Home » Human Factors (Page 4)

Category Archives: Human Factors

Anders Ellerstrand: Forskning om safety 4 – visualisering av safety

Jag fortsätter här berätta om en ovanlig men mycket intressant bok. Det handlar om ”Safety Science Research – evolution, challenges and new directions”. Boken innehåller 22 kapitel av olika författare men är sammanställd och redigerad av Jean-Christophe Le Coze. (Tidigare avsnitt finns här – del 1, del 2 och del 3).

I bokens tionde kapitel tar Jean-Christophe Le Coze upp betydelsen av att visuellt illustrera teorier och koncept inom safety-forskning. Coze börjar med en historisk genomgång med fyra exempel:

Hög-risk-system
Charles Perrow klassificerade hög-risk-system 1984 och illustrerade detta med en matris med två skalor. En gick från ”loose coupling” till ”tight coupling” (länk) medan den andra gick från linjär till komplex.

I denna matris placerade sedan Perrow olika företeelser. Ett exempel är kärnkraftverk som ligger längst upp i högra hörnan – ”tight coupling” och komplex – medan tillverkningsindustri ligger nästan motsatt. Perrow blev känd för sin bok om ”normala olyckor” som uppstod som systemiska olyckor hos företeelser i övre högra rutan – hög-risk-system.

Sociotekniska system
Jens Rasmussen beskrev under 80- och 90-talen hur olika aktörer hade en påverkan på det som kunde utvecklas till en olycka. Han skapade en enkel tabell med aktörer på olika nivåer – från myndigheter längts upp till personal och arbetsplats längst ner.

Det som gör den enkla illustrationen så värdefull är pilar i tabellen som visar flöden av inflytande, beslut och andra påverkansfaktorer.

Safety-modell 1
Även nästa illustration kommer från Rasmussen. Den visar hur individer har ett visst mått av frihet att agera och anpassa sig när de utför sitt arbete.

Detta sker i ett utrymme som fortfarande är säkert men som kan begränsas från olika håll. Det handlar om att begränsa arbetsbelastning men också om att vara ekonomiskt effektiv. Dessa två begränsningar utgör samtidigt en press mot den tredje begränsningen – safety. Med sin illustration visade Rasmussen hur det i organisationer finns krafter som riskerar att minska marginalerna till en olycka.

Safety-modell 2
Den mest kända illustrationen är nog ”the Swiss Cheese Model” som skapades av James Reason. Den visar på ett behov av att skydda sig mot olyckor genom ett ”försvar på djupet”. Liksom Rasmussens tabell visar den hur olika nivåer har sin funktion i att skapa ett system som förebygger olyckor. Det krävs en rad faktorer på många nivåer för att skapa de förutsättningar som leder till en olycka.

Framtidens visualiseringar
Coze menar att många försök att illustrera koncept leder till alltför stora förenklingar där man använder geometriska figurer som ofta visar upp hierarkier. Det finns ett behov av att illustrera mer komplexa miljöer och interagerande. Han visar ett exempel men för mig blir den alltför svårtillgänglig.

Coze menar att visuella illustrationer är viktiga i safety-forskning och kommer att vara så även framöver. Han pekar på att en framgångsrik illustration inte ska behöva mycket förklarande text utan kunna förmedla sitt budskap själv. Tekniskt finns idag stora möjligheter att skapa illustrationer som arbetar med t.ex. tre dimensioner. Jag tycker inte Coze lyckas visa på hur framtidens safety-forskning kan illustreras men han tydliggör behovet.

Anders Ellerstrand: Forskning om safety 2 – standardisering och digitalisering

Jag fortsätter här berätta om en ovanlig men mycket intressant bok. Det handlar om ”Safety Science Research – evolution, challenges and new directions”. Boken innehåller 22 kapitel av olika författare men är sammanställd och redigerad av Jean-Christophe Le Coze.

I bokens första kapitel tar Almklov och Antonsen upp standardisering och digitalisering. De inleder med en ökad betydelse av att förstå hur arbete faktiskt går till och skillnaden mellan ”work as imagined” och ”work as done”. Den skillnaden ses ofta som något negativt och författarna hävdar att det en finns en ökande tendens mot ökande standardisering som åtföljs av ökad rapportering och kontroll vilka också baseras på standards. Även möjligheten att mäta utfört arbete ökar och ”what gets measured is what matters”.

