FORFATTER(E) Knut Øien og Snorre Sklet OPPDRAGSGIVER(E) Oljedirektoratet GRADER. DENNE SIDE ISBN PROSJEKTNR. ANTALL SIDER OG BILAG

Transkript

1 SINTEF RAPPORT TITTEL SINTEF Teknologiledelse Sikkerhet og pålitelighet Postadresse: 7034 Trondheim Besøksadresse: Strindveien 4 Telefon: Telefaks: Foretaksregisteret: NO MVA Bruk av risikoanalyser i driftsfasen, etablering av sikkerhetsindikatorer og modellering av organisatoriske faktorers effekt på risikonivået - en "state-of-the-art" beskrivelse FORFATTER(E) Knut Øien og Snorre Sklet OPPDRAGSGIVER(E) Oljedirektoratet RAPPORTNR. GRADERING OPPDRAGSGIVERS REF. STF38 A99416 Åpen Liv Nielsen / Odd Tjelta GRADER. DENNE SIDE ISBN PROSJEKTNR. ANTALL SIDER OG BILAG Åpen ELEKTRONISK ARKIVKODE PROSJEKTLEDER (NAVN, SIGN.) VERIFISERT AV (NAVN, SIGN.) Rapport litteraturgjennomgang ver 2-0.doc Snorre Sklet Marvin Rausand ARKIVKODE DATO GODKJENT AV (NAVN, STILLING, SIGN.) SAMMENDRAG Lars Bodsberg, forskningssjef Rapporten inneholder en oppsummering av litteratur gjennomgått som en del av prosjektet "Risikoanalyser i driftsfasen". Hensikten med litteraturstudiet har vært å kartlegge og gjennomgå resultater fra internasjonalt forsknings- og utviklingsarbeid innenfor følgende områder: Erfaringer fra bruk av risikoanalyser i driftsfasen Etablering av ulike typer sikkerhetsindikatorer Modeller/metoder for vurdering av hvilken effekt organisatoriske faktorer har på risikonivået. Resultatene fra litteraturgjennomgangen vil inngå som underlagsmateriale for å utarbeide modeller for å klargjøre sammenhengen mellom organisatoriske faktorer og risikonivået på en oljeplattform. STIKKORD NORSK ENGELSK GRUPPE 1 Sikkerhet Safety GRUPPE 2 Risikoanalyse Risk analysis EGENVALGTE Risikoindikator Risk indicator Risikopåvirkende forhold Organisatoriske forhold Risk Influencing Factors Organisational Factors

2 2

3 3 INNHOLDSFORTEGNELSE 1. SAMMENDRAG INNLEDNING Bakgrunn Hensikt med litteraturgjennomgangen Avgrensninger og utvelgelse av relevant litteratur Forkortelser BRUK AV RISIKOANALYSER I DRIFTSFASEN Innledning Bruk av risikoanalyser ved drift av kjernekraftverk Sammenligning PSA/TRA BRUK AV INDIKATORER FOR OPPFØLGING AV RISIKO Innledning Bruk av indikatorer i kjernekraftindustrien WANOs prestasjonsindikatorer Sikkerhetsindikatorer Probabilistiske indikatorer Vedlikeholdsindikatorer Sikkerhetsindikatorer fra IAEA PSA-baserte risikoindikatorer Indikatorer for sikkerhetskultur "Accident sequence precursors" Bruk av indikatorer i oljebransjen Bruk av indikatorer i Elf Bruk av indikatorer hos PPCoN Norsk Hydros sikkerhetsstyringssystem (SSS) Risikoindikatorprosjektet Statfjord A Operasjonelle sikkerhetsindikatorer i kjemisk industri Oppsummering Krav til indikatorer Status mht. bruk av indikatorer ORGANISATORISKE FAKTORER OG RISIKO Innledning Hva mener vi med organisatoriske faktorer (i risikosammenheng)? Hvordan håndteres dette i dag innenfor offshore (i risikoanalysene)? Generiske data Plattform-spesifikke data Generelt (både generiske og spesifikke data) Hvordan ble de organisatoriske faktorene håndtert i Ekofisk 2/4-T studien? Hva gjøres i andre industrier? SAM (System-Action-Management framework) WPAM (Work Process Analysis Model) I-RISK (Integrated Risk) ISM (Integrated Safety Model) Konseptuelle modeller og nylig igangsatte prosjekt Generelle metodebetraktninger Andre-generasjons verktøy for analyse av menneskelig pålitelighet CREAM... 72

4 ATHEANA IDA Oppsummering av sammenhengen mellom organisatoriske faktorer og risiko KLASSIFISERING OG MÅLING AV ORGANISATORISKE FAKTORER Modellering og klassifisering av organisatoriske faktorer Modell og klassifisering av organisatoriske faktorer i SYNERGI Jacobs & Habers klassifisering av organisatoriske faktorer TRIPOD OECDs klassifisering av organisatoriske faktorer Måling av tilstanden til organisatoriske faktorer Sikkerhetsrevisjonsmetoder MORT SMORT ISOBAR INTEGRA SEM SMART prosjektet ISRS MANAGER PRIMA STATAS Oppsummering av klassifisering og måling av organisatoriske faktorer KONKLUSJONER Konklusjoner fra litteraturgjennomgangen Diskusjon av resultatene fra litteraturgjennomgangen REFERANSER

