Blodcentralen i Uppsala

Uppsala Universitet Institutionen för informationsteknologi IT-system och människor i samspel VT 2008 Blodcentralen i Uppsala Riskanalys ur ett MTO-perspektiv Lillemor Eckardt Jonas Forsberg Jon Granath Fredrik Hernegren Civilingenjörsprogrammet System i Teknik och Samhälle 2008-03-28

Innehållsförteckning 1. Inledning... 3 1.1 Blodfakta... 4 2. Blodcentralen vid Akademiska sjukhuset i Uppsala... 5 3. Verksamheten ur ett MTO-perspektiv... 7 3.1 Arbetsflöde... 7 3.2 Risker och incidenter...11 4. Diskussion...14 5. Referenser...18 2

1. Inledning Inför påskhelgen en av årets västa trafikhelger rapporterades det om blodbrist på de flesta av landets större blodcentraler, och i Stockholm och Göteborg beskrevs läget till och med som akut. Påsken är dessutom extra sårbar då två blodgivningsdagar faller bort, varför flera stora, inplanerade operationer riskerade att ställas in. 1 Detta är tyvärr ingen ovanlighet idag. Glädjande är dock att när blodcentralerna går ut i olika medier och talar om blodbrist och vädjar till allmänheten att lämna blod, så ställer svenskarna upp. Trots att verksamheten är allt annat än riskfri och att felsteg kan medföra livsfara, vittnar allmänhetens engagemang ändå om ett stort förtroende för blodcentralerna. Och då det inte finns någon konstgjord metod för att framställa blod, och därmed inget alternativ till blodgivarnas insatser, är det oerhört viktigt att detta förtroende upprätthålls. 2 Vårt mål med det här projektet är att lite närmare sätta oss in i verksamheten och de stödsystem som används för att på så vis kunna identifiera de risker som föreligger, hur riskmedvetenheten ser ut samt hur man arbetar för att minimera riskerna. För att skaffa oss den nödvändiga inblicken i verksamheten har vi genomfört semistrukturerade intervjuer med tre personer på Blodcentralen vid Akademiska sjukhuset i Uppsala. Den första intervjun (intervju 1) genomfördes 2008-03-03 med Anna-Lena Strömbäck som är utbildad biomedicinsk analytiker (BMA), tidigare IT-ansvarig och numera avdelningschef med övergripande ansvar för Blodcentralen i Uppsala, samt Olle Åkerblom som är pensionerad docent och överläkare, och numera intern konsult på Blodcentralen med långvarig och omfattande insyn i verksamheten. Den andra intervjun (intervju 2) genomfördes 2008-03-14 med Kristina Pernerup som är sjuksköterska på Blodcentralen i Uppsala, och arbetar med att ta emot och registrera blodgivare samt att tappa blod. Framställningen i denna rapport bygger till största delen på information från dessa intervjuer, men också på en del information från blodcentralernas gemensamma hemsida geblod.nu. Vi har valt att använda noter enbart då vi citerar de intervjuade personerna och då vi använder information från webbsidor, men för den huvudsakliga framställningen som bygger på de två intervjuerna används ingen notapparat. Dessvärre har vi inte haft möjlighet att intervjua någon som arbetar i laboratoriet, där man handhar tester och lagring samt distribution av blod till andra avdelningar inom sjukhuset och till Läkemedelsverket. Detta medför att vi inte fått någon djupgående inblick i laboratoriets arbete och de specifika risker 1 http://www.geblod.nu/general.aspx?pageid=1668, 2008-03-23 2 http://www.geblod.nu/general.aspx?pageid=14, 2008-03-25 3

som kan föreligga vid olika moment i laboratoriet. Dock anser vi att de tre intervjuade personerna genom sina skilda positioner och erfarenheter givit oss en bra och bred inblick i arbetet, vilket ger oss möjlighet att dra övergripande slutsatser om riskmedvetenhet och riskhantering. 1.1 Blodfakta En vuxen människa har mellan fyra och sex liter blod i kroppen; den exakta mängden beror till stor del på kroppsstorleken. Blodet består av: Röda blodkroppar (erytrocyter). Vita blodkroppar (leukocyter). Trombocyter (blodplättar). Plasma, som består av salter, vatten och äggviteämnen. De olika beståndsdelarna separeras direkt efter tappning, både på grund av att de skall kunna ges till olika mottagare samt att de har olika lagringstider. Blodet kategoriseras med hjälp av olika system, och de viktigaste blodgruppssystemen är ABO (AB-noll) och Rh. ABOsystemet delas in i: A B AB (noll; då det varken är A eller B) Det som förr kallades Rh-faktorn, numera D, finns hos cirka 85 procent av landets befolkning. Dessa kallas Rh-positiva (RhD+). Resten av befolkningen, som saknar denna faktor, kallas Rh-negativa (RhD-). Vid en blodtransfusion måste blodgivarens och blodmottagarens blodgrupper passa ihop. Följande kombinationer är möjliga: 3 Givaren har: Mottagaren måste ha: A A eller AB O A, B, O eller AB B B eller AB AB AB RhD+ RhD+ RhD- RhD+ eller RhD- 3 http://www.geblod.nu/general.aspx?pageid=10, 2008-03-25 4

