NORSOK STANDARD Z-013N Rev. 2, September 2001 Risiko- og beredskapsanalyse This NORSOK standard is developed by NTS with broad industry participation. Please note that whilst every effort has been made to ensure the accuracy of this NORSOK standard, neither OLF nor TBL or any of their members will assume liability for any use thereof. NTS is responsible for the administration and publication of this NORSOK standard. Norwegian Technology Centre Telephone: + 47 22 59 01 00 Oscarsgt. 20, Postbox 7072 Majorstua Fax: + 47 22 59 01 29 N-0306 Oslo Email: norsok@nts.no NORWAY Website: www.nts.no/norsok Copyrights reserved
Innhold Innhold 1 Forord 3 Introduksjon 3 1 Omfang 4 2 Normative referanser 4 3 Definisjoner og forkortelser 5 3.1 Definisjoner 5 3.2 Forkortelser 8 4 Etablering og bruk av risikoakseptkriterier 9 4.1 Generelt 9 4.2 Basis for risikoakseptkriterier 10 4.3 Kvaliteter ved risikoakseptkriterier 10 4.4 Oppdatering av risikoakseptkriterier 10 4.5 Usikkerhet 10 5 Planlegging, gjennomføring og bruk av risiko- og beredskapsanalyse 11 5.1 Generelt 11 5.2 Generelle krav 11 5.3 Spesielle krav til kvalitativ risikoanalyse 13 5.4 Spesielle krav til beredskapsanalyser 14 5.5 Kontroll av ytelseskrav 17 5.6 Deltakelse fra operativt personell 18 6 Særlige krav til kvantitativ risikoanalyse (QRA) 18 6.1 Steg i en kvantitativ risikoanalyse (QRA) 18 6.2 Planlegging 19 6.3 Begrensninger 19 6.4 System definisjon 20 6.5 Identifikasjon av fare 20 6.6 Analyse av årsaker og frekvens av utløsende hendelser 20 6.7 Datagrunnlag og modeller 20 6.8 Konsekvens- og eskaleringsanalyse i TRA 21 6.9 Vesentlige sikkerhetssystemer 22 6.10 Risikoanalyse av brønn- og boreaktivitet 22 6.11 Estimere risiko for personell 23 6.12 Tap av hovedsikkerhetsfunksjon 23 6.13 Etablering av dimensjonerende ulykkeshendelser (DUHer) 23 6.14 Estimere risiko for skade på materielle verdier eller avbrudd i produksjonen 24 6.15 Sensitivitetsanalyser 24 6.16 Dokumentasjon 24 6.17 Oppdatering av analyse 25 7 Bruk av risiko- og beredskapsanalyse i ulike prosjektfaser 25 7.1 Generelt 25 7.2 Analyse gjennom konseptutvikling 25 7.3 Bruk av SBSD 27 7.4 Driftsanalyser 28 7.5 Analyse av beredskap 29 8 Koblinger 29 8.1 Generelt 29 8.2 Forhold til andre NORSOK-standarder 29 8.3 Estimere miljørisiko 30 8.4 Regularitetsanalyse 30 8.5 Pålitelighetsbasert vedlikehold (RCM) 31 8.6 Pålitelighets- og risikobasert testing 31 NORSOK standard Page 1 of 98
8.7 Risikobasert inspeksjon (RBI) 31 8.8 Kritikalitetsrangering 31 8.9 Risiko- og beredskapsanalyse for flyttbare innretninger 32 8.10 Sikkerhetsintegritetsnivå (SIL) 32 8.11 Helserisikovurderinger (HRVer) 32 Vedlegg A (informativt) Risikoakseptkriterier 33 Vedlegg B (informativt) Årsaks- og konsekvensanalyse av ulike ulykker 55 Vedlegg C (informativt) Analyser under prosjektering og drift 66 Vedlegg D (informativt) Anerkjente databaser og programvare 71 Vedlegg E (informativt) Retningslinjer for kost-nytte analyser 72 Vedlegg F (informativt) Scenariebasert systemdesign (SBSD) 84 Vedlegg G (informativt) Prosedyre for simulering av sannsynlige eksplosjoner 89 Vedlegg H (informativt) Informative referanser 98 NORSOK standard Page 2 of 98
Forord NORSOK-standarder er utviklet av norsk petroleumsindustri for å sikre tilfredsstillende sikkerhet, verdiøkning og kostnadseffektivitet for eksisterende og framtidig utviklingsprosjekter i petroleumsindustrien. NORSOK-standarder er utarbeidet for å komplettere foreliggende internasjonale standarder og å fylle det store behovet i norsk petroleumsindustri. Der det er relevant, vil NORSOK-standarder brukes for å gi norsk industri innspill til sin internasjonale standardiseringsprosess. Når det utvikles og publiseres internasjonale standarder, vil den relevante NORSOK-standarden bli trukket tilbake. NORSOK-standarder er utviklet i henhold til konsensus-prinsippet slik at de er tilpasset de fleste standarder og tilpasset etablerte prosedyrer slik de defineres i NORSOK-standard A-001, som også gjelder dette NORSOK-direktivet. Utarbeidelse og publisering av NORSOK-standarder er støttet av OLF (Oljeindustriens Landsforening) og TBL (Teknologibedriftenes Landsforening). NORSOK-standarder administreres og utgis av NTS (Norsk TeknologiSenter). Alle vedlegg er informative. Introduksjon Hensikten med denne NORSOK-standarden er å etablere krav for effektiv planlegging, gjennomføring og bruk av risiko- og beredskapsanalyse. Bruk av RAK er også behandlet slik at standarden dekker noen aspekter ved risikovurdering. De informative vedleggene gir retningslinjer. Vedleggene gis som tilleggsinformasjon og sjekklister, slik kan de brukes av personell med ansvar for vurdering og analyse av risiko og beredskap. Det er derfor lagt vekt på å gi nytting informasjon heller enn å begrense størrelsen på vedleggene. Denne NORSOK-standarden inneholder også et antall krav hvorfra det ikke skal gis noen unntak ( skal - krav). I andre tilfelle er det anbefalt en foretrukket handling ( bør -krav). Når denne NORSOK-standarden brukes slik at det må gjøres unntak fra den anbefalte framgangsmåte ( bør -krav), skal begrunnelsen for dette alltid presiseres. NORSOK standard Page 3 of 98