5 5 1. SAMMENDRAG Fokus for denne litteraturgjennomgangen har vært måling av organisatoriske faktorers effekt på risikonivået, hvor måling eksempelvis kan skje gjennom bruk av indikatorer. Vi har derfor forsøkt å dekke den forskning som har vært utført innenfor områdene etablering og bruk av sikkerhetsindikatorer og organisatoriske faktorers innvirkning på risikonivået. I all hovedsak har forskningen på disse 2 områdene skjedd uavhengig av hverandre. Mye av den tidligere forskningen, både innenfor sikkerhetsindikatorer og organisatoriske faktorer, har vært kvalitativ i den forstand at det ikke har vært noen kopling mot en kvantitativ risikoanalyse av det tekniske systemet. Den sikkerhet som indikatorene da har målt eller som de organisatoriske faktorene har innvirket på, har derfor vært vagt definert. En trend i de senere år har vært å gjøre denne forskningen mer risikobasert, ved å basere seg på eller tilpasse metodene til en kvantitativ risikoanalyse av det aktuelle systemet. Vi har i denne litteraturgjennomgangen lagt spesielt vekt på den risikobaserte delen av denne forskningen. Forskning på storulykker i industrielle systemer (og hvor ulykkene inntreffer så sjelden at innsikt må skaffes gjennom probabilistiske vurderinger) har i særlig grad vært knyttet til kjernekraft, romfart, prosessindustri og ulike transportsystemer. Innenfor risikobasert forskning ligger kjernekraft (bl.a. som følge av sitt risikopotensiale og konsekvenser for tredje part) langt framme. Deres risikoanalysemodeller er svært omfattende og dekker forhold relatert til både design, drift og operasjonelle rutiner for å forhindre at uønskede hendelser fører til alvorlige ulykker. De øvrige industrier forsøker å lære av kjernekraftindustrien, så også med offshore. Dette er grunnen til at forholdsvis mye av den forskning vi har referert til kommer fra kjernekraftindustrien. Vi tror vi har dekket det aller meste av den forskning som er relevant, bl.a. fordi vi har diskutert dette med forskere som har vært med på utviklingen av noen av de metodene vi refererer til, samt ved at vi har deltatt på internasjonale konferanser og seminar. Først i de aller siste årene har man satt fokus på risikobaserte indikatorer. Bl.a. har Det Internasjonale Atomenergibyrået (IAEA) utarbeidet et rammeverk for etablering av risikoindikatorer for kjernekraftverk basert på bruk av risikoanalyser (PSA). Det aller meste av den forskning som har vært knyttet til sikkerhetsindikatorer har vært uten kopling til en risikoanalyse, og ulike aktører har valgt forskjellige framgangsmåter for etablering av sikkerhetsindikatorer. Forskningen på organisatoriske faktorers innvirkning på risikoen, gjennom en kopling mot en kvantitativ risikoanalyse, har så langt resultert i en håndfull metoder (SAM, WPAM, ISM og I- RISK), alle med ulik innfallsvinkel, ulik målsetting og med bruk av ulike teknikker i modelleringen. SAM er den metoden som er mest referert i litteraturen, og benyttet innenfor flere industrier. Ingen videreutvikling etter er imidlertid dokumentert. WPAM ble utviklet innenfor kjernekraft og støttet av kjernekraftmyndighetene i USA (NRC), men finansieringen fra NRC stoppet opp i og arbeidet ser ikke ut til å ha blitt videreført. ISM var resultatet av et arbeid utført for NRC fram til , også dette rettet mot kjernekraft. Hensikten var å etablere et rammeverk for evaluering av prestasjonsindikatorer benyttet av NRC. Metodikken har ikke blitt videreutviklet etter 1992.

6 6 I-RISK prosjektet er et nylig avsluttet EU-prosjekt hvor sluttdokumentasjonen ennå ikke foreligger (forventes å foreligge høsten 1999). Dette arbeidet er rettet mot prosessindustrien. Så langt vi kjenner til, har målsettingen med å inkludere effekten av organisatoriske faktorer eksplisitt i de kvantitative risikoanalysene ikke blitt oppnådd fullt ut. I tillegg er det et par pågående forskningsprosjekt som virker interessante. Det ene er et BNLprosjekt (Brookhaven National Laboratory) for kjernekraftmyndighetene i Canada (AECB), og det andre er et spansk prosjekt som utføres av CIEMAT for kjernekraftmyndighetene og operatørene i Spania (CSN og UNESA). BNL-prosjektet ledes av Sonja Haber som også sto bak utviklingen av de 20 organisatoriske faktorene som bl.a. ble benyttet i WPAM. CIEMATprosjektet er et nylig påbegynt femårig forskningsprosjekt med tilsvarende målsetting som WPAM og I-RISK. Målsettingen med de tidligere og pågående prosjektene har vært å få til en bedre integrering mellom organisatoriske faktorer og risikoanalysene slik at den estimerte risikoen blir mer korrekt (WPAM, I-RISK og CIEMAT) og at effekten av organisatoriske tiltak kan vurderes bedre (SAM og BNL). I tillegg ble ISM utviklet for å vurdere relevans og kompletthet av eksisterende prestasjonsindikatorer. Ingen av prosjektene har hatt risikokontroll som hovedfokus. Et hovedinntrykk er at forskningen på risikoindikatorer og organisatoriske faktorer fortsatt er umoden, og at det er langt fram til omforente metodikker, eller i det minste anbefalinger til fornuftige framgangsmåter. Det er ennå ingen standarder for risikoanalyser som henviser til eller anbefaler noen av de nevnte metodene. Noe av årsaken til dette kan nok være at denne forskningen ligger i grenselandet mellom flere fagdisipliner (bl.a. organisasjonsteori, menneskelige faktorer, menneskelig pålitelighet, risikoanalyse, mm.).

7 7 2. INNLEDNING 2.1 Bakgrunn I samarbeid med Oljedirektoratet har SINTEF gjennomført to prosjekter for å utarbeide et sett med risikoindikatorer for henholdsvis Ekofisk 2/4-T (Øien et.al, 1995) og Statfjord A (Øien og Sklet, 1999a). Risikoindikatorene kan benyttes for å overvåke eventuelle endringer i risikonivået på plattformen i periodene mellom oppdatering av Totalrisikoanalysen (TRA'en). Ved etablering av risikoindikatorer har vi tatt utgangspunkt i TRA'ene (Reitan et al., 1993 og Statoil, 1996) for innretningene, slik at kvaliteten på denne (kompletthet, detaljeringsnivå, godhet av modeller, osv.) legger begrensninger på hvilke typer risikoindikatorer vi finner. Dette har ført til at de etablerte risikoindikatorene dekker tekniske og til dels operasjonelle forhold. Ser vi på ulykker som har inntruffet, viser gransking av disse at menneskelige og organisatoriske forhold er viktige årsaksfaktorer til mange av disse ulykkene (Rasmussen, 1990), (Reason, 1987) og (Winsor, 1988). Det ble derfor etablert et prosjekt med deltakelse fra Oljedirektoratet, ni oljeselskaper (Statoil, Norsk Hydro, Saga, Elf, PPCoN, BP, Amoco, BP og Esso) og tre konsulentselskaper (Det norske Veritas, Scandpower og Safetec) med følgende målsetting: "Hensikten med prosjektet er å videreutvikle modeller som kan benyttes for å klargjøre sammenhengen mellom organisatoriske forhold og risikonivået på en offshore innretning. Disse modellene vil danne grunnlaget for å utarbeide en metodikk som kan benyttes til å måle endringer i risikonivået på en innretning som skyldes endringer i organisatoriske forhold. Prosjektet vil også bidra til å øke bruken av resultatene fra kvantitative risikoanalyser i forbindelse med oppfølging av risikonivået på en plattform i driftsfasen." Litteraturgjennomgangen inngår som én delaktivitet i dette prosjektet. 2.2 Hensikt med litteraturgjennomgangen Hensikten med litteraturgjennomgangen er å skaffe oversikt over internasjonal FOU-aktivitet innenfor fagområdet som er relevant for dette prosjektet samtidig som vi ønsker å kartlegge relevant arbeid i deltakende selskaper. Rapporten er derfor i stor grad refererende og oppsummerer internasjonal forskning på området. Resultatene fra litteraturgjennomgangen vil inngå som underlagsmateriale når vi i neste omgang skal videreutvikle modeller for å klargjøre sammenhengen mellom organisatoriske forhold og risikonivået på en oljeplattform. 2.3 Avgrensninger og utvelgelse av relevant litteratur Litteraturgjennomgangen er avgrenset til å omfatte følgende tema: Erfaringer fra bruk av risikoanalyser i driftsfasen Etablering av ulike typer sikkerhetsindikatorer Modeller/metoder for vurdering av hvilken effekt organisatoriske faktorer har på risikonivået Arbeidet med etablering av risikoindikatorer har hele tiden vært avgrenset til å omfatte risiko for storulykker ved olje- og gassutvinning. Det har også vært førende for utvelgelse av relevant litteratur for litteraturgjennomgangen, hvor vi hovedsakelig har konsentrert oss om industriell virksomhet med storulykkespotensiale, dvs. kjernekraft, romfart, transportvirksomhet og prosessindustri.