2. Blodcentralen vid Akademiska sjukhuset i Uppsala På 1960-talet infördes ett system där varje blodflaska fick en unik identitet med hjälp av hålkort och stansar. Tanken att varje blodflaska, eller som idag, blodpåse, ska ha en unik identitet är en grundförutsättning för att minimera de risker som finns i och med hantering av blod. Systemet med hålkort och stansar beskrivs av Åkerblom som ett mycket robust system, med god säkerhet 4. De fel som uppstod berodde oftast på slitna stansar. Det dröjde därför ända in på 1980-talet innan man ekonomiskt kunde motivera en datorisering av systemet. Senare insågs det dock att även om arbetet till stor del var datoriserat, så fanns ingen nationell standard för datorsystemen. Till exempel kunde en åtgärdskod på en blodcentral betyda något helt annat på en blodcentral i en annan del av landet. 2001 sammankallades en grupp, där bland annat Anna-Lena Strömbäck ingick, som tog fram en nationell standard för blodcentralernas datasystem och de streckkoder som används vid identifiering av blodpåsar, och detta system togs i bruk 2003. Det är detta nya standardiserade system som varit aktuellt för oss att studera. Eftersom systemet är skräddarsytt för sitt ändamål går det att se grundläggande likheter mellan detta system och det system som introducerades på 1960-talet. Brister som uppstått genom årens lopp har rättats till vartefter och när det nya systemet byggdes fanns redan en stabil grund att stå på. Detta är antagligen en väsentlig orsak till varför blodcentralens system fungerar så pass bra som det gör. De personer som vi har intervjuat har alla varit positivt inställda till systemet. Detta betyder givetvis inte att systemet ser exakt likadant ut som på 1960-talet. Den nationella standardiseringen har medfört många nya fördelar, inte minst då blod förs över regiongränser. Innan standardiseringen kunde en kod ha olika betydelser i olika delar av landet vilket lätt kunde skapa förvirring och också medföra risker vid hanteringen. Med den nya standardiseringen försvann denna typ av problem, men det nya systemet har även fört med sig andra förändringar och fördelar. Idag är systemet i huvudsak uppbyggt av fyra moduler. Olika delar av personalen har tillgång till olika delar av system beroende på deras behörighet. Detta är fördelaktigt inte minst med tanke på de krav som ställs på blodgivares och patienters rättighet till anonymitet. Den första modulen kallas Givarrutin och där lagras uppgifter om blodgivarna, bland annat när personen senast gav blod, blodgrupp, blodvärden, blodtryck och så vidare. Den andra modulen är Patientrutin och där finns uppgifter om de personer som med remiss ska få blod. Även där finns uppgifter som bland annat blodgrupp och blodvärden. Dessa två moduler har 4 Intervju 1, 2008-03-03 5

sjuksköterskorna som arbetar på tappen behörighet till. De två andra modulerna kräver annan behörighet. Dessa är Debitering och Administration, där debitering är den modul där uppgifter om priser och mängder av olika blodkomponenter finns. I administrationsmodulen finns uppgifter om alla personer som arbetar i de olika modulerna och dess behörigheter, och här lagras också all aktivitet som loggas i systemet. För varje arbetsmoment som utförs på Blodcentralen krävs nämligen att den anställde loggar in med sitt eget unika användar-id, något som medför att man i efterhand kan gå in i systemet och se exakt vem och när en viss åtgärd har utförts. En blodpåse kan därmed följas steg för steg från tappning tills det att den lämnar Blodcentralen. Att systemet registrerar de anställdas aktivitet gör att systemet till viss del kan ses som ett slags övervakningssystem då det går att se vem som är ansvarig ifall något har gått fel. Systemet bör dock i första hand ses som ett stödsystem för de anställda eftersom det är utformat för att hjälpa dem. Om personalen följer de föreskrifter som finns gör systemet det mer eller mindre omöjligt för fel att uppstå. Då man ser till den övergripande verksamheten som bedrivs vid blodcentralen har vi identifierat tre olika risker. Vissa kan anses vara små men vissa kan få allvarliga konsekvenser. För en blodgivare är de vanligaste konsekvenserna helt ofarliga; yrsel, illamående, kallsvettning samt blåmärken vid punktionsstället, men allvarligare konsekvenser skulle dock kunna förekomma. Exempelvis är givaren mer mottaglig för infektioner direkt efter en givning då immunförsvaret påverkas av att kroppen plötsligt har tio procent mindre blod i sitt omlopp. Även rent tekniska fel bör kunna medföra komplikationer. Vid plasmagivning går exempelvis givarens blod genom en maskin som separerar plasman från resten av blodet som senare återförs till givaren. Incidenter som att maskinen inte är helt ren skulle därmed kunna medföra mycket alvarliga risker för givaren. Den andra typen av risk är den som personen som får blod utsätts för. Om kontrollerna av blodet inte fungerar som de ska eller om det slarvas när blod skall ges till en patient, kan det hända att en patient får smittat blod eller blod av fel blodgrupp, vilket kan innebära direkt livsfara. Detta är förmodligen den risk som de flesta förknippar med Blodcentralens verksamhet. Om något sådant inträffar är det troligt att det blir en stor nyhet med enorm genomslagskraft i olika medier. Denna typ av incidenter är som tur är mycket ovanliga, vilket sannolikt bidragit starkt till det goda rykte som Blodcentraler i hela landet har. 6

