Resumé

summary: Large projects, such as transportation systems and atomic power plants, can have considerable negative consequences. The purpose of risk estimation is to identify the possible negative consequences with their associated probabilities. This article suruty* sume commonly u?>cd methods for risk estimation. Risk estimation is often concerned with small probabilities. For that reason, the article concentrates on event and fault trees, which are methods particularly suited for estimating small probabilities. Weaknesses and difficulties associated with event and fault tree&-are discussed. There is also a discussion of how one can obtain the basic data inputs. Applications of event and fault trees are mentioned. Other methods for risk estimation are also discussed.

1. Indledning

Store projekter, som f.eks. havneanlæg, transportsystemer og kraftværker, kan være til stor gavn for en region eller berørt befolkning. Men de kan også medføre negative konsekvenser, såsom eksplosioner i kemiske fabrikker, reaktorhavarier og udslip ved transportuheld. Risikoestimation går ud på at kvantificere sådanne mulige negative konsekvenser.

Begrebet risiko har forskellige betydninger. Økonomer benytter tit begrebet til at betegne en ikke-deterministisk situation, hvor sandsynlighederne for de forskellige udfald - positive og negative - er kendte (se f.eks. Luce og Raiffa 1957, p. 13). I litteraturen om »risk management« forbindes risiko sædvanligvis udelukkende med negative konsekvenser, især forekommende i sammenhæng med store projekter. Risiko defineres som hele spektret af mulige negative konsekvenser med tilhørende sandsynligheder (eller frekvenser¹) (se f.eks. Lovvrance 1976, p. 70-74; Okrent 1977, p.

---

1. Risiko henviser nogle gange til spektret af negative konsekvenser med de tilhørende frekvenser i stedet for sandsynligheder. Sammenhængen mellem sandsynlighed og frekvens kan anskueliggøres på følgende måde: Antag, at sandsynligheden for r udfald af en negativ konsekvens i tidsintervallet t er givet af Poisson-fordelingen p(r) = : (r = 0,1,2...). r! hvor /. er udfaldsfrekvensen pr. tidsenhed. Sandsynligheden for mindst ét udfald i intervallet t er således (\—e /t). Hvis /.t er meget lille (/./ < < 1), som ofte er tilfældet ved risikoestimation, kan denne sandsynlighed approksimeres som ).t (se f.eks. Apostolakis 1974, p. 45-48). Endvidere kan kl betragtes som sandsynligheden for præcis ét udfald, fordi sandsynlighederne for multiple udfald indeholder /.r opløftet til højere potenser og derfor kan forsømmes.

2:1; Otway og Pahner 1976, p. 124; Ro we 1977, p. 24; Sjoberg 1978. p. 10; Starr et al.
1976, p. 640-641). Risikoestimation er således det samme som at identificere hele
spektret af negative konsekvenser af et projekt med de tilhørende sandsynligheder.

Denne artikel har et didaktiskt formål: at redegøre for nogle ganske almindeligt brugte metoder for risikoestimation.² Forhåbentlig vil den derigennem bidrage til at ikke-eksperter bedre kan vurdere de udtalelser om f.eks. atomreaktorsikkerhed, som kommer fra ekspertside. Risikoestimation beskæftiger sig tit med små sandsynligheder. omhandler en stor del af artiklen hændelses- og fejltræer, som er metoder særlig egnede til at estimere små sandsynligheder. Hændelses- og fejltræer diskuteres i afsnit 2 og 3. Afsnit 4 omhandler yderligere aspekter af hændelses- og fejltræer, inkluderende fællesfejl. Afsnit 5 diskuterer, hvordan man kan tilvejebringe de fornødne grunddata. Afsnit 6 sammenfatter noget af den kritik, som man har rejst mod hændelses- og fejltræsmetodikken, og afsnit 7 nævner forskellige anvendelser af samme metodik. Hændelses- og fejltræer går ud på at dekomponere komplekse hændelsesforløb i mindre og simplere dele. Afsnit 8 diskuterer andre metoder for risikoestimation, som ikke medfører en sådan dekomposition. Afsnit 9 indeholder afsluttende bemærkninger.

2. Hændelsestræer

En fundamental idé bag hændelsestræer er, at en given negativ konsekvens fremkommer som følge af en kæde af hændelser. Én enkelt hændelse er ikke nok til alene at forårsage den negative konsekvens. Dette er i virkeligheden den måde på hvilken mange uheld indtræffer. Der siges f.eks. i den officielle norske rapport over udblæsningsuheldet på Bravoplatformen i april 1977, at »ulykken var resultat av en slik rekke uheldige omstendigheter og fejlvurderinger at man på forhånd ville måtte anse for osannsynlig at en slik konstellasjon var mulig« (NOU 1977, p. 44).

Hvis man formaliserer denne idé om en kæde af hændelser som leder til en bestemt konsekvens, fremkommer et hændelsestræ. Mere præcist starter et hændelsestræ med en initierende hændelse og afbilder alle mulige hændelsessekvenser som følger på den initierende hændelse. På forskellige pladser i træet er der grenpunkter, som anskueliggør de mulige næste hændelser som kan følge i kæden. Sandsynligheden for en bestemt konsekvens fås ved at multiplicere sandsynlighederne sammen for alle

---

1. Risiko henviser nogle gange til spektret af negative konsekvenser med de tilhørende frekvenser i stedet for sandsynligheder. Sammenhængen mellem sandsynlighed og frekvens kan anskueliggøres på følgende måde: Antag, at sandsynligheden for r udfald af en negativ konsekvens i tidsintervallet t er givet af Poisson-fordelingen p(r) = : (r = 0,1,2...). r! hvor /. er udfaldsfrekvensen pr. tidsenhed. Sandsynligheden for mindst ét udfald i intervallet t er således (\—e /t). Hvis /.t er meget lille (/./ < < 1), som ofte er tilfældet ved risikoestimation, kan denne sandsynlighed approksimeres som ).t (se f.eks. Apostolakis 1974, p. 45-48). Endvidere kan kl betragtes som sandsynligheden for præcis ét udfald, fordi sandsynlighederne for multiple udfald indeholder /.r opløftet til højere potenser og derfor kan forsømmes.

2. Artiklen er en afkortet version af et kapitel for en kommende håndbog (Jennergren og Keeney 1979).

hændelser på den pågældende vej gennem træet. Et hændelsestræ minder således om de beslutningstræer, som benyttes i beslutningsanalyser (se f.eks. Raiffa 1968). Dog findes der i et hændelsestræ ingen beslutningspunkter. Alle grenpunkter henfører sig til tilfældige udfald. Fejltræer diskuteres f.eks. i den amerikanske såkaldte Rasmussen-rapport (US Nuclear Regulatory Commission 1975, main report p. 42-44.152-159). af Apostolakis (1974, p. 259-266).

