Categorie: Veiligheidskunde (Pagina 2 van 6)

Als er één vakgebied is dat met alle andere disciplines is verbonden, is het wel veiligheidskunde. Er is vrijwel geen enkele menselijke handeling te verzinnen die niet te veel, te weinig, te hoog, te laag, te diep of te wat dan ook gedaan kan worden zonder dat er iets of iemand kapot gaat. Sterker nog, het vermijden van gevaar is een risico op zichzelf. Onderprikkeling leidt uiteindelijk ook tot kwetsbare systemen en schades, misschien zelfs wel tot de dood.

Veiligheid is dus vooral de kunst van het balanceren. Het zodanig managen van plussen en minnen dat er een veilige situatie ontstaat. Helaas is veilig voor de één, niet automatisch veilig voor de ander. Veiligheidskunde is dus per definitie niet waardenvrij, althans niet in mijn visie. Dat zie je dan ook terug in mijn blogs over veiligheid en met name die over fundamental risk. Daarin ga ik op zoek naar systeemfouten door bijvoorbeeld een te groot ego en de gevolgen daarvan voor de veiligheid van anderen.

Beeldvorming trainen voor de Dikke BOB

17 januari 2021 / Ed / 1 reactie

Leestijd: 15 minuten

Bedrijven en organisaties die zich willen voorbereiden op het managen van ongewenste gebeurtenissen kunnen niet volstaan met het klakkeloos overnemen van instrumentarium dat voor hulpverleningsdiensten en het leger is ontwikkeld. Daar moet een slag overheen om de specifieke eigenaardigheden van het eigen bedrijf te incorporeren. Zeker in de beeldvorming.

Soort van voorwoord

In dit blog beschrijf ik hoe je de Dikke BOB kunt combineren met de pre-accident investigation van Todd Conklin. Dat illustreer ik met twee trainingsvormen om de beeldvorming van teams te verbeteren: vragenvuur en snelle scenario analyse.

Het is geen eenvoudig blog omdat het voortbouwt op de kennis uit eerdere verhalen, zoals de kleine taxonomie van ongewenste gebeurtenissen en de Dikke BOB voor disruptie. En die kennis is nog gloednieuw, gedestilleerd uit de ervaringen van afgelopen twee jaar met allerlei bijzondere ongewenste gebeurtenissen die ik toen nog niet als disruptie kwalificeerde. Daarom raad ik aan om eerst de vorige blogs over disruptie door te lezen als je die nog niet kent. Niet alle vijf, al mag dat best, maar toch wel de eerste twee.

Wat het ook een ingewikkeld blog maakt is de koppeling met het werk van Conklin. Hij is één van de grondleggers van safety differently en die concepten zijn wel logisch, maar geen gemeengoed. Zijn visie op safety sluit echter naadloos aan op de mijne over continuiteit. Dus die combi was gauw gelegd.

Veiligheid verhoudt zich tot emergency als continuiteit tot disruptie.

In de inleiding hieronder beschrijf ik waarom je bij disrupties het beste gebruik kunt maken van de Dikke BOB. Daarna ga ik in op de relatie tussen beeldvorming en de verschillende niveau’s van situational awareness. De conclusie is dat kennis van je eigen bedrijf daarvoor heel belangrijk is. De manier waarop Todd Conklin naar bedrijven kijkt met safety differently sluit daar goed op aan.

Daarna gaat het door met pre-accident investigation en hoe je learning teams kunt gebruiken om je bedrijfsvoering te verbeteren. Vervang learning team door crisisteam (of disruptieteam) en de link met de Dikke BOB is gelegd. Vervolgens beschrijf ik twee trainingsvormen die passen in het gedachtegoed van de pre-accident investigation. Het is al met al best een lang verhaal geworden maar zeker de moeite waard. En wat dat moeilijke betreft, dan lees je het toch gewoon twee keer? 🙂

Inleiding

Om ongewenste gebeurtenissen een beetje adequaat te managen is het handig om gebruik te maken van een hulpstructuur. Daar zijn allerlei soorten en maten van, zoals onder andere beschreven in dit blog en ook hier. Afhankelijk van de organisatie waar je werkt zal er iets gebruikt worden wat daar (hopelijk) het beste past.

Voor bedrijven en organisaties die slachtoffer worden van calamiteiten en die zelf aan moeten pakken, denk ik dat de Dikke BOB het beste alternatief is. Die is namelijk ingericht op de kleine taxonomie van ongewenste gebeurtenissen en gaat tijdens de beeldvorming al direct op zoek of het louter gaat om een emergency, of dat er mogelijk ook nog een disruptie en/of crisis uit volgt.

In die zin zie ik incidenten als een multipliciteit: het is een ding dat tegelijkertijd meerdere karakters en verschijningsvormen herbergt. Meestal ziet men alleen de buitenkant en denkt dat het daarbij blijft. Het zichtbare deel van een ongewenste gebeurtenis trekt en veroorzaakt tunnelvisie. Je situational awareness (SA) komt tot level 1: je ziet wat er gebeurt.

Beeldvorming

Maar dat is niet genoeg, je moet op zoek naar het verstopte incident. Aan de incidentbestrijders de schone taak om die in de beeldvorming te destilleren uit de kluwen van signalen en gebeurtenissen die er nu al zijn en waarschijnlijk ook nog zullen volgen. Wanneer je dat deel van de ongewenste gebeurtenis begrijpt ben je op SA-level 2 gekomen. Als je dan ook nog kan voorspellen wat er gaat gebeuren zit je op level 3.

Voorspellen moet je in dit kader overigens niet al te letterlijk nemen. Niemand kan de toekomst voorspellen. Maar je kunt wel proactief vooruitdenken en de meest waarschijnlijke ontwikkeling beschrijven en analyseren. In het Engels is dat subtiel uit te leggen als het verschil tussen foresight (dat kan je niet) en forethink (dat kan je wel).

Voordenken zou tijdens de beeldvorming in het crisismanagement daarom een belangrijke competentie zijn geweest als het een echt Nederlands woord was. Nu is het helaas ingepikt door iets te smarte adviesbureaus en positovo’s die leukige dingen verzinnen als ‘ontwikkelen’ met q’s schrijven in plaats van k’s. Enfin, je voelt wel wat ik bedoel.

Terug naar de beeldvorming. Dat is de fase waarin je het onzichtbare zichtbaar wil maken. De vraag is dan hoe je dat doet. In veel trainingen wordt aangeleerd om ‘een rondje te doen.’ Dan ga je als voorzitter iedereen af die in je team zit, vraagt om nadere informatie in de beeldvorming en daarna bak je er iets moois van via oordeelsvorming en besluitvorming.

Vaak worden hier trainingsburo’s voor ingehuurd die zich vooral focussen op de procesgang in het team. Hoe wordt er overlegd, blijft het team op hoofdlijnen, slaan ze de oordeelsvorming niet over, dat soort dingen. Op zich prima onderwerpen om te evalueren, het is alleen niet voldoende als je ook disrupties wilt leren managen.

Want als iedereen enigszins beseft hoe ‘het rondje’ werkt, moet je gaan trainen met het team hoe je van SA-level 1 naar 2 en het liefst zelfs SA-level 3 komt. Daar heb je inhoudelijke kennis voor nodig over het bedrijf en diens primaire processen, de bottlenecks, single point of failures, noem maar op. Liever een goed besluit op de foute manier, dan een fout besluit op de goede manier. Maar een goed besluit op de goede manier is natuurlijk het allerbest.

Pre-accident investigatiom

Daarom is het goed een methodiek te hanteren die zowel vorm als inhoud combineert. In dit blog beschrijf ik hoe je dat kan aanpakken als je met je crisisteam conform de principes van de pre-accident investigations gaat werken, zoals Todd Conklin die beschrijft in zijn boek ‘Better questions’.

Alle citaten van Tod Conklin komen uit dit boek.

Je kunt namelijk alleen maar adequaat disrupties bestrijden als je de eigen bedrijfsprocessen goed kent. Inclusief de eigenaardigheden ervan die je nodig hebt om de escalatiefactoren op tijd te herkennen en te managen.

Toepassing van de Dikke BOB als een trainingsvorm die lijkt op pre-accident investigation brengt je al heel ver. Daarom nu eerst een Crashcourse Conklin over zijn boek ‘Better Questions.

De premisse van ‘Better Questions’ is dat elke organisatie van foute ontwerpen en regels aan elkaar hangt en dat de boel voornamelijk blijft draaien dankzij de flexibiliteit en vindingrijkheid van de medewerkers. Die passen zich steeds aan, soms wel tientallen jarenlang.

In die aanpassingen schuilen echter wel risico’s. Zowel op het gebied van veiligheid als continuïteit. En dan gaat het soms toch onverhoopt mis en krijgt de medewerker de schuld. Dat ie niet goed heeft opgelet, niet vaak genoeg in de spiegel heeft gekeken die de HSE-office had opgehangen met de vraag wie er verantwoordelijk is voor veiligheid.

When we say, “A bad thing happened because the worker did not follow a rule,” we must also ask this second question, “When good things happen does the worker follow the same rule?”
todd conklin

Veiligheidsmanagement, zo betoogt Conklin, is verworden tot gedragstherapie waardoor de medewerker het altijd fout heeft gedaan met zijn onverantwoord gedrag. Maar waarom zou iemand die twintig jaar lang een verantwoorde medewerker is geweest, van het ene op het andere moment een onverantwoordelijke werknemer zijn geworden? Dat is niet logisch.

Daar komt nog bij dat onder invloed van management by smiley de werkelijkheid is gereduceerd tot outcomes. De onderliggende processen lijken niet meer relevant te zijn.

One of our biggest issues as safety and reliability professionals is that we manage to our organization’s outcomes instead of managing and understanding the processes that we use to create those results.
todd conklin

Achteraf gedefinieerde voorvallen wekken daardoor de indruk dat het incident al die tijd al duidelijk aanwezig was, maar dat is vaak helemaal niet zo. Hindsight bias noemen we dat. Feitelijk is het een framing van ongewenste gebeurtenissen waarbij er altijd, soms bewust maar meestal onbewust, een daderprofiel wordt geschapen: het was een menselijke fout.

We give events order and importance after the event has taken place. The problem is that timelines bias our thinking in two important ways: (1) they assume order and (2) they assume cause.
todd conklin

Het ongevalsmodel van Conklin. Fase 1 is de context waarbinnen de gebeurtenissen zich afspelen. Het is de aanloop naar (bijna) schade. Fase 2 is de consequentie, dan wel het effect. Het is het resultaat van de gebeurtenissen in de context. Fase 3 is wat we achteraf gereconstrueerd hebben als het ongeval zelf om het op te kunnen lossen. Dat gebeurt ook in het groot, niet alleen in organisaties. Ter illustratie: de eenheden die aankwamen bij wat we nu de Bijlmerramp noemen, kwamen niet aan bij de Bijlmerramp. Die kwamen aan op de plaats incident.

Leerfasen

Volgens Conklin moeten we de definitie van incidenten veranderen en het onafhankelijk maken van outcomes met schade. Incidenten zijn foute ontwerpen, regels en werkwijzen die je zou moeten onderzoeken en verbeteren voordat er schade is ontstaan.

Je moet dus met name de eerste fase van incidenten bestuderen, wat Conklin de context noemt. Door en met de mensen die er dagelijks mee werken: pre-accident investigation. In learning teams. Of crisisteams, voeg ik daar aan toe.

