Resiliens och resilience engineering

Resilience-engineeringskolan har sitt ursprung i ett symposium i Sverige 2004. Begreppet resilience engineering är under utveckling vilket man kan följa till exem- pel i en serie böcker (Hollnagel et al. (2006); Hollnagel, Nemeth, and Dekker (2008); Hollnagel, Pariès, Woods, and Wreathall (2011) och Nemeth and Hollnagel (2014)).

Det finns olika definitioner eller beskrivningar av vad resiliens är inom skolan. T.ex. skriver Woods att resiliens handlar om förmågan att upptäcka, anpassa sig till och klara av det oväntade (David D. Woods, 2006). Han skriver också att resilience engineering är ett tillvägagångssätt att hantera risk på ett proaktivt sätt. Det handlar om att utforma resiliens i organisationer och i säkerhetsledning som klarar av komp- lexitet i pressade situationer (Hollnagel & Woods, 2006).

Hollnagel menar att det krävs fyra väsentliga förmågor för resiliens, nämligen

1. Förmåga att hantera det nuvarande, d.v.s. förmåga att hantera för-

väntade och oförväntade situationer, d.v.s. att åtgärda.

2. Förmåga att fokusera på vad som är kritiskt, det vill säga förmåga

att övervaka sådant som kan bli ett hot i en nära framtid, både i sy-

stemet och i dess omgivning.

3. Förmåga att förutse vad som kan utvecklas till ett hot.

4. Förmåga att lära från erfarenheter av både sådant som gått fel och

sådant som gått rätt.

Hollnagel (2011) har tagit fram en metod för att mäta en organisations resiliens – Resilience Analysis Grid (RAG) – som bygger på de fyra hörnstenarna.

Många verksamheter blir alltmer komplexa, vilket innebär att vi får åtminstone rela- tivt sett fler och fler emergenta händelser/incidenter/olyckor, d.v.s. skeenden som vi inte kan förklara eller som inte beror på felfungerande enskilda komponenter. ’Resilience engineering’-skolan anser att det nu och alltmer i framtiden (bl.a. på grund av den tekniska utvecklingen) behövs ett komplement till traditionellt säker- hetsarbete. Det gäller speciellt tätt kopplade svårhanterbara system (se tabell 5.2) som kärnkraft, flyg och flygledning (EUROCONTROL, 2009).

Tabell 5.2. Skillnader mellan ett enkelt och ett svårhanterbart system Enkelt system Svårhanterbart system Antal detaljer Beskrivningen är enkel

med få detaljer

Beskrivningen är krånglig med många detaljer Begriplighet Principerna för hur sy-

stemet fungerar är kända

Principerna för hur syste- met fungerar är delvis okända

Stabilitet Systemet ändrar sig lång- samt så beskrivningar kan hållas aktuella

Systemet hinner ändra sig innan beskrivningar är klara

Relation till andra system Oberoende Beroende

Metafor Teamarbete

Från (EUROCONTROL, 2009).

Variationer i hur människor agerar och processer fungerar är centralt i resilience engineering. Man menar att vi aldrig kan eliminera variationer helt utan vi måste lära oss att hantera dem, inte bara minimera dem med t.ex. rigida arbetsbeskrivning- ar. Arbetsbeskrivningar kan inte i detalj beskriva hur människor ska agera i alla situationer för att arbeta säkert. Människorna måste då improvisera. Sådana improvi- sationer är en förutsättning för säker funktion, men kan också medföra risker. Hollnagel (2004) har använt begreppet resonans för att beskriva att variationer i olika processer kan samverka så att systemet hamnar utanför säkerhetsmarginalen utan att någon enskild process initialt varit utanför sitt ”säkra” område. Hollnagel har också lanserat den s.k. FRAM-modellen (Functional Resonance Accident Mo- del) som tydliggör olika typer av interaktioner mellan processer i ett system och beskriver flöden av material och information vid normal funktion som en bas för förståelse för hur resonanser kan uppstå (EUROCONTROL, 2009; Hollnagel, 2004, 2012). Begreppen säkerhet-I och säkerhet-II i nästa avsnitt kommer också från resilience-engineering-skolan.

Resilience-engineeringskolan kritiseras starkt av Hopkins (2014) bl.a för att resili- ence-engineering-begreppet inte innehåller något nytt jämfört med HRO-teorin och för referenser inte görs till HRO. [Det ligger mycket i det, men inom skolan utveck- las intressanta metoder och ett intressant språkbruk som det finns anledning att lära från.]

Eurocontrol har tagit till sig idéer från resilience engineering (se nästa avsnitt) lik- som EASA som i ett förslag till CRM-utbildning kräver inslag av resilience enginee- ring (GMA ORO.FC.115 i Notice of Proposed Amendment 2014-17).

Resiliens engineering fungerar inte enbart på emergenta händelser utvecklade i ett komplext system utan även på överraskningar/händelser som borde förutsetts och

5.2.4.1 Från säkerhet I till säkerhet II?

Även om rubrikens formulering ofta förekommer som t.ex. i titeln på en vitbok (white paper) från EUROCONTROL (Hollnagel, Leonhardt, Licu, & Shorrock, 2013) är budskapet att Säkerhet I måste kompletteras med Säkerhet II (Hollnagel, 2014), vilket torde vara ungefär detsamma som att komplettera traditionellt säker- hetsarbete med resilience engineering. En nyare bok har också titeln Safety-I and safety-II (Hollnagel, 2014).