Som et eksempel på fejltræer, antag at man ønsker at estimere risikoen for store olieudslip i en havn på grund af slangebrud medens tankskibe losser olie.³ Det forudsættes, at ét skib ad gangen kan losse olie. Skibet forbindes til en fortøjningsbøje gennem en fortøjningswire og to olieslanger. Olien pumpes fra skibet til fortøjningsbøjen gennem slangerne, som begge har en kapacitet på 35.000 tønder/time.

Et stort olieudslip indtræffer, hvis en eller begge slanger revner, medens olien bliver pumpet. To mulige scenarier for et sådant udslip vises i hændelsestræerne i figur 1. I det første scenario er den initierende hændelse at én slange revner. (Der ses i scenario 1 bort fra muligheden at begge slanger revner på én gang). Hvis der sker et brud på en slange, skal en nødventil lukke automatisk. Hvis dette sker går der 0,01 timer før oliestrømmen er lukket. Hvis ventilen svigter, vil oliestrømmen alligevel efterhånden blive standset, men det vil tage 0,05 timer.

En olieslange kan revne på grund af pludselig trykforandring, fabrikationsfejl, eller simpelthen fordi den er slidt. For disse tre årsager sammenlagt er frekvensen af slangebrud blevet estimeret til B,BxlO~⁴ pr. time, på basis af data fra Durban (Sydafrika). Der er endvidere en sandsynlighed, hentet fra Rasmussen-rapporten, på 33 x 10~⁴ pr. benyttelse, at nødventilen ikke virker på grund af mekanisk fejl eller operatørfejl. Således kan man fremregne frekvenserne for de to store udslip A og B i figur 1.

Det andet scenario, som kan lede til et stort udslip, er at fortøjningswiren brister. I det tilfælde skal også nødventilen lukkes. Dog kan det også her ske, at ventilen svigter. Kort tid efter bruddet på fortøjningswiren vil begge olieslanger blive slidt af, men der er lidt tid mellem disse to hændelser. Dette betyder, at hvis nødventilen virker, er der tilstrækkelig tid til at iukke før slangerne bliver slidt af, og der undgås et stort udslip. Men hvis ventilen svigter, forudsættes der igen at blive en udslipsperiode på 0,05 timer. Frekvensen for brud på fortøjningswiren er sat til 1,4 x 10^{~4~ 4} pr. time, også baseret på data fra Durban. Det andet hændelsestræ i figur 1 identificerer det store udslip C med dets tilhørende frekvens.

---

3. Beskrivelsen af situationen, inkluderende data, er hentet fra Frenkel og Hathaway (1976, p. 92-98;.

Man kan nu sammenstille tabel 1, som angiver risikoen for store olieudslip på grund af slangebrud. Selvfølgelig skal tallene i tabellen ikke opfattes bogstaveligt - de skal ses som størrelsesgrader. Dette gælder både størrelserne på udslippene og deres frekvenser. Det skal tilføjes, at disse udslip ikke er de eneste der kan ske i en havn. Tankskibe kan kollidere eller gå på grund. Der kan også forekomme små udslip fra slangebrud, hvis en slange revner på et tidspunkt hvor der ikke pumpes olie. Udslip kan også forårsages af overløb i en tank på land. Endelig kan sabotage forårsage udslip. En fuldstændig risikoestimation må inkludere alle disse mulige udslip.

Denne metode for risikoestimation - at begynde med forskellige initierende hændelser og siden konstruere hændelsestræer for at komme frem til den endelige konsekvens - blev brugt f.eks. i Rasmussen-rapporten. De endelige konsekvenser i den rapport var dog ikke olieudslip men udslip at radioaktivitet.

Et andet eksempel, fra en kemisk fabrik,⁴ viser sammenhængen mellem hændelsestræer og fejltræer (som diskuteres i det følgende afsnit). I fabrikken blandes to gasstrømme i en beholder. Hvis blandingen kommer ud af ligevægt, kan beholderen eksplodere. Fabrikken er derfor udstyret med beskyttelseskanaler, sikkerhedskredse og lukningsmekanismer. Beskyttelseskanalerne måler de to gasstrømme. Hvis de to gasstrømme blandes i forkerte proportioner, overføres et signal gennem sikkerhedskredsene til lukningsmekanismerne. Lukningsmekanismerne gasstrømmene, og derved afværges en potentiel eksplosion. Risikoestimationsproblemet følgende: Givet at en initierende hændelse indtræffer, således at gasblandingen kommer ud af ligevægt, hvad er da sandsynligheden for at sikkerhedsudstyret er ude af stand til at standse gasstrømmen? En sådan incident er ikke ensbetydende med en faktisk eksplosion, fordi en eksplosion alligevel kan afværges f.eks. gennem indgriben af operatør.

Et hændelsestræ, som anskueliggør denne situation, findes i figur 2. Træet begynder med en uidentificeret initierende hændelse. Derefter vises alle mulige hændelseskæder, som leder frem til at fabrikken enten lukker eller at gasblandingen kommer ud af ligevægt.

Antag nu, at p_l, p2p₂ og p 3p₃ er sandsynlighederne for at henholdsvis beskyttelseskanalerne, sikkerhedskredsene og lukningsmekanismerne svigter. De tilsvarende sandsynligheder for at de virker er således (1 — p_x\ (1 — p₂) og (1 —p₃). Sandsynlighederne for de tre nederste sekvenser i hændelsestræet i figur 2 er således henholdsvis (1 -px)(lpx)(l ~P₂)P^ (I~Pi)P2 °gPi- Sandsynligheden for at gasblandingen

---

4. Eksemplet er tilrettelagt efter Hensley (1968). Hensley bruger dog hverken hændelses- eller fejltræer. Han skriver, at eksemplet henfører sig til »et typisk lukningssystem« i en »noget hypotetisk kemisk fabrik«.

kommer ud af ligevægt, givet at en initierende hændelse indtræffer, er følgelig
summen af disse tre.

3. Fejltræer

Et hændelsestræ begynder fra en initierende hændelse og angiver alle mulige hændelsessekvenser, som kan indtræffe efter den initierende hændelse. Et fejltræ virker i modsat retning. Det går ud fra en given endelig og uønsket konsekvens og går baglæns for at identificere alle kombinationer af komponentfejl, som kan lede til at den givne endelige, uønskede konsekvens indtræffer. Fejltræer kan bruges til at forstå de processer, som leder frem til, at hændelser i hændelsestræer indtræffer, og også til at estimere sandsynlighederne for sådanne hændelser. Man begyndte at bruge fejltræer i luft- og rumfartsindustrien i 1960erne. Et fejltræ har én speciel hændelse - tophændelsen - og viser derunder de forskellige kombinationer af hændelser på lavere niveauer, som kan forårsage tophændelsen. Princippet fremgår af den følgende fortsættelse af eksemplet med den kemiske fabrik.