En ökad och detaljerad standardisering är attraktiv för den som vill mäta, kontrollera och följa upp. Det underlättar även styrning. En chef behöver inte längre ha full kunskap eller förståelse för verksamheten eftersom det levereras data som hela tiden beskriver hur standards upprätthålls.
Även en procedur beskriven i ett dokument och en uppmaning att följa den får naturligtvis en påverkan på hur arbetet utförs. När detta ersätts av digitala system ökar möjligheten till ytterligare standardisering och kontroll på en alltmer detaljerad nivå. En digitaliserad procedur kan t.ex. omöjliggöra ”genvägar” som att utelämna delar av proceduren. Det är naturligtvis avsikten och det kan ha många fördelar. Ett exempel skulle kunna vara ett system som gör att bilen inte går att starta förrän bilbältet är fäst. Det skulle ju garantera att ingen förare glömmer bilbältet eller väljer att frångå reglerna.

Problemet är att sådana system också tar bort möjligheten till ett situationsanpassat arbetssätt. Jag kommer att tänka på en film jag såg där en kvinna är på väg från sitt hus till sin bil. Då kommer två beväpnade rånare springande. Kvinnan lyckas mycket snabbt ta sig in i bilen, starta den och köra iväg. Man kan tänka sig vad som kunde ha hänt om bilen inte var möjlig att starta förrän bilbältet var fäst.
Jag tror det finns många jobb där man någon gång frågat sig om man ska ”jobba säkert eller efter reglerna”. Det är knappast möjligt att formulera bestämmelser, standards och procedurer som fullständigt beskriver arbetet eller som beskriver alla tänkbara situationer. Idag fungerar det ändå oftast bra genom människors förmåga att anpassa sitt sätt att arbeta. I en alltmer standardiserad och digitaliserad värld kan människor berövas denna möjlighet att anpassa sitt arbete och det är inte säkert att resultatet blir säkrare eller effektivare.

Jag tycker Almklov och Antonsen i sin artikel pekar på något väsentligt. Det är troligt att vi framöver får se en ökad standardisering och digitalisering men en sådan utveckling kanske inte är odelat positiv.

Anders Ellerstrand: Forskning om safety – del 1

Uppdelat i några kommande avsnitt tänker jag berätta om en ovanlig men mycket intressant bok. Det handlar om ”Safety Science Research – evolution, challenges and new directions”. Boken innehåller 22 kapitel av olika författare men är sammanställd och redigerad av Jean-Christophe Le Coze.

Boken börjar med en ganska lång introduktion som bl.a. beskriver de ”gyllene åren” under 1980 och 1990-talen då mycket av det vi idag arbetar med inom safety etablerades. Här beskrivs de olika teorier och koncept som utvecklades och de kända namn som bidrog presenteras. Här beskrivs även översiktligt var vi är nu och vilka trender som syns.

Boken är i övrigt indelad i två sektioner. Den första heter ”New Generation” och består av 14 kapitel där dagens forskare inom safety får ge sin syn. Bland författarna kan här nämnas Jean-Christophe Le Coze, Johan Bergström och Steven Shorrock. Här finns många intressanta kapitel och jag ska ta upp något av det jag fastnat för i kommande avsnitt.

Riktigt intressant blir det sedan i nästa sektion där sju av ”veteranerna” får kommentera det som skrivits i den första sektionen och ge sin syn. Här finns författare som Rhona Flin, Erik Hollnagel och Karl E. Weick.

De kommande avsnitten har inte som ambition att sammanfatta hela bokens innehåll. Däremot vore det kul om jag lyckas väcka intresse så att ni själva söker upp boken och läser.

EASA presenterar riktlinjer för artificiell intelligens

Det har talats mycket om artificiell intelligens – AI – i alla sammanhang och så även inom flygindustrin. Detta har även tagits upp här på bloggen (länk). Det har dock handlat mycket om visioner, potential och möjligheter och mindre om vad som behövs för att användningen av AI ska vara säker i alla de olika sammanhang som den kan användas. Detta har nu EASA tagit upp, vilket i sin tur har rapporterats på AINonline (länk nedan).

EASA presenterade nyligen ett tidigt utkast på en ”roadmap” som tar upp de frågor som måste tas upp och lösas för att användning av AI ska kunna fungera säkert och effektivt i flygindustrin. Tanken är att dokumentet ska användas för samtal med industrin och för att sedan kunna formulera mer riktlinjer och regler. Bland de frågor som tas upp är transparens, undvikande av diskriminering, rimlig och rättvisa certifieringsprocesser och andra frågor kopplade till dessa områden.

