docPobierz dokument w wersji pdf
download 
Reklamacja Transkrypt
Pobierz dokument w wersji pdf
Sławomir Kiszkiel-Makiewicz e-mail: [email protected] www.slawomirmakiewicz.pl Bezpieczeństwo to nie listy kontrolne 15 lutego 1979 roku, Centrum Warszawy, wczesne popołudnie. Zimno. Śnieg na ulicach. Powietrze rozrywa eksplozja. Stalowa konstrukcja budynku Rotundy unosi się w powietrze, opada z hukiem a z okien leci szkło. Później w czasie śledztwa jeden z pracowników gazowni zeznał, że podczas montażu zaworu gazowego rury były trochę naciągnięte i trzeba było się namocować żeby zamontować zawór. Coś pewnie puściło, bo podczas dokręcania usłyszał metaliczny trzask. 7 lat później. Drugi koniec globu. Mroźny poranek 28 stycznia 1986 roku. Przez 72 sekundy wszystko szło dobrze. Tysiące koni mechanicznych silników odrzutowych pracowały dla chwały programu kosmicznego. W siedemdziesiątej trzeciej sekundzie liniowy szlak gazów zastąpiła kula ognia. W jednej chwili prom kosmiczny Challenger rozsypał się w kawałki a szczątki wyryły na niebie zarys ogromnej litery „Y”. Ostatnia umarła nadzieja, że w jakiś niewytłumaczalny sposób siedmioosobowa załoga mogła wyjść z tego zdarzenia cało. 1 lutego 2003 roku o godzinie 8.15 załoga rozpoczęła procedurę hamowania promu. Tym samym rozpoczęły się przygotowania do wejścia w atmosferę ziemską. Wszystkie podzespoły działały właściwie. Pół godziny później za sprawą przedzierania się przez gęstniejące warstwy atmosfery temperatura na poszyciu wzrosła do ponad 1200 stopni Celsjusza. Prom zbliżał się do miejsca, gdzie temperatura poszycia wzrasta do wartości maksymalnej. Chwilę później jedne z modułów kontrolnych zaczął wykrywać anomalie. Informacje płynęły z czujników lewego skrzydła. O 8.59 ostatni komunikat z promu został przerwany w pół słowa. Kilka minut po deklarowanej godzinie lądowania wiadomość o utracie promu została przekazana rodzinom astronautów, Prezydentowi i członkom Kongresu. Trzy różne wypadki, trzy różne obiekty. Zdarzenia odległe w czasie i przestrzeni. Wydaje się że przyczyny tych zdarzeń są od siebie tak samo odległe. A może jednak nie. Może są pewne prawidłowości. Przyczyny techniczne Bezpieczeństwo to stan, w którym prawdopodobieństwo szkody w stosunku do człowieka, maszyny lub obiektu jest na poziomie lub poniżej poziomu akceptowalnego ryzyka. Oznacza to że, jeśli zdarzy się wypadek lub sytuacja kryzysowa, konsekwencje nie powinny być większe niż najgorszy akceptowany scenariusz. Taki stan osiąga się poprzez proces identyfikacji ryzyka, zmniejszania prawdopodobieństwa i łagodzenia potencjalnych skutków zdarzenia. W przypadku wielu obiektów takich jak samoloty, systemy telefonii komórkowej, systemy sterowania na statkach itp. dopuszcza się awarie niektórych elementów, podsystemów lub połączeń, jednak bez konsekwencji dla całości obiektu. W takim przypadku akceptowalny poziom ryzyka to awaria, która jednak nie ma wpływu na bezpieczeństwo całego obiektu. Przyczyną katastrofy Challengera było rozszczelnienie się złącza pomiędzy segmentami silnika na paliwo stałe. Powiększający się otwór połączony z coraz gwałtowniejszym wypływem gazów spowodował wybuch silnika. To pociągnęło za sobą zniszczenie i wybuch silnika na paliwo ciekłe. Co z Sławomir Kiszkiel-Makiewicz e-mail: [email protected] www.slawomirmakiewicz.pl kolei spowodowało spalenie się większej części promu wraz z załogą. W świetlne pracy wykonanej przez inżynierów NASA do wypadku promu kosmicznego nie powinno dojść. Nie powinno ale doszło. Po katastrofach obu promów wszczęto drobiazgowe śledztwa. Do grup dochodzeniowych zaangażowano rzeszę ekspertów i inżynierów wielu specjalności. Ludzie ci reprezentowali nie tylko NASA ale także