Dat lukt je alleen niet tijdens productie; je moet mensen echt vrijmaken. No one can learn and perform at the same time. Dat moet je dus organiseren, want het gaat niet vanzelf. Conklin heeft daartoe een heel proces gedefinieerd in zeven fasen en die beschrijft hij uitgebreid in zijn boek. Het gaat om de volgende fasen:

Determine need for Learning Team
First session: Learning Mode only
Provide “soak time”
Second session: Start in Learning Mode
Define current defenses/Build new ones
Tracking actions and criteria for closure
Communicate to other applicable areas

De manier waarop Conklin naar veiligheid en ongevallen en het gebruik van learning teams als pre-accident investigation kijkt, is prima over te zetten naar het trainen van crisisteams die disrupties moeten managen.

Safety is the ability for workers to be able to do work in a varying and unpredictable world
todd conklin

Ik heb daarom een mini-versie gebakken van de learning team fases. Nog steeds definieer je in de eerste fase de leerbehoefte, zoals het trainen van beeldvorming met tools. Je kunt er ook uitgebreider naar kijken en bijvoorbeeld de vaardigheden plannen die je dit jaar wilt aanleren. Ik probeer wel altijd ruimte houden om met acute ontwikkelingen mee te kunnen bewegen.

In fase 2 doe je een training, zoals bijvoorbeeld het vragenvuur, waar je dan gelijk fase 4 en 5 aan vast plakt. Dat houdt in dat je met het team de scenario’s evalueert, bekijkt welke maatregelen ontbraken en wat je als team moet kunnen (de capability) om die scenario’s aan te pakken.

Fase 6 en 7 geschieden dan verder buiten het zicht van de eerste training af. Dan stellen we bijvoorbeeld een standaard vragenvuurlijst op, die we nasturen. Dat is fase 3, soak time, om de nieuwe inzichten eerst laten zakken.

In de eerstvolgende training (dat is dan weer een nieuwe fase 2) kom je erop terug door eerst die vragenlijst te bespreken. Op die manier bouw je een ketting van trainingen die de capability van je teams vergroot en waarbij je bovendien weet dat iedereen dezelfde training heeft gehad.

Als voorbeeld van deze manier van werken gebaseerd op de pre-accident investigation, beschrijf ik hoe je de snelle scenario analyse (SSA) en het vragenvuur in een training kunt toepassen om de beeldvorming te trainen. Het achterliggende doel is om te leren hoe je het grote probleem (de emergency) kan vertalen naar effecten op de bedrijfsvoering (de disruptie).

A big problem is never just one big problem. Significant problems are always a collection of smaller problems that appear directly intertwined.
todd conklin

Snelle Scenario Analyse

De SSA heeft als doel om al heel snel in de Dikke BOB vooruit te gaan denken. Je gaat je dus niet bezighouden met wat er is gebeurd en hoe het allemaal zo gekomen is. Nee, je buigt je over de vraag wat er waarschijnlijk gaat gebeuren als de emergency zich ontwikkelt zonder in te grijpen: hoe groot kan de verstoring van je bedrijfsprocessen worden? Welke disruptie zit er dus in die emergency verstopt? Zit er wellicht ook nog een crisis verscholen in de emergency?

In de termen van Conklin en zijn incidentmodel: de emergency heeft zich gemanifesteerd als consequence van één of andere failure en dat is de opstart, de context van de disruptie. In de beeldvormingsfase kun je met de SSA die context in kaart brengen en maatregelen inzetten om de disruptie consequence te voorkomen of zo klein mogelijk te houden.

De training vraagt niet om een oefenkeuken, maar wel om begeleiding die goed bekend is met de bedrijfsprocessen. Liefst de techneuten ook erbij die goed kunnen uitleggen hoe een storing in de praktijk werkt en waarom het hoe lang moet duren. Meestal start ik met een half uurtje theorie over de Dikke BOB en iets over de doelen en het commanders intent van de calamiteitenorganisatie. Dat is de context waarbinnen de training zich afspeelt.

Daarna wordt de startgebeurtenis gepresenteerd: één of andere emergency (variërend van brand tot stroomstoring en alles daartussen wat een consequence kan zijn die relevant is voor je organisatie) die voor alle deelnemers hetzelfde is.

Vervolgens maakt de voorzitter een rondje onder de teamleden, die elk beschrijven wat er voor hun proces allemaal staat te gebeuren als het incident zich verder ontwikkelt. Waar zitten de bottlenecks en de risico’s? Hoe vallen de dominostenen in de komende één, twee tot vier uur en eventueel daarna?

Die informatie moet leiden tot een overall scenario, dat in een volgende ronde twee of drie scenario’s gaat opleveren: real case, best case en worst case. Dat is de input voor de oordeelsvorming: wat zijn de opties om de scenario’s te managen en wat zijn de consequenties (lees: boemerangeffect) van de keuzes. Maar in de SSA stopt het bij het benoemen van de scenario’s.

Let overigens goed op het verschil in sensemaking tussen best case en worst case: best case is iets wat je wilt bereiken, en een worst case wil je zien te voorkomen. Bespreek dat soort thema's ook met het team.

Ontploffing in een hoofdmeterkast in Amsterdam zorgde voor een stroomstoring in 1988. Foto ANP. Een interessante startgebeurtenis. Welke disruptie gaat hier uit volgen?

Op een training kan je meerdere startgebeurtenissen achter elkaar aflopen. En dat kan best snel, zeker in het begin. Dan gaat het er echt om de procesgang van de SSA goed onder de knie te krijgen. Mijn ervaring is dat veel deelnemers heel snel terugvallen in de oefenreflexen van de standaard oefeningen. Ze gaan in het meervoud praten van de afdelingsvertegenwoordiger, roepen welke processen uit het plan al gestart zijn en willen het liefst gaan bellen met de achterban. Maar dat is allemaal achteruit kijken, geschiedschrijving. Wat je wilt is vooruitkijken en daarop sturen.

Ook belangrijk: de bestrijding van de emergency moet plaatsvinden door teams die daarvoor opgeleid zijn. Zoals brandweer, ambulance en technische storingsdiensten. Voor jouw disruptieteam is dat een gegeven. Zij managen de disruptie, niet de emergency. Je hebt dus altijd minimaal twee incidenten en zorg ervoor om dat steeds goed onder de aandacht te krijgen in de SSA, inclusief de verhouding tussen die twee.

Vragenvuur

De SSA werkt goed in voorzienbare scenario’s, incidenten waar al enige ervaring mee is. Al dan niet opgedaan in trainingen. Maar de ongewenste gebeurtenis die niet of minder bekend is, hoe kan je daarop trainen? Daarvoor gebruik ik het Vragenvuur. Die je overigens ook prima in kunt zetten in bekendere situaties, maar zeker in VUCA-situaties (Volatile, Uncertain, Complex, Ambiguous) kan het stellen van vragen helpen om de verschillende incidenten in de gebeurtenis te zien, te begrijpen en misschien zelfs wel te voorspellen.

Het vragenvuur is afgeleid van de questionstorm, zoals Jon Roland in 1985 ontwikkelde. Roland ontdekte dat het zoeken naar antwoorden minder creativiteit opleverde dan het stellen van vragen. Iets dergelijks zegt Conklin eigenlijk ook, al is zijn redenatie vooral op leren gericht.

The enemy of the question is the answer. When you think you know the problem, you stop the process of discovery. In fact, when you move to the solution phase you move out of the discovery phase, and the minute you move toward solving the problem, you are no longer trying to fully understand and explain the problem. It is the end of the learning process. In many ways, this is a rather extreme version of confirmation bias. As soon as we see what we think, we will see we stop looking for anything else.
todd conklin

Het vragenvuur lijkt wel een beetje op de SSA. Je presenteert een ambigue startgebeurtenis (een consequence van een failure, bijvoorbeel een hele trage citrix-omgeving) die voor alle deelnemers hetzelfde is. Daarna laat je iedereen voor zichzelf de vragen opschrijven die er opkomen over het eigen proces. Eigenlijk stel je dus vragen over de context van de disruptie, ook weer om die consequence te voorkomen of zo klein mogelijk te houden.

Vervolgens laat je in de beeldvorming het team op zoek gaan naar de belangrijkste gezamenlijke vragen voor dit incident. Start bij het proces die de meeste schade ondervindt of gaat ondervinden. Die noemt als eerste de vragen die hij opschreef. Zo gaat de voorzitter iedereen af.

De vertegenwoordiger van het bronproces (bijvoorbeeld assetmanagement bij een stroomstoring) komt pas als laatste aan de beurt. Als je met dat proces begint, gaat het alleen nog maar over de bron (de stroomstoring, de emergency) terwijl je taak is om de disruptie in kaart te brengen (het ontstaan van wachtrijen).

Voorbeeldvragen:

Kan de oorzaak nog meer effecten krijgen dan we nu al zien?
Wanneer wordt mijn proces onbeheersbaar?
Wat belemmert een oplossing?
Hoelang duurt een reparatie?
Hebben we een bypass?
Kunnen effecten nieuwe incidenten worden?

Doe eventueel een tweede ronde als mensen door elkaar geïnspireerd zijn tot nieuwe vragen. Uiteindelijk definieer je de belangrijkste vragen als input voor het opstellen van scenario’s (best, real, worst) om daarmee de oordeelsvorming in te gaan. De oordeelsvorming doe je trouwens niet, de training zelf beperkt zich tot de beeldvorming.

Als je deze training een paar keer hebt gedaan, ontdek je dat een aantal vragen steeds weer terugkomt. Dat zijn de kernvragen die je bijna altijd kunt gebruiken. Zet die op een lijstje als geheugensteun voor je crisisteam. Daarmee zet je eigenlijk de zesde en zevende stap van Conklin’s learning phase model. Zodra de poep de ventilator raakt ligt er al mooi denkwerk klaar dat je onder tijdsdruk gelijk kunt gebruiken. Zo leg je ook nog eens een link tussen trainen en in de praktijk toepassen.

Afsluiting

In dit blog is vooral beschreven hoe je teams kunt leren om na en tijdens een emergency de onzichtbare disruptie zichtbaar te maken in de beeldvorming. Daarvoor maak je gebruik van twee trainingsvormen, het vragenvuur en de SSA. De opbrengst van dergelijke trainingen zie je op meerdere vlakken terugkomen. De capabilities van je teams zijn vergroot, er zijn inzichten opgedaan die gebruikt kunnen worden in preparatie (zoals een vragenvuur checklist) en er komen eigenaardigheden over je bedrijfsprocessen aan het licht die tot verbeteringen kunnen leiden.

Het is wel goed om te beseffen dat dit dan slechts over de disrupties gaat. Een vergelijkbaar proces kun je organiseren voor de emergencies in je bedrijf. Van brand en stroomuitval tot cyber, er kan van alles gebeuren wat tot verstoringen leidt. Voor die situaties is het ook goed om een proces van pre-accident investigation met learning teams op te zetten.

Zeker in complexe bedrijven is een safety II annex safety differently strategie (waar Conklin toe behoort) van belang om zowel veiligheid als continuïteit te borgen. De verbanden tussen emergencies, disrupties, dreiging en crises moet je al kennen voor je het nodig hebt. Precies dat maakt dat je niet de systematieken van de hulpverleningsdiensten zomaar over kunt nemen en denken dat je er dan bent. Daar is toch echt wat meer voor nodig en dat is de kennis en kunde over je eigen bedrijf.

