Onnettomuuksiin on usein syynä se, että ei nähdä linkkejä eri alueiden välillä, tai pahimmillaan niihin ei uskota, vaikka ne nähdään. ”Näkeminen ei välttämättä tarkoita uskomista. Joskus pitää uskoa, ennen kuin voimme nähdä”, kuten Jervis & Weick aikoinaan totesivat.
Katastrofeja on aina tapahtunut. Kaukaisessa menneisyydessä luonnon aiheuttamat ylittivät voimallaan ihmisen aiheuttamat. Ihmisen aiheuttamien katastrofien voima näyttää kuitenkin kasvaneen teollistumisen myötä. Historiaa tutkittaessa on huomattavissa onnettomuuksien syiden muutos yksinkertaisista, komponenttivioista, huonosta organisaatiosta tai käyttäjistä uuteen: systeemionnettomuuksiin. Systeemionnettomuudet johtuvat vuorovaikutteisen kompleksisuuden ja tiukan kiinnittyneisyyden kasvusta teknologioissa. Ihmiset ovat suunnittelleet niin monimutkaisia järjestelmiä, että emme pysty tietämään kaikki mahdollisia vuorovaikutuksia, joita väistämättä syntyy häiriötilanteissa.
DEPOSE
Onnettomuuksien analysoinnissa huomio koostuu kuuteen tekijään, joista Perrow on muodostanut DEPOSE - muistisäännön.
- Suunnittelu (Design)
- Laitteet (Equipment)
- Prosessit (Procedures)
- Käyttäjät (Operators)
- Tarvikkeet ja materiaalit (Supplies & materials)
- Ympäristö (Environment)
Näistä syistä yleisimmin sormi osoittaa käyttäjiä, vaikka Perrow'n mukaan syy on paljon syvemmällä. Etenkin suunnittelijoiden ja käyttäjien välinen konflikti on yleinen; suunnittelijat eivät usein myönnä virheitään, vaan käyttäjä nähdään muutoin täydellisen järjestelmän sotkijana. Käyttäjiä onkin pyritty poistamaan automaation avulla, joten joissakin järjestelmissä "O" putoaakin pois. Toisaalta myös robotit vaativat korjaustoimenpiteitä, ja ylläpitoa, joten käyttäjävirhettä ei voitane koskaan täysin sulkea pois. Prosessien virheellisyydessä korostuvat organisationaaliset tekijät, joissa voidaan mennä syvälle esimerkiksi kapitalismin voitontavoitteluun ja siihen liittyviin ongelmiin saakka. Toisaalta samanlaisia onnettomuuksia on tapahtunut sekä kapitalistisissa, että kommunistisissa talouksissa, joten Perrow ei näe kapitalismia erityisen onnettomuusalttiina talousideologiana. Historiassa tarvikkeista ja materiaaleista johtuneet onnettomuudet olivat yleisempiä, mutta ovat vähentyneet sittemmin. Ympäristö on onnettomuuksissa yleinen tekijä, mutta usein ei ainoa. Monessa onnettomuudessa tapahtuu virheitä useammassa DEPOSE -tekijässä.
Onnettomuus versus tapaturma
Onnettomuus versus tapaturma
Määritelmät ovat myös olennaisia. Onnettomuus on tarkoittamaton tapahtuma, joka sisältää vahinkoja ihmisille, tavaroille tai molemmille. Vahingon täytyy olla riittävän suuri, sen täytyy estää alkuperäisen tehtävän tai tulevien tehtävien toteuttamista, ja tuo tehtävä riippuu tarkistelun kohteena olevasta systeemistä. Tapaturmat ovat lieviä versioita onnettomuuksista, ne saattavat häiritä ja keskeyttää toiminnan, mutta eivät lopeta sitä. Perrow järjestelee systeemin eri tekijät siten, että osa on alin systeemin taso, seuraava taso on yksikkö. Alajärjestelmät koostuvat yksiköistä ja yksiköiden osista. Järjestelmät taas koostuvat alajärjestelmistä ja ne toimivat "upotettuina" ympäristöön. Perrow'n määritelmässä onnettomuus koskettaa kahta ylätasoa, järjestelmää ja alajärjestelmiä. Tapaturmat sattuvat alemmilla tasoilla, mutta eivät ulota vaikutustaan järjestelmätasolle.