renomowane uczelnie i firmy badawcze. Wyjaśnienia zdarzenia rozpoczęto od zbadania przyczyn technicznych oraz tego co NASA potwierdzała w analizie ryzyka. Proces oceny ryzyka jest nieodłączną częścią projektowania i uruchamiania tak skomplikowanych urządzeń, jakim jest prom kosmiczny. W trakcie projektowania promów i ich służby NASA określiła zagrożenia związane z niewłaściwym zachowaniem poszczególnych mechanizmów. Następnie oceniono dotkliwość skutków każdej z awarii. W niektórych przypadkach po ocenie poziomu ryzyka zostały podjęte pewne działania. W innych przypadkach takie działania nie były wymagane. Sam proces analizy ryzyka jest bardzo prosty i składa się tylko z kilku kroków. Pierwszym jest identyfikacja zagrożeń. Należy zastanowić się, co może się zdarzyć, co może pójść nie tak jak powinno. Wskazane jest analiza z różnych punktów widzenia i perspektyw czasowych. W analizie wykorzystuje się punkt widzenia historyczny, obecny i doszukuje się możliwych zagrożeń w przyszłości. W analizie historycznej podstawą jest wiedza członków zespołu oraz rejestry zawierające opisy zdarzeń i sytuacji kryzysowych. Szacowanie zagrożeń z punktu widzenia historycznego to nie wszystko. Koniecznie należy skupić się także na zagrożeniach, które mogą hipotetycznie wystąpić w przyszłości. Przypomina to wróżenie z fusów, choć są metody ułatwiające taką analizę. Maszyny, urządzenia, organizacja, procedury Identyfikacja zagrożeń Analiza prawdopodobieństwa wystąpienia określonych konsekwencji. Analiza Określenie skutków, jakie pociągnie za sobą materializacja zagrożenia. Analiza skutków Określenie czy poziom ryzyka jest do zaakceptowania TAK Ryzyko do zaakceptowania Ocena ryzyka NIE Należy podjąć działanie Rysunek 1 Schemat oceny ryzyka (wg ICOA Safety Management System Manual) Sławomir Kiszkiel-Makiewicz e-mail: [email protected] www.slawomirmakiewicz.pl Kiedy zostaną określone możliwe zagrożenia należy przypisać im pewne wartości. Jedną z tych wartości jest prawdopodobieństwo zaistnienia zdarzenia. Drugą, wielkość lub dotkliwość konsekwencji potencjalnego wypadku. Znajomość zagrożeń, prawdopodobieństwa ich wystąpienia oraz dotkliwości konsekwencji stanowi podstawę do określenia poziomu zagrożenia. Jeśli poziom zagrożenia jest niższy od założonego progu bezpieczeństwa można zaprzestać zajmowania się takim zdarzeniem. Jeśli jednak parametry zdarzenia odbiegają od akceptowalnego poziomu bezpieczeństwa koniczna jest interwencja. Stosując ogólnie przyjęte strategie podwyższa się poziom bezpieczeństwa. W wyniku tych zmian uzyskuje się tak zwane ryzyko resztkowe, które jest niższe on zadanego progu. Jeśli jednak pomimo zmian nie uda się osiągnąć zadowalających efektów to taki mechanizm, proces czy podsystem nie może zostać uruchomiony. Taka analiza została także przeprowadzona dla złącza modułów silnika promu na paliwo stałe używanych przy startach promów kosmicznych. W złączu dodano dodatkowy (awaryjny) pierścień uszczelniający i uznano, że ryzyko resztkowe jest niższe od wymaganego. Z akceptacją kierownictwa promy kolejno wylatywały w kosmos. W feralny doszedł kolejny czynnik ryzyka. Była nim temperatura. W dzień startu temperatura powietrza na płycie startowej była najniższa ze wszystkich dni startów promów kosmicznych. Start został przesunięty z dnia poprzedniego. Przyczyna przesunięcie była prozaiczna. Jedna z usterek nie była możliwa do usunięcia, ponieważ mechanicy nie mieli właściwego klucza. Gdy w końcu go znaleziono start promu nie był już możliwy tego dnia. Czas naglił a NASA była w niezręcznej sytuacji. Częstotliwość startów i koszty przygotowania promów odbiegały od wcześniejszych deklaracji. Pomimo obiekcji głównego inżyniera projektu rozpoczęto