Den tredje typen av risk är en direkt följd av de två tidigare typerna av risker, nämligen att blodcentralernas rykte skulle påverkas negativt. Om incidenter likt de vi just har nämnt skulle förekomma mer frekvent skulle det troligtvis få som konsekvens att färre personer väljer att lämna blod. Om färre lämnar blod minskar blodlagren, vilket i sin tur skulle få en negativ effekt på antalet operationer som kan genomföras, varpå många patienter skulle nekas operationer som inte är absolut livsnödvändiga. I allra värsta fall skulle det kunna gå så illa att ingen längre vill eller vågar lämna blod, och då får vi en mycket ineffektiv sjukvård. Blodcentralens arbete kan således få både direkta, och indirekta, konsekvenser för människors liv. 3. Verksamheten ur ett MTO-perspektiv 3.1 Arbetsflöde Arbetsflödet på Blodcentralen kan delas in i två övergripande moment. Det första är själva tappningen av blod där frivilliga personer ger blod. När detta är gjort skickas det tappade blodet iväg på analys där de olika blodkomponenterna separeras och analyseras. När alla analyssvar från blodkomponenterna har godkänts kan en blodpåse frisläppas, vilket innebär att blodet är klart för blodtransfusion. Blodcentralens ansvar slutar vid frisläppningen, och det medför att det slutliga ansvaret vid en blodtransfusion ligger hos den patientansvarige läkaren. Nedan följer en mer ingående redogörelse för arbetsflödet på Blodcentralen. Då en person som aldrig tidigare lämnat blod, eller inte lämnat blod de senaste 5 åren, anländer får den en kort skriftlig information om vad som händer under dagen och vad som händer med blodet efter att det lämnats. Sedan ombeds personen att läsa igenom blodsäkerhetsreglerna. Där finns information om bland annat vilka personer som inte får ge blod, vilka som ska vänta med att ge blod och dessutom finns information om olika blodsmittor. Orsaker till att en person inte får ge blod kan vara att den har någon blodsmitta exempelvis HIV, Hepatit B eller C, eller att personen har injicerat narkotika, tillväxthormoner eller anabola steroider. Orsaker till att en person ska vänta med att ge blod kan vara att den har haft en infektionssjukdom, rest utanför Norden eller haft samlag med en ny partner. 5 När personen har läst igenom blodsäkerhetsreglerna skall en hälsodeklaration med 24 frågor om personens tidigare sjukdomshistoria, mediciner, tatueringar/piercning med mera fyllas i och intygas. Personalen på blodcentralen registrerar sedan den nya blodgivaren i blodcentralens 5 Blodcentralen, Kort information om blodsmitta, Akademiska sjukhuset Uppsala, 2006 7

eget datasystem, genom manuell inmatning, och kontrollerar även legitimation. Vid detta steg finns även möjlighet att kontrollera personens hälsodeklaration mot dess patientjournal, men detta görs inte regelmässigt. Sedan får personen lämna blodprov som skickas för undersökning, och om allt är som det ska registreras personen som godkänd blodgivare och en kallelse skickas ut inom en månad. Personer som lämnat blod tidigare, dock ej för mer än 5 år sedan, får fylla i ett kortare frågeformulär om vad man gjort sedan förra tappningen och även legitimera sig. I frågeformuläret anges om personen rest utanför Norden, varit sjuk, opererats, använt mediciner och liknande. Varje gång någon ska lämna blod testas blodet för HIV, hepatit B & C, men det sker inga rutinmässiga kontroller av andra blodsmittor. Den sköterska som ska tappa blod från en blodgivare måste identifiera sig i datasystemet, och om någon annan avslutar tappningen måste den sköterskan göra detsamma. Man har således genom datasystemet alltid kontroll på vem som gjort vad om något skulle gå fel i själva blodtagningen. När givaren får börja ge blod produceras etiketter automatiskt som sätts på påsarna manuellt. Etiketterna skapas alltid online, dvs. det förekommer ingen lagring av oanvända etiketter för framtiden. Vid tappning har den sköterska som startar proceduren ansvaret för att alla uppgifter stämmer. Samma person behöver inte nödvändigtvis sköta avslutet där påsen tvättas av och läggs i en plastback med en kylplatta i botten. Det vanligaste felet vid tappning är att man inte får ut tillräckligt med blod, men detta utgör ingen risk för någon. En viktig funktion med systemet är att varje blodpåse ges ett tappningsnummer. Vid tappning läses detta nummer in i datorn och när tappningen är klar skrivs en ny etikett ut. Den nya etiketten har samma tappningsnummer men de båda etiketterna är även markerade med varsin så kallad nummermarkör. Påsen har således två olika etiketter med samma tappningsnummer, men med olika nummermarkörer. Man läser av den ena etiketten då processen startas och den andra etiketten efter avslutad tappning, och nummermarkören hindrar personalen från att läsa in numret från samma etikett mer än en gång. Samtidigt krävs det att tappningsnumren på de båda etiketterna överensstämmer för att blodpåsen ska kunna skickas vidare till nästa led i processen, men på grund av nummermarkören är det omöjligt att läsa in numret två gånger från samma etikett. Detta i kombination med föreskrifter och exempelvis läkemedelslagen som säger att produktionslinjer inte får korsas, gör systemet mycket säkert. I varje led av processen finns liknande nummer och koder med 8

