224 dni bez UPS na bloku operacyjnym. Dokumenty NIK pokazują luki w bezpieczeństwie energetycznym szpitali

Co pokazują dokumenty? Polskie przepisy są w tej sprawie zaskakująco proste. Szpital ma mieć agregat prądotwórczy z funkcją autostartu, zdolny pokryć co najmniej 30 proc. zapotrzebowania mocy szczytowej, oraz urządzenie zapewniające odpowiedni poziom bezprzerwowego podtrzymania zasilania. Ustawodawca nie zostawił tu wiele miejsca na poezję: zanim agregat przejmie obciążenie, krytyczne urządzenia medyczne nie mogą po prostu mrugnąć i zamilknąć. Kontrola NIK objęła 15 szpitali. Wszystkie miały agregaty, a siedem dysponowało jednostkami o mocy wyższej niż całkowite zapotrzebowanie placówki. To ważne, bo obala prostą, lecz zbyt łatwą narrację o powszechnym braku podstawowego sprzętu. Problem zaczyna się chwilę później, dokładnie tam, gdzie kończy się katalog wyposażenia, a zaczyna pytanie: czy to wszystko naprawdę zadziała wtedy, gdy będzie potrzebne? W dwóch szpitalach, w budynkach oddziałów położonych poza główną siedzibą, działały agregaty starszej generacji bez funkcji autostartu, choć przepisy tego wymagają. W większości placówek były także zasilacze UPS, ale dwa szpitale nie miały takich urządzeń w ogóle. W jednym z nich - Szpitalu Wielospecjalistycznym w Jaworznie - po pożarze jednego urządzenia UPS trwała 224-dniowa przerwa w dostępności bezprzerwowego zasilania dla bloku operacyjnego. Dwieście dwadzieścia cztery dni to nie jest drobna zwłoka w serwisie. To ponad siedem miesięcy, w których bezpieczeństwo miało wyraźnie cieńszy margines. Słabości nie kończyły się na sprzęcie. W 14 szpitalach wdrożono procedury na wypadek nagłej utraty zasilania, ale tylko w ośmiu były one jednocześnie aktualne i kompletne. W jednym szpitalu procedur nie wdrożono w ogóle. W trzech były niekompletne, w trzech kolejnych wymagały aktualizacji. To przypomina sytuację, w której statek ma łodzie ratunkowe, lecz połowa załogi posługuje się instrukcją sprzed przebudowy pokładu. NIK wskazała także braki w serwisowaniu. W 54 przypadkach wystąpiły opóźnienia w okresowych przeglądach technicznych urządzeń zapewniających zasilanie; w 14 przypadkach opóźnienia były dłuższe, a w 10 przekraczały 30 dni - od 39 aż do 364 dni. W części szpitali dokumentowano czynności serwisowe ogólnikami w rodzaju 'test' albo 'brak uwag'. W jednym przypadku agregat uruchamiano jedynie na biegu jałowym przez około sześć minut, choć powinien być testowany pod obciążeniem przez minimum pół godziny. Z dokumentów wyłania się więc obraz nie katastrofy totalnej, lecz bezpieczeństwa zbudowanego nierówno. Sprzęt często jest. Procedury często też. Ale odporność krytycznej infrastruktury nie składa się z rzeczowników, tylko z ciągów czynności: kto dzwoni, kto przełącza, co ma zadziałać bez sekundy przerwy, kiedy sprawdzono agregat pod prawdziwym obciążeniem. Właśnie w tych miejscach kontrola odnalazła szczeliny. Gdzie pojawia się luka? Pierwsza luka pojawia się między stanem posiadania a stanem gotowości. Agregat stojący w budynku jest konieczny, lecz nie wystarczający. Jeżeli część procedur jest nieaktualna, a część testów prowadzona zbyt lekko, system zaczyna przypominać gaśnicę, której termin ważności wszyscy kojarzą, ale nikt nie pamięta, kiedy ostatnio sprawdzano ciśnienie. Druga luka dotyczy miejsc, które łatwo wypadają z pola widzenia: oddziałów położonych poza główną siedzibą, zapasowych układów, urządzeń po awarii. To właśnie tam NIK znalazła agregaty bez autostartu i długą przerwę w dostępności UPS. W wielkiej instytucji medycznej najgroźniejsze bywają nie wielkie dziury na środku korytarza, lecz małe