In gesprek met Gert Sloof

In gesprek met Gert Sloof (mede-auteur Handboek Procesveiligheid) over alarmen, instrumentele veiligheid en human factors

Instrumentele veiligheid, alarm management en human factors. Met deze onderwerpen heeft Gert Sloof (senior consultant bij Bilfinger Tebodin en docent bij PHOV) bijgedragen aan het Handboek Procesveiligheid, dat in juni 2022 is gepubliceerd. Het zijn onderwerpen die over het algemeen meer aandacht mogen krijgen in het vakgebied, waar wellicht soms te snel langs wordt gestapt. De SDN ging in gesprek met Gert over zijn bijdrage aan het handboek.

Alarm management, een onderwerp dat niet gelijk opspringt in de gedachten als je aan procesveiligheid denkt. Wellicht onterecht, alarm management speelt immers een belangrijke rol in beheersing van de procesinstallatie door de operatie. “Zoals ook in het handboek beschreven, heerst er bij bedrijven overwegend de indruk dat een extra alarm geen geld kost. Dit is niet het geval. Een extra alarm creëert onrust in de centrale wacht. Daarbij zorgt een teveel aan alarmen, vooral de alarmen die feitelijk niet bijdragen aan de procesvoering, voor een inefficiëntie in de bedrijfsvoering.” zo legt Gert uit. “Daarnaast veroorzaak je met een teveel van alarmen mogelijk gevaarlijke situaties bij een calamiteit, omdat een operator bij een vloedgolf aan alarmen maar net de juiste kennis en aandacht moet hebben om adequaat te kunnen evalueren welke daarvan als eerste opgepakt moeten worden.” Gert verwijst daarbij ook naar de vier typen operator notificaties, waarbij eerst nagedacht wordt over het type signaal dat de operator moet ontvangen. Een alarm is namelijk slechts één van de vier wijzen waarop de operator op de hoogte gebracht kan worden van een situatie in de procesinstallatie.

Gert reflecteert met zijn praktijkervaring op mogelijkheden in alarm management voor de industrie: “Op het gebied van alarm management lijkt nog veel winst te behalen in vooral de kleinere bedrijven in de procesindustrie, aangezien dit onderwerp vooral bij grotere (corporate) organisaties al meer structurele vorm heeft gekregen.” Daarbij geeft hij zijn gedachten mee voor bedrijven die laagdrempelig eerste stappen willen zetten in alarm management: “Begin met historical trending en monitor bijvoorbeeld een week lang alle alarmen die de operatie ontvangt. Laagdrempelig kan dat met een turflijst per ploeg en door operators te laten aangeven of het alarm bijdraagt aan hun doelmatig handelen; vraag de operator om feedback. Met een lijst van alarmen en deze evaluatie door operators heb je al een verbeterd inzicht van de waarde van alarmen in de organisatie. Kijk dan eens of er alarmen zijn die eigenlijk thuishoren bij een van de andere operator notificatietypen.”

Gert geeft een aantal voorbeelden waar het soms in de praktijk mis kan gaan met alarmen. De eerste gaat over een situatie waarbij een alarm met een verkeerde technologie is geselecteerd. “Stel je hebt een schuimend of 'klotsend' product in een tank met een niveaualarmering. Als je een verkeerde niveautechnologie hebt geselecteerd, dan kan een alarm steeds inkomen en vanzelf weer uitgaan terwijl er niet daadwerkelijk sprake is van een hoog niveau in de tank. Oftewel: je krijgt steeds alarmen binnen die eigenlijk geen alarmen behoren te zijn. Dit veroorzaakt onrust bij de operatie en mogelijk gevaarlijker: het alarm wordt op een gegeven moment genegeerd.”

Een ander voorbeeld gaat over het handmatig stoppen van diverse installatieonderdelen, waardoor alarmen inkomen: “In sommige gevallen moet een pomp handmatig gestopt worden. Als het alarm management niet op orde is, kan het gebeuren dat door het handmatig stoppen van een pomp de operator 'beloond wordt' met zowel het ‘lage druk’ als het ‘geen debiet’ alarm. Dit kan in periode van een stop problemen opleveren, wanneer de vele alarmen kunnen verdoezelen dat er mogelijk nog een apparaat een terecht alarmsignaal afgeeft. Bijvoorbeeld een motor die onbedoeld nog aan staat in een verder lege installatie.”

Het risico van onvoldoende alarm management is het ontstaan van een vorm van alarmnormalisatie, een situatie waarbij het een geaccepteerde werkwijze is om alarmen te gaan negeren. Daarmee wordt door de operator een signaal niet meer ontvangen wanneer er daadwerkelijk actie nodig is op een systeemafwijking. In het handboek omschrijft Gert de elementen van alarmfilosofie en welke zaken per alarmpunt geregeld moeten zijn. Er wordt gememoreerd wat belangrijk is bij alarm management, voor de lezer die het onderwerp uitgebreider wil aanpakken is de standaard IEC 62682 - Management of alarm systems for the process industries aan te raden.