nummermarkörer vilket medför att de är lätt att upptäcka fel längs vägen och detta är givetvis både en trygghet och stor hjälp för personalen. Efter en lyckad blodtappning skickas blodet upp till labbet, där biomedicinska analytiker separerar och analyserar blodet. Blodet centrifugeras och separeras för lagring i olika påsar med tillhörande komponentkoder. Beroende på vad labbpersonalen gör med blodet så matas det in olika komponentkoder in i datasystemet. Det går hela tiden att spåra vilka analyser som gjorts på vilka påsar och av vilken person. På varje påses etikett finns en streckkod som talar om vilken beståndsdel påsen innehåller och vilka analyser som gjorts. När väl labbet har gjort sina analyser och fått alla provsvar godkända frisläpper de blodpåsen i datasystemet och det innebär att påsen är godkänd och klar att använda för blodtransfusion. Blodcentralen har således ansvar för att blodet testas och godkänns så att inget smittat blod ska komma ut på någon avdelning. Skall en påse hämtas med en viss beståndsdel till en annan avdelning måste streckkoden läsas av och då kontrolleras att beställningen av blod överensstämmer med det blod som faktiskt levereras. Om påsen inte skulle vara frisläppt skulle det upptäckas vid streckkodsavläsningen och systemet skulle säga ifrån. Efter att bästföredatumet passerats på en frisläppt påse förhindrar systemet att påsen med det gamla blodet hämtas ur lagret. Om man försöker göra detta genereras ett icke forcerbart felmeddelande i systemet. Gammalt blod kan alltså inte levereras till en patient, även om den patientansvarige läkaren skulle vilja detta i en mycket kritisk situation. Blodcentralen har inget direkt patientansvar, men den patientansvarige läkaren har för vana att lita på blodcentralen och följa deras rekommendationer. Vid en blodtransfusion är det alltid upp till ansvarig läkare att kontrollera så att rätt patient får rätt blod. Vissa blodkrävande avdelningar förvarar blod i egna speciella kylskåp, och även där ligger ansvaret på den enskilde patientens läkare. Som Olle Åkerblom påpekar, man får inte lita på tidigare kontroller 6, det gäller alltid att dubbelkolla alla blodpåsar. Kommunikationen mellan blodcentralen och andra avdelningar dokumenteras kontinuerligt och rapporter genereras enligt en europeisk standard. Blodcentralen har väl dokumenterade rutiner för alla arbetsmoment. Ingen ny personal kastas direkt in i skarpt läge. Nyanställda genomgår ett introduktionsprogram där de får gå bredvid en erfaren person från den ordinarie personalen, och innan de är klara att börja arbeta har man noggrann genomgång av alla moment. Avdelningschefen har det yttersta ansvaret för att inte någon med bristfällig kunskap utför en viss arbetsuppgift eller att någon icke behörig 6 Intervju 1, 2008-03-03 9