1 Omfang Denne NORSOK-standarden gir krav for planlegging, gjennomføring og bruk av risiko- og beredskapsanalyse med særlig vekt på å gi innsikt i prosessen og klare definisjoner. Denne NORSOK-standarden er strukturert omkring følgende hovedelementer: Etablering av akseptkriterier for risiko forut for gjennomføring av risikoanalysen. Sammenhengen mellom risiko og beredskapsanalyse, spesielt integrasjonen av de to typene analyser til en samlet analyse. Planlegging og gjennomføring av analyser. Nærmere om bruk av risiko- og beredskapsanalyser for ulike aktiviteter og prosjektfaser Etablering av krav basert på risiko- og beredskapsanalyse. Denne NORSOK-standarden dekker beredskapsanalyse, beredskapsetablering samt beredskapsorganisering, mens beredskapsvedlikehold og -utvikling ikke er dekket av standarden. Denne NORSOK-standarden dekker analyse av risiko og beredskap i forhold til leteboring, utnyttelse, produksjon og transport av petroleumsressurser samt alle installasjoner og fartøy som tar del i slik aktivitet. Denne NORSOK-standarden dekker ikke utstyr på land. Analyse av dødsrisiko fra arbeidsulykker dekkes av denne NORSOK-standarden. Den dekker ikke ansattes helserisiko, inkludert fysisk og psykologisk arbeidsmiljø, kartlegging og analyse av arbeidsmiljø og bruken av akseptkriterier for risiko. Yrkesskader er ikke del av denne NORSOK-standarden. 2 Normative referanser De følgende standarder inneholder forskrifter som, ved referanser i denne teksten, utgjør forskrifter for denne NORSOK-standarden. Siste utgave av referanser skal brukes dersom man ikke er blitt enige om noe annet. Andre anerkjente standarder kan brukes dersom det kan vises at de møter og overgår kravene i de standarder som er referert nedenfor. IEC 61508 IEC 61511 ISO 13702 Functional safety of electrical/electronic/programmable electronic safety related systems(all parts) Functional safety instrumented systems for the process industry sector (all parts) (under development) Petroleum and natural gas industries - Offshore production installations - Control and Mitigation of Fires and Explosions - Requirements and guidelines. ISO 17776 Petroleum and natural gas industries - Offshore production installations Guidelines on tools and techniques for identification and assessment of hazards. ISO 15544 Petroleum and natural gas industries - Offshore production installations Requirements and guidelines for emergency response. OLF- Veiledning for gjennomføring av miljørisikoanalyser for petroleumsaktiviteter på norsk sokkel - Metode for Miljørettet Risiko Analyse (MIRA) Rev.1 OLF, November 1999 OLF Retningslinjer for etablering av områdeberedskap, 30.6.2000 OLF Retningslinjer for gyldighet av IEC 61508 and IEC 61511 i petroleumsaktiviteter på Norsk kontinentalsokkel, 1.2.2001, OLF Retningslinjer 70, Rev 1 NORSOK-standard N-001 Structural design, Rev. 3, August 2000 NORSOK-standard S-001 NORSOK-standard S-002 Technical safety Working environment NORSOK standard Page 4 of 98
NORSOK-standard Z-008 NORSOK-standard Z-016 Criticality classification method Regularity management & reliability technology Risikoanalysen som beslutningsstøtte under design av normalt ubemannede installasjoner, Aker report 58357, 21.9.1999 OD Forskrifter om styring i petroleumsvirksomheten European Commission: Model Evaluation Group, report of the Second Open Meeting, Cadarache France, 19 May 1994, Report EUR 15990 EN, ISBN 92-826-9549-2, 1995 "Design of Offshore Facilities to Resist Gas Explosion Hazard Engineering Handbook." 3 Definisjoner og forkortelser 3.1 Definisjoner De følgende begreper og forkortelser gjøres gjeldende i denne NORSOK-standarden. 3.1.1 ulykkeshendelse hendelse eller hendelseskjede som kan forårsake tap av liv eller skade på helse, miljø eller verdier Note 1 Hendelser som overveies i en risikoanalyse er akutte, uønskede og ikke-planlagte. F.eks.; Planlagte driftsutslipp, for eksempel til ytre miljø, inkluderes vanligvis ikke i risikoanalyse. Note 2 Begrepet hendelse må defineres konkret i relasjon til den enkelte analyse, for å oppnå et konsistent grensesnitt mot tilgjengelighetsanalyse, dvs. analyse av produksjonsregularitet. 3.1.2 ALARP så lavt som praktisk mulig ALARP uttrykker at risikonivået er redusert - gjennom en dokumentert og systematisk evalueringsprosess - så langt at det ikke lenger kan identifiseres kostnadseffektive tiltak som kan redusere risikoen ytterligere Note Kravet for å etablere en kostnadseffektiv løsning innebærer at risikoreduksjon implementeres inntil kostnadene ved videre risikoreduksjon er "stort misforhold" med effekten av risikoreduksjonen. 3.1.3 kan kan indikerer en fremgangsmåte som er tillatt innenfor rammene av standarden (en tillatelse) eller et forslag som indikerer en mulighet for brukeren av standarden. 3.1.4 definerte fare- og ulykkessituasjoner (DFU) et utvalg av mulige faresituasjoner og ulykkeshendelser som brukes for dimensjonering av beredskap for den enkelte aktivitet Note 1 Utvalget vil være representativt for mulige hendelser som virksomhetens beredskap og skal inkludere dimensjonerende ulykkeshendelser, samt fare- og ulykkessituasjoner forbundet med en midlertidig økning av risiko og ulykkeshendelser av mindre omfang, som f.eks. mann overbord-situasjoner, mindre oljesøl som overskrider fastsatte utslippsgrenser, arbeidsulykker o.l. Note 2 - Situasjoner forbundet med en midlertidig økning av risiko kan for eksempel være drivende gjenstander, arbeid over åpen sjø, ustabile forhold i brønn i forbindelse med brønnintervensjon, varmt arbeid, opp- og nedjekking av oppjekkbare innretninger, spesielle driftsoperasjoner og naturforhold o.l. 3.1.5 dimensjonerende ulykkeshendelser (DUH) ulykkeshendelser som legges til grunn for utforming, dimensjonering og bruk av innretninger og gjennomføring av virksomheten for å oppfylle de definerte akseptkriterier for risiko NORSOK standard Page 5 of 98