8 8 I tillegg ønsket vi litteratur fra bransjer med erfaring fra bruk av risikobaserte metoder. Kjernekraftindustrien pekte seg derfor ut som en naturlig bransje å legge hovedvekt på. Hovedsakelig fordi kjernekraftindustrien har lang erfaring i å benytte risikobaserte metoder i sikkerhetsarbeidet og at mye av litteraturen som finnes har utgangspunkt i arbeid gjennomført for kjernekraftindustrien. Erfaringer fra PSAM'4 (International Conference on Probabilistic Safety Assessment and Management) som ble arrangert i New York høsten 1998 med deltakere fra hele verden, viste også at representanter fra romfartsindustri (bl.a. NASA), transportsektoren og prosessindustri deltok for å lære av de erfaringer kjernekraftindustrien har høstet med bruk av risikobaserte metoder for å ivareta sikkerheten. Relevant litteratur er identifisert ved bruk av følgende angrepsmåter: Søking i relevante bibliotekdatabaser etter bøker og artikler Gjennomgang av oversikt over referanser i artikler og bøker Deltakelse på internasjonale konferanser og seminar Samtaler med internasjonale eksperter (bl.a. Andrew Hale, George Apostolakis, Ali Mosleh og Mohammed Modarres) 2.4 Forkortelser Nedenfor gis forklaring på en del forkortelser som benyttes i rapporten. ASEP ASP ATHEANA CCF CDF CPC CREAM FAR HCR HEART HEP HRA IAEA IDA IE I-RISK ISM ISRS LTA NEA NKS NRC OD PRA PSA PSF QRA Accident Sequence Evaluation Programme Accident Sequence Precursor A Technique for Human Event Analysis Common Cause Failures Core Damage Frequency Common Performance Condition Cognitive Reliability and Error Analysis Method Fatal Accident Rate Human Cognitive Reliability Model Human Error Analysis and Reduction Technique Human Error Probability Human Reliability Analysis The International Atomic Energy Agency Information Diagnosis/Decision Action Model Initiating Event Integrated Risk (EU-prosjekt) Integrated Safety Model International Safety Rating System (Internasjonalt system for rangering av sikkerhet) Lost Time Accident OECD Nuclear Energy Agency Nordisk kjernesikkerhetsforskning Nuclear Regulatory Commission (USA) Oljedirektoratet Probabilistic Risk Assessment Probabilistic Safety Assessment Performance Shaping Factors Quantitative Risk Assessment

9 9 SAM SKI SLIM SOCRATES THERP TRA WANO WPAM System Action Management Statens Kärnkraftinspektion (Sverige) Success Likelihood Index Method The Socio-Organizational Contribution to Risk Assessment and the Technical Evaluation of Systems Technique for Human Error Rate Prediction Totalrisikoanalyse The World Association of Nuclear Power Plant Operators The Work Process Analysis Model

10 10

11 11 3. BRUK AV RISIKOANALYSER I DRIFTSFASEN 3.1 Innledning I følge NORSOK (1998) er risikoanalyse en analyse som inkluderer en systematisk identifikasjon og beskrivelse av risiko for personell, miljø og eiendeler. Risikoanalysebegrepet dekker dermed flere typer analyser som omfatter analyse av årsaker til ulykker og konsekvensene av disse. I denne rapporten avgrenser vi risikoanalyser til å omfatte kvantitative totalrisikoanalyser av en innretning. Slike risikoanalyser har blitt benyttet i offshorebransjen i konsept- og designfasen for å: Sammenligne risikoen ved forskjellige konseptløsninger Etablere dimensjonerende ulykkeslaster Evaluere endringer i risiko pga. endringer i design Verifisere at akseptkriterier for risiko tilfredsstilles Etablere beredskapskrav I tillegg har det blitt gjennomført risikoanalyser ved større modifikasjoner for å evaluere risikoen ved disse og verifisere samsvar med operatørens akseptkriterier for risiko. Utover dette har resultatene fra totalrisikoanalysene imidlertid i liten grad blitt benyttet i driftsfasen. For å finne erfaringer med bruk av risikoanalyser i driftsfasen har vi forsøkt å trekke på erfaringer fra kjernekraftindustrien som benytter resultatene fra PSA'er 1 (Probabilistic Safety Assessment) i forbindelse med drift av kraftverkene i større grad enn hva tilfellet er offshore. Først gir vi en beskrivelse av ulike bruksområder for PSA'er i forbindelse med drift av kjernekraftverk. Videre sammenligner vi en PSA med en TRA 2 og oppsummerer noen av forskjellene i analysene. 3.2 Bruk av risikoanalyser ved drift av kjernekraftverk IAEA (1998) beskriver en rekke mulige bruksområder for PSA i driftsfasen, men poengterer samtidig at det er nødvendig med en balansert avveining mellom bruk av deterministiske sikkerhetskrav og probabilistiske metoder for å oppnå høyest mulig sikkerhet. 3 PSA er et nyttig verktøy for å framskaffe beslutningsunderlag, men man må være klar over hvilke svakheter, begrensninger og forutsetninger analysene bygger på. Bruksområdene for PSA som IAEA (1998) beskriver er som følger (etterfulgt av en kort beskrivelse av hver anvendelse): Vedlikehold Tekniske spesifikasjoner (TS) Risikobasert konfigurasjonsstyring Risikobaserte sikkerhetsindikatorer Evaluering av operasjonelle hendelser Evaluering av sikkerhetsspørsmål Periodisk sikkerhetsgjennomgang Begrepet PSA - Probabilistic Safety Assessment benyttes i hele verden bortsett fra i USA som benytter begrepet PRA - Probabilistic Risk Assessment. I denne rapporten benyttes forkortelsene om hverandre. Begrepene TRA - TotalRisikoAnalyse og QRA - Quantitative Risk Analysis benyttes om hverandre. For å illustrere hva som ligger i dette kan man si at analysene til sammen skal danne et sikkerhetsnett hvor de deterministiske analysene resulterer i en grovmasket armering mens de probabilistiske analysene resulterer i en duk som tetter hullene i armeringen.