ges tillträde till datasystemet. Därtill finns det bra kvalitetssäkrande system som arbetats fram under mycket lång tid, som det bland annat betonas tydlig arbetsledning, rätt utbildning och kontinuerliga kompetensbedömningar. Enligt Åkerblom medför detta att det i princip är omöjligt att sätta fel person på fel plats. Sektionschefen på blodcentralen har även tagit initiativet till ett blodkörkort. Tanken är att alla som på något sätt arbetar med att tappa eller ge blod ska göra ett teoretiskt prov på sjukhusets intranät där det ska krävas 50 rätt av 50 möjliga för att få blodkörkortet. Enligt Olle Åkerblom och Anna-Lena Strömbeck är Uppsala förmodligen först i landet med detta. Förutom de interna kvalitetssäkrande systemen och kontrollerna utför även SWEDAC, det svenska nationella ackrediteringsorganet med ansvar för kontrollfrågor enligt lagen om teknisk kontroll, regelbundna kvalitetskontroller. SWEDAC arbetar utifrån kraven i den internationella standarden ISO/IEC 17011 då de kompetensprövar olika verksamheter, däribland sjukhuslabb. 7 Det är inget absolut krav på att få en ackreditering från SWEDAC, men det är ett mycket bra kvitto på att verksamheten är säker, och SWEDAC utgör en viktig del i det förebyggande säkerhetsarbetet. På blodcentralen i Uppsala uttrycker man (Strömbäck & Åkerblom) ett stort förtroende för SWEDAC och dess kunnande. I stort sett alla svenska sjukhuslabb är ackrediterade och har ett nära samarbete med SWEDAC, vilket lett till en stor mognad hos verksamheterna. På grund av detta anser SWEDAC inte det vara nödvändigt att utföra kontroller oftare än vartannat år. Socialstyrelsen är ett annat viktigt kontrollorgan, som fram till idag dock fungerat mest som en utredande myndighet då det verkligen skett ett fel. Socialstyrelsen skall dock från och med i år börja utföra kontroller av mer förebyggande art. Denna typ av kontroller förefaller dock inte vara någon källa till oro bland personalen, och Olle Åkerblom menade att detta beror på att personalen är kräsen när det gäller kvalitet, och att personalens ambitioner är väl så höga som kontrollanternas. Även läkemedelsverket ställer vissa krav på blodcentralerna och deras säkerhetsrutiner då en del av blodet säljs till verket där det används vid framtagning och testning av nya läkemedel. Läkemedelsverket är dock mest intresserat av rutinerna kring test och lagring av blod, och inte så mycket hur själva tappningen går till. Vad gäller fördelningen mellan manuella och datorstyrda uppgifter idag så sker inmatningen av nya blodgivares uppgifter manuellt, och dessutom klistras streckkodsetiketterna manuellt på blodpåsarna, men när väl streckkoden finns på påsen och uppgifterna finns i datorn kan all information angående blodpåsarna fås med hjälp av 7 http://www.swedac.se/sdd/system.nsf/(guiview)/index.html, 2008-03-03 10

datasystemet. För varje gång någon gör något med en påse matas en åtgärdskod manuellt in i datasystemet och allt som sker kan därmed spåras elektroniskt. Det är en ständig interaktion mellan Blodcentralens personal och datasystemet. I och med att åtgärdskoderna matas in manuellt finns det alltid en risk att det kan bli fel. Det kan till exempel tänkas att personalen utför en viss åtgärd med en blodpåse, men matar in en kod i datasysystemet som innebär något annat. Sådana fel kan dock i de flesta fall upptäckas rent okulärt, exempelvis om man knappat in en kod för vita istället för röda blodkroppar upptäcks det lätt vid en visuell kontroll av påsen. Påsar flyttas manuellt när de ska iväg till en annan avdelning, men även då hjälper streckkoderna till att förhindra fel. Om någon handhar flera påsar samtidigt finns risken att dessa blandas ihop, men risken är mycket liten i och med att streckkoderna kan avläsas och då fås all nödvändig information om påsens innehåll. Då någon försöker göra något otillåtet i systemet genereras ett felmeddelande. Exempelvis är det inte möjligt att frisläppa en blodpåse om inte alla provsvar som ska vara godkända är inmatade i systemet. Vissa av felmeddelandena är forcerbara av en behörig blodcentralsläkare, och det är upp till varje enskild blodcentral att bestämma vilka typer av felmeddelanden som skall kunna kringgås. Felmeddelande när någon försöker hämta ut gammalt blod är typiskt ett sådant meddelande som inte skall kunna forceras. Men vissa andra meddelande är nödvändiga att kunna kringgå på grund av att vissa situationer och komplikationer som skulle kunna uppstå är omöjliga att förutse. Det är dock mycket viktigt att ingen utanför blodcentralen skall kunna bestämma när det skall ske. Om något felmeddelande kringgås ska det noga dokumenteras och motiveras i en avvikelserapport. Varje år publiceras en centralt sammanställd avvikelserapport för hela landet (motsvarande finns även för hela Europa), där alla registrerade incidenter presenteras. Med hjälp av denna får man en samlad bild över de fel som faktiskt inträffat och varför de inträffat. Utifrån detta kan varje enskild blodcentral bestämma vilka åtgärder som bör tas för att samma sak inte ska inträffa där. 3.2 Risker och incidenter De främsta problemen med dagens system på blodcentralen är följder av tekniska brister i datakommunikationen. Oftast grundar det sig i att förbindelsen med en server inte fungerar som den ska. Ett vanligt exempel är att uppdateringen mellan blodtappningsenheten (vaggan) och servern misslyckas. Alla etiketter genereras online och det går därför inte att skriva ut nya klisterlappar med etiketter. Eftersom hela systemet baseras på etiketter så går det då inte att genomföra en tappning på ett regelmässigt sätt. För att få en lösning räcker det vanligtvis med 11

