Tillbudet i Forsmark sommaren 2006

Tillbudet i Forsmark sommaren 2006 – brister i säkerhetskulturen eller i kunskapsproduktionen? Johan M. Sanne, april 2008 Tema T Arbetsnotat nummer 323 Alltså, sannolikhet, va, det betyder väl nåt som är likt sanning. Och då är det synd, tycker jag, att man tydligen från och med i år – på grund av de rådande konjunkturerna – antar jag att vi inte har råd med några riktiga sanningar längre, utan att man måste nöja sig med sannolikhetskalkyler. För dom är inte riktigt lika pålitliga. Dom blir till exempel väldigt olika före och efter. Jag menar till exempel, före Harrisburg… och då var det ju ytterst osannolikt, att det som hände i Harrisburg skulle hända, men sen så fort det hade hänt, då raka sannolikheten upp till inte mindre än hundra procent, så att det blev… det blev nästan sant att det hade hänt. Tage Danielsson, ur Sannolikhetsmonologen, från revyn Under Dubbelgöken, Berns Salonger, 1980. Återges i Alfredson, H., (1987: 324-325) 1 Innehållsförteckning Sammanfattning .................................................................................................................................. 3 Förord .................................................................................................................................................. 4 Prolog .................................................................................................................................................. 5 Inledning: bakgrund och syfte ............................................................................................................. 6 Kunskapsproduktion, riskhantering och tillsyn ................................................................................... 7 Metod och data ................................................................................................................................. 10 Hjältar, instruktioner och realtidslogik .............................................................................................. 11 Att bryta mot grundläggande designregler: fel med gemensam orsak ............................................ 14 Brister i säkerhetskultur och säkerhetsstyrning? .............................................................................. 16 Ett olycksfall i arbetet eller ett systemfel i kunskapsproduktionen? ................................................ 18 Slutsatser: improvisation, säkerhetsstyrning och kunskapsproduktion ........................................... 22 Intervjuer och seminarium ................................................................................................................ 24 Referenser ......................................................................................................................................... 24 2 Sammanfattning Kärnkraften har länge arbetat med att minska riskerna för mänskliga felhandlingar i drift och underhåll. Men tillbudet i Forsmark 2006 visar att systemets utformning kan vara en större felkälla. Kärnkraftverket hade inte förutsett den utlösande händelsen och inte konstruerat systemet för att kunna hantera den. Inte heller Kärnkraftinspektionen (SKI) hade insett dessa konstruktionsbrister, i likhet med resten av kärnkraftsindustrin i hela världen. SKI och Forsmark förklarar de två konstruktionsbristerna som en brist i riskanalysen, även om båda också ser brister i säkerhetskulturen som viktiga att ta itu med för att garantera en säker verksamhet. I denna förstudierapport analyserar jag hur Forsmark och SKI har beskrivit och tolkat denna händelse och dess orsaker och vilka åtgärder de har vidtagit som en följd av denna tolkning. Jag diskuterar också alternativa tolkningar, kunskapsluckor och vilka övergripande brister i industrins kunskapsproduktion som tillbudet indikerar. I samband med ett planerat underhållsarbete vid ett ställverk som förbinder Forsmarks kärnkraftverk med det yttre elnätet bröts förbindelsen mellan reaktor 1 och ställverket. Turbingeneratorerna kompenserade för bortfallet vilket medförde en kortvarig överspänningspuls genom reaktorblockets elsystem. Pulsen slog ut hälften av det avbrottsfria nätet så att delar av den säkerhetskritiska utrustningen slogs ut. Om fyra istället för två säkerhetssystem hade fallerat hade personalens skickliga ingripande varit nödvändigt för att undvika skador på härden och i förlängningen härdsmälta. Jag fokuserar på fyra tematiker: 1. I medierna beskrivs kontrollrumspersonalen som hjältar medan Forsmark och SKI pekar på värdet av väl utformade instruktioner. Studier av verkligt kontrollrumsarbete och intervjuer indikerar att instruktioner och träning har varit en nödvändig förberedelse men att personalens drifterfarenheter varit lika oundgängliga. 2. Tillbudet visade att kärnkraftverket inte var så robust utformat som man kunde förvänta sig. Bristerna i diversifiering kan ha orsakats av en övertro på tillförlitligheten i den egna konstruktionen. 3. SKI beskriver hur brister i säkerhetskulturen föranlett särskild tillsyn för att säkerställa tilltron till Forsmarks förmåga till säker drift. Jag argumenterar för att resonemanget visar på problematiska antaganden om säkerhetskulturens funktion och kring organisatoriska orsakssamband. 4. Bristerna i kunskapsproduktionen av det avbrottsfria växelströmsnätet kan ha uppstått vid tre skilda processer: vid byggandet av Forsmark, brister i riskanalys vid ombyggnader och/eller från brister i lärande från andra tillbud. Kunskapen om kärnkraftens risker baseras till stora delar på beräkningar och simuleringar, även om verkliga händelser används för att utveckla beräkningar och modeller. Samtidigt måste både företag och myndigheter fatta beslut trots återstående osäkerheter. Men kunskapsproduktionen kan förbättras också utan olyckor. För det första skulle drift- och underhållspersonalens kunskaper kunna bidra på ett bättre sätt till att förbättra förståelsen av hur kärnkraftverket fungerar. Det skulle kräva en utveckling av begreppsapparat och teorier för dessa kunskaper och kring organisatorisk styrning. För det andra borde den ingenjörsbaserade riskanalysens metoder, modeller och kriterier för tillräcklig visshet granskas. 3 Förord Krisberedskapsmyndigheten har beviljat mig medel för ett projekt kallat Utveckling av riskbegrepp och riskhanteringsstrategier för minskad sårbarhet i tekniska system. Inom ramen för detta projekt har jag genomfört en förstudie om tillbudet i Forsmarks kärnkraftverk den 25 juli 2006. Studien redovisas som föreliggande arbetsnotat. Slutrapporten från projektet föreligger som Tema T Rapport nr X 2008. Projektets övergripande målsättning kan kortfattat beskrivas enligt följande: Ökad kunskap om skilda riskuppfattningar och riskhanteringsmetoder kan förbättra förståelsen av risker i kritiska infrastruktursystem och ligga till grund för en förbättrad riskhantering. Fokus vilar på studier av design och hantering av kritiska infrastruktursystem. Projektet ska på ett konkret sätt visa på användbarheten av olika riskbegrepp. Vilka kunskaper om risker och riskhanteringsstrategier kan olika riskbegrepp ge oss? I detta ingår att formulera de ofta marginaliserade riskuppfattningar som finns bland anställda, i miljörörelsen, bland samhällsvetare etc. Dessa kunskaper och riskhanteringsstrategier kan förbättra förståelsen av hur komplexa sociotekniska system fungerar – jämfört med renodlat ingenjörsmässiga och ekonomiska analyser. På detta sätt kan systemen som helhet tillägna sig en större beredskap inför framtiden: med beredskap menar jag här både kognitivt, det vill säga en större repertoar av tänkbara händelser, och praktiskt i termer av strategier för att förutsäga, förebygga och minska konsekvenserna av sådana händelser. För rapporten och dess innehåll svarar jag själv. Mikael Wiklund genomförde förtjänstfullt flera intervjuer med inspektörer och MTO-experter på SKI under 2006. Jag vill tacka de intervjuade personerna, både de Mikael intervjuat och de jag intervjuat för deras tid och engagemang. Jag vill tacka följande personer för kommentarer på ett utkast till rapporten: Olle Andersson, Forsmarks kärnkraftverk; Per Bystedt samt de andra deltagarna vid ett seminarium på Statens Kärnkraftinspektion i mars 2008 (Lars Axelsson, Urban Boström, Johan Enkvist, Lars Gunsell, Elena Illina, Tomas Jelinek, Bo Liwång, Ralph Nyman, Per-Olof Sandén) samt mina kollegor i forskningsprogrammet Teknik, Praktik och Identitet vid Tema Teknik och social förändring. Jag tackar också Krisberedskapsmyndigheten för benäget bistånd med finansiering för projektet. Linköping 31 mars 2008 4 Prolog Figur 2. En illustration av tillbudet i Forsmark 1 den 25 juli 2006. Endast en av två turbiner med tillhörande generator och endast ett av de fyra säkerhetssystemen syns på bilden. Grafik: Ingemar Franzén/Ny Teknik. I samband med ett planerat underhållsarbete den 25 juli 2006 vid ett ställverk som ansluter Forsmarks kärnkraftverk med det yttre elnätet, bröts förbindelsen mellan reaktor 1 och ställverket (Metzén m.fl. 2006). Spänningen sjönk och reaktorn gick över till husturbindrift, det vill säga elproduktion för det egna reaktorblocket och som en effekt snabbstoppades reaktorn automatiskt ner till 25 procents effekt. När spänningen sjönk blockerades likriktarna i det batterisäkrade, så kallade avbrottsfria, växelströmsnätet i två (C och D) av fyra säkerhetssystem, ”subar”, men inte i de andra (A och B): de senare avvek således från förväntad funktion. De två turbingeneratorerna kompenserade för spänningsbortfallet genom att höja spänningen varvid en kortvarig överspänningspuls sändes genom reaktorblockets elsystem. Eftersom likriktarna inte blockerats för subarna A och B passerade pulsen genom dem och slog ut växelriktarna: de batterier som skulle säkra spänning i alla lägen kunde inte göra detta. Det utlöste i sin tur ett fullständigt snabbstopp. Samtidigt gavs en automatisk signal att starta dieselmotorerna i de fyra säkerhetssystemen. Men eftersom dieslarnas styrning matades från batterierna stannade dieslarna i A och B snart. Resteffekten innebär dock att reaktorn måste fortsätta kylas. Sedan stannade turbinerna och då sjönk generatorernas frekvens. På grund av felkopplade generatorbrytare kopplades inte generatorerna ifrån. Det innebar att reaktorn inte kunde kopplas in automatiskt på det regionala 70 kV nätet. Men andra brytare i kärnkraftverkets interna ställverk kopplades ifrån. Flera strömkällor hade nu kopplats ifrån: 400 kV, 70kV, husturbindrift och dieselgeneratorerna för sub A och B. Sub