Rizoomes

Wanderings

Categorie: Veiligheidskunde (page 1 of 2)

De veiligheid van de zelfrijdende auto

Leestijd: 6 minuten

Koen Hindriks stond dit jaar op het NVVK-congres met een intrigerend verhaal over artificiële intelligentie en veiligheid. Welke fundamentele problemen liggen er op de weg van de zelfrijdende auto? En wat is de huidige status in de ontwikkeling van autonome voertuigen?

Nachtmerrie

Je hebt een nieuwe auto gekocht. Halfautomaat met stuurflippers, virtual cockpit, automatische rijsystemen. Alle instrumenten bedien je via een beeldscherm. Het is even wennen, maar volgens de dealer kun je er zo in en karren maar. Op naar de snelweg, daar is de oprit al. Je geeft vol gas om in te voegen, het toerental stijgt en blijft continu stijgen. 4000, 5000, 6000 toeren, de motor draait steeds harder maar schakelt niet door.

Je begint aan de stuurflippers te duwen en trekken; niets. 7000 toeren, het stinkt naar verbrand rubber en metaal. De virtual cockpit valt uit, het scherm wordt zwart. Tegelijkertijd flikkeren alle waarschuwingslampjes op je dashboard. Achter je toeteren automobilisten, ze seinen met hun lichten. Het is een kakafonie van herrie, hitte, signalen en stank. Dan slaat opeens je stuurwiel in het slot, muurvast. Je ziet de vangrails nog net op je af schieten….

Autonomous driving in Bracelona. Foto van Eshenzweig onder CC 4.0.

Sommige dingen zijn eigenlijk nauwelijks voor te stellen, ook al schrijf je het nog zo realistisch op. Voor veel mensen is het verlies van controle over hun voertuig een nachtmerrie. Die angst wordt steeds realistischer, naarmate auto’s verder uitgerust worden met automatische systemen die de bestuurder ondersteunen of helemaal vervangen. Hoe groot is de kans dat auto’s straks alleen nog maar passagiers hebben en geen bestuurders? En hoe veilig is zo’n zelfrijdende auto?

Artificiële intelligentie

Koen Hindriks is hoogleraar artificiële intelligentie aan de VU in Amsterdam en doet onderzoek naar intelligente robots. Hij heeft grote twijfels bij de haalbaarheid van zelfrijdende auto’s waarbij menselijk ingrijpen niet meer noodzakelijk is. “Onder welke condities is zo’n hoge mate van autonomie mogelijk? Op snelwegen kan al veel, maar in het centrum van Amsterdam niet. De problemen waar een voertuig in die situatie voor komt te staan, kunnen we nog lang niet met softwaresystemen oplossen. Ook niet met behulp van artificiële intelligentie.”

Menselijke interventie tijdens het rijden blijft volgens hem dus noodzakelijk. Dat roept gelijk weer een nieuwe lastige vraag op. “Is de bestuurder nog wel voldoende in staat zijn rijvaardigheid op peil te houden om in te grijpen? Als het computersysteem faalt, waarom zouden mensen het probleem dan wel kunnen oplossen? Zeker als ze geen ervaring meer hebben met autorijden. We moeten dus ook naar deze vaardigheidscomponent kijken.”

Eigenlijk is het een paradox: je ontneemt de mens zijn praktische ervaring door het routine rijden aan autonome systemen over te laten, totdat de artificiele intelligentie het niet meer aan kan. De mens moet het dan opeens beter weten dan een systeem terwijl hij er geen ervaring meer mee heeft.

Neo Cargo. Foto van Giorgi Tedoradze onder CC 4.0

Ongevallen

In 2018 vond er een dodelijk ongeluk plaats met een Tesla die met autopilot reed. De chauffeur kwam daarbij zelf om het leven. Uit de black boxes kon worden afgeleid dat de bestuurder niet had ingegrepen, terwijl het systeem daar wel om vroeg. Het was het tweede dodelijke ongeval met een zelfsturende auto in dat jaar, reden voor de Amerikaanse Safety Board een onderzoek in te stellen. Die legde de oorzaak van het ongeval zowel bij de chauffeur als bij het ontwerp van de Autopilot van Tesla.

Hindriks zegt dat dit soort ongevallen niet meehelpen in het draagvlak voor zelfrijdende auto’s. “En die crash met die Boeings trouwens ook niet”, voegt hij toe. “Het zijn wel heel andere kwesties, maar je ziet toch dat mensen er terughoudend van worden. Zeker nu blijkt dat Boeing er met zijn pet naar gegooid heeft en bewust veiligheidsrisico’s heeft gebagatelliseerd.”

Afbakening

Het sentiment in de auto-industrie is ondertussen ook gaan verschuiven. Tijdens een bijeenkomst van de Detroit Economic Club, begin april 2019, zei directeur Jim Hackett van Ford dat de zelfrijdende auto langer op zich laat wachten dan gedacht. De marketingmachine ging sneller dan de techniek kon bijbenen. Volgens een hoofdonderzoeker van Nissan in Silicon Valley komt het er zelfs helemaal niet meer van: “een autonoom systeem zonder mens erbij is een nutteloos systeem.”

Neo Cargo Dashboard. Foto van Giorgio Tedoradze onder CC 4.0

Ook Uber staakte na een dodelijk ongeval hun zelfrijdende experiment en rijdt nu in een beperkt afgebakend gebied met voertuigen onder toezicht van twee chauffeurs. Volgens Uber is het niet meer de vraag wanneer er autonome voertuigen zijn, maar waar: voor welke gebieden is een voertuig geschikt? En onder welke voorwaarden kan dat gebied dan (langzaam) uitgebreid worden?

Dat is precies de vraag die Hindriks ook stelt: Onder welke condities kan een auto zelfrijdend zijn? “We weten hoe moeilijk dat is met piloten en vliegtuigen, maar met auto’s hebben we gewoon nog te weinig ervaring. We weten het dus niet.”

Vijf vragen over zelfrijdende auto’s

1. Is er een definitie van zelfrijdende auto?

Er is niet één vaste definitie van wat een zelfrijdende auto is. Het hangt er een beetje van af aan wie je het vraagt. Vaak wordt gesproken van autonoom rijdende voertuigen. Een volledig autonoom voertuig is in staat om zelfstandig te sturen, remmen en versnellen onder alle omstandigheden in alle reguliere omgevingen, zoals stad en snelweg, zonder ingreep van een mens. Maar er zijn ook minder autonome systemen, waarbij een menselijke ingreep nog wel noodzakelijk is.

2. Bestaat er een indeling in zelfrijdende systemen?

De mate van autonomie van voertuigen is onderverdeeld in 6 niveaus door de Society of Automotive Engineers (SAE). Van nul tot en met vijf, dus niet van één tot en met zes. Dat is wel eens verwarrend in de praktijk, zes niveaus die eindigen op level vijf. In niveau nul zit geen enkel ondersteunend rijsysteem en niveau 5 is volledig autonoom in alle omstandigheden op alle plekken.

De zes niveaus van autonoom rijden volgens de SAE

3. Zijn er al veel zelfrijdende voertuigen op de weg?

Op dit moment worden auto’s al uitgerust met bijvoorbeeld adaptive cruise control, een typisch niveau-2 systeem. De chauffeur blijft dynamische taken zelf uitvoeren. Denk aan sturen, versnellen en afremmen. Op niveau 3 neemt het voertuig die taken van de bestuurder over in bepaalde gebieden, zoals bij het stationair rijden op snelwegen. Zodra het mis gaat grijpt de chauffeur in. Op niveau 3 is er dus nog een actieve veiligheidsrol voor de bestuurder weg gelegd. Met dit soort voertuigen wordt nu in de praktijk geëxperimenteerd, onder andere door Tesla en Uber.

4. Wanneer is de mens niet meer nodig?

Bij level 4, volgens de indeling van de Society of Automotive Engineers (SAE). Daar voert de auto in sommige gebieden zoals snelwegen alle rijtaken uit. Als de chauffeur wil kan hij het overnemen, maar nodig is het niet. Bij problemen zal het systeem de auto zonder menselijk ingrijpen veilig laten stoppen. De stap van level 3 naar 4 wordt cruciaal in het aanvaarden van de zelfrijdende auto. Daarbij is niet zozeer de technische complexiteit een drempel voor succes, maar vooral de menselijke acceptatie om bij dergelijke vernieuwingen de controle uit handen te geven.