EASA har inte kommit på allt detta på egen hand utan baserar dokumentet på arbete som genomförts av en grupp ledd av Europeiska kommissionen om bär namnet High-Level Expert Group on Artificial Intelligence (AI HLEG). För pålitlig AI har denna grupp föreslagit sju områden för krav att ställas: tydlighet avseende ansvar, teknisk robusthet och säkerhet, möjlighet till översikt och kontroll, integritet och hantering av data, icke-diskriminering och rättvisa, samt samhälls- och miljöpåverkan.

EASA var även tydliga med att man för närvarande inte har nog med resurser för att
Att EASA har tagit detta initiativ är bra men frågan är vilken påverkan principer på så hög nivå har på arbete med att utveckla och använda AI praktiskt inom flygindustrin.

Länk till artikel:
EASA’s Early Roadmap on AI Warns of Ethical Imperatives

Anders Ellerstrand: Flygsäkerhet 17 – Sammanfattning

Det blev alltså hela 16 inlägg om flygsäkerhet här på bloggen. Här följer en guide/sammanfattning:

I avsnitt 1 försökte jag definiera flygsäkerhet. Oftast diskuteras istället frånvaron av säkerhet – olyckor och incidenter. Det är också detta vi mäter med tanken att frånvaro av olyckor är detsamma som att det är säkert. Av det följer att vi mest studerar olyckor. I avsnitt 2 togs ett par kända personligheter upp som starkt påverkat vår syn på hur olyckor uppkommer – Heinrich och Reason. Heinrich pekade på människan som ett problem, medan Reason pekade på att även om de ”osäkra handlingarna” görs av människor, måste vi studera hela systemet för att förstå hur omständigheterna skapas där vi gör misstag.

I avsnitt 3, 4 och 5 tog jag upp en berättelse av Sidney Dekker där han visar att de faktorer som finns med vid olyckor och incidenter också är närvarande då vi lyckas, vilket ju utgör den stora majoriteten. Det är inte så enkelt som att om man bara följer alla bestämmelser så blir resultatet bra. Istället är bestämmelserna sällan heltäckande, målen vi arbetar med ofta motsägelsefulla och resurserna för små. För att ändå lösa uppgiften anpassar vi oss, tar genvägar, gör avsteg från bestämmelser osv. Och nästan alltid är det detta som gör att vi lyckas, trots de brister som finns. Även avsnitt 6 handlade om vår förmåga att anpassa oss till situationens krav.

Avsnitten 7, 8, 9 och 10 började med att diskutera hur delar av system kan vara olika beroende av varandra. Vissa delar är ”tätt kopplade” och en förändring i en del påverkar omedelbart andra delar. Sedan diskuterades hur vår förmåga till anpassning också bidrar till förändringar i systemet och till att öka skillnaden mellan ”work-as-imagined” och ”work-as-done”. Om delar som är ”löst kopplade” förändras kan skillnaden bli så stor att ett senare behov av ”tät koppling” inte längre fungerar. Även här har människans förmåga till anpassning troligen en viktig roll.

Avsnitt 11 handlade om svårigheten att mäta flygsäkerhet. Vi kan se en positiv historisk utveckling men idag är olyckorna så få att det är svårt att veta om trenden fortsatt är positiv. ICAO fokuserar istället på att fortsätta arbetet med att få alla stater att implementera ICAO standards i så stor utsträckning som möjligt och litar på att flygsäkerheten på det viset ska fortsätta ges en positiv global utveckling.

Avsnitt 12, 13 och 14 försöker peka in i framtiden genom att visa på olika sätt att utveckla arbetet för förbättrad flygsäkerhet. Här finns korta beskrivningar av Safety-II och Resilience Engineering, där Erik Hollnagel är en framträdande person som utvecklat teorier och skrivit flera böcker. I avsnitt 14 diskuterades tankar av Amalberti som menar att i dagens mycket säkra system finns det ingen som vet vilka åtgärder som fungerar när det gäller att höja flygsäkerheten. Här lyfts också fram några idéer kring hur framtidens safety management måste förändras för att lyfta in Safety-II parallellt med Safety-I.

Slutligen ger avsnitten 15 och 16 ett par praktiska exempel på hur flygsäkerhetsarbete kan se ut, dels med en berättelse från Namibia, dels med ett intressant verktyg för proaktivt flygsäkerhetsarbete kallat PIRATe.
Stort tack till er som följt denna serie som nu avslutas. Självklart finns mycket kvar att diskutera och ämnet kommer att tas upp här på bloggen igen…

Anders Ellerstrand: Flygsäkerhet 16 – PIRATe för proaktiv flygsäkerhet

Vi använder rapportering av incidenter för att lära oss var vi behöver förbättra våra system för att därigenom undvika olyckor. Med dagens höga flygsäkerhet är det långt mellan olyckorna men också långt mellan allvarliga incidenter. Resultatet är att vi har få tillfällen att lära. Detta har Erik Hollnagel tagit upp i sina tankar om Safety-II där han menar att vi måste lära oss även av händelser som går bra för att förstå vad det är som får oss att lyckas, vilket vi ju nästan alltid gör.