3.1.6 dimensjonerende ulykkeslast (DUL) den last som funksjonen/systemet skal kunne motstå i en nødvendig tidsperiode, for at akseptkriteriene for risiko skal være tilfredsstilt Note - I forbindelse med enkelte typer av ulykkeshendelser kan det være vanskelig å angi hva som er tilhørende ulykkeslast, eksempelvis knyttet til fylling av oppdriftsvolumer med påfølgende ulykkeshendelser i form av kantring eller tap av oppdrift. I slike tilfeller vil grunnlaget for dimensjonering være gitt av dimensjonerende ulykkeshendelser. Ved etablering av ulykkeslaster skal også akseptabel skade eller nødvendig funksjonalitet defineres slik at dimensjoneringskriteriene er entydige. Eksempelvis kan begrepet motstå i definisjonen forklares som evnen til å fungere på ønsket vis under og etter at ulykkeslasten er påført, og kan være at: Utstyret skal være på plass, dvs. det er akseptabelt at utstyret skades og settes ut av funksjon og at f.eks. mindre rør og kabler rives av. Relevant for elektriske motorer og mekanisk utstyr. Utstyret skal være funksjonsdyktig, dvs. mindre skade kan være akseptabelt forutsatt at utstyret fungerer som planlagt. Relevant for ESD ventiler, deluge anlegg, rømningsveier, hovedbæresystem, mv. Utstyret skal være gasstett. Relevant for hydrokarbonførende utstyr. 3.1.7 effektivitetsanalyse av sikkerhets- og beredskapstiltak analyse som skal dokumentere oppfyllelse av ytelseskrav til sikkerhet og beredskap Note - Effektivitetsanalyser i relasjon til tekniske funksjonskrav gjøres for sikkerhetssystemene i forbindelse med risikoanalysene. Det er slik sett en forutsetning at kvantitative risikoanalyser som gjennomføres i forbindelse med dimensjonering, inneholder kvantitative analyser av rømning, evakuering og redning. Tilsvarende gjøres effektivitetsanalyser av beredskapstiltak i forbindelse med beredskapsanalyse. Analysen skal være sporbar, og vil normalt - men ikke nødvendigvis - være kvantitativ. 3.1.8 beredskap omfatter tekniske, operasjonelle og organisatoriske tiltak som planlegges iverksatt under ledelse av beredskapsorganisasjonen ved inntrådte fare eller ulykkessituasjoner for å beskytte mennesker, miljø og økonomiske verdier Note - Definisjonen fokuserer på å skille dimensjonering av beredskap fra dimensjonering av tekniske sikkerhetssystemer (se også definisjon av beredskapsanalyse og beredskapsetablering). Dimensjonering av tekniske sikkerhetssystemer skjer i tilknytning til bruk av risikoanalyser, i tillegg til myndighetenes minimumskrav, etablert praksis, anerkjente normer osv. 3.1.9 beredskapsanalyse analyse som omfatter etablering av definerte fare- og ulykkessituasjoner herunder dimensjonerende ulykkessituasjoner, etablering av funksjonskrav til beredskap, og identifikasjon av tiltak for å dimensjonere beredskapen 3.1.10 beredskapsetablering systematisk prosess som går ut på å planlegge og implementere egnede beredskapstiltak for den aktuelle virksomheten, på basis av gjennomført risiko- og beredskapsanalyse 3.1.11 beredskapsorganisasjon den organisasjon som planlegges, etableres, trenes og øves for å håndtere inntrådte fare- og ulykkessituasjoner Note - Beredskapsorganisasjonen omfatter både personell på innretningen og på land, og inkluderer alle personellressurser som benyttes ved enhver inntrådte fare- og ulykkessituasjon. 3.1.12 vesentlig sikkerhetssystem system som har som hovedoppgave i kontroll og lindring av ulykker innenfor hvilken som helst følgende rømning, evakuering og redning 3.1.13 informativ referanse referanse brukt informativt for iverksettelse av NORSOK-standarder NORSOK standard Page 6 of 98
3.1.14 hovedsikkerhetsfunksjon sikkerhetsfunksjoner som må være intakte for å sikre at forurensningen kontrolleres og at personell som ikke direkte eksponeres umiddelbart, kan komme i sikkerhet på organisert vis, enten ombord på innretningen eller ved kontrollert evakuering Note - Hovedsikkerhetsfunksjonene inklusiv den funksjonalitet de skal ha, skal defineres for hver enkelt innretning på en entydig måte. EKSEMPLER - Hovedbæresystemer, rømningsveier, kontrollrom, tilfluktsområde (sikkert område) og evakueringsmidler. 3.1.15 kunne verbal form som brukes for å indikere et tillatt handlingsforløp innenfor standardens grenser 3.1.16 ytelseskrav til sikkerhet og beredskap etterprøvbare krav til effektivitet av sikkerhets- og beredskapstiltak som skal sikre at sikkerhetsmålsettinger, risikoakseptkriterier, myndighetenes minimumskrav og etablerte normer tilfredsstilles under prosjektering og drift Note - I relasjon til funksjonskravene skal begrepet "effektivitet" tolkes i vid forstand, inklusiv tilgjengelighet, pålitelighet, kapasitet, mobiliseringstid, responstid, funksjonalitet, sårbarhet, personellkompetanse. 3.1.17 risiko kombinasjon der sannsynlighet for og skade og alvorlighet av skaden Note - Risiko kan uttrykkes både kvantitativt og kvalitativt. Sannsynlighet kan uttrykkes med en sannsynlighetsverdi (0-1, dimensjonsløs) eller som en frekvens, med det inverse av tid som dimensjon. Det ligger implisitt i definisjonen at risikoaversjon (mao. en slik vurdering av risiko som tilsier at visse ulykkeskonsekvenser tillegges større vekt enn andre i bedømmelsen av aksepterbarhet) ikke skal inkluderes i uttrykk for risiko. Det kan være aktuelt å vurdere på kvalitativ basis, aspekter knyttet til aversjon i forbindelse med vurdering av risikonivået for å bestemme graden av eller forutsetninger for aksepterbarhet. 3.1.18 akseptkriterier for risiko Kriterier som benyttes for å uttrykke et akseptabelt risikonivå i virksomheten Note - Akseptkriterier for risiko brukes i analysesammenheng og uttrykker den risiko som aksepteres, og er utgangspunktet for videre risikoreduksjon jamført ALARP-prinsippet, se også 3.1.2. Akseptkriterier for risiko kan være både kvalitative og kvantitative. 