Næste trin i analysen af den kemiske fabrik ville være at estimere sandsynlighederne p_l, p2p₂ og p 3.p₃. Dette er måske svært at gøre direkte. De enkelte hændelser (beskyttelseskanalerne virker ikke; sikkerhedskredsene virker ikke; lukningsmekanismerne virker ikke) indtræffer som resultat af adskillige mindre hændelser og kan derfor dekomponeres. Det er fordelagtigt at bruge fejltræer i denne yderligere dekomposition af en hændelse.

I det aktuelle tilfælde er der oplyst, at der er to beskyttelseskanaler: en flow-ratiokanal(FK-kanal),som
strømstyrken af de to gasstrømme; og en
gasanalysekanal (G/4-kanal), som analyserer indholdet af den blandede gas. FRkanalenbeståraf

kanalenbestårafto FR-enheder og virker, hvis mindst én af de to FR-enheder virker.
G.4-kanalen består af tre G.4-enheder og virker, hvis mindst to af de tre G/1-enheder
virker. Endelig er én af de to kanaler tilstrækkelig for at måle gasblandingen. Der er

derfor en betydelig redundansgrad i beskyttelseskanalerne, og hændelsen »beskyttelseskanalerne svigter« kan kun indtræffe som en konsekvens af bestemte kombinationer af FR- og G/1-enheder, som svigter. For at vise disse kombinationer, og som et hjælpemiddel i fremregningen af p_x, sandsynligheden for hændelsen »beskyttelseskanalerne svigter«, kan man anvende fejltræet i figur 3.

Tophændelsen »beskyttelseskanalerne svigter« indtræffer, hvis de to hændelser på andet niveau »FÆ-kanalen svigter« og »G/1-kanalen svigter« indtræffer (der er et OGskjold tophændelsen). Hændelsen på andet niveau »FK-kanalen svigter« finder sted hvis begge de to primære hændelser »FÆ-enhed 1 svigter« og »FK-enhed 2 svigter« finder sted. Hændelsen på andet niveau »G/1-kanalen svigter« finder sted, hvis én eller flere af følgende hændelser finder sted: »G/4-enhederne 1 og 2 svigter«, »G/1-enhederne 1 og 3 svigter«, eller »G/4-enhederne 2 og 3 svigter« (der er et ELLER-skjold under hændelsen »G/1-kanalen svigter«). Hændelsen på tredie niveau »G/1-enhederne 1 og 2 svigter« finder sted, hvis begge de primære hændelser »G/lenhed svigter« og »GA-enhed 2 svigter« finder sted. De almindelige principper for konstruktion af fejltræer bør fremgå af eksemplet. Kort sagt, fejltræet i figur 3 beskriver de forskellige måder på hvilke beskyttelseskanalerne kan svigte.

Et fejltræ kan således give en kvalitativ fornemmelse af, hvordan en given tophændelse kan indtræffe. Det kan også bruges som støtte ved beregning af sandsynligheden for tophændelsen. Man udgår da fra de primære hændelser, som er markeret gennem bolde. Sandsynlighederne for de primære hændelser forudsættes givne. Man arbejder sig opad i træet, idet man beregner sandsynligheder for hver hændelse på højere niveau, indtil man er nået til tophændelsen.

I det aktuelle tilfælde antages det, at FR- og G/1-enhederne har exponentialfordelte levetider med fejlfrekvenserne /j og Å₂ respektive pr. år. De inspiceres en gang pr. måned. Ved det tidspunkt opdages mulige fejl, og nødvendige reparationer bliver udført. Alle FR- og G/1-enheder inspiceres samtidigt. Under disse forudsætninger, og hvis man approksimerer (1 — e~^lt) » /J, bliver sandsynligheden for at en FÆ-enhed svigter, når der er brug for den, (1/2)(1/ Man ville nu muligvis tro, at sandsynligheden for hændelsen »FÆ-kanalen svigter« er [(1/2)(1/.₁]². Dette ville være tilfældet, hvis de to hændelser »FK-enhed 1 svigter« og »FK-enhed 2 svigter« var uafhængige af hinanden. Dog medfører det forhold, at de to enheder inspiceres samtidigt, en ganske subtil form for afhængighed. Sandsynligheden for hændelsen (FÆ-kanalen svigter« er i virkeligheden (l/3)[(l/]². Denne slags beregninger er et standardemne i tilforladelighedsteorien; se f.eks. Green og Bourne (1972). På lignende måde er sandsynligheden for hændelsen »G/1-enhederne 1 og 2 svigter« (l/3)[(l/.₂]². Sandsynligheden er den samme for »G/1-enhederne log3 svigter« og »G/1-enhederne 2 og 3 svigter«. Sandsynligheden for hændelsen »G/1-kanalen

svigter« kan derefter approksimeres til 3(1/A2]2 = [(1/12)A2]2. Denne
approksimation ser væk fra det forhold at de tre hændelser under ELLER-skjoldet
ikke er gensidigt udelukkende.

Efter at man således har fremregnet sandsynlighederne for de to hændelser på andet niveau, kan man beregne sandsynligheden for tophændelsen. Også de to hændelser på andet niveau er ikke uafhængige, fordi de to kanaler inspiceres samtidigt. Man kan beregne, at sandsynligheden for tophændelsen »beskyttelseskanalerne er (3/5)(l/)⁴/.²/.₂. Dette er den ønskede sandsynlighed p_t i hændelsestræet i figur 2.

Det er ikke nødvendigt at gå videre med eksemplet fra den kemiske fabrik. Det
fremgår forhåbentlig allerede, hvordan man kan bruge hændelses- og fejltræer i det
eksempel.

4. Yderligere aspekter af hændelses- og fejltræer

Hændelsestræer og fejltræer kan bruges både kvalitativt og kvantitativt. Kvalitativt (det vil sige: uden sandsynligheder) giver de en fornemmelse af omfanget af mulige risici og bidrager til en bedre forståelse af en risikosituation. Kvantitativt kan de bruges for at beregne sandsynligheden for givne hændeiseskæder eller enkelte hændelser. En risikoestimationsstudie kan benytte enten hændelses- eller fejltræer, eller begge to.

I en fuldstændig risikoestimationsstudie med anvendelse af både hændelses- og fejltræer kan man bruge følgende fremgangsmåde: Konstruktion af hændelsestræer - konstruktion af fejltræer - kvantificering af fejltræer - kvantificering af hændelsestræer. Man begynder således med at tegne et antal hændelsestræer. Disse kan forventes at indeholde en del hændelser, som yderligere behøver at blive dekomponeret. Dette kan gøres ved at konstruere fejltræer. Ved kvantificeringen af fejltræerne begynder man med de laveste, eller primære, hændelser, og arbejder derefter opad, idet man kombinerer hændelser gennem ELLER- og OG-skjolde, således at man til sidst erholder sandsynlighederne for tophændelserne. Disse sandsynligheder indsættes derpå på de relevante pladser i hændelsestræerne, og således kvantificeres disse. EDB-programmer er blevet udarbejdet både for konstruktion af fejltræer (Saiem et ai. 1977; se også Powers og Tompkins 1974) og for beregning af sandsynligheder for tophændelser (Apostolakis 1974, p. 229-239). Det er indlysende, at man kun kan konstruere hændelses- og fejltræer, hvis man godt kender den pågældende situation. Men derudover kommer man ikke udenom, at der også forlanges professionel dømmekraft. Hvilken detaljeringsgrad skal man f.eks. prøve at opnå?