C och D var dock fortfarande 5 intakta och eftersom det endast krävs två subar för nödkylning var detta tillräckligt för att kyla reaktorn. Vattennivån i reaktorn sjönk till från fyra till två meter över härden. Instrumenteringen i kontrollrummet var missvisande och oklar på grund av bristande gränssnitt. En del indikationer och larm spänningssatta från sub A och B saknades. Kontrollrumspersonalen visste inte om styrstavarna för snabbstopp hade gått in och de kände inte till vattennivån eller trycket i reaktorn. Men personalen kunde med hjälp av sina kunskaper, utbildning och instruktioner efter ca 20 minuter förstå vad som hänt och de kopplade in 70kV nätet manuellt. Även utan detta ingripande hade inga skador på härden eller omgivningen skett men om alla fyra säkerhetssystem fallerat hade personalens ingripande varit avgörande inom en timme (Idehaag 2007b). Inledning: bakgrund och syfte Allmänhetens uppfattning om tillbudet i Forsmark sommaren 2006 är att orsaken var allvarliga problem med ”säkerhetskulturen” på kärnkraftverket. Forsmark hade allvarliga problem med dåligt planerade arbeten, vid kontroll av inpassage var en del entreprenörer alkoholpåverkade, det fanns tendenser till att ta genvägar och ledningen tog inte säkerheten på tillräckligt allvar (Axelsson 2007). Forsmark och Statens Kärnkraftinspektion (SKI) har också vidtagit åtgärder för att komma tillrätta med dessa problem: VD fick avgå och styrelsens sammansättning ändrades. Forsmark har under en lång period stått under särskild tillsyn från SKI med dagliga rapporter från driften och särskilt inriktade inspektioner av vissa verksamheter för att utreda brister i säkerhetskultur samt eventuella brister i rutiner och instruktioner. Bristerna i säkerhetskultur pekar på väsentliga problem med Forsmarks förmåga till en säker drift men kärnkraftindustrin är ense om att dessa brister inte i sig orsakade tillbudet. Fyra fel samverkade vid tillbudet och tre av dem orsakades av olämplig eller felaktig utformning av komponenter i kärnkraftverkets säkerhetssystem (Metzén m.fl. 2006). Två av de identifierade bristerna handlar om bristande kunskap om möjliga händelser i elsystemet vilket ledde till en utformning av komponenter som inte kunde hantera den utlösande händelsen. Ett tredje fel var känt men accepterat. Konstruktionsbristerna förtjänar också större uppmärksamhet både vetenskapligt och politiskt och är mycket svårare att förklara och att åtgärda än brister i attityder och instruktioner. Konstruktionsbristerna synes bero på brister i kunskapsproduktionen: att förstå hur systemet fungerar, att identifiera möjliga händelser och deras konsekvenser. Kärnkraftverken är ålagda att analysera risker och hantera dem i enlighet med SKI:s författningar, både för drift, för vissa händelser och för förändringar av teknik, organisation och formella rutiner. Vidare är riskanalysen1 och kärnkraftverkens utformning av teknik, instruktioner och utbildning utifrån riskanalysen grunden för SKI:s bedömningar och beslut om kärnkraftverkens drifttillstånd. Systemets utformning är i sin tur en avgörande utgångspunkt för drift- och underhållsarbete i termer av stöd, begränsningar och praktiska problem. Tillbudet i Forsmark visar att bristerna i kunskapsproduktionen är värda en egen analys. Den allvarligaste händelsen i Forsmark, att överspänningspulsen kunde slå ut två av fyra säkerhets1 Med riskanalys menar jag således en rad processer med andra namn inom kärnkraftindustrin: säkerhetsgranskning, säkerhetsrevision, säkerhetsredovisning. 6 system, var en överraskning inte bara för Forsmark utan också för SKI och för stora delar av världen. Kärnkraftindustrin och myndigheterna har efter tillbudet arbetat intensivt med att förstå hur kunskaperna om elsystemet kan förbättras för att undvika liknande händelser i framtiden (Bystedt 2007). Men konstruktionsbrister på grund av otillräckliga eller felaktiga kunskaper kan troligen uppstå i andra delar av kärnkraftverken. All kunskapsproduktion är osäker: det finns alltid osäkerheter kvar när fakta konstrueras (Vaughan 1996). För kärnkraften kompliceras detta av de stora konsekvenserna av olyckor och allmänhetens kraftigt negativa reaktioner på tillbud som inte leder till några skador. Allvarliga tillbud har hållits ner på en mycket låg nivå. Det innebär också att kunskapen till stora delar baseras på beräkningar och simulering, inte på verkliga händelser. Men det är omöjligt att simulera alla slags händelser. Samtidigt måste både företag och myndigheter fatta beslut trots återstående osäkerheter: de måste uppnå tillräcklig visshet. I denna förstudierapport analyserar jag hur kärnkraftindustrin har beskrivit och tolkat tillbudet sommaren 2006 och dess orsaker och vilka åtgärder de har vidtagit som en följd av denna tolkning. Jag har ett explorativt syfte: jag vill lyfta fram fyra temata som framträder i de beskrivningar som kärnkraftindustrin gör av tillbudet och diskutera deras betydelse för hur de uppfattat, beskrivit och hanterat händelsen. Jag diskuterar också kunskapsluckor och vilka övergripande brister i industrins kunskapsproduktion som tillbudet indikerar. De fyra temata handlar om: 1. Hur kontrollrumspersonalens arbete karaktäriseras och varför de kunde göra ett adekvat arbete: hjältar, instruktioner eller erfarenhetskunskap? Hur ska de radikalt olika bilderna av detta arbete förstås och vilken betydelse får det för hur händelsen bedöms? 2. Varför de två bristerna i konstruktionen bedömts som allvarliga: Båda skapade så kallade fel med gemensam orsak som bröt igenom viktiga säkerhetsbarriärer. 3. På vilket sätt som brister i säkerhetskulturen inverkat på tillbudet och den funktion som säkerhetskulturen fyller i styrningen av verksamheten. 4. Hur man kan förklara varför dessa brister uppkommit: vilka sårbarheter finns det i riskanalysen som kunskapsproduktion? Handlar det om brister i analysmodeller, kreativitet eller erfarenhetsåterföring? Först följer en tentativ redogörelse för tidigare forskning kring kunskapsproduktion, riskanalys och tillsyn med en diskussion kring de begrepp som jag använder i min analys, därefter en kort redogörelse för metodinsamling, data och analys. Sedan följer i tur och ordning de olika temata. Avslutningsvis diskuterar jag slutsatser: hur kan man förstå vad som hände i Forsmark, vilka kunskapsluckor föreligger, hur kan förståelsen av risker i kärnkraften förbättras och vad finns det för behov av ytterligare forskning. Kunskapsproduktion, riskhantering och tillsyn För att förstå vad som gick fel i Forsmark och de övergripande problem som det illustrerar är det nödvändigt att studera kunskapsproduktionen i kärnkraftsindustrin, inklusive tillsynsmyndigheterna. Kunskapsproduktionen är avgörande för vad som betraktas som risker 7 och hur de hanteras, för teknisk utformning och för drift och underhåll samt för tillsynsarbetet. De dominerande begreppen i denna text är kunskapsproduktion, tillräcklig visshet, riskobjekt, policy-logik, kalkylerad logik och realtidslogik. Inom samhällsvetenskapliga teknik- och vetenskapsstudier betraktas teknisk och vetenskaplig kunskapsproduktion som en socioteknisk process. Vad som är kunskap betraktas som en empirisk fråga (Helgesson och Fernler 2006). Kunskap är det som kunskapsproducenterna bestämmer sig för är kunskap. Vetenskaplig kunskapsproduktion omfattar osäkerheter baserade på de antaganden, bedömningar, val av beräkningar, val av teorier, vilka data som samlas in och vilka som betraktas som relevanta, hur data behandlas, vad som betraktas som bevis för något, liksom beslut om tillräcklig visshet och acceptabla felkällor (Vaughan 1996; Summerton 2002). Kunskapsproduktion sker inte enbart inom vetenskapen, utan i alla sociala sammanhang, exempelvis i kärnkraftverkens kontrollrum och vid underhållsarbete. Kunskapsproduktionen är en del av det meningsskapande som formas av gemensamma uppgifter, ett verktyg för att kunna hantera dessa uppgifter och för andra sociala funktioner som att stå ut med arbetet eller att ha roligt på jobbet, att hantera överordnade etc. (Wenger 1998). Om riskanalys betraktas som kunskapsproduktion blir riskbedömningar konstruerade i en socioteknisk process, även om faran finns där oavsett bedömning. Kunskapsproduktionen avgör vad som betraktas som riskfyllda aktiviteter, komponenter och situationer, eller med andra ord riskobjekt (Hilgartner 1992). Vilka riskobjekt som pekas ut har i sin tur betydelse för hur riskhanteringen utformas. Men riskobjekten kan också konstrueras olika i skilda kunskapsprocesser. Före olyckan vid Three Mile Island betraktades de tekniska riskerna som de mest relevanta riskobjekten men efter olyckan riktades fokus mot den så kallade mänskliga faktorn (Perrow 1999). Efter olyckan vid Tjernobyl riktade IAEA uppmärksamheten mot säkerhetskulturen, vilket kan ses som en kollektiv mänsklig faktor och på senare år har intresset inriktats mot andra organisatoriska fenomen som avreglering av elmarknaden, processorientering mm (se exempelvis Sanne 2006). Det mest dominerande perspektivet inom riskforskning och riskhantering är ingenjörsperspektivet (Hultman 2005). För ingenjörsperspektivet är människor i huvudsak felkällor; olyckor orsakas av bestämda felkällor; risker kan och måste kvantifieras; risker värderas som produkten av sannolikhet och konsekvens; och risker kan hanteras med mer teknik. Det ska tilläggas att teknik inte ska förstås enbart i konventionell mening. Även regelverk, handböcker, instruktioner och utbildning och andra former av säkerhetsstyrning är teknik. Produktionen och användningen av denna kunskap är en reglerande praktik med vilken felkällorna hanteras. Antropologen Constance Perin som studerat meningsskapande vid amerikanska kärnkraftverk genom dokument och intervjuer om fyra tillbud hävdar att kärnkraften styrs genom tre olika kulturella logiker: kalkylerad logik, realtidslogik och policy-logik (Perin 2005). Den kalkylerade logiken bygger på en ingenjörsmässig analys där kvantifiering och sannolikhetsberäkningar är nödvändiga för att risker ska uppmärksammas och leda till förändringar. Realtidslogiken utformar det dagliga arbetet och kompenserar för brister i resurser, tekniska komponenter, och säkerhetsstyrning samt organiserar arbetet efter den fysiska processens specifika omständigheter. Realtidslogiken innebär att organisationen inte styrs såsom ledningen föreställer sig det men likväl är den nödvändig för en säker drift. Men den kalkylerade logiken, eller ingenjörslogiken, är statusmässigt överordnad och det är den