odliczanie. NASA nie mogła dalej zwlekać. Podjęto decyzję, która kosztowała oraz 12 miliardów dolarów oraz życie załogi. W starciu analizy technicznej z poprawnością polityczną ta pierwsza przegrała. Dodatkowy czynnik W zasadzie przed wypadkiem promu Challenger analiza ryzyka została wykonana poprawnie. Teoretycznie można byłoby wypadek potraktować jako wynik przypadkowego zbiegu okoliczności. Jednak każdy skutek ma swoje przyczyny a okoliczności nie są tak mądre żeby same się układały. Do takich samych wniosków doszła komisja badająca wypadek. Śledczy pracowali danej. Zwykle dochodzenia kończą się stwierdzenie: „błąd operatora”, „niewłaściwa decyzja” czy „awaria sterowania”. Oznacza to zaprzestanie dochodzenia w momencie wykrycia bezpośrednich przyczyn tragedii. Komisje badające wypadki obu promów poszły znacznie dalej. Głównym celem komisji śledczych było wyjaśnienie i zrozumienie wszystkich pośrednich aspektów oraz przyczyn tragedii. Przyczyn poszukiwano w mechanizmach podejmowania decyzji, strategii działania, kulturze organizacji. Dalsza część dochodzenia skupiła się nie tylko na samych decyzjach, ale także motywacjach, jaki stały za nimi. Wyniki śledztwa były szokujące. Rzeczywiście NASA wykonała ogromną pracę nad analizą ryzyka promu Challenger. Zagubiono jednak pewien szczegół. Analiza ryzyka musi być prowadzona w sposób ciągły tak by rozpoznawać nowe zagrożenia oraz zmiany w poziomie już rozpoznanych. Sama organizacja musi dążyć do ciągłej poprawy i jest to proces, który nigdy się nie kończy. Dojrzałe systemy zapewniające bezpieczeństwo mają niejako wbudowany mechanizm stałego i ciągłego monitorowania otoczenia, procesów oraz samych siebie. Ciągła poprawa, zarządzanie zmianą oraz Sławomir Kiszkiel-Makiewicz e-mail: [email protected] www.slawomirmakiewicz.pl pomiar są niezbędne do właściwego i bezpiecznego zarządzania aktywnością techniczną. Menedżerowie są zobowiązani do ciągłego monitorowania procesów wewnętrznych oraz ich efektywności. Muszą monitorować środowisko i warunki zewnętrzne. System musi być także odporny na dryf spowodowany drobnymi niekontrolowanymi zmianami i uproszczeniami, które w końcu doprowadzają do ciągłego niedotrzymywania standardów technicznych. Podczas śledztwa okazało się, że już wcześniej występowały problemy z uszczelnieniami silników na paliwo stałe. Gdyby nie uszczelka awaryjna to do tragedii Challengera doszłoby znacznie wcześniej. Problem uszczelnień był znany nie tylko inżynierom NASA, ale także producentowi tych silników. Był znany, ale ignorowany. Eksperci orzekli że ryzyko resztkowe zdarzenia związanego z awarią uszczelnień modułów jest akceptowalne. Komisja ponadto wykryła, że zawiodły mechanizmy zapewnienia odpowiedniego poziomu bezpieczeństwa. W raporcie komisji śledczej czytamy, że w systemie zarządzania były luki. Decydenci nie otrzymywali kluczowych informacji lub informacje te były zniekształcone. Brak było wymagań dotyczących raportowania znaczących problemów bezpieczeństwa. Istotne informacje związane z bezpieczeństwem omijały osoby zarządzające misjami. Nastąpiło odwrócenie zasady bezpieczeństwa: wystarczyło udowodnić, że rozwiązanie nie jest niebezpieczne żeby zostało zaakceptowane. Tak jak w systemie prawnym domniemywana jest niewinność tak w systemie NASA domniemanym stanem było bezpieczeństwo a odstępstwa należało udowodnić. Gdy rozpoczynał się projekt promów kosmicznych mówiono, że będą to przysłowiowe autobusy na orbitę. Promy miały rutynowo wykonywać loty transportowe. Rzeczywistość okazała się mniej świetlana. Koszty i czas przygotowania promów były większe niż deklarowano. Częstotliwość lotów nigdy nie była taka jak zakładana. Na dodatek cięcia nie oszczędziły także NASA. W