tankwagens worden tijdens de ontsporing doorboord. Op dat ogenblik heeft de machinist geen enkel element dat aangeeft wat de reden van de opgelegde snelheidsvermindering is.

Achterliggende aspecten

De machinist heeft bij de aanvang van zijn werkdag geen informatie over de aanwezigheid van werkzaamheden in Schellebelle ontvangen van zijn opdrachtgever en heeft geen weet van de reden waarom hij op tegenspoor moet rijden.

Het verwachte gedrag van de machinist is:
• het kwitteren van het beperkende seinbeeld via de Memor;
• conform de procedures van de spoorwegonderneming een vertraging inzetten om aan een snelheid van 40km/h te komen bij het eerstvolgende sein;
• aandacht houden op de omgeving.

Deze verwachtingen laten geen ruimte voor fouten en hierdoor rust een groot deel van de spoorwegveiligheid op de schouders van de bestuurder.

Zie de Tripod boom hierboven.

Download hier het volledige onderzoeksrapport.

 

 

 

 

 

Geplaatst in Incidentanalyse | Tags: , , , , , , , | Een reactie plaatsen

Bhopal, 30 jaar later: Procesveiligheid aspecten (pdf)

64 pag

MIC ontsnapt uit tank 610 (voorgrond). De scrubber (links achter is buiten gebruik) evenals de flare tower (rechts achter). Het MIC verspreidt zich in de woonwijk via een vent pijp bovenop de scrubber.

Op woensdag 3 december 2014 is het al weer 30 jaar geleden. En ongeveer 29 jaar geleden dat ik op de Union Carbide (UC) plant in Bhopal onderzoek deed (voor zover dat ter plaatse lukte).

Aantal slachtoffers volgens de staat Madhya Pradesh: 3787 doden en duizenden gewonden van ernstige aard.

Een plaatselijke Bhopal journalist (Raajkumar Keswani):
“Bhopal, to me, is just not a story. It’s something about my family, my friends, my town, my people and me. Hence when I think of Bhopal, it’s all about the killing of my friends, neighbors, acquaintances and fellow Bhopalis.

Wat gebeurde er op maandag 3 december 1984?
00.15 uur – Een snelle drukstijging wordt gesignaleerd evenals een lek bij de Vent Gas Scrubber (VGS), via de Relief Valve Vent Header.
00.30 uur – De overdrukbeveiliging van de Methyl IsoCyanaat (MIC) tank functioneert: de breekplaat barst en de veiligheidsklep opent (figuur 7) en grote hoeveelheden damp stromen uit in de omgeving (op 30,5 meter hoogte). De drukindicatie is buiten zijn bereik (max. 3,8 bar). Het gebied rond de tank is warm en de betonnen omhulling schudt. De loogpomp van de VGS wordt gestart, er komt echter geen loogcirculatie op gang. De VGS operator weigerde ter plaatse polshoogte te nemen wanneer hij niet vergezeld werd. Dit vanwege reeds aanwezige dampen. Er is niemand gegaan.
00.40 uur – Er ontstaat paniek onder de medewerkers op de plant. Ze vluchten in bovenwindse richting.
01.30 uur – 02.30 uur – De veiligheidsklep op de opslagtank sluit.

De avond ervoor was er water in de MIC tank gekomen, resulterend in een runaway reactie. UC zegt: sabotage. Feit is dat het ontwerp en operatie van de  installatie inherent onveilig waren. In mijn boek met een beschrijving van de ramp en het onderzoek geef ik daarvan diverse voorbeelden. Eén concreet voorbeeld hier aan de hand van de originele tekening (P&ID) van de installatie.