Dit is het zesde blog in een serie over disruptiemanagement. Eerdere blogs vind je hier:

De veiligheid van het 50+ brein

19 december 2020 / Ed / 2 reacties

Leestijd: 5 minuten

Het 50+ brein heeft meer moeite om visuele informatie te verwerken. Zeker in functies waar veel gewerkt met geautomatiseerde systemen, zoals control rooms, kan dit mogelijk consequenties voor de veiligheid hebben. De cognitieve reservetheorie biedt uitkomst, maar daar moet je wel wat voor doen.

Midden jaren negentig introduceerde brandweer Amsterdam de rol van Hoofdofficier van Dienst, waarvoor Peter Vonk de psychologische keuring ging uitvoeren. Dat deed hij met een unieke test, namelijk één die de aangeboren competenties meet. Aangeleerd gedrag kon hij er 100% uitfilteren.

Dat heeft twee voordelen. In de eerste plaats ontdekken mensen waar ze echt blij van worden. Glimmend vertelde Peter dan over een hoofdagent die na zijn test banketbakker was geworden.

Het tweede voordeel gaat over je ontwikkelcapaciteit in het werk. Iemand die goed bij een functie past kan een uitblinker in het vak worden. Als je echter voor sommige vaardigheden moet compenseren, zal je nooit je potentieel volledig waarmaken en niet echt gelukkig worden in je baan. En dat was toch wel het doel van werken, zei Peter, er gelukkig van worden.

Particuliere Alarmcentrale in Rotterdam, 1965

Als kersvers veiligheidskundige zag ik indertijd nog een aandachtspunt: iedereen die moet compenseren om zijn normale werk te verrichten, zal mogelijk tekortschieten in afwijkende situaties. Zeker onder tijdsdruk. Dat komt de veiligheid niet ten goede, omdat je dan sneller buiten het bereik van je capaciteiten valt en er gaten in je systeem vallen. De rek is er dan gewoon uit.

50+ brein

In haar boek over het 50+ brein noemt Margriet Sitskoorn dit de cognitieve-reservetheorie. Dat lijkt misschien een hele grote stap vanaf het meten van competenties, maar hij is kleiner dan het lijkt. Als eigenaar van een 50+ brein was het me namelijk opgevallen dat er af en toe wat steekjes beginnen te vallen. Nieuwe dingen twee keer lezen, in plaats van het in één keer begrijpen. Effe iets dichter op de monitor hangen om alle visuele informatie goed te kunnen verwerken. Vaker iets opschrijven om het niet te vergeten, waar ik vroeger moeiteloos alles kon onthouden.

Een overzicht van de vaardigheden die met toenemende leeftijd verbeteren en verslechteren. Overgenomen uit het boek van Sitskoorn, zie ook onderaan de pagina.

Compensatiegedrag, volgens Sitskoorn en daar is volgens haar niks mis mee als je maar genoeg cognitieve reserve hebt. “Hoe beter je je vaardigheden ontwikkelt, des te meer opvangcapaciteit je hebt en des te langer het zal duren voor er problemen ontstaan. Blijf jezelf cognitief uitdagen”, gaat ze opgewekt verder, “dan kan je nog heel lang mee.”

Ik zag daarop het beeld voor me van mijn zoontje op jonge leeftijd, die met zijn kleine kluifjes acht toetsen tegelijk kon bewegen om raceauto’s te besturen in computergames. En dan had ie nog twee vingers achter de hand had voor onverwachte gebeurtenissen. Daar kon ik met mijn één plus één wijsvingersysteem absoluut niet tegen op. Sommige cognitieve reserve is al weg voor het er is, leerde ik daarvan.

Cognitieve reserve

Ik vroeg me daardoor wel af wat het 50+ brein betekent voor de veiligheid van installaties en systemen, zeker nu de informatisering hard doorzet. Die systemen worden bestuurd door mensen die geacht worden allemaal hetzelfde te kunnen, maar als Sitskoorn zegt dat ouderen minder visuele informatie waarnemen en daardoor slechter reageren, is er misschien wel iets aan de hand. “Dit kan tot gevaarlijke situaties leiden, bijvoorbeeld tijdens het autorijden,” zo schrijft ze.

Meldkamer politie in Den Bosch, 1986. Foto ANP Jacques Klok

Maar ik zie vooral die zwetende man voor me, 50+, die in zijn nachtdienst overal rode lampjes ziet oppoppen en het niet meer bij kan houden. Ooit was ie de topper van de control room, maar de continue stroom van nieuwe applicaties en functionaliteiten heeft hem geveld. Helaas kwam hij er pas achter op een moment dat het slecht uitpakte; te laat, dus.

Zoiets past niet in het populaire beeld dat je steeds beter wordt in je vak naarmate je ouder wordt. Ervaring staat nog immer op een voetstuk. De continue doorontwikkeling van informatiesystemen kan er echter toe leiden dat je minder goed wordt in je werk. Niet zozeer omdat jijzelf minder wordt, maar omdat de nieuwe werkomgeving meer van je vraagt. Niet jij bent veranderd, maar je werk. Je hebt ervaring met iets wat er niet meer is.

En dan zijn opeens die cognitieve reserves op. Om veilig te blijven functioneren moet er dus structureel gewerkt worden aan het op peil houden van cognitieve reserves, ook bij de ervaren 50+. Gelukkig leidt schrijven volgens Sitskoorn tot het vergroten van je cognitieve reserves. Dus ik compenseer lekker door, onder andere met dit blog. Mij zullen ze niet hebben.

Dit blog is mede gebaseerd op het boek ‘Het 50+ brein’ van Margriet Sitskoorn uit 2019. Een collectie columns die een mooie inleiding geeft op wat leeftijd zoal doet met je hersenen. Ook voor de leek goed te volgen en absoluut geen horrorverhaal over afnemende intelligentie en vaardigheden. Maar er verandert wel wat als je ouder wordt, ook ten goede. De moeite van het lezen zeker waard, al was het maar dat veel lezen bijdraagt aan je cognitieve reserve.

De ellende van complicatie- en escalatiefactoren

18 oktober 2020 / Ed / Geen reacties

Leestijd: 6 minuten

Complicatie- en escalatiefactoren moeten volgens de Dikke BOB al in de beeldvormingsfase geïnventariseerd worden. Want ze kunnen je ongewenste gebeurtenis behoorlijk uit de klauw laten lopen. Daarom is er in de zes B’s een speciaal item gewijd aan ‘bijzonderheden’: alles wat niet in de andere vijf B’s zit. En omdat dat best veel is, zijn de complicatie- en escalatiefactoren bedacht voor de eerste inventarisatie van afwijkingen op het standaard incident verloop. Om je te helpen tunnelvisie te voorkomen.

Dit blog is onderdeel van een serie over disruptiemanagement. Om het optimaal te begrijpen moet je eigenlijk eerst het blog over Dikke BOB en die over de 6B’s gelezen hebben. En het liefst ook nog die over de kleine taxonomie van de ongewenste gebeurtenis.

Het komt nog wel eens voor dat een team onaangenaam verrast wordt door een onverwachte wending in de incidentbestrijding of het disruptiemanagement. En dat terwijl ze toch de hele BOB doorlopen hebben. Uit evaluaties van dergelijke situaties blijkt dan regelmatig dat ze (logisch natuurlijk) iets over het hoofd hebben gezien. Niet van de ongewenste gebeurtenis zelf, want operationeel is het meestal prima op orde. Daar schort het niet aan.

Escalatiefactoren

Maar wat soms wel gemist wordt, door bijvoorbeeld tijdsdruk, zijn factoren die niet rechtstreeks aan de gebeurtenis zelf verbonden zijn. Die liggen als suboptimale omstandigheid ergens in de eigen organisatie besloten en verergeren de gebeurtenis. Je rekent op een bepaalde beheersmaatregel, maar het werkt niet zoals gedacht of zelfs helemaal niet. Rookluiken die niet opengaan, portofoons die uitvallen, te weinig BHV’ers op dienst, reservesleutels kwijt, een nieuwe onderaannemer die nog geen noodnummer ingericht heeft, noem maar op. De lijst is eindeloos.

Dat noemen we escalatiefactoren: een schier oneindige lijst van oorzaken die de lines of defense van je managementsysteem slopen, net op het moment dat je ze nodig hebt. Escalatiefactoren koppelen je veiligheidsmanagement aan incidentmanagement. Waar veiligheidskundigen de bow-tie vooral gebruiken om lines of defense te installeren en bewaken, zouden incidentmanagers daarnaast ook zeer geïnteresseerd moeten zijn in de escalatiefactoren.

En dat moeten ze al zijn voordat de ongewenste gebeurtenis er is. Zie het maar als een soort aanvullende RIE. Afhankelijk van je risicoprofiel moet een organisatie eigenlijk al zicht hebben op de belangrijkste escalatiefactoren en er een plan B voor hebben liggen. Want bij elk groot incident valt er altijd toevallig nog wel iets extra’s uit wat je niet had verwacht, omdat het niet in de escalatie-RIE stond.

Voor minister Grapperhaus waren de foto’s van zijn bruiloft een complicatiefactor; door de externe beeldvorming belandde zijn reputatie in een mini-crisis. Het kabinet zal die mini-crisis daarentegen als escalatiefactor hebben ervaren: de handhaving van het coronabeleid liep een forse deuk op en daarmee hun geloofwaardigheid. Mooi voorbeeld dat laat zien hoe volatiel complicatie- en escalatiefactoren zijn

Een bijzondere soort escalatiefactor heb ik in een eerder blog fundamental risk genoemd. Het zijn risico’s die voortkomen uit het systeem en de cultuur waarin de organisatie is gebed. Niet één of twee grote duidelijk aanwijsbare misstanden, maar een amalgaam van suboptimalisaties en gebreken waar weinigen of zelfs niemand nog een totaaloverzicht over heeft.

Het ontbreken van een totaaloverzicht is het risico, maar wat het fundamenteel maakt is als men niet beseft dat het totaaloverzicht ontbreekt. Dat is eigenlijk situational awareness level nul. In jouw organisatie is dat vast geen punt van aandacht, maar uit compleetheid wilde ik het toch genoemd hebben. Voor al die anderen 😊.

Dit lijstje met escalatiefactoren is ter illustratie bedoeld. De lijst is niet compleet en zal per organisatie verschillen. Maar het geeft wel richting aan waar je het moet zoeken

Complicatiefactoren

Niet alleen escalatiefactoren verknallen je disruptiemanagement, ook complicatiefactoren doen dat. Het lastige daarvan is dat je er zelf geen rechtstreekse invloed op hebt. Wat er namelijk steeds vaker gebeurt is dat er door de buitenwereld een andere mening op na wordt gehouden van wat er gaande is dan jijzelf.

Waar jij denkt dat alles keurig onder controle is (‘het loopt net zoals in de oefening’) wordt er door twitteraars luidkeels een heel ander beeld geschetst. Als het tegenzit wordt die ook nog eens kritiekloos overgenomen door de reguliere media. Journalistieke hoor en wederhoor is soms meer een intentie dan daadwerkelijk gedrag en dat kan je behoorlijk in de wielen rijden. Een echte complicatiefactor.