ciągu 10 lat budżet NASA został zmniejszony o 40%. Zmniejszono także zatrudnienie. Jednocześnie znacznie zwiększono udział outsourcingu. Do lotów zaczęto podchodzić rutynowo. Faktem jest, że wcześniejsze sukcesy uśpiły czujność. To, co zawiodło było związane z brakiem efektywnych mechanizmów autodiagnozy i samoleczenia. Nie tylko niektóre procesy nie działały właściwie, ale także system, jako taki nie podążał za zmieniającymi się warunkami. Żeby zapewnić bezpieczeństwo (Safety Assurance) system musi podążać za zmianami a czasem je wyprzedać. Trzeci czynnik Po katastrofie promu Challenger zostały wdrożone zalecenia z raportu komisji Rogersa. Złącza modułów silników na paliwo stałe zostały przeprojektowane. Testowanie rozwiązań miało się odbywać w warunkach jak najbardziej zbliżonych do rzeczywistych a jego skutkiem powinno być pełne zrozumienie działania testowanych elementów. NASA miała także zadbać o transfer doświadczenia poprzez zatrudnienie na stanowiskach zarządczych doświadczonych astronautów. Raport wprost odwoływał się do szkodliwych nawyków i poglądów, które stały u podstaw katastrofy. Mówił, że żadne rozwiązanie techniczne nie mogą być przedwcześnie wykluczane nawet, jeśli mogą powodować odstępstwa od harmonogramu, budżetu lub być w sprzeczności z obecnie stosowanymi rozwiązaniami technicznymi. NASA, powinna stworzyć formalną strukturę, której zadaniem byłoby zapewnienie bezpieczeństwa. Raportowanie w zakresie bezpieczeństwa powinno się odbywać bezpośrednio do administratora NASA. Sławomir Kiszkiel-Makiewicz e-mail: [email protected] www.slawomirmakiewicz.pl Komisja Rogersa zidentyfikowała nacisk na wyniki, jako jedną z przyczyn wypadku. Nacisk ten pochodził z różnicy pomiędzy uzyskiwanymi rezultatami a wcześniejszymi deklaracji NASA. Zgodnie z tym zaleceniem NASA miała określić plan lotów dostosowany do poziomu posiadanych zasobów. Po katastrofie promu Challenger wdrożono działania zaradcze. Nowa organizacja, nauczona na własnej porażce, zreaktywowała program lotów kosmicznych. Sytuacja wyglądała na opanowaną. Jednak po siedemnastu latach od pierwszej katastrofy drugi z promów nie wrócił na ziemię. Tym razem katastrofa zdarzyła się podczas wejścia promu w gęste warstwy atmosfery. I tym razem rozpoczęto drobiazgowe śledztwo. I tym razem okazało się że wypadkowi można było zapobiec. Uszkodzenie, które doprowadziło do katastrofy nastąpiło podczas startu promu. Raport komisji badającej katastrofę poza ewidentnymi przyczynami z zakresu zarządzania ryzykiem (safety risk management) oraz zapewnienia bezpieczeństwa (safety assurance) dał zadziwiającą odpowiedź. Najbardziej podstawową przyczyną wypadku była kultura organizacyjna NASA. Kulturę organizacyjną opisuje się jako zbiór norm społeczne w połączeniu z systemem wartości. Kultura jest odpowiedzialna za klimat panujący w firmie, sposoby motywowania pracowników, sposoby rozwiązywania problemów oraz sposoby podejmowanie decyzji. Jest wszechobecna jednak tylko niektóre jej elementy są widoczne. W pewien sposób przypomina górę lodową. Kultura organizacyjna NASA kształtowała się podczas zimnej wojny. Nastawiona była na walkę i osiąganie celów tolerując jednak wyższe ryzyko. Ta sama kultura, która przyczyniła się do wysłania misji na księżyc spowodowała największe w historii problemy NASA. Raport komisji wprost określił, że kultura organizacji doznała szoku po pierwszej katastrofie. Zalecenia komisji powypadkowej miały faktycznie doprowadzić do zmiany sposobu podejmowania decyzji. Jednak to kultura firmy miała się zmienić. Zmiany, do jakich organizacja została zmuszona nie były trwałe. Z czasem stara kultura powróciła. Uzyskiwanie rezultatów i zachowanie dobrego image stało się