Lees het hoofdstuk hierover in mijn boek: De procesveiligheidsproblematiek in Bhopal

73 pag

Voorbeeld:zie de figuur. In een destillatie kolom (links) wordt het MIC gewonnen als ‘overhead’ (top) product. De damp moet daartoe gecondenseerd worden met een (brine/ water) koeler (horizontaal, midden boven). Een lekkage van deze koeler kan leiden tot contaminatie van MIC met water, en dat moet dus ten alle tijde voorkomen worden. Om een lekkage te detecteren is een temperatuur verschil meting (TDRA) opgenomen in het ontwerp (meet een startende reactie met water in de leiding naar de MIC opslagtank). Deze is echter nooit geïmplementeerd.

Ter info: In 2013 is het boek in een Engelstalige versie in India uitgegeven. Dit is ook te koop op Amazon: Klik hier.

Geplaatst in Incidentanalyse | Tags: , , | Een reactie plaatsen

VNCI LTI ongevallen analyse 2013

LTI plaatjeDe VNCI heeft de jaarlijkse Responsible Care verzuimongevallen analyse gepubliceerd (over 2013). Dit op basis van standaardregistratie formulieren, ingevuld door de leden in de chemie sector. Ik heb het rapport gelezen (het bevat zelfs een link naar mijn eerdere blog over de rapportage over 2012 (zie hier)). Jammer dat er geen pogingen gedaan zijn de toegevoegde waarde ervan voor veiligheid te verhogen. Inzicht in de achterliggende factoren ontbreekt en daarmee wordt ook de link met procesveiligheid gemist. Verbeteren op basis van de huidige analyse wordt dan wel heel lastig. Er is geen reden om achterover te leunen. Ook al niet omdat de bewering :‘Minder verzuimongevallen, niveau lag nog nooit zo laag’ (Chemie magazine van november 2014), niet klopt, het blijkt niet uit de cijfers.

Advies aan het VNCI VNCI logo

De ongevallen rapportage dient in het teken te staan van verbeteren. Nu wordt het rapport routinematig gepubliceerd, maar er is niemand die op basis hiervan aan de slag kan om de veiligheid te verhogen in de sector.

Mijn advies is om de registratie formulieren die worden ingevuld door de bedrijven aan te passen. Zodanig dat de bedrijven de achterliggende factoren van de incidenten beter kunnen/ zullen rapporteren. Dit past perfect in het ambitieuze VNCI programma Veiligheid voorop plaatje‘Veiligheid Voorop’: een excellente uitvoering van het veiligheids beheerssysteem. De huidige LTI rapportage past daar niet in.

Dus: breng Veiligheid Voorop verder in de praktijk!

Ik zie uit naar de rapportage van volgend jaar.

———————————————————-

Achtergrond

 Trend in aantal ongevallen blijkt niet uit de rapportage

Om het kort samen te vatten: In 2012 ging het om minimaal 81 incidenten (aantal van 23% van de bedrijven ontbreekt), in 2013 gaat het om 89 incidenten (compleet). Wat concludeer je hieruit? In ieder geval niet dat het ‘niveau nog nooit zo laag lag’.

Oorzaken analyse

 Er worden 4 categorieën ‘oorzaken’ benoemd. Twee hebben betrekking op ‘directe oorzaken’ en twee op ‘basis oorzaken’. De categorieën zijn hieronder gegeven, met voor ieder de grootste bijdragen (in %). Het is een indeling die wat mij betreft niet bijdraagt aan het leren van deze incidenten.

 1. Directe oorzaak, Substandaard handeling

Onjuiste plaats of houding innemen 22%
Onvoldoende identificatie van gevaar of risico 32%

2. Directe oorzaak, sub standaard conditie

Onvoldoende bescherming of afscherming  (20%)
Ontoereikende voorbereiding/planning  (20%)

3. Persoonlijke basis oorzaken

Gebrek aan vaardigheid   (23%)
Misbruik of verkeerd gebruik   (43%)

4. Werkgebonden basisoorzaken

Onvoldoende leiding en/of toezicht  (20 %)
Ongeschikt ontwerp   (33 %)
Ongeschikt gereedschap en uitrusting   (29%)

Basis risico factoren (BRF) volgens Tripod

 Een probleem doet zich voor bij de VNCI analyse met behulp van de Tripod ‘Basis Risico Factoren (BRF)’. Dit suggereert een wetenschappelijke benadering, maar niets is minder waar. Zie ook de opmerkingen hierover van de heer Jansen in het Chemie magazine artikel.