5. Heeft de SAE de ultieme indeling gemaakt?

Nou nee, want een belangrijke vraag is niet beantwoord: als level 4 en 5 systemen zonder mensen kunnen rijden, is er dan ook echt geen interventie meer mogelijk? Dat vraagstuk is met deze technische indeling van de SAE niet opgelost en zal waarschijnlijk ook niet snel duidelijk zijn vanwege alle juridische vragen die spelen over de aansprakelijkheid van autonome voertuigen bij ongevallen.

De Rijksdienst voor het Wegverkeer (RDW) onderzoekt hoe de wetgeving uit 1968 aangepast moet worden om zelfrijdende voertuigen mogelijk te maken. Op dit moment moet een bestuurder een rijbewijs hebben om de weg op te mogen en dat sluit dus level 4 en 5 voertuigen uit van deelname aan het verkeer. Wel mag de RDW een ontheffing verlenen voor experimenten.

Dit artikel verscheen ook in het eerste nummer van NVVK info februari 2020

Twee dingen over de resilience game van RIVM

Leestijd: 5 minuten

In de loop van 2019 heeft het RIVM een resilience game gepresenteerd, die tot doel heeft veilig gedrag te trainen en medewerkers om te leren gaan met onverwachte situaties. Je mag deze game niet zomaar gebruiken. Er hoort een gecertificeerde trainer bij en inderdaad, die trainers moeten dus een examen doen.

Hoegh Osaka op de Bramble Bank

Begin februari was het de beurt aan Ruud Plomp van Artemas en ik was één van zijn zes proefkonijnen. Ruud had het zich niet makkelijk gemaakt. De tafel zat vol professionals uit de veiligheid- en crisiswereld en iedereen weet dat een hok vol experts een tikkende tijdbom is die elk moment kan ontploffen door hoogoplopende meningsverschillen. Helemaal als je vanuit verschillende belangen in een team een casus moet gaan oplossen.

Het team aan de slag met het lichten van een car-carrier

In dit geval een vastgelopen car-carrier voor de kust van Engeland, vlak bij Southampton. Het ding was gestrand op de ‘Bramble Bank’ en aan ons de eer een oplossing te verzinnen. Dat ging eigenlijk best prima, ik zal u daar verder niet mee vervelen. Voor de liefhebbers: het betrof de Hoegh Osaka en op deze wiki kan je er meer over lezen.

Waar ik u ook niet mee ga vervelen is een uitputtende uitleg van de game zelf. Op deze website van het RIVM is er meer over te vinden. Er is ook een evaluatie van het spel uitgevoerd, waar in dit artikel uitvoerig op in wordt gegaan. Ga ik dus niet over doen. Wat ik wel ga doen is een paar ervaringen als deelnemer met u delen. Twee dingen, om precies te zijn.

Tijdsdruk en Onzekerheid

Het eerste ding gaat over de definitie van resilience. Dat blijft toch een lastige kwestie en de manier waarop de RIVM het beschrijft is niet fout, maar roept bij mij toch vragen op.

Het RIVM verdeelt veiligheid in twee hoofdgroepen. In de eerste plaats is er normatieve veiligheid, wat ze op hun website ook wel klassieke veiligheid noemen.

“In de klassieke manier van kijken naar veiligheid, schatten bedrijven risico’s in op basis van fouten en ongevallen uit het verleden. Maatregelen zijn meestal gericht op het beheersen van voorzienbare risico’s. Deze risicoschattingen zijn echter nooit volledig; er is altijd variatie. Bijvoorbeeld in het weer, menselijk gedrag en de kwaliteit van grondstoffen. En soms vallen dingen onverwacht en op een ongelukkige manier samen. Dit pleit ervoor de organisatie zo in te richten dat ook snel en veerkrachtig opgetreden kan worden bij onvoorziene situaties.”

En dat laatste is dus resilience volgens het RIVM. Een andere vorm van veiligheid, als ik het goed begrijp. Beide zijn belangrijk, klassiek en resilient, denk ik dan. Het hangt van de situatie af welk gedrag noodzakelijk is. Maar is resilient dan niet juist dat je ook voor klassieke veiligheid weet te kiezen als het probleem daar om vraagt? Met andere woorden, zit klassiek dan niet in resilient, in plaats van dat het er naast ligt?

Resilient, zo gaat het RIVM verder, is eigenlijk een combinatie van onzekerheid en tijdsdruk. Omdat die variabelen onafhankelijk van elkaar zijn, kun je ze combineren in een kwadrantenmodel. Dan krijg je onderstaand plaatje.

Het resilience kwadrantenmodel van RIVM

Dat ziet er op zichzelf overzichtelijk uit. Ik probeerde het model te gebruiken voor mijn vakgebied, dus wat breder dan veiligheid. Als je de kwadranten vertaalt naar business continuity (disrupties), emergency respons en crisis ontstaat er volgens mij deze indeling.

Crisis vraagt immers om reflectief handelen en emergency respons om direct ingrijpen onder tijdsdruk. Een organisatie is echter pas resilient, naar mijn stelligste overtuiging, als die het complete spectrum van de vier kwadranten weet te managen. Wat het RIVM hier als resilient benoemt zou ik dus eerder als adaptieve veiligheid bestempelen. In die zin zie ik resilient meer als de combinatie van normatief en adaptief inclusief de deskundigheid om ze bij het juiste probleem in te zetten.

Ander dingetje: misschien is er zelfs wel een vijfde kwadrant: de integrale overlap van alle kwadranten, precies in het midden van de assen. Zit daar wellicht het wicked problem, de vervelendste van alle problems? Geen idee of het iets toevoegt aan het model, maar het is één van de dingen, het anderhalfste ding, die mij aan het denken heeft gezet.

Non lineaire ontwikkeling van een incident

Goed, twee dingen zou ik noemen en we hebben er anderhalf gehad. Mijn tweede bevinding betreft de non lineaire ontwikkeling van een incident. Logisch, zegt de goed belezen en erudiete crisisprofessional nu. VUCA, immers. Complexity, misschien wel complexe adaptieve systemen. Wat had je dan gedacht? Ja, wat had ik dan gedacht?

Eerlijk gezegd had ik gedacht dat het managen van een incident altijd zou leiden tot afname van tijdsdruk en onzekerheid indien er zich geen onverwachte gebeurtenissen, escalatiefactoren of complicatiefactoren zouden voordoen. Maar dat is dus niet helemaal waar, zo leerde de RIVM game mij, ervaarde ik.

In de casus worden vijf stappen doorlopen. In dit plaatje zijn ze onder elkaar gezet. Een logische sequentie, hoewel, kniesoor spreekt, het bepalen van de startsituatie de eigenlijke eerste stap is. Het zijn dus zes stappen.

Tijdens het bepalen van het startincident vonden wij als team de onzekerheid en tijdsdruk hoog. Toen in stap één bleek dat de carrier stabiel op een zandbank lag, beoordeelden wij als team de tijdsdruk en onzekerheid als minder hoog. Die namen dus af, precies zoals ik had verwacht.

Maar toen het schip vlot getrokken werd, deed er zich opeens de mogelijkheid voor dat het ding toch zou zinken. Dat het in de vaargeul zou verdwijnen, een milieuramp zou veroorzaken, veel langer onderweg zou zijn dan gedacht, enzovoorts. Zowel de tijdsdruk als de onzekerheid namen vanaf dat moment dus opeens weer toe. Logisch, ja, met hindsight. Verwacht, nee, met foresight. Dat vond ik een mooie learning die ik ’s ochtends niet had kunnen voorspellen.

In die zin voegt de resilience game echt iets toe. Niet om je een rotsvaste definitie van resilience en adaptatie aan te leren. Wel om je een vocabulaire aan te reiken waarmee je je eigen performance en die van je team kunt evalueren en bestuderen. Ik vind het een aanwinst, en dan heb ik nog niet eens verteld over de individuele- en teamkwaliteiten, noch over de mentale valkuilen die ook in het spel zitten. Daar zaten voor mij geen nieuwe leerpunten in, dus dat is niet zo zinvol om hier verder op in te gaan. En Ruud? Ja, die is geslaagd. Dat had ik dan weer wel verwacht.