12 12 Gradert kvalitetssikring Bruk av PSA i vedlikehold Etablering av et effektivt vedlikeholdsprogram skal sikre at påliteligheten og effektiviteten til alle sikkerhetskritiske systemer og utstyr vedlikeholdes i henhold til designforutsetninger slik at sikkerheten i anlegget ikke forringes under operasjon. Noen viktige bruksområder for PSA i tilknytning til vedlikehold av kraftverkene er: PSA brukes i forbindelse med planlegging av vedlikeholdsaktiviteter (risk-informed basis). PSA kan benyttes til å prioritere mellom vedlikeholdsaktiviteter som har stor betydning for sikkerheten, bl.a. ved at PSA gir kvantitativ informasjon om effekten på risiko ved at utstyr er ute av drift pga. testing eller vedlikehold. Hvis en "Risk Monitor" finnes, kan PSA benyttes for å vurdere effekten på risiko av planlagte vedlikeholdsaktiviteter, f.eks. pga. spesifikk kombinasjon av ulike typer utstyr utkoblet for vedlikehold. Dermed kan PSA benyttes til å optimalisere vedlikeholdsprogrammet mht. risiko. PSA benyttes for å analysere konsekvensen i risiko av endringer i strategier for vedlikehold og testing hvis data om endringer i systemtilgjengeligheten er tilgjengelig. Hva er f.eks. effekt på risiko av endret frekvens i preventivt vedlikehold av en komponenttype. PSA modeller benyttes for å identifisere ulike komponenters relative betydning for risiko (gjennom ulike mål for pålitelighetsmessig betydning), dvs. å identifisere de mest sikkerhetskritiske systemer og komponenter. PSA kan benyttes for å bestemme optimalt testintervall mht risiko ved å ta hensyn til den relative betydningen for risiko til ulike systemer. Tilsvarende kan PSA benyttes for å optimalisere inspeksjonsintervaller for ulike komponenter/systemer. PSA kan benyttes for å sammenligne utstyrets faktiske ytelse med forutsatt pålitelighet i analysene. Bruk av PSA i tilknytning til tekniske spesifikasjoner (TS) Tekniske spesifikasjoner er sikkerhetsregler for kjernekraftverk som godkjennes av myndighetene. TS definerer grenser og betingelser for operasjon, testing og vedlikehold. Bl.a. defineres: Limiting Conditions for Operation (LCO) Surveillance Requirements (SR) LCO inneholder krav til operasjon av kraftverket og "Allowed Outage Times" (AOT). AOT spesifiserer hvor lenge et system kan være ute av funksjon før reparasjon er ferdig. Hvis man overstiger AOT, må man skifte operasjonsmodus eller stenge ned anlegget. PSA kan brukes til å optimalisere kravene til AOT, STIs (Surveillance Test Intervals) og teststrategier mht. risiko. PSA kan også benyttes til å evaluere relevansen til TS, evt. til å vurdere effekten av kompenserende tiltak hvis det er behov for å rettferdiggjøre dispensasjon fra fastsatte krav i TS. Risikobasert konfigurasjonsstyring Med risikobasert konfigurasjonsstyring menes styringen av risiko pga. at anlegget opereres med ulike konfigurasjoner eller status på forskjellige systemer/komponenter (f.eks. operativ, stand-by, utilgjengelig pga. vedlikehold eller testing, osv.). PSA kan benyttes til å få oversikt over risikonivået ved ulike konfigurasjoner, slik at man kan minimalisere risikoen, både med hensyn på maksimumsverdier, kumulativ risiko over tid og gjennomsnittsnivå.

13 13 Risikobasert konfigurasjonsstyring benyttes både i forbindelse med planlegging av aktiviteter (forventet risiko) og oppfølging av reelt risikonivå i en periode. Risikobaserte sikkerhetsindikatorer PSA gir muligheten til å identifisere de forholdene som har størst betydning for risikoen, for derved å identifisere indikatorer som kan benyttes i forbindelse med oppfølging av risikoen. Indikatorene kan benyttes til å overvåke sikkerhetskritiske forhold og alarmere hvis ulike parametre overstiger fastsatte grenseverdier eller til å overvåke utviklingstrender. Indikatorene kan benyttes både til å overvåke endringer på lang og kort sikt, og benyttes både proaktivt og retrospektivt. Evaluering av operasjonelle hendelser Hensikten med å benytte PSA til å evaluere operasjonelle hendelser er å analysere betinget sannsynlighet for kjerneskade når en uønsket hendelse har inntruffet, og identifisere mulige hendelsesforløp som kan føre til alvorlig ulykke. Dette muliggjør bl.a. evaluering og rangering av alvorligheten til ulike hendelser med hensyn på risiko. Evaluering av sikkerhetsspørsmål PSA benyttes til å analysere effekten på risiko pga. tekniske problemer på ulike systemer i kraftverket. Også effekten på risiko av ulike forslag til løsninger kan evalueres. Periodisk sikkerhetsgjennomgang PSA gir viktig og nyttig innsikt om sikkerheten i et kjernekraftverk og er derfor en nyttig bidragsyter i forbindelse med periodisk sikkerhetsgjennomgang. PSA gir et godt totalbilde av sikkerheten i anlegget, bl.a. ved at analysen inneholder en oppdatert oversikt over hele anlegget. Gradert kvalitetssikring Ved å klassifisere alle komponenter og systemer med hensyn på hvor kritisk de er med hensyn på risiko, får man også muligheten til å etablere et KS-program tilpasset kritikaliteten til de ulike systemene og komponentene. I Figur 1 har vi oppsummert bruksområdene for PSA innenfor kjernekraftindustrien. Flere av disse bruksområdene forutsetter imidlertid at man har en "Levende PSA" (Living PSA) 4 og et "Risk/Safety Monitor" 5 verktøy. Som vi ser er bruksområdene for PSA innenfor kjernekraftverk flere enn bruksområdene for totalrisikoanalysene for oljeplattformer. Dette skyldes bl.a. forskjeller i state-of-the-art mellom PSA og QRA, noe som vi diskuterer nærmere i kommende avsnitt. 4 5 Living PSA - A PSA of the plant, which is updated as necessary to reflect the current design and operational characteristics and parameters, and is documented in such a way that each aspect of the model can be directly related to existing plant documentation or the analysts assumptions in the absence of such information. (IAEA, 1998b) Risk/Safety Monitor - A plant specific real-time analysis tool used to determine the instantaneous risk based on the actual status of the system and components. At any given time, the risk/safety monitor reflects the current plant configuration in terms of the known status of the various systems and/or components. The risk/safety monitor is based on, and is consistent with, the Living PSA. (IAEA, 1998b)