BRF LTI

(figuur uit VNCI rapport)

Naar de aard van een BRF verwijst deze naar een structureel probleem in de organisatie (latente fout). De hierboven genoemde ‘Persoonlijke basis oorzaken’ kunnen nooit verwijzen naar de organisatie (veiligheidsmanagement systeem). Zo kan bv ‘gebrek aan vaardigheid’ (23%) wijzen op latente problemen mbt training/ opleiding, maar ook op verkeerde inzet van mensen, onvoldoende communicatie over de werkzaamheden, onvoldoende kwaliteit werkinstructies etc. Dat zijn allemaal verschillende BRF’s. Niet eenduidig dus en niet correct.

 

 

 

 

 

Geplaatst in Incidentanalyse | Tags: , , , , , | Een reactie plaatsen

Petten: Het risico was een factor 500 hoger

Volkskrant 20 oktober 2014

Volkskrant 20 oktober 2014

 

De kerncentrale in Petten is in het nieuws. De Volkskrant publiceert over de (on)veiligheid van de centrale. Ik heb de informatie daarover uit de krant. De veiligheidsproblematiek die daarin naar voren komt is heel herkenbaar. Ik vat mijn interpretatie van het artikel kort samen:

 

De kerncentrale kent een 2oo3 (‘2 out of 3’) beveiliging voor het alarmeren (en normaal gesproken ook een automatische ingreep) van een mogelijk ontsnappen van radioactief gas naar de atmosfeer. Dat zou ernstig zijn en daarom is een ultiem betrouwbare beveiliging ontworpen en geïnstalleerd. 2oo3 Betekent dat er 3 onafhankelijke metingen zijn geïnstalleerd. Indien twee van de drie de alarmwaarde overschrijden wordt er gealarmeerd en (automatisch) actie genomen die het gevaar moet afwenden. Een dergelijke beveiliging functioneert als een 1oo2 beveiliging. Immers bij zowel 2oo3 als bij 1oo2 wordt er nog ingegrepen als één van de metingen faalt. Aan 2oo3 wordt vaak de voorkeur gegeven boven 1oo2 om de frequentie van vals alarm/ actie te verkleinen. Voor de kenner: deze beveiliging zal zeker (moeten) voldoen aan SIL 2 volgens IEC 61508. Hieraan is een voldoende lage faalkans (gemiddeld lager dan 1:500 bij aanspreken) en een periodiek testinterval gekoppeld.

  • Eén meting van de drie (‘lampje’ nr. 2 volgens de krant) gaf aan dat er een probleem was. Voor een dergelijke beveiliging dient dat dan op korte termijn onderzocht te worden. Dat is niet gebeurd. De Volkskrant daarover:

Dan drukt hij (de operator, CP) nóg een keer op de resetknop, en nog eens. ‘Wel tig keer’, vertelt hij later aan de inspecteurs van de Kernfysische Dienst. Uiteindelijk houdt het geknipper op. Lampje uit: probleem verdwenen. Misschien is er iets mis met de schakeling of met de elektrische spanning op het meetinstrument, denkt de controlekamer. Dat is geen acuut probleem en kan bij de volgende onderhoudsbeurt van de reactor worden bekeken. In de werkvergadering die later die dag door allerlei deskundigen van de Hoge Flux Reactor wordt bijgewoond, spreekt niemand die conclusie tegen.