Over het gelijk van de Onderzoeksraad voor Veiligheid

Leestijd: 6 minuten

“It’s not surprising that before a crisis, there are indications of real deep problems that have their roots in leadership.”

Chesley Sullenberger in de New York Times over Boeing.

De New York Times ontdekte eind januari dat de Onderzoeksraad voor Veiligheid niet alle achterliggende rapporten heeft gepubliceerd bij het onderzoek naar de crash met de Turkish Airlines. Vrijwel direct werd de onafhankelijkheid van de Raad in twijfel getrokken. Is dat terecht?

737 Max

Op 29 oktober 2018 stort een gloednieuwe Boeing 737 Max van Lion Air in zee, vlak na de start op Jakarta. Geen van de 189 inzittenden overleeft de crash. Ruim vier maanden later, op 10 maart 2019, verongelukt de tweede 737 Max bij Addis Ababa, eveneens vlak na de start. Ook daar verliezen alle passagiers en bemanning het leven, 157 in getal. De beer was los.

Na een hele hoop gedoe wordt de luchtwaardigheid van de Boeing uiteindelijk ingetrokken, in afwachting van nader onderzoek. Overal ter wereld blijft de 737 Max aan de grond. Langzaamaan komt de deksel van de put; over de innige verstrengeling van Boeing met zijn toezichthouder FAA, over de manier waarop het toestel is ontworpen, over de veiligheidscultuur bij Boeing, de concurrentie met Airbus. Bij nieuwe testen komen bovendien nieuwe problemen naar voren, waardoor begin 2020 nog steeds geen verklaring van luchtwaardigheid is afgegeven.

Aeromexico B737-MAX (MEX) XA-MAT by ruifo is licensed under CC BY-NC-SA 2.0
Onderzoekers onderzocht

Inmiddels is er een hele stroom aan artikelen verschenen in diverse kranten. Met name de New York Times (NYT) heeft zich vastgebeten in Boeing, en publiceert de ene na de andere onthulling. Onder andere dat leidt tot het ontslag van directeur Muilenburg op 23 december 2019. Tevens zal meegespeeld hebben dat er toch ergens schoon schip gemaakt moet worden om de geloofwaardigheid van Boeing te herstellen. Dat is ook de verwijzing die Sullenberger maakt in zijn quote onder de kop van dit blog. Een typisch geval van vulnerable system syndrom.

Als je eenmaal begint te spitten vind je steeds meer. De NYT is alle ongevallen met een 737 van de afgelopen twintig jaar uit gaan zoeken en stuit daarbij op de crash met de Turkish Airlines in Nederland, van alweer tien jaar geleden. Ze komt met de uitspraak dat de Onderzoeksraad voor Veiligheid (OvV) zijn oordeel over de oorzaak van die crash heeft laten beïnvloeden door Boeing. Daarmee wordt de onafhankelijkheid van de OvV openlijk in twijfel getrokken.

Onafhankelijkheid

De OvV reageert als door een wesp gestoken en gaat direct in het offensief. Ook Pieter van Vollenhoven, de toenmalige voorzitter van de OvV, laat van zich horen. Al de volgende ochtend, op 21 januari, verschijnt een officiële verklaring. Die begint als volgt:

“De Onderzoeksraad voor Veiligheid is strikt onafhankelijk in zijn werk. De Raad oordeelt onafhankelijk over de uitkomsten van de onderzoeken, de inhoud van rapporten en de conclusies en aanbevelingen.

De Amerikaanse autoriteiten en Boeing hebben gereageerd op het conceptrapport, een standaardprocedure in onderzoek. Het commentaar van de partijen en de reactie van de Onderzoeksraad is opgenomen in bijlage B van het eindrapport en daarmee volledig transparant.”

Wie Pieter van Vollenhoven wel eens gesproken heeft kan inderdaad geen andere ervaring hebben dan dat hij volledig onafhankelijk denkt en spreekt. Ikzelf heb hem twee keer ontmoet, tijdens onderzoek waarvoor hij met brandweer Schiphol wilde spreken. Eigenlijk waren dat gesprekken tussen Klaas Makker en hem. Makker was mijn manager in die tijd en het leek hem handig als ik er als inhoudsdeskundige bij zou zitten. Dat nu was totaal overbodig. Makker en van Vollenhoven konden het uitstekend met elkaar vinden en overtraden alle protocollen die door de staf van de Rijksvoorlichtingsdienst waren opgesteld om het gesprek in door hen gewenste banen te leiden.

Ook mijn ervaringen met de Raad op het gebied van onderzoeken waar ik op één of andere manier bij betrokken was, hebben op geen enkele manier twijfels doen ontstaan bij de onafhankelijkheid van de OvV. Ja, je mag reageren op hun bevindingen, maar dat is regulier ‘hoor en wederhoor’. Dat is volledig normaal bij het opstellen van een rapport en mij is gebleken dat de Onderzoeksraad daar zeer zorgvuldig mee omgaat. Bij mij dus geen twijfels over hun onafhankelijkheid.

Gelijk

Maar heeft de OvV dan ook gelijk in hun conclusies? Dat is een hele andere kwestie en eerlijk gezegd heb ik daar wel een wenkbrauw bij opgetrokken. Want wat blijkt: een achtergrondstudie van Sidney Dekker is in 2009 niet openbaar gemaakt en dat was de NYT niet onopgemerkt gebleven. Ook daar heeft de Onderzoeksraad op gereageerd:

“Het technische rapport van prof. Dekker is door de Onderzoeksraad verwerkt om het eindrapport te onderbouwen. Destijds was het echter niet het gebruik om onderliggende onderzoeken te publiceren. De huidige praktijk is anders, inmiddels publiceert de Raad zoveel mogelijk bij het uitbrengen van een rapport. Gezien deze huidige werkwijze heeft de Onderzoeksraad besloten om het rapport van prof. Dekker vandaag te publiceren.”

In mijn ogen is vandaag ruim tien jaar te laat. Als Sidney Dekker wat zegt over veiligheid, dan luister je. Dekker heeft altijd argumenten die houtsnijden, en ook al ben je het er niet mee eens of trek je andere conclusies, dan nog doet het oordeel van Dekker ertoe. Die leg je niet zomaar in een kluis, die weeg je mee in je besluitvorming en je maakt duidelijk op welke wijze het is meegewogen. Dat is transparantie en die is noodzakelijk om in complexe situaties als een vliegtuigcrash alle kanten van het dilemma te kunnen beschouwen en af te leiden of de Onderzoeksraad in voorliggende kwestie gelijk heeft.

Escalatiefactor

Het Algemeen Dagblad publiceert op 21 januari 2020 vervolgens een interview met Dekker die dit probleem nog eens extra onder de aandacht brengt:

“De projectleider van de OVV heeft me een half jaar lang verteld dat mijn rapport, dat 130 pagina’s dik was, als appendix bij het onderzoek gevoegd zou worden. Maar daarna verstomde het gesprek. Er is bij elkaar denk ik één pagina van mijn bevindingen in het rapport terechtgekomen, een vrij onschuldige pagina bovendien. Ik heb het met teleurstelling zien gebeuren. Ik weet nog goed dat een journalist tijdens de presentatie van het rapport aan OVV-voorzitter Pieter van Vollenhoven vroeg waarom de piloten het snelheidsverlies niet goed hadden ingeschat. Dat weten we niet, zei hij, terwijl het antwoord letterlijk in mijn rapport stond. Toen brak wel een beetje mijn klomp.”

Het interview met Dekker werkt als een escalatiefactor op het gelijk van de OvV. Hoe kun je nu nog een oordeel vellen als geïnformeerde lezer over het rapport, als je niet weet welke andere onderzoeken er ook nog achter hebben gelegen? Dat gaat natuurlijk niet alleen over dit onderzoek naar de Turkish crash, maar over alle onderzoeken van de OvV. Wat was hun achtergrondinformatie? Op welke manier zijn ze tot hun conclusie gekomen? Welke studies zijn er verricht? Allemaal van belang om als lezer ook zelf een oordeel te kunnen vellen. De OvV zegt dat ze tegenwoordig zoveel mogelijk publiceert bij een onderzoeksrapport. Is dat dus niet alles? Wat blijft er dan achter? Wat publiceren ze niet?  Of publiceren ze wel alles en bedoelen ze met deze zinsnede dat ze altijd zoveel onderzoeken als mogelijk publiceren? Het wordt niet helemaal duidelijk.