Kvaiiiifi^ciiiigcii ai fcjltræe: bygger normalt på to forudsætninger. For det første

antages det, at hændelserne under et ELLER-skjold er gensidigt udelukkende. Lad hændelsen 4 være output fra et ELLER-skjold, og hændelserne B_x, B2B₂ ... B_n inputs. Dette betyder, at A finder sted, hvis mindst én af BB_{x <} B2B₂ ¦¦¦ B_n finder sted. Sandsynligheden p(A) for hændelse A er da

(1)

hvis hændelserne B_t, B2B₂ ... B_n er gensidigt udelukkende. Selvom denne forudsætning ikke holder, benytter man alligevel ofte ligningen (1) til approksimativt at evaluere et ELLER-skjold. Et eksempel på denne approksimation kunne ses i afsnit 3. Sandsynligheden for hændelsen »G/4-kanalen svigter« blev sat lig med summen af sandsynlighederne for de tre hændelser »G/1-enhederne 1 og 2 svigter«, »G/lenhederne og 3 svigter«, og »G/1-enhederne 2 og 3 svigter«, uden hensyn til at disse tre hændelser ikke er gensidigt udelukkende. Approksimationen (1) kan anses for at være tilfredsstillende, hvis de enkelte sandsynligheder p{B_x), p(B₂) ... p(B„) er små, fordi den er konservativ. Det vil sige: uligheden

holder altid, hvadenten hændelserne Br, B2B2 ... Bn er gensidigt udelukkende eller
ikke. Approksimationen overdriver således sandsynligheden for en hændelse som
»G/1-kanalen svigter« i figur 3.

Den anden forudsætning, som har at gøre med kvantificering af fcjltræer, er at alle hændelser i et fejltræ er uafhængige af hinanden. Denne forudsætning er mere kritisk. Antag, at hændelsen Cer output fra et OG-skjold, og at hændelserne D^ D2D₂ ... D_n er inputhændelser. Forudsætningen om uafhængighed bevirker, at OG-skjoldet kan evalueres på følgende måde:

i stedet for

Notationen p(DJ£) betyder sandsynligheden for hændelse D_{ betinget af andre hændelser E i træet. Afhængigheder i risikoestimationssituationer benævnes fællesfejl (på engelsk: common-mode failures). Fortolkningen er, at flere fejl finder sted på en ikke uafhængig måde, fordi der er en fælles bagomliggende årsag. Et ofte nævnt eksempel på fællesfejl er en brand i en atomreaktor i Brown's Ferry (Alabama, USA) i marts 1975. Der skete det, at flere sikkerhedssystemer sattes ud af funktion samtidigt på grund af en fælles bagomliggende årsag: en brand som ødelagde de

elektriske kontrolkabler. En anden grund til afhængigheder kan være forskrifter for eftersyn. Et eksempel på dette dukkede op i afsnit 3, hvor de to primære hændelser »FK-enhed 1 svigter« og »FÆ-enhed 2 svigter« finder sted på en ikke uafhængig måde, på grund af det fælles testinterval på én måned.

Fællesfejl rejser alvorlige problemer ved kvantificering af fejltræer. Det kan være vanskeligt at identificere de fælles fejl. Et andet problem er at fællesfejl er vanskelige at håndtere i fejltræformatet. Det bekvemmeste er at kvantificere fejltræer gennem simple additioner af sandsynligheder under ELLER-skjolde og simple multiplikationer übetingede sandsynligheder under OG-skjolde. Hvis en hændelse i et fejltræ er afhængig af en anden måske langt væk i træet, da bliver det mere kompliceret at beregne sandsynligheden for tophændelsen. Fællesfejl rejser også lignende problemer ved kvantificering af hændeisestræer.

Disse forhold er væsentlige, fordi den måde på hvilken fællesfejl behandles kan have stor effekt i ikke-konservativ retning på de beregnede sandsynligheder. I Rasmussen-rapporten behandledes fællesfejl på en ganske heuristisk måde (US Nuclear Regulatory Commission 1975, appendix II p. II: 44-11: 47). En stor del af kritikken af Rasmussen-rapporten har gældt denne heuristiske måde at behandle fællesfejl (se f.eks. Nuclear Energy Poiicy Study Group 1977, p. 227-228; Yellin 1976, p. 331-337; Lewis et al. 1978, p. 27-28).

5. Datakilder

Visse grundlæggende data er nødvendige, hvis man skal bruge hændelses- og fejltræer til at beregne sandsynlighederne for negative konsekvenser i en risikosituation. Når man har konstrueret et hændelsestræ med passende detaljeringsgrad, skal man derefter tildele sandsynligheder til de enkelte hændelser i træet. Hvis dette er vanskeligt at gøre direkte, kan man gå videre gennem brugen af fejltræer. I begge situationer behøver man data på et vist punkt i analysen: sandsynligheder for de hændelser i hændelsestræerne, som ikke yderligere dekomponeres gennem fejltræer, og sandsynligheder for de primære hændelser i fejltræerne. I dette afsnit vil der simpelt hen blive talt om primære hændelser uden angivelse af hvorvidt de henfører til hændelses- eller fejltræer. En de! af begrundelsen for hændelses- og fejltræer er følgende: Hvis det ikke er muligt at tildele en sandsynlighed til en negativ konsekvens direkte, kan konsekvensen måske opdeles i mindre hændelser, hvis sandsynligheder er kendt erfaringsmæssigt eller nemt kan erholdes. De primære hændelser er ofte fejl på udstyr, f.eks. ventiler som ikke lukker, pakninger som lækker, slanger som revner etc. For fejl af denne type har man indsamlet databaser med fejlsandsynligheder og -frekvenser, f.eks. i sammenhæng med Rasmussen-rapporten (US Nuclear Regulatory Commission 1975, appendix

III); se også f.cks. Eames (1966); Frenkcl og Hathaway (1976, p. 30-53); Hensley (1968); og Powers og Tompkins (1974). De primære hændelser kan også være fejltagelser af menneskelige operatører. Databaser som afser fejlfrekvenser og - sandsynligheder for menneskelige operatører findes også: det vil sige, frekvenser og sandsynligheder for fejl ved lukning af ventiler, omstilling af strømafbrydere, sammenkobling af elektriske kabler og lignende opgaver (se f.eks. Apostolakis 1974, p. 276-279; Frenkel og Hathaway 1976, p. 50-52; Powers og Tompkins 1974, p. 385-387).Eksemplet olieudslip i en havn i afsnit 2 benyttede delvis grunddata fra databaser af denne type.