som i första hand används för att utforma utbildningar, inte realtidslogiken. Den senare får 8 man lära sig i arbetslaget. Perin argumenterar för att den kalkylerade logiken alltid är bristfällig i relation till verkliga omständigheter och att realtidslogiken skapar kunskaper som kunde användas bättre för att förstå systemet och skapa säker och tillförlig drift. Realtidslogik och kalkylerad logik är renodlade perspektiv och används i olika situationer av samma individer men för olika uppgifter. Dessutom är det skillnader i status och hur utvecklad terminologin är. Den kalkylerade logiken har hög status och väl utvecklad teoribildning och terminologi medan realtidslogiken till stora delar baseras på kroppslig kunskap, subtila signaler, tyst kunskap mm och därmed har svårt för att hävda sitt värde och sin betydelse vid sidan av den kalkylerade logiken. Policylogiken hanterar att företagsledningarna vid kärnkraftverken måste navigera mellan krav från myndigheter och ägare kring säkerhet och ekonomi. Detta leder till att kunskaper som kommer fram från händelser inte alltid omsätts i förbättringar. De kräver kvantitativa bevis på att förslag till åtgärder förbättrar säkerheten mer än andra åtgärder: realtidslogiken har lättare att hävda sina kunskaper vid policybeslut. Ingenjörsperspektivet dominerar inom det samtida tillsynsarbetet: en riskanalys ska göras och olika tekniker för säkerhetsstyrning ska upprättas (Hopkins 2003; SKI 2004). Riskanalysen skapar anspråk på tillräcklig kunskap om relevanta risker och hur de ska hanteras och anspråk på kontroll över riskerna genom föreslagna åtgärder. Forsmarkshändelsen visar att bristerna i den kalkylerade logiken skulle kunna räddas av realtidslogiken men annan forskning visar också att det finns tillfällen när realtidslogiken inte räcker till för att rädda situationen: realtidslogiken har en begränsad räckvidd (Sanne 2008a). Därför bör den ingenjörsbaserade riskanalysen, den kalkylerade logiken, som är grunden för den formella riskhanteringen och tillsynen granskas, eftersom osäkerheter i riskanalysen får konkreta konsekvenser för hur riskerna hanteras (Hopkins 2003). Riskanalys är särskilt sårbart för osäkerheter i kunskapsproduktionen eftersom den handlar om framtida möjliga händelser och i synnerhet när det handlar om systeminteraktion. Det finns en möjlighet att lära från tidigare händelser men det begränsas av problem med överförbarhet till nya situationer och den kalkylerade logikens bristande förmåga att tolka och förstå betydelsen av dessa händelser, i synnerhet för icke-kvantitativa data (Perin 2005). Dessa osäkerheter accentueras än mer för hög-risk aktiviteter för vilka olyckor är sällsynta, vilket innebär att kunskapen i hög utsträckning baseras på beräkningar och simuleringar istället för verkliga händelser. Kanske är kärnkraft det mest extrema exemplet: allvarliga tillbud är mycket sällsynta och än mer olyckor. Konsekvenserna av en allvarlig olycka är så stora att man inte tillåter sig att lära sig från erfarenheten i samma utsträckning som i andra system. Individuella komponenter känner man till men systematiska interaktioner är mindre kända. Det är därför inte förvånande att det sker tillbud och varför de beskrivs som överraskningar – de var inte förväntade. Hur kan man förklara hur brister i riskanalysen bidrar till olyckor? Undertiteln till Turner och Pidgeons bok Man-Made Disasters: The failure of foresight (1997) ger en ledtråd. Perrow (1999) beskrev olyckor inom ett komplext sociotekniskt system som kärnkraften som oundvikliga: de är normala konsekvenser av hur systemet är organiserat. Även om man inte delar Perrows ståndpunkt att olyckor är oundvikliga ger detta perspektiv en påminnelse om att normal produktion i många säkerhetskritiska system ger upphov till risker som skulle kunna leda till olyckor. Om riskerna är ständigt närvarande i vardagen måste de också hanteras varje gång som de uppträder. Forskningen om högtillförlitliga organisationer och ”resilience engineering” visar att detta är möjligt under vissa förutsättningar (LaPorte och Consolini 1991; Hollnagel, Woods, och Leveson 2006). Säkerhet skapas således genom att risker hanteras i en framgångsrik praktik. I ett sådant perspektiv, argumenterar Turner och Pidgeon 9 (1997), kan olyckor och tillbud betraktas som sammanbrott för en eller flera säkerhetsskapande processer. Sammanbrottet har fysiska konsekvenser i termer av skada på liv och lem men innebär också en utmaning mot föreställningar om vad som utgör relevanta riskobjekt och adekvata säkerhetsskapande processer. Metod och data Jag har samlat in data genom att läsa dokument, tidningsartiklar och offentliga dokument från SKI och Forsmark och jag har intervjuat ett antal personer som jag bedömt kunna bidra med relevant kunskap. Dokumenten finns listade i referenslistan. De intervjuade är Roger Axelsson, säkerhetschef på Oskarshamns kärnkraftverk; Klas Pihlquist, säkerhetschef vid Ringhals kärnkraftverk och Maria Hedeklint, chef för Människa-Teknik-Organisation vid samma kärnkraftverk; Olle Andersson, tillförordnad säkerhetschef vid Forsmarks kärnkraftverk; Jan Hanberg, chef för enheten för säkerhetsanalys vid SKI samt Björn Karlsson, professor i energisystem vid Linköpings universitet och ordförande i SKI:s reaktorsäkerhetsnämnd. Intervjuerna spelades in och har transkriberats av Eva Alm. Jag har också analyserat de intervjuer som Mikael Wiklund gjorde med inspektörer och MTOexperter vid SKI tidigare under 2007. Dessa intervjuer är anonymiserade. Vid intervjuerna och i analysen har jag sökt efter informanternas och dokumentförfattarnas tolkning av Forsmarkstillbudet, både specifikt och som ett generellt problem, särskilt med avseende på riskanalys, riskhantering och tillsyn. Jag har letat särskilt efter hur informanterna och dokumentförfattarna beskriver problemet: 1. Vad hände och på vilket sätt var det allvarligt? 2. Vilka riskobjekt identifierar de och hur motiverar de dessa? 3. Vilka konsekvenser får valet av riskobjekt för deras uppfattning av händelsen och hur den bör hanteras? 4. Vilka processer för utformning, drift och underhåll har bidragit till händelsen? 5. Hur relaterar de händelsen till normala former för kunskapsproduktion inom kärnkraften? 6. Hur avviker händelsen från de normala mönstren för att tolka och hantera risker? 7. Kan man identifiera tillfällen och kriterier för tillräcklig visshet för att kunna fatta säkerhetskritiska beslut? Förstudien är fokuserad på de som varit närmast berörda. Jag har velat utgå i första hand från de problem som dessa identifierat för att förstå de åtgärder som vidtagits. Det är därför som det finns ett så starkt fokus på Olle Andersson, tillförordnad säkerhetschef på Forsmark. 10 Hjältar, instruktioner och realtidslogik Here we have the essence of a normal accident: the interaction of multiple failures that are not in a direct operational sequence. You may underline that definition but there is another ingredient that we have not explored in detail – incomprehensibility (Perrow 1999: 23). Utöver en oväntad händelse med fallerande indikationer, larm och belysning, försvårades kontrollrumspersonalens förståelse av vad som hänt av brister i konstruktionsarbete, i utbildningen samt brister i utformningen av elsystemets presentation i kontrollrummet. Samtliga bedömare är ense om att personalen trots dessa svårigheter agerade förtjänstfullt och att de hade kunnat förhindra skador på härden och i förlängningen en härdsmälta, om fyra säkerhetssystem slagits ut. En teknisk barriär för att förhindra skador på omgivningen fanns dock intakt. Personalen utgjorde således inte något riskobjekt, tvärtom illustrerar de bristerna i anläggningens konstruktion med sitt kompetenta agerande. Samtidigt ser det ut som om kärnkraftsindustrins beskrivning av orsakerna till deras kompetenta agerande stärker den kalkylerade logikens uppfattningar av riskobjekt och med vilka kunskaper och metoder säkerhet skapas. Jag kommer först att redogöra för hur SKI framställer personalens roll vid tillbudet och vilken roll de kunde ha haft om fyra säkerhetssystem slagits ut och därefter hur kontrollrumspersonalens agerande beskrivits och hur jag tolkat dessa beskrivningar. Vid tillbudet i Forsmark slogs två av fyra säkerhetssystem ut men eftersom det endast krävs två säkerhetssystem för att kyla reaktorn så kunde de två intakta systemen förhindra skador på bränslet och i förlängningen härdsmälta, utan att personalen behövt ingripa (Bennemo 2006). Men om fyra system slagits ut så hade personalen behövt ingripa för att förhindra skador på härden, om än inte på omgivningen, skriver Klas Idehaag, anläggningsansvarig för Forsmark på SKI: Om inträffad störning inneburit att alla reservsystem för elförsörjning blivit spänningslösa hade det krävts manuella operatörsingrepp inom 1 timme för att undvika allvarliga härdskador. Bedömningen är att förutsättningar funnits för att dessa operatörsingrepp utförts och att erforderligt kylflöde till härden därmed skulle vara återupprättat 10-40 minuter efter inträffad störning/…/ Utan åtgärder bedöms härden efter 5-6 timmar kunna smälta igenom reaktortanken och hamna i den med vatten fyllda reaktorinneslutningen. För detta fall finns de konsekvenslindrande systemen som automatiskt aktiveras för att tryckavlasta reaktorinneslutningen genom filter. Filtret tar upp 99,9% av härdens frisläppta aktivitet för att minimera påverkan på omgivning och tredje man (Idehaag 2007b). Vid en första anblick ser det som om bilderna av kontrollrumspersonalens arbete på Forsmark 1 vid tillbudet skiljer sig radikalt från varandra och att de skiljer sig åt från forskningen om verkligt, icke-simulerat, kontrollrumsarbete. Förtjänsten för personalens agerande tillskrivs helt olika kunskaper eller mekanismer samtidigt som ingen av dem är helt tillfredsställande. I medierna beskrevs personalen som hjältar. Vid intervjuer vill de själva inte kännas vid en sådan beskrivning (Eriksson 2006). Jag tror inte heller att kärnkraftindustrin vill förlita sig på hjältar: alla operatörer måste anses tillräckligt bra. Forsmark och SKI framställer i sin dokumentation kontrollrumspersonalens arbete som ett resultat av att de noggrant följde väl utformade instruktioner och med stöd från en gedigen simulatorträning i en förvirrande och stressig situation, där information saknades eller var missvisande (Metzén mfl. 2006). Olle Andersson, biträdande säkerhetschef på Forsmark, beskriver arbetet på ett sätt som ger 11 associationer till en väl inövad, koreograferad