  • Twee weken later geeft dezelfde meting (die knipperde) een hogere waarde aan dan de andere twee metingen van het 2oo3 systeem.  In onderling overleg komt men tot de conclusie dat nummer 2 stuk moet zijn. Als een maand later  (11 juli) de kerncentrale wordt stilgelegd voor onderhoud blijkt dat niet meting 2, maar juist de metingen 1 en 3 defect zijn. Dat betekent dat de beveiliging als geheel defect was. Immers er moeten twee metingen boven de alarmwaarde zijn om in te kunnen grijpen. Er was nog slechts één meting actief. Bij het niet beschikbaar zijn van een SIL 2 beveiliging gaat het risico gemiddeld met een factor 500 omhoog en komt daarmee boven een acceptabel risico niveau dat de centrale zelf gesteld heeft. We spreken hier over het risico van een radioactief gas ontsnapping naar de atmosfeer. Dit probleem is niet tijdig gemeld aan de toezichthouder KFD (pas op 19 juli).

ANALYSE

Op basis van de schaarse informatie en mijn eigen ervaring kom ik tot de volgende voorlopige analyse:

  • De norm NEN IEC 61508 voor instrumentele beveiligingen is niet goed geïmplementeerd. Kennis erover is blijkbaar ook bij de instrumentatie dienst beperkt.
  •  Er zijn intussen twee stafleden zijn ontslagen omdat zij de veiligheidsprocedures niet hebben gevolgd.  Ik vrees dat het hier vooral gaat om het te laat melden aan de KFD. Dat late melden had trouwens geen gevolg, de centrale was al buiten bedrijf. Het zou natuurlijk moeten gaan over nalatigheid met het volgen van de procedures rond de 2oo3 beveiliging.
  • Het ontslaan van mensen is geen beproefd middel om de veiligheid te verhogen. De problemen in de organisatie blijven bestaan. Wie is daarvoor verantwoordelijk? Niet de stafleden, het gaat altijd om lijn managers. De directie van NRG spreekt achteraf van een tekortschietende veiligheidscultuur. Let wel: Het belangrijkste element van veiligheidscultuur is ‘zichtbaar en betrokken leiderschap’. Over de stand daarvan deed de directie geen uitspraak…
  • In de krant lees ik verder het volgende. De Volkskrant:  ‘Als later de inspecteurs van de Kernfysische Dienst langskomen om te achterhalen wat er in Petten allemaal is misgegaan, vragen ze de operators waarom ze niet naar de meting zelf hebben gekeken. Gewoon, de getallen op de meter beoordelen om te begrijpen wat er aan de hand is. Het verbluffende antwoord is dat geen mens weet wat die cijfers voorstellen. ‘Niemand heeft feeling met de waarden’.  Dit en het bovenstaande betekent op zijn minst dat de volgende achterliggende factoren (‘latente fouten’ volgens Tripod) in de bedrijfsvoering zijn geslopen:

– Onvoldoende kennis bij de operators en instrumentatie afdeling

– Onvoldoende toezicht op het volgen van de procedures

– Onvoldoende risicobewustzijn door routine

– Onvoldoende risico communicatie

Het ontslaan van stafleden helpt niet dit serieuze veiligheidsprobleem aan te pakken. Er zijn structurele veranderingen nodig.

 

Geplaatst in Uncategorized | Tags: , , , , , | Een reactie plaatsen

Het Zwitserse Kaas incident Model

images-9

De ‘Unsafe Act Mouse’

Je kan bijna niet meer om het Swiss Cheese Model (SCM) heen. In artikelen, presentaties en scripties duikt het model steeds weer op. Het wordt meestal genoemd in het kader van incidenten onderzoek . De achtergrond en het juiste gebruik zijn vaak niet bekend. Een klein tipje van de sluier.