att vänta cirka tio till femton minuter så att systemet får kontakt med servern igen, men ibland måste datorsupport tillkallas. I ett fall under de senaste fem åren har ett fel av denna typ lett till ett totalt driftstopp hos tappningsavdelningen under en hel förmiddag. 8 En annan konsekvens av fel i kommunikationen mellan vagga och server kan vara att personalen tror att en påse har registrerats i systemet när så inte skett. Detta får dock inga allvarliga följder då systemet inte kan hantera påsar som inte blivit korrekt registrerade och vidare behandling av påsen inte godtas av systemet. Som vi förstått är den data som lagras på systemets server helt väsentlig för normal operationalitet. Varje natt genereras backuper på hela systemet för att undvika att informationen skulle gå förlorad. Om den primära databasen havererar ska man kunna använda backupen på likvärdigt sätt så att arbetet inte behöver stoppas vid kritiska situationer. Ett annat scenario som skulle rendera i att databasen är otillgänglig är ett elavbrott. Blodcentralen tillsammans med hela sjukhuset är dock garderat mot detta i form av reservgeneratorer som slås på automatiskt vid ett externt elavbrott. Alla etiketter har förutom streckkoder information om innehållet i form av siffror och bokstäver som kan tolkas okulärt om datasystemet skulle vara oåtkomligt eller i det osannolika fallet att elektriciteten inte skulle fungera. I kommunikationen mellan användare och teknik kan det också uppstå vissa problem. Det kan hända att sköterskorna på tappningsavdelningen matar in felaktig information eller utelämnar information. Ett exempel på det är om någon som tidigare lämnat blod nyligen har tatuerat eller piercat sig. Då ska det blodet läggas i karantän och testas extra noggrant. Det händer emellanåt att den som tappar blodet glömmer markera detta i datasystemet. Konsekvensen blir att blodet inte kan släppas visare i systemet. Detta upptäcks oftast av de som skall analysera blodet då datasystemet säger ifrån. Det förekommer även problem inom de rent manuella procedurerna. Kristina Pernerup minns ett fall där två givare hade samma förnamn. Sköterskorna som tappade blod tittade inte ordentligt när de satte på etiketter vilket ledde till att blodpåsarna parades ihop med fel givare. I det här fallet upptäcktes detta dock av personalen som sköter tappningen, innan blodet ens hade skickats upp för analys. Eftersom kunskapen om en påses innehåll är baserat på vad som står på etiketterna skulle händelsen att en påse med fel etikett hamnade i systemet innebära allvarliga konsekvenser. En streckkodsavläsning av påsen skulle ge felaktig information om dess egentliga innehåll. För att förväxlingar av denna typ ska undvikas finns strikta regler som 8 Intervju 2, 2008-03-14 12

säger att en användare inte får hantera mer än en blodpåse åt gången. Dessutom ser många ögon en påse under dess väg genom systemet, vilket gör att risken för att en felplacerad etikett upptäcks ökar. Systemet är också utformat så att ett manuellt fel av denna typ ska fångas upp och upptäckas. En viktig begränsning för användaren är att alla streckkoder har en nummermarkör. När en streckkod avläses finns förutom tappningsnumret, ytterligare en siffra som talar om varifrån avläsningen skett. Det går alltså inte att av misstag matcha en streckkod med samma källa. Utan denna nummermarkör skulle en användare kunna läsa av etiketten på blodpåsen två gånger (istället för blodpåsen och sen ett dokument med patientinformation) och få en felaktig matchning. Sammanfattningsvis förhindras förväxlingar genom strikta regler för hantering av blodpåsar, etiketter etc. Implementeringar i datasystemet underlättar sedan för användaren att följa dessa regler. Det sker trots detta regelbundet att misstag leder till att en patient får fel blod. I Sverige händer det i cirka fem till tio fall varje år. Detta är dock mycket färre än i de flesta andra västländer. En viktig anledning till att det är färre fall i Sverige är att man använder personnummer som är ett mycket säkert och pålitligt system för att identifiera och koppla samman givare och mottagare med en specifik blodpåse. De fel som ändå sker beror oftast på den mänskliga faktorn, det vill säga att någon i personalen slarvar, gör ett misstag eller frångår rutinerna. Dessa sker dessutom oftast på avdelningen där transfusionen skall ske, efter att blodet lämnat Blodcentralen. Enligt Olle Åkerblom finns idag inga tydliga förbättringsmöjligheter på blodcentralen i Uppsala. De mest uppenbara förbättringarna som skulle kunna ske avser istället kommunikationen mellan andra avdelningar och blodcentralen, samt införandet av systemet med streckkoder och nummermarkörer för identifiering av patienter på olika avdelningar. Detta skulle ytterligare stärka säkerheten och göra det lättare för personalen att kontrollera att rätt blod ges till rätt patient. Blodcentralen har ett väl utvecklat system som hela tiden vet vem som gör vad, vid vilket tillfälle och med vad. Så om någon begått ett misstag vet man nästan alltid vem denna person är. I de allra flesta fall leder misstagen till en varning, men under exceptionella omständigheter, som till exempel vid extremt hög arbetsbelastning, kan personen klara sig utan en varning. Vid en blodtransfusion är det som tidigare nämnts alltid upp till patientansvarig läkare att kontrollera så att en patient får rätt blod. Ansvaret kommer i slutändan alltid ligga på användaren. Systemet ses enbart som ett stöd som skall underlätta för användaren. 13