I mange situationer findes der dog ikke nogen udtømmende databaser hvorfra man kan hente sandsynlighederne eller frekvenserne for de primære hændelser. I en sådan situation kan det blive nødvendigt at støtte sig til ekspertudtalelser. Det vil sige, man spørger eksperter om deres subjektive sandsynligheder for forskellige primære hændelser.

I den beslutningsteoretiske litteratur har der været diskuteret en hel del, hvordan man bedst skal ansætte eksperters subjektive sandsynligheder (se f.eks. Lichtenstein et al. 1977; Savage 1971; Slovic et al. 1977; Spetzler og Staél von Holstein 1975; Tversky og Kahneman 1974; Winkler 1967a, 1967b). Det er ikke muligt her at summere hele denne litteratur, men der skal peges på én særlig vanskelighed.

De negative konsekvenser, som man beskæftiger sig med i risikoestimation, er tit sjældne. Dette er i virkeligheden grunden til at man bruger hændelses- og fejltræer: Hvis de negative konsekvenser ikke var sjældne, ville der rimeligvis eksistere tilstrækkeligt med empiriske data til at estimere deres frekvenser eller sandsynligheder direkte, uden at gribe til hændelses- og fejltræer. Ved at bruge sådanne træer, håber man at komme frem til nogle primære hændelser, som ikke er sjældne (eller i hvert tilfælde mindre sjældne), således at deres sandsynligheder måske til og med kan hentes fra eksisterende databaser. Dette er dog ikke altid muligt, og derfor bliver det måske nødvendigt at indhente subjektive sandsynligheder for sjældne primære hændelser.

Man er i den beslutningsteoretiske litteratur klar over, at sjældne hændelser rejser særlige vanskeligheder ved ansættelse af subjektive sandsynligheder. Tydeligvis virker standardmetoder, som f.eks. roulethjulsmetoden, ikke godt (Spetzler og Staél von Holstein 1975, p. 351-352). Det er åbenbart svært for mennesker at skelne mellem meget små sandsynligheder, f.eks. 10"³ og 10"⁵.

Selvidge (1972, 1975) har foreslået en procedure i flere trin for ansættelse af subjektive sandsynligheder for sjældne hændelser. I det første trin konfronteres eksperten med en liste over sjældne hændelser, og bedes angive den mest og mindst sjældne hændelse. Eksperten bliver også bedt om at rangere alle hændelser efter

stigende sandsynlighed. I det andet trin bliver eksperten spurgt om sin vurdering af de relative sandsynligheder for de forskellige hændelser - er sandsynligheden for hændelse A f.eks. to eller ti gange større end sandsynligheden for hændelse Bl I et tredie trin spørges eksperten, hvorvidt hændelserne på listen er mere eller mindre sjældne end forskellige referencehændelser. Referencehændelserne er sjældne hændelser med kendt sandsynlighed. Som referencehændelse kan man f.eks. bruge »at få ni spar i en bridgehånd«, hvis sandsynlighed kan beregnes nøjagtigt. Til sidst ansættes en subjektiv sandsynlighed for hver hændelse.

Fordi det er vanskeligt at ansætte sandsynligheder for sjældne hændelser, er det ikke forbavsende, at flere eksperter, som overvejer de samme hændelser, kan være højst uenige. Okrent (1975) bad syv geologiske eksperter at ansætte sandsynligheder for jordskælv at forskellige styrker på forskellige pladser i USA. (Janske afvigende udtalelser blev resultatet. F.eks. varierede den ansatte sandsynlighed for et jordskælv af styrken VII på Modified Mercalli-skalaen ved Davis Besse (Ohio) indenfor et interval på et år mellem 10~² og 10~⁶.

Når resultater fra en risikoestimationsstudie præsenteres, bør det fremgå klart, hvilken slags grunddata der er blevet brugt. Hvis subjektive sandsynligheder fra eksperter bruges i høj grad, skal dette tydeligt angives; det kommer formentlig til at påvirke den grad af tillid som brugerne af studien har til resultaterne. I Rasmussenrapporten, for en stor del benytter subjektive sandsynligheder for forskellige primære hændelser, præsenteres resultater i diagrammer, som sammenligner de estimerede frekvenser for reaktoruheld af forskellige størrelser (antal af døde) med frekvenserne for uheld af forskellige størrelser forårsaget af f.eks. eksplosioner, brande, flyvemaskinenedstyrtninger og tropiske storme (US Nuclear Regulatory Commission 1975, executive summary p. 2). Dog kan frekvenserne for disse andre uheld for en stor del udledes fra empiriske data, medens reaktoruheldsfrekvenserne delvis er fremregnet på basis af ekspertudtalelser. Ved at præsentere alle de forskellige årsager til uheld i samme diagram fremkommer der et indtryk af at de estimerede frekvenser for uheld fra atomreaktorer er ligeså »objektive« som uheldsfrekvenserne fra f.eks. eksplosioner og brande. Denne måde at præsentere resultater er ikke tilfredsstillende.

6. Kritik mod hændelses- og fejltræer

Man kan rejse kritik mod hændelses- og fejltræsmetodikken. Nogle relevante
argumenter vil blive omtalt her.

Et kritikpunkt mod hændelsestræer er, at man i praktikken aldrig kan være sikker
på at opdage alle kæder til negative konsekvenser (Hubbard og Minor 1977, p. 16-19;Royal
on Environmental Pollution 1976, p. 111). Det vil sige: Når

man konstruerer et antal hændelsestræer. kan man identificere visse hændelseskæder, som leder til mulige negative konsekvenser. Men der kan eksistere yderligere negative konsekvenser, hvor de hændelseskæder, som leder frem til disse konsekvenser, ikke er indeholdt i hændelsestræerne. Risikoestimationen giver da et ufuldstændigt billede af den pågældende risikosituation. Man kan rejse samme kritik mod fejltræer: Et fejltræ anskueliggør de forskellige måder som en given, uønsket tophændelse kan indtræffe på. Det er dog svært at overbevise sig om. at enhver tænkelig måde er blevet inkluderet i fejltræsdiagrammet. Det er i øvrigt ikke sikkert, at selv eksperter er i stand til at opdage, hvad der eventuelt måtte være udeladt. Fischhoff et al. (1978) viste i en serie af eksperimenter forskellige versioner af et fejltræ for den uønskede tophændelse »bilen starter ikke« for en række eksperter (bilmekanikere) og ikkeeksperter.I af fejltræsversionerne var væsentlige hændelser på andet niveau, såsom »batteriet er utilstrækkeligt ladet«, udeladt. En konklusion af eksperimenterne var, at både eksperter og ikke-eksperter havde svært ved at opdage, hvor meget der savnedes i fejltræet.