Historie

Het Swiss Cheese Model (SCM) is afkomstig van James Reason (Manchester University). Hij heeft diverse versies ontwikkeld, de versies kregen steeds meer een ‘cheesy flavor’ (volgens James in zijn laatste boek ‘The Human Contribution’). Uiteindelijk zijn anderen het gaan benoemen als SCM. James (ik mag James zeggen, heb nog training met hem gegeven) weet zelf niet precies wie, maar noemt twee ‘suspects’, allebei uit de Aviation Safety wereld. Goed om ze hier te noemen (historisch van belang): het was OF Rob Lee van Air Safety Investigation in Canberra OF Captain Dan Maurin0 van het ICAO (ook aviation) in Montreal.  Hoe dan ook:  de kaas doet het sindsdien goed in veiligheids- en incident onderzoeksland. De laatste versie van James die in toenemend mate in diverse sectoren opduikt staat in de figuur hieronder (links). Deze figuur staat ook in het boek dat ik noemde, zij het dat er geen ‘Accident’ staat maar ‘Losses’ en geen “defenses” maar: ‘defences, barriers and safeguards’. We moeten de meester wel goed citeren. Hij zegt er nog bij dat het ‘Emmentaler kaas’ is. Dan weten we tenminste ook om welke Zwitserse kaas het gaat!

sw_aligned550px-NCI_swiss_cheese

James Reason vermoedt dat het kaas verhaal begonnen is met zijn plaatje hieronder, waar hij voor het eerst plakjes met gaten gebruikte (figuur 5.2). Zie ook de latere versie (5.3)   Ik heb deze uit zijn boek gekopieerd, lastig bij zo’n dik boek, maar ze zijn leesbaar:

SCM versie 2SCM early 90

Maar hoe gebruiken we het SCM model?

 

 

images-10

Het SCM wordt ook toegepast in de spoorweg sector

Inhoudelijk

Het SCM model visualiseert het barrière concept. Hierboven door James ook wel genoemd defences of safeguards. Ze worden ook wel Lines Of Defense (LOD) genoemd. Of ook Layer Of Protection (LOP) in een LOPA analyse. In de praktijk visualiseren we die in een vlinderstrikmodel of bowtie. Het type barrière, het aantal en de betrouwbaarheid wordt bepaald middels veiligheidsstudies en risico analyses. Een bekende barrière is bv een instrumentele beveiliging. De noodzakelijke betrouwbaarheid ervan wordt uitgedrukt in een Safety Integrity Level (SIL).

sw_not_aligned

Hier zijn 4 barrières in serie afgebeeld. Alleen als de rode lijn naar het incident vrij spel krijgt doordat de gaten in alle 4 de barrières zijn opgelijnd zal het incident plaatsvinden. De kans daarop is heel klein. De vraag is hoe klein die kans moet zijn, dat hangt af van de gevolgen. We spreken dus altijd over risico.

De barrières die een incident moeten voorkomen (of de gevolgen beperken) zijn dus bekend. Bij een incident is dan ook de eerste vraag: welke barrières hebben gefaald of hadden we er misschien een te weinig?

Tripod bèta methode

De uitdaging bij ongevalsonderzoek is vervolgens het falen van een barrière te analyseren. Daarbij komt het echte werk van James Reason om de hoek. Zie de driehoek figuur. Een gat in een barrière kan volgens hem ontstaan door een ‘unsafe act’ van iemand (‘menselijk falen’..), of door een reeds bestaande fout in de organisatie (de route buiten de driehoek).

swiss-cheese-model

Hier zien we de oorsprong van de Tripod bèta methode. James: onveilige handelingen (Tripod: Active Failures) komen voort uit specifieke suboptimale omstandigheden op de werkvloer (Tripod; preconditions) die op hun beurt geworteld zijn in problemen in de organisatie (Tripod: Latente fouten). Er is een belangrijk verschil met Tripod: Bij James kan ook een gat in een barrière ontstaan door een Latente fout (de route buiten de driehoek). Dat is wel een interessante gedachte, ik kom op dit punt en op Tripod, het barrière concept en bowtie in een volgend blog terug.

Geplaatst in Uncategorized | Tags: , , , , , , | 2 reacties