3.1.19 risikoanalyse bruk av tilgjengelig informasjon for å identifisere ulykkeshendelser og estimere risiko Note 1 - Risikoanalyse-begrepet dekker flere typer analyser som betrakter både årsak/sannsynlighet til og konsekvens av en ulykkeshendelse i forhold til risiko for personell, miljø og verdier. Eksempler på enklere analyser er; sikker jobb analyse, FMEA, grovanalyse, HAZOP, etc. Note 2 - I en del tilfeller er det mest aktuelt å utføre kvantitative risikoanalyse, som innebærer en tallfesting av sannsynlighet for og konsekvens av ulykkeshendelser, på en slik måte at det tilrettelegges for sammenlikning med kvantitative akseptkriterier for risiko. 3.1.20 risikovurdering den totale prosess for risikoanalyse og risikoevaluering Note Se figur 2. 3.1.21 sikkerhetsmål mål for sikkerhet for mennesker, miljø og økonomiske verdier som virksomheten skal styres mot Note - Sikkerhetsmål vil uttrykke kort- eller langsiktige målsettinger som er etablert for virksomheten, mens risikoakseptkriterier uttrykker det risikonivå (sett i forhold til risikoanalysen) som aksepteres i dag. NORSOK standard Page 7 of 98
3.1.22 skal skal er et absolutt krav som må følges strengt for å sikre overensstemmelse med standarden. 3.1.23 bør bør er en anbefaling. Alternative løsninger med samme funksjonalitet og kvalitet kan aksepteres. 3.2 Forkortelser AFFF AIR ALARP B&G BDV BK BOP CBA CFD CRA DFU DNV DP DUH DUL EER EPA ERA ESD ESDV FAR FMEA GBS HAZID HAZOP HC HCLIP HIPPS HMS HMSO HRV HSE IR IRPA Skummiddel (Aqueous film forming foam) Gjennomsnittlig individrisiko Så lavt som praktisk mulig Brann og gass (deteksjon) Nedblåsningsventil Boligkvarter Utblåsningsventil Kost nytte analyse Strømningsdynamisk beregningskode Konseptrisikoanalyse Definerte fare- og ulykkessituasjoner Det Norske Veritas Dynamisk posisjonering Dimensjonerende ulykkeshendelser Dimensjonerende ulykkeslast Rømning, evakuering og redning Beredskapsanalyse Tidlig risikoanalyse Nødavstengning Nødavstengningsventil Dødsfrekvens (antall omkomne per 100 mill eksponerte timer) Feilmodi og feileffektanalyse Plattformunderstell basert på gravitet Fareidentifikasjon Hazard and operability study Hydrokarboner Hydrocarbon leak and ignition project High integrity pressure protection system Helse, miljø og sikkerhet Her Majesty s Stationary Office Helserisikovurdering Health and safety executive Individrisiko Individuell risiko per år NORSOK standard Page 8 of 98
JIP LCC LEL MODU NLFEM NTS NV OD OLF PFD PFEER PLL PUD QRA RAK RBI RCM RRM RV SAR SBSD SD SDOF SIL SINTEF SJA TBL TRA TREPA U&P UEL UH ULS Joint Industry Project Livssykluskostnad Nedre eksplosjonsgrense Mobile offshore drilling unit Ikke-lineær elementmetode Norsk Teknologistandardisering Nåverdi Oljedirektoratet Oljearbeidernes Landsforening Prosessflytdiagram Prevention of fire and explosion and emergency response Potensielt tap av liv Plan for bygging og drift Kvantitativ risikoanalyse Risikoakseptkriterier Risikobasert inspeksjon Pålitelighetsbasert vedlikehold Risikoreduserende tiltak Trykkavlastningsventil Search and rescue Scenariebasert systemdesign Sjøfartsdirektoratet En frihetsgrad Sikkerhetsintegritetsnivå Stiftelsen for industriell og teknisk forskning ved NTH Sikker jobbanalyse Teknologibedriftenes Landsforbund Totalriskikoanalyse Total risiko- og beredskapsanalyse Undersøkelse og produksjon Øvre eksplosjonsgrense Ulykkeshendelse Ulykkesgrensetilstand 4 Etablering og bruk av risikoakseptkriterier 4.1 Generelt Etablering og bruk av risikoakseptkriterier er elementer i HMS-styring, som ikke til fulle dekkes av denne NORSOK-standarden. Dokumentet Guidelines for Development and Application of Health, Safety and Environmental Management Systems fra E&P Forum gir veiledning for HMS-styring. NORSOK standard Page 9 of 98
4.2 Basis for risikoakseptkriterier Risikoakseptkriterier uttrykker det overordnede risikonivået som fastsettes som tolererbart med hensyn til en definert tidsperiode eller en fase av aktiviteten. Vedlegg A presenterer en omfattende diskusjon av aspekter relatert til definering og bruk av risikoakseptkriterier. Risikoakseptkriterier utgjør en referanse ved vurdering av behovet for risikoreduserende tiltak og skal derfor foreligge før man gjennomfører risikoanalysen. Akseptkriteriene skal så langt som mulig reflektere virksomhetens sikkerhetsmål og særegenhet. De vurderingene som danner basis for utformingen av risikoakseptkriteriene skal dokumenteres. Det skal fastsettes klare rammer for bruk av risikoakseptkriteriene. Data som legges til grunn for utarbeidelse av kvantitative risikoakseptkriterier skal dokumenteres. Måten disse akseptkriteriene skal brukes på skal også spesifiseres, særlig med hensyn til usikkerheten som ligger i kvantitativt uttrykt risiko. 4.3 Kvaliteter ved risikoakseptkriterier For at akseptkriteriene for risiko skal gi en god støtte for HMS-styring og beslutninger, skulle de representere et kompromiss der følgende kvaliteter tilfredsstilles så langt som mulig: Egnethet for beslutning om risikoreduserende tiltak. Være kommuniserbare. Være entydig formulert (slik at de ikke krever omfattende tolkning eller tilpasning for en spesiell bruk) Ikke favorisere noe spesielt løsningskonsept, ei heller implisitt gjennom måten risikoen beskrives. (Men bruken av risikoakseptkriterier i risikovurdering vil vanligvis bety at en konsept (eller flere konsepter) er foretrukket framfor andre, fordi det (de) gir lavest risiko. Dybdediskusjoner over disse aspektene presenteres i Vedlegg A. Risikoakseptkriterier skal være i samsvar med risikoelementene slik det beskrives i 5.2.5. Hvis gjennomsnittlig ulykkesrisiko eller AIR brukes for å bestemme risikoakseptkriterier, skal også kriterier for områder eller grupper innenfor en plattforms personell formuleres. Det er ikke nok bare å ha en verdi for gjennomsnittet på plattformen som kriterium. Se også 6 (Akseptkriterier for storulykkerisiko og miljørisiko) i OLFs Forskrift om styring i petroleumsvirksomheten. Risikovurderingen skal vurderes som ODs forskrifter om beste estimater når en vurderer det i forhold til risikoakseptkriterier, enn på en optimistisk eller pessimistisk ( verst tenkelige tilfelle ) måte. Tilnærmingen mot den beste overslaget skal derimot være fra den konservative siden, særlig når datagrunnlaget er begrenset. 