Операция закончена. Об этом сообщается координатору, который обновляет доску работ в режиме реального времени. Это означает, что можно приступать к следующей операции. Указанный координатор – единственный постоянный держатель актуальной ситуации. Он всегда владеет информацией о том, можно ли запускать следующий этап на конкретном участке.
Работа не завершена. В таком случае делается соответствующая пометка, и все причастные видят, что пока что на участке нельзя делать ничего, что конфликтует с данной операцией.
Над всей системой совещаний есть еще одна система, направляющая и корректирующая. Это набор действий, предпринимаемых руководителями различного уровня, призванных удерживать всю схему с точки зрения качества, удержания нормы. Это делается через супервизию (контроль старшего руководителя за процессом проверки рабочих его подчиненным сотрудником). Например, проверка начальником участка, как мастер спрашивает ДОР у рабочих, с последующей обратной связью, МБВР, аудит ОРПР, проверка диаграмм-«бабочек», проверка ДОР.
Создается график, по которому любой менеджер с определенной периодичностью выполняет свой набор действий по удержанию нормы: например, раз в неделю проводит МБВР, раз в две недели – аудит ОРПР и каждый раз, когда выходит «в поле», спрашивает у рабочих навык ДОР.
Как это выглядит на практике? Руководитель, просматривая список предстоящих работ и ориентируясь на свой график, сообщает заранее исполнителям, что придет к ним проводить МБВР. Берет АБВР на выполняемую работу, отправляется на участок и дальше действует по методике, которую мы описали в соответствующей главе.
Такой же механизм реализуется и относительно ДОР и аудита ОРПР. Последний проходит как наблюдение за тем, как бригадир применяет принцип 3С и какие действия предпринимаются в случае, если во время обсуждения всплыл какой-то новый риск, как уже упомянутая нами сломанная распаечная коробка.
Отмечу, что как минимум раз в месяц на территории проходит и охота на риски, результаты которой добавляются в электронную систему на карту.
В 16:00, замыкая круг, подходим к следующему ежедневному планировочному совещанию. Оно начинается с анализа, рефлексии по прожитому дню. На доске отражено, какие работы завершены, какие нет, на каких участках были выявлены проблемы, которые всплыли после ОРПР, в ходе МБВР, отказы, проверки ДОР… И только после этого приступают к планированию следующего дня.
Что делать, если в течение дня появилось какое-то отклонение, возникла неисправность, что-то стало сбоить или работу не получилось сделать так, как запланировано? Как в наш идеальный день интегрируется ремонт, в том числе срочный?
Компании, не использующие риск-ориентированный подход, пытаются все отклонения устранить сразу, прямо здесь и сейчас. В результате получается так, что ремонтники всегда куда-то постоянно бегут, но при этом ничего никогда толком не успевают.
При риск-ориентированном подходе алгоритм выглядит иначе. Сначала проводят оценку риска на предмет того, чем отклонение может закончиться и, соответственно, есть ли вообще какая-то срочность в ремонте. Надо ли срочно бежать и устранять проблему прямо сейчас?
Если оказывается, что бежать никуда не надо, отклонение уходит на следующий день – в планирование. Но по ускоренной схеме: из базы извлекается АБВР на ремонтную операцию, и руководитель тут же подтверждает эту работу в зависимости от рисков.
Утром, обычно в 9:00 или 9:30, проходит ежедневное совещание. Оно необходимо для того, чтобы собрать все выявленные отклонения, прогнать их через матрицу рисков и провести приоритизацию ремонтных работ – что сделать в первую очередь, во вторую и т. д., учитывая общую емкость бригад. Сам процесс приоритизации идет через риски – работы планируются с учетом рисков как самих работ, так и тех проблем, которые могут возникнуть, если эти задания не выполнить.
Кроме того, раз в неделю проходит совещание по обсуждению реестра рисков и мероприятий. Анализируется ретроспектива прожитых семи дней: что произошло, изменились ли какие-то риски, добавились ли новые. Раз в месяц проходит такая же ретроспектива месяца, в которой обычно участвуют руководители уровня директора производства или даже компании.
Рассмотрим порядок действий в случае происшествия на конкретном примере. Вернемся к нашему Сергею Михайловичу, оператору нефтяной платформы, который выключил оба насоса и тем самым «обездвижил» процесс добычи нефти. Разберем этот эпизод с позиции риск-управления.
Берем за основу тезис, что мы поместили человека в условия, в которых он принял неверное решение. И менять надо условия.
Анализируя ситуацию, мы видим, что отключение насоса может происходить по клику мыши. Перед оператором на компьютере появляется рамочка-предупреждение: «Внимание! Вы выключаете насос. Подтвердите».