14 14 Risk Informed Decision Making (Application of PSA) Design Operation Incident and accident mitigation and management Design Upgrade/ backfitting/ modification Maintenance Maint. planning RCM In-service testing In-service inspection Technical specifications Mod. of AOTs and STIs Excemptions to TS Configuration control Safety indicators Eval./rating of op. events Evaluation of safety issues Periodic safety review EOPs Accident mgmt. Emergency planning Operator training programmes Graded Q.A. Figur 1. Bruksområder for PSA innenfor kjernekraftindustrien (basert på IAEA, 1998). 3.3 Sammenligning PSA/TRA Øien (1998) har sammenlignet PSA for kjernekraftverk og TRA for petroleumsinnretninger. Hovedresultatene fra sammenligningen er oppsummert i Tabell 1. Hensikten med å sammenlikne PRA og TRA er først og fremst for å være klar over hvilke begrensninger som ligger i TRA en ift. PRA en, dersom man vil forsøke å adoptere anvendelser av risikoanalysene i driftsfasen fra kjernekraft til offshore. Det kan være mange grunner til de forskjellene vi finner mellom PRA og TRA, og i det følgende diskuteres mulige grunner til dette. Historisk sett ble den metodikk som ligger til grunn for både PRA og TRA (kombinasjonen av hendelsestrær og feiltrær) først utviklet innenfor kjernekraft i Nuclear Reactor Study (Rasmussen, 1975). Fra første stund ble metodikken og analysene innenfor kjernekraft gjenstand for grundig gransking (bl.a. Lewis, 1977) og kritikk. De var (og er fortsatt) offentlig tilgjengelige dokumenter. Hensikten med Rasmussen-rapporten var ikke å gi svar på om kjernekraftverkene er sikker nok (f.eks. ift. et gitt risikoakseptkriterium), men å gi svar på hvor sikker kjernekraftverkene er (var). Risikoen forbundet med 100 amerikanske kjernekraftverk ble beregnet og sammenliknet med øvrig risiko i samfunnet (f.eks. risiko ifm. det å fly). Helt i fra starten var man derfor ute etter å gi et realistisk (ikke et konservativt) estimat av risikoen. Noe av den sterkeste kritikken gikk derfor ut på at usikkerheten i estimatene ikke var håndtert godt nok. Beregning av usikkerhet har derfor vært et krav/nødvendighet innenfor kjernekraft helt fra starten fordi man ønsket et realistisk estimat. Resultatene presenteres da også med usikkerhet (kumulative fordelingsfunksjoner). Kravet om realistiske estimat og grundig håndtering av usikkerhet fører igjen med seg en mer detaljert modellering, fordi man ikke som et alternativ kan sette inn en konservativ verdi ( antagelse ) til erstatning for detaljerte modeller. Dette har bl.a. resultert i en relativ grundig

15 15 håndtering av menneskelig pålitelighet i PRA ene (selv om dette fortsatt er et av de svake punktene). Tabell 1. Grov sammenligning av PSA og TRA (Øien, 1998). Emne PRA TRA Initierende hendelse Årsaksanalyse av initiende hendelser i feiltre Identifisering av fellesfeil Predefinerte lister og håndbøker Ingen årsaksanalyser Ingen analyse av fellesfeil Forhåndsdefinerte lekkasjekategorier Frekvens basert på opptelling av lekkasjepunkter evt. plattformspesifikke Feiltre og hendelsestre (systemmodellering) Data og estimering av parametre Detaljert modellering Hjelpesystemer eksplisitt modellert Kobling av hendelsestrær og feiltrær (Tidsavhengige modeller for Levende PSA) Beste estimat og konfidensintervall Klassisk og Bayesiansk tilnærming Vekting av anleggsspesifikke data Menneskelig pålitelighet Grundig analyse av viktige menneskelige handlinger Avhengigheter Delvis innebygd i modeller Separate analyser av avhengighet Betraktet som kritisk Usikkerhet Eksterne hendelser Resultater Alltid inkludert, i det minste kvalitativt Betraktet som sentralt Dekker noen eksterne hendelser Koblet til "interne" hendelser Beste estimat og usikkerhet Kumulative fordelingsfunksjoner data Grov modell Hjelpesystemer ikke inkludert Bare delvis bruk av feiltre Ingen kobling mellom hendelsestrær og feiltrær Beste estimat Generiske data og plattformspesifikke data Så godt som fraværende Delvis innebygd i modeller Ingen separate analyser Så godt som fraværende Dekker flere eksterne hendelser Separate analyser (begrenset modellering) Beste estimat av FAR og PLL Offentlig innsyn i gjennomførte analyser og debatt om PRA ene førte også til utarbeidelsen av standarder for gjennomføring av PRA med grundig beskrivelse av den gjeldende metodikk, bl.a. NUREG/CR-2300 (NRC, 1983). Også dette er åpent tilgjengelige dokumenter. En slik åpenhet gir dessuten muligheter for utveksling av erfaring og dermed bedre grobunn (og press) for videreutvikling av PRA-metodikken. En forholdsvis stor del av befolkningen er tredjepart ift. en kjernekraftulykke, og risikopotensialet forbundet med kjernekraft er formidabelt sammenliknet med all annen menneskeskapt risiko. Dette gjør at det blir stilt store krav til PRA ene både fra myndighetenes og opinionens side, slik at man ikke tåler én storulykke til. Innenfor prosessindustrien og senere offshore har situasjonen vært helt annerledes enn i kjernekraft. Prosessindustrien adopterte raskt grunnmetodikken ifra PRA en, men prosessindustriens QRA ble ikke i samme grad offentlig tilgjengelig og dermed heller ikke utsatt for grundig gransking og kritikk. Risikopotensialet er heller ikke det samme, og innenfor offshore har man kun 2. part når det gjelder risiko for menneskeliv. Ved innføringen av QRA i 1981 i den norske offshoreindustrien skulle analysen vise at sikkerheten var god nok, dvs. at risikoen var under en gitt verdi (10-4 -kriteriet). Det var derfor ikke krav om en realistisk analyse (realistiske estimat), en konservativ analyse var tilstrekkelig.

16 16 Usikkerhet kunne derfor sløyfes ved å argumentere med bruk av konservative verdier. Også sannsynligheten for menneskelige feilhandlinger (menneskelig pålitelighet) kunne håndteres uten bruk av detaljerte modeller ved å anta konservative verdier. TRA ene har for det aller meste vært fortrolige rapporter, noe som har ført til begrenset erfaringsutveksling og lite standardisering. Også presset for å videreutvikle analysene har vært svakt sammenliknet med kjernekraft. Dette er noe av årsakene til at forskjellen mellom PRA og TRA er stor og at det ikke uten videre lar seg gjøre å adoptere anvendelser fra kjernekraft til offshore.