Wetenschappelijk

Daarom hierbij mijn conclusie. Niet over de crash met de Turkish, maar over het gelijk van de Raad. Ik denk dat niemand zit te wachten op paternalistische rapporten van een clubje geleerden die hun alwetend oordeel over een muurtje in de arena gooien. Iedere risicoprofessional weet dat in de complexiteit van moderne ongevallen vaak geen rootcause is aan te wijzen, dat er tegenstrijdige informatie is, dat er dilemma’s liggen, er onzekerheid is, onduidelijkheid. En toch is er behoefte aan een oordeel, een deskundig oordeel.

Juist daarom zou het mooi zijn als de OvV alle info die hen tijdens onderzoeken ter beschikking is gekomen publiceert en dat ze uitlegt hoe het proces van afweging en oordeelsvorming verlopen is. Dat maakt de Raad volledig geloofwaardig, omdat je dan hun manier van denken kunt volgen en je je eigen deskundigheid ernaast kunt leggen. Iedereen wordt op die manier serieus genomen en dat verhoogt het gelijk van de Raad. In die zin is het vrijwel hetzelfde als wetenschappelijk onderzoek. Met een andere analyse volgen er misschien andere aanbevelingen, maar de onderliggende data blijven hetzelfde.

Juist die verschillende invalshoeken vormen de motor achter leren en vooruitgang, waar onderzoeken met een zogenaamde ‘ultieme uitkomst’ alles doodslaan. Het zou mooi zijn als de discussie die nu door Sidney Dekker en de NYT is aangeslingerd zo’n uitwerking zou krijgen en de OvV zijn manier van werken eens grondig zou evalueren en moderniseren. Goed voor het gelijk van de Raad en daardoor goed voor de veiligheid in Nederland.

Carthago clausule

Overigens ben ik van mening dat het gelijk van de Raad er ook bij is gediend als de voorzitter niet bij elke Brexit scheet in De Wereld Draait Door verschijnt zonder iets over veiligheid te zeggen.

De helikopters van de Kustwacht

Leestijd: 6 minuten

Dit verhaal over de helikopters van de Kustwacht is het eerste vervolg op het blog over fundamental risk. Het is de bedoeling om dit jaar aan de hand van verschillende voorbeelden het concept van fundamental risk verder inhoud te geven. Geen idee waar dat precies gaat eindigen, maar daar komen we al wanderend vanzelf achter.

Het gaat mij daarbij overigens niet om het volledig analyseren van de aangedragen cases zelf of om het wijzen naar mensen of partijen. Veel meer is het de bedoeling om elementen uit praktijksituaties te abstraheren naar rode draden die behulpzaam kunnen zijn bij het begrijpen van fundamental risk. Want die ontstaan namelijk niet alleen door grote ego’s, zoals dit blog zal aantonen.

De helikopters van de kustwacht

Deze casus gaat over het wel en wee van de search and rescue (SAR) helikopters van de Kustwacht. Die kwestie wordt al sinds 2015 door het NRC gevolgd. Begin januari 2019 waren er nieuwe bevindingen over de (on)veiligheid van de toestellen in de praktijk, blijkend uit een rapport van drie veiligheidskundigen waar het NRC de hand op had weten te leggen. De feiten zijn niet mals, maar het verhaal erachter is eigenlijk interessanter. Welke factoren veroorzaken deze situatie nou eigenlijk, want ik kan me niet voorstellen dat er ook maar iemand is die dit expres laat ontstaan.

Photo by  Zach Lezniewicz Helikopters van de kustwacht
Photo by Zach Lezniewicz

Toen ik de berichtgeving over de helikopters van de kustwacht las, kwam direct de gedachte in mij op dat dit mogelijk een goed exemplaar is van een fundamental risk. De moeite waard dus om er een kleine analyse op los te laten. Overigens heb ik met deze casus in mijn werk geen bemoeienis gehad, ik maakte er pas kennis mee via de krant. Via deze twee onderstaande links kan je de berichtgeving uit het NRC lezen, ik ga de feiten hier niet herhalen.

Kustwachthelikopters: redden met gebreken.

Mensen redden mag niet te duur worden

Het probleem van aanbesteden

Mijns inziens ligt de basisoorzaak van het fundamental risk in deze casus bij het aanbestedingsproces. Het kernprobleem van aanbesteden wordt veroorzaakt door schurende kennisdomeinen.

In de eerste plaats is daar het kennisdomein van de functionele eisen. Rationeel en feitelijk. Functionele eisen zijn hard, zwart wit, transparant, meetbaar en controleerbaar. Anders kun je de verschillende aanbiedingen niet meten en dus niet met elkaar vergelijken. In de functionele wereld lijkt alles maakbaar en haalbaar, en dat ook nog eens voor de beste prijs. Het is te omschrijven als ‘know-that’.

Het tweede kennisdomein is die van de gebruiker. Die wereld is een stuk minder duidelijk en voorspelbaar. In de praktijk doen zich allerlei onverwachte en moeilijke situaties voor, die je toch moet zien op te lossen met de middelen die verkregen zijn via de functionele aanbesteding. Niet zelden moet materieel en materiaal ingezet worden in omstandigheden die niet voorzien waren in het functioneel PvE (programma van eisen). Hoe gaat het spul zich dan houden?

Tacit knowledge

Daar komt bij dat veel kennis van gebruikers slechts moeizaam te expliciteren is naar functionele eisen en dus ook moeilijk over te dragen is aan anderen. Het is zachte kennis, ervaringskennis, veelal aangeduid als tacit knowledge. Hoe maak je een PvE van zwemmen? Of van fietsen? Van muziek maken? Van een helikopterredding bij windkracht zes in het donker boven zee? Ervaringskennis wordt dan ook opgedaan door de kunst af te kijken in de praktijk of in oefeningen, al dan niet onder leiding van een mentor. Dat is wat we ‘know-how’ noemen.

Het verschil tussen know-that en know-how legt de kiem voor een fundamental risk bij aanbesteden als je het niet goed regelt. Want dan gaat je aanbesteding niet alleen mis bij helikopters, maar ook bij ander materiaal, materieel of diensten.

Hoe maak je een PvE van zwemmen Helikopters van de kustwacht
Hoe maak je een PvE van zwemmen?

Waaier aan problemen

Het onderzoek naar het functioneren van de helikopters door te gaan kijken hoe er mee wordt gewerkt in de praktijk doet recht aan de tacit knowledge van de gebruikers. Niet oordelen hoe het moet, maar observeren hoe het gaat. Dat levert een waaier aan problemen op. Het NRC noteert: “De ruimte aan boord van de Kustwachthelikopters is „zeer beperkt”. Per vlucht moeten twee vliegers, een zwemmer, de verpleegkundige en een hoist operator, die mensen aan een touw omhoog en omlaag hijst, mee. Met een brancard met slachtoffer erbij is er in de cabine „zeer weinig ruimte om te manoeuvreren rondom de patiënt”. Sterker nog: „Het is fysiek bijna onmogelijk om de tas met medische middelen te openen”.

En verder: “Zekering van de medic aan boord is niet altijd gegarandeerd. Onder bepaalde omstandigheden moet de medic op de vloer van de helikopter zitten zonder zekering.” Ook de brancard kan niet gezekerd worden. Andere medische apparaten, zoals de hartmonitor, hangen in de weg: “Een monitor wordt met musketonhaken opgehangen zodanig dat de nooduitgang wordt geblokkeerd.”

Het artikel beschrijft verder nog problemen met de taalvaardigheid van de helikopterbemanning, de lengte van hun dienstroosters, verschillen in verantwoordelijkheid en aansprakelijkheid tijdens ‘koude operatie’ (zoals oefenen) in vergelijking met warme operatie (redding) en het ontbreken van persoonlijke beschermingsmiddelen. Mijns inziens allemaal problemen die voortkomen uit de schurende kennisdomeinen.

Escalatiefactoren

Daarnaast zijn er een aantal escalatiefactoren die het probleem van de schurende kennisdomeinen verergeren. Zonder compleet te willen zijn noem ik er hier vier, het gaat om het principe van probleemvergroters. Want dat is wat escalatiefactoren zijn.

Niet voldaan aan PvE bij aflevering

Het NRC schrijft dat de helikopters bij aflevering niet volledig aan het PvE voldeden maar wel in gebruik zijn genomen. Dat betekent dat het gat tussen know-that en know how nog groter is geworden.