Det finns en del problem förknippade med haveri- och incidentutredningar:

• De är reaktiva, dvs vi kan inte lära av olyckor/incidenter förrän efter de skett. Priset för lärdomen kan vara högt.

• Oftast beror negativa händelser på att olika händelser råkar samverka på ett slumpartat sätt. Det finns en risk att utredningen fokuserar på just denna unika samverkan istället för att lyfta fram större, återkommande problem.

• Efter en olycka eller allvarlig incident kan det finnas en stor press (från allmänhet, myndigheter, företagsledning osv.) på att snabbt presentera orsak och lösningar. Det kan leda till kostsamma utredningar vars syfte mer är att tillgodose krav utifrån än att hantera organisationens egna problem.

Det finns redan alternativa metoder för att lära om flygsäkerhet. Det görs revisioner och inspektioner, interna eller av utomstående. Det finns metoder som LOSA (för flygande besättningar) eller NOSS (för flygtrafikledning) där man observerar operationer för att notera områden som kan förbättras. Ett problem med flera av dessa metoder är att de fokuserar på brister hos operatörerna men missar de bakomliggande faktorerna.

Det finns emellertid en metod som dels är proaktiv, dels är systemisk. Den bygger på tankarna om den organisatoriska olyckan (”Swiss Cheese”) av James Reason och stämmer överens med incidentutredningsmetoder som t.ex. SOAM som utvecklats av Eurocontrol. Metoden kallas PIRATe (The Proactive Integrated Risk Assessment Technique) och togs fram för ganska många år sedan. Den har sedan dess använts i en rad olika verksamheter som flygbolag, flygvapen, flygunderhållsorganisationer, kärnkraftverk m.fl.

PIRATe bygger på tanken att det i organisationer redan finns kunskap om brister och risker men att denna kunskap är spridd på olika delar och hos olika personer. Om man kan samla personer med olika roller och kompetens i en organisation har man möjlighet att samla denna ”dolda kunskap” för att se hur olika problem, brister och risker skulle kunna samverka för att skapa problem och kunna orsaka en allvarlig incident eller en olycka. Här följer en kort beskrivning av hur metoden kan användas:

1. Samla en lämpligt sammansatt grupp ”experter” som har kunskap inom olika delar av det område som ska analyseras. Detta skulle kunna ske som en del av CRM eller TRM-utbildning.

2. Metoden bygger på modellen ”Swiss Cheese” och denna bör då gås igenom så att deltagarna förstår hur olika delar (kontext, miljö, organisation, arbetsledning osv.) kan påverka ett negativt utfall. Själv tror jag dock att metoden kan användas även med andra modeller som grund.

3. Beroende på hur stor gruppen är kan man eventuellt dela upp den i mindre grupper. Varje grupp har uppgiften att ”designa nästa olycka”, dvs att identifiera svagheter man känner till och som kan bidra till ett realistiskt scenario som leder till en olycka. Här har varje deltagare möjlighet att bidra med sin specifika kunskap om riskkällor, tillfällen då det är lätt att göra ett misstag eller situationer där det saknas skyddsbarriärer. Gruppen ska alltså så detaljerat som möjligt beskriva en fiktiv, men realistisk händelse som utvecklar sig till en olycka. I en väl fungerande organisation kanske inte uppgiften är så lätt – vi har ofta väl genomtänkta system med dubblerade funktioner just för att förhindra olyckor.

4. Den som organiserar arbetet kan med fördel förse gruppen/grupperna med data som hjälp. Det kan till exempel för ett flygbolag handla om statistik för ”unstabilised approaches”.

5. Slutligen kan gruppen genomföra en ”haveriutredning” för sitt scenario, där man följer gängse metodik för att analysera, hitta orsaker och föreslå åtgärder. Ett alternativ är naturligtvis att överlämna det beskrivna scenariot till organisationens avdelning för utredningar och låta dessa göra analysen på samma sätt som man gjort om det vore en verklig händelse.

