Nové metody a přístupy určené pro vyšetřování kořenových příčin selhání lidského činitele v procesním průmyslu

 Vyšetřování příčin vzniku nežádoucích událostí v 80% případů končí zjištěním, že se na jejich vzniku podílel lidský faktor. Obvyklý přístup vyšetřování příčin selhání člověka se ale často zastavuje na úrovni, při které jsou definovány pouze obecné příčiny chybného jednání. Následným detailním rozborem však odhalujeme, že tyto příčiny představují pouhé následky působení příčin vyšších řádů, tzv. kořenových příčin. V praxi představuje proces identifikace kořenových příčin náročný úkol vyžadující nejen důkladnou analýzu celého systému řízení a bezpečnosti, ale také odhalení individuálních psychosomatických vlivů nebo řady aspektů, jež působí uvnitř pracovního kolektivu. Pro tento účel proto vyvíjíme nový nástroj – Metodu identifikace příčin selhání, která snadno a rychle umožní nejen identifikovat kořenové příčiny selhání lidského činitele, ale také kvantifikovat pravděpodobnost jejich správného určení.

Historické souvislosti

Problematika lidského činitele, tj. interakce člověka a jeho pracovního prostředí, je stále více chápána jako oblast s rozhodujícím vlivem na bezpečnost provozu zařízení a technologií. Historicky nejdelší zkušenosti máme v tomto směru z jaderné energetiky a dalších jaderných provozů.

Ve Spojených státech se první aplikace analýz spolehlivosti lidského činitele objevily již počátkem 50-tých let 20. století [10]. Jednalo se o techniky určené pro odhad/předpovězení vzniku lidské chyby, které byly zpočátku vyvíjeny jako kvalitativní kontrolní metody například pro odhad chybování montérů jaderných hlavic v Sandia National Laboratiries. Zajímavostí je, že již tehdy byly aplikovány distribuční prvky potřebné pro tzv. citlivostní analýzu. Díky tomu již první metody disponovaly poměrně širokým záběrem i schopností hlubšího pohledu. Empirickým poznatkem, který byl pro jejich rozvoj využit, bylo, že určité typy chyb, jako jsou například chybné čtení, absence vzdělávání, či volba špatných ovládacích prvků se vyskytují (v provozech obdobného charakteru) s určitou konstantní četností.

S nástupem direktivy SEVESO se tyto zkušenosti začaly významněji přenášet i do chemického průmyslu. I zde si totiž selhání jedinců vyžádalo řadu velkých havárií s tisícovkami zmařených lidských životů a dalšími nezvratnými negativními následky. S rostoucí náročností chemických procesů se totiž zvýšilo i technologické riziko a ruku v ruce s tím i nároky kladené na obsluhu, která pak častěji selhává i při řešení jindy banálních situací. Literatura uvádí, že 60% ze všech průmyslových katastrof od roku 1921 do 1989 se přihodilo po roce 1975, přičemž Bogard [14] prokázal, že dvanáct z devatenácti velkých průmyslových havárií ve 20. století, které si vyžádaly 100 a více úmrtí, se stalo až po roce 1950. 

Kritická místa v systémech řízení a bezpečnosti z pohledu na lidský faktor

Nejkritičtějšími místy v systémech řízení a bezpečnosti ve velkých průmyslových podnicích jsou řídící operátorská centra (velíny). Na ně se proto obrací největší pozornost. Ukazuje se, že není rozhodující, jaký druh provozu je z velínu řízen (jaderná energetika, provoz výrobní technologie v chemickém závodě či řízení letového provozu), ale jaké podmínky ve sledovaném systému panují. Zastoupení lidského selhání na celkovém balíku všech příčin vedoucích ke vzniku mimořádných havárií dosahuje shodně cca 80% [1-4]. Toto číslo není absolutní, protože je značně závislé na tom, do jaké hloubky byly příčiny mimořádného stavu analyzovány. Při hrubém zjišťování příčin lze snadno toto číslo snížit, naopak velmi podrobným zjišťováním musíme logicky dospět k hodnotám přesahujících 95%. Za každým  technickým nebo materiálovým selháním lze totiž dříve či později vystopovat člověka. Jako jediné výjimky mohou být považovány pouze tzv. zásahy vyšší moci, které nelze lidským jednáním jakkoli ovlivnit.