Nichekennis

De SAR-unit is een kleine taak in de periferie van de Kustwacht en Rijkswaterstaat. Daardoor is de kennis erover niet dik gezaaid, een fundamenteel probleem van alle nichekennis in organisaties. Daar is niet heel veel aan te doen, maar je moet het wel weten en er op één of andere manier voor compenseren

Verantwoordelijkheid ligt tussen veel partijen

Per definitie zijn er bij aanbestedingsprocessen meerdere partijen betrokken. In deze casus wel heel erg veel en ook nog eens verdeeld over meerdere landen. Alles wat je opsplitst moet je ergens weer integreren, anders raak je het overzicht kwijt.

Vulnerable System Syndrome (VSS)

James Reason beschreef het VSS als een combinatie van blame, denial en the blinkering pursuit of the wrong goals. Ik maakte er ooit dit blog over. In deze kwestie zie je dat in meer of mindere mate terugkomen: een aanbesteding die vooral op prijs lijkt gegund, ontkenning van problemen door bewindslieden en het verschuiven van ellende naar medewerkers zelf na ongevallen met letsel.

Tegenspraak in organisaties
Tegenspraak is van groot belang om een VSS te voorkomen

Conclusie

“Fundamental risk ontstaat doordat het juiste zicht op de werkelijkheid verdwenen is bij de besluitvormers”, zo schreef ik in het eerste blog. “Soms komt dat door psychologische factoren en hebben mensen zo’n groot ego gekregen dat ze denken dat de wereld om hen draait, maar meestal komt het door het systeem.”

Mijn conclusie is dat het in deze casus vooral om het systeem draait. Het is de vraag of de besluitvormers in deze complexiteit van aanbesteding en escalatiefactoren het totaaloverzicht (kunnen) hebben om hun handelen op te baseren.

Het ontbreken van dat totaaloverzicht is het risico, maar wat het fundamenteel maakt is als men niet beseft dat het totaaloverzicht ontbreekt.

De veiligheidsrisico’s op zichzelf zijn situationeel en uiteindelijk wel oplosbaar. Maar die fundamentele kwestie dus niet. Daar dringen zich de Endsley levels op, de drie niveau’s van zien, begrijpen en voorspellen. Fundamental risk is dan dat je niveau 1 nog niet eens haalt. Eigenlijk is het onbewust onbekwaam op organisatieniveau, Endsley level nul. Fundamenteler kun je een probleem niet gauw hebben. Hoe weet je wat je niet weet?

Endsley Levels
Endsley Levels geillustreerd door Wendy Kiel

Een schone taak voor de veiligheidskunde om die onbekwaamheid te verlichten, zo schreef ik in het eerste blog, want we hebben het niet over unknown unknowns. Er is dus wat aan te doen. Met dit tweede blog hoop ik daar een minieme invulling aan gegeven te hebben.

Vooral doorgaan

Leestijd: 3 minuten
29 september 2019

Soms zijn veiligheidsrisico’s hetzelfde als continuïteitsrisico’s, maar soms ook niet. Het verschil zit in de kleine dingen, betoogde ik op een bijeenkomst van de Gezamenlijke Brandweer. Maar let goed op, want kleine dingen worden zomaar groot.

‘Vooral doorgaan’ was de gevleugelde uitdrukking van jurylid Barrie Stevens bij de Soundmixshow, als hij de net niet winnende deelnemers wilde aansporen om te blijven werken aan hun succes. “Commentaar van een ander mag nooit je dromen wegnemen”, zo verklaarde hij later. Een mooi gegeven, dat ik ‘de wet van Barrie’ ben gaan noemen.

het nut van kleine dingen

‘Vooral doorgaan’ was daarom ook de titel van mijn lezing op een bijeenkomst van de Gezamenlijke Brandweer (GB) op 3 juli 2019. De GB is een publiek private samenwerking van de stad Rotterdam met 65 bedrijven uit het havengebied. Het specialisme is industriële brandbestrijding, maar ze doen ook dingen als het blussen van brand op schepen en het redden van hoogte. Grote dingen dus, met de hoofdletter V van veiligheid. Ik hield daar echter een pleidooi voor de kleine dingen, vanuit het oogpunt van business continuity. Dat is trouwens geen vraagstuk van of het één of het ander, je moet het allebei hebben. Naast het grote, het kleine.

Waarom is het kleine zo belangrijk? Omdat het zo maar groot kan worden. Continuiteit gaat over de productie van alledag en speelt in die zin een belangrijke rol in de concurrentie met andere bedrijven. Hoe sneller je weer op de been bent na een storing, hoe betrouwbaarder je bent en hoe beter de klant je zal weten te vinden. De focus moet daarbij niet eens zozeer op het nu liggen, maar op pakweg over tien jaar. Hoe zien de concurrentieverhoudingen er dan uit, en wat moet je nu al op de rit gaan zetten om er over tien jaar goed voor te staan?

veilig voortzetten

Om dit soort vragen te beantwoorden hanteer ik twee principes die richting geven aan mogelijke oplossingen. De eerste is veilig voortzetten, de belangrijkste driver achter mijn denken in business continuity. Niet streven naar voorzieningen die helpen met afbouwen, maar naar voorzieningen die ‘vooral doorgaan’ ondersteunen. Hoeveel redundantie in systemen heb je nodig? Hoeveel noodstroom en van welke kwaliteit? Welke leveranciers zijn cruciaal? Wat zijn de single points of failure? Dat soort vragen.

De nieuwe autospuit van de Gezamenlijke Brandweer had zich op 3 juli fotogeniek voor het stadhuis van Rotterdam geposteerd.
kleine incidenten klein houden

Het tweede principe is kleine incidenten klein houden. Beheersing van kleine incidenten is een vorm van operational excellence dat veel eist van bedrijven op het gebied van soft skills. Het moeilijkste is de verandering van een reactieve organisatie naar een proactieve. Proactiviteit vraagt om een harde respons op weak signals. Het vraagt om grondige kennis van bedrijfsprocessen, kennis die uitstijgt boven wat normaliter voor functies noodzakelijk is. Zie het maar als een vorm van deskundigheidsredundantie. En het vraagt om een adequate beslissingsbevoegdheid op de werkvloer, met een just culture waarin niet op schuldigen wordt gejaagd.

Beide principes heb je niet zomaar voor elkaar, het is een lange weg om te gaan. Er zullen successen zijn en tegenslagen. Stappen vooruit en achteruit. Tot je op enig moment door hebt dat je er nooit zult komen, maar wel altijd op de goede weg kunt zijn. Zo lang je die wet van Barrie maar niet vergeet: ‘vooral doorgaan’.

Dit is de tweede column die ik schreef voor het verenigingsblad van de NVVK, de Nederlandse Vereniging voor Veiligheidskunde. De eerste vind je hier: de veiligheidsbril van Ed

De Veiligheidsbril van Ed

Leestijd: 2 minuten
25 mei 2019
De veiligheidsbril van Ed is een column die ik voor de NVVK Info schrijf, het vakblad voor veiligheidsprofessionals. Dit is de eerste: de vanzelfsprekendheid van alledag.

Ik denk dat ik voor het eerst bewust met veiligheid werd geconfronteerd tijdens mijn studie organisatiepsychologie. Weliswaar had mijn moeder mij daarvoor al meermaals op het hart gedrukt voorzichtig te zijn, maar dat zag ik meer als een afscheidsgroet dan een aansporing om het eens extra veilig aan te doen. Ik deed indertijd een onderzoek naar kwaliteit van de arbeid bij automatisering in de zuivel en mijn studiebegeleider zei dat ik maar eens in de Arbowet moest kijken. Daarvan was de eerste tranche net in werking getreden. Misschien dat er wat aanknopingspunten in zouden staan.

En inderdaad, daar kwam van alles naar boven over veiligheid, gezondheid en welzijn op het werk. Vooral door het veiligheidsdeel was ik gefascineerd. Helaas kon ik er niet zo veel mee voor mijn afstudeeronderzoek. Dat ging meer over welzijn, zo concludeerde ik. Met mijn veiligheidsbril van nu op, denk ik dat het toch ook over veiligheid ging. Organisatorische veiligheid, weliswaar, maar ook dat is veiligheid. Je moet alleen goed kijken voor je het ziet.