Jag ser PIRATe som ett mycket lovande verktyg. Dess fördelar är dels att det arbetar proaktivt – det identifierar problem innan de hunnit orsaka verkliga problem – dels är det ett sätt att samla in fragmentarisk kunskap för att få en samlad översyn över hela systemets funktion. En tredje fördel är att de medarbetare som deltar får en möjlighet till fördjupad insyn i flygsäkerhet. Jag har provat på att använda metoden under en utbildning i Safety i Barcelona för några år sedan och tyckte mycket om den. Länk till PIRATe: Länk

Det kommer ytterligare ett inlägg i min serie om flygsäkerhet. Där ska jag försöka sammanfatta innehållet på ett kort och överskådligt sätt.

Anders Ellerstrand: Flygsäkerhet 15 – Praktiskt och i liten skala

I en lång rad inlägg har jag försökt ge olika perspektiv på flygsäkerhet men det mesta har ändå varit teoretiska perspektiv kring principiella sätt att se på flygsäkerhet. Som motvikt tänkte jag här skriva om ett praktiskt sätt att arbeta med flygsäkerhet.

Jag hade tjänstledigt från LFV 2011-2015 och jobbade då för ICAO i Namibia. (Under åren där skrev jag en blogg som jag kommer att länka till.) Från början arbetade jag i ett team med fem andra svenska flygledare och vår uppgift var att hjälpa landet implementera den moderna utrustning för flygtrafikledning man köpt – bl.a. radar. Efter att uppdraget var slutfört var jag den ende svensk som stannade kvar och jag fick en ny tjänst som rådgivare åt den statliga ANS-utföraren.

Jag fick snart indikationer på att flygsäkerheten inte låg på en önskvärd nivå. Viljan att rapportera incidenter inom ATS var låg så jag kontaktade ett par av de lokala flygbolagen och fick ta del av deras incidentrapportering. Detta ledde sedan till att jag utredde de 53 incidenter som verkade allvarligast och som inträffat 2011-2014 (länk).

Utifrån det materialet skrev jag sedan en analys med förslag till åtgärder. Det handlade mycket om ”från-ovan-perspektivet”; brister hos tillsynsmyndigheten, brister i regelverket, brister i organisation och efterlevnad av bestämmelser (länk).

Av blogg-inlägget framgår att många incidenter inträffade i närheten av flygplatsen Eros, som ligger i huvudstaden Windhoek och har blandad trafik; inrikesflyg, skolflyg och privatflyg i olika storlekar. Trafikavvecklingen var tämligen ostrukturerad och det saknades bl.a. VA-karta över CTR liksom det saknades in- och utpasseringspunkter. Kanske gick det att åstadkomma konkreta förbättringar på kort sikt utan att invänta de mer strukturella förändringarna?

Vi startade upp ett lokalt projekt och tog fram ett förslag för att strukturera luftrummet kring flygplatsen. Vi använde en ATS radar-simulator för att genomföra en enkel simulering och vi provflög de olika rutterna i en Cessna 182 (länk).

Jag lämnade Namibia i mars 2015 och fick aldrig se resultatet av projektet. I december 2016 kom det emellertid en kommentar på min blogg. Rob Grant från Australien som jobbade i Namibia skrev:

“Better late than never: the entry exit points were introduced in 2015 – a great success! As I left Namibia in December 2016 two VFR routes were in operation: VFR Route 1 to the GFA and beyond and VFR Route 2 to the south over the ridge line. From a high incident rate in the unstructured airspace around Eros, to the now almost incident free Eros airspace is a joy to behold. The three members of the team, Mikki, Christine and Erik are to be congratulated for their determination and hard work; even more so when one considers some of the vitriol and selfishness displayed by a small number of pilots at Eros wanting to stay with the “old ways which were safer”. What utter nonsense when statistics prove otherwise.”

Det finns en risk att diskussioner kring flygsäkerhet blir alltför teoretiska. Ofta är det de enkla praktiska åtgärderna som ger resultat. Om det är något som går att hämta från detta enkla exempel så kan det vara att arbetet inte gick ut på att försöka hindra piloter och flygledare att göra fel. Istället var syftet att genom publicerade rapporteringspunkter och publicerade rutter hjälpa dem att göra ett bra jobb. Jag tror att här finns en liten nyans som kan göra skillnad. Flygsäkerhetsarbete ska se operatörer som en tillgång i flygsäkerhetsarbetet. De ska inte i första hand hindras från att göra fel – de ska få hjälp att göra rätt.

Nästa inlägg tar upp ett verktyg som lär vara använt på många håll. Jag har aldrig emellertid inte stött på det där jag arbetat men tycker det verkar mycket lovande.

