Almennt um áhættustjórnun og algeng mistök
Eftir óveður sem gekk yfir 10. og 11. desember 2019, upphófst mikil umræða um hvar ábyrgð á rafmagnsleysi lá. Mjög margir vildu alfarið skella skuldinni á veitufyrirtækin, því það væri þeirra að tryggja órofinn aðgang að raforku. Þetta er því miður ekki alveg svona einfalt. Langar mig að freistast til að skýra almennt um hvað áhættustjórnun snýst með því að nota óveðrið og afleiðingar þess sem dæmi. Einnig velti ég upp fleiri atriðum tengdum mikilvægum innviðum landsins.
En hvað er áhættustjórnun? Samkvæmt skilgreiningu í alþjóðlega staðlinum ISO/IEC 27000 er áhættustjórnun “samræmd starfsemi sem miðar að því að stjórna og stýra skipulagsheild með tilliti til áhættu”. Til að koma á áhættustjórnun þurfa að vera til stefnur, verklagsreglur og starfsvenjur um stjórnun aðgerða sem ná til samskipta, samráðs, átta sig á samhengi og bera kennsl á, greina, meta, meðhöndla, vakta og endurmeta áhættu. Kannski ekki einfaldasta útskýringin, en svona getur staðlamál verið.
Skoðum fyrst þetta með samhengið. Í þessu tilfelli er það að afhenda raforku til kaupenda hennar. Þó við vildum gjarnan trúa öðru, þá er ekki hægt að útiloka að rafmagn detti út. Þess vegna þarf að “bera kennsl á, greina, meta, meðhöndla, vakta og endurmeta áhættu” sem gæti valdið því að afhending rafmagns rofni.
Fyrsti hluti af þessum hluta áhættustjórnunarferlisins nefnist áhættumat. Það snýst um að átta sig á hvaða atriði þarf að verja, gegn hverju, afleiðingum og líkum á atviki sem gæti haft tilteknar afleiðingar. Oft er þetta gert með því að reikna út áhættugildi og meðhöndla áhættu sem er meiri en talin er ásættanleg. Hvað er ásættanleg áhætta þarf á ákveða áður en matið sjálft er framkvæmt, svo menn freistist ekki til þess eftir á að færa þau mörk til. Áhættumat er gott að gera í fleiri en einni umferð, þar sem farið er misjafnlega djúpt ofan í hvað er verið að verja og flækjustig áhættu sem staðið er frammi fyrir. Má líkja þessu við, að horfa yfir uppstillingu hluta á gólfi. Til að sjá ítarlega hvernig einstakir hlutir passa saman, þá þurfum við að vera á gólfinu, til að ná yfirsýn yfir hluta svæðis, þá er gott að fara nokkur þrep upp stiga og til að fá heildaryfirsýn förum við efst í stigann. Ég byrja yfirleitt alltaf áhættumat upp í miðjum stiganum, því ég vil fá svæðisbundna yfirsýn á áhættuna. Í því getur falist að skoða áhættu gagnvart einum flokki upplýsinga, vélarsal þar sem tölvubúnaður er geymdur eða hóp starfsmanna sem sinna líku starfi. Líklegt er að áhættumatið leiði í ljós, að á mörgum þessara svæða er áhættan innan ásættanlegra marka, þannig að ekki þurfi að kafa dýpra, en á öðrum svæðum þarf að fara einu og upp í nokkrum “þrepum” dýpra. Síðan skoða ég hlutina í stærra samhengi, þ.e. fer ofar í “stigann”, til að átta mig á áhættu gagnvart einum hluta “gólfsins” vegna atvika á öðrum hluta. Getur atvik á einum hluta “gólfsins” eyðilagt fyrir því sem er á að gerast á öðrum stað á “gólfinu”. Skýri þetta betur með dæmum síðar í greininni.