Nastavení hranic pro operační nasazení každé analytické metody proto musí vždy příslušné aplikaci předcházet. Nejoptimálnější je dodržení tzv. teritoriálního přístupu, tj. respektování hranic podniku, jakožto ohraničení zkoumané množiny (systému). Vše, co se nachází vně této množiny, se již dále neanalyzuje, takže i potenciální selhání člověka mimo analyzovaný podnik, byť s přímou vazbou na selhání člověka uvnitř zkoumaného systému, nelze klasifikovat jako selhání člověka uvnitř systému. To se týká zejména příčin, které se váží na technické a materiálové závady, které nemohly jejich uživatelé (pracovníci analyzovaného podniku) ovlivnit svým vlastním počínáním.

Aktuální výzkumné projekty realizované ve VÚBP

Hlavní část výzkumu, na kterém v rámci řešení grantového úkolu Ministerstva průmyslu a obchodu ČR č. 1H-PK/21 v současnosti pracuje tým odborníků Výzkumného ústavu bezpečnosti práce, směřuje k vývoji nových metod a nástrojů pro hodnocení a zvyšování spolehlivosti lidského činitele v řídících centech. Pro jeho řešení bylo zvoleno obecné schéma podle modelu TALENT [2].

Ačkoli je model TALENT primárně určen pro integraci HRA (Human Reliability Analysis) do PRA (Probabilistic Risk Assessment) procesu, lze jej flexibilně využít i pro stanovení postupu obdobných výzkumných a analytických prací. Harmonogram byl v tomto smyslu proto upraven do následujících kroků

1. Plánování výzkumného projektu,
2. Důkladné seznámení s fungováním systémů řízení a bezpečnosti ve vybraných „referenčních“ podnicích,
3. Identifikace sekvencí a nalezení kritických míst,
4. Systémové analýzy,
5. Analýzy obnovy,
6. Analýzy vnějších událostí,
7. Návrh nových metodických postupů,
8. Ověření navržených metodických postupů v praxi,
9. Závěrečná zpráva.

Výsledky systémových analýz a analýz kritických míst ve vybraných podnicích

Systémové analýzy, které návrhu nových přístupů a metod předcházejí, odhalily, že současná úroveň vyšetřování příčin vzniku mimořádných stavů ve vztahu k posouzení míry selhání lidského činitele v českých jaderných elektrárnách neumožňuje identifikovat skutečné kořenové příčiny. Bylo zjištěno, že vyšetřování končí u výběru z omezeného souboru příčin, které lze však považovat spíše jen za následky působení příčin vyššího řádu (viz. tabulka č.1) [13].

Tabulka č.1: Procentuální zastoupení definovaného souboru příčin selhání lidského činitele

Narozdíl od systémových analýzy pak analýzy kritických míst umožnily identifikovat pracovní pozice, u kterých je největší přímý vliv na systém řízení a bezpečnosti [13]. V případě provozu jaderné elektrárny se jedná o tyto profesní skupiny:

• směnový inženýr,
• vedoucí reaktorového bloku,
• operátor primárního okruhu,
• operátor sekundárního okruhu,
• operátor bloku,
• směnový mistra,
• technický pracovník informačních systémů,
• technický pracovník chemických provozů a
• pracovník údržby.

V případě provozu chemických závodů je tento výčet obdobný a zahrnuje profesní skupiny:

• vedoucí výrobny,
• mistr velínu,
• operátor velínu,
• venkovní operátor (pracovník venkovní obsluhy),
• mistr údržby a
• pracovník údržby.

Vývoj nových metod a nástrojů pro hodnocení spolehlivosti lidského činitele

Na základě důkladného pochopení fungování různých systémů řízení a bezpečnosti a za využití výsledků výše uvedených analýz, byla vyvinuta Metoda identifikace příčin selhání – MIPS (angl. Cause Failure Identification Method – CFIM) [13].

MIPS je nástrojem umožňujícím zpětnou identifikaci kořenových příčin selhání lidského činitele, které ve finále vedly ke vzniku mimořádné události. Metoda je navržena podle schématu modelu WPAM [7], který se využívá jak pro priorizační zhodnocení systému, tak jej lze úspěšně použít pro první stupeň vyšetřování příčin vzniku mimořádných událostí z pohledu selhání lidského činitele.

Hlavní podstatou modelu WPAM je systematická analýza, která se provádí pro identifikaci vhodné formy daného procesu a pro vytvoření měřítek výkonu s ohledem na slabá a silná místa systémového procesu. WPAM se skládá z kvalitativních analýz pracovního procesu, které zahrnují hodnocení důležitosti organizačních aspektů v rámci celkové kvality a výkonností. Pro analýzu se využívá tříkrokový postup, který sleduje systematické vyšetřování typů selhání v pracovním procesu a potenciální narušení ochrany a organizační aspekty, které tato selhání mohou přinést.