Anders Ellerstrand: Flygsäkerhet 14 – Framtiden

Kommer arbetet med flygsäkerhet att förändras? För nästan 20 år sedan skrev R. Amalberti en artikel om paradoxen hos mycket säkra transportsystem, som flyg och tåg i delar av världen. I artikeln hävdar han bl.a. att system beter sig olika beroende på hur säkra de är:

Farliga system – med en risk för en allvarlig olycka är mer än en på 1000. Amalberti tar upp bergsklättring och bungee jumping. Han menar att dessa är oreglerade, oprofessionella och drivs av individer som söker spänning och risk.

Reglerade system – med en risk för en allvarlig olycka mellan en på 1000 och en på 100 000. Amalberti tar här upp bilkörning, kemiska industrier eller charter-flygning som verksamheter som ligger uppemot 1 på 100 000. Dessa system sköts av professionella och här har regler och procedurer en viktig funktion, men även rapporteringssystem och designförbättringar. En safety manager i ett sådant system kan se hur sådana metoder ger mätbara resultat inom något eller några år.

Ultra-säkra system – med en risk för en allvarlig olycka som är mindre än en på 100 000 eller t.o.m mindre än en på 1 000 000. Exemplen är flyg i linjefart, järnväg och kärnkraft. Här menar Amalberti att ingen vet vilka åtgärder som kan ge ytterligare effekt. Ändå fortsätter man med de som fungerat historisk – mer regler och procedurer, utbyggda rapporteringssystem och tron på teknik.

Amalberti tar bl.a. upp incidentrapportering. I mindre säkra system är det ofta samma orsaker som om och om igen orsakar olyckor. Därför finns mycket att vinna på att dessa blir rapporterade och kan hanteras. Amalberti menar att i ultra-säkra system händer istället olyckor utan tekniska problem eller allvarliga misstag. Istället ligger en osannolik kombination av faktorer bakom och ingen av dessa är tillräckliga för att ensamma orsaka en olycka. Det är alltså mycket svårt att hitta förbättringspotential. I dessa system går det dessutom så lång tid mellan olyckorna att det i princip är omöjligt att se något resultat då man inför åtgärder för att förbättra säkerheten. Resultatet är att vi inte kan få bevis för vad som fungerar.

Det här påminner om resonemanget som Dave Snowden för kring sin modell Cynefin, vilket tagits upp här på bloggen tidigare – http://lusa.one/2019/10/16/anders-ellerstrand-hanterar-du-organisationsproblem-pa-ratt-satt/. I komplexa system vet man inte i förväg vilket resultatet blir när man förändrar något.

Som ett svar på dessa tankar har Sidney Dekker och Robert de Boer utvecklat en egen metod. De föreslår att då man förändrar i välfungerande system ska man göra detta genom ”mikro-experiment”. Det kan innebära att man gör förändringen på bara en del av organisationen och noga följer upp effekterna med beredskap för att snabbt sluta om effekten blir negativ. Går det som förväntat kan man sedan skala upp efterhand. Ett intressant exempel är det försök som gjordes på varuhuskedjan Woolworths – http://lusa.one/2019/10/16/anders-ellerstrand-hanterar-du-organisationsproblem-pa-ratt-satt/. Detta exempel har väckt intresse och det finns fler stora företag som vill lära sig och implementera liknande förändringar.

Men är inte Safety-II framtiden då? Man kan ibland se en diskussion om att Safety-II skulle vara en motsats till Safety-I och att Safety-II skall ersätta Safety-I. Hollnagel, som introducerat begreppet Safety-II är dock tydlig med att det ska ses som ett komplement. Det finns dock konflikter mellan synsätten – Safety-I kan ses som att upprätthålla kontroll och begränsa variation medan Safety-II ser fördelar och möjligheter i variation och anpassning.

I en intressant artikel skriven av David Provan, David Woods, Sidney Dekker och Andrew Rae diskuteras hur Safety Management kan förändras för att just kombinera Safety I och Safety II. https://www.sciencedirect.com/science/article/pii/S0951832018309864

Som lösning på konflikten mellan kontroll och variation föreslår man något som de kallar ”guidad anpassningsförmåga”. Det grundar sig i att anpassning är oundviklig och man menar att anpassning varken ska förhindras eller uppmuntras. Istället är målet med Safety Management att guida och möjliggöra en variation och anpassning som är säker. Artikeln beskriver hur safety-personal borde arbeta annorlunda än idag för att kunna kombinera Safety-I och Safety-II.