17 17 4. BRUK AV INDIKATORER FOR OPPFØLGING AV RISIKO 4.1 Innledning En av hensiktene med litteraturgjennomgangen har vært å skaffe oversikt over internasjonal FOUaktivitet innenfor området utvikling og bruk av indikatorer for oppfølging av risiko. Ordet indikator kan brukes i svært mange betydninger (noe som viser, peker på, gir signal om, behov for, osv.) og innenfor mange områder (teknikk, botanikk, kjemi, osv.), og gir derfor ikke en klar assosiasjon i forhold til en konkret anvendelse. Det finnes derfor flere generelle definisjoner av begrepet/ordet indikator. Vi avgrenser oss imidlertid til å betrakte indikatorer som er etablert for å si noe om sikkerhet/risiko. Heller ikke her finnes det én omforent definisjon fordi man bruker indikatorer på ulike måter. Beklageligvis kan dette føre til "begrepsforvirring", men vi refererer kun til de begreper og de definisjoner som allerede er i bruk i litteraturen (vi ser det ikke som vår oppgave å rydde opp i denne begrepsbruken, i alle fall ikke i denne omgang). Det er en gradvis/flytende overgang fra "rene" sikkerhetsindikatorer til "rene" risikoindikatorer ved at sikkerhet betraktes kvalitativt (og ikke som det motsatte av kvantifisert risiko), mens rene risikoindikatorer et forankret i en kvantifisering av risikoen gjennom en risikoanalyse. En sikkerhetsindikatorer kan derfor være noe annet (og "vagere") enn en risikoindikator. Noen av begrepene som benyttes henspeiler også på hvordan indikatorene blir etablert. Hovedfokus for litteraturgjennomgangen har vært konsentrert rundt arbeid som gjøres innenfor kjernekraftindustri, prosessindustri og offshorevirksomheten. 4.2 Bruk av indikatorer i kjernekraftindustrien Innenfor kjernekraftindustrien har indikatorer vært et "hett" tema siden Tsjernobyl-ulykken. Utvikling og bruk av indikatorer har vært tema for flere FOU-prosjekter og behandlet innenfor organisasjoner som WANO (The World Association of Nuclear Power Plant Operators) og IAEA (The International Atomic Energy Agency), av myndigheter, f.eks. NRC (Nuclear Regulatory Commission) i USA og av ulike kraftverksoperatører bl.a. på nordisk nivå. I det følgende omtales ulike rammeverk for utvikling og bruk av indikatorer innenfor kjernekraftindustrien WANOs prestasjonsindikatorer Den internasjonale kjernekraftindustrien etablerte World Association of Nuclear Operators (WANO) etter Tsjernobylulykken. En verdensomspennende standardisering av kjernekraftverksindikatorer (noen var allerede i bruk) ble av WANO sett på som et av de sentrale målene. Behovet for å ha felles internasjonale prestasjonsindikatorer var basert både på nytten av å kunne utveksle driftserfaring, men også erkjennelsen av at en sammenlikning mellom ulike kraftverk var uunngåelig. Etter et internasjonalt utviklingsengasjement, etablerte WANO i 1990 ti prestasjonsindikatorer for internasjonal bruk. Indikatorene dekker områdene kjernekraftverkssikkerhet, pålitelighet, effektivitet og personellsikkerhet. Prestasjonsindikatorene er gitt følgende beskrivelse ( definisjon ) (gjengitt fra Holmberg et al., 1994): Performance indicators are measurable parameters providing a quantitative means of monitoring the effectiveness of the spectrum of activities at commercial nuclear plants that can influence safety.

18 18 De 10 WANO-indikatorene er (beskrevet ved deres originale engelske betegnelse) basert på Holmberg et al. (1994): 1. Unit Capability Factor 2. Unplanned Capability Loss Factor 3. Unplanned Automatic Scrams per 7000 Hours Critical 4. Safety System Performance 5. Thermal Performance 6. Fuel Reliability 7. Collective Radiation Exposure 8. Volume of Lower Level Solid Radioactive Waste 9. Chemistry Index 10. Lost-Time Accident Rate Disse 10 prestasjonsindikatorene er gitt en detaljert beskrivelse for bruk av hver enkelt kraftverksoperatør. Et eksempel som illustrerer bruken av en av disse indikatorene (indikator nr. 4 Safety System Performance) er vist i Figur 2. Denne indikatoren er definert som den totale utilgjengeligheten uansett årsak til komponentene i systemet i løpet av en periode, delt på antall tog systemet består av. 0,01 0,009 0,008 0,007 0,006 0,005 0,004 0,003 0,002 0, TXDUWHUÃUXQQLQJÃDYHUDJH Figur 2. Gjennomsnittlig utilgjengelighet av fire diesel generatortog, Loviisa 2, Finland (Tilpasset fra Holmberg et al. (1994). Det har blitt uttrykt bekymring om hvorvidt graden av sikkerhetsvektlegging er tilstrekkelig ved bruk av WANOs sett med indikatorer. En videre utvikling og implementering av mer detaljerte og kraftverksspesifikke indikatorer (for overvåking av sikkerhetskritiske aktiviteter og avdekking av avvik i kraftverket) er ansett å være nyttig både blant operatørene av kjernekraftverkene og av myndighetene som forvalter regelverket. Et praktisk problem ved kraftverkene er å skille ut den viktigste andelen av den store mengden av informasjon som framskaffes hver dag. En mer problemorientert erfaringstilbakeføring kan oppnås ved å benytte kraftverksspesifikke sikkerhetsindikatorer.