Et andet kritikpunkt mod hændelses- og fejltræer har at gøre med afhængigheder eller fællesfejl (se afsnit 4). Det blev tidligere sagt, at fællesfejl rejser visse problemer. Man kan hævde, at disse problemer er så store, og fællesfejl så hyppigt forekommende (i hvert tilfælde når det gælder atomreaktorer), at hele hændelses- og fejltræsmetodikken er af tvivlsom værdi.

I det hele taget får man et lidt blandet billede i litteraturen af nytten af hændelsesog I én kritisk anmeldelse af Rasmussen-rapporten får man at vide, at metodikken (det vil sige hændelses- og fejltræer) er »ukorrekt og totalt i vanry« (Kamins 1975, p. 2). På den anden side siges det i en svensk kommentar til Rasmussen-rapporten, at metodikken (altså hændelses- og fejltræer) er et værdifuldt redskab i den løbende virksomhed for at forbedre sikkerheden (Statens Kårnkraftsinspektion 1977, p. 13). I en artikel om teknologivurdering i almindelighed (altså ikke blot atomreaktorsikkerhed) siger Coates, at hændelses- og fejltræsmetodikken »yderst stærk og kommer til at finde videre anvendelse ved analyser af komplekse fysiske systemer« (Coates 1976, p. 157).

7. Anvendelser af hændelses- og fejltræer

Fejltræer har været benyttet meget for at analysere tilforladeligheden ved forskellige mekaniske og elektriske udstyr. Individuelle sikkerhedssystemer i atomreaktorer har også været analyseret ved den samme metode. Apostolakis (1974, p. 239-259) diskuterer forskellige anvendelser af fejltræer af den slags og giver yderligere litteraturhenvisninger.

I det hele taget har kernekraftsystemer været et væsentligt studieobjekt for

risikoestimation. Flere studier har undersøgt risici forbundet med hele reaktorsystemer(altså blot enkelte komponenter). Den velkendte Rasmussen-rapport brugte hændelses- og fejltræer. En anden lignende undersøgelse er en senere svensk studie (Industridepartementet 1978a), som er en gentagelse af Rasmussen-rapporten udført af amerikanske konsulenter.

Et andet område, hvor man kan anvende hændelses- og fejltræer, er søtransportsystemer for olie og LNG (flydende naturgas; på engelsk: liquefied natural gas). Frenkel og Hathaway (1976) og Stoehr et al. (1977) benytter hændelsesog til at analysere risici for olieudslip i havn og ved sammenstød. Dog synes disse rapporter hovedsageligt at have til formål at demonstrere en metodik, og de har muligvis ikke haft ret stor praktisk betydning.

I en studie af en foreslået LNG-terminal brugtes et udførligt hændelsestræ (Keeney et al. 1979; se også Jennergren og Keeney 1979). Hændelseskæderne var af følgende type: Initierende hændelse (kollision, sammenstød med kajanlæg, flyvemaskinenedstyrtning) umiddelbar eller ikke umiddelbar antændelse - vindretning - vindstyrke og -stabilitet - antændelse af den drivende eassky - dødsfald. Denne studie blev præsenteret i forhandlinger ved Federal Power Commission om tilladelse til at bygge terminalen. En lignende studie af en mulig LNG-havn på den svenske vestkyst er blevet udført af Battelleinstituttet i Frankfurt (Industridepartementet 1978b).

8. Andre metoder for risikoestimation

Hændelses- og fejltræsmetodikken sønderdeler et hændelsesforløb i mindre dele. I en del tilfælde kan sandsynligheden dog for en given negativ konsekvens estimeres direkte fra eksisterende empiriske data. Dette er den måde på hvilken forsikringsselskaber estimerer sandsynligheder for dødsfald og almindelige uheld. Følgende eksempel illustrerer risikoestimation uden sønderdeling i mindre dele.

I en engelsk undersøgelse af olieudslip (Department of the Environment 1976, p. 62-75, 132-144) estimeredes sandsynlighederne for forskellige antal af store udslip fra olieskibe rundt omkring de britiske øer i 1981. Et stort udslip defineredes som 135 tons eller mere. På basis af visse overvejelser kunne man udlede, at sandsynligheden for n store udslip i en ioial iransportkvantitet af i tons kan beregnes som

(2)

hvor N er antallet af store udslip observeret under en periode for nylig, og Ter den
mængde olie, som er blevet transporteret i samme periode. (2) er den negative
binomialfordeling Historiske data blev brugt til at estimere N os T. og der blev lavet

en prognose over den totale mængde olie, som vil blive transporteret rundt omkring de britiske øer i 1981. Man kunne så estimere sandsynligheden for nul udslip til 0,22, for et udslip til 0,30, for to udslip til 0,24 etc. Det kan bemærkes, at de estimerede sandsynligheder er store, og det er tvivlsomt, hvorvidt man kunne have brugt samme metode til at estimere små sandsynligheder. En noget lignende metode benyttedes også i den danske undersøgelse af stormflodsrisiko (Jensen et al. 1967; Stormflodsudvalget 1975).

En vanskelighed ved brugen af empiriske data til at estimere små sandsynligheder direkte fremgår af følgende eksempel, taget fra Mantel og Bryan (1961, p. 457-460). Antag, at en lille dosis af et muligt kræftfremkaldende stof er blevet indsprøjtet i 1000 mus, og at nul svulster er blevet observeret. Hvad kan man sige om risikoen for kræft (for mus) ved det dosisniveau? Lad sandsynligheden for udvikling af kræft ved den dosis betegnes med p. Det er således p, som skal estimeres. Det følger nu, at hvis p er så stort som 0,005, da kan det opnåede resultat (nul svulster i 1000 mus) indtræffe med sandsynligheden 0,01⁵. Hvis man ønsker at markedsføre et sådant stof, så er denne sandsynlighed ikke tilstrækkelig lille for at konkludere, at stoffet er »sikkert« (vi ser her væk fra vanskeligheder ved at oversætte sikkerhed for mus til sikkerhed for mennesker). Kun hvis nul svulster opnåes i et meget stort antal forsøg (mus), er en sådan konklusion berettiget. I denne slags situationer, hvor man ønsker at estimere sandsynligheder for negative effekter ved lave dosisniveauer, kan det derfor være mere fordelagtigt at prøve på i stedet at bruge hændelsestræer. En interessant studie af Nordberg og Strangert (1976) eksemplificerer dette: Studien bruger en form for hændelsestræ for at beregne sandsynligheder for kviksølvforgiftning ved lave doser.