4.4 Oppdatering av risikoakseptkriterier Behovet for å oppdatere risikoakseptkriteriene skal evalueres regelmessig som et element i den videre utvikling og kontinuerlige forbedring av sikkerheten. 4.5 Usikkerhet Resultatene av risikovurdering vil alltid bli assosiert med noe usikkerhet, som kan kobles til relevansen av datagrunnlaget, modellene som brukes i vurdering, antakelsene, forenklingene eller ekspertvurderingene som er gjort. Denne usikkerheten vil reduseres ettersom prosjekteringsarbeidet utvikler seg. Usikkerheten er vanligvis svært omfattende i tidlige konseptstudiefaser. Dette skal reflekteres i disse fasene når risikoakseptkriteriene brukes for å bedømme resultatene av QRA. Kravene kan tilfredsstilles på en av to mulige måter: Bruke mer konservatisme i risikoanalysen Forsikre at risikoakseptkriteriene gir en tilfredsstillende margin. NORSOK standard Page 10 of 98
5 Planlegging, gjennomføring og bruk av risiko- og beredskapsanalyse 5.1 Generelt Kravene i dette avsnittet er generelle uten tilknytning til noen livsløpsfase. De fasespesifikke krav er gitt i kapittel 7. Beskrivelsen i kapittel 5 behandler hovedsakelig integrert risiko og risiko- og beredskapsanalyse. Spesielle krav til QRA presenteres i kapittel 6. 5.2 Generelle krav 5.2.1 Formål og ansvar Hovedmålet med bruk av risiko- og beredskapsanalyser er å skape et beslutningsgrunnlag som kan bidra til å velge de sikkerhetsmessig optimale løsninger samt de risikoreduserende tiltakene som skal iverksettes, på et riktig faglig og organisatorisk underlag. Hovedresultatene av hvilken som helst risikoanalyse skal være: Input til risikostyring. Presentasjon av risiko for den aktuelle virksomhet i forhold til strukturen av risikoakseptkriterier og de relevante risikoelementene, se 5.2.5 Innspill til utvelgelse av prosjekteringskonsepter, prosjekter, konstruksjon og bruk av utstyr og installasjoner for å minimere risiki i forhold til hva som er aktuelt for den beslutning som må fattes. Rangering av bidrag fra ulike risiki som basis for HMS-styring. Identifikasjon av mulige tiltak for å redusere risiko i forhold til hva som er aktuelt for den beslutning som fattes. Viktige operasjonelle antakelser/tiltak for å møte risikoakseptkriteriene. Det er påkrevd å følge opp resultater, anbefalinger og antakelser fra analysene. Dokumentasjonen av disse skal tilrettelegge for slik oppfølging. Hovedresultatene av TRA (eller andre detaljerte risikoanalyser av lignende slag) bør i tillegg gi mulighet for: Basis for etablering av ytelseskrav. Etablering av krav for beredskap. Innspill til utvalg av prosjekteringskonsepter, prosjekter, konstruksjon og bruk av utstyr og installasjoner for å minimalisere risiko. Identifikasjon av dimensjonerende ulykkeshendelser. TRA vil også bli brukt for å etablere ytelseskrav for vesentlige sikkerhetssystemer. Hovedresultatene fra en beredskapsanalyse skal være: Basis for etablering av beredskap, inklusive planer for beredskap og trening og øvelsesplaner. Utvalg av optimale løsninger mellom tilgjengelige alternativer. En lang rekke aspekter skal avklares før en risikoanalyse gjennomføres: a) Formålet med risikoanalysen defineres klart og samsvarer med virksomhetens identifiserte behov. Målgruppene for analysens resultater avklares. b) Akseptkriteriene for risiko i virksomheten defineres, se kapittel 4. c) Beslutningskriterier for analyser av begrenset omfang defineres. d) Omfanget av analysen og avgrensningen av det som ønskes analysert skal defineres klart. En passende metode velges delvis på denne bakgrunnen. e) En foreløpig angivelse av de typer analyser og anvendelser av resultater som planlegges gjennomført. f) Driftspersonell, inklusive arbeidstakernes representanter onshore og offshore skal være involvert i arbeidet så langt det er nødvendig. g) Relevante forskrifter, mulige klasseselskapers regler og passende standarder og spesifikasjoner som skal danne basis for konstruksjon og gjennomføring. Dette gjelder særlig for bygging av nye mobile enheter og flytende produksjonsinstallasjoner. NORSOK standard Page 11 of 98
Krav f) og g) kan ikke fullstendig nås når en flytende enhet er bygget på antakelser, uten at en spesiell operasjon eller kontinentalsokkel er bestemt. 