19 19 Kommentar WANO-indikatorene benyttes både av kraftverksoperatører og myndigheter i en rekke land for å følge opp sikkerheten ved kjernekraftverkene. Det er kun at disse indikatorene påvirke sikkerheten. Graden av korrelasjon mellom de ulike indikatorene og sikkerheten/risikonivået er ukjent Sikkerhetsindikatorer Innenfor det nordiske forskningssamarbeidet om kjernekraftsikkerhet er det også gjennomført et prosjekt angående sikkerhetsindikatorer beskrevet av Holmberg et al. (1994). Noe av bakgrunnen for dette prosjektet var tvilen om sammenhengen mellom WANO-indikatorene og sikkerheten, og nytten av å ha kraftverksspesifikke indikatorer. Sikkerhetsindikatorer er gitt følgende beskrivelse av Holmberg et al. (1994): Safety indicator is an observable characteristic of an operational nuclear power plant unit, presumed to bear a positive correlation with the safety of the reactor. The safety indicators have been selected, among other means, for the purpose of supervision of safety. The safety indicators can be related to defense lines according to defense-in-depth such as physical barriers and safety functions. Hovedhensikten med sikkerhetsindikatorer er å hjelpe til med å identifisere tidlige indikasjoner på degradert ytelse og derigjennom etablere tiltak for "forhåndsvarsling" av begynnende problem før en alvorlig hendelse eller ulykke inntreffer. Et varsel fra sikkerhetsindikatorene bør igangsette videre gransking av årsakene til symptomene for å sikre at korrigerende tiltak blir satt inn på rett plass. To typer av indikatorer med ulike egenskaper ble etablert: Direkte indikatorer Indirekte indikatorer baserer seg på informasjon hentet direkte fra hendelser som har inntruffet ved kraftverket, f.eks. antall transienter, eller feilrater i sikkerhetskritiske systemer. Men, kun et fåtall sikkerhetskritiske hendelser inntreffer i kraftverket i løpet av en periode. Ledelsen vil ikke få nok tilbakemeldinger til at de kan handle ut i fra denne, og den mulige nytten av de direkte indikatorene kan være begrenset. Det har derfor vært nødvendig å finne den type målbare egenskaper ved et kraftverks prestasjon/ytelse som kan gi et forhåndsvarsel om degradert ytelse, før de direkte resultatindikatorene blir påvirket. måler prestasjonen til funksjonsenhetene innenfor kraftverksorganisasjonen, slik som drift, vedlikehold, opplæring, og teknisk støtte. Dersom den organisatoriske adferden knyttet til disse funksjonsenhetene kan identifiseres, og også måles med indikatorer, burde disse indikatorene antyde eller gi signal om framtidige fysiske prestasjonsindikasjoner. Verdien med å identifisere indirekte indikatorer er den mulighet de har til å kunne være antakelsesindikatorer om potensielle problemer. Indirekte indikatorer blir ofte kalt prediktive eller programatiske. Bruk av sikkerhetsindikatorer Indikatorene kan fortrinnsvis benyttes for å evaluere sikkerheten på to måter:

20 20 For å evaluere nivå på utførelse For å evaluere trend på utførelse Ved evaluering av nivå på utførelse sammenliknes verdiene på indikatorene med en på forhånd fastsatt referanseverdi. Ved evaluering av trender gjennomføres en trendanalyse for å avdekke eventuelle signifikante økende eller avtakende endringer på indikatorverdiene. Utvikling av sikkerhetsindikatorer I det nordiske prosjektet ble beskyttelseslinjene (barrierene) i forsvar-i-dybden strategien, sammen med risikoanalysen, identifisert som et fornuftig rammeverk for identifisering og strukturering av prestasjonsområdene knyttet til sikkerhet. Forsvar-i-dybden strategien kan illustreres som vist i Figur 3. Human errors Component failures External hazards 4 physical Fuel matrix Fuel cladding Boundary of reactor cooling system Containment system barriers 5 safety barriers 5 1 Conservative design, QA, safety culture 2 Process control and failure detection 3 Safety systems 4 Accident management Off-site emergency response Figur 3. Illustrasjon av forsvar-i-dybden (defense-in-depth) strategi (basert på IAEA, 1988). Figur 3 illustrerer at det er en rekke barrierer som skal forhindre at den energiprosessen som foregår i et kjernekraftverk skal komme ut av kontroll og føre til skade på mennesker. Selv ved trusler som komponentsvikt, menneskelige feil og eksterne påvirkninger skal de multiple barrierene utgjøre et tilstrekkelig forsvar ( dyp-forsvar ) for menneskene. De fysiske barrierene skal bevare sin integritet gjennom et sett sikkerhetsbarrierer. Prestasjonsområdene som ble definert, basert på forsvar-i-dybden strategien, ble betegnet: Safety management (Level 1 safety barrier) Control of operation (Level 2 safety barrier) Safety functions (Level 3 safety barrier) Physical barriers (Physical barriers 1-4) Nivå 4 og 5 (dvs. krisehåndtering og beredskap) ble ikke benyttet som basis for utvikling av indikatorer.

21 21 Omkring et hundre sikkerhetsindikatorer har blitt innsamlet og videreutviklet, og deretter beskrevet i form av spesifikasjoner (dvs. indikatornavn, funksjonsområde, hensikt, definisjon, databehov, beregning, bruk og resultater). Eksempler på slike indikatorer er gitt i Tabell 2. Tabell 2. Eksempler på sikkerhetsindikatorer (hentet fra Holmberg et al., 1994). Safety Management Control of Operation Safety Functions Physical Barriers Recurrent fault modes Maintenance ambition index Safety issues backlog Transient index Mean time between repairs of components Unplanned capability loss factor * Safety systems performance * Common cause failures Length of component unplanned outage Tightness index Crack index Fuel reliability index * * Også WANO indikator Operatørspesifikke sikkerhetsindikatorer Vattenfall utviklet et sett med operatørdefinerte sikkerhetsindikatorer i samarbeid med det nordiske prosjektet som er beskrevet i Holmberg et al. (1994). Rammeverket for definering av Vattenfalls indikatorer er illustrert i Figur 4. Level 1 Level 2 Level 4 Level 5 Safety barriers (the five levels in defense-in-depth) Level 3 Event transients Physical barriers Plant safety Figur 4. Vattenfalls rammeverk for definering av et sett med indikatorer. Figur 4 kan ses på som en slags videreføring/videreutvikling av Figur 3, hvor de 4 fysiske barrierene skal motstå at initierende hendelser skal kunne føre til en trussel mot kjernekraftverkets sikkerhet. Sikkerhetsbarrierene skal ivareta de fysiske barrierenes integritet, og figuren viser hvilke sikkerhetsbarrierer som påvirker/beskytter hvilke fysiske barrierer. Alle sikkerhetsbarrierene med unntak av sikkerhetssystemene (barriere 3) kan betraktes som organisatoriske eller administrative system, dvs. ikke-fysiske system.

22 22 De fysiske barrierene samt sikkerhetssystemene gir muligheter for etablering av direkte indikatorer, mens forholdet mellom de organisatoriske/administrative barrierene og sikkerheten er mer indirekte og dermed i hovedsak kun gir mulighet for oppfølging gjennom indirekte indikatorer. Legg spesielt merke til at safety systems (nivå 3 i forsvar-i-dybden) består av utstyr (hardware) som skal overvåkes ved bruk av direkte indikatorer. Indikatorene som er identifisert er vist i Tabell 3. Ni av indikatorene ble akseptert for rutinemessig bruk etter utviklingsprosjektet, mens 6 av disse har blitt brukt som et kommunikasjonsverktøy mellom operatørens sentrale ledelse og de enkelte kjernekraftverksenhetene. En analyse og evaluering av disse indikatorene ved de ulike kjernekraftverksenhetene rapporteres i kvartalsrapporter til kraftverkene og til den sentrale ledelsen. Tabell 3. Operatørspesifikke indikatorer. Safety indicators Type Routine use Reported each 4 mth Events Unplanned automatic scrams Transient index D D/I x x x x Physical barriers Safety barriers ( Defense-indepth ) Fuel cladding (1) Primary circuit pressure boundary (2) Containment Safety culture, QA (1) Control of operation (2) Safety systems (3) Fuel reliability Chemistry index Crack index Tightness index QA index Exemption index LER significance index Recurrent failure index Maintenance quality index Maintenance ambition index Work order management index Unplanned capability index Safety system performance Valve failure index D D/I D D I I D D/I I I I D D D x x x x x x x x x x x D - direkte indikatorer I - indirekte indikatorer Kommentar Som for prestasjonsindikatorene, så er det kun å være en positiv korrelasjon mellom indikatorene og sikkerheten. Den virkelige effekten på sikkerheten er ikke på noen måter evaluert. Men, bruken av indikatorene har ført til avdekking av sikkerhetsforhold som ellers ville forblitt skjult i den store mengden av rapporter og data som er tilgjengelig. Sikkerhetsindikatorer har potensiale til å gjøre erfaringstilbakeføringen hurtigere og mer selektiv for kontinuerlig sikkerhetsevaluering og utvikling Probabilistiske indikatorer Statens Kärnkraftinspektion (SKI) i Sverige administrerer en erfaringsdatabase, STAGBAS II. Statistiske diagram i den såkalte hendelseskatalogen visualiserer det årlige antall hendelser som