En helt anden metode for risikoestimation bygger på forestillingen om en »største troværdig ulykke« (på engelsk: maximum credible accident) (Critchley 1976; Royal Commission on Environmental Pollution 1976, p. 113). Ved formgivning af f.eks. en atomreaktor tager man den mest negative hændelseskæde, som man kan forestille sig, som den største troværdige ulykke. Man prøver derefter på at konstruere reaktoren således, at selv den største troværdige ulykke kan standses uden skade for den almindelige befolkning. Dette betyder, at alle hændelseskæder som leder til endelige konsekvenser af endnu mere negativ karakter er »ikke troværdige«, med tilhørende sandsynligheder lig med nul. Der estimeres ikke nogen sandsynligheder for de »troværdige« ulykker, det vil sige den største troværdige ulykke og de mindre alvorlige ulykker. Et lignende begreb, største sandsynlig skade (på engelsk: maximum probable loss) bruges i forsikringsvirksomhed ved forsikring af store og ualmindelige objekter (Selvidge 1972, p. 5:18-

---

5. Løsningen til (1-p)¹⁰⁰⁰ = 0,01 er p * 0,005.

Den metode, som bygger på en største troværdig ulykke, medfører derfor en meget grov form for risikoestimation: Visse uheld betragtes som troværdige, men ingen sandsynligheder tildeles disse troværdige uheld. Metoden har den ulempe, at man ikke kan være overbevist om, at uheld, som er alvorligere end den største troværdige ulykke, ikke kan indtræffe. Kamins (1975, p. 10-11) nævner et tilfælde (et reaktoruheld 1966), hvor den største troværdige ulykke var blevet fastlagt, og endog skete der en endnu alvorligere ulykke.

Sikkerhedsanalyser i overensstemmelse med forestillingen om en største troværdig ulykke repræsenterer en mere traditionel ingeniørfilosofi. Den filosofi synes nu at være på retræte for metoder, som explicit beregner sandsynligheder for forskellige hændelser (Apostolakis 1974, p. 262; Critchley 1976, p. 18). Det synes f.eks. som om risikoestimationsstudier, som bruger hændelses- og/eller fejltræer og som præsenterer forskellige konsekvenser med tilhørende sandsynligheder, nu mere og mere i USA indleveres til de licensgivende myndigheder, når der søges om licens til projekter som LNG-terminaler og atomreaktorer (jfr. Spangler 1976, p. 451).

9. Afslutning

Denne artikel har gennemgået metoder for risikoestimation, især hændelses- og fejltræer. Dette afsnit indeholder nogle afsluttende bemærkninger om værdien af sådanne metoder. Man kan da først fastslå: Det er nødvendigt at analysere og estimere risici. Man kan ikke undgå at måtte gøre det, når store projekter af type havneanlæg eller atomreaktorer planlægges. Spørgsmålet er så, hvordan man ønsker at gøre det: på en formel eller uformel, intuitiv måde.

Hvis man skal estimere risikoen i en given situation, ville det selvfølgelig være udmærket, hvis der var tilstrækkeligt med empiriske erfaringer, således at man direkte kunne remse alle mulige negative konsekvenser op med tilhørende sandsynligheder. Dette er muligt i en del tilfælde, men ikke altid. Den eneste måde at indsamle tilstrækkelige erfaringer med f.eks. alvorlige atomreaktoruheld, er at lade et stort antal sådanne uheld indtræffe; men det er givetvis ikke en acceptabel måde at indsamle erfaringer. Hvis man savner sådanne empiriske erfaringer, kan man alligevel forsøge sig med en mere eller mindre intuitiv, uformel risikoestimation, baseret på nogle idéer og forestillinger, som man har. Dette er dog sædvanligvis ikke en god fremgangsmåde. Der findes resultater fra studier af menneskelig informationsbehandling,som på at denne slags intuitiv procedure ikke er tilfredsstillende (Sjoberg 1978, p. 15). Et alternativ er at forestille sig risikosituationen som sammensat af mindre stykker og derefter studere de enkelte stykker individuelt. Den totale risikoestimationsopgave bliver således sønderdelt eller dekomponeret i mindre og simplere opgaver, oe dette kan forventes at forbedre dømmekraften (Slovic et al.

1977. p. 17-18). Hændelses- og fejltræer sigter akkurat til den slags sønderdeling. Der
synes derfor at være en vis retfærdiggørelse i brugen af hændelses- og fejltræer fra
studier af menneskelig informationsbehandling.

Man skal dog ikke forvente at være i stand til at estimere risici meget præcist med de metoder, som omhandles her. I virkeligheden er det meningsløst at tale om »præcis« risikoestimation i forbindelse med store og komplekse projekter. Grundet forskellige forudsætninger og udgangspunkter kan forskellige personer komme frem til forskellige risikoanalyser, hvor hver analyse i sig selv ikke er urimelig. Det er derfor en god idé at lade forskellige grupper af eksperter udføre risikoestimationsstudier af hinanden, hvis det gælder et stort projekt.

Den slags metoder, som er blevet omhandlet her, tilvejebringer en vis struktur og et vist format for studier af risikosituationer. Hvis man følger det format, er man nødt til omhyggeligt at specificere sine forudsætninger. Dette muliggør en skarpere og mere præcis diskussion af resultaterne end hvis uformelle og intuitive metoder bruges. Rasmussen-rapporten, som ellers kan kritiseres på mange områder, har helt givet bevirket en skarp og præcis diskussion af forskellige aspekter af atomreaktorsikkerhed. Denne præcision skyldes nok i nogen grad det format, som tilvejebringes af hændelses- og fejltræsmetodikken. Måske er dette den største fordel med den slags metoder, som er blevet diskuteret i denne artikel.

Litteratur

Apostolakis, G. E. 1974. Mathematical Methods of Probabilistic Safety Analysis. Report UCLA-ENG-7464. School of Engi- neering and Applied Science, University of California at Los Angeles.

Coates, J. F. 1976. The Role of Formal Models in Technology Assessment. Technological Forecasting and Social Change, Vol. 9, p. 139-190.

Critchley, O. H. 1976. Risk Prediction, Safety Analysis and Quantitative Probability Methods a Caveat. Journal of the British Nuclear Engineering Society, Vol. 15, p. 18-20.

Department of the Environment. 1976. Accidental
Pollution of the Sea. Her
Majesty's Stationery Office. London.

Eames, A. R. 1966. Reliability Assessment of
Protective Systems. Nuclear Engineering,
Vol. 11, p. 188-192.

Fischhoff, 8., P. Slovic og S. Lichtenstein. 1978. Fault Trees: Sensitivity of Estimated Failure Probabilities to Problem Representation. oj_{'Experimental} Psychology: Perception and Performance, Vol. 4, p. 342-355.

Frenkel, L. og W. Hathaway. 1976. Risk Analysis Methods for Deepwater Port Oil Transfer Systems. Report CG-D-69-76. Transportation Systems Center. U.S. Department Transportation, Cambridge, Massachusetts.

Green. A. E. og A. J. Bourne. 1972. Reliability
Technology. Wiley. New York.

