i
ii
Forord Dette er min avhandling som en del av mastergradstudiet industriell økonomi og teknologiledelse med studieretning helse, miljø og sikkerhet ved NTNU. Jeg vil rette en stor takk til Camilla Knudsen Tveiten for meget god veiledning med grundige forklaringer og gode tips gjennom hele oppgaven, Eirik Albrechtsen for gode innspill, og Rigmor Schawland for god hjelp med det formelle rundt oppgaven. Trondheim, 30.august 2010 Viet Quoc Phung iii
Sammendrag Tradisjonelle risikoanalysemetoder har i lang tid blitt brukt for å avdekke mulige uønskede hendelser, årsaker og konsekvenser. Det vi ser er at selv om analysene og vurderingene blir utført oppstår det fortsatt ukontrollerte hendelser med uønsket utfall. Virkeligheten viser seg å være forskjellig fra det bildet som har dannet grunnlaget i analysemetodene som har blitt brukt. FRAM representerer en annen måte å se på risiko og vurdere hvordan uønskede hendelser kan oppstå. Denne oppgaven bruker denne metoden for å demonstrere prinsippene som ligger bak samtidig som metoden blir vurdert og sammenlignet med tradisjonelle risikoanalyser for å avdekke mulig bidrag i arbeidet med å forutse uønskede hendelser. Gassutblåsningen på Snorre A blir brukt som en basis for å gjøre en analyse og dermed danne et grunnlag for å vurdere. Målet er å kunne vurdere om metoden kan ha noe bidrag, men også hvordan metoden er å bruke i praksis. FRAM bygger på mange av de samme prinsippene som Resilience Engineering og ser på systemet som en helhet. Svikt i systemet skyldes ikke sekvensielle årsaker med svikt i enkeltkomponenter, men sees på som et emergent fenomen der variabilitet i ulike funksjoner i systemet gjør at funksjonene kan påvirke hverandre og tilslutt føre til at systemet svikter. Variabiliteten i en funksjon kan bli forsterket av andre funksjoner i systemet og kan sammenlignes med en resonanseffekt der et signal blir forsterket som følge av bakgrunnsstøy. Ved bruk på hendelsen på Snorre A kan vi se at sammenlignet med et normaltilfelle er det et større potensiale for variabilitet og dermed også større potensiale for en resonanseffekt som til slutt kan føre til svikt i systemet. Om analysen kunne blitt gjennomført uten tilgang på materialet som ligger som grunnlag i dette tilfellet er usikkert, og dette gjør også at det ligger en usikkerhet med tanke på om hendelsen kunne vært forutsett hvis metoden hadde blitt brukt før hendelsen. FRAM som metode fremstår med et godt teoretisk grunnlag som virker veldig logisk, men er vanskelig å bruke i praksis. Det er nødvendig med god forbedelse og erfaring for å kunne fullføre en grundig analyse med metoden, og man får et inntrykk av at metoden er god i teorien, men ikke fullstendig enkel i praksis. I forhold til de tradisjonelle metodene vil FRAM kunne være et supplement i arbeidet med å forutse uønskede hendelser og som et verktøy innen risikostyring, men fordi metoden er såpass vanskelig å bruke samtidig som resultatet man oppnår ikke sier mer enn hvor man bør være ekstra oppmerksom i forhold til potensiell svikt, gjør at det er usikkert om metoden kan erstatte måten risikoanalyse blir utført idag. iv
Innhold 1. INTRODUKSJON 1 1.1 TEMA OG MOTIVASJON 1 1.2 PROBLEMSTILLING 1 1.2.1 AVGRENSNINGER 2 1.3 FORMÅL 2 1.4 OPPGAVENS OPPBYGNING 2 2. METODE 3 2.1 LITTERATURSTUDIE 3 2.2 KVALITATIV METODE 3 2.2.1 SPØRSMÅL TIL DISKUSJON 4 3. BAKGRUNN 4 4. GASSUTBLÅSNINGEN PÅ SNORRE A 5 4.1 BAKGRUNN 6 4.2 PLANLEGGING 6 4.3 GJENNOMFØRING 8 5. TEORETISK GRUNNLAG 10 5.1 TRADISJONELL RISIKOANALYSE 10 5.1.1 HAZOP 11 5.1.2 FEILTREANALYSE(FAULT TREE ANALYSIS) 12 5.1.3 HENDELSESTREANALYSE(EVENT TRE ANALYSIS) 12 5.1.4 SIKKER JOBB ANALYSE(SJA) 13 5.2 RESILIENCE ENGINEERING 13 5.2.1 VARIABILITET 13 5.2.2 EMERGENS 14 5.2.3 ETTO 14 5.2.4 RESILIENS 14 6. FUNCTIONAL RESONANCE ANALYSIS METHOD 16 6.1 BESKRIVELSE AV MODELLEN 16 v
6.2 BRUK AV METODEN 17 6.2.1 STEG 0 FORMÅL 17 6.2.2 STEG 1 IDENTIFISERING AV FUNKSJONER 17 6.2.3 STEG 2 KARAKTERISER POTENSIELL VARIABILITET 18 6.2.4 STEG 3 BESKRIV FUNKSJONELL RESONANS 18 6.2.5 STEG 4 IDENTIFISERING AV BARRIERER 19 7. BRUK AV FRAM MED BAKGRUNN I HENDELSEN PÅ SNORRE A 19 7.1 FUNKSJONER 19 7.1.1 FOREGROUND 20 7.1.2 BACKGROUND 24 7.2 MODELL 25 7.3 VURDERING AV VARIABILITET I FUNKSJONENE 26 7.4 VURDERING AV FUNKSJONELL RESONANS 31 7.4.1 NORMALTILFELLE 32 7.4.1 WORST CASE 33 8. DISKUSJON 34 8.1 FRAM PÅ SNA 34 8.2 FRAM SOM METODE 35 8.3 FRAM SOM VERKTØY FOR Å FORUTSE UØNSKEDE HENDELSER. 36 8.4 HVORDAN FUNGERER FRAM FOR Å IDENTIFISERE RISIKO KONTRA TRADISJONELL RA? 37 8.5 DET Å BRUKE FRAM 38 9. EVALUERING AV OPPGAVEN 39 9.1 VALG AV METODE 39 9.2 TROVERDIGHETEN AV RESULTATENE 39 10. KONKLUSJON 41 11. REFERANSER 42 12. VEDLEGG 44 12.1 NORMALTILFELLE 44 12.2 WORST CASE 45 vi
1. Introduksjon 1.1 Tema og motivasjon Denne oppgaven beskriver bruken av en metode ved navn Functional Resonance Accident Model (FRAM). Dette er en metode som har blitt utviklet de siste årene med et nytt perspektiv på måten risiko og sikkerhet kan beskrives og analyseres. I likhet med teorien bak Resilience Engineering (RE) representerer denne metoden et systemisk syn på risiko og sikkerhet. Metoden søker å kunne brukes både som et analyseverktøy for uønskede hendelser som har oppstått, men også som et verktøy for å beskrive og analysere risiko for slike hendelser. Fokuset i denne oppgaven vil være på bruken av FRAM for å analysere risiko. Temaet er bruken av FRAM, men også hvordan den plasserer seg i forhold til tradisjonell risikoanalyse. Dette menes å være viktig for å forstå hvordan risiko kan beskrives på ulike måter og hvilke forskjeller som ligger bak. Ettersom FRAM og RE har blitt utviklet nærmest parallelt vil oppgaven også trekke frem hvordan prinsippene i RE kan brukes gjennom FRAM. Motivasjonen bak denne oppgaven har først og fremst vært muligheten til å utforske en relativt ny metode som fortsatt er under utvikling. Å velge en slik oppgave vil kunne gi muligheter til å gjøre egne tolkninger av hvordan metoden kan brukes, og denne muligheten til å kunne bidra i metodens utvikling gjør at temaet blir ekstra utfordrende og interessant. En annen viktig faktor som har gjort dette temaet interessant er hvordan det bryter med teorier om risiko som brukes av nesten alle i dag. Å foreslå et nytt syn på hvordan risiko kan beskrives vil kunne åpne for nye måter å gjøre analyser på. Dette er viktig for utviklingen. 1.2 Problemstilling Problemstillingen og hvilke punkter som skal behandles videre i oppgaven er en videre beskrivelse av den formelle masteroppgaveteksten som er vedlagt. Følgende problemstilling er valgt: Hvordan kan Funtional Resonance Analysis Method (FRAM) brukes som et verktøy for å forutse og identifisere framtidige uønskede hendelser, og hvordan stiller denne metoden seg i forhold til