Onnettomuuksilla on valitettavasti usein myös uhreja. Perrow'n mukaan uhritkin voidaan jakaa eri tasoille, jotka ovat toki kiisteltävissä.
- 1 asteen uhrit – käyttäjät
- 2 asteen uhrit – koneessa tai laitoksessa olijat
- 3 asteen uhrit – sivulliset
- 4 asteen uhrit – syntymättömät ihmiset
Tapaturmissa uhrit rajoittuvat 1 ja 2 -asteelle. Onnettomuuksissa on myös 3 tason uhreja. Modernit teknologiat ovat johtaneet myös uuden 4 tason uhrien, eli syntymättömien ihmisten esiintymiseen. Perrow lisää vielä uuden määritelmän: katastrofit. Niissä on lähtökohtaisesti yli 100 toisen tason uhria ja myös kolmannen tason uhreja, kenties myös neljännen. Kolme ja neljä tason uhreja vaativissa katastrofeissa on eniten katastrofipotentiaalia ydinvoimassa, asejärjestelmissä, dna-muunnoksissa. Näiden tasojen uhreja ei ollut merkittävästi ennen viimeisen 50-60 vuoden aikana historiassa käytössä olleissa teknologioissa. Kuten Perrow asian ilmaisee; Odysseuksen laivat eivät saastuttaneet Välimerta, tai tuhonneet kaupunkeja. Toisessa maailmansodassa pommikoneet eivät voineet lentää ydinaseita säilyttäviin varastoihin, kuten kävi eräässä sotilastukikohdassa 1956. Kemikaalitehtaat eivät olleet tarpeeksi isoja tai lähellä asutusta, ja vasta viime vuosikymmeninä ydinvoimalat ovat olleet olemassa ja lähellä asutuskeskuksia. Modernin teollisen elämäntavan sivutuotteena riskeistä on tullut aivan uudenlaisia.
Kompleksisuus ja kiinnittyneisyys ominaisuuksina
Vuorovaikutteinen kompleksisuus järjestelmissä ei johdu osista tai käyttäjistä, vaan on järjestelmän piirre, ja kun kiinnittyneisyys on myös suuri, prosessit tapahtuvat nopeasti, niitä ei voida pysäyttää, eikä pettäneitä osia voida irroittaa muista. Jos vuorovaikutteinen kompleksisuus ja tiukka kiinnittyneisyys tuottavat onnettomuuden, voidaan tätä kutsua Perrown mukaan ns. normaaliksi onnettomuudeksi tai systeemionnettomuuksiksi. Systeemionnettomuuksissa toteutuu usein vanha viisaus: "great events have small beginnings". Viat kumuloituvat ja vaikuttavat systeemissä tavoilla, joita ei osattu ennalta arvata. Komponenttionnettomuuksilla on perustavia eroja systeemionnettomuuksiin, molemmat kyllä alkavat osan pettämisestä, mutta systeemionnettomuudessa useampia alajärjestelmiä pettää ja ne alkavat vaikuttaa keskinäisesti systeemin sisällä. Tästä on hyvä erottaa myös ns. lopulliset onnettomuudet, kuten vaikka jos lentokoneesta irtoaa siipi, tai maanjäristys murtaa padon. Näitä ei oikeastaan ole edes syytä analysoida, koska ne ovat harvinaisia eikä järjestelmien ymmärtäminen liity näihin millään tavalla.
Kompleksisuus tarkoittaa erilaisten ongelmien kumuloitumisen todennäköisyyden kasvamista.
Teknologiat, joissa on lineaarisia riippuvuuksia, (esim. liukuhihnat) voidaan korjata pysäyttämällä linja hetkeksi ja korjaamalla tietty osa ketjusta. Suurin osa teknologioista onkin juuri lineaarisia, mutta nekin tekee lopulta kompleksisiksi se, että ne ovat yhteydessä ympäristöönsä. Silti riippuvuudet ovat niissä nähtävissä ja ymmärrettävissä. Teknologiat, joissa on kompleksisia riippuvuuksia ovat sen sijaan täysin toinen maailma. Niissä on paljon enemmän keskinäisiä yhteyksiä, jotka syntyvät usein tuntemattomista yhdistelmistä systeemissä, eivätkä välttämättä ole nähtävissä tai ymmärrettävissä. Kompleksisilla teknologisilla systeemeillä on myös paljon tarkempia vaatimuksia tarvikkeille ja materiaaleille, esim. polttoaineen täytyy olla juuri standardien mukaista, eikä sitä voida vaihtaa toiseen. Näin on esimerkiksi ydinvoimaloissa, lentokoneissa, avaruusaluksissa ja kemiallisilla tuotantolaitoksilla. Ihmiset eivät ole siirtyneet lineaarisista teknologioista kompleksisiin pelkästään huvin vuoksi, vaan siksi että niiden avulla tuotettuja asioita ei yksinkertaisesti osata tuottaa lineaaristen järjestelmien avulla.