drzwi techniczne na końcu skrzydła, do których nikt nie zagląda wystarczająco często. Trzecia luka ma charakter organizacyjny. Procedura kryzysowa działa tylko wtedy, gdy jest aktualna, kompletna i znana ludziom, którzy muszą ją wykonać pod presją. Jeżeli dokument nie wskazuje wszystkich niezbędnych czynności albo nie odpowiada obecnej strukturze szpitala, w chwili awarii staje się trochę jak mapa starego miasta po budowie obwodnicy. Nadal wygląda poważnie, ale niekoniecznie prowadzi tam, gdzie trzeba. Czwarta luka dotyczy serwisu. Opóźnienia w przeglądach do 364 dni i lakoniczne wpisy typu 'test' nie znaczą automatycznie, że urządzenie nie zadziała. Znaczą jednak, że instytucja ma słabszą wiedzę o tym, czy zadziała. W ochronie zdrowia to różnica nie akademicka, lecz fundamentalna, bo awaria zasilania nie czeka uprzejmie, aż ktoś odtworzy z pamięci zakres ostatniego przeglądu. Piąta luka jest już bardziej systemowa: brak ogólnokrajowego standardu przejrzystości w prezentowaniu gotowości energetycznej szpitali. Kontrola NIK daje dobry punkt wyjścia, ale obywatel nie ma dziś łatwego sposobu, by porównać placówki pod kątem agregatów, UPS, zapasów paliwa, aktualności procedur czy dat ostatnich testów pod obciążeniem. A przecież pacjent przed operacją nie powinien musieć zachowywać się jak audytor instalacji elektrycznej. Kto zyskuje, kto płaci? Najpierw precyzja. Z dokumentów NIK nie wynika, że skontrolowane szpitale były ogólnie nieprzygotowane do blackoutu. Przeciwnie: wszystkie miały agregaty, a większość procedury i UPS. Wynika natomiast, że poziom gotowości nie był równy, a w części placówek występowały luki, które w normalny dzień wyglądają jak problem techniczny, lecz w dzień awarii stają się problemem klinicznym. Zyskuje tu nikt, jeżeli system działa byle jak. Gotowość awaryjna nie ma prywatnego beneficjenta w klasycznym sensie. Ma tylko wspólną polisę bezpieczeństwa: dla pacjenta, lekarza, pielęgniarki, dyrektora i rodziny czekającej pod salą operacyjną. Właśnie dlatego zaniedbanie bywa tak niewidzialne. Dopóki światło świeci, każdy może udawać, że polisa nie jest potrzebna. Płacą pacjenci, szczególnie ci najbardziej zależni od ciągłości pracy urządzeń: osoby na intensywnej terapii, chorzy operowani, pacjenci wymagający diagnostyki obrazowej czy podtrzymania funkcji życiowych. To ludzie, dla których przerwa w zasilaniu nie jest chwilą bez windy i klimatyzacji, lecz potencjalną przerwą w bezpieczeństwie leczenia. Gdy pacjent jest znieczulony, cały sens systemu polega na tym, że nie musi wiedzieć, czy ktoś pamiętał o teście UPS. Płaci również personel. Awaria techniczna połączona z niepełną procedurą przerzuca na ludzi dodatkowe ryzyko decyzji podejmowanych w stresie. Każdy dobrze zaprojektowany system ma właśnie po to istnieć, by w najgorszej chwili człowiek nie musiał wymyślać od nowa tego, co powinno być wcześniej rozpisane, sprawdzone i przećwiczone. Wreszcie płaci państwo, jeśli bezpieczeństwo energetyczne szpitali mierzy wyłącznie liczbą agregatów, a nie jakością całego łańcucha gotowości. Bo agregat bez rzetelnego serwisu, UPS bez ciągłości i procedura bez aktualizacji tworzą bezpieczeństwo trochę podobne do parasola z dziurą: z daleka wygląda na wyposażenie, ale deszcz i tak znajdzie drogę. Co jest faktem, a co wymaga dalszego sprawdzenia? Faktem jest, że wszystkie 15 skontrolowanych szpitali miały agregaty, a siedem posiadało agregaty o mocy wyższej niż całkowite zapotrzebowanie placówki. Faktem jest także, że przepisy wymagają agregatu z autostartem i odpowiedniego poziomu bezprzerwowego podtrzymania zasilania. Faktem jest wreszcie, że dwa