Markamið með áhættumatinu er að tilgreina aðgerðir sem geta dregið úr líkum á að atvik hafi neikvæð áhrif á reksturinn sem áhættumatið nær til. Vissulega gæti rétt meðhöndlun áhættu fjarlægt hana úr rekstrarumhverfinu. Algengara er þó að reynt sé að draga úr áhrifum atviks, það er t.d. gert með því að innleiða í upplýsingakerfum vírusaleitarforrit sem eyða vírusum sem berast inn í kerfin. Atvikið átti sér stað, þ.e. vírus barst inn í kerfið, en með hjálp forritsins var vírusnum eytt áður en hann gat valdið skaða. Sumir vírusar sleppa vissulega í gegn og valda tjóni, en dregið var úr áhrifum með því að fækka þeim vírusum sem sleppa í gegn. Önnur leið til að bregðast við mögulegum áhrifum er að breyta því í rekstrinum sem gæti orðið fyrir tjóni. Dæmi um slíkt er að færa verðmæti af svæði, þar sem gjarnan verða sjávarflóð. sem sagt við reynum að forðast áhættuna. Þriðja leiðin er að færa áhættuna til. Þetta er gjarnan gert með því að kaupa tryggingu og jafnvel tryggingafélögin endurtryggja sig. Gegn gjaldi er meira að segja hægt að kaupa sig frá sjálfsábyrgðinni. Fjórði möguleikinn er að samþykkja áhættuna. Þetta nær bæði til áhættu, sem við skilgreinum sem ásættanleg áhætta, en einnig áhætta sem er of dýrt að bregðast við til að koma niður í ásættanlega áhættu. Svo er til alls konar samspil af þessu. Í öllum tilfellum má reikna með að höfum dregið verulega úr heildaráhættu, en þó ekki komið öllum þáttum niður í ásættanlega áhættu. Við sitjum uppi með það sem kallað er eftirstæð áhætta. Nú er hægt að kafa dýpra ofan í hvað veldur henni, en það getur líka verið að eftirstæða áhættan sé þess eðlis að hana verður einfaldlega að samþykkja. Í staðinn grípum við til annars konar varúðarráðstafana. Þannig er gripið til rýminga á húsnæði á snjóflóðasvæðum, ef talið er að snjóflóðahætta sé yfirvofandi. Hafi síðan atvik átt sér stað, þrátt fyrir allt sem gert var, þá eru vonandi til staðar áætlun um stjórnun rekstarsamfellu til að halda þjónustunni gangandi, neyðaráætlanir sem fyrstu viðbrögð við neyðarástandi og endurreisnaráætlanir til að byggja upp aftur.
Ýmsar aðferðir eru notaðar við áhættumat og ferlið að ofan er bara gróf mynd af einni. Sumir vinna áhættumat út frá ógnum og veilum, aðrir einblína á þol, áhrif og líkur. Stundum er ferlið kallað áhættumat, en í öðrum tilfellum áhrifamat. Eina sem skiptir máli er, að það ferli sem er valið sé skjalfest, þannig að það sé endurtakanlegt, að hvert skref í því sé skjalfest og að niðurstöðurnar séu bæði skjalfestar og samþykktar. Sé ferlið endurtekið með nákvæmlega sömu ákvörðunum, þá á það að skila sömu niðurstöðu. Hér eftir mun ég nota orðið áhættumat yfir þetta ferli.
En hvort skiptir meira máli hvort eitthvað sérstakt geti gerst eða hver væru líkleg verstu áhrif af því að eitthvað farið úrskeiðis? Þetta er svona milljón dollara spurningin, eins og oft er sagt. Það getur farið eftir viðfangsefninu. Mér finnst hins vegar gott að nota báðar aðferðir. Hina seinni fyrst (úr miðjum “stiganum”) og síðan þá fyrri á þau atriði sem komu illa út úr hinni (nær “gólfinu”). Mér finnst ekki þörf á að fara í ítarlegt áhættumat á atriðum, sem valda litlum áhrifum. Það getur hins vegar verið mikilvægt að skoða frá mörgum sjónarhornum atriði sem geta valdið miklu tjóni og þannig greint betur hvernig má draga úr áhrifunum.
Hver svo sem aðferðin er, þá þarf fyrst að ákveða hvert er viðfangsefnið. Í þessu tilfelli sagðist ég ætla að tala rafmagnsleysið sem orsakaðist af ofsaveðrinu í desember. Mér finnst rétt að skipta þessu í tvennt, annars vegar varðandi samfellda afhendingu rafmagns (aðfangakeðja) og hins vegar samfellda móttöku rafmagns (neytendur). Af þessu er ljóst að nokkrir aðilar þurfa að framkvæma áhættumat og nota niðurstöðurnar til að ákveða til hvaða aðgerða væri æskilegt að grípa til. Höfum þó í huga, að einn kostur er alltaf að gera ekki neitt. Það verður að vera meðvituð, samþykkt og skjalfest aðgerð, a.m.k. af hálfu fyrirtækja í aðfangakeðjunni. Þetta er að vísu örlitið flóknara, þegar kemur að fyrirtæki í aðfangakeðjunni, því hugsanlega hafa þau aðra forgangsröðun hagsmuna en þá sem neytendur eru með. Jafnvel þó stjórnvöld (ríkisstjórn) kæmu með einhverja stefnumótun, þá er það svo að ekki er víst að hún sé öllum þóknanleg, uppfylli þarfir eða sé framkvæmanleg.