dans, där personalen blir komponenter i kärnkraftverkets maskin: ANDERSSON: När man får en sådan här störning, då går man in i ett arbetssätt i kontrollrummet som är styrt på ett speciellt sätt. Man gör någonting som kallas för första kontroller. Man positionerar sig rent fysiskt i kontrollrummet på ett visst sätt. Man tar fram förbestämda instruktioner och man följer ett inövat arbetssätt där man kontrollerar viktiga parametrar. Hur är läget på den här parametern? Hur är läget på den här parametern och så vidare. Vad som sen faller ut av det, det är förutbestämt utav det här schemat. Och det man kan komma fram till av den proceduren det är då att alla styrstavar har gått in som de ska. Halva elutrustningen där har man inga signaler överhuvudtaget. Man kan ganska enkelt sluta sig till att det är ett elbortfall. Det är inte så fruktansvärt svårt (intervju, december 2007). Här ser det ut som om Olle Andersson hävdar att instruktionerna i sig gav ett tillräckligt stöd för att fastställa vad det grundläggande felet var. Det är inte hela sanningen: instruktioner är nödvändiga för att hantera en så ovanlig situation men utan drifterfarenhet står man sig slätt. Studier av verkligt kontrollrumsarbete visar att arbetet utformas till stor del utifrån kunskaper som man lär sig genom att delta i den dagliga driften och genom sina arbetskamrater (Mumaw m.fl. 2000). Kontrollrumspersonalen letar efter fel hela tiden, de övervakar vissa kritiska variabler och de ifrågasätter orimliga värden, de jämför olika signaler och diskuterar hur de ska tolkas. Intervjuer med kontrollrumspersonalen på Forsmark och med Olle Andersson visar att de arbetat på detta sätt under tillbudet (Eriksson 2006). ANDERSSON: Man kan läsa av nivån och se var nivåerna är för någonting. Och man kan läsa av trycket i reaktorn. I och för sig så kan man få motstridiga uppgifter, för två instrument visar ju den rätta nivån så att säga. Två visar någonting annat, tokigt då, eftersom det är en annan elkraftmatning. Å andra sidan så kan man då bedöma att det här är tokiga värden, det är två som visar rätt och då går vi nog på det som visar rätt. För att de här tokiga värdena det är liksom extremer det är fullt utslag på mätaren eller inget utslag alls (intervju, december 2007). Olle Andersson beskriver sedan kontrollrumsarbetet ungefär som Mumaw mfl: ”Personalen fokuserar på några viktiga parametrar: styrstavarna, tryck, vattennivån, hur elsystemen är organiserade. Sedan när man är säker på att störningen är säkert omhändertagen så tar man hand om larmen”. Efter 22 minuter var operatörerna tillräckligt säkra på vad som kunde ha hänt och de bestämde sig för att koppla in 70kV nätet manuellt. Efter 45 minuter kunde personalen med säkerhet konstatera att reaktorn med säkerhet var avställd och att kylningen av resteffekten fungerade som den skulle. Forskningen om kontrollrumsarbete har tagit sin utgångspunkt i den kalkylerade logikens föreställning om att kontrollrumsarbetet handlar om att passivt invänta larm och på människor som felkällor eller riskobjekt som kräver stödjande eller kontrollerande teknik. Det har förekommit en del diskussioner kring den så kallade rådrumsregeln, eller 30-minutersregeln, i samband med tillbudet i Forsmark. Vid olyckan vid Three Mile Island (Harrisburg) i USA 1979, översköljdes kontrollrumspersonalen av felmeddelanden som de inte hade tid att ta ställning till. Efter denna olycka ställde SKI på att svenska kärnkraftverk ska vara konstruerade så att kontrollrumspersonalen inte skulle behöva fatta några beslut inom 30 minuter efter ett larm: en händelse skulle inte kunna utvecklas till en härdsmälta inom denna tid. Men det är inte förbjudet att agera innan 30 minuter gått. Stora resurser läggs ner på att mäta och modellera så kallad mänsklig tillförlitlighet för att kunna utforma systemen så att de kan tolerera operatörsfel. 12 Rådrumsregeln är utan tvivel till stor nytta för operatörerna för att minska stress och öka förmågan att förstå och hantera en händelse korrekt, inte minst vid tillbudet i Forsmark. Forskningen om verkligt kontrollrumsarbete i processindustrier visar dock också att arbetet vid normal drift och vid tillbud inte skiljer sig så markant från varandra som man kan tro (Mumaw m.fl. 2000; Hirschhorn 1993; Bergman 1995). Det normala arbetet handlar om att upptäcka och avvärja tillbud, inte om att passivt invänta larm. Det handlar således inte enbart om att följa instruktioner och vad man lärt sig i simulatorutbildningar. Bilden av personalens arbete som hårt styrd av instruktionerna ligger i linje med den kalkylerade logikens anspråk på att utforma ett säkert system och där människor är felkällor som måste kontrolleras med teknik av olika slag. Men föreställningen om människor som felkällor är problematisk av flera skäl och både Forsmark och SKI tar avstånd från den. Den bortser från de tillfällen där operatörerna räddar situationen, såsom de kunde ha gjort i Forsmark. Den utgår från att det är instruktioner och simulatorutbildning, i enlighet med den kalkylerade logiken, som gör att personalen kan rädda situationen. Men värdet av instruktioner och simulatorträning begränsas delvis av de kunskaper som utvecklats inom den kalkylerade logiken och som ligger till grund för de scenarier som övas. Operatörerna kan förvisso i viss utsträckning överföra kunskaper de lärt sig till problem som inte ingått i dessa scenarier men det finns gränser för överförbarheten. Förutsättningarna för att lösa problem som inte förutsatts eller som skapats av den kalkylerade logiken kan därmed svårligen lösas enbart med samma kunskaper. Det krävs också andra kunskaper, från realtidslogiken, den som skapas i arbetet och genom arbetslaget. Eftersom problemet som uppstod inte fanns med i kärnkraftverkets säkerhetsredovisning (den kalkylerade logikens riskanalys) kunde operatörerna inte förbereda sig fullt ut på just detta problem enbart genom instruktioner och simulatorträning. De måste tillgripa sin egen erfarenhetsbaserade kunskap, realtidslogik, om kärnkraftverket och hur det fungerar. Vidare är det missvisande att tala om mänskliga faktorn i allmänhet. Det är inte vilka människor som helst som arbetar i kontrollrummen: det är högt utbildad personal med lång erfarenhet av att hantera brister i den tekniska utformningen. Delar av elsystemet i Forsmark hade byggts om 2005 vilket hade resulterat i brister i operatörsstödet: kontrollutrustning, instruktioner och skyltning samt utbildning (Bennemo 2006). En bristande utformning av viktiga människa-maskin gränssnitt, orsakade av brister i den kalkylerade logiken försvårade kontrollrumspersonalens arbete (Idehaag 2007a). Men analysen av kontrollrumspersonalens arbete visar att de ändå kunde ha hanterat ett fullständigt bortfall av alla säkerhetssystem. Man kan dra tre slutsatser från detta resonemang. För det första att instruktioner och träning varit en nödvändig förberedelse men att realtidslogiken är lika oundgängliga för att nå tillräcklig visshet och kunna agera efter den. För det andra att kontrollrumspersonalen hade kunnat bli den sista barriären mot skador på härden och även mot härdsmälta om fyra istället för två säkerhetssystem brustit. För det tredje att förståelsen av kontrollrumspersonalens roll inte illustrerats på ett tydligt sätt i rapporterna kring Forsmarkshändelsen. Kanske är det så att ”hälsan tiger still”: men det är viktigt att också utveckla berättelser och teorier om vad som fungerar väl. Kanske är det dock så att det räcker för SKI att ta reda på att personalen skulle ha kunnat ta hand om situationen även om fyra system slagits ut: det är en tillräcklig visshet som pekar på att Forsmark har haft nödvändiga förutsättningar för att undvika en olycka med skador på person eller miljö. 13 Att bryta mot grundläggande designregler: fel med gemensam orsak System accidents involve the unanticipated interaction of multiple failures (Perrow 1999: 70, kursiv i original). ANDERSSON: Det är alltså tre fel som föreligger samtidigt. Två utav de här felen är av så kallad CCF natur. Common cause failure2. Det är de felkopplade frekvensunderskydden till generatorerna och det är den här bristande selektiviteten i UPS3 (intervju, december 2007). De fyra fel som orsakade tillbudet verkar alla handla om misslyckanden för den kalkylerade logiken. Den utlösande händelsen var en felkoppling i det externa ställverket vilken har tillskrivits bristande planering och instruktioner (Andersson 2007). De två andra beror på att konstruktions- och installationsarbetet på kärnkraftverket inte förmått att identifiera möjliga risker och därmed inte utformat systemet så att det kunde tåla den utlösande händelsen. Detta avsnitt visar varför felet bedömt som allvarligt: det pekar på brister i Forsmarks djupförsvar, det vill säga i kunskap om och kontroll över kritiska processer. Den utlösande händelse som orsakades av Svenska Kraftnäts bristande hantering av ställverket har av samtliga intervjuade förklarats som olycklig men egentligen skulle denna händelse inte vara avgörande: ett kärnkraftverk ska utformas så att det tål den typen av händelser. Detta avsnitt behandlar därför de tre bakomliggande felen i kärnkraftverkets utformning och orsakerna till dem: olämpliga spänningsnivåer för likriktare och växelriktare för det så kallade avbrottsfria nätet, dieslarnas beroende av batterier för varvtalsstyrningen samt de felaktigt installerade frekvensskydden för turbingeneratorerna. Dessa fel fick stora konsekvenser eftersom de orsakade flera andra fel i anläggningen. Överspänningspulsen slog ut växelriktaren i det så kallade avbrottsfria nätet för sub A och B så att ström från batterierna inte kunde sändas vidare och det orsakade stopp för dieslarna i sub A och B. Frekvensskydden stängde inte av spänningen när frekvensen gick ner vilket innebar att 70 kV nätet inte kunde kopplas in och att spänningen slogs ifrån längre ner i reaktorblocket: spänning från turbinerna kunde därmed inte nå dieslarnas styrning. Alla källor för att mata delar av den säkerhetskritiska utrustningen, bland annat belysning, indikatorer och larm i kontrollrummet liksom en del av nödkylningen försvann. Fel med gemensam orsak är allvarliga och välkända problem för kärnkraften, som det bedrivs forskning och utvecklingsarbete kring (se t.ex. OECD 2000; Johansson 2003). Eftersom konsekvenserna av en allvarlig olycka inom kärnkraften har bedömts så allvarliga har branschen och det politiska etablissemanget sett det som nödvändigt att ha en mycket låg sannolikhet för kärnkraftsolyckor. Branschen hävdar att kärnkraftverken är utformade så att de kan hantera de flesta tänkbara händelser. Att bryta mot en säkerhetsbarriär i andra industrier väcker inte så stor uppmärksamhet men i kärnkraften väcker även ett brott i en barriär uppmärksamhet eftersom det antyder att kontrollen inte är så god som branschen gör anspråk på. Enskilda komponentfel bör därför ha begränsade följder och verken byggs så att de kan hantera dem. Men fel med gemensam orsak kan få allvarligare följder samtidigt som de är svårare att beräkna i så komplexa system. Tillsynsmyndigheterna definierar de kriterier som kärnkraftverken ska uppfylla i termer av funktionskrav (SKI 2004). Ett av dem är en robust design, det vill säga en utformning som 2 Fel med gemensam orsak. Uninterruptible Power Supply, det avbrottsfria nätet som alltid ska kunna vara spänningssätt för att försörja vissa säkerhetskritiska komponenter. 