23 23 stammer fra ulike sikkerhetsfunksjoner, -systemer og -komponenter. Fra denne katalogen identifiseres indikatorkandidater ved bl.a. å se på trend. Sikkerhetsrelevansen til hver av kandidatene (f.eks. isoleringsventiler), som enhetsspesifikke indikatorer, er også vurdert ved å benytte den kraftverksspesifikke risikoanalysen for å uttrykke deres betydning for totalrisikoen. Den underliggende feilårsaken til kandidatene undersøkes i detalj for å identifisere det egentlige problemområdet samt bekrefte deres trend. Deretter kan de enhetsspesifikke indikatorene fastsettes. Følgende potensielle observasjonsområder har vist seg å være felles for flere kraftverksenheter: Hydraulic scram system or control rod drives (reactivity control) Fire protection system Electric power supply Isolation valves Core spray system and containment vessel spray system Probabilistiske sikkerhetsindikatorer er altså utviklet på bakgrunn av en detaljert studie av hver av disse "problemområdene". Kommentar Legg merke til at disse indikatorene måler en eller annen endring ved f.eks. isoleringsventiler hvor effekten på risiko evalueres gjennom å benytte den kraftverksspesifikke risikoanalysen. Ikke bare er det en positiv korrelasjon med sikkerheten, men effekten er også kjent. En annen viktig observasjon er at disse indikatorene identifiseres ut i fra hendelser, og ikke fra risikoanalysen Vedlikeholdsindikatorer Et pilotprosjekt for utvikling av indikatorer ble gjennomført ved Barsebäck kjernekraftverk. Det ble her utviklet en type tilstandsovervåkingsindikatorer som kan benyttes for vedlikeholdsplanleggingsformål. Disse kan gi informasjon om aldring og degradering av komponenter. Denne type informasjon hjelper vedlikeholdsplanleggeren til å detektere tidlig feilutvikling, og derigjennom kunne planlegge vedlikeholdsaksjonene bedre, for å unngå funksjonsfeil eller skade. Et eksempel på en slik indikator er trykkfall over en varmeveksler. Kommentar Denne typen indikator dekker imidlertid kun en begrenset del av én av sikkerhetsbarrierene (nivå 2 i forsvar-i-dybden), dvs. de har liten dekningsgrad. I tillegg er korrelasjonen med sikkerhet uklar Sikkerhetsindikatorer fra IAEA En arbeidsgruppe i IAEA har også utarbeidet et sett med indikatorer for overvåking av den operasjonelle sikkerheten ved kjernekraftverk (IAEA, 1999). Arbeidsgruppen presenterer et rammeverk for identifikasjon av prestasjonsindikatorer for forhold av sikkerhetsmessig betydning. Arbeidsgruppen har også dekket indikatorer for økonomiske forhold ettersom de mener at økonomiske forhold har stor betydning for sikkerheten.

24 24 Intensjonen er ikke at disse indikatorene skal gi et direkte mål på sikkerheten eller risikoen, men at utvikling over tid (trend) skal gi operatørene varsel om å analysere årsakene til endringene. Arbeidsgruppen framhever at det er viktig å tilpasse indikatorene til kraftverksspesifikke forhold, de foreslåtte indikatorene skal ses på som et rammeverk for dette arbeidet. Rammeverket er oppbygd hierarkisk, jfr Figur 5. Det øverste nivået er kjernekraftverkets operasjonelle sikkerhet ("NPP operational safety performance"). Nivå 2 er operasjonelle sikkerhetsattributter ("operational safety attributes") hvorfra operasjonelle sikkerhetsindikatorer ("operational safety performance indicators") kan identifiseres. NPP Safety Performance 2SHUDVMRQHOOH VL NNHUKHWV DWWULEXWWHU Plant operates smoothly Plant operates with low risk Effective plant management processes 2YHURUGQHGH LQGLNDWRUHU Planned production level State of equipment Events Challenges to safety systems Plant ability to respond to a challenge Attitude towards safety Striving for improvement 6WUDWHJLVNH LQGLNDWRUHU Forced power reductions and outages Reportable events Safety system actuations Operator preparedness Attitude towards procedures and policies Human performance Operating experience feedback Corrective work orders issued RPS actuations Safety system performance Compliance with the licensing limits and procedures Radiation protection program effectiveness Safety reviews and audits Backlog of safety related issues 6SHVLILNNH Unplanned capability loss factor (WANO) Unit capability factor (WANO) Number of forced power reductions and outages due to internal causes No. of forced power reductions and outages due to external causes Reportable events No. of demands on safety systems No. of spurious actuations of safety systems No. of hours devoted to training No. of failed licensing exams Errors due to deficiencies in procedures Errors due to deficiencies in training No. of lit control room annunciators Ratio of downtime to allowed outage time % of events that are due to human error No. of human related incidents during testing, maintenance or restoration Operator errors during accident scenarios on the simulator No. of similar or repeated deviations and failures No. of own plant events that undergo root cause analysis No. of events at other plants that undergo review/ analysis LQGLNDWRUHU No. of corrective work orders issues for safety systems No. of corrective work orders issues for BOP systems Unplanned automatic scrams per 7000 hours critical (WANO) Number of RPS/ ESFAS failures No. of hours a safety system is unavailable No. of times a safety system is unavailable Safety system performance (WANO) Percentage of failures discovered by surveillance or testing No. of violations of the licensing limits Technical specifications exemptions No. of workers receiving doses above limits Collective radiation exposure (WANO) % of controlled area that is contaminated Fuel reliability (WANO) No. of internal and external safety reviews and audits Average time to clear findings from safety reviews and audits No. of external review findings not previously identified by internal reviews No. of repeated findings in internal reviews and audits No. of safety issues in the backlog Figur 5. Foreslåtte sikkerhetsindikatorer fra IAEA (basert på IAEA, 1999).