Toen ik enkele jaren later bij de brandweer ging werken, het was inmiddels 1991, kwam ik in aanraking met wat ik in die tijd als echte veiligheid zag: brandbestrijding, technische hulpverlening en ongevalsbestrijding gevaarlijke stoffen. Het waren enerverende jaren daar in Amsterdam. Tot die dag in april 1995, toen drie collega’s uit mijn Sectie hun leven verloren bij een inzet aan de Motorkade. Daar leerde ik over de zwarte rand van veiligheid, die ze op de Brandweeracademie hadden vergeten te vertellen. Met mijn veiligheidsbril van nu op, weet ik dat veiligheid meer is dan een RIE en een veiligheidsmanagementsysteem. Het gaat ook over hoe je er met je collega’s weer bovenop komt nadat het zo mis ging, dat je niet ontkent hoe het zo ver kon komen en dat je ook niemand de schuld ervan geeft. Want je moet wel door met zijn allen, maar dat moet je eerst zien voor je het kan doen.

Helaas was de Motorkade niet het laatste fatale ongeval waar ik mee te maken kreeg. Via het Begrafenis Bijstandsteam raakte ik betrokken bij onder andere de Vuurwerkramp en de Koningskerkbrand in Haarlem. En als Lector Brandweerkunde deed ik onderzoek naar de rampzalige brand in De Punt. De rode draad in al die ongevallen is dat het niet zozeer de harde veiligheid is die er aan ten grondslag lag, maar vooral het onbewuste web van aannames en gewoontes die iedereen standaard met zich mee draagt. Het is de vanzelfsprekendheid van alledag die ons veiligheid en onveiligheid brengt en die je pas ziet als je weet waar je moet kijken. Graag neem ik je mee in een serie verhalen over mijn blik op ons mooie vak door de veiligheidsbril van Ed.

Het vakmensen frame van Pier Eringa zet veiligheid voorop

Leestijd: 3 minuten
Ed Oomes, 3 april 2019

Op 22 januari stond er tijdens de avondspits een gigantische file op de Nederlandse snelwegen van maar liefst 2287 kilometer. Sneeuw was er de oorzaak van dat het toch al overbelaste wegennet kapseisde en zieltogend vastliep. Maar bij de spoorwegen liep het anders. Weliswaar zaten de treinen stampvol, want ze reden minder frequent, maar er viel er geen eentje uit. En ze waren nog langer ook.

“Dat kwam door een besluit van de vakmensen”, zei Pier Eringa, de baas van ProRail, ’s avonds trots bij Jinek op TV. “Daar is geen bestuurder aan te pas gekomen.” Jinek deed er wat sceptisch over, maar kreeg geen poot aan de grond in een verder technisch gesprek over stuifsneeuw, plaksneeuw en capaciteitsgrenzen. Ze probeerde nog één keer een wak te slaan in het betoog van Eringa, maar gaf het op toen hij verzuchtte: “Net nu het goed gaat, vraagt u wanneer het mis gaat.”

Pier Eringa bij Jinek op TV

Het vakmensen frame van Eringa is iets van de laatste tijd. Hij legt lastige besluiten en goede prestaties uit aan de hand van adviezen voor en door vakmensen.

Lastig besluit: de groei van het treinverkeer gaat sneller dan gedacht, dus we moeten grote investeringen tien jaar naar voren trekken. Eringa: “Onze vakmensen zijn tot de conclusie gekomen dat het sneller kan – en ook moet – dan we dachten. Tot 2030 kunnen we nog meer treinen laten rijden en kan de groei met relatief kleine aanpassingen opgevangen worden. Na 2030 is die rek er echter wel uit.”

Benodigde innovaties op het spoor na 2030. Bedacht door vakmensen, zei Pier Eringa.

Goede prestatie: de busbrug over het spoor bij Zwolle is 9 februari opgeleverd aan de gemeente. “Vakmensen lasten het geheel met precisie aan elkaar tot een stalen brug uit één stuk met een lengte van 110 meter.”

De nieuwe busbrug bij Zwolle. Foto van ProRail

Het is duidelijk, met zulke vakmensen kan ProRail niet meer stuk. Jammer dat ze eerdaags een zelfstandig bestuursorgaan moeten worden aan de leiband van het ministerie van I&W, want daar werken nu juist geen vakmensen, sijpelt er tussen de woorden van de ProRail baas door. Die praten te veel en doen te weinig. Ze wachten bijvoorbeeld veel te lang met het opheffen van onbeveiligde spoorwegovergangen. Dus begon Eringa zelf betonblokken te plaatsen. Hij wilde niet langer de verantwoordelijkheid dragen van de te grote risico’s.

Het is een mooi frame, het vakmensen frame. Het roept beelden op van logische besluiten, gebaseerd op feiten. Door mensen die hun vak verstaan en wars zijn van politieke spelletjes. Die gaan over technologie waar wij als leken geen verstand van hebben. Die veiligheid nog voorop zetten. En die niet moeten worden gedwarsboomd door politiek en bestuur.

Om zijn mening over het belang van vakmensen kracht bij te zetten besloot Eringa de eer aan zichzelf te houden en niet op te gaan voor een nieuwe termijn als directeur. ‘Als ze van ProRail een ministeriële beleidsafdeling willen maken, doen ze het maar zonder mij’, zal hij gedacht hebben. Het zette zijn vakmensen frame nog meer kracht bij.


Elk ongeval heeft zijn eigen verhaal, je moet het alleen nog zien te vinden.

Leestijd: 5 minuten

De afgelopen 25 jaar ben ik bij nogal wat ongevalsonderzoeken betrokken geweest, in verschillende rollen: van onderzoeker tot onderzochte en van alles daartussenin en omheen. In mijn personal canon zie je er al het één en ander van terug, maar voor het eerste Firefighter Mayday Symposium van 22 september 2018 heb ik expliciet mijn ervaringen eens op een rijtje gezet. Wat is daar de rode draad uit? Dat elk ongeval zijn eigen verhaal heeft.

Er werd druk getwitterd tijdens het symposium; Rizoomes voor het bord.

Focus ligt op de eigen organisatie

Laat ik beginnen met het benoemen van mijn focus: die ligt op de eigen organisatie. Wat kan je zelf leren van een incident en hoe kan een organisatie zich daardoor verbeteren? Natuurlijk zijn er ook allerlei andere instanties en bedrijven die iets kunnen doen met hetzelfde incident, tot op nationaal niveau soms, maar ik heb gemerkt dat je daar doorgaans weinig tot niets van leert. Of het moet zijn wat je vooral niet moet doen.

Wees daarbij wel bewust van je omgeving. Soms ben je namelijk part of the problem, of je dat nu wilt of niet. Gooi dan heel gauw de naïviteit van de objectieve waarheidsvinding overboord en houd het zwarte schaap op afstand. Besef dat een onderzoek om vertrouwen te herstellen of om duidelijkheid te scheppen niet per se hetzelfde is als leren. Sterker nog, toenemende juridisering leidt er juist toe dat er minder geleerd wordt omdat mensen bang zijn om de schuld te krijgen.

Leren gaat over de double loop, niet over nieuwe dingen kopen

Als je echt iets wilt leren moet het over onderliggende assumpties en werkmethodieken van een organisatie gaan. Waarom doen we de dingen zoals we ze doen? Zijn die oude aannames misschien aan herziening toe? Om deze vragen goed te beantwoorden is het belangrijk om vooral naar overeenkomsten tussen ongevallen te zoeken, niet zozeer naar verschillen. Uitzonderingen zijn er namelijk altijd, maar verklaren zelden iets over onderliggende structuren. In dit blog over veiligheid en exemplarisch leren ga ik er uitgebreid op in.

Ongevalsonderzoek moet al onderdeel zijn van een lerende organisatie (of het worden)

Je kunt alleen leren van een incident als je organisatie al in beweging is, richting heeft. Richting is namelijk een hypothese en een voorval is een test van die hypothese. Elke gebeurtenis, of het nu een goede of een slechte is, heeft slechts betekenis in het licht van die ingezette koers en moet ook vanuit die optiek geëvalueerd worden. Zonder context krijgen aanbevelingen geen inhoud en vallen dood neer nadat ze afgevinkt zijn. Ze vinden dan geen connectie met de bestaande organisatie. De lijst afwerken is in dat geval een doel op zich geworden, maar er zal weinig van geleerd worden.