Kiinnittyneisyys tarkoittaa sitä, kuinka riippuvaisia systeemin eri osat ovat toisistaan. Mikäli ne ovat, niin silloin virheet vaikuttavat nopeasti eri osiin, jos taas kiinnittyneisyys on alhainen, virhe välittyy hitaasti tai ei ollenkaan. Perrow määrittelee suuren kiinnittyneisyyden siten, että kahden osan välissä ei ole bufferia, marginaalia, tai ylijäämää. Määrät ovat tarkasti laskettuja, raaka-aineita ei voida vaihtaa toisiin jne. Alhaisen kiinnittyneisyyden systeemi taas sietää shokkeja ja virheitä paremmin, ilman destabilisaatioon joutumista. Tiukan kiinnittyneisyyden systeemeihin voidaan kuitenkin suunnitella marginaaleja ja ylijäämää, mutta se on nimenomaan suunniteltua, kun taas alhaisen kiinnittyneisyyden systeemeissä bufferit ovat sisäsyntyisiä.
Lähde: Perrow 1984, 100
Perrow jaottelee erilaisia teknologioita ja instituutioita nelikenttään niiden prosessien muuttujien vuorovaikutuksen ja kiinteyden mukaan. Laatikossa 1, osat ovat kiinteitä mutta vuorovaikutus lineaarista. Tähän kategoriaan Perrow laskee kuuluvaksi mm. padot (ääriesimerkki), raide- ja meriliikenteen, sekä sähköverkot ja lentoliikenteen. Onnettomuuksia sattuu, mutta ne ovat monesti ratkaistavissa. Laatikossa 2 ovat kompleksiset ja kiinteät järjestelmät, kuten avaruusohjelmat, kemianteollisuuden prosessit ja ydinvoima (ääriesimerkki). Juuri tässä laatikossa tapahtuu normaaleja systeemionnettomuuksia. Laatokossa 3 ovat alhaisen kiinteyden lineaariset toimijat, kuten postilaitos (ääriesimerkki), peruskoulu ja suurin osa perusteollisuudesta. Viimeisessä laatikossa ovat alhaisen kiinteyden ja kompleksisten vuorovaikutusten järjestelmät, kuten yliopistot, kaivosteollisuus ja sotilasoperaatiot. Esimerkiksi armeija ei ole täysin tiiviisti kiinnittynyt, sillä divisioonien komentajilla on usein paljon päätösvaltaa operaatioissa. Myös ydinaseiden käytön osalta systeemi ei ole täysin tiivis, sillä esimerkiksi ydinsukellusveneiden komentajilla on tarvittaessa mahdollisuus laukaista ohjuksia, mikäli kommunikaatioyhteydet päämajaan menetetään ja sen tulkitaan johtuvan vihollisen hyökkäyksestä.
Löyhän kiinteyden instituutioissa on paljon resilienssiä, eli kykyä kestää viiveitä. Postilaitos kestää joulukorttiruuhkat ilman ongelmia, samoin yliopisto kestää viiveitä vaikkapa rekisteröitymisessä lukukausille. Se mikä nämä kaksi ääripäätä erottaa, on niiden lineaarisuus versus kompleksisuus. Postin toimintaprosessit ovat hyvin byrokraattisia ja yllättävät vuorovaikutukset prosesseissa ovat rajautuneita lähinnä lakkoihin, tai vaikkapa toimitilojen onnettomuuksiin, joita vastaan on kuitenkin mahdollista suojautua. Yliopistoissa sen sijaan vuorovaikutukset ovat kompleksia, opetuksen laatu, tutkimustoiminta, valmistuvien opiskelijoiden määrät, rahoitus jne.