szpitale nie miały żadnych urządzeń UPS, a w jednym przypadku przerwa w ich dostępności trwała 224 dni. Faktem jest, że w 14 z 15 szpitali wdrożono procedury na wypadek nagłej utraty zasilania, lecz tylko w ośmiu były one aktualne i kompletne. Faktem jest również, że odnotowano 54 przypadki opóźnień w okresowych przeglądach technicznych urządzeń zapewniających zasilanie, w tym 10 przypadków przekraczających 30 dni, oraz przypadki nierzetelnego dokumentowania czynności serwisowych i braku wymaganych testów pod obciążeniem. Nie ma natomiast podstaw, by pisać, że polskie szpitale masowo nie przetrwałyby blackoutu albo że każde wskazane uchybienie przekładało się już na realne zagrożenie życia konkretnego pacjenta. NIK sama zaznaczyła, że większość placówek była przygotowana proceduralnie i organizacyjnie. Uczciwy tekst nie powinien więc udawać katastrofy, której raport nie opisuje. Powinien pokazać coś bardziej niepokojącego: że bezpieczeństwo systemu bywa wystarczające aż do chwili, gdy potrzebne jest naprawdę. Dalszego sprawdzenia wymaga skala krajowa. Kontrola objęła 15 placówek, więc nie pozwala bez dodatkowych danych opisać całego systemu szpitalnego w Polsce. Trzeba pozyskać od wojewodów, NFZ, organów założycielskich i samych szpitali dane o agregatach, UPS, zapasach paliwa, testach pod obciążeniem, procedurach i awariach z ostatnich lat. Dopiero wtedy będzie można odpowiedzieć, czy wykryte luki są incydentalne, czy raczej reprezentują szerszy wzorzec. Sprawdzenia wymaga też, czy po publikacji NIK placówki zidentyfikowane w kontroli usunęły nieprawidłowości, a nadzorujące je podmioty wprowadziły jednolity mechanizm raportowania. Bez tego raport pozostanie chwilowym błyskiem latarki w ciemnym korytarzu, a nie początkiem trwałej poprawy. Dlaczego zwykły obywatel powinien to zrozumieć? Bo blackout jest jednym z tych zdarzeń, które zwykły obywatel rozumie instynktownie. W domu oznacza zgaszone światło i rozmrażającą się lodówkę. W szpitalu oznacza, że cała architektura leczenia musi przejść na tryb awaryjny bez utraty rytmu. Jeśli w domu po kilku sekundach szukamy latarki, w szpitalu kilka sekund potrafi mieć zupełnie inną wagę. Bo pacjent nie ma narzędzi, żeby sam ocenić jakość gotowości energetycznej placówki. Nie sprawdzi, kiedy ostatnio testowano agregat pod obciążeniem, czy UPS obejmuje właściwy obwód, czy instrukcja po ostatnim remoncie została poprawiona. Właśnie dlatego obowiązek kontroli i rzetelnego nadzoru spoczywa na instytucjach, a nie na człowieku w szpitalnej piżamie. Bo kryzys klimatyczny, awarie infrastruktury i zagrożenia geopolityczne sprawiają, że scenariusz dłuższych przerw w zasilaniu nie jest już egzotycznym ćwiczeniem z podręcznika. Im bardziej państwo mówi o odporności, tym mniej może sobie pozwolić na odporność deklaratywną. W świecie pojęć agregat na liście wyposażenia wystarczy. W świecie realnym liczy się, czy ruszy wtedy, gdy za ścianą trwa operacja. Bo to temat o jednej z najważniejszych granic w zarządzaniu publicznym: między formalnym spełnieniem wymogu a rzeczywistą zdolnością działania. Można mieć instrukcję, której nikt nie odświeża, przegląd, który jest po terminie, i test, który w dokumentacji mieści się w jednym słowie. Wszystko wygląda administracyjnie znajomo. Tyle że medycyna awaryjna nie działa na słowo honoru. I wreszcie dlatego, że odporność szpitali jest dobrem wspólnym. Nie wiadomo, kto będzie następnym pacjentem na sali operacyjnej, oddziale intensywnej terapii albo SOR-ze. Wiadomo tylko, że w tej chwili nikt z nas nie chciałby odkryć, iż różnica między agregatem a bezpieczeństwem była rozumiana zbyt oszczędnie.