Vad menar man då med Säkerhet I och Säkerhet II? I boken Safety-I and safety-II finns en tabell som visar på skillnader (se tabell 5.3).

Ett grundtema i Säkerhet II är således att saker och ting inte alltid blir bra när man följer procedurer och arbetar som förväntat. Saker går bra för att personer anpassar sitt sätt att arbeta efter de krav som situationen ställer. Det är åtminstone lika viktigt att ta reda på vilka dessa anpassningar är och lära från dem som att finna orsaker till skadligt utfall (Hollnagel, 2014; Hollnagel et al., 2013).

Tabell 5.3. Översikt av begreppen Säkerhet I och Säkerhet II. Översatt från Hollnagel (2014).

Säkerhet I Säkerhet II

Definition av säkerhet

Så få saker som möjligt blir fel.

Så många saker som möjligt blir rätt.

Princip för säkerhets- ledning

Reaktiv. Reagerar när något hänt eller klassats som en oacceptabel risk.

Proaktiv. Man försöker ständigt att förutse utvecklingen och händelser.

Förklaring av olyckor

Olyckor orsakas av misslyck- anden och felfunktion. Målet med en utredning är att identi- fiera orsaker och bidragande faktorer.

Saker utförs i princip på samma sätt oberoende av om utfallet blir positivt eller negativt. Målet med en utredning är att skapa förståelse för varför det vanlig- en blir rätt för att ha det som en bas för att kunna förklara varför det ibland blir fel.

Olycks- utredning

Människan ses huvudsakligen som en belastning eller fara.

Människan ses som en resurs som är nödvändig för systemets flexibilitet och resiliens Variationers

roll

Harmfull. De bör förhindras så mycket som möjligt.

Oundvikliga. De är också nyt- tiga. De bör moniteras och han- teras.

Jag har problem med definitionen av säkerhet-II. Vad är det som skiljer att så lite som möjligt blir fel från att så mycket som möjligt blir rätt om det bara finns dessa två alternativ och antalet tillfällen är desamma? Säkerhet-II kan förbättras genom att öka antalet tillfällen då blir fler saker rätt men vi får också fler fel. Det är inte vad Hollnagel menar. Tillsammans med annan information i resilience-engineering- litteraturen tolkar jag det som att man med ett säkerhet-II-perspektiv ska studera saker som blir rätt eller inte värre trots inre och yttre störningar och lära från det så att fler saker blir rätt. Man bör dock vara eftertänksam när man studerar saker som blir rätt och vill lära från det – slumpen och förutsättningar kan ha spelat en roll så att lärdomarna inte är generaliserbara.

Hur studerar man vad som görs rätt?

I slutet av EUROCONTROLs vitbok om Säkerhet I och Säkerhet II ger

EUROCONTROL exempel på hur man kan studera vad som blir rätt. De menar att metoder som används traditionellt kan anpassas eller utökas för att undersöka vad som blir rätt. En utförligare handledning utlovas. Här följer några exempel.

Säkerhetsobservationer.

Inom flygledningssektorn finns metoder utarbetade för att studera det dagliga arbetet. De kan utvidgas så att fokus också läggs på anpassningar som görs – för att bli medveten om hur arbete utförs.

Säkerhetsutredningar.

Händelseutredningar fokuserar på vad som gick fel. Men de kan också foku- sera på vad som gick rätt vid incidenter (vad gick rätt under incidenten?), i normalt arbete (hur blir det vanligtvis rätt?) och när något blev exceptionellt bra (varför går det ibland ovanligt bra?).

Säkerhetsbedömningar.

EUROCONTROL skriver att säkerhetsbedömningar kan (och bör) också fo- kusera på framgång. Några metoder, som EUROCONTROLs ”Safety As- sessment Made Easier” har möjligheter till det. Vidare kan den ovan nämnda FRAM-metoden, som bygger på resonans [samverkan, koincidenser] av vari- ationer, användas.

Säkerhetskultur.

Säkerhetskulturundersökningar bör användas för att förstå arbete som det ut- förs. Ett sådant exempel är EUROCONTROLs säkerhetskulturundersökning som innehåller enkäter, workshops, intervjuer och informella observationer. [Observera att EUROCONTROL inte förlitar sig enbart på enkäter]. EUROCONTROL har också tagit fram kort som kan användas ute i verk- samheten som underlag för diskussioner om säkerhetskulturen.

Säkerhetsutveckling.

Flera typer av metoder för organisationsutveckling kan användas med fokus på säkerhet och det som görs rätt. EUROCONTROL nämner aktionsforsk- ning, story-telling och narrativ analys.

Team resource management (TRM).

TRM handlar om strategier för att bäst utnyttja tillgängliga resurser – inform- ation, utrustning och människor – för att optimera säkerhet och effektivitet. Någon tid under TRM-utbildning kan användas för att diskutera anpassning- ar, variationer samt kompromisser mellan effektivitet och grundlighet.