Ylempänä horisontaalisella asteikolla on tiukan kiinnittyneisyyden instituutiot. Näissä prosessit ovat tarkasti määriteltyjä, vikoihin on reagoitava välittömästi, aikaa ja marginaaleja ei ole juurikaan. Padot ja ydinvoimalat eroavat sen sijaan niiden prosessien lineraarisuudessa ja kompleksisuudessa. Patojen toiminnassa on vähemmän muuttujia, kun taas ydinvoimassa muuttujat ovat niin lukuisia, että systeemionnettomuuksien mahdollisuus syntyy. Seuraavaksi muutamia tapauksia, joita Perrow kirjassaan esittelee.
Löyhän kiinteyden instituutioissa on paljon resilienssiä, eli kykyä kestää viiveitä. Postilaitos kestää joulukorttiruuhkat ilman ongelmia, samoin yliopisto kestää viiveitä vaikkapa rekisteröitymisessä lukukausille. Se mikä nämä kaksi ääripäätä erottaa, on niiden lineaarisuus versus kompleksisuus. Postin toimintaprosessit ovat hyvin byrokraattisia ja yllättävät vuorovaikutukset prosesseissa ovat rajautuneita lähinnä lakkoihin, tai vaikkapa toimitilojen onnettomuuksiin, joita vastaan on kuitenkin mahdollista suojautua. Yliopistoissa sen sijaan vuorovaikutukset ovat kompleksia, opetuksen laatu, tutkimustoiminta, valmistuvien opiskelijoiden määrät, rahoitus jne.
Ylempänä horisontaalisella asteikolla on tiukan kiinnittyneisyyden instituutiot. Näissä prosessit ovat tarkasti määriteltyjä, vikoihin on reagoitava välittömästi, aikaa ja marginaaleja ei ole juurikaan. Padot ja ydinvoimalat eroavat sen sijaan niiden prosessien lineraarisuudessa ja kompleksisuudessa. Patojen toiminnassa on vähemmän muuttujia, kun taas ydinvoimassa muuttujat ovat niin lukuisia, että systeemionnettomuuksien mahdollisuus syntyy. Seuraavaksi muutamia tapauksia, joita Perrow kirjassaan esittelee.
Esimerkkejä systeemionnettomuuksista
Case 1: Three Mile Island 1979
Kakkosreaktori oli ollut käytössä alle vuoden, kun tapahtumaketju johti sen sydämen osittaiseen sulamiseen. Onnettomuus on kenties historian tutkituin onnettomuus ainakin organisaation toiminnan osalta, siitä on kirjoitettu kymmeniä kirjoja ja satoja artikkeleita. Onnettomuus alkoi jäähdytysjärjestelmän pettämisestä. Hätäjärjestelmä käynnistyi, mutta sen putkiston venttiili oli jätetty sulkuasentoon muutamaa päivää aiemmin. Syyllistä venttiilin sulkemiseen ei saatu koskaan selville tutkimuksista huolimatta. Kahdeksan minuutin kuluttua onnettomuuden alkamisesta venttiilin sulku huomattiin, mutta vahinko oli jo ehtinyt tapahtua, jäähdyttävä vesi oli loppunut reaktorista ja paine sisällä alkoi kasvamaan. Painetta voitiin kuitenkin laskea vielä erillisen venttiilin kautta, ja näin tehtiin, venttiilin piti kuitenkin sulkeutua, kun ylimääräinen paine oli poistettu. Varaventtiili ei kuitenkaan enää sulkeutunut, kenties aiempien virheellisten tapahtumien seurauksena, mutta valvomon ilmoitustaululla venttiilin status näytti suljettua, ilmeisesti koska järjestelmä oli suorittanut toiminnon sen sulkemiseksi, joka riitti järjestelmälle. Vasta kahden tunnin päästä uusi vuoropäällikkö tarkasti todellisen tilanteen. Venttiili suljettiin hätätoimilla, joka johti reilun 30 tunnin kuluttua tilanteen normalisoitumiseen.