ważniejsze od zachowania bezpieczeństwa. W takich warunkach kolejna katastrofa była kwestią czasu. Cztery fundamenty Termin „system zapewnienia bezpieczeństwa” albo „system zarządzania bezpieczeństwem” kojarzy się, przede wszystkim, z ochroną i bezpieczeństwem fizycznym. Czasem z bezpieczeństwem i higieną pracy. Rzadziej słyszy się o jego przydatności w zarządzaniu strukturami technicznymi. Częściej mówi się o zarządzaniu ryzykiem, które de facto jest częścią zarządzania bezpieczeństwem i jednocześnie jednym z jego fundamentów. Koncepcja oparta na podzielne systemu zapewnienia bezpieczeństwa na cztery fundamenty jest sprawdzonym modelem promowanym przez ICOA (International Civil Aviation Organisation). Model ten zawiera wszystkie niezbędne elementy zarządzania ryzykiem określone w normie PN-ISO 31000. Zgodnie z tą koncepcją zapewnienie bezpieczeństwa opiera się na zarządzaniu ryzykiem (Risk Management), zapewnieniu bezpieczeństwa (safery assurance), polityce bezpieczeństwa (safery policy) oraz promocji bezpieczeństwa (safery promotion). Zarządzanie ryzykiem odpowiada za identyfikację zagrożeń, ocenę ryzyka i jego łagodzenie. Trzeba pamiętać że zagrożenia pochodzą nie tylko od maszyn, urządzeń i systemów. Równie dobrze ich przyczynami mogą być ludzie, środowisko, wzajemne oddziaływania oraz zachowanie człowieka w Sławomir Kiszkiel-Makiewicz e-mail: [email protected] www.slawomirmakiewicz.pl swoim miejscu pracy. Przyczyny mogę pochodzić także z niedostatków lub błędów w systemie. Odpowiednie narzędzia mają za zadanie ułatwienia analizy. Zapewnienie bezpieczeństwa (safety assurance) odpowiada za ciągłe ulepszanie systemu. Obejmuje zapewnienie poprawnego działania systemu i skupia się na rozpoznawaniu zmian, monitorowaniu działania, audytach oraz zarządzaniu zmianą. Musi zapewnić właściwe i ciągłe działanie systemu, właściwe wdrażanie strategii, rozpoznawanie nowych zagrożeń oraz ich źródeł. Polityka zapewnienia bezpieczeństwa z jednej strony zajmuje się określeniem celów. Z drugiej określa obszary odpowiedzialności i sposoby osiągania celów. Do jej domeny należy także koordynacja i dokumentowanie systemu. Ostatnim elementem jest promocja bezpieczeństwa. Zadaniem tego ostatniego elementu jest tworzenie pozytywnej kultury sprzyjającej właściwemu zachowaniu pracowników. Tak jak było to opisane wyżej kultura to wyznawane wartości, motywacje i zachowania. Niekiedy sprzyjają realizacji celów. W innych przypadkach są z nim w sprzeczności. Uzyskanie pozytywnej kultury jest efektem wykorzystania kompetencji technicznych, szkolenia, właściwej efektywnej komunikacji oraz dostępu do informacji. Kulturę można przyrównać do fachowości i profesjonalizmu. Jest to szczególnie ważne ze względu na jednostkowy wpływ na efekty całej organizacji. Polityka bezpieczeństw a Zarządzanie ryzykiem System zapewnienia bezpieczeństw a Promocja bezpieczeństwa Rysunek 2 Model Systemu Zarządzania Bezpieczeństwem (źródło ICOA) Sławomir Kiszkiel-Makiewicz e-mail: [email protected] www.slawomirmakiewicz.pl Do wybuchu w warszawskiej Rotundzie doprowadził łańcuch kilku czynników. Pierwszym było pęknięcie zaworu gazowego, który był „naciągnięty” podczas montażu. Drugim czynnikiem był brak szczelności pomiędzy stacją zawodów a budynkiem Rotundy (Rotunda nie była podłączona do sieci gazowej). Ostatnim czynnikiem był śnieg i oblodzenie, które uniemożliwiło ulotnienie się gazu do atmosfery bezpośrednio ze stacji zawodowej. Brak zapewnienia szczelności pomiędzy częściami instalacji było standardem budowlanym. Na pogodę nie mamy wpływu. Problematyczny montaż zaworu mógł zostać zgłoszony. Wykonujący montaż powinien wykazać się właściwą fachowością. To wystarczyłoby do zapewnienia bezpieczeństwa. Wybuch w warszawskiej Rotundzie ma zresztą szerszy wymiar. Podobne wypadki zdarzały się w Polsce. W 1976 roku wybuch gazu zniszczył budynek w Gdańsku. Zginęło 17 osób. Budynek nie był przyłączony do sieci gazowej. 