3 14 klarar vissa specificerade händelser, så kallade dimensionerande händelser. En robust design ska också vara ”konservativ”, det vill säga den ska vara överdimensionerad så att den klarar också en del oväntade händelser som inte funnits med i riskanalysen. Kärnkraftverket ska kunna motstå både dimensionerande händelser och oväntade händelser utan eller med en mycket låg sannolikhet för en olycka som innebär skador på omgivning, personskador eller radioaktiva utsläpp. Tillbudet i Forsmark visar att kärnkraftverket inte var så robust utformat som man kunde förvänta sig. Robusthet uppnås genom redundans och diversifiering för att uppnå oberoende delsystem. Redundans skapades genom att ha fyra parallella säkerhetssystem eller subar, varav endast två krävs för att kyla resteffekten. Säkerhetssystemen var i hög utsträckning redundanta, hävdar Olle Andersson på Forsmarks kärnkraftverk: ANDERSSON: Varje stråk, varje sådan här sub är oberoende av varandra. Det finns ingen gemensam punkt som har felat. Däremot finns det utrustning i respektive parallellt stråk som felat. /../ Varje dieselgenerator försörjer sina pumpar och har sina kabelvägar. Vissa gemensamma utrymmen passerar de igenom som en brand till exempel möjligen skulle kunna påverka utrustning i flera subar. Men det finns ingen annan funktionell eller fysisk sammankoppling mellan de här fyra subarna (intervju, december 2007). Redundansen mellan de olika säkerhetssystemen (subarna) är god. Men inom varje sub är beroendet stort mellan de olika delarna: ANDERSSON: Inom suben så är allting beroende av varandra: det finns inte en pump här som inte är eldriven. Så alla pumpar är ju beroende av elkraft. Alla ventiler, många ventiler är beroende av tryckluft. Det finns massa med gemensamma funktioner inom varje sub. Men den där suben där, den är inte beroende av elmatning från den suben. Redundansen är så att säga fullständig i den funktionella konstruktionen (intervju, december 2007). Utformningen har utgått från att subarna ska vara oberoende från varandra men beroenden inom subarna har inte analyserats lika noga vilket fick till följd att diversifieringen brast. Subarna har en progressiv konstruktion med två kännetecken. För det första måste vissa delar av kärnkraftverket kunna klara att vara spänningslösa en kortare tid medan andra alltid måste vara strömförsörjda. De senare ska alltid kunna spänningssättas genom det så kallade avbrottsfria växelströmsnätet (UPS), den batterisäkrade delen av subarna. Men detta nät bröt samman i två av subarna. För det andra, eftersom dieslarna krävde elmatning för varvtalsstyrningen, matning som bara kunde komma från batterierna eftersom matningen från turbinerna kopplats ifrån, orsakade detta fel följdfelet att dieslarna stannade strax efter start. Detta orsakade problem även för de delar av kärnkraftverkets säkerhetskritiska funktioner som klarar en kortare tid med spänningsbortfall. Men eftersom bara två av subarna fallerade räckte det för att kyla resteffekten. Diversifiering kan också uppnås genom att samma funktion erhålls med olika tekniska lösningar eller med olika fabrikat: på det sättet ska inte ett enkelfel kunna slå ut flera komponenter eller delsystem samtidigt. Men de fyra subarna hade en identisk konstruktion som dessutom innebar ett beroende mellan delar som ska vara oberoende av varandra (dieslar och batterisäkrat nät). I efterhand framstår därför konstruktionen som olämplig: ANDERSSON: Man kan fundera över lämpligheten att försörja dieslarnas logik via det här avbrottsfria växelströmsnätet. Är det tillräckligt okomplicerat? Kan man göra det här bättre? Kan man höja säkerheten genom att till exempel mata det från mindre komplicerat nät? Och det har man väl tittat på, idag anser man nog att man har gjort det då till viss del i alla fall. Idag är de 15 kraftförsörjda på så sätt att två är kopplade precis som de var innan och två är kraftförsörjda från ett annat nät. Så att en viss diversifiering finns mellan subarna då (intervju, december 2007). Dieslarnas beroende av UPS:erna var naturligtvis ingen nyhet: det fanns med i säkerhetsredovisningen och uppfyllde gällande krav men uppenbarligen var detta inte tillräckligt. Det är troligt att elsystemet är mer analyserat och säkrare idag inte bara på Forsmark. Men det är ironiskt att diskutera huruvida man kan lita på ett avbrottsfritt nät. Om man kallar något för ett säkerhetskritiskt system så innebär det att man definierar andra delar som mindre värda uppmärksamhet (Perin 2005). Om man kallar ett system för avbrottsfritt så signalerar man att det är konstruerat så att man kan visa att det är avbrottsfritt, och kan användas som stöd för andra delar. Kanske betraktades diversifiering som onödigt när man sade sig ha konstruerat ett avbrottsfritt nät. Diversifiering kostar mer, i konstruktion och underhåll. Dessutom riskerar fler olikartade tekniker att leda till risk för nya, okända interaktioner (Andersson, december 2007). Forsmarks kärnkraftverk var inte så robust som de själva och SKI uppfattade det. Orsakerna till tillbudet var två fel med gemensam orsak som inte kärnkraftverket identifierat och kunnat förebygga. Frågan uppstår därmed vad det beror på och om det kan finnas andra dolda fel. Att endast två säkerhetssystem fallerade trots samma konstruktion var turligt men också märkligt och svårt att förklara. Varken SKI eller Forsmark kan med bestämdhet säga varför så var fallet men hävdar att de förklaringar som föreligger är tillräckliga för att kunna gå vidare med att utveckla en mer robust konstruktion (seminarium på SKI, mars 2008). Brister i säkerhetskultur och säkerhetsstyrning? Den inträffade händelsen visar enligt SKI:s bedömning att säkerheten inte fått den prioritet som djupförsvaret förutsätter. I SKI:s granskningsrapport av händelsen (SKI 2006/779)4 noterades ett antal brister som är tecken på brister på säkerhetskultur. SKI gjorde bedömningarna att det fanns brister i kvalitetsrutiner i samband med anläggningsändringar, underhåll och provning vilket var bidragande orsaker till komplexiteten i denna händelse. Forsmark 1 gjorde under revisionsavställningen 2005 större ombyggnader i elsystemet och dess presentation i kontrollrummet. Ombyggnaden innebar bland annat införande av bildskärmsbaserad övervakning för delar av elsystemet och ny litterering på elkomponenter. Den nya littereringen krävde förändringar i dokumentation och utbildning av personal. Detta konstaterades inte var till fullo genomfört vid tiden för händelsen i Forsmark. SKI noterade även att skiftlagens instruktionspaket för elsystemen inte var komplett med fastställda utgåvor för det nya littereringssystemet. Vidare identifierades att för övervakning och manövrering av komponenter i elsystemet finns brister i operatörsstödet (kontrollutrustning, instruktioner, skyltning etc.) vid Forsmark 1 (SKI 2006: 2-3, min kursivering). Både Forsmark och SKi hävdar att de direkta orsakerna till tillbudet var brister i konstruktionen (Metzén mfl. 2006; Bennemo 2006). Citatet ger dock intryck av att SKI anser att brister i säkerhetskulturen varit en bidragande orsak till tillbudet. Men det är fel: SKI anser att brister i säkerhetskulturen bidrog till att försvåra förståelsen och hanteringen av händelsen och att en del andra brister i säkerhetskulturen, bland annat ledningens prioritering av produktion framför säkerhet, som kommit fram i samband med tillbudet pekar på brister i säkerhetskulturen på ett sätt som äventyrar SKI:s förtroende för Forsmarks förmåga till säker 4 Den bästa referensen här är Bennemo 2006. 16 drift och därmed motiverat särskild tillsyn och riktade inspektioner mot vissa områden (seminarium på SKI, mars 2008). Men framställningen av säkerhetskulturens funktion är problematisk, även om den inte orsakade tillbudet. Utöver de brister som pekas ut i citatet ovan lyfter både SKI och Forsmark fram ledningens prioritering av säkerhetsarbetet (Idehaag 2007a). För SKI och Forsmark verkar säkerhetskultur handla om attityder som mer eller mindre indirekt indikerats genom olika tecken. Bristerna i elsystemets utformning och i utbildning och formella rutiner samt andra tecken såsom att man inte gick ner till kall avställning direkt efter händelsen och inte rapporterade tillbudet på rätt sätt har tolkats som ett resultat av brister i tekniken för att styra delar av verksamheten i form av formella rutiner. Dessa brister har i sin tur tolkats som ett uttryck för brister i ledningens säkerhetskultur, mer precist som engagemang, prioriteringar och attityder. Säkerhetskulturen såsom attityder antas ha en organiserande funktion. Säkerhetskulturen gör därmed ett dubbelt, men oklart arbete: som analysverktyg och som styrmedel. SKI har som en del av granskningen av händelsen och den särskilda tillsynen inspekterat ett antal av Forsmarks formella rutiner och krävt förändringar på en del områden (Idehaag 2007a). Men resultatet av SKI:s inspektioner tyder inte på att det är några större fel på dessa rutiner. En del rutiner för anläggningsändringar borde ändras även om verket uppfyller de ställda kraven. En inspektion med inriktning på kontroll- och provningsverksamheten visar på ”tydliga krav på provningsmoment efter olika konstruktions- och installationsmoment” (Idehaag 2007a). Även andra områden som personalens förmåga att bedöma situationer och agera därefter samt ledningens prioritering av säkerhet i förhållande till andra intressen, får anses uppfylla SKI:s krav. Kärnkraftinspektionen har också godkänt omstart av Forsmark 1 och 2 efter kärnkraftverkets redovisning för de åtgärder som har eller ska vidtas för att komma till rätta med