Naast alarm management heeft Gert ook over instrumentele veiligheid geschreven: “In het boek neem ik de lezer mee in de eerste stappen van het concept van instrumentele veiligheid. Hoe neem je een dergelijk type veiligheid mee in je fabrieksontwerp? Hoe kom je tot ontwerpeisen in het kader van een zogenaamde probability of failure on demand? Daarnaast zet hij uiteen waarom de safety requirement specifications belangrijk zijn, maar ook hoe het zit met SIS design verificatie en field validatie.”

Voor wie de materie van instrumentele veiligheid nog niet machtig is, vat Gert het samen. “De belangrijkste winst die in instrumentele veiligheid te behalen is, zit in het leren van ervaring. Als je diverse automatische beveiligingen in je fabriek hebt, is het belangrijk om goed na te denken welke beveiligingen welke proeftesten nodig hebben en wat de waarde is van een test uit de veiligheid. Als ik mijn automatische (instrumentele) beveiliging vandaag test, wil dat niet de garantie geven dat deze het doet tot volgend jaar. Gebruik resultaten uit alle proeftesten vaker om op een systematische wijze bad actors uit het systeem te halen. Big data en AI kunnen hier mogelijk in de toekomst een veel grotere rol in gaan spelen dan we ons misschien nu beseffen.”

De derde bijdrage van Gert aan het handboek betreft human factors. In het boek, hoofdstuk 8.4.1.,  introduceert hij de drie generaties analyse methoden voor 1menselijk falen:

• menselijke fouten die worden gezien als verschijnselen die op hardware defecten lijken (THERP - Technique for Human Error Rate Prediction)
• het in beschouwing nemen van cognitieve mechanismen van menselijke prestaties (HEP - Human Error Probabilities)
• een causaal gedragsmodel ontwikkeld op basis van onder meer relevante bevindingen uit de cognitieve psychologie, gedragswetenschappen en neurowetenschappen (IDAC - Information, Decision and Action in a Crew)

“Het is eigenlijk verbazend dat er beperkte aandacht is voor het foolproof maken van werkinstructies", zegt Gert. Onderzoek toont aan dat slechts 10% van de industriële ongelukken daadwerkelijk te wijten zijn aan persoonsgebonden aspecten zoals emotie, gezondheid of onachtzaamheid. Circa 75% van de ongelukken ontstaan door tekortkomingen in externe factoren, zoals onvolledige of onjuiste werkinstructies, gebrek aan opleiding, gebrek aan toezicht, slechte mens-machine interfaces, suboptimale werkomstandigheden en onvoldoende personeel. Het resterende deel is te wijten aan technisch falen enerzijds en natuurrampen anderzijds.

In de praktijk blijkt dat instructies regelmatig nog onjuistheden bevatten, klein of groot. In dergelijk geval wordt te snel vertrouwd op de kennis van de operator, die de onjuistheden tijdens uitvoering van het werk zelf moet bijsturen, constateert Gert, “daarbij wordt het afwijken van een werkinstructie onvoldoende gezien als een overtreding. Hierdoor krijg je het risico op creep bij de operatie in het uitvoeren van werk, maar is het voor de jongere of nieuwe werknemers lastiger om werkactiviteiten goed te leren uitvoeren in de operatie.”
Gert vervolgt met een voorbeeld dat een senior operator kan onderschatten hoe complex en/of risicovol een oplijning met veel manuele handelingen op afsluiters kan zijn: “Een senior operator weet vaak wat er moet gebeuren bij een specifieke oplijning en welke handafsluiters in welke volgorde moeten worden omgezet. Echter, zolang zulke activiteiten niet geborgd zijn in een instructie heb je ook geen risicoanalyse met vierogen (of meer)-principe uitgevoerd, wat het risico introduceert dat de operator niet alle mogelijke scenario’s heeft overwogen in zijn of haar werk (denk ook aan aandacht voor zwarte zwanen).”

Tot slot reflecteert Gert nog op het handboek Procesveiligheid van de toekomst. “In een volgende editie, bijvoorbeeld over 10 jaar, denk ik dat er nieuwe onderwerpen geïntroduceerd kunnen worden in het handboek. Met name Cyber Security voor de Operation Technology, Artificial Intelligence en Machine Learning zijn onderwerpen met een potentieel brede impact op procesveiligheid.”

Gert sluit het gesprek af met een quote die voor hem het belang van het vakgebied reflecteert: “Veiligheid is geen prioriteit, veiligheid is de voorwaarde waaronder we ons werk doen.”

Wil je lezen hoe Gert het heeft ervaren om mee te schrijven aan het handboek, maar ook hoe zijn omgeving het handboek heeft ontvangen? Lees dan zijn blog bij Bilfinger Tebodin via deze link.