Sitä ennen, valvomon ollessa tietämätön varaventtiilin aukiolosta, viimeinen hätäjärjestelmä (HPI - high pressure injection), joka syötti korkealla paineella jäähdytysvettä reaktoriin, aktivoitui. Henkilökunta kuitenkin sulki HPI:n, koska sen syttymissyytä ei ymmärretty ja kyseessä oli reaktorin rakenteelle mahdollisesti haitallinen tilanne. Uhka sydämen paljastumiselle ja radioaktiiviselle vuodolle oli nyt syntynyt. Tilanne alkoi muuttua kaoottiseksi valvomossa; suuri osa noin 1600 hätävalosta paloi tai vilkkui, päähälyytys soi eikä sitä voitu sammuttaa, sillä samalla olisi estetty eräiden muiden hätäviestin läpitulo. Tietokone alkoi hidastua valtavasta tietomäärästä, tieto hätäventtiilin aukiolosta tuli printattuna vasta muutama tunti onnettomuuden jälkeen. Valvomossa oli jo yli 40 eksperttiä ja puhelimet soivat jatkuvasti. Myöhemmin laitoksessa tapahtui vielä pieni räjähdys, sillä prosessissa oli päässyt syntymään vetyä, joka räjähti kipinästä. Vahingot jäivät lopulta onneksi melko pieniksi. Radioaktiivista materiaalia pääsi vuotamaan jonkin verran voimalan ulkopuolelle, sekä kaasuina (myös onnettomuuden jälkeisinä päivinä vedyn ja hapen poiston yhteydessä, että jäähdytysvedessä vieressä virtaavaan jokeen, mutta täyttä reaktorin sulamista ei tapahtunut. Siivoustyöt kestivät aina vuoteen 1993 asti, eikä reaktoria koskaan enää otettu käyttöön. Yhdysvalloissa ei ole onnettomuuden jälkeen rakennettu uusia ydinvoimaloita.
Kakkosreaktori oli ollut käytössä alle vuoden, kun tapahtumaketju johti sen sydämen osittaiseen sulamiseen. Onnettomuus on kenties historian tutkituin onnettomuus ainakin organisaation toiminnan osalta, siitä on kirjoitettu kymmeniä kirjoja ja satoja artikkeleita. Onnettomuus alkoi jäähdytysjärjestelmän pettämisestä. Hätäjärjestelmä käynnistyi, mutta sen putkiston venttiili oli jätetty sulkuasentoon muutamaa päivää aiemmin. Syyllistä venttiilin sulkemiseen ei saatu koskaan selville tutkimuksista huolimatta. Kahdeksan minuutin kuluttua onnettomuuden alkamisesta venttiilin sulku huomattiin, mutta vahinko oli jo ehtinyt tapahtua, jäähdyttävä vesi oli loppunut reaktorista ja paine sisällä alkoi kasvamaan. Painetta voitiin kuitenkin laskea vielä erillisen venttiilin kautta, ja näin tehtiin, venttiilin piti kuitenkin sulkeutua, kun ylimääräinen paine oli poistettu. Varaventtiili ei kuitenkaan enää sulkeutunut, kenties aiempien virheellisten tapahtumien seurauksena, mutta valvomon ilmoitustaululla venttiilin status näytti suljettua, ilmeisesti koska järjestelmä oli suorittanut toiminnon sen sulkemiseksi, joka riitti järjestelmälle. Vasta kahden tunnin päästä uusi vuoropäällikkö tarkasti todellisen tilanteen. Venttiili suljettiin hätätoimilla, joka johti reilun 30 tunnin kuluttua tilanteen normalisoitumiseen.