Ook mogelijk en ook pech: er vindt toevalligerwijze op hetzelfde moment iets plaats wat op het eerste gezicht niets met het incident zelf te maken heeft, maar wat er door anderen wel mee verknoopt wordt. Een op zichzelf onschadelijke spill in Nederland wordt opeens wel als ernstig gezien, omdat tegelijkertijd een gevaarlijke lekkage optreedt bij een zusterbedrijf in Zuid Oost Azië.

Alle complicatiefactoren maken een nieuw verhaal van je ongewenste gebeurtenis, die daardoor van karakter veranderd. Of eigenlijk, er ontstaan opeens meerdere incidenten. Die in de fysieke werkelijkheid en die in de gepercipieerde werkelijkheid of werkelijkheden. Daardoor evolueert de spoedeisende hulpverlening opeens richting een crisis en dat moet je dan ook als zodanig aanpakken. Je hebt dan tegelijkertijd een bronincident, een disruptie en een crisis te managen.

Ook dit lijstje met complicatiefactoren is niet uitputtend en zal per organisatie verschillen. Maar het geeft wel richting en omdat complicatiefactoren vooral extern belegd zijn, kun je ze generieker toepassen dan escalatiefactoren.

Fundamental surprise

Die escalatie- en complicatiefactoren moet je in de situatieanalyse van de Dikke BOB al direct meenemen. Daarom is de laatste B van de zes ‘bijzonderheden’ gedoopt: het inventariseren van afwijkingen van wat een normaal incident kan lijken, maar wat het niet hoeft te zijn. En dat werkt door in alle andere fases van de Dikke BOB. Van scenario-analyse tot oordeelsvorming en je doelstelling.

De meest bijzondere complicatiefactor bewaarde ik voor het laatst en dat is de fundamental surprise. Dan staat het wereldbeeld van een organisatie en zijn medewerkers een realistische Dikke BOB in de weg en dat kan aanleiding zijn tot grote ongelukken. Het is de enige complicatiefactor die je zelf veroorzaakt. Het is niet dat de anderen jou hebben gelost, het is dat jij de aansluiting met de buitenwereld bent verloren. Dat je dat niet ziet en anderen er de schuld van geeft is wat het fundamenteel maakt.

Denk bijvoorbeeld aan de kredietcrisis en de bonuscultuur, of aan de grootste vliegtuigcrash aller tijden op Tenerife, of aan de Piper Alpha. In het blog over de fundamental surprise ga ik er dieper op in. Voor nu eindig ik met de constatering dat fundamental risk en fundamental surprise dus eigenlijk twee uitingen van hetzelfde syndroom zijn. Maar dat had je vast al voorspeld, toch?

Dit is het vierde blog in een serie over disruptiemanagement. Eerdere blogs zijn:

Het met-de-kennis-van-nu syndroom

20 september 2020 / Ed / Geen reacties

Leestijd: 7 minuten

Het werd uiteindelijk een trouwboekje met een strafblad. “Hadden ze de bruiloft maar met zijn tweeën gevierd”, treurde Grapperhaus achteraf ter verdediging in de Tweede Kamer. Een typisch geval van het-met-de-kennis-van-nu syndroom, de ultieme smoes om iets goed te praten wat je vooraf had kunnen weten. En het zou zo maar kunnen dat Balkenende er de uitvinder van is.

Berichtje uit de Volkskrant van 7 september 2020.

Dit blog heeft enkele keren een update gehad. De laatste is van 10 maart 2023

Het is 20 maart 2003. The Coalition of the Willing valt Irak aan. Nederland doet officieel niet mee en verleent slechts politieke steun, zo heet het. Later blijkt dat echter niet helemaal waar te zijn. Er werden ook Nederlandse commando’s en F-16’s ingezet.

De Tweede Kamer volgt het allemaal met argusogen en drijft het kabinet steeds verder de hoek in. Uiteindelijk zwicht Balkenende voor de politieke druk en stelt de commissie Davids in, teneinde een parlementaire enquête te voorkomen. Davids concludeert in zijn rapport dat ‘een adequaat volkenrechtelijk mandaat’ voor de inval in Irak ontbrak. Dat is een niet gering verwijt aan het adres van de regering.

Op 13 januari 2010 is er in de Tweede Kamer een debat over het rapport, waarin Femke Halsema vraagt aan Balkende of hij nu weer dezelfde beslissing zou nemen. Zijn antwoord is inmiddels legendarisch: “Als je met de inzichten van nu terug zou kijken, denk ik dat je het anders zou hebben gedaan.”

Met-de-kennis-van-nu

‘Met-de-kennis-van-nu’ is sinds die tijd de reddingsboei van velen die forse kritiek kregen. Geen marinierskazerne naar Zeeland, discriminatie bij de Belastingdienst, burgerslachtoffers na bombardementen op Hawija? Met-de-kennis-van-nu hadden we het niet gedaan. Het is een general disclaimer, het met-de-kennis-van-nu syndroom.

Mensen maken fouten, dat klopt, en vaak doen ze dat niet expres. Maar mensen nemen ook bewust risico’s die ze achteraf toedekken met zogenaamd nieuwe kennis en inzichten. Of ze wisten het wel, maar hadden geen zin er iets aan te doen. Misschien namen ze aan dat het zo’n vaart niet zou lopen. Of hadden slechte afspraken gemaakt over wie er verantwoordelijk was. Of het kon ze misschien niet eens schelen. We zullen het elke keer weer nooit weten en we zullen er ook niks van leren, dankzij het met-de-kennis-van-nu syndroom. De ultieme smoes om iets goed te praten wat je vooraf had kunnen weten. Of al wist.

Papendal

Dat syndroom is niet slechts voorbehouden aan de politiek. 9 januari 2018 suist BMX’er Jelle van Gorkom van de startschans op Papendal, waar hij zich een fractie later met zestig km/u kapotrijdt op een ketting, die daar gespannen was om onbevoegd gebruik van de baan tegen te gaan. Van Gorkom ligt weken op de intensive care en zal nooit meer herstellen van zijn verwondingen. Tegenwoordig gaat hij gehandicapt door het leven.

Toen ik hier voor het eerst van hoorde was ik kwaad. Wat voor bedrijf ben je als je onderaan zo’n schans, buiten het zicht, een ketting spant om illegaal gebruik tegen te gaan? Dan weet je toch dat je mensen in gevaar brengt?

Vanuit de kranten doemt over die vraag een mist op aan onduidelijke procedures en verantwoordelijkheden, de kroniek van een aangekondigd ongeval. Daar heb je geen kennis van nu voor nodig, dat zag je toen ook al, als je echt had gekeken. Maar-met-de-kennis-van-nu hadden ze die ketting niet aangelegd, vast niet.

Wat ik me nu al heel lang afvraag: zouden ze er op Papendal echt ook wat van geleerd hebben? Of hebben ze alleen die ketting weggehaald? Hebben ze die ketting eigenlijk wel weggehaald?

Update 9 april 2021: Reframing

Ondertussen wordt het met-de-kennis-van-nu syndroom continu gereframed. Men vindt steeds nieuwe woorden voor een oude bestuursstijl, die overigens niet louter toebehoort aan de Tweede Kamer. Nieuw is bijvoorbeeld ‘het ik-heb-er-geen-actieve-herinnering-meer-aan’ argument. Nog nieuwer: ‘ik heb het verkeerd herinnerd’. Of: ‘het was bedoeld als grap, ironie’.

De conclusie van dit alles is dat de postmodernisten ongelijk hadden toen ze zeiden dat de waarheid niet bestaat. De waarheid bestaat wel degelijk, maar dan als optie. Als ik het me goed herinner, tenminste.

Update 19 juli 2021: Zonnekoning

Op 19 juli 2021 komt een opvallend berichtje in het nieuws. Buschauffeurs in Eindhoven wordt verzocht om niet meer te toeteren naar een blauwe Audi E-tron die op de busbaan rijdt. Daar zit namelijk de burgemeester in en die ergert zich aan het getoeter. Niet meer doen dus.

De meeste buschauffeurs weten niet eens dat de burgemeester daar rijdt. Zij weten alleen dat het voor particulieren verboden is daar te rijden. En menen dat voor de burgemeester geen uitzondering geldt. Dus toeteren ze.

In no time is het Nederlands wereldnieuws. Geinige en sceptische commentaren over zonnekoning Jorritsma zijn niet van de lucht en ja, komkommertijd, dus ook de nodige kranten besteden er aandacht aan. Raadsvragen konden natuurlijk ook niet uitblijven, met als resultaat dat de burgemeester op 22 juli de handdoek in de ring gooit. Voortaan rijdt hij alleen nog over de busbaan tijdens crises en calamiteiten. “Ik betreur de ontstane ophef. Dit is niet in het belang van de stad en laat mij niet onberoerd”, zegt Jorritsma.

Met de kennis van nu zou hij zo’n briefje niet meer laten ophangen.

Update 6 april 2022. Soms is outside pissing in toch echt beter

Het hing al een tijdje in de lucht, de ontmaskering van Hugo de Jonge als Sywert van Lienden fluisteraar. Eigenlijk al meer dan twee jaar lang, maar De Jonge ontkende tot nu toe hardnekking. Zoals hij altijd alles ontkent. Maar nu sloot de fuik zich in ramp tempo.

Het begon eind maart met een artikel in de Volkskrant, waar twee journalisten een reconstructie hadden gemaakt op basis van appverkeer van de oud-minister van VWS met onder andere enkele topambtenaren. Met als een van de opmerkelijkste quotes: “Je kunt die Sywert beter inside pissing out hebben dan outside pissing in.”

Daarop volgde weer de gebruikelijke ontkenning, met zelfs een soort van persconferentie waarin hij het toegestroomde journaille niets anders te melden had dan dat hij niets te melden had. “We wachten eerst het onderzoek af”, zei hij.

Maar daar dacht de pissed off pers anders over. Op 4 april verscheen het bericht dat de ex-minister wel degelijk zijn privé mail had gebruikt. Waarop ik mij onderstaande voorspelling veroorloofde.

En zulks geschiedde, op 6 april. In een brief aan de Tweede Kamer schrijft De Jonge het volgende.

‘De verwarring die nu is ontstaan had voorkomen kunnen worden door melding te maken van mijn contacten over de heer Van Lienden. Ik heb daarop onvoldoende toegezien en dat betreur ik. Ook toen ik destijds vragen kreeg van journalisten, was het completer geweest als ik in aanvulling op de antwoorden melding had gemaakt van bovengenoemde contacten’.
hugo de jonge

Met de kennis van nu zou Hugo het zo niet gedaan hebben. Al zullen we nooit precies weten wat hij liever anders zou hebben gedaan: liever niet met Van Lienden gesproken, liever niet de boel onder druk hebben gezet, er liever niet over gelogen hebben in 2020, 2021 en 2022 of liever zijn sporen beter had vernietigd. Wat hij ook zegt, echt geloven doe je hem niet meer.

Uitsnede uit vrijgegeven mail- en appverkeer van Hugo de Jonge.

En dat is precies het kwalijke in deze zaak, dat je een minister niet meer kan vertrouwen op zijn woord. Het is een ondermijning van de rechtsorde en daarmee van de legitimiteit van overheidsbesluiten. Zo kan de overheid echt geen crisis aan, Tjeenk Willink zei het reeds in zijn boek. Al zal De Jonge die stelling in alle toonaarden ontkennen.

Update 10 maart 2023: Sorry voor mijn sorry

Het met-de-kennis-van-nu syndroom is een nieuwe episode ingegaan. Liet men voorheen weten dat er met de kennis van nu wellicht een beter besluit mogelijk was geweest, of juist niet, opeens is er een tweede orde met-de-kennis-van-nu syndroom: Met de kennis van nu zou ik anders geoordeeld hebben over mijn vorige kennis van nu.