Hensley, G. 1968. Safety Assessment - A Method for Determining the Performance of Alarm and Shutdown Systems for Chemical Plants. Measurement and Control, 1, p. T72-T79.

Hubbard, R. B. og G. C Minor (eds.). 1977. The Risks of Nuclear Power Reactors. Union of Concerned Scientists, Cambridge,

Industridepartementet. 1978a. Swedish Reactor
Study. Energikommissionen
rapport Ds I 1978:1. Stockholm.

Industridepartmentet. 1978b. Stora olyckor -
olja och gas. Energikommissionen rapport
Ds I 1978:20. Stockholm.

Jennergren, L. Peter og Ralph L. Keeney. 1979. Risk Assessment. Rapport 6/1978, Erhvervsøkonomisk Institut, Odense Universitet. indgå i Handbok of Applied Systems Analysis (udgiver: International Institute for Applied Systems Analysis)).

Jensen, Arne, K. Schmidt, N. E. Jensen og S. Weywadt. 1967. Analyse af Stormflodsrisiko. IMSOR, Danmarks Tekniske Højskole.

Kamins, M. 1975. A Reliability Review of the Reactor Safety Study. Rand Paper P-5413. The Rand Corporation, Santa Monica, California.

Keeney, Ralph L., R. B. Kulkarni og K. Nair.
1979. A Risk Analysis of an LNG
Terminal. Omega, Vol. 7, p. 191-205.

Lewis, H. W., R. J. Budnitz, H. J. C. Kouts, W. B. Loewenstein, W. D. Rowe, F. von Hippel og F. Zachanasen. 1978. Risk Assessment Review Group Report to the U.S. Nuclear Regulatory Commission. NUREG/CR-0400. U.S. Nuclear Regulatory Washington, D.C.

Lichtenstein, S., B. Fischhoff og L. D. Phillips.
1977. Calibration of Probabilities: The

State of the Art. I Decision Making and Change in Human AJfairs. (H. Jungermann og G. de Zeeuw. eds.). Reidel, Dordrecht. Holland, p. 275-324.

Lowrance, W. 1976. Of Acceptable Risk.
William Kaufman. Inc., Los Altos, California.

Luce, R. D. og H. Raiffa. 1957. Games and
Decisions. Wiley, New York.

Mantel, N. og W. R. Bryan. 1961. "Safety" Testing of Carcinogenic Agents. Journal of the National Cancer Institute, Vol. 27, p. 455-470.

Nord berg, G. F. og P. Strangert. 1976. Estimations of a Dose-Response Curve for Long-Term Exposure to Methylmercuric Compounds in Human Beings Taking into Account Variability of Critical Organ Concentration and Biological Half-Time: A Preliminary Communication. I Effects and Dose-Response Relationships of Toxic Metals (G. F. Nordberg, ed.). Elsevier, Amsterdam, p. 273-282.

NOL1 (Norges offentlige utredninger). 1977.
Ukontrollert utblåsing på Bravo 22. april
1977. NOU 1977:47. Oslo.

Nuclear Energy Policy Study Group. 1977. Nuclear Power Issues and Choices. Ballinger Company, Cambridge, Massachusetts.

Okrent, D. 1975. A Survey of Expert Opinion
on Low Probability Earthquakes. Annals
of Nuclear Energy, Vol. 2, p. 601-614.

Okrent, D. 1977. Final Report. Report UCLA-ENG-7777. School ol Engineering and Applied Science, University of California Los Angeles.

Otway, H. J. og P. D. Pahner. 1976. Risk
Assessment. Futures, Vol. 8, p. 122-134.

Powers, G. J. og F. C. Tompkins, Jr. 1974.
Fault Tree Synthesis for Chemical Processes.
Journal, Vol. 20, p. 376-387.

Raiffa, H. 1968. Decision Analysis. Addison-
Wesley, Reading, Massachusetts.

Rowe, W. D. 1977. An Anatomy of Risk.
Wiley, New York.

Royal Commission on Environmental Pollution. Nuclear Power and the Environment. Majesty's Stationery Office, London.

Salem, S. L., G. E. Apostolakis og D. Okrent. 1977. A New Methodology for the Computer-Aided Construction of Fault Trees. Annals of Nuclear Energy, Vol. 4, p. 417-433.

Savage, L. J. 1971. Elicitation of Personal Probabilities and Expectations. Journal of the American Statistical Association, Vol. 66, No. 336, p. 783-801.

Selvidge, J. 1972. Assigning Probabilities to
Rare Events. DBA-disputats. Harvard
University.

Selvidge, J. 1975. A Three-Step Procedure for Assigning Probabilities to Rare Events. I Utility, Probability, and Human Decision Making (D. Wendt og C. Vlek, eds.). Reidel, Dordrecht, Holland, p. 199-216.

Sjoberg, L. 1978. Riskanalysens risker. Riskprojektet
1-78. Institut for psykologi,
universitet.

Slovic, P., B. Fischhoff og S. Lichtenstein.
1977. Behavioral Decision Theory. Annual
Review of Psychology, Vol. 28, p. 1-39.

Spangler, M. B. 1976. Probabilitistic Methods Assessing Risk in Cost-Benefit Analysis of Nuclear Power Plants and Alternative Energy Sources. 1 Energy and the Environment: Cost Benefit Analysis. (R. A. Karam og K. Z. Morgan, eds.). Pergamon Press, New York, p. 446-478.

Spetzler, C. S. og C-A. S. Staél von Holstein. 1975. Probability Encoding in Decision Analysis. Management Science, Vol. 22, p. 340-358.

Starr, C, R. Rudman og C Whipple. 1976. Philosophical Basis for Risk Analysis. Annual Review of Energy. Vol. 1, p. 629-662.

Statens Karnkraftsinspektion. 1977. Reaktorscikerhetsstudie.
I. Stockholm.

Stoehr, L. A., C. H. Morgan, F. J. Reiffler og P. M. Tullier. 1977. Spill Risk Analysis Program: Methodology Development and Demonstration - Final Report Volume 1. Report No. CG-D-21-77. U.S. Coast Guard Headquarters, U.S. Department of Transportation, Washington.

Stormflodsudvalget. 1975. Betænkning.
København.

Tversky, A. og D. Kahneman. 1974. Judgment
Uncertainty: Heuristics and
Biases. Science. Vol. 185, p. 1124-1131.

U.S. Nuclear Regulatory Comission. 1975.
Reactor Safety study. Report NUREG
75/014. Washington.

Winkler, R. L. 1967a. The Assessment of Prior Distributions in Bayesian Analysis. Journal of the American Statistical Association. 62, p. 776-800.

Winkler, R. L. 1967b. The Quantification of Judgment: Some Methodological Suggestions. of the American Statistical Association. Vol. 62, p. 1105-1120.

Yellin, J. 1976. The Nuclear Regulatory Commission's Reactor Safety Study. The Bell Journal oj Economics, Vol. 7, p. 317-339.