Pomocí modelu WPAM a za využití již ověřených přístupů [8-11] bylo definováno 73 spolehlivostních organizačních faktorů rozčleněných do 11 skupin:

• výcvik,
• povinnosti a úkoly,
• rozhodování o řízení procesů,
• ovládání a manipulace,
• pracovní skupina,
• dohled a dozor,
• řízení a management,
• osobnostní rysy,
• rizikové faktory prostředí,
• pracoviště a
• stresory.

Každý faktor je rozdělen podle potřeby na parciální prvky, tzv. dílčí prvky spolehlivostního organizačního faktoru (DPSOF), ke kterým je navržena matice vyšetřovacích otázek. Prostřednictvím nich je prováděn řízený pohovor s aktéry události. Obdobného způsobu se využívá také v běžných úkolových analýzách, kdy je chybování při výkonu příslušné pracovní operace hodnoceno pomocí popisu chybování při výkonu dílčích podúkolů.

Pro kritické profesní skupiny bylo provedeno i ocenění spolehlivostních organizačních faktorů pomocí váhových koeficientů (Vp). Rozptyl hodnot tohoto koeficientu je od 1 (nevýznamný) až po 3 (klíčový) a to ve vztahu k příslušné profesní skupině.

Charakter výstupů metody MIPS

Metoda je navržena tak, aby za maximálního využití vstupních dat, bylo spektrum jejich výstupů co nejširší. Filozofie a jednotlivé procedurální kroky metody proto umožňují zejména:

1. určit osoby (profesní skupiny), které se na vzniku a rozvoji mimořádné události podílely největší měrou,
2. určit oblast systému representovanou příslušnou skupinou SOF, která je v podniku nedostatečně řešena a jejíž prvky mohly negativně ovlivnit dané pracovníky,
3. identifikovat pravděpodobné příčiny selhání konkrétních osob,
4. určit faktor selhání příslušné osoby (profesní skupiny), který lze dále využít jako indikátor pro dlouhodobé sledování úrovně spolehlivosti této profese,
5. určit míru správnosti určení skutečných příčin selhání konkrétních osob.

Výše uvedené výstupy vyžadují aplikaci jak kvalitativní, tak kvantitativní analýzy, jejichž vzájemná provázanost vyplývá z postupového schématu metody.

Kvalitativní analýza

Hlavní součástí metody MIPS je kvalitativní analýza. Ta je založena na řízeném pohovoru s vybraným pracovníkem příslušné profesní skupiny, který určitým způsobem měl vliv na vznik či průběh mimořádné události. Tato osoba je podrobena řízenému rozhovoru pomocí navržené matice otázek. Otázky jsou formulovány tak, aby každá z nich následně umožnila odhalit pouze jednu příčinu možného selhání příslušného pracovníka. V několika málo odůvodněných případech může být identifikováno i více možných příčin, maximálně však tři.

Dodržení systému „jedna otázka - jedna odpověď - jedna příčina“ je důležité pro jednoznačné určení nejpravděpodobnější příčiny a zároveň eliminuje možnost určení zdánlivě vzájemně kolizních příčin. Identifikace možných příčin selhání vychází z výběru z kolekce předdefinovaných příčin, které byly navrženy podle zkušeností z praxe.

Kvantitativní analýza

Součástí analýzy prostřednictvím MIPS je také kvantifikace výstupů. Zpracování odpovědí na položené otázky umožňuje jednak identifikovat možné příčiny selhání příslušného pracovníka a jednak kvantifikovat míru jejich správného určení.

Kvantifikace se provádí prostřednictvím faktoru selhání lidského činitele Fp, který umožňuje stanovit pravděpodobnost správného určení příčin selhání člověka Pp. Faktor selhání lidského činitele je bezrozměrná veličina charakterizující počet tzv. negativních odpovědí respondenta a míru závažnosti příslušného SOF, ke kterému se tyto odpovědi váží. Každá odpověď je příslušně penalizována. Výpočet faktoru Fp je prováděn podle matematického vzorce, do kterého vstupují i váhové koeficienty Vp, které analytik určí pro každý SOF z tabulek, jenž tvoří přílohu metody.