Oftewel: sorry voor mijn sorry.

Ik oordeel hier natuurlijk niet over, ik constateer slechts. Anders zou je er nog spijt van kunnen krijgen en daar dan ook weer spijt over kunnen krijgen en dan is het einde zoek. En dat willen we niet, een zoek einde.

Dit blog is als eerste verschenen als column in NVVK Info 2020-3, met name het stuk over Papendal. Het is onderdeel van het hoofdstuk Veiligheid op Rizoomes. Alle updates zijn later toegevoegd. Laatste update is van 6 april 2022.

Veilig betekent ‘buiten nood’

23 mei 2020 / Ed / 1 reactie

Leestijd: 3 minuten

Veylig bediedt buyten noodt

Taal is zeg maar echt mijn ding. Dankzij taal kan ik communiceren. Kan ik vertellen wat ik van iets vind door er een stukje over te schrijven. Kan ik lezen wat anderen voor mooie gedachten hadden, waar ik van kan leren. En kan ik beschrijven wat ik zie en hoor, welke processen ik waarneem, zonder dat die in de fysieke werkelijkheid zichtbaar hoeven te zijn. Als alles in die taaluitwisseling goed gaat, weten we precies wat we bedoelen als we een systeem instabiel vinden, of reactief, of juist veilig.

Vervolgens kan je het daar op inhoudelijke gronden verschrikkelijk mee oneens zijn, en krijg je discussies over het nut van zero accidents, trapleuningen vasthouden, achteruit inparkeren en de validiteit van Heinrichs driehoek dan wel pyramide. Om zo’n gesprek te voeren gebruik je woorden, zoals zelfstandige naamwoorden en werkwoorden. En dat is waar ik het eigenlijk over wil hebben: werkwoorden en ander taalkundig gespuis.

Want van veilig bestaat geen werkwoord en dat vind ik raar. Veilig is meestal een bijvoeglijk naamwoord en daarmee beschrijft het een eigenschap van iets anders. Zoals een veilige omgeving, of veilig verkeer. In de vorm van veiligheid is het een zelfstandig naamwoord, ook al zo statisch. Kennelijk beweegt het dus niet, veiligheid, als je het aan de taal vraagt. Het is een status, iets wat is, of niet, of te weinig.

Screenshot van zoeken naar de herkomst van het woord ‘veilig’

Beveiligen is daarentegen wel een werkwoord. Je beveiligt een pand, een informatiesysteem. Het is actief, je doet het en als het lukt is het beveiligd. Ook een status, maar een dynamische status. Beveiligen beweegt namelijk mee met de boef, is die zelfs het liefst voor. That’s the spirit.

Op zijn best is veilig een bijwoord. Dan geeft het lading aan een werkwoord, een extra kwaliteit. Zoals veilig werken, veilig handelen, veilig rijden. Maar ja, het is wel een beetje nep. Want kennelijk kan je dan ook rijden, werken en handelen op een onveilige manier. Veilig heb je dus niet altijd nodig, volgens de taal. Zou dat vroeger misschien anders zijn geweest, toen de onveiligheid in de samenleving veel groter was?

Het korte antwoord daarop is nee. In de Taalgids 8 uit 1866 vind ik een prachtige polemiek over de herkomst van het woord veilig. Voor zover ik uit het gebakkelei kan afleiden is in 1636 voor de eerste keer ‘veyligh’ als Nederlands woord verklaard met ‘ende bediedt buyten noodt.’ Hoogstwaarschijnlijk is het via de Friezen geïmporteerd uit Scandinavische talen, waar ‘fehlig’ zoiets betekende als afgedekt, beschut.

“Voor eeuwen beduidde veilig reeds gedekt voor gevaar of ramp, en dát-alléén beduidt het nog”, concludeert mr. A Bogaers in zijn betoog dat veilig niet afkomstig is van het werkwoord veilen, dat ‘te koop’ betekent. Gedekt voor gevaar of ramp is inderdaad wel een mooie status, zo bedenk ik mij, die eigenlijk op gaat voor alles.

Meer heb je niet nodig. Laat dat werkwoord dan maar zitten.

Dit blog is ook verschenen als column in NVVK Info 2020-2. Het is onderdeel van het hoofdstuk Veiligheid op Rizoomes.

De veiligheid van de zelfrijdende auto

23 februari 2020 / Ed / Geen reacties

Leestijd: 7 minuten

Koen Hindriks stond dit jaar op het NVVK-congres met een intrigerend verhaal over artificiële intelligentie en veiligheid. Welke fundamentele problemen liggen er op de weg van de zelfrijdende auto? En wat is de huidige status in de ontwikkeling van autonome voertuigen?

Nachtmerrie

Je hebt een nieuwe auto gekocht. Halfautomaat met stuurflippers, virtual cockpit, automatische rijsystemen. Alle instrumenten bedien je via een beeldscherm. Het is even wennen, maar volgens de dealer kun je er zo in en karren maar. Op naar de snelweg, daar is de oprit al. Je geeft vol gas om in te voegen, het toerental stijgt en blijft continu stijgen. 4000, 5000, 6000 toeren, de motor draait steeds harder maar schakelt niet door.

Je begint aan de stuurflippers te duwen en trekken; niets. 7000 toeren, het stinkt naar verbrand rubber en metaal. De virtual cockpit valt uit, het scherm wordt zwart. Tegelijkertijd flikkeren alle waarschuwingslampjes op je dashboard. Achter je toeteren automobilisten, ze seinen met hun lichten. Het is een kakafonie van herrie, hitte, signalen en stank. Dan slaat opeens je stuurwiel in het slot, muurvast. Je ziet de vangrails nog net op je af schieten….

Autonomous driving in Bracelona. Foto van Eshenzweig onder CC 4.0.

Sommige dingen zijn eigenlijk nauwelijks voor te stellen, ook al schrijf je het nog zo realistisch op. Voor veel mensen is het verlies van controle over hun voertuig een nachtmerrie. Die angst wordt steeds realistischer, naarmate auto’s verder uitgerust worden met automatische systemen die de bestuurder ondersteunen of helemaal vervangen. Hoe groot is de kans dat auto’s straks alleen nog maar passagiers hebben en geen bestuurders? En hoe veilig is zo’n zelfrijdende auto?

Artificiële intelligentie

Koen Hindriks is hoogleraar artificiële intelligentie aan de VU in Amsterdam en doet onderzoek naar intelligente robots. Hij heeft grote twijfels bij de haalbaarheid van zelfrijdende auto’s waarbij menselijk ingrijpen niet meer noodzakelijk is. “Onder welke condities is zo’n hoge mate van autonomie mogelijk? Op snelwegen kan al veel, maar in het centrum van Amsterdam niet. De problemen waar een voertuig in die situatie voor komt te staan, kunnen we nog lang niet met softwaresystemen oplossen. Ook niet met behulp van artificiële intelligentie.”

Menselijke interventie tijdens het rijden blijft volgens hem dus noodzakelijk. Dat roept gelijk weer een nieuwe lastige vraag op. “Is de bestuurder nog wel voldoende in staat zijn rijvaardigheid op peil te houden om in te grijpen? Als het computersysteem faalt, waarom zouden mensen het probleem dan wel kunnen oplossen? Zeker als ze geen ervaring meer hebben met autorijden. We moeten dus ook naar deze vaardigheidscomponent kijken.”

Eigenlijk is het een paradox: je ontneemt de mens zijn praktische ervaring door het routine rijden aan autonome systemen over te laten, totdat de artificiele intelligentie het niet meer aan kan. De mens moet het dan opeens beter weten dan een systeem terwijl hij er geen ervaring meer mee heeft.

Neo Cargo. Foto van Giorgi Tedoradze onder CC 4.0

Ongevallen

In 2018 vond er een dodelijk ongeluk plaats met een Tesla die met autopilot reed. De chauffeur kwam daarbij zelf om het leven. Uit de black boxes kon worden afgeleid dat de bestuurder niet had ingegrepen, terwijl het systeem daar wel om vroeg. Het was het tweede dodelijke ongeval met een zelfsturende auto in dat jaar, reden voor de Amerikaanse Safety Board een onderzoek in te stellen. Die legde de oorzaak van het ongeval zowel bij de chauffeur als bij het ontwerp van de Autopilot van Tesla.

Hindriks zegt dat dit soort ongevallen niet meehelpen in het draagvlak voor zelfrijdende auto’s. “En die crash met die Boeings trouwens ook niet”, voegt hij toe. “Het zijn wel heel andere kwesties, maar je ziet toch dat mensen er terughoudend van worden. Zeker nu blijkt dat Boeing er met zijn pet naar gegooid heeft en bewust veiligheidsrisico’s heeft gebagatelliseerd.”

Afbakening

Het sentiment in de auto-industrie is ondertussen ook gaan verschuiven. Tijdens een bijeenkomst van de Detroit Economic Club, begin april 2019, zei directeur Jim Hackett van Ford dat de zelfrijdende auto langer op zich laat wachten dan gedacht. De marketingmachine ging sneller dan de techniek kon bijbenen. Volgens een hoofdonderzoeker van Nissan in Silicon Valley komt het er zelfs helemaal niet meer van: “een autonoom systeem zonder mens erbij is een nutteloos systeem.”

Neo Cargo Dashboard. Foto van Giorgio Tedoradze onder CC 4.0

Ook Uber staakte na een dodelijk ongeval hun zelfrijdende experiment en rijdt nu in een beperkt afgebakend gebied met voertuigen onder toezicht van twee chauffeurs. Volgens Uber is het niet meer de vraag wanneer er autonome voertuigen zijn, maar waar: voor welke gebieden is een voertuig geschikt? En onder welke voorwaarden kan dat gebied dan (langzaam) uitgebreid worden?

Dat is precies de vraag die Hindriks ook stelt: Onder welke condities kan een auto zelfrijdend zijn? “We weten hoe moeilijk dat is met piloten en vliegtuigen, maar met auto’s hebben we gewoon nog te weinig ervaring. We weten het dus niet.”

Vijf vragen over zelfrijdende auto’s

1. Is er een definitie van zelfrijdende auto?

Er is niet één vaste definitie van wat een zelfrijdende auto is. Het hangt er een beetje van af aan wie je het vraagt. Vaak wordt gesproken van autonoom rijdende voertuigen. Een volledig autonoom voertuig is in staat om zelfstandig te sturen, remmen en versnellen onder alle omstandigheden in alle reguliere omgevingen, zoals stad en snelweg, zonder ingreep van een mens. Maar er zijn ook minder autonome systemen, waarbij een menselijke ingreep nog wel noodzakelijk is.

2. Bestaat er een indeling in zelfrijdende systemen?

De mate van autonomie van voertuigen is onderverdeeld in 6 niveaus door de Society of Automotive Engineers (SAE). Van nul tot en met vijf, dus niet van één tot en met zes. Dat is wel eens verwarrend in de praktijk, zes niveaus die eindigen op level vijf. In niveau nul zit geen enkel ondersteunend rijsysteem en niveau 5 is volledig autonoom in alle omstandigheden op alle plekken.