Författarna menar att det aldrig är möjligt att fullständigt beskriva och reglera komplexa system. Därför kan man på ett sätt säga att vi ständigt arbetar i ”degraderade system”. Vi fortsätter att möta oväntade händelser, oförenliga krav och bristande resurser. Istället för att försöka begränsa människan till att följa planer och regler som ändå inte täcker allt eller fungerar i alla situationer behöver safety management ge stöd och underlätta en nödvändig förmåga till anpassning. Det här kräver att den som arbetar med safety-frågor måste finnas närmare verksamheten för att kunna studera hur arbetet faktiskt utförs och därmed kunna identifiera och åtgärda skillnader mellan ”work-as-imagined” och ”work-as-done”. Det blir därmed möjligt att se vilken typ av drift som kan vara negativ och måste stoppas och vilken typ av drift som är nödvändig och som behöver stöd.

Här passar tankar från ”resilience engineering” väl in. Genom att monitorera verksamheten kan man göra det möjligt att förutse situationer då t.ex. hög press och små resurser samspelar och ger minskade marginaler. Planering kan då möjliggöra t.ex. tillkallande av extra resurser. Det är också viktigt att ge personalen viss ”rörelsefrihet” eller mandat att fatta de beslut som krävas i stunden vilket kan innefatta sådant som att kunna begränsa eller avbryta viss verksamhet.

Det finns nya teorier kring flygsäkerhet. Det finns också idéer om hur man praktiskt kan använda teorierna för att åstadkomma förbättringar. Och vi börjar se exempel på organisationer som sätter det i verklig drift och som dessutom kan visa positiva resultat. Än så länge har jag dock inte sett att dessa nya tankar påverkat varken ICAO, EASA eller nationella flygsäkerhetsmyndigheter.

Min långa serie inlägg om flygsäkerhet närmar sig sitt slut men innan jag är färdig ska jag i två inlägg ge exempel på sätt att praktiskt arbeta med flygsäkerhet.

Anders Ellerstrand: Flygsäkerhet 13 – Resilience engineering

Förra inlägget handlade om Erik Hollnagel och hans tankar kring behovet av ett nytt synsätt på safety som han gav namnet Safety-II. Hollnagel är också en av grundarna av ”Resilience Engineering Association” som höll sitt första symposium i Söderköping 2004. Hollnagel har skrivit flera böcker om resiliens.

Resiliens är ett ord som wikipedia beskriver som ”den långsiktiga förmågan hos ett system att hantera förändringar och fortsätta att utvecklas”. ”Resilience engineering” handlar om att stödja och utveckla denna förmåga. Det handlar inte bara om safety även om det naturligtvis är en viktig del av vår förmåga.

Resiliens är en inneboende förmåga hos ett system att kunna anpassa sin funktion före, under och efter förändringar och störningar, så att det kan upprätthålla en fungerande verksamhet under såväl förväntade som oförutsedda förhållanden.

Hollnagel har beskrivit resiliens som bestående av fyra förmågor:
• Förmågan att förutse – att veta vad man kan förvänta sig och att kunna förutse utvecklingen med såväl kommande störningar som kommande möjligheter
• Förmågan att lära och utvecklas – att lära från erfarenheter, att förstå varför saker hände som de gjorde
• Förmågan att övervaka – sådant som kan påverka systemets förmåga, inom och utom den egna organisationen
• Förmågan att reagera – att veta vad man ska göra eller kunna reagera på såväl förväntade som oväntade förändringar genom förberedda scenarier eller genom att anpassa sättet att fungera

Om resiliens finns det en hel del litteratur att läsa. Ett stort EU-projekt om resiliens avslutades för ett år sedan och resultatet av det är bland annat en mängd rådgivande material som kan användas om en organisation vill öka sin resiliens inom något område: Länk.

Följer du länken hittar du mycket material kring resiliens. Där finns också en länk till en Darwin Wiki som innehåller mängder av material som kan användas av en organisation som vill arbeta med att förstärka sin resiliens och därmed även sin flygsäkerhet.

Eurocontrol har producerat ett ”white paper” om resiliens inom ATM där man kommer fram till att det är något som kan bli värdefullt men att vi kanske inte är riktigt redo ännu: Länk.

Dock är detta papper skrivet för många år sedan. Kanske börjar vi bli redo?

