Hva er en risikoanalyse?

Risikoanalyse er en metode for bringe fram et risikobilde for en aktivitet, et industrianlegg eller lignende. Risikoanalysen baserer seg på at man identifiserer relevante uønskede hendelser eller ulykkesscenarioer. For hvert av disse scenarioene fastsettes så sannsynligheten for at den uønskede hendelsen skal inntreffe, og mulige konsekvenser dersom hendelsen inntreffer. For å beregne sannsynligheter og konsekvenser benyttes ulike tilnærminger slik som bruk av erfaringsdata fra tilsvarende virksomhet, fysiske modeller for brann- og eksplosjonsutvikling og ekspertuttalelser. Resultatene fra en risikoanalyse vil avhenge av den bakgrunnsforståelse og innsikt som analysegruppen besitter. Andre analysegrupper kan ha annen bakgrunnskunnskap og derfor fremstille et annet risikobilde. Vi snakker derfor ikke om et objektivt sant risikobilde. En risikoanalyse av høy kvalitet er kjennetegnet ved at bakgrunnskunnskap, antagelser osv er synliggjort i analysen. Dersom to analysegrupper kommer fram til svært forskjellige risikobilder vil dette ofte ligge i forskjellige antagelser og bakgrunnskunnskap. Dette vil da gi grunnlag for en diskusjon om forutsetninger.

Risikoanalyse i forskjellige faser av et prosjekt

Risikoanalyser gjennomføres i ulike faser av et prosjekt. I en tidlig fase av et prosjekt er den detaljerte utformingen av et anlegg ofte ikke bestemt. Dette betyr at risikoanalysen i tidlig fase er grov, og ofte veldig generell. For eksempel vil sikkerhetssystemene ofte ikke være designet, og i analysen tar man da gjerne utgangspunkt i gjennomsnittsverdier for påliteligheten av sikkerhetssystemer for slike anlegg. Etter hvert som prosjektet utvikler seg vil flere og flere av de tekniske løsningene komme på plass, og det er mulig å oppdatere analysene i lys av den løsning som faktisk velges. Erfaring viser at svært mange ulykker kan knyttes til manglende vedlikehold eller andre problemer knyttet til drift og vedlikehold. Vedlikeholdsprogrammet og andre operative prosedyrer vil ofte først komme på plass like før anlegget settes i drift. Også her må analysene oppdateres etter hvert som ting faller på plass. RCM (Reliability Centred Maintenance = Pålitelighetsstyrt vedlikehold) og RBI (Risikobasert inspeksjon) er vanlige metoder for å etablere et vedlikeholdsprogram. Dette er risikobaserte metoder som på en systematisk måte identifiserer behov for forebyggende vedlikehold slik at den innebygde påliteligheten til utstyret ivaretas. For anlegget i Risavika er den detaljerte utformingen av sikkerhetssystemer, vedlikehold og driftsprosedyrer ennå ikke på plass. Det betyr at de gjennomførte risikoanalyser har lagt gjennomsnittsverdier til grunn. Konkret betyr det at dersom Lyse velger dårlige tekniske løsninger, et reaktivt vedlikeholdsprogram og lite gjennomtenkte driftsprosedyrer kan risikoen bli betydelig høyere enn hva risikoanalysene viser. På den andre side vil risikoen kunne bli betydelig lavere dersom Lyse velger gode tekniske løsninger, et proaktivt vedlikeholdsprogram og gjennomtenkte driftsprosedyrer.

Hva er usikkerheten i risikoanalysen?