Als je het goed aanpakt, kom je als organisatie zelfs sterker uit een ongeval dan dat je ervoor was.

Pure antifragiliteit zoals Taleb het bedoeld heeft.

Gebruik een ongeval dan ook om te kijken hoe het de richting van je organisatie kan versterken en zie een ongeval niet als een op zichzelf staande gebeurtenis, maar als één in een rij. Elk incident is een fase tussen ongevallen uit het verleden en de gebeurtenissen die in de toekomst nog gaan plaatsvinden. Zorg er dan wel voor dat je beter faalt dan ooit. Ook je ongevallen moeten beter worden, zou Beckett zeggen.

The window of opportunity staat maar heel kort open.

Elk ongeval leidt tot energie in organisaties. Het begint vaak met rouw, ongeloof, negativiteit zelfs. Maar dat is niet erg, zo lang je de energie die erachter zit maar ziet, en die aanpakt om je organisatie in beweging te krijgen. Het aanknopingspunt daarvoor is simpel: een ongeval met verlies is zwaar, en soms moeilijk te verteren, maar je moet het er niet bij laten zitten. Want als die ellende door in actie te komen iets goeds kan opleveren, heb je toch wat bereikt. Als je daarentegen niets doet en vervalt in zelfbeklag en lethargie heb je én het verlies én een rotgevoel. Daar schiet niemand wat mee op.

Essentieel is dat je vervolgens met de mensen een onderzoek opstart, niet over de mensen. Ga samen op reis, uitzoeken wat en waarom er is gebeurd, in alle openheid en transparantie. Eén van de redenen waarom er te weinig uit ongevalsonderzoek wordt geleerd is omdat het rapport belangrijker wordt gevonden dan het proces en dat het rapport door experts gemaakt moet zijn. Die vervolgens een wijs oordeel vellen zonder op het draagvlak te letten. Goed idee misschien om maatschappelijke onrust en politiek juridische rimpels glad te strijken. Slecht idee om iets in je organisatie veranderd te krijgen, of het moet zijn dat de baas ontslagen wordt. Dan verandert er natuurlijk wel wat.

Huur daarom geen experts in om een wijs oordeel te vellen, maar om het leerproces te begeleiden.

Zorg ervoor dat je niet te lang wacht om te beginnen. Het momentum verdwijnt snel en dan krijg je niet zo veel meer voor elkaar. En dat zou zonde zijn. Vergeet niet dat leren een werkwoord is; actie dus.

Er is geen waarheid, maar wat je zegt moet wel waar zijn

Ooit was ik ervan overtuigd dat een ongevalsonderzoek voor waarheidsvinding was bedoeld en dat je alles op alles moest zetten om die boven tafel te krijgen. Inmiddels weet ik dat de waarheid een olifant is die door blinde wetenschappers wordt onderzocht. Beter dan de waarheid zoeken is het zoeken naar nut: hoe kan ik dit incident gebruiken om de organisatie te verbeteren? Wat je daarover schrijft en beweert moet vervolgens wel weer waar en verifieerbaar zijn; het gaat niet om je mening.

Hou daarbij kleine spelregels in het oog; probeer niet compleet te zijn maar wel van belang. Zoek een methode die past bij je probleem, en prop je probleem niet in een standaard methodiek: No size fits all. Je hoeft niet alles in één keer te leren, er zullen nieuwe voorvallen zijn voor de rest. Beperk je in het aantal aanbevelingen, zorg dat mensen zin hebben om er mee aan de slag te gaan. En schrijf je rapport als een verhaal, met echte mensen erin. Leren mag namelijk best leuk zijn, ook als de aanleiding vervelend is geweest. Misschien moet het juist daarom wel extra leuk zijn.

Visual Note van Wendy Kiel. Zie haar website voor meer tekenwerk

De vijf principes van de high reliability organisatie

Leestijd: 5 minuten

Dit blog gaat over de uitgangspunten van een high reliability organization (HRO) en is gebaseerd op het werk van Weick en Sutcliff. Vliegdekschepen worden gezien als een klassieke HRO. Vandaar de twee afbeeldingen van zogenaamde Flightdeck Shooters. Maar het bereik van HRO’s is tegenwoordig veel groter. Alle organisaties met een hoog risicoprofiel hebben baat bij de principes van een HRO. Een introductie.

Hoog risicoprofiel

Organisaties die actief zijn in situaties met een hoog risicoprofiel moeten betrouwbaar zijn, voor hun omgeving, hun medewerkers en hun klanten. En voor zichzelf. Je kan dan bijvoorbeeld denken aan chemische industrie en kerncentrales, de usual suspects, maar wat mij betreft gaat risico verder dan veiligheid.

Andere voorbeelden liggen meer op het vlak continuïteitsrisico’s, zoals falend betalingsverkeer, uitval van nutsvoorzieningen of tekortschietend crowdmanagement in drukke openbare gebieden. Ook bedrijven die in zeer volatiele omgevingen functioneren met grote afbreukrisico’s, zoals beleggingsfirma’s, kunnen gebaat zijn bij een HRO.

Compliance en continuïteit

Wat een hoog risicoprofiel is bepaal je als bedrijf dus zelf, behoudens natuurlijk wettelijke voorschriften. Maar daar gaat dit blog niet over, compliance aan wet- en regelgeving. Want dat zijn immers voorzienbare risico’s, anders was er geen regeltje voor.

Waar ik het nu over wil hebben is hoe je als organisatie moet omgaan met onverwachte gebeurtenissen. Dus niet wat je moet doen, maar wat je zou moeten willen doen, als je de continuïteit van je organisatie serieus neemt.

Compliancemanagement is doen wat je moet, continuïteitsmanagement is doen wat je zou moeten willen.

A flight deck shooter aboard the aircraft carrier USS Harry S. Truman (CVN 75) signals for the launching of an F/A-18C Hornet assigned to the Checkerboards of Marine Fighter Attack Squadron (VMFA) 312. (U.S. Navy photo by Mass Communication Specialist Seaman Apprentice Tyler Caswell/Released)
VUCA en HRO

Wat zou je moeten willen doen als organisatie met een hoog risicoprofiel die naar betrouwbaarheid streeft? Naar een High Reliability Organization (HRO) dus. Een organisatie die niet faalt met grote consequenties tot gevolg en die bereikt wat de bedoeling is. Dat is lang niet altijd makkelijk. Eerder schreef ik al over de risico’s van de toekomst onder de noemer VUCA: Volatile, Uncertain, Complex en Ambigue. Dat is wat je moet zien te managen. Problemen die te fluïde zijn om in regels te borgen. Gelukkig zijn daar de vijf principes van HRO’s.

Vijf uitgangspunten om het onverwachte te managen.

1. Wees alert op onverwachte gebeurtenissen.

Er zijn twee belangrijke redenen om alert te zijn op onverwachte gebeurtenissen. In de eerste plaats kan het de aankondiging zijn van een groter probleem of verstoring. Snel ingrijpen is dan noodzakelijk, om erger te voorkomen. Hard response op weak signals, noemt Weick dat, en het is een belangrijke competentie van een proactieve organisatie. Feitelijk verschuif je dan de definitie van een incident naar voren in de ongevalsketen: kans op een incident wordt al als een incident gezien. Je gaat dus niet pas reageren als er schade is, maar acteert al voordat het zo ver is. Proactieve repressie, zou ik het noemen.

De tweede belangrijke reden om alert te zijn op onverwachte gebeurtenissen is dat het prima evaluatiemomenten zijn om van te leren en de operational excellence van de organisatie verder te vergroten. Maak die weak signals bespreekbaar, en zorg voor een cultuur waarin bijna ongevallen en near-misses niet gezien worden als fouten, maar als leermoment.

2. Niet simplificeren.

Einstein zei het al: maak alles zo eenvoudig mogelijk, maar niet eenvoudiger dan dat. Neem niet automatisch aan dat je het wel weet en dat het wel goed zal komen. Poneer geen stellingen voordat je de relevante informatie hebt. Check je aannames en veronderstellingen met feiten. Ervaring is een groot goed, maar in VUCA-omstandigheden is die niet altijd betrouwbaar. Zie verder ook het blog over de onderbuik van de sturingsdriehoek.