Так произошло выключение первого насоса. Со вторым – вылезла аналогичная рамочка с тем же текстом. С точки зрения когнитивного опыта разницы в отключении первого и последнего устройств не было никакой.
Ничто не предупреждало о том, что отключается последний действующий насос, после чего производственный процесс остановится.
Идем в поиске решения через иерархию мер контроля. Формулируем риск: оператор может отключить производство при нажатии мышкой на какое-либо меню, осуществив вовсе не те действия, которые он предполагает. Он не планировал все остановить, и тем не менее именно это произошло.
Какого уровня нам нужны решения? Чтобы ответить на этот вопрос, требуется прогнать риск через матрицу приоритетов, для чего надо понять размер ущерба и вероятность повторения происшествия. Наихудший ущерб от простоя в конкретном случае был оценен в $5 млн. Частотность происшествия – два раза за два года. Итого у нас получился оранжевый риск, что означает, что нам не надо немедленно останавливать производство и все переделывать. А также то, что нам требуется придумать технические решения.
Самая верная и самая первая мера в иерархии заключается в устранении риска как такового. Можем ли мы сделать так, чтобы оператор вообще не мог отключить производство? Нет, не можем, потому что он должен иметь такую возможность в определенных случаях, например при чрезвычайных ситуациях.
Спускаемся по иерархии ниже: есть ли возможность заместить риск? Опять же нет.
Идем дальше: возможно ли найти технические решения, которые устранят человека из процесса? Вот здесь ответ – да. И заключается в том, чтобы сделать переключение автоматическим. Рассуждаем: с какой целью техника отключалась? С целью сбалансировать износ каждого агрегата. Значит, надо автоматизировать систему таким образом, чтобы она производила переключение сама при достижении определенного отработанного времени.
Тем самым убрали человека из принятия и реализации решения, исключив с его стороны какую-либо ошибку.
Правда, для автоматизации потребовалось время. И пока соответствующие работы не были проведены, мы реализовали промежуточное решение с помощью не жестких, а мягких барьеров: переписали логику системы так, чтобы отключение требовало подтверждения мастером. И создали, таким образом, двойную защиту: предупреждающая рамочка и надзор со стороны еще одного человека.
Однако у нас нет ресурсов, чтобы автоматизировать все процессы и везде убрать оператора. Надо их приоритизировать, выяснить, где автоматизация нужна, а где можно обойтись. Выявить моменты управления производством, когда оператор может, условно, нажать не ту кнопку и тем самым нанести серьезный ущерб. В каких процессах и операциях он может повторить такую же ошибку? Необходимо найти все аналогии, например, та же ситуация возможна и с переключением водяных насосов. В итоге на платформе мы нашли больше десятка подобных уязвимостей, для ликвидации которых требовалась или автоматизация, или двойной контроль. Наработанной информацией мы поделились с другими платформами, и они у себя провели аналогичную работу.
Часть 5Финальные штрихи
Глава 20Развертывание – пошаговый план
В этой главе мы поговорим о типовой последовательности, в которой лучше начать применять рассмотренные в предыдущих частях подходы и инструменты. Вне зависимости от специфики работы компании она имеет общую архитектуру, поэтому имеет смысл рассказать об этом в деталях.
Прежде чем начинать путь к цели «без происшествий», необходимо провести диагностику существующей системы. Это позволит понять, в чем именно состоит проблема в настоящий момент и с какими людьми – какого уровня квалификации и с какими ценностями культуры безопасности – мы имеем дело. Так мы поймем, какую именно стратегию внедрения и какие инструменты стоит взять.
Вариантов стратегии множество, но основных два.
Первый вариант состоит в том, чтобы диагностировать и оценить эффективность уже имеющихся инструментов производственной безопасности. Ненужные и неэффективные упразднить, а полезные модифицировать, улучшить и интегрировать в новую систему. Второй вариант предлагает все построить с нуля. Конкретный выбор делается в зависимости от обстоятельств. По моему опыту, в большинстве случаев принимается первый.
Без диагностики ресурсы будут расходоваться вслепую, и, соответственно, существует вероятность того, что нецелесообразно.
Диагностика является универсальной, так же, как и для человеческого организма существуют единые стандарты диагностики, предписанные Министерством здравоохранения. А метод лечения под каждое предприятие разрабатывается свой, индивидуальный, который учитывает местную специфику.
В мире приняты стандарты ISO и OHSAS, системы менеджмента качества и безопасности. Однако не стоит сильно на них полагаться – компания вполне может соответствовать им на бумаге, но в то же время ее реальная практика производства может существенно отличаться. Стандарты ISO и OHSAS делают упор на наличие