De zes niveaus van autonoom rijden volgens de SAE

3. Zijn er al veel zelfrijdende voertuigen op de weg?

Op dit moment worden auto’s al uitgerust met bijvoorbeeld adaptive cruise control, een typisch niveau-2 systeem. De chauffeur blijft dynamische taken zelf uitvoeren. Denk aan sturen, versnellen en afremmen. Op niveau 3 neemt het voertuig die taken van de bestuurder over in bepaalde gebieden, zoals bij het stationair rijden op snelwegen. Zodra het mis gaat grijpt de chauffeur in. Op niveau 3 is er dus nog een actieve veiligheidsrol voor de bestuurder weg gelegd. Met dit soort voertuigen wordt nu in de praktijk geëxperimenteerd, onder andere door Tesla en Uber.

4. Wanneer is de mens niet meer nodig?

Bij level 4, volgens de indeling van de Society of Automotive Engineers (SAE). Daar voert de auto in sommige gebieden zoals snelwegen alle rijtaken uit. Als de chauffeur wil kan hij het overnemen, maar nodig is het niet. Bij problemen zal het systeem de auto zonder menselijk ingrijpen veilig laten stoppen. De stap van level 3 naar 4 wordt cruciaal in het aanvaarden van de zelfrijdende auto. Daarbij is niet zozeer de technische complexiteit een drempel voor succes, maar vooral de menselijke acceptatie om bij dergelijke vernieuwingen de controle uit handen te geven.

5. Heeft de SAE de ultieme indeling gemaakt?

Nou nee, want een belangrijke vraag is niet beantwoord: als level 4 en 5 systemen zonder mensen kunnen rijden, is er dan ook echt geen interventie meer mogelijk? Dat vraagstuk is met deze technische indeling van de SAE niet opgelost en zal waarschijnlijk ook niet snel duidelijk zijn vanwege alle juridische vragen die spelen over de aansprakelijkheid van autonome voertuigen bij ongevallen.

De Rijksdienst voor het Wegverkeer (RDW) onderzoekt hoe de wetgeving uit 1968 aangepast moet worden om zelfrijdende voertuigen mogelijk te maken. Op dit moment moet een bestuurder een rijbewijs hebben om de weg op te mogen en dat sluit dus level 4 en 5 voertuigen uit van deelname aan het verkeer. Wel mag de RDW een ontheffing verlenen voor experimenten.

_{Dit artikel verscheen ook in het eerste nummer van NVVK info februari 2020}

Twee dingen over de resilience game van RIVM

5 februari 2020 / Ed / 4 reacties

Leestijd: 6 minuten

In de loop van 2019 heeft het RIVM een resilience game gepresenteerd, die tot doel heeft veilig gedrag te trainen en medewerkers om te leren gaan met onverwachte situaties. Je mag deze game niet zomaar gebruiken. Er hoort een gecertificeerde trainer bij en inderdaad, die trainers moeten dus een examen doen.

Hoegh Osaka op de Bramble Bank

Begin februari was het de beurt aan Ruud Plomp van Artemas en ik was één van zijn zes proefkonijnen. Ruud had het zich niet makkelijk gemaakt. De tafel zat vol professionals uit de veiligheid- en crisiswereld en iedereen weet dat een hok vol experts een tikkende tijdbom is die elk moment kan ontploffen door hoogoplopende meningsverschillen. Helemaal als je vanuit verschillende belangen in een team een casus moet gaan oplossen.

Het team aan de slag met het lichten van een car-carrier

In dit geval een vastgelopen car-carrier voor de kust van Engeland, vlak bij Southampton. Het ding was gestrand op de ‘Bramble Bank’ en aan ons de eer een oplossing te verzinnen. Dat ging eigenlijk best prima, ik zal u daar verder niet mee vervelen. Voor de liefhebbers: het betrof de Hoegh Osaka en op deze wiki kan je er meer over lezen.

Waar ik u ook niet mee ga vervelen is een uitputtende uitleg van de game zelf. Op deze website van het RIVM is er meer over te vinden. Er is ook een evaluatie van het spel uitgevoerd, waar in dit artikel uitvoerig op in wordt gegaan. Ga ik dus niet over doen. Wat ik wel ga doen is een paar ervaringen als deelnemer met u delen. Twee dingen, om precies te zijn.

Tijdsdruk en Onzekerheid

Het eerste ding gaat over de definitie van resilience. Dat blijft toch een lastige kwestie en de manier waarop de RIVM het beschrijft is niet fout, maar roept bij mij toch vragen op.

Het RIVM verdeelt veiligheid in twee hoofdgroepen. In de eerste plaats is er normatieve veiligheid, wat ze op hun website ook wel klassieke veiligheid noemen.

“In de klassieke manier van kijken naar veiligheid, schatten bedrijven risico’s in op basis van fouten en ongevallen uit het verleden. Maatregelen zijn meestal gericht op het beheersen van voorzienbare risico’s. Deze risicoschattingen zijn echter nooit volledig; er is altijd variatie. Bijvoorbeeld in het weer, menselijk gedrag en de kwaliteit van grondstoffen. En soms vallen dingen onverwacht en op een ongelukkige manier samen. Dit pleit ervoor de organisatie zo in te richten dat ook snel en veerkrachtig opgetreden kan worden bij onvoorziene situaties.”

En dat laatste is dus resilience volgens het RIVM. Een andere vorm van veiligheid, als ik het goed begrijp. Beide zijn belangrijk, klassiek en resilient, denk ik dan. Het hangt van de situatie af welk gedrag noodzakelijk is. Maar is resilient dan niet juist dat je ook voor klassieke veiligheid weet te kiezen als het probleem daar om vraagt? Met andere woorden, zit klassiek dan niet in resilient, in plaats van dat het er naast ligt?

Resilient, zo gaat het RIVM verder, is eigenlijk een combinatie van onzekerheid en tijdsdruk. Omdat die variabelen onafhankelijk van elkaar zijn, kun je ze combineren in een kwadrantenmodel. Dan krijg je onderstaand plaatje.

Dat ziet er op zichzelf overzichtelijk uit. Ik probeerde het model te gebruiken voor mijn vakgebied, dus wat breder dan veiligheid. Als je de kwadranten vertaalt naar business continuity (disrupties), emergency respons en crisis ontstaat er volgens mij deze indeling.

Crisis vraagt immers om reflectief handelen en emergency respons om direct ingrijpen onder tijdsdruk. Een organisatie is echter pas resilient, naar mijn stelligste overtuiging, als die het complete spectrum van de vier kwadranten weet te managen. Wat het RIVM hier als resilient benoemt zou ik dus eerder als adaptieve veiligheid bestempelen. In die zin zie ik resilient meer als de combinatie van normatief en adaptief inclusief de deskundigheid om ze bij het juiste probleem in te zetten.

Ander dingetje: misschien is er zelfs wel een vijfde kwadrant: de integrale overlap van alle kwadranten, precies in het midden van de assen. Zit daar wellicht het wicked problem, de vervelendste van alle problems? Geen idee of het iets toevoegt aan het model, maar het is één van de dingen, het anderhalfste ding, die mij aan het denken heeft gezet.

Non lineaire ontwikkeling van een incident

Goed, twee dingen zou ik noemen en we hebben er anderhalf gehad. Mijn tweede bevinding betreft de non lineaire ontwikkeling van een incident. Logisch, zegt de goed belezen en erudiete crisisprofessional nu. VUCA, immers. Complexity, misschien wel complexe adaptieve systemen. Wat had je dan gedacht? Ja, wat had ik dan gedacht?

Eerlijk gezegd had ik gedacht dat het managen van een incident altijd zou leiden tot afname van tijdsdruk en onzekerheid indien er zich geen onverwachte gebeurtenissen, escalatiefactoren of complicatiefactoren zouden voordoen. Maar dat is dus niet helemaal waar, zo leerde de RIVM game mij, ervaarde ik.

In de casus worden vijf stappen doorlopen. In dit plaatje zijn ze onder elkaar gezet. Een logische sequentie, hoewel, kniesoor spreekt, het bepalen van de startsituatie de eigenlijke eerste stap is. Het zijn dus zes stappen.

Tijdens het bepalen van het startincident vonden wij als team de onzekerheid en tijdsdruk hoog. Toen in stap één bleek dat de carrier stabiel op een zandbank lag, beoordeelden wij als team de tijdsdruk en onzekerheid als minder hoog. Die namen dus af, precies zoals ik had verwacht.

Maar toen het schip vlot getrokken werd, deed er zich opeens de mogelijkheid voor dat het ding toch zou zinken. Dat het in de vaargeul zou verdwijnen, een milieuramp zou veroorzaken, veel langer onderweg zou zijn dan gedacht, enzovoorts. Zowel de tijdsdruk als de onzekerheid namen vanaf dat moment dus opeens weer toe. Logisch, ja, met hindsight. Verwacht, nee, met foresight. Dat vond ik een mooie learning die ik ’s ochtends niet had kunnen voorspellen.

In die zin voegt de resilience game echt iets toe. Niet om je een rotsvaste definitie van resilience en adaptatie aan te leren. Wel om je een vocabulaire aan te reiken waarmee je je eigen performance en die van je team kunt evalueren en bestuderen. Ik vind het een aanwinst, en dan heb ik nog niet eens verteld over de individuele- en teamkwaliteiten, noch over de mentale valkuilen die ook in het spel zitten. Daar zaten voor mij geen nieuwe leerpunten in, dus dat is niet zo zinvol om hier verder op in te gaan. En Ruud? Ja, die is geslaagd. Dat had ik dan weer wel verwacht.

De helikopters van de Kustwacht

12 januari 2020 / Ed / 1 reactie

Leestijd: 11 minuten

De aankoop van bijzonder materieel zoals de helikopters van de kustwacht is altijd een linke business. Vaak wordt pas bij de ingebruikname duidelijk of er niet iets fundamenteels over het hoofd is gezien. Dat geldt eigenlijk voor alle vervangingsinvesteringen. Dat soort materieel zit namelijk in een systeem dat jarenlang getweaked is om met veranderende omstandigheden om te gaan. De vraag is of al die veranderingen wel gezien zijn toen er iets gekocht ging worden?

Dit verhaal over de helikopters van de Kustwacht is een vervolg op het blog over fundamental risk. Het is het eerste voorbeeld om het concept van fundamental risk verder inhoud te geven en is geschreven in 2020. In 2021 is aan dit blog een nieuw voorbeeld toegevoegd van fundamental risk: de aanschaf van (te) grote vrachtwagens bij defensie.

Het gaat mij daarbij overigens niet om het volledig analyseren van de aangedragen cases zelf of om het wijzen naar mensen of partijen. Veel meer is het de bedoeling om elementen uit praktijksituaties te abstraheren naar rode draden die behulpzaam kunnen zijn bij het begrijpen van fundamental risk. Want die ontstaan namelijk niet alleen door grote ego’s, zoals dit blog zal aantonen.

De helikopters van de kustwacht

Deze casus gaat over het wel en wee van de search and rescue (SAR) helikopters van de Kustwacht. Die kwestie wordt al sinds 2015 door het NRC gevolgd. Begin januari 2019 waren er nieuwe bevindingen over de (on)veiligheid van de toestellen in de praktijk, blijkend uit een rapport van drie veiligheidskundigen waar het NRC de hand op had weten te leggen. De feiten zijn niet mals, maar het verhaal erachter is eigenlijk interessanter. Welke factoren veroorzaken deze situatie nou eigenlijk, want ik kan me niet voorstellen dat er ook maar iemand is die dit expres laat ontstaan.