 |
| Three Mile Island |
Sitä ennen, valvomon ollessa tietämätön varaventtiilin aukiolosta, viimeinen hätäjärjestelmä (HPI - high pressure injection), joka syötti korkealla paineella jäähdytysvettä reaktoriin, aktivoitui. Henkilökunta kuitenkin sulki HPI:n, koska sen syttymissyytä ei ymmärretty ja kyseessä oli reaktorin rakenteelle mahdollisesti haitallinen tilanne. Uhka sydämen paljastumiselle ja radioaktiiviselle vuodolle oli nyt syntynyt. Tilanne alkoi muuttua kaoottiseksi valvomossa; suuri osa noin 1600 hätävalosta paloi tai vilkkui, päähälyytys soi eikä sitä voitu sammuttaa, sillä samalla olisi estetty eräiden muiden hätäviestin läpitulo. Tietokone alkoi hidastua valtavasta tietomäärästä, tieto hätäventtiilin aukiolosta tuli printattuna vasta muutama tunti onnettomuuden jälkeen. Valvomossa oli jo yli 40 eksperttiä ja puhelimet soivat jatkuvasti. Myöhemmin laitoksessa tapahtui vielä pieni räjähdys, sillä prosessissa oli päässyt syntymään vetyä, joka räjähti kipinästä. Vahingot jäivät lopulta onneksi melko pieniksi. Radioaktiivista materiaalia pääsi vuotamaan jonkin verran voimalan ulkopuolelle, sekä kaasuina (myös onnettomuuden jälkeisinä päivinä vedyn ja hapen poiston yhteydessä, että jäähdytysvedessä vieressä virtaavaan jokeen, mutta täyttä reaktorin sulamista ei tapahtunut. Siivoustyöt kestivät aina vuoteen 1993 asti, eikä reaktoria koskaan enää otettu käyttöön. Yhdysvalloissa ei ole onnettomuuden jälkeen rakennettu uusia ydinvoimaloita.
Case 2: Flixborough 1974
Englannin Flixboroughissa tapahtuneen kemikaalitehtaan räjähdyksen tapahtumat alkoivat jo kuukausia aiemmin. Tehdas valmisti nailonissa tarvittavaa raaka-ainetta caprolactamia, jonka prosessi on energiaintensiviinen ja vaatii korkeita lämpötiloja tehtaan reaktoreissa. Maaliskuussa 1974, eräs tehtaan kuudesta reaktoreista vuosi, jolloin koko tehdas ajettiin alas ja jopa parimetrinen halkeama löytyi tuosta vuotaneesta reaktorista. Tuotantopaineiden alla tehtaan johto päätti ohittaa viallisen reaktorin nro 5, rakentamalla uudet tilapäiset putkistot 4 ja 6 reaktorien välille. Putkityöt tehtiin parissa päivässä kiireellisenä työnä sen enempää suunnittelematta, tai ajattelematta prosessia laajemmin. Uusi putkisto testattiin paineistamalla vuotojen varalta, joita löytyi, korjattiin ja tuotanto päästiin taas aloittamaan. Ratkaisu näytti toimivan, ja tehdas oli tuotannossa huhti-toukokuun. Toukokuun viimeisenä päivänä vuotoja esiintyi jälleen, ne korjattiin ja tuotanto jatkui, kunnes kesäkuun ensimmäisenä päivänä vuotoja havaittiin jälleen, mutta kipinäturvalliset työkalut olivat lukittuina, eikä niitä saatu lauantaina käyttöön. Ei ole täysin selvää, mikä lopulta johti 28 kuollutta ja noin sata loukkaantunutta vaatineeseen räjähdykseen, joka vaurioitti 1800 rakennusta tällä syrjäisellä seudulla, koska koko tehdas tuhoutui. Vahvin teoria on, että ohitusputkisto oli pettänyt, josta oli vapautunut kaasuja, jotka vetyuuni lopulta sytytti. Perrow huomioi kuitenkin, että tehtaan prosesseissa oli ennen räjähdystä ollut lukuisia anomalioita, normaaliprosessin verrattuna, joten pelkän putken vuotaminen ei ole täydellinen selitys onnettomuudelle. |
| Theodore Gericault Medusan lautta (1819) |
Merialusten kapteenit ovat aina viime aikoihin asti nauttineet poikkeuksellista asemaa; heillä on usein täydellinen valta järjestelmänsä toiminnassa. Laiva on yhden miehen kontrolloitavissa oleva kokonaisuus, miehistö ei usein ole iso, joten kapteenilla on mahdollisuudet kontrolloida kokonaisuutta. Tällä on valitettvasti ollut osansa lukuisissa onnettomuuksissa, jotka ovat usein jopa järjettömiä onnettomuustutkijoiden näkökulmasta, hyvänä esimerkkinä vaikkapa klassinen Medusen haaksirikko 1816, joka johtui epäpätevästä ja jatkuvasti juovuksissa olleesta kapteenista. Toinen tapaus oli HMS Victorian uppoaminen 1893, osana brittiläinen Välimeren laivaston saapumista satamaan Libanonissa, jossa kapteenin tuhoisille järjestäytymiskäskyille muodostelman suhteen ei löytynyt estäjiä. Myös RMS Titanicin kuuluisa onnettomuus, jossa kapteeni ajoi ylimielisesti täyttä vauhtia alueella, jolla tiedettiin olevan jäävuoria.