5.2.2 Planlegging av beredskapsanalyser Risikoanalyser skal planlegges i samsvar med utvikling og drift av virksomheten, slik at en sikrer seg at risikoanalysene brukes aktivt i konstruksjon og gjennomføring av virksomheten: Risikoanalyser skal utføres som en integrert del av utviklingen av utviklingsarbeidet slik at disse analysene gir deler av grunnlaget for beslutningstaking for bl.a. konstruksjon av sikker tekniske, driftsmessige og organisasjonsmessige løsninger for den aktuelle virksomhet. Risikoanalyser skal utføres i sammenheng med store endringer, endring av område for bruk, at en installasjon tas ut av bruk eller fjernes eller i sammenheng med store endringer i organisasjonen og bemanningsnivået. Se avsnitt 7.4 og vedlegg C.6. For å oppnå de overordnede målene, skal de følgende kravene til risikoanalyse gjelde: Planlegging av risikoanalyse: Analysen skal målrettes og utføres på en systematisk måte som en integrert del av HMS-styringen. Analysen skal fokusere på identifikasjon av og innsikt i aspektene og mekanismene som kan forårsake risiko. Analysene må utføres på en passende tid slik at resultatene av analysen til rett tid kan benyttes i den aktuelle beslutningsprosessen. Resultatene fra analysen skal ikke brukes i beslutningstaking i sammenhenger som går utover de begrensningene som gjelder QRA i særdeleshet (se 6.3). Gjennomføring av risikoanalyser: Operatørens, eierens, kontraktørens/underleverandørens ansvar skal defineres klart (dette er f.eks. viktig når en operatør ikke er involvert i konseptdefinisjonsfasen) med tanke på gjennomføringen av analysen og implementering av resultatene. Antakelser skal identifiseres, gjøres tydelige og kommuniseres til brukerne av analyseresultatene. Erfaring har vist at brukerne av analyseresultatene trenger å bli aktivt involvert i risikovurderingen slik at denne kan bli effektiv. Se også kravene for risikoanalyse som basis for beredskapsanalyse i 5.2.3. 5.2.3 Planlegging og gjennomføring av beredskapsanalyser For å unngå større og kostbare endringer på et sent tidspunkt i et utbyggingsprosjekt er det viktig å fokusere på beredskap som en integrert del av virksomheten tidlig i utbyggingsprosjekter (Se også vedlegg C.2). Ved gjennomføring av risikoanalyse som underlag for beredskapsanalyse skal det derfor legges vekt på at: a) DUH (som del av DFUer) skal identifiseres og beskrives utførlig. b) Forutsetninger, premisser og antakelser skal identifiseres og dokumenteres som underlag for å etablere ytelseskrav for beredskap. Følgende forhold skal være avklart før beredskapsanalyse gjennomføres, i tillegg til de generelle kravene i 5.2.1: Når det benyttes kvantitative analyser må datagrunnlaget i planleggingsfasen tilpasses analysens formål best mulig. 5.2.4 Kompetansen hos analysepersonellet Krav til kompetanse hos personellet som utfører og vurderer risiko og beredskapsanalysen skal defineres. Analyseteamet for kvantitative (eller en ekstensiv kvalitativ) risikoanalyse skal ha spesialkompetanse i risikoanalysemetoder og relevante konsekvensmodeller i tillegg til relevant prosjekterings- og driftskompetanse. Den siste kan, når slike aktiviteter analyseres, inkludere kompetanse innen fabrikasjon og installasjonsaktiviteter, relevante marine og bemannede undervannsoperasjoner. NORSOK standard Page 12 of 98
For beredskapsanalyse skal personellet ha kompetanse på beredskapsanalyse samt innenfor prosjektering og driftsarbeid og driftsberedskap skal inkluderes i analyseteamet. Risikoanalytikere bør også delta slik at integreringen av risiko og beredskapsanalysen veiledes. 5.2.5 Risikoelementer Som et minimum skal følgende risikoelementer betraktes i en TRA, i den grad de er relevante: Utblåsninger, inklusive grunn gass og reservoarsoner, ikke-antent eller antent. Prosesslekkasjer, ikke-antent eller antent. Brann/eksplosjon i hjelpeutstyr og -områder. Brann i boligkvarter. Fallende eller svingene objekter Transportulykker: Transport av personell mellom installasjoner skal inkluderes i risikonivået når denne er en integrert del av driften på installasjonene. Transport av personell fra land til installasjonen skal inkluderes hvis det kreves av risikoakseptkriteriene. Helikopterhavari på installasjonen. Kollisjon, inklusive felt-relatert trafikk og annen trafikk, med drivende fartøy eller passerende skip. Stigerør- og rørledningsulykker. Ulykker fra undervannsproduksjonssystemer. Yrkesulykker. Rømnings-, evakuerings- og redningsulykker f.eks. fram til et såkalt tilfluktsområde er nådd. Konstruksjonssvikt inklusive svikt av broer mellom faste og/eller flytende installasjoner. Fundamenteringssvikt. Tap av stabilitet/posisjon. Listen overfor skal gjelde eksplisitt for en detaljert risikoanalyse så langt det er gjennomførbart. For en mindre detaljert analyse kan det hende at ikke hele listen er gjennomførbar i detalj, men det bør vurderes som en veiledning for hvilke risikoelementer som behandles. En eksplisitt liste over relevante risikoelementer skal forberedes som del av definisjonen av arbeidsomfang. Listen kan trenge oppdatering gjennom fareidentifikasjon (HAZID). 5.2.6 Risikoreduserende tiltak Risikoreduserende tiltak skal identifiseres som en del av enhver risiko- eller beredskapsanalyse. Risikoreduserende tiltak består både av sannsynlighetsreduserende tiltak, inklusive iboende sikre løsninger og konsekvensreduserende tiltak, herunder beredskapstiltak. Flere detaljerte krav gis i ODs Forskrift om styring i petroleumsvirksomheten 1 (Risikoreduksjon) og 2 (Barrierer). Se også vedlegg A.3.5. Hvis alternative tiltak foreslås, bør avhengigheten mellom risikoreduserende tiltak dokumenteres eksplisitt. Valget av risikoreduserende tiltak bør videre ta hensyn til pålitelighet og sårbarhet av risikoreduserende tiltak og mulighetene for å kunne dokumentere og verifisere den angitte grad av risikoreduksjon. Muligheten for å ta i bruk bestemte risikoreduserende tiltak er avhengig av blant annet tilgjengelig teknologi, den pågående fasen av aktiviteten og resultatene av kost-nytte analysene (se også vedlegg E). Valget av risikoreduserende tiltak skal dokumenteres i forhold til alle relevante forhold. 5.3 Spesielle krav til kvalitativ risikoanalyse Eksempler på kvalitative risikoanalyser er sikker jobbanalyse, grovanalyse av risiko med risikomatrisepresentasjon, Driller s HAZOP og enkle sammenlikningsanalyser. Generelle krav til planlegging av risikoanalyse presenteres i 5.2.1 og 5.2.2. Kvalitative analyser utføres vanligvis av en stor gruppe personer for slik å reflektere relevant kompetanse, se 5.2. Avhengig av detaljnivået er stegene i en kvalitativ risikoanalyse: a) Planlegging av analysen. b) System/arbeidsbeskrivelse med begrensinger. c) Fareidentifikasjon. NORSOK standard Page 13 of 98