Photo by Zach Lezniewicz Helikopters van de kustwacht — Photo by Zach Lezniewicz

Toen ik de berichtgeving over de helikopters van de kustwacht las, kwam direct de gedachte in mij op dat dit mogelijk een goed exemplaar is van een fundamental risk. De moeite waard dus om er een kleine analyse op los te laten. Overigens heb ik met deze casus in mijn werk geen bemoeienis gehad, ik maakte er pas kennis mee via de krant. Via deze twee onderstaande links kan je de berichtgeving uit het NRC lezen, ik ga de feiten hier niet herhalen.

Kustwachthelikopters: redden met gebreken.

Mensen redden mag niet te duur worden

Het probleem van aanbesteden

Mijns inziens ligt de basisoorzaak van het fundamental risk in deze casus bij het aanbestedingsproces. Het kernprobleem van aanbesteden wordt veroorzaakt door schurende kennisdomeinen.

In de eerste plaats is daar het kennisdomein van de functionele eisen. Rationeel en feitelijk. Functionele eisen zijn hard, zwart wit, transparant, meetbaar en controleerbaar. Anders kun je de verschillende aanbiedingen niet meten en dus niet met elkaar vergelijken. In de functionele wereld lijkt alles maakbaar en haalbaar, en dat ook nog eens voor de beste prijs. Het is te omschrijven als ‘know-that’.

Het tweede kennisdomein is die van de gebruiker. Die wereld is een stuk minder duidelijk en voorspelbaar. In de praktijk doen zich allerlei onverwachte en moeilijke situaties voor, die je toch moet zien op te lossen met de middelen die verkregen zijn via de functionele aanbesteding. Niet zelden moet materieel en materiaal ingezet worden in omstandigheden die niet voorzien waren in het functioneel PvE (programma van eisen). Hoe gaat het spul zich dan houden?

Tacit knowledge

Daar komt bij dat veel kennis van gebruikers slechts moeizaam te expliciteren is naar functionele eisen en dus ook moeilijk over te dragen is aan anderen. Het is zachte kennis, ervaringskennis, veelal aangeduid als tacit knowledge. Hoe maak je een PvE van zwemmen? Of van fietsen? Van muziek maken? Van een helikopterredding bij windkracht zes in het donker boven zee? Ervaringskennis wordt dan ook opgedaan door de kunst af te kijken in de praktijk of in oefeningen, al dan niet onder leiding van een mentor. Dat is wat we ‘know-how’ noemen.

Het verschil tussen know-that en know-how legt de kiem voor een fundamental risk bij aanbesteden als je het niet goed regelt. Want dan gaat je aanbesteding niet alleen mis bij helikopters, maar ook bij ander materiaal, materieel of diensten.

Hoe maak je een PvE van zwemmen Helikopters van de kustwacht — Hoe maak je een PvE van zwemmen?

Waaier aan problemen

Het onderzoek naar het functioneren van de helikopters van de kustwacht door te gaan kijken hoe er mee wordt gewerkt in de praktijk doet recht aan de tacit knowledge van de gebruikers. Niet oordelen hoe het moet, maar observeren hoe het gaat. Dat levert een waaier aan problemen op. Het NRC noteert: “De ruimte aan boord van de Kustwachthelikopters is „zeer beperkt”. Per vlucht moeten twee vliegers, een zwemmer, de verpleegkundige en een hoist operator, die mensen aan een touw omhoog en omlaag hijst, mee. Met een brancard met slachtoffer erbij is er in de cabine „zeer weinig ruimte om te manoeuvreren rondom de patiënt”. Sterker nog: „Het is fysiek bijna onmogelijk om de tas met medische middelen te openen”.

En verder: “Zekering van de medic aan boord is niet altijd gegarandeerd. Onder bepaalde omstandigheden moet de medic op de vloer van de helikopter zitten zonder zekering.” Ook de brancard kan niet gezekerd worden. Andere medische apparaten, zoals de hartmonitor, hangen in de weg: “Een monitor wordt met musketonhaken opgehangen zodanig dat de nooduitgang wordt geblokkeerd.”

Het artikel beschrijft verder nog problemen met de taalvaardigheid van de helikopterbemanning, de lengte van hun dienstroosters, verschillen in verantwoordelijkheid en aansprakelijkheid tijdens ‘koude operatie’ (zoals oefenen) in vergelijking met warme operatie (redding) en het ontbreken van persoonlijke beschermingsmiddelen. Mijns inziens allemaal problemen die voortkomen uit de schurende kennisdomeinen.

Escalatiefactoren

Daarnaast zijn er een aantal escalatiefactoren die het probleem van de schurende kennisdomeinen verergeren. Zonder compleet te willen zijn noem ik er hier vier, het gaat om het principe van probleemvergroters. Want dat is wat escalatiefactoren zijn.

Niet voldaan aan PvE bij aflevering

Het NRC schrijft dat de helikopters van de kustwacht bij aflevering niet volledig aan het PvE voldeden maar wel in gebruik zijn genomen. Dat betekent dat het gat tussen know-that en know how nog groter is geworden.

Nichekennis

De SAR-unit is een kleine taak in de periferie van de Kustwacht en Rijkswaterstaat. Daardoor is de kennis erover niet dik gezaaid, een fundamenteel probleem van alle nichekennis in organisaties. Daar is niet heel veel aan te doen, maar je moet het wel weten en er op één of andere manier voor compenseren

Verantwoordelijkheid ligt tussen veel partijen

Per definitie zijn er bij aanbestedingsprocessen meerdere partijen betrokken. In deze casus wel heel erg veel en ook nog eens verdeeld over meerdere landen. Alles wat je opsplitst moet je ergens weer integreren, anders raak je het overzicht kwijt.

Vulnerable System Syndrome (VSS)

James Reason beschreef het VSS als een combinatie van blame, denial en the blinkering pursuit of the wrong goals. Ik maakte er ooit dit blog over. In deze kwestie zie je dat in meer of mindere mate terugkomen: een aanbesteding die vooral op prijs lijkt gegund, ontkenning van problemen door bewindslieden en het verschuiven van ellende naar medewerkers zelf na ongevallen met letsel.

Tegenspraak in organisaties — Tegenspraak is van groot belang om een VSS te voorkomen

Conclusie

“Fundamental risk ontstaat doordat het juiste zicht op de werkelijkheid verdwenen is bij de besluitvormers”, zo schreef ik in het eerste blog. “Soms komt dat door psychologische factoren en hebben mensen zo’n groot ego gekregen dat ze denken dat de wereld om hen draait, maar meestal komt het door het systeem.”

Mijn conclusie is dat het in deze casus over de helicopters van de kustwacht vooral om het systeem draait. Het is de vraag of de besluitvormers in deze complexiteit van aanbesteding en escalatiefactoren het totaaloverzicht (kunnen) hebben om hun handelen op te baseren.

Het ontbreken van dat totaaloverzicht is het risico, maar wat het fundamenteel maakt is als men niet beseft dat het totaaloverzicht ontbreekt.

De veiligheidsrisico’s op zichzelf zijn situationeel en uiteindelijk wel oplosbaar. Maar die fundamentele kwestie dus niet. Daar dringen zich de Endsley levels op, de drie niveau’s van zien, begrijpen en voorspellen. Fundamental risk is dan dat je niveau 1 nog niet eens haalt. Eigenlijk is het onbewust onbekwaam op organisatieniveau, Endsley level nul. Fundamenteler kun je een probleem niet gauw hebben. Hoe weet je wat je niet weet?

Endsley Levels geillustreerd door Wendy Kiel

Een schone taak voor de veiligheidskunde om die onbekwaamheid te verlichten, zo schreef ik in het eerste blog, want we hebben het niet over unknown unknowns. Er is dus wat aan te doen. Met dit tweede blog hoop ik daar een minieme invulling aan gegeven te hebben.

Update 20 mei 2021: de Gryphus van defensie

Eind mei 2021 verschenen er berichten in diverse kranten dat defensie een nieuwe vrachtwagen heeft aangeschaft die niet in de kazerne van Oirschot past. Omroep Brabant spreekt zelfs van een blunder, wat door woordvoerders van defensie wordt tegengesproken. Zij hebben het over ‘een wijze van presentatie.’ Volgens hen is er gekozen voor het meest optimale voertuig in de operatie. De omvang van de kazerne mocht daar geen belemmering in vormen.

De Volkskrant vroeg er op door: “Voelt het toch niet alsof iemand een nieuw bankstel heeft gekocht dat niet in de woonkamer blijkt te passen? De woordvoerder: ‘Ververs jij de olie van je auto in de garage naast je huis? We hebben een nieuw voertuig aangeschaft met geweldige, operationele capaciteiten voor de chauffeur. Maar de consequentie is dat die Scania niet meer in de oude gebouwen past. Dat is nooit een vereiste geweest.”

Of het nu wel of niet een bewuste keuze is geweest, de consequenties ervan liegen er niet om.

Op de kazerne in Oirschot passen de voertuigen niet in het gebouw. De daar af te leveren 300 voertuigen moeten buiten worden onderhouden. Overigens passen ze ook niet in de parkeervakken en daarvan waren er al te weinig.
Groot onderhoud moet gebeuren in kazernes in de buurt. Maar ook dan zijn er volume problemen. Weliswaar passen de voertuigen er in, maar dan is er te weinig ruimte rondom de Scania om veilig te kunnen werken. Bijvoorbeeld om vluchtwegen te kunnen bereiken.
De standaard containers kunnen niet meer gebruikt worden omdat de totale voertuighoogte dan boven vier meter komt en dat past niet onder viaducten in Nederland. Er worden dus apart lagere containers aangeschaft.
Volgens de Telegraaf zijn de voertuigen te groot om te gebruiken als trekker voor de luchtmachttrailers.

Scania XT is de nieuwe vrachtwagen van defensie, nu nog enkel in oirschot als lesvoertuig bedoeld voor bijscholing. Foto ministerie van Defensie

Ook dit is net als de helicopters van de kustwacht een interessante casus. Niet eens zozeer over de omvang van de Scania zelf. Als defensie er van overtuigd is dat dit de beste aanschaf was, dan zal dat best zo zijn.

Maar het laat wel een andere kwetsbaarheid zien en dat is de verwevenheid van materiaal en materieel in een systeem. De nieuwe trucks maken het noodzakelijk om gebouwen aan te passen, parkeervakken, containers en trailers. En misschien nog wel andere zaken ook, ik heb daar verder geen onderzoek naar gedaan.

Maar die aanpassingen zijn er nog niet en volgens de kranten gaat het nog jaren duren ook. De vraag is dan wat dit doet met de robuustheid van het systeem als geheel. Leidt het tot extra achterstallig onderhoud, fouten in het gebruik, extra ongevallen? Zijn er meer monteurs nodig om de voertuigen te verplaatsen voor onderhoud? Gaat dat dan ten koste van andere operationaliteit? Moeten andere systemen zich aanpassen aan de maatvoering van de nieuwe trucks (hoe zit het bijvoorbeeld met landingsvaartuigen en transportvliegtuigen, past dat nog in dezelfde capaciteit per eenheid) en wat betekent dat voor de functionele operationaliteit van defensie als geheel?

Wat ik maar zeggen wil: pas op met deeloptimalisaties in een systeem. Als je die structureel wil inpassen, dan zijn er compensatiekosten nodig voor aansluiting op de rest om de hele boel weer aan de gang te krijgen. De cruciale vraag is natuurlijk of dat uiteindelijk niet ten koste gaat van de slagkracht van het systeem als geheel?