4) Case Lake Peigneur 1980
| Lake Peigneur täyttymässä merivedellä. |
5) Case NORAD
Kompleksiset teknologiset järjestelmät vastaavat nykyisin myös ydinsodan uhkaan vastaamisesta. Yhdysvaltain kalliovuoriin louhituissa luolissa toimii tähän uhkaan keskittynyt organisaatio North American Aerospace Defense Command. Se tarkkailee ilmatilassa tapahtuvia häiriöitä, ja hälyytys käynnistyy tietyn kynnyksen ylityttyä. Marraskuussa 1979 sen tietokoneet alkoivat hälyyttää Neuvostoliiton ydinasehyökkäyksen varalta. Järjestelmä näytti laajamittaisen hyökkäyksen tulevan sekä maatukikohdista, että merialuksista ja tieto näkyi samanaikaisesti aina Pentagonissa, sekä Hawaijilla. Tuhannet ohjukset asetettiin heti tason yksin hätätilaan, lentokoneita lähti tukikohdista. Kuuden minuutin päästä hälytys todettiin virheelliseksi. Arvioitu toiminta-aika on kuitenkin vain kahdeksan minuuttia. Syyksi selvisi harjoitusohjelman joutuminen järjestelmään, siten että hyökkäys näytti toisaalta liian tutulta, mutta silti paniikki ehti syntyä.
Seuraavana vuonna hälytys näytti kahden ohjuksen laukaistun Meksikonlahdelta, ja B-52 pommikoneet käynnistivät moottorinsa, valmiina aloittamaan kostolentonsa kohti Neuvostoliittoa. Hälytys todettiin aiheettomaksi, ja episodi kesti vain kolme minuuttia, mutta siinä ajassa Honolulun tukikohdasta oli jo ehditty lähettää B-52 pommikoneet ilmaan. NORAD:n tapauksissa onni onnettomuudessa on ollut se, että uhka on pitänyt varmistaa useista toisistaan riippumattomista järjestelmistä, kuten sateliiteistä ja tutkista. Viallisia hälytyksiä alettiin tutkimaan, ja lopulta selvisi, että eräs mikropiiri (arvo alle dollarin) tietokonejärjestelmässä lähetti signaalia jonka tarkoitus oli osoittaa yhteyden olevan kunnossa, mutta jostain syystä signaalissa oli samoja elementtejä, kuin ohjuksista kertovissa signaaleissa. Spekulaatioita voidaan kuitenkin esittää siitä, miltä toiminta on näyttänyt esimerkiksi vihollisen näkökulmasta (ohjussiilojen avaukset, pommikoneiden yhtäaikaiset nousut jne. Lisäksi tietenkin useamman systeemin yhtäaikainen virhetila voisi teoriassa olla mahdollinen. Aikarajoitukset ovat äärimmäisen tiukkoja NORADI:n suorittamissa operaatioissa.
Lopuksi
Perrow'n mukaan tyypillinen
käyttäytymismalli systeemionnettomuuksissa on seuraavanlainen:
1) alkuperäinen epävarmuus siitä, mikä
meni itseassa vikaan
2) viat ovat piilossa, jopa
piilotettuina
3) de minimus –tyyppisen syyn etsiminen, sillä de
maximus –syy on ymmärtämisen ulkopuolella
4) yritys pitää tuotanto käynnissä
mikäli vain mahdollista
5) epäluottamus joihinkin instrumentteihin, koska
niiden tiedetään pettävän
6) toisaalta yliluottamus laitteisiin ja
varajärjestelmiin perustuen normaalisti sujuvaan prosessiin
7) de minumus hypoteesia pyritään
vahvistamaan kaikella uudella tiedolla
8) vaativat aikarajoitukset
9) merkittävien toimien seuraukset vaikuttavat tuleviin vaihtoehtoihin,
kuten yksittäisen alajärjestelmän sulkeminen, joka estää sen uudelleenkäynnistyksen myöhemmin
Lähde: Perrow, Charles (1984) Normal Accidents - Living with High-Risk Technologies. Basics Books Inc., Publishers.