d) Analyse av årsaker og mulige konsekvenser. e) Risikovurdering. f) Identifikasjon av mulige risikoreduserende tiltak. Se vedlegg A for en diskusjon av kvalitative risikoakseptkriterier. Erfaring fra ulykker og hendelser fra selskapenes egne arkiver og databaser og fra offisielle databaser skal være tilgjengelig for analyseteamet. Denne revisjonen av NORSOK-standarden har lagt hovedvekt på kvantitative risikoanalyser. Derfor er det ikke formulert noen spesifikke krav for kvalitative risikoanalyser. De generelle kravene fra 5.2 er likevel gjeldende. 5.4 Spesielle krav til beredskapsanalyser 5.4.1 Omfang av analysene En beredskapsanalyse skal definere grunnlaget for DFUer og dokumentere valget av DFUer. En systematisk gjennomgang av mulige utviklinger av DFU skal definere og dimensjonere de påkrevde beredskapstiltak som oppfyller de etablerte ytelseskrav til sikkerhet og beredskap. Virkningen av beredskapstiltak skal vurderes. Beredskapsanalyse bør være en integrert del av utviklingen og midifikasjonsprosjekter. Beredskapstiltak inkluderer tiltak rettet mot oljesøl og annen forurensning fra mindre eller større utslipp. Dimensjonering av medisinsk beredskap er også en del av beredskapsanalysen. Driftsbegrensninger må vurderes når driftsmessige og miljømessige forhold defineres. Hvis analysen utføres før formulering av slike prosedyrer, kan antakelser måtte etableres. Alle antakelser gjort på et slikt grunnlag skal verifiseres ved føreste mulige anledning. 5.4.2 Elementer i beredskapsanalysen Figur 1 presenterer elementene i beredskapsanalysen og beredskapsetablering i sammenheng med innspill fra QRA. Utgangspunktet for presentasjonen er en integrert risiko- og beredskapsanalyse og den viser arbeidet som kan utføres steg for steg i et feltutviklingsprosjekt. Forbindelsen er begrenset til DUFer. Elementene i beredskapsanalysen beskrives summarisk i punkt 5.4.3 til 5.4.7. NORSOK standard Page 14 of 98
Risikoanalyseprosessen Ulykkestyper Mindre ulykker Beredskapsanalyseprosessen Storulykker Risikoakseptkriterier Risikoanalyse Valg av løsning Etablering av DUH Forutsetninger som grunnlag for funksjonskrav Forslag til tiltak/ løsning/arrangement/utforming/ Iterering Beredskapsanalyse DUH DFU Mindre UH Funksjonskrav Identifisere tiltak Midlertidig økning Iterering Effektivitetsanalyse av tiltak Implementering av løsning Etablering av beredskap Valg av løsning Beredskapsplan Figur 1 Risiko og beredskapsanalyse Veiledning til å etablere beredskapsplaner finnes i ISO 15544. 5.4.3 Etablere DFU DFU skal inkludere de følgende hendelseskategorier: DUHer, vanligvis definert på bakgrunn av DULer gjennom QRA. Situasjoner forbundet med midlertidig øket risiko. Mindre omfattende UHer, inkludert akutte sykdomstilfeller. DFUer skal i tillegg etableres på basis av: Erfarte hendelser fra sammenlignbare aktiviteter. Ulykkeshendelser som vises i QRA uten å være identifisert som DUHer så lenge de representerer utfordringer til beredskapen. DUFer i følge OLFs Etablering av områdeberedskap (30.6.2000). Hendelser som inngår i beredskap i overensstemmelse mednormal praksis. Valg av DFUer skal dokumenteres, særlig i forhold til hvorfor de vurderes å være et representativt utvalg også slike hendelser som har vært utelatt. Når DFUer er etablert er det viktig å inkludere hendelser som hovedsakelig kan forårsake skade på materielle verdier uten at det medfører risiko for personell, slik som skade på rør og undervannsproduksjonssystemer. Behovet for beskrivelse av DUHer (blant DFUer) er beskrevet i 5.2.3. I situasjonsbeskrivelsene som forholder seg til midlertidig økt risiko eller mindre omfattende ulykkeshendelser, skal følgende inkluderes: NORSOK standard Page 15 of 98
En generell beskrivelse av situasjonen ut fra tid og utstrekning. Antall personer som kan bli truet eller skadet, likeledes miljøressurser og materielle verdier som kan bli truet eller skadet. Drifts- og miljømessige forhold som kan opptre når disse ulykkeshendelsene oppstår. Når en forholder seg til normalt ubemannede installasjoner, skal det skilles mellom de DFUer som relateres seg til personell som er til stede og de som relateres til at installasjonen er ubemannet. For normalt ubemannede installasjoner vil noen DFUer som vanligvis er basert på DUHer defineres som DFUer for bemannede installasjoner, kan ignoreres som DFUer, hvis en lav eksponering (aktivitetsnivå) betyr at sannsynligheten for hendelsen er liten. Dette vurderes fra sak til sak. 5.4.4 Informasjon fra QRA All relevant informasjon og alle relevante resultater fra QRA skal danne grunnlag for beredskapsanalysen. Slik informasjon skal inneholde: Beskrivelse av de DUHer som det skal etablere organisasjons- og driftsmessige tiltak for. Tidskrav som må oppfylles. Krav til systemytelse som danner grunnlag for beredskapen. Forutsetninger om suksess eller egnethet av beredskapstiltakene (f.eks. forutsetninger om muligheten for å redde skadet personell på innretningen eller etter fullført rømning fra ulykkesstedet). 