Anders gezegd: hoe weet defensie dat de deeloptimalisatie met de Scania’s inclusief compensatiekosten (bedrag X) leidt tot een betere slagkracht van het systeem als geheel, dan als er ter grootte van dat bedrag X andere keuzes waren gemaakt met betrekking tot de vrachtwagens en er met het overblijvende geld andere verbeteringen zouden zijn doorgevoerd?

Op z’n Jip en Jannekes: stel, die nieuwe auto’s kosten 10 euro en de compensatiekosten zijn 5 euro. Zou er voor die 15 euro met een andere autokeuze misschien een beter systeem zijn ontstaan?

En dan is er toch opeens weer diezelfde conclusie als met de helicopters:

Het ontbreken van het totaaloverzicht is een risico, maar wat het fundamenteel maakt is als men niet beseft dat het totaaloverzicht ontbreekt.

Update Scania Gryphus 10 september 2021

Op 9 september 2021 bericht de NOS dat de nieuwe Scania Gryphus van Defensie toch te hoog is. Waar in mei 2021 nog glashard werd ontkend dat er een probleem was met de voertuigen, is er nu een ontheffing aangevraagd om tijdelijk de openbare weg op te mogen. De leverancier gaat voor een oplossing zorgen, zegt het bericht. Waarmee de vraag blijft hangen wat de vervanging van deze schakel voor de slagkracht van het totale systeem betekent.

Update Scania Gryphus 28 december 2021

Half december kwam de leverancier dan ook echt met een oplossing: de bandenspanning wordt verlaagd. Dat is het type oplossing die aan een 1 april grap doet denken. Toch is het echt waar, meldt nu.nl.

De bandenspanning kan omlaag “omdat het voertuig in de praktijk minder zwaar beladen wordt en zonder pantsercabine rijdt”. Als de vrachtwagen met een pantsercabine de weg op gaat, zal de bandenspanning weer worden aangepast onder supervisie van de leverancier.

Wat deze oplossing betekent voor de slijtage van banden en extra verbruik van de vrachtwagens vermeldt de oplossing op de site van defensie niet.

Lees ook de blogs over ‘de zwarte eend‘ en ‘het-met-de-kennis-van-nu syndroom.’ Over de risico’s van domheid en het maken van gratuite excuses achteraf.

Vooral doorgaan

29 september 2019 / Ed / Geen reacties

Leestijd: 3 minuten

29 september 2019

Soms zijn veiligheidsrisico’s hetzelfde als continuïteitsrisico’s, maar soms ook niet. Het verschil zit in de kleine dingen, betoogde ik op een bijeenkomst van de Gezamenlijke Brandweer. Maar let goed op, want kleine dingen worden zomaar groot.

‘Vooral doorgaan’ was de gevleugelde uitdrukking van jurylid Barrie Stevens bij de Soundmixshow, als hij de net niet winnende deelnemers wilde aansporen om te blijven werken aan hun succes. “Commentaar van een ander mag nooit je dromen wegnemen”, zo verklaarde hij later. Een mooi gegeven, dat ik ‘de wet van Barrie’ ben gaan noemen.

het nut van kleine dingen

‘Vooral doorgaan’ was daarom ook de titel van mijn lezing op een bijeenkomst van de Gezamenlijke Brandweer (GB) op 3 juli 2019. De GB is een publiek private samenwerking van de stad Rotterdam met 65 bedrijven uit het havengebied. Het specialisme is industriële brandbestrijding, maar ze doen ook dingen als het blussen van brand op schepen en het redden van hoogte. Grote dingen dus, met de hoofdletter V van veiligheid. Ik hield daar echter een pleidooi voor de kleine dingen, vanuit het oogpunt van business continuity. Dat is trouwens geen vraagstuk van of het één of het ander, je moet het allebei hebben. Naast het grote, het kleine.

Waarom is het kleine zo belangrijk? Omdat het zo maar groot kan worden. Continuiteit gaat over de productie van alledag en speelt in die zin een belangrijke rol in de concurrentie met andere bedrijven. Hoe sneller je weer op de been bent na een storing, hoe betrouwbaarder je bent en hoe beter de klant je zal weten te vinden. De focus moet daarbij niet eens zozeer op het nu liggen, maar op pakweg over tien jaar. Hoe zien de concurrentieverhoudingen er dan uit, en wat moet je nu al op de rit gaan zetten om er over tien jaar goed voor te staan?

veilig voortzetten

Om dit soort vragen te beantwoorden hanteer ik twee principes die richting geven aan mogelijke oplossingen. De eerste is veilig voortzetten, de belangrijkste driver achter mijn denken in business continuity. Niet streven naar voorzieningen die helpen met afbouwen, maar naar voorzieningen die ‘vooral doorgaan’ ondersteunen. Hoeveel redundantie in systemen heb je nodig? Hoeveel noodstroom en van welke kwaliteit? Welke leveranciers zijn cruciaal? Wat zijn de single points of failure? Dat soort vragen.

De nieuwe autospuit van de Gezamenlijke Brandweer had zich op 3 juli fotogeniek voor het stadhuis van Rotterdam geposteerd.

kleine incidenten klein houden

Het tweede principe is kleine incidenten klein houden. Beheersing van kleine incidenten is een vorm van operational excellence dat veel eist van bedrijven op het gebied van soft skills. Het moeilijkste is de verandering van een reactieve organisatie naar een proactieve. Proactiviteit vraagt om een harde respons op weak signals. Het vraagt om grondige kennis van bedrijfsprocessen, kennis die uitstijgt boven wat normaliter voor functies noodzakelijk is. Zie het maar als een vorm van deskundigheidsredundantie. En het vraagt om een adequate beslissingsbevoegdheid op de werkvloer, met een just culture waarin niet op schuldigen wordt gejaagd.

Beide principes heb je niet zomaar voor elkaar, het is een lange weg om te gaan. Er zullen successen zijn en tegenslagen. Stappen vooruit en achteruit. Tot je op enig moment door hebt dat je er nooit zult komen, maar wel altijd op de goede weg kunt zijn. Zo lang je die wet van Barrie maar niet vergeet: ‘vooral doorgaan’.

Dit is de tweede column die ik schreef voor het verenigingsblad van de NVVK, de Nederlandse Vereniging voor Veiligheidskunde. De eerste vind je hier: de veiligheidsbril van Ed

De Veiligheidsbril van Ed

25 mei 2019 / Ed / Geen reacties

Leestijd: 3 minuten

25 mei 2019

De veiligheidsbril van Ed is een column die ik voor de NVVK Info schrijf, het vakblad voor veiligheidsprofessionals. Dit is de eerste: de vanzelfsprekendheid van alledag.

Ik denk dat ik voor het eerst bewust met veiligheid werd geconfronteerd tijdens mijn studie organisatiepsychologie. Weliswaar had mijn moeder mij daarvoor al meermaals op het hart gedrukt voorzichtig te zijn, maar dat zag ik meer als een afscheidsgroet dan een aansporing om het eens extra veilig aan te doen. Ik deed indertijd een onderzoek naar kwaliteit van de arbeid bij automatisering in de zuivel en mijn studiebegeleider zei dat ik maar eens in de Arbowet moest kijken. Daarvan was de eerste tranche net in werking getreden. Misschien dat er wat aanknopingspunten in zouden staan.

En inderdaad, daar kwam van alles naar boven over veiligheid, gezondheid en welzijn op het werk. Vooral door het veiligheidsdeel was ik gefascineerd. Helaas kon ik er niet zo veel mee voor mijn afstudeeronderzoek. Dat ging meer over welzijn, zo concludeerde ik. Met mijn veiligheidsbril van nu op, denk ik dat het toch ook over veiligheid ging. Organisatorische veiligheid, weliswaar, maar ook dat is veiligheid. Je moet alleen goed kijken voor je het ziet.

Toen ik enkele jaren later bij de brandweer ging werken, het was inmiddels 1991, kwam ik in aanraking met wat ik in die tijd als echte veiligheid zag: brandbestrijding, technische hulpverlening en ongevalsbestrijding gevaarlijke stoffen. Het waren enerverende jaren daar in Amsterdam. Tot die dag in april 1995, toen drie collega’s uit mijn Sectie hun leven verloren bij een inzet aan de Motorkade. Daar leerde ik over de zwarte rand van veiligheid, die ze op de Brandweeracademie hadden vergeten te vertellen. Met mijn veiligheidsbril van nu op, weet ik dat veiligheid meer is dan een RIE en een veiligheidsmanagementsysteem. Het gaat ook over hoe je er met je collega’s weer bovenop komt nadat het zo mis ging, dat je niet ontkent hoe het zo ver kon komen en dat je ook niemand de schuld ervan geeft. Want je moet wel door met zijn allen, maar dat moet je eerst zien voor je het kan doen.

Helaas was de Motorkade niet het laatste fatale ongeval waar ik mee te maken kreeg. Via het Begrafenis Bijstandsteam raakte ik betrokken bij onder andere de Vuurwerkramp en de Koningskerkbrand in Haarlem. En als Lector Brandweerkunde deed ik onderzoek naar de rampzalige brand in De Punt. De rode draad in al die ongevallen is dat het niet zozeer de harde veiligheid is die er aan ten grondslag lag, maar vooral het onbewuste web van aannames en gewoontes die iedereen standaard met zich mee draagt. Het is de vanzelfsprekendheid van alledag die ons veiligheid en onveiligheid brengt en die je pas ziet als je weet waar je moet kijken. Graag neem ik je mee in een serie verhalen over mijn blik op ons mooie vak door de veiligheidsbril van Ed.

Soort van voorwoord

Inleiding

Beeldvorming

Pre-accident investigatiom

Leerfasen

Snelle Scenario Analyse

Vragenvuur

Voorbeeldvragen:

Afsluiting

50+ brein

Cognitieve reserve

Escalatiefactoren

Complicatiefactoren

Fundamental surprise

Met-de-kennis-van-nu

Papendal

Update 9 april 2021: Reframing

Update 19 juli 2021: Zonnekoning

Update 6 april 2022. Soms is outside pissing in toch echt beter

Update 10 maart 2023: Sorry voor mijn sorry

Nachtmerrie

Artificiële intelligentie

Ongevallen

Afbakening

Vijf vragen over zelfrijdende auto’s

1. Is er een definitie van zelfrijdende auto?

2. Bestaat er een indeling in zelfrijdende systemen?

3. Zijn er al veel zelfrijdende voertuigen op de weg?

4. Wanneer is de mens niet meer nodig?

5. Heeft de SAE de ultieme indeling gemaakt?

Hoegh Osaka op de Bramble Bank

Tijdsdruk en Onzekerheid

Non lineaire ontwikkeling van een incident

De helikopters van de kustwacht

Het probleem van aanbesteden

Tacit knowledge

Waaier aan problemen

Escalatiefactoren

Niet voldaan aan PvE bij aflevering

Nichekennis

Verantwoordelijkheid ligt tussen veel partijen

Vulnerable System Syndrome (VSS)

Conclusie

Update 20 mei 2021: de Gryphus van defensie

Update Scania Gryphus 10 september 2021

Update Scania Gryphus 28 december 2021

het nut van kleine dingen

veilig voortzetten

kleine incidenten klein houden

Trending Posts

Categorized Tag Cloud

Archieven

Categorieën