Pomocí funkční závislosti je pro příslušné hodnoty faktoru selhání lidského činitele Fp následně stanoven rozptyl pravděpodobnosti správného určení příčin selhání člověka Pp a k němu příslušné kvalitativní hodnocení. Výsledná hodnota Pp vyjádřená v procentech (od 0 do 100%) pak říká, jaká je pravděpodobnost, že mezi identifikovanými příčinami je alespoň jedna, která selhání dané osoby skutečně způsobila. Tato veličina nám tedy vyjadřuje míru spolehlivosti určení správného výsledku.

Závěr

Hodnocení spolehlivosti lidského činitele v pracovních systémech je nesnadný úkol. Úzce souvisí s identifikací a vzájemnou podmíněností lidských charakteristik (tj. kapacity výkonové, smyslové, mentální, pohybové atd.) na straně jedné a faktorů, podmínek a okolností degradující výkonnost a spolehlivost na straně druhé.

Na základě systémových analýz provedených ve vybraných podnicích a pracovištích byla vyvinuta nová metoda - Metoda identifikace příčin selhání (MIPS). Základní tezí této metody je skutečnost, že sehnání člověka se dá posoudit pomocí analýzy základních prvků systému bezpečnosti a řízení vyjádřených pomocí tzv. spolehlivostních organizačních faktorů (SOF). Tyto faktory jsou pak dále členěny na parciální prvky (DPSOF), které umožňují provádět identifikaci příčin selhání pracovníků příslušných (kritických) profesních skupin v případě vzniku mimořádné události.

Vyvíjená metoda MIPS nabízí prostřednictvím kvalitativně-kvantitativního přístupu jednoduchým a rychlým způsobem vyjádřit kromě možných příčin události také pravděpodobnost jejich správného určení. To činí tuto metodu značně univerzálním nástrojem určeným pro vyšetřování proběhlých mimořádných událostí a svým charakterem ji řadí do skupiny rychlých operativních vyšetřovacích metod.

Vývoj metody pokročil již do stádia jejího praktického ověřování. Aplikace proběhne v předem pečlivě vybraných podnicích, kde bude ověřována validnost postupového schématu metody, rozsah jejího záběru při šetření skutečných událostí i správnost poskytovaných kvalitativních a kvantitativních výstupů. Po dokončení této finální etapy projektu budou publikovány souhrnné informace o vyvíjené metodě a výsledky získané při její aplikací v praxi.

Literatura

[1] Hale and Glendov: Industrial accident prevention: A safety management approach, (5th ed.), McGraw-Hill, New York, U.S.A., 1987
[2] Gertman D.I, Blackman H.S: Human Reliability and Safety Analysis Data Handbook, John Wilex and Sons, Inc. New York, U.S.A., 1994
[3] Johnson C.W.: Failure in Safety-Critical Systeme: A Handbook of Accident and Incident Reporting, University of Glasgow Press, Glasgow, U.K., 2003
[4] Livingston A.D., Jackson G., Priestley K.: Root causes analysis: Literature review, WS Atkins Consultants Ltd., HSE, U.K., 2001
[5] Kieras D.E.: GOMS Models – Simplified Cognitive Architectures; Card, Moran, & Newell (1983) Model Human Processor, University of Michigan, U.S.A.
[6] Hochstein L.: GOMS, internet, University of Maryland, U.S.A., 2002
[7] Misumi J., Wilpert B., Miller R.: Nuclear Safety: A Human Factors Perspective, Taylor  Francis Ltd., U.K., 1999
[8] D.A. Weaver: TOR Analysis, 1973; D.A Weaver, Safety Associates, Pueblo, Colorado, U.S.A., 1989
[9] Williams J.C.: HEART – a proposed method for assessing and reducing human error, 9th Advances in Reliability Technology Symposium, University of Bradford, U.K., 1986
[10] Swain, A.D., Guttman, H: NUREG/CR-1278; 1983
[11] Hollnagel E.: Cognitive Reliability and Error Analysis Method, Elsevier Science Inc., New York, U.S.A., 1998
[12] Skřehot P., Hladký A., Malý S.: Hodnocení spolehlivosti lidského činitele operátorského pracoviště velínu výrobny zplyňování mazutu v Chemopetrol a.s. Litvínov, Výzkumný ústav bezpečnosti práce, Praha, Czech Republic, 2005
[13] Projekt 1H-PK/21: Metody a nástroje hodnocení a zvyšování spolehlivosti lidského činitele v provozu JE, Etapa 2: Analýza kritických míst z hlediska selhání LČ, Výzkumný ústav bezpečnosti práce, Praha, Czech Republic, 2005
[14] Bogard W.: The Bhopal Tragedy, Westview Press, Boulder, Colo., 1989