bristerna i det avbrottsfria nätet. Vad som inte framgår av dessa dokument är att rutiner och instruktioner har funnits men inte följts (seminarium på SKI, mars 2008). Det finns tre problem i SKI:s slutsatser kring säkerhetskulturens och instruktionernas funktion. För det första är det oklart hur bristande attityder, och i ett senare led i orsakskedjan formella rutiner, har orsakat problemen som identifierats: de indirekta tecknen som pekas ut bygger på obevisade antaganden om orsakssamband. Forskningen har stora svårigheter att bevisa orsakssamband mellan attityder och beteende (Sanne 2008b): det är produktionskravoch förutsättningar, i synnerhet i oplanerade situationer där plötsliga problem uppstår men produktionskrav inte förändras, mer än attityder som leder till brister i säkerheten. I efterhand kan man konstatera att fel har begåtts. Forsmark och SKI har då antagit att arbetet styrts av formella rutiner såsom föreskrivet och därmed utpekat rutinerna som otillräckliga och vidare antagit att denna brist orsakats av bristande attityder eftersom en god säkerhetskultur ska leda till att ledningen utvecklar styrande rutiner. Det passar väl in i utarbetade mönster för riskobjekt och styrning. Man letar där ljuset faller: eftersom fel har begåtts måste rutinerna vara felaktiga och det finns ett färdigt recept för detta. Men granskningen visar inte på några större problem med de formella rutinerna. Kanske handlar det återigen om tillräcklig visshet utifrån antaganden om att attityder återspeglar sig i produktionskraven. För det andra har SKI och även många Forsmarksanställda haft kritiska synpunkter på att Forsmarks ledning före och efter tillbudet har prioriterat produktionen alltför mycket på bekostnad av säkerheten (Idehaag 2007a; Andersson, intervju december 2007). Säkerhetskulturen blir på detta sätt en moraliserande kritik av hur dessa avvägningar skötts men samtidigt ganska vag som grund för beslut: det talas om ”konservativt” beslutsfattande där 17 man ska ta det säkra före det osäkra. Detta ska jämföras med den mycket mer precisa kritiken av tekniska problem (Perin 2005). Det finns ett behov av förbättrade kunskaper om hur organisatoriska beslut kan analyseras och hur organisationen kan styras med hjälp av tillsynen. Det finns anledning att ifrågasätta antagandena om rationella organisationer. För det tredje försvåras en analys av orsakerna till tillbudet av att SKI:s granskning blandar dokument och data från tiden före och tiden efter tillbudet. SKI ansåg att Forsmark var alltför för inriktade på att snabbt fixa de enskilda delar som brustit just för ögonblicket men att de processer som skapat dem fortlever (jämför även Perin 2005: 196, 235). För denna uppgift är det högst relevant att granska säkerhetskulturen. Det har sin grund i SKI:s kunskapsintresse: att granska Forsmarks förutsättningar att bättre klara sådant som brustit i samband med tillbudet eller som blivit uppenbart i samband med detta. SKI har på grundval av de granskningar som gjorts bedömt att tillräcklig visshet och tillräckligt förtroende föreligger för att Forsmark uppfyller kraven för att kunna godkänna drift utan särskild tillsyn. Men samtidigt ger frågan om dessa förutsättningar uppfyllts inte vägledning kring vad som verkligen formade agerandet i samband med de konstruktionsändringar som befunnits brista och riskerar därmed att leda till ineffektiva åtgärder. Det krävs en grundläggande studie av orsakerna till bristerna i konstruktionsarbetet, med tonvikt på kunskap om kunskapsproduktion och utformning, inte minst varför instruktioner inte följs. Ett olycksfall i arbetet eller ett systemfel i kunskapsproduktionen? AXELSSON: Om det vore så att det vore ett enkelt konstruktionsfel. Så att om man skulle ha konstruerat två men konstruerade en. Och någon gjorde ett misstag, man följde inte en instruktion. Man hoppade över den sidan, man tittade inte i den paragrafen. Hade det varit det som hade vart problemet, då kunde man ju ha pekat ut. Då hade det ju vart en kvalitetsbrist. Vad jag förstår i Forsmark så fungerade den konstruktion som de har på avsett sätt. Men avsett sätt var ju inte tillräckligt, gav ju inte tillräckliga marginaler för den här störningen (intervju, oktober 2007). Roger Axelsson, säkerhetschef för Oskarshamns kärnkraftverk, formulerar varför branschen ser de felkonstruerade spänningskydden i det avbrottsfria nätet som den allvarligaste bristen som identifierats i samband med tillbudet. De var allvarliga för att de inträffade i en säkerhetskritisk funktion och kunde ha lett till skador på härden och kanske härdsmälta. Men det verkar som om konstruktionsfelet bedöms som allvarligt också för att det inte faller in i de vanliga felkällorna eller riskobjekten: mänskliga faktorn eller säkerhetsstyrning. Det var ingenjörsarbetet som fallerade. För detta finns ingen standardiserad förklaring eller bot. Konstruktionsfelen som orsakat de felaktiga frekvensskydden, de olämpligt inställda UPS:erna samt dieslarnas beroende av det batterisäkrade nätet berodde på brister i kunskapsproduktionen. Frågan är om bristerna i kunskapsproduktionen är ett olyckligt undantag i en annars väl belyst och välorganiserad verksamhet eller om det är ett exempel på oundvikliga, normala, osäkerheter i kärnkraftens kunskapsproduktion. Men samtliga intervjuade medger att fler brister kan finnas. Det gör det än mer angeläget att utreda vilka kunskapsprocesser (erfarenhetsåterföring, riskanalyser mm) som skapat dem. Både spänningskydden för det avbrottsfria nätet och underfrekvensskydden har bytts ut sedan kärnkraftverket byggdes. Vid ombyggnader eller byte av utrustning ska tillståndshavaren göra en riskanalys i enlighet med SKI:s författning och SKI granskar sedan denna för att avslå, begära kompletteringar eller beslut om att den uppfyller nödvändiga krav. Bytet av 18 spänningsskydd för det avbrottsfria nätet har genomgått en granskning från SKI medan bytet av underfrekvensskydd endast genomgått en intern granskningsprocess. Underfrekvensskyddet för generatorn hade bytts ut. Det gamla skyddet var inte känsligt för fasföljden medan det nya var det. Det ursprungliga frekvensskyddet felmonterades men provningen upptäckte inte detta eftersom det inte var känsligt för fasföljden. Vid ombyggnaden byttes inte faskopplingen. Denna del av anläggningen ingick inte i den projektering som gjordes inför ombyggnaden och den efterföljande provningen. Endast komponenter ingick i analysen, inte systemet. Kunskaperna om fasföljden och dess betydelse saknades uppenbarligen och fick inget inflytande över projekteringen. Konstruktionsbristerna beror troligen inte på att ingenjörerna på Forsmark är mer inkompetenta än på andra kärnkraftverk. SKI hade granskat både ursprunglig konstruktion och ombyggnaderna och konstaterat att de uppfyllde kraven. Men det var inte tillräckligt: kärnkraftverken har ansvaret för att det är tillräckligt säkert. Men även kärnkraftsindustrin i stora delar av världen togs på sängen av den överspänningspulsen samt den bristande selektiviteten i UPS:erna. Forsmarks och SKI:s utredning visar att kärnkraftverkets säkerhetsredovisning och riskanalysen i samband med ombyggnader inte förmått att identifiera möjliga risker och därmed inte utformat systemet så att det kunde tåla den utlösande händelsen (Metzén mfl. 2006; SKI 2006). Störningen i ställverket och överspänningspulsen var inte inkluderad i den säkerhetsredovisning som Forsmark gjort, den som bildar grunden för drifttillståndet. Det finns ett antal förklaringar till varför det avbrottsfria nätet inte konstruerats så att det tålde överspänningen: störningen eller dess betydelse har varit okänd eller inte analyserad, den undre respektive övre gränsen för vilka spänningsnivåer som spänningskydden skulle släppa igenom låg alltför nära varandra, i synnerhet var den övre gränsen för låg, det kallas för att selektiviteten är för liten. Dieslarnas beroende av spänning från det batterisäkrade nätet var känd men konstruktionen ansågs uppfylla kraven. Men förklaringarna till dessa brister är inte särskilt uttömmande och sällan dokumenterade: de har nått en nivå där Forsmark och SKI anser sig ha tillräcklig visshet om vad som gått snett i den fysiska processen för att kunna göra en säker konstruktion. SKI och Forsmark har konstaterat att systemet inte utformats för att tåla den störning som uppkommit. De har också utrett varför bara två av de fyra säkerhetssystemen fallerade och vad som hade hänt om ett, tre eller fyra system fallerat. Förklaringarna till bristerna i säkerhetssystemen hänför sig till tre olika tidsperioder och tre olika kunskapsprocesser: ombyggnaden från roterande omformare till digital teknik 1994, lärdomar från likartade tillbud i Tyskland under 1990-talet samt byggandet av kärnkraftverket kring 1980. Efter tillbudet frågade SKI Forsmark varför de inte konstruerat det avbrottsfria växelströmsnätet så att det skulle tåla den utlösande störningen. Ombyggnaden från roterande omformare till UPS 1994 missade att analysera vad en sådan störning kunde orsaka, svarade Olle Andersson, för att Forsmark fokuserat andra saker: Vid utbytet av de roterande omformarna till statiska dito var fokus riktat mot UPS förmåga att leverera erforderlig kortslutningsström vid en kortslutning på UPS nedsida. Fokus riktades också på såväl UPS som dieselgeneratorernas kapacitet. Fokus på dessa frågor kan möjligen ha bidragit till att frågan om selektivitetsfrågan internt UPS inte ”kom upp på bordet”. Enligt FKA:s [Forsmark Kraftgrupp AB] bedömning genomfördes utbytet av de roterande omformarna till UPS på ett normalt sätt. Ändringen har granskats internt, behandlats i FKA:s säkerhetskommitté samt anmälts till SKI enligt då gällande regler. FKA bedömer att ärendet 19 behandlats med den kvalitet och den granskningsinsats som var motiverad av ändringens betydelse för säkerheten/…/FKA bedömer vidare att erforderlig och kvalificerad expertis var engagerad i samband med utbytet. Övergången från ”gammal” teknik med roterande omformare till ny elektronikbaserad teknik kan ha bidragit till att selektivitetsfrågan inte uppmärksammades, inte för att tekniken var ny utan mer för att statiska omformare har andra egenskaper än roterande. Det bör i detta sammanhang noteras att de statiska omformarna har haft en avsevärt bättre tillgänglighet än de gamla roterande. FKA bedömer att det alltid finns ett visst mått av osäkerhet när det gäller om analyser och kvalitetssäkring är tillräcklig (Andersson 2007: 2-3). Andra viktiga egenskaper hos UPS fokuserades