ARABIAN GULF (Nov. 22, 2014) Aviation Boatswain’s Mate (Handling) 2nd Class Ted Casal monitors the flight deck of the Nimitz-class aircraft carrier USS Carl Vinson (CVN 70) as the ship conducts flight operations in the U.S. 5th Fleet area of responsibility supporting Operation Inherent Resolve. (U.S. Navy photo by Mass Communication Specialist 2nd Class John Philip Wagner Jr./Released)

3. Stel de operatie centraal.

Eén van de grote valkuilen van organisaties is dat stafafdelingen voorschrijven wat de operatie uit moet voeren. Hieraan kleven twee soorten risico’s. In de eerste plaats weet de staf vaak niet precies wat er gebeurt op de werkvloer. De kans is dan groot dat er voorschriften worden bedacht die niet werkbaar zijn, en die dus niet worden uitgevoerd. Wat er dan wel wordt gedaan is niet duidelijk, en dat maakt het proces daardoor nog eens extra foutgevoelig voor onverwachte gebeurtenissen.

Bovendien, en dat is het tweede probleem, leidt het in de operatie tot een reactieve cultuur die niet alert is op onverwachte gebeurtenissen.

De operatie moet daarom (minimaal) aan twee vereisten voldoen. Ten eerste moet iedereen inzicht hebben in het totale proces en wat zijn schakel betekent ten opzichte van de rest. Dat leidt tot een situational awareness die belangrijk is om patronen te leren herkennen en om afwijkingen te constateren.

Daarnaast is het belangrijk dat de operatie zijn vragen zodanig definieert, dat de staf er mee uit de voeten kan om oplossingen te realiseren en faciliteren. Ook dat vraagt van de operatie dus een proactieve instelling, in plaats van een reactieve.

4. Organiseer veerkracht.

Een veerkrachtige organisatie vindt altijd wel een oplossing voor een probleem, hoe groot of onverwacht het ook is. Maar veerkracht is niet zomaar een beetje improviseren als het zover is. Veerkracht betekent dat mensen zijn opgeleid en getraind voor hun functie. Ze beschikken over de hard- en soft skills om hun werk goed te kunnen uitvoeren.

Met die hard skills zit het trouwens vaak wel goed. Ontwikkelingen in het vakgebied worden meestal redelijk bijgehouden of voorgeschreven, al dan niet via certificaties of audit systemen. License to operate is in dat kader een bekende uitdrukking. Verbeteringen liggen bijvoorbeeld in het vergroten van de multifunctionaliteit van medewerkers. Mensen zijn dan in staat om ook andere taken te verrichten dan die in hun primaire functie staan beschreven, zodat ze op verschillende plekken ingezet kunnen worden als dat nodig is.

Het grote verbeterpunt voor veel organisaties om veerkrachtiger te worden ligt echter bij de soft skills. Zijn de mensen in staat tot samenwerken, overleggen en besluiten nemen onder tijdsdruk? Kunnen ze met beperkte informatie tot een oplossing komen, die ook door hun comakers en ketenpartners acceptabel wordt geacht? En als mensen in crisisomstandigheden opeens verreikende besluiten moeten nemen, mogen ze dat dan ook tijdens normale bedrijfsvoering? Zie ook het blog over veilig werken in teams.

5. Respect voor expertise.

Respect voor expertise betekent dat de mensen die de beste kennis hebben om een beslissing te kunnen nemen, die ook mogen nemen. Ongeacht of het ook hierarchisch gezien de eindverantwoordelijke persoon is. Macht en kracht op de werkvloer. Steve Jobs, de inmiddels legendarische baas van Apple, verwoordde het ooit aldus:

“It doesn’t make sense to hire smart people and then tell them what to do; we hire smart people so they can tell us what to do.”

Steve jobs

Kernachtiger heb ik het nog niet gezien.

Sturen we op kans of op effect bij risicosturing?

Leestijd: 3 minuten

Risicosturing is modern en veel mensen zijn er voor, waaronder ik. Maar je moet het wel eens zijn over waar je op stuurt: op kans of op effect? Want dat maakt nogal wat uit.

Onlangs schreef de lector Transportveiligheid Nils Rosmuller een interessant blog over risicosturing. Hij noemt twee voorbeelden, waarbij de ontwerpers net aan de onderkant van ontwerpcriteria gaan zitten om zwaardere veiligheidseisen te voorkomen.

Risico-eigenaren moeten dat eigenlijk niet doen, zo stelt Rosmuller. Ze moeten meer naar de geest van de wet handelen, en minder op kostenreductie. “Dat betekent dus dat de risico veroorzakende partij haar verantwoordelijkheid moet nemen en risicogericht moet gaan denken.”

In dezelfde week kwam zijn collega Ricardo Weewer ook met een blog dat vrijwel dezelfde strekking heeft. Het directe onderwerp was weliswaar compleet anders, namelijk een a-typische brand in een eco huis, maar de conclusie was eigenlijk eender aan die van Rosmuller.

Hij schrijft: Niet de brandweer, maar gebouweigenaren en -gebruikers zijn verantwoordelijk voor de brandveiligheid van hun gebouw. Zij maken daarin veelal zelf de keuze door zich te houden aan de minimale eisen in de wet gesteld. Maar die eisen zijn, zoals gezegd, geen garantie voor een brandveilig gebouw.”

Risicosturing in plaats van regelsturing
Dicht Open Dicht Open, oftewel DODO, is een manier om van een lange tunnel met een zwaar veiligheidsregime, twee kortere tunnels onder lichter regime te maken. De grens ligt bij 250 meter. Zie het blog van Rosmuller.

Kennelijk geeft de wet steeds minder harde criteria om veiligheidseisen op te baseren en is de specifieke situatie ter plekke, met het daarbij behorende risicobeeld, leidend in het (moeten) nemen van maatregelen. Risicosturing noemen we dat, als tegenhanger van regelsturing, en eerlijk gezegd ben ik er zelf een voorstander van.

Alleen, bij het lezen van de blogs van Rosmuller en Weewer vroeg ik mij opeens wel af op welk deel van het risico eigenlijk gestuurd wordt. Op kans of op effect? Heeft iedereen dan wel hetzelfde beeld van wat risicosturing is? Ik werk de casus van de tankopslag uit het blog van Rosmuller iets verder uit om die vraag toe te lichten.

Tanks met een diameter groter dan 45 meter zijn volgens de milieuvergunning verplicht lid te worden van de industriële brandbestrijdingspool (het IBP), stelt Rosmuller. Maar de nieuw te bouwen tanks uit zijn voorbeeld zijn 30 cm korter. Daarmee vallen ze onder een lichter veiligheidsregime, terwijl de effecten bij een tankbrand precies hetzelfde zullen zijn.

En dat is precies het punt dat ik wilde maken. Voor de eigenaar van de tanks is het effect van een brand dus ook hetzelfde. Voor hen is het managen van de kans op een tankbrand daarom veel interessanter. Hoe kleiner de kans op een majeur incident, hoe groter de continuïteit en hoe groter het rendement van de opslag. De kostenbesparing op het effect is dan dus pure winst, verlaagt zijn kostprijs en vergroot zijn concurrentiepositie. Daarmee wordt het ondernemersrisico dus verlaagd.

Risicogericht sturen voor de markt

Dat is risicogericht sturen voor de markt: houdt kleine incidenten klein en voorkom de kans op majeure incidenten. Grote incidenten zijn namelijk toch een total loss en komen terecht in hele andere risicomanagement regimes van verzekeringen, aansprakelijkheid en schade afhandeling.

Voor hulpdiensten en veiligheidsinstanties is de effectbeheersing echter veel relevanter, zoals Weewer in zijn blog schrijft. Want als je bij een tankbrand of explosie arriveert, is er al 100% kans en kun je alleen nog op de effectkant van risico sturen. Terecht constateert hij dat de brand in het eco huis daarom geen les was voor de brandweer, want die weten dat al, maar voor wetgevers en adviseurs.

En voor politiek en bestuur, zou ik daar aan toe willen voegen. Want risicogericht sturen is mooi, maar het is wel handig dat iedereen dat op dezelfde manier interpreteert en de winst en verliesrekening in de gehele keten eerlijk verdeeld is. Bij uitstek een politiek vraagstuk.

« Oudere berichten

© 2020 Rizoomes

Thema gemaakt door Anders NorenBoven ↑