Fjölmargir aðilar hafa hagsmuna að gæta og hver um sig gæti haft mismunandi sýn á þær kröfur sem aðfangakeðjan þarf að uppfylla. Við erum með aðila innan aðfangakeðjunnar, þ.e. framleiðanda raforkunnar, flutningsfyrirtæki raforku milli framleiðslustaðar og deifingaraðila og dreifingaraðilann, og síðan eru það aðilar utan aðfangakeðjunnar, þ.e. neytendur, sveitastjórnir og stjórnvöld. Þarfir neytenda eru auk þess nánast eins mismunandi og fjölbreytni þeirra segir til um. Hvorki sveitarstjórnir né stjórnvöld koma beint að áhættustjórnuninni, en báðir aðilar geta sett fram kröfur um afhendingaröryggi, sem gert er ráð fyrir að dreifingarfyrirtæki uppfylli. Það þýðir að dreifingarfyrirtækin setja kröfur á flutningsfyrirtækin og þau setja kröfur á framleiðendur. Samkvæmt þessu þarf áhættustjórnun að ná til þess sem gerist fram að afhendingu og síðan hjá þeim sem reiknar með óraskaðri afhendingu.
Gera má ráð fyrir að áhættustjórnun í aðfangakeðjunni snúist ekki síður um kostnaðargreiningu (e. cost-benefit analysis) en bara að afhendingu raforkunnar. Ekkert óeðlilegt við það, en hér gætu kröfur stjórnvalda sett strik í reikninginn. Það er samt alveg sama hvað gert er á þessum enda, að 100% afhendingaröryggi verður ALDREI náð. Þess vegna þurfa neytendur að framkvæma sitt áhættumat.
Eins og áður var sagt, þá eru neytendur ákaflega fjölbreyttur hópur. Hver hópur er með sitt þol varðandi rafmagnsleysi. Sumir þola ekkert rafmagnsleysi, meðan aðrir kippa sér ekki upp við rafmagnsleysi í nokkra klukkutíma, heilan dag eða jafnvel nokkra daga, þó ekki sé líklegt að margir hafi slíka þolinmæði.
Algeng mistök
En þá eru það úrræðin. Mjög algengt er að við val á úrræðum, þá sé fókusinn of þröngur. Hið stærra samhengi er ekki skoðað. Svo notuð sé samlíkingin um að vera ekki með öll eggin í sömu körfunni, þá er þeim vissulega dreift, en síðan eru allar körfurnar settar í sömu körfuna af næstu stærð fyrir ofan eða þar fyrir ofan. Hrun íslenska bankakerfisins er gott dæmi um slíkt, þar sem Seðlabankinn átti í endurhverfum viðskiptum við Icebank, vegna þess að hann var að draga úr endurhverfum viðskiptum við Glitni, Landsbanka Íslands og Kaupþing, en tryggingarnar sem Icebank lagði fram voru frá bönkunum þremur.
Fyrir 20 árum vann ég sem öryggisstjóri hjá Íslenskri erfðagreiningu meðan fyrirtækið var enn við Lyngháls. Við höfðum áhyggjur af afhendingaröryggi rafmagns og brugðumst við því með því að vera með rafhlöður (UPS) sem entust í einhverja klukkutíma, vorum með tvær heimtaugar hvora frá sinni spennustöðinni og díselrafstöð. Heimtaugarnar voru vissulega sambærilegar tæknilegar lausnir, þ.e. eru egg í mismunandi körfum sem eru í saman í stærri körfu sem er víðtækt rafmagnsleysi á Reykjavíkursvæðinu. Rafhlöðurnar höfðu tvenns konar hlutverk, þ.e. að halda rannsóknartækjum gangandi í stuttan tíma (einhverja klukkutíma) ef rafmagn færi af og að sveiflujafna spennuna. Hér er bætt við þriðju körfunni. Hún er ekki í sömu stærri körfunni og hinar tvær, en deilir enn stærri körfu með þeim báðum sem er langvarandi, víðtækt rafmagnsleysi á Reykjavíkursvæðinu. Loks var hlutverk díselvélarinnar að framleiða rafmagn yrði langvarandi, víðtækt rafmagnsleysi á Reykjavíkursvæðinu. Hún gæti vissulega brugðist, t.d. vegna bilana í vélinni og olíuleysis samhliða því að ekki fengist olía til að fylla á vélina, en væri að öðru leyti áháð hinum lausnunum. Þetta var sem sagt sjálfstæð karfa, en allar voru þær vissulega í allra stærstu körfunni sem er allsherjar neyðarástand á Íslandi.