Risikoanalysen forsøker å identifisere flest mulige relevante ulykkesscenarioer som legges til grunn for kvantitative beregninger. Med kvantitative beregninger mener vi analyser som setter tall på sannsynligheter og konsekvenser knyttet til et scenario. Risikoanalysen kombinerer sannsynlighetsmodeller med fysiske modeller. Sannsynlighetsmodeller kan være basert på ren statistisk analyse og/eller modeller for kombinasjoner av feil. Feiltreanalysen er en metode for å analysere kombinasjoner av feil. Som et enkelt regneeksempel kan vi betrakte et system med to redundante sikkerhetsventiler. Dersom feilsannsynligheten for at hver av disse ventilene er en prosent (1% = 0.01), vil sannsynligheten for at begge ventiler feiler være gitt ved: 0.01 x 0.01 = 0.0001 = 0.01%, dersom vi antar at ventilene feiler uavhengige av hverandre. Sannsynligheten vi har fastsatt her angir da vår vurdering av hvorvidt de to sikkerhetsventilene begge vil feile i en kritisk situasjon. Bak disse sannsynlighetene ligger det flere antagelser. For eksempel har vi forutsatt at ventilene feiler uavhengig av hverandre. Videre har vi kanskje antatt at disse ventilene har samme pålitelighet som andre ventiler vi har driftserfaring fra da vi fastsatte feilsannsynligheten til 1%. Det er åpenbart usikkerhet knyttet til slike forutsetninger som gjøres i en analyse. Det blir derfor svært viktig at alle forutsetninger beskrives som en del av analysen så langt det lar seg gjøres. En diskusjon av forutsetninger vil også være ønskelig. Det er utviklet mange fysiske modeller for å beskrive hendelsesforløpet etter at en uønsket hendelse har inntruffet. Dette vil være spredningsmodeller for gass, modeller for antennelse, og brann- og eksplosjonsmodeller. Slike modeller legger også ulike forutsetninger til grunn, for eksempel vindretning, vindstyrke og temperatur. For å etablere sannsynligheten for mulige konsekvenser av en uønsket hendelse er det vanlig å variere forutsetningene (initialbetingelsene) i de fysiske modellene. En slik variasjon kan f eks være basert på meteorologiske data. Valg av fysisk modell kan også være noe det knytter seg usikkerhet til. For å summere opp så vil altså risikoen til hvert ulykkesscenario beskrives med sannsynligheten for at ulykkesscenarioet vil inntreffe, og en sannsynlighetsfordeling over mulige konsekvenser gitt at scenarioet inntreffer. Med en sannsynlighetsfordeling mener vi for eksempel sannsynligheten for at ingen blir drept, sannsynligheten for at 1-2 blir drept, sannsynligheten for at 2-10 blir drept osv. Disse sannsynlighetene representerer analysegruppens beste vurdering av usikkerheten knyttet til scenarioet. Disse sannsynlighetene er igjen betinget av forutsetninger og bakgrunnskunnskap til analysegruppen. Forutsetningene skal i størst mulig grad listes som en del av analysen. Beslutningstaker og andre involverte parter kan sitte med annen bakgrunnskunnskap og gjøre andre forutsetninger. Det kan da det være naturlig å oppdatere analysene i lys av denne nye innsikt. Svært ofte vil det være mulig å diskutere slike forutsetninger, og evt foreta følsomhetsanalyser for å se vrikningen av ulike forutsetninger.

Risikoakseptkriterier og ALARP

Mange standarder for gjennomføring av risikoanalyser setter krav til at risikoakseptkriterier skal etableres før analysene gjennomføres. Et risikoakseptkriterium er en øvre grenseverdi for hvilken sannsynlighet vi aksepterer for en gitt konsekvens, for eksempel sannsynligheten for å dø i en ulykke. I Norge er det vanlig at det er virksomhetene selv som setter akseptkriteriene, mens man for eksempel i England lar myndighetene sette akseptkriteriene. Bruk av risikoakseptkriterier kombineres ofte sammen med det såkalte ALARP prinsippet (As Low As Reasonalbe Practicable). ALARP prinsippet deler opp risiko i tre områder. I det øverste området med høyest risiko anses risikoen for uakseptabel, og tiltak skal gjennomføres for å redusere risikoen. Grenselinjen som skiller det øverste området (rødt område) fra det midterste området (gult område) svarer da til risikoakseptkriteriet. I det gule området, eller ALARP området, skal relevante tiltak identifiseres. Tiltakene skal også iverksettes såfremt det ikke er svært lite hensiktsmessig eller svært kostbart i forhold til sikkerhetsgevinsten som kan oppnås. I det laveste området (grønt område) er risikoen så lav at man ikke trenger å identifisere risikoreduserende tiltak. ALARP prinsippet benyttes ofte som en del av risikostyringen i en virksomhet. Bruken av risikoakseptkriterier er i den senere tid blitt kritisert av ulike årsaker. En årsak til denne kritikken er at bruk av risikoakseptkriterier ofte blir en ren skjematisk øvelse som ikke nødvendigvis får fokus på hva som er trusselfaktorene, og hva som er verdivalgene i forhold til beslutningene. Bruk av risikoakseptkriterier kan også gi dårlige løsninger fordi det begrenser muligheten til å foreta beslutninger hvor mange aspekter skal løftes fram og håndteres under ett.