4. Diskussion Ända sedan den första kända, men misslyckade blodtransfusionen på 1400-talet har blodgivning varit förknippat med risker, 9 och dagens blodgivningsverksamhet i Sverige har ända sedan starten 1934 haft riskmedvetenhet som en av grundpelarna. 10 På Blodcentralen i Uppsala har man arbetat utifrån i stort sett samma princip i mer än 40 år från 1960-talets system med flaskor, hålkort och stansar till dagens datorstödda arbete med streckkoder och påsar. De stora förändringarna som skett har mest påverkat stödsystem (datorisering), utrustning och testmetoder, medan personalens del i verksamheten och den övergripande principen för densamma förblivit oförändrad. Detta innebär att man har samlat på sig erfarenheter från flera decennier, vilka idag till stor del finns inbyggda i verksamhet och stödsystem. Sedan 2003 arbetar man dessutom med ett standardiserat stödsystem som är lika för hela landet, vilket ytterligare underlättar utbyte av erfarenheter. Utifrån de intervjuer vi gjort har vi inte kunnat identifiera några tydliga målbildsdiskrepanser 11, vilket förmodligen beror just på den mångåriga erfarenhet som finns inbyggd i verksamheten, och som också lever vidare genom personal och rutiner på landets alla blodcentraler. Att all ny personal noga lärs upp av mer erfaren personal leder till att ingen kan skapa sitt eget sätt att arbeta, och därigenom kommuniceras också de tydliga värderingar, attityder och strategier som präglar en stark säkerhetskultur. Hela verksamheten vid Blodcentralen präglas av ett säkerhetstänkande som förefaller vara lika hos alla medarbetare. Enligt Rasmussen och Svedung innebär en proaktiv riskhantering att identifiera den yttre gränsen för säker drift av verksamheten. Därefter ska dessa gränser synliggöras för all personal som är med och fattar beslut och slutligen ska adaptiva motåtgärder implementeras mot allt som hotar dessa gränser. Detta görs helt enkelt för att säkerställa en säker drift av verksamheten. 12 I Blodcentralens fall anser vi att de har identifierat denna yttre gräns inom några olika områden. Det slutliga målet för verksamheten är att tillhandahålla blod åt andra avdelningar inom sjukhuset, och således måste det finnas gränser som säkerställer slutproduktens kvalitet. Blodet som lämnar blodcentralen får under inga omständigheter innehålla blodsmittorna HIV, Hepatit B och C, vilka skulle kunna spridas vidare genom blodtransfusion. Vår uppfattning efter intervjuerna är att dessa gränser är väl synliggjorda i hela organisationen. All personal är väl medveten om att blodet absolut inte får innehålla 9 http://www.geblod.nu/general.aspx?pageid=36, 2008-03-26 10 http://www.geblod.nu/general.aspx?pageid=200, 2008-03-26 11 Rasmussen, Jens & Inge Svedung, Proactive Risk Management in a Dynamic Society, s. 59 12 Rasmussen, Jens & Inge Svedung, Proactive Risk Management in a Dynamic Society, s. 49 14

någon blodsmitta som skulle kunna föras över vid en blodtransfusion, och all personal är väl medveten om följderna då denna gräns överträds. Att testa för just dessa smittor var dock inte självklart för 20 år sedan; till exempel framfördes krav på att inför regelbundna tester för Hepatit C så sent som 1990 i Läkartidningen. 13 Och vem vet vilka smittor det kommer testas för i framtiden? Det krävs således att Blodcentralen bedriver en adaptiv verksamhet, som kan anpassa sig till nya rön och nya testmetoder. Blodcentralen i Uppsala har även satt upp en yttre gräns för vilka felmeddelanden i systemet som går att forcera eller inte. Om någon exempelvis försöker ge ut blod som passerat bästföredatumet ger datasystemet ifrån sig ett felmeddelande som inte är forcerbart. Detta för att gränsen för säker drift ska upprätthållas; det ska inte gå att lämna ut gammalt blod som kan orsaka komplikationer för en patient som ska genomgå en blodtransfusion. Att vissa felmeddelanden måste kunna forceras vid oförutsedda händelser kan dock ses som att operatörerna givits en viss frihet att avsluta designen i systemet. Hur vi skall tolka förfarandet kring alla olika felmeddelanden är dock en oklarhet för oss. En viss frihet för operatörerna vid oförutsedda händelser måste ses som positivt, men samtidigt kan man argumentera för en nationell standard som gäller för alla blodcentraler för att på så sätt underlätta för personal som kommer från olika blodcentraler. I de fall då ett felmeddelande forceras görs det alltid en form av konsekvensanalys; en rapport som noga beskriver vad som skett samt motiverar varför felmeddelandet kringgåtts. Utöver detta produceras även årligen en centralt sammanställd avvikelserapport för hela landet (motsvarande finns även för hela Europa), där alla olika incidenter presenteras, det vill säga en form av sammanställd konsekvensanalys för hela Sverige. Med hjälp av denna får man en samlad bild över de fel som faktiskt inträffat samt varför de inträffat, och utifrån detta kan varje enskild blodcentral besluta om nödvändiga åtgärder. Dessa avvikelserapporter spelar således en stor roll i det adaptiva arbetssättet, då Blodcentralen hela tiden måste ta ställning till eventuella åtgärder utifrån verkliga incidenter. Denna typ av rapporter skulle också kunna tala för att varje blodcentral själv får besluta om vilka felmeddelanden som skall vara forcerbara, eftersom alla forceringar dokumenteras och följs upp. Konsekvensen kan mycket väl bli att man gör förändringar kring vilka felmeddelande som skall vara forcerbara. Att man arbetar regelbundet och mycket medvetet med olika typer av konsekvensanalyser, på 13 Högman, Claes, Alla blodgivare bör testas för att stoppa överföringen av hepatit C-virus, Läkartidningen (1990) 15