Þetta er dæmi um þrenns konar tæknilegar lausnir, sem hver um sig tekur á sértæku vandamáli. Eggjunum er dreift í eins margar körfur og hægt er og þess gætt að þau séu ekki alltaf saman í enn stærri körfu. Þetta kom samt ekki í veg fyrir rafmagnstruflanir, því díselstöðin var með sjálfstæðan vilja sem færustu sérfræðingum landsins í uppsetningu svona búnaðar hafði yfirsést. Díselsvélin sló nokkrum sinnum út báðum heimtaugunum vegna spennusveiflna frá almenna kerfinu. Það tók vélina síðan um 60 sekúndur að ræsa sig upp og taka yfir raforkuframleiðsluna. Rannsóknartæknin og miðlægur tölvubúnaður gátu nýtt sér rafhlöðurnar, en allt annað datt út. Lærdómurinn af þessu var, að sama hvað er gert, þá er ekki víst að það sé nóg.
En skoðum rafmagnsleysið í óveðrinu út frá þessari hugsun um að dreifa eggjunum í mismunandi körfur. Rarik hefur sagt, að varaaflsstöðvar hafi verið teknar úr rekstri eftir að búið var að koma á tvöföldum tengingum til þéttbýlisstaða, þar sem stöðvarnar höfðu verið. Tvöföldun tenginga er svo sem mjög góð lausn, svo langt sem hún nær. Með þessu var brugðist við flökti á eða sambandsleysi um línurnar. Það var sem sagt brugðist við almennum truflunum í kerfinu. Ef kæmi upp bilun úr einni átt, þá væri hægt að fá rafmagn úr annarri átt. Til að bregðast við ógn af slíkri almennri bilun, þá var þetta ásættanleg lausn og ekkert út á hana að setja. Dregið var úr líkum á rafmagnsleysi og kæmi mér ekki á óvart að ekki hafi orðið vart rafmagnsleysis á þessum stöðum vegna almennra bilana í flutningskerfinu frá því að þessari tvöföldun var komið á. Svo kom óveður af verri endanum.
Óveðrið afhjúpaði veikleika lausnarinnar. Sama lausnin, loftlínur, var notuð á báðar tengingarnar. Treyst var á, að þessar línur a) færu ekki niður samtímis; b) að kerfið sem sendi rafmagn inn á línurnar virkaði eins og ætlast var til. Dalvík, Ólafsfjörður, Siglufjörður og Hrísey, svo dæmi sé tekið, urðu að eyju í kerfinu sem treysti á, að ekki yrði rof á rafmagni um loftlínur til Dalvíkur og úr Skagafirði til Siglufjarðar. (Mér skilst að Grenivík sé með varatengingu frá Dalvík, en sleppi henni í þessari umfjöllun.) Þetta fyrirkomulag hafði gengið vel í yfir 10 ár (eða voru þau 20) og þess vegna var ákveðið að óhætt væri að taka varaaflsstöðvar úr rekstri.
Hér er komið að því að hugsa aftur um eggin og körfurnar. Mönnum yfirsást að það skiptir ekki máli úr hve mörgum áttum línurnar koma, meðan sama byggðalínan var að færa þeim rafmagnið, þá eru línurnar allar egg í mismunandi körfum í einni aðeins stærri körfu. Væru báðar línurnar auk þess loftlínur, þá stóðu þær frammi fyrir sama áhættuþættinum, þ.e. mögulegum veðurofsa. Væri önnur í jörð og hin í lofti eða báðar í jörð, þá gætu báðar orðið fyrir áhrifum jarðskjálfta. Í þessu tilfelli var niðurstaðan veðurofsi. Ekki er víst að varaaflsstöð á Dalvík muni verða rekstrarhæf, ef þar kemur annar jarðskjálfti eins og 1934. Tíminn á milli jarðskjálfta er hins vegar sem betur fer það langur, að þetta er áhætta sem þarf að taka.
Þetta er því miður algeng villa í áhættustjórnun. Sama aðferðin notuð tvisvar eykur vissulega uppitíma, þegar um tæknilegar bilanir er að ræða. Loftlínur sem koma hvor úr sinni áttinni til Kópaskers (svo dæmi sé tekið) lenda hins vegar líklega sama óveðrinu. Til þess að önnur línan teljist varalína fyrir hina, þá þyrfi önnur hvor línan að vera í jarðstreng meðan hin er loftlína. En þetta er ekki nóg. Vissulega er búið að dreifa eggjunum í nokkrar körfur, en allar körfurnar eru í sömu stærri körfu. Í þessu felst villan. Ofurtrú manna á að um afmarkað tjón yrði að ræða.