1995 roku znów w Gdańsku wybuch gazu zniszczył dolne piętra wieżowca. Wnioski Pierwszy wniosek, jaki się nasuwa dotyczy kompleksowość zagadnienia. Dla osiągnięcia celu, jakim jest zapewnienie bezpieczeństwa samo zarządzanie ryzykiem nie jest wystarczające. Tak jak współczesne utrzymaniu ruchu tak i zapewnienie bezpieczeństwa należy traktować kompleksowo. Na zapewnienie bezpieczeństwa (także technicznego) musi pracować cała organizacja. Praca rozpoczyna się od określenia celów, odpowiedzialności a kończy na konsekwentnym budowaniu pożądanej kultury firmy. Bezpieczeństwo to nie lista kontrolna. Zapewnienie bezpieczeństwa oraz niezawodności jest działaniem ciągłym zmierzających do uzyskania konkretnych efektów. Jednym z warunków skuteczności zarządzania bezpieczeństwem jest koniczność pełnej integracji. Jeśli sygnały formalne będą w sprzeczności z kulturą firmy to efekty także będą niejednoznaczne. Przedstawione przypadku pokazały jeszcze jedną prawidłowość. Istnieją dwa rodzaje przyczyn wypadków. Przyczyny bezpośrednie i pośrednie. Przyczyny bezpośrednie to zaniedbania, zaniechania i błędy. Obejmują głównie personel liniowy. Są dobrze widoczne i mają bezpośredni związek na zdarzeniem. Drugi rodzaj czynników jest mniej widoczny. Wydaje się jednak groźniejszy. Do takich czynników należą: niewłaściwe priorytety, złe zarządzanie, stawianie sprzecznych wymagań, mechanizmy demotywujące personel oraz luki w zakresie odpowiedzialności. Powody tego rodzaju są związane z kontekstem organizacji. Są zwykle oddalone w czasie i przestrzeni od wypadku. Przez to że stanowią codzienność te przyczyny nie są widoczne dla członków organizacji lub są przez nich traktowane jako właściwe. Można postawić pytanie czy i w jaki sposób uczymy się na własnych błędach. Ludzie ginący w wypadkach samochodowych. Pożary. Zdarzające się każdego roku wybuchy gazu to nie jest przypadek. Każdy skutek ma swoją przyczynę. Może jedno zdarzenie można potraktować jako przypadek. Jeśli jednak pewien typ zdarzenia staje się elementem statystyki to przestaje być przypadkiem a staje się regułą. W takim razie dwa podstawowe pytania brzmią: jakie reguły lub wzorce zachowania dominują w firmie, dziale czy brygadzie oraz czy umiemy się uczyć na błędach. Z opisanymi przypadkami wiąże się pewna prawidłowość. Jednym z powodów wyboru wypadków promów kosmicznych jako przykładów do omówienia działania systemu bezpieczeństwa było bardzo Sławomir Kiszkiel-Makiewicz e-mail: [email protected] www.slawomirmakiewicz.pl dobra i publicznie dostępna dokumentacja. Każdy z raportów komisji powypadkowych zawiera dużo więcej informacji niż niezbędne minimum. Każdy z nich jest dostępny w internecie bez ograniczeń dla każdego zainteresowanego. Jeśli mamy uczyć się na błędach (najchętniej nieswoich) to właściwa i dobra jakościowo dokumentacja powinna być dostępna powszechnie. Podsumowując. Do koniczności radzenia sobie z zagrożeniami i niepewnością trzeba przywyknąć. Bezpieczeństwo nie oznacza braku ryzyka lub braku zagrożeń. Zagrożenia i ryzyko będą istnieć zawsze. To, co różni dobre i bezpieczne organizacje od tych, które są niebezpieczne to sposób radzenia sobie z niepewnością. Można zagrożeniom stawić czoło, starać się zrozumieć i zarządzać lub ignorować mając nadzieję, że skoro przez jakiś czas nic się nie stało to w najbliższej przyszłości także nic się nie stanie. Osądzenie, która strategia jest lepsza zależy od sumienia a niekiedy także od prokuratora. Sławomir Kiszkiel-Makiewicz