både nationell och internationell nivå, hjälper även till att hela tiden hålla personalen uppdaterad. Det är dessutom viktigt att personalen hela tiden har en förståelse för processen för att kunna agera i en prekär situation. Datasystemet får inte och kan inte ta över arbetet helt, varför datasystemet snarare skall ses som ett stödsystem för att upptäcka och förhindra fel som annars skulle kunna uppstå på grund av manuella felaktigheter. Ett exempel på när kunskapen om arbetsflödet hos personalen på Blodcentralen kan vara avgörande är när en visuell bedömning av blodpåsarnas innehåll görs. Tack vare att påsarna är transparenta och att olika beståndsdelar i blodet har olika färg, kan personalen visuellt avgöra om en etikett är felaktig. Skulle personalen inte ha någon förståelse för själva processen utan enbart lita på de uppgifter som systemet anger skulle ett felaktigt innehåll i en blodpåse kunna missas, medan detta fångas upp av insatt och kunnig personal. En viss kritik kan riktas mot den mentalitet som finns vad det gäller ansvarsfrågan. Som det ser ut nu så läggs ansvaret på den enskilda användaren. Vid ett misstag renderar detta i en varning endast för den enskilda användaren. Här kanske man borde implementera en mer vidgad vy där man undersöker misstagen fallspecifikt ur ett förhållningssätt som är mer bottom-up. Istället för att se misstagen som isolerade händelser borde man se dem som ett led i ett kausalt förlopp ur ett större perspektiv. Då kan man eventuellt identifiera organisatoriska problem och göra förbättringar utefter detta. Vad det gäller slagtåligheten så anser vi att den i Blodcentralens fall är bra. Detta grundar vi på den uppfattning vi fått av att Blodcentralens arbetsflöde är utformat för att det ska upptäcka och rätta till fel när sådana inträffar, samt att man hela tiden arbetar med uppföljningar genom konsekvensanalyser och avvikelserapporter. Interaktionen mellan personalen och datasystemet bygger på att datasystemet säger ifrån när en icke godkänd åtgärd ska utföras och personalen säkerställer att systemets uppgifter stämmer med verkligheten. Arbetsflödet med blodpåsarna inkluderar en hel del olika människor som kan uppmärksamma ett och samma fel som uppstått, vilket kan ses som en slags redundant kontrollmekanism. Åkerbloms uttalande om att det i princip inte finns några specifika förbättringsmöjligheter inom Blodcentralen skulle kunna ses som ett tecken på att man tycker sig ha kommit tillräckligt långt i riskarbetet och att man är helt nöjd, vilket kan vara en farlig inställning. Men som vi sett arbetar man mycket med konsekvensanalyser och uppföljning av alla eventuella incidenter, vilket kraftigt talar emot denna tolkning. Baserat på 16

tidigare resonemang kring arbetsflöde, organisation, stödsystem samt olika interna och externa kvalitetssäkrande system anser vi att Blodcentralen är ett exempel på en mycket mogen verksamhet vad gäller både riskmedvetenhet och riskhantering. 17

5. Referenser Intervjuer: Anna-Lena Strömbäck; biomedicinsk analytiker (BMA), tidigare IT-ansvarig och numera avdelningschef på Blodcentralen samt Olle Åkerblom; pensionerad docent och överläkare, numera intern konsult på Blodcentralen, 2008-03-03. Kristina Pernerup; sjuksköterska på tappningsavdelningen, 2008-03-14. Internet: Blodcentralernas gemensamma hemsida: www.geblod.nu SWEDAC, Styrelsen för ackreditering och teknisk kontroll: www.swedac.se Tryckta källor: Rasmussen, Jens & Inge Svedung, Proactive Risk Management in a Dynamic Society, Räddningsverket, Karlstad (2000). Högman, Claes, Alla blodgivare bör testas för att stoppa överföringen av hepatit C-virus, Läkartidningen (1990). Blodcentralen, Kort information om blodsmitta, Akademiska sjukhuset Uppsala (2006). 18