5.4.5 Etablere ytelseskrav Ytelseskrav for beredskapstiltak bør: Uttrykke funksjonalitet, ikke løsning. Være enkle å forstå. Være konkrete og målbare. Være realistiske. Grunnlaget for etablering av ytelsesstandard indikeres i figur 1 og inneholder resultater og premisser fra risikoanalyser, DUHer og laster. Ytelseskrav skal etableres i forhold til kompetanse hos personellet og de følgende beredskapsfaser: Alarm Farebegrensning Redning Evakuering Normalisering Ytelseskrav skal være spesifisert slik at de tillater relevante risikoindikatorer å bli vurdert og brukt under driftsfasen, ref. 5.5. 5.4.6 Identifikasjon av tiltak og løsninger Tiltak og løsninger som skal overveies i en beredskapsanalyse er: Organisasjons- og driftsmessige tiltak relatert til DUHer og tekniske tiltak som ikke inngår i en risikoanalyse. Tekniske, organisasjonsmessige og driftsmessige tiltak relatert både til mindre omfattende ulykkeshendelser og midlertidig økning av risiko. Prinsippene i 5.2.4 skal brukes ved prioritering av risikoreduserende tiltak. Basis for identifikasjon av mulige tiltak og løsninger er bl.a. kunnskap om interne og eksterne beredskapsressurser. Disse skal beskrives eller refereres til. Alle relevante resurser innenfor følgende kategorier skal vurderes: NORSOK standard Page 16 of 98
Installasjonens egne ressurser Områderesurser Eksterne ressurser 5.4.7 Effektivitetsanalyse Ytelse av tekniske beredskapstiltak kan vanligvis dokumenteres gjennom pålitelighets- eller sårbarhetsanalyser. For organisatoriske eller operasjonelle tiltak kan følgende metoder anvendes: Treningsresultater Erfaringer fra øvelser Beregninger av kapasitet, responstid osv. Det kan være aktuelt å optimalisere ytelsen på bakgrunn av dokumenterte resultater. Dette diskuteres i vedlegg E. 5.4.8 Dokumentasjon av beredskapsanalyse Passende informasjon skal være tilgjengelig på en forståelig måte for alt relevant personell, både beslutningstakere og driftspersonell. Dokumentasjon og resultater av beredskapsanalysen skal brukes for: Fastsette målsetning, omfang og begrensninger. Beskrive angjeldende installasjon, gjennom alle faser. Identifisere forutsetninger og premisser, særlig de som er utledet fra kvantitative risikoanalyser. Gi en detaljert beskrivelse av alle relevante definerte fare- og ulykkeshendelser. Presentasjon av resultatene av en beredskapsanalyse skal være tilstrekkelig omfattende for å gi god innsikt i grunnlaget for analysen. I tillegg til en oppdatert utgave av analysen skal følgende dokumentasjon være tilgjengelig og kjent for driftspersonellet før oppstart eller drift på installasjonen/av operasjonen: Dokumentasjon av tiltakene som er eller vil bli gjennomført som en følge av analysen. Beskrivelse av beredskapsanalysen som planlegges utført eller oppdatert i den kommende livsløpsfasen for virksomheten som del av den overordnede styrende dokumentasjonen av HMS-styring i fasen. 5.5 Kontroll av ytelseskrav En kontroll av at ytelsesstandarden for sikkerhets- og beredskapssystemer møtes i driftsfasen kan oppnås gjennom å overvåke trendene for risikoindikatorer slik det forklares i vedlegg A. En slik overvåkning bør gjøres minst en gang per år. Derfor bør risikoanalysen være i stand til å identifisere parametrene eller indikatorene som har sterk innflytelse på risikonivå og også den virkning endringer vil ha på risikonivået. Dette vil gjøre en i stand til å overvåke risikonivået effektivt i forhold til risikoakseptkriteriene. Eksempler på slike indikatorer kan være: Hydrokarbonlekkasjefrekvens Omfang av varmt arbeid Tilgjengelighet av vesentlige sikkerhetssystemer (se figur 3) Mobiliseringstid for redningspersonell/-team Forhold knyttet til sikkerhetskultur Basert på disse generelle anbefalinger bør det defineres spesielle risikoindikatorer knyttet til hver installasjon eller hvert felt. Hensikten er å få et tidlig varsel om enhver tendens som kan gjøre det umulig å nå risikoakseptkriteriene. Risikoindikatorene skal overvåkes regelmessig for å kunne identifisere uønsket utvikling på et tidlig tidspunkt. NORSOK standard Page 17 of 98
Mulig avvik mellom registrerte parameterverdier og ytelseskrav skal behandles i samsvar med virksomhetens prosedyrer for avvik. En mulighet er å oppdatere forutsetningene i de kvantitative risikoanalysene for å identifisere omfanget av innflytelsen av totalrisikoen. 5.6 Deltakelse fra operativt personell Personellet som deltar i arbeidet bør involveres i kvantitativ risikovurdering på følgende måte: Under fareidentifikasjon Ved revidering av systembeskrivelser, forutsetninger og premisser Ved revidering av dokumentasjon fra analyser, inklusive resultater og evaluering av risikoreduserende tiltak Se også 5.2.1 og 6.16. Det kan kreves at det forberedes separate presentasjoner av resultater og konklusjoner fra totalrisikoanalyser for å presentere disse for hele arbeidsstokken på en instruktiv og nyttig måte. Operativt personell bør involveres i utøvelsen av beredskapsanalysen offshore på følgende måte: Under fareidentifikasjon Under vurdering av fare Ved revidering av risikoreduserende tiltak 6 Særlige krav til kvantitativ risikoanalyse (QRA) 6.1 Steg i en kvantitativ risikoanalyse (QRA) De enkelte elementene i en QRA fremgår i figur 2 og viser fire nivåer: Innerste nivå: Risikoberegning Andre nivå: Risikoanalyse Tredje nivå: Risikovurdering Ytre nivå: HMS-styring NB: Disse fire nivåene reflekterer ikke rekkefølgen oppgavene skal utføres i. Rekkefølgen starter på toppen i figur 2 og fortsetter nedover. Krav til risikoanalysen og risikoberegning presenteres videre i teksten, avsnitt 6.2-6.17. Utformingen av risikoakseptkriteriene vil bestemme hvilke av kravene i 6.11-6.14 som gjelder. Denne NORSOK-standarden dekker risikoberegning, risikoanalyse og risikovurdering. HMS-styring dekkes ikke. NORSOK standard Page 18 of 98