Anders Ellerstrand: Flygsäkerhet 12 – Safety-II

Hittills har vi bl.a. tittat på några problem med de metoder vi har idag för att förbättra flygsäkerhet:
• Vi studerar mest olyckor och incidenter. Det finns en risk att vi då hittar faktorer som vi tror är unika för misslyckande men som istället är en del av normalt arbete.
• Vi kan missa att identifiera och förstå faktorer som gör att vi nästan alltid lyckas – trots de problem som finns.
• Vi ser människors variabilitet och förmåga att anpassa arbetet som ett problem och missar dess potential.
• Vår möjlighet att fortsätta lära blir mer och mer begränsad av att vi mest studerar olyckor och incidenter som historiskt blivit färre och färre.

Om vi vill söka nya sätt att se på flygsäkerhet och hur den kan förbättras är Erik Hollnagel en viktig person att lyssna på. Han menar att vårt traditionella sätt att arbeta med safety behöver kompletteras. Det vi gör idag, som Hollnagel kallar Safety-I, har begränsningar som hindrar oss att komma vidare.

Jag såg att Hollnagel på en workshop nyligen listade fem vanliga myter i traditionellt safety-arbete:
1. Alla olyckor har orsaker som kan identifieras och korrigeras.
2. Olycka typer av negativa resultat sker i karaktäristiska förhållanden/proportioner till varandra.
3. Mänskliga fel är den mest bidragande orsaken till olyckor och incidenter.
4. Haveriutredning är ett rationellt sätt att leta efter grundläggande orsaker.
5. System vore säkra om människor följde procedurer och standards.

Hollnagel vill komplettera Safety-I med ett nytt perspektiv som han kallar Safety-II. Här lyfter han bl.a. fram en annan syn på det mänskliga arbetet.

Bilden ovan illustrerar detta och Hollnagel tycker att Safety-I nästan helt fokuserar på de få fallen i den röda delen; ”saker som går fel” och visar alltför lite intresse för vad som gör att mänskliga prestationer nästan alltid ger det avsedda resultatet.

Om ni minns berättelsen av Sidney Dekker så kan man ju tänka på hur han fann att de flesta problemen som identifierats i misslyckad patientvård också var närvarande i lyckad patientvård. Hollnagel menar att det finns mycket mer att lära genom att studera lyckat arbete. Vanligt arbete är fullt av osäkerhet, tvetydighet och målkonflikter. Hur gör människor för att anpassa sitt arbete efter olika situationer? Hur hanterar människor kompromisser mellan motstridiga mål?

Hollnagel menar att målet med Safety-I är att se till så att så få saker som möjligt går fel men att målet istället borde vara att få så många saker som möjligt att gå rätt. Detta perspektiv, som han kallar Safety-II, kräver att vi studerar och lär mer av vad som sker även utanför den lilla röda delen. Safety-II handlar om systemets förmåga att lyckas under varierande förhållanden vilket kräver att vi ständigt kan anpassa och variera våra prestationer. Med en sådan syn blir människan inte en belastning utan en resurs för att uppnå tillräcklig flexibilitet och resiliens.

En incidentutredning med Safety-II perspektiv måste utgå från förståelsen hur saker normalt är framgångsrikt. Jämför åter gärna med berättelsen från sjukhusmiljö av Sidney Dekker (avsnitt 3, 4 och 5 i denna serie). Riskbedömningar med Safety-II perspektiv försöker förutse situationer där behovet av anpassning kan bli särskilt svårt. Safety Management med ett Safety-II perspektiv handlar om att underlätta vanligt arbete, om att förutse hur kommande händelser kan påverka detta och om att behålla tillräcklig flexibilitet för att kunna möta överraskningar som är ofrånkomliga.

Hollnagel har också tagit fram två verktyg som ska underlätta arbete enligt Safety-II (och resilience engineering, mer om detta senare) och dessa är:
• FRAM (Functional Resonance Analysis Method)
• RAG (Resilience Assessment Grid)
Det ordnas kurser i att använda dessa verktyg. Mer information finns på https://www.safetysynthesis.com/. Själv planerar jag att delta i en Safety-II workshop i Edinburgh i juni och hoppas kunna berätta om detta framöver här på bloggen.

Det är viktigt att komma ihåg att Hollnagel inte menar att Safety-I ska ersättas med Safety-II utan att Safety-II är ett kompletterande perspektiv.
Det finns mycket att läsa om Safety-II. Hollnagel har skrivit flera böcker i ämnet men enklast att börja med är nog det ”white paper” som producerats av Eurocontrol: Länk.

Enligt Safety-II är människans variabilitet och förmåga till anpassning en tillgång. Nära förknippat med Safety-II är begreppet ”resilience engineering” som jag kommer att ta upp i nästa avsnitt.