och Forsmark gjorde så gott de kunde, hävdar Olle Andersson, utan att tillägga att SKI 1993 bedömt att riskanalysen och ombyggnaden uppfyllde gällande krav. Han hänvisar också till tankar kring ogenomtänkta teknikbyten. Avslutningen är intressant eftersom han menar att man måste acceptera osäkerheter i kvalitetssäkringen av riskanalysen. Andersson talar även om ogenomtänkta teknikbyten där mekaniska komponenter byts mot analoga med helt andra, inbyggda, okända, standardiserade funktioner. Det senare är ett exempel på en vanlig visdom i branschen. Det har också diskuterats huruvida två tillbud i elsystemet och dieselgeneratorer under 1999 respektive 2000 skulle kunna ses som förelöpare till tillbudet i Forsmark och således något som Forsmark kunde ha dragit lärdom av. Klas Pihlquist, säkerhetschef på Ringhals kärnkraftverk, antyder att liknande händelser dykt upp tidigare och påpekar att SKI ställer krav på lärande från erfarenhet av andra händelser. Olle Andersson hävdar dock att Forsmark studerat de två händelserna i Tyskland och inte ansett dem som relevanta för det egna kärnkraftverket. Pihlquist hävdar att en viktig lärdom från tillbudet är att skaffa sig en bättre förståelse av elsystemen. PIHLQUIST: Ja det är en brist i förståelsen. Vi talar ju om att någonting vi ska göra här nu det är då skaffa oss en bättre förståelse för elsystemen. Jag tror att de trycksystemen, flödesdelaren [processystemen för tryck och flöde] och en hel del annat är väldigt välmodellerade. Men vi konstaterade att de eltekniska kraftmatningarna har hamnat lite utanför. Och inte haft riktigt samma fokus i riskanalyserna (intervju, november 2007). Elsystemen har inte betraktats som lika viktiga som andra system, de har varit svårare att beräkna och man har saknat kunskap om deras interaktion med det yttre elnätet. Men är det så enkelt att det handlar om ett olyckligt undantag i arbetet: kan det inte också handla om en process, kunskapsproduktionen i den kalkylerade logiken, som inte betraktats som ett riskobjekt och därmed inte underkastats samma granskning som andra riskobjekt? Det finns förvisso internkontroll i form av säkerhetsgranskningar och dessutom ibland SKI:s granskning men den är stöpt i samma form: den kalkylerade logiken. Men det är otillräckligt att hänvisa de olämpliga nivåerna för spänningsskydden till ombyggnaden. Överspänningspulsen fanns inte med i kärnkraftverkets säkerhetsredovisning, den tillhör inte de händelser som förutsatts kunna inträffa, det är därför den inte kunde utgöra en del av kravspecifikationen när det avbrottsfria nätet konstruerades, varken ursprungligen eller när det byggdes om 1994. Jan Hanberg på SKI säger att det varit svårt att beräkna elsystemens dynamik på grund av brist på datorkraft medan Roger Axelsson på Oskarshamns kärnkraftverk talar om nödvändigheten av att identifiera den inledande händelsen när man gör en riskanalys: SANNE: Men hur gör man en riskanalys då? Gör man ett scenario eller? 20 AXELSSON: Ofta bryter man ju ner det i händelseträd. Man tar en inledande händelse och sen ritar man upp stora logikscheman i datorer. Men om man inte hittar den inledande händelsen då får man inget logikschema. Då får man ju inte den så när man gör den delen så, så är min uppfattning att det görs bra. Men om man inte gör det, så kvittar det ju om metodiken är bra eller ej. SANNE: Nej just det precis. Men hur hittar man dem då? På vilken grund definierar man en sån? AXELSSON: Kreativa människor genom åren (intervju, oktober 2007). Olle Andersson på Forsmark spekulerar kring att den yttre störningen och därmed spänningspulsen inåt i anläggningen inte förutsetts vid konstruktionen av kärnkraftverket för att olika grupper av ingenjörer byggt kraftnät respektive kraftverk: de har inte kommunicerat tillräckligt kring interaktioner mellan de olika delarna. ANDERSSON: Den här transienten med den här snabba spänningspeaken. Den är inte kravställd. Den fanns inte överhuvudtaget i krav… SANNE: Varför fanns den inte då? ANDERSSON: Ja du det kan inte jag svara på faktiskt. Det är före min tid så att säga. Det är inget unikt för Forsmark det är säkert många kraftverk som inte har den här, ja att man har inte analyserat det ens, det fallet överhuvudtaget. Så att för många kom det här som en överraskning har jag förstått… Att det kan bli en sån här spänningspeak inåt (intervju, december 2007) Både Jan Hanberg på SKI och Olle Andersson på Forsmark skiljer mellan felaktiga och olämpliga nivåer (Hanberg 2007; Andersson, intervju december 2007). Felaktiga nivåer innebär en inställning som skiljer sig från den specificerade medan olämpliga relaterar till den uppgift som skydden ska ha. Felaktighet handlar om sådant som Roger Axelsson nämnde i det inledande citatet: konstruktionsfel, att göra misstag i monteringsarbetet, att inte följa instruktioner och så vidare. Men i Forsmark så ”fungerade den konstruktion som de hade på avsett sätt” (intervju, oktober 2007). Felaktiga konstruktioner handlar om mänskliga faktorn i fysiskt arbete. Olämplig utformning beror på brister vid konstruktionsbordet: avsett sätt blir då olämpligt. De gamla roterande omformarna var tåliga, mekaniska, konstruktioner som kanske skulle ha klarat av den överspänningspuls som generatorerna genererade. De nya, digitala, spänningsskydden kunde inte hantera den överspänningspuls som genererades: de var olämpligt inställda för sin funktion. De som konstruerade kärnkraftverket hade inte föreställt sig att den störning som uppstod i det externa ställverket skulle kunna fortplantas in i verket vilket innebar att verket inte konstruerats för att tåla den överspänningspuls som genererades (Andersson, intervju december 2007; Bennemo 2006). En alternativ tolkning är att omformarna bedömdes vara så robusta att de skulle kunna tåla alla relevanta störningar, utan att detta behövde redovisas. Det fanns alltså minst tre olika kunskapsprocesser vid vilka Forsmark och SKI hade kunnat förutse den störning som utlöste tillbudet och dess konsekvenser: den ursprungliga konstruktionen, ombyggnaden av säkerhetssystemen samt tillbuden i Tyskland. Det ser ut som ett systematiskt misstag och inte ett olycksfall i arbetet. Exakt hur de olika processerna bidragit kan inte besvaras utan ett mer omfattande forskningsprojekt där kunskapsproduktionen studeras i detalj: det skulle kräva studier av dokument i Forsmarks arkiv och intervjuer med de inblandade för att komma fram till vad som formar sådant arbete. 21 Det gäller även för orsakerna till bristerna i konstruktionen av underfrekvensskydden. Bristerna i provningsskedet är en konsekvens av bristerna i konstruktionsarbetet: provningen testar bara det som ingått i konstruktionsförutsättningarna (Karlsson, intervju december 2007). Perin (2005) pekar dock på att erfarenhetsåterföringen från drift och från tillbud har stora brister i de fall hon studerat eftersom det alltid krävs kvantitativa bevis vilket skapar ”tunna” historier i tillbudsutredningarna istället för ”täta” där kontexten och den kausala kedjan för enstaka händelser också ingår (Perrow 1999: 328). På det sättet tolkas enskilda händelser för snävt och lärdomarna sprids inte (Perin 2005: 255). Perin pekar också på att tillbudsutredningarna är mycket detaljerade och noggranna vad beträffar de tekniska funktioner som felfungerat och hur de ska åtgärdas medan analysen av organisatoriska strukturer och mekanismer, inte minst policylogiken, samt förslag till åtgärder är vaga. Förståelsen av dem är bristfällig. Ledningens krav på att åtgärder ska leda till förbättringar av säkerheten är hämmande: frågan ställs alltför sällan om konsekvenserna av att inte åtgärda något (Perin 2005:216). Slutsatser: improvisation, säkerhetsstyrning och kunskapsproduktion In preparing for battle I have always found that plans are useless, but planning is indispensable (tillskrivet Dwight D. Eisenhower, enligt Nixon, R., 1968). Citatet återanvänds i mängder av managementhandböcker. Planer är värdelösa eftersom förutsättningarna förändras och oväntade händelser uppstår som inte omfattas av dessa förändringar. Därför är det nödvändigt att improvisera vid kritiska, oväntade händelser. Improvisation lyfts ofta fram inom forskningen kring framgångrika säkerhetskritiska system och numera också managementlitteraturen (se bl.a. Roberts m.fl. 1990; Weick och Sutcliffe 2001; Czarniawska m.fl. 2007). Kontrollrumspersonalens arbete vid tillbudet i Forsmark pekar på nödvändigheten av att improvisera när oväntade och svårförståeliga händelser uppstår. Den tekniska riskanalysens osäkerheter bidrar till sårbarhet lika mycket som felhandlingar i drift och underhåll. Det är därför som kärnkraftsindustrin har både hängslen och livrem: både tekniska barriärer och skicklig personal. Detta trots att de senare sällan får det erkännande de förtjänar. De tekniska barriärerna och säkerhetsstyrningen utgör planeringen medan improvisationen fixar det oväntade. Improvisationen erkänner den oundvikliga osäkerheten som all kunskap innefattar. Men Eisenhower (eller Nixon) hävdade också att planering är oumbärligt, det vill säga man måste förbereda sig, hela tiden, på det oväntade, genom att lära sig från erfarenheten. Vilka slutsatser har kärnkraftindustrin dragit av Forsmarkshändelsen och vilka mönster i deras meningsskapande kan man identifiera? 1. Trots att det var brister i konstruktionen som orsakade och försvårade tillbudet och trots att kontrollrumspersonalen (genom realtidslogiken) hade kunnat bli den sista barriären mot skador på härden betraktas fortfarande drift- och underhållspersonalen i kontrollrumsforskningen huvudsakligen som riskobjekt, som dominerande felkälla och som en del av en stor maskin som måste styras med teknik. 2. Fel med gemensam orsak är tecken på brister i kunskapen om och kontrollen över kritiska processer. Därför måste de bekämpas med robust design genom redundans och 22 diversifiering. Forsmark hade god redundans men bristande diversifiering. Kanske betraktades diversifiering som onödigt när man hade konstruerat ett ”avbrottsfritt nät”. 3. SKI:s granskning antyder att säkerhetskulturen orsakat händelsen vilket förnekas. Istället är det de brister i säkerhetskulturen som tillbudet visat på som bekymrar SKI och Forsmark. Men resonemanget visar på problematiska antaganden om säkerhetskulturens funktioner och organisatoriska orsakssamband. 4. Konstruktionsfelen orsakades av brister i kunskapsproduktionen. Bristerna i kunskapsproduktionen av det avbrottsfria nätet kan bero tre skilda processer: vid byggandet av Forsmark, brister i riskanalys vid ombyggnader eller från brister i lärande från andra tillbud. De studerade dokumenten antyder att kärnkraftsindustrins kunskapsproduktion till stor del är formad av den kalkylerade logikens föreställningar om relevanta riskobjekt, och att den kalkylerade logiken bör styra utformning av tekniken och hur arbetet bör organiseras, hur människor och maskiner relaterar till varandra (jämför också Perin 2005). Intervjuer och seminariet på SKI visar dock att experter inom industrin har goda kunskaper med ursprung i realtidslogiken och värdet av denna samt insikter om brister i den kalkylerade logikens antaganden, modeller och beräkningar. Det verkar finnas två, sammanflätade, anledningar till att detta inte syns i dokumenten. Kunskapsproduktionen av behovet av att nå tillräcklig visshet för att kunna fatta säkerhetskritiska beslut om bland annat konstruktion av teknik, utbildningar, instruktioner och drift, inte att nå visshet utifrån akademiska krav. Samma sak gäller för kunskapen om organisatoriska processer. Men slutsatser om tillräcklig visshet måste grunda sig på kunskap om och tolkning av tillförlitliga indikatorer, något som troligen kräver forskning. Kanske har alltför lite arbete ägnats åt att utveckla begrepp och teorier för kunskapsproduktionen och att granska dess utgångspunkter och svagheter. Det gäller för kunskaper om realtidslogiken och för mer komplexa organisatoriska processer, exempelvis hur säkerhetskultur och tekniker för organisatorisk styrning fungerar. Även kunskapsproduktionen för att förstå exempelvis olika beroendefel, såsom fel med gemensam orsak, har uppenbarligen brister, kanske för att antaganden, modeller och krav på evidens inte granskats tillräckligt. Kärnkraftsindustrin måste, på grund av de begränsade erfarenheterna av allvarligare tillbud och olyckor, tolka de erfarenheter man har på ett mer djuplodande och bredare sätt. För detta krävs att den kalkylerade logiken och realtidslogiken jämställs i ett partnerskap för kunskapsproduktion (Perin 2005: 211). Realtidslogiken är idag hierarkiskt underordnad den kalkylerade logiken men omfattar kunskap och erfarenheter som kunde användas för att förbättra förståelsen av hur kärnkraftverken fungerar. Meningsskapandet måste vidgas, frågor om betydelsen av enskilda händelser måste utredas och tas på allvar. Det innebär att ta svaga signaler på allvar, att tolka dem på ett rikare sätt och att vidga ramarna för vad som uppfattas som bevis för ett problem (Perin 2005: 238): Even as PRA [Probability Risk Assessment] experts may welcome substantive information for insights about specific conditions or dynamics, their modeling methods will ultimately torture ”information” into metrics… Reduced to shadows of themselves, the meanings – the significance – of the knowledge and practices at issue disappear. Kunskapsproduktionen bör fokuseras på att producera ”täta”, kontextuella och tolkande berättelser istället för ”tunna”, dekontextualiserade. Riskanalysens utgångspunkter, teorier, antaganden, metoder, beräkningar, val av data och tolkningar av dessa måste problematiseras, 23 liksom uppfattningar kring riskobjekt och hur relationer mellan människor och maskiner bör organiseras (Perin 2005: 225). Fokus måste läggas på brister i förståelsen kring hur kärnkraftverk fungerar: Vad betyder händelser och observationer? Vad skulle kunna hända? En mer omfattande studie skulle kunna fokusera på kunskapsproduktionen inför utformning av teknik, utbildningar och instruktioner, med utgångspunkt från händelsen i Forsmark och någon annan signifikant händelse. Projektet skulle kunna ha två olika syften: 1. Att granska hur de olika logikerna arbetar, vilka riskobjekt som identifieras, vilka krav som ställs på tillräcklig visshet och trovärdiga data som bevis på ett problem eller kunskapsanspråk. 2. Att föreslå former för en förbättrad kunskapsproduktion kring säkerhetskritiska funktioner. Det handlar bland annat om att utveckla nya sätt att tolka signaler och kriterier för signifikanta data om problematiska förhållanden, att tolka dem på ett ändamålsenligt sätt. Kunskapsproduktionens former i olika organisationer skulle kunna jämföras: akademisk forskning, intresseorganisationer och myndigheter (IAEA, OECD, WANO, NRC, SKI, Nordel etc.) och i kärnkraftverken. Vilka krav ställs och utifrån vilka kunskaper och vilka kriterier för tillräcklig visshet? Hur kommer man fram till dessa kunskaper? Hur sker kunskapsförmedling mellan dessa organisationer? Hur mottas och tolkas kunskaperna? Hur omsätts den i handling? Intervjuer och seminarium Andersson, Olle, tillförordnad säkerhetschef, Forsmarks Kraftgrupp AB, december 2007. Axelsson, Roger, säkerhetschef på Oskarshamns Kraftgrupp, oktober 2007. Hanberg, Jan, chef, avdelningen för reaktorsäkerhet, Statens Kärnkraftinspektion, december 2007. Karlsson, Björn, professor i energisystem vid Linköpings universitet och ordförande i SKI:s reaktorsäkerhetsnämnd, november 2007. Pihlquist, Klas, säkerhetschef och Maria Hedeklint, chef för Människa-Teknik-Organisation vid Ringhals kärnkraftverk, november 2007. Seminarium på Statens Kärnkraftinspektion, mars 2008: Lars Axelsson, Urban Boström, Per Bystedt, Johan Enkvist, Lars Gunsell, Elena Illina, Tomas Jelinek, Bo Liwång, Ralph Nyman, Per-Olof Sandén. Referenser Andersson, O., 2007, Uppföljning av SKI:s generiska frågeställningar gällande händelsen vid Forsmark 1 den 25 juli 2006, Forsmarks Kraftgrupp, Dokumentnummer FQ-20070370. Axelsson, L., 2007, Granskning av de direktiv/uppdrag som VD för Forsmark har från styrelsen gällande hur säkerheten är prioriterad samt Forsmarks åtgärdsplan avseende ledning och styrning av säkerhetsarbetet, SKI 2006/779, 2007-03-02. Bennemo, L., 2006, Granskning av FKA:s ansökan om återstart av Forsmark 1 och 2 med anledning av händelsen på Forsmark 1 den 25 juli 2006, SKI 2006/779, 2006-09-14. 24 Bergman, P., 1995, Moderna lagarbeten: studier av arbete, teknik och organisation i högteknologisk processindustri, Lund: Arkiv. Bystedt, J. 2007, Internationellt utbyte kring robusta elsystem: Forsmarkshändelsen var inte unik, Nucleus 3/2007: 7-13, Stockholm: Statens Kärnkraftinspektion. Czarniawska, B. 2007 (red) Organisering kring risk och hot, Lund: Studentlitteratur. Alfredson, H., 1987, Tage Danielsson: Texter i Urval av Hans Alfredson, Stockholm: Albert Bonniers Förlag. Eriksson, T., 2006, Sanningen om Forsmark, Fokus, 24 november. Hilgartner, Stephen, 1992, The Social Construction of Risk Objects: Or, How to Pry Open Networks of Risk, i Short, J. F och Clarke, L., (red), Organizations, Uncertainties, and Risk, Boulder, San Fransisco, Oxford: Westview Press. Hollnagel, E., Woods, D, och Leveson, N., (red) 2006, Resilience engineering: concepts and precepts, Aldershot: Ashgate. Hirschhorn, L., 1984, Beyond mechanization: work and technology in a post-industrial age, Cambridge, Massachusetts: MIT Press. Hopkins, A., 2003, Issues for major hazard regulation, Journal of Occupational Health and Safety – Australia and New Zealand, 19: 183-189. Hultman, Martin (2005) Att förstå risker - En översikt av olika kunskapsperspektiv, KBM:s forskningsserie nr 8, Stockholm: Krisberedskapsmyndigheten Idehaag, K., 2007a, Ett år av särskild tillsyn, Kärnsäkert, Stockholm: Statens Kärnkraftinspektion. Idehaag, K., 2007b, Öppen redovisning av SKI:s utredningsrapport ”Översiktlig beskrivning av händelseförlopp och förväntade operatörsingrepp om alla 656-skenor blivit spänningslösa vid störningen den 25 juli 2006 på Forsmark 1”, SKI-utredningsrapport, SKI 2006/779, 2007-02-22, Stockholm: Statens Kärnkraftinspektion. Johansson, G. 2003, Dependency defence and dependency analysis guidance: how to analyse and protect against dependent failures: summary report of the Nordic Working group on Common Cause Failure, Stockholm: Statens Kärnkraftinspektion. La Porte, T. R och Consolini, P. M, 1991, Working in Practice but not in Theory: Theoretical Challenges of ’High-Reliability Organizations’, Journal of Public Administration Research and Theory, 1 (2): 19-48. Metzén, N. , Njurling G. och Lansåker, P., 2006, Forsmark 1 – Störningsanalys – Bortfall 400kV samt utebliven dieselstart i A- och B-sub, Forsmarks Kraftgrupp AB. Mumaw, R. J., Roth E. M., Vicente, K. J., Burns C.M., 2000, There is more to monitoring a nuclear power plant than meets the eye, Human Factors, vol. 42, nummer 1, 36-55. Nixon, R., 1968, Six Crisis, New York: Pyramid Books. OECD, 2000, ICDE Project Report on Collection and Analysis of Common Cause Failures of Emergency Diesel Generators, NEA/CSNI/R(2000)20. Perin, C., 2005, Shouldering risks: The culture of control in the nuclear power industry, Princeton and Oxford: Princeton University Press. Roberts, K. H, red, 1993, New challenges to understanding organizations, MacMillan. Sanne, J. M., 2006, Processtyrning – kritiska säkerhetsfrågor med inriktning på riskhantering, Forskningsrapport nr 21/2006, Stockholm: Statens kärnkraftinspektion. Sanne, J. M. 2008a, Dangerous practices: organizing through bricolage in railway maintenance, ska publiceras i: Hommels, A., Mesman, J. och Bijker, W. B, (red) The Vulnerability of Technological Cultures: New directions in research and governance, kommande. Sanne, J. M. 2008b, Framing risks in a safety-critical and hazardous job: risk-taking as responsibility in railway maintenance, Journal of Risk Research, under tryckning. 25 SKI, 2004, Statens kärnkraftinspektions föreskrifter om säkerhet i kärntekniska anläggningar, SKIFS 2004:1, Stockholm: Statens Kärnkraftinspektion. SKI, 2006, Åtgärdsplan avseende ledning och styrning av säkerhetsarbetet inom Forsmark Kraftgrupp AB samt komplettering av Säkerhetsredovisningar (SAR), Beslut om föreläggande, Stockholm: Statens Kärnkraftinspektion. Summerton, J., 2002, “Talking Diesel”: Negotiating and contesting environmental risks of automobility in Sweden, i Summerton, J. och Berner, B. (red) Constructing Risk and Safety in Technological Practice, London: Routledge Turner, B. och Pidgeon, N. F., 1997, Man-Made disaster: the failure of foresight (reviderad utgåva). Oxford: Butterworth-Heinemann. Vaughan, D., 1996, The Challenger Launch Decision: risky technology, culture, and deviance at NASA, Chicago: University of Chicago Press. Weick, K. E. och Sutcliffe, K. M., 2001, Managing the unexpected: assuring high performance in an age of complexity, San Francisco, California: Jossey-Bass. Wenger, E., 1998, Communities of Practice: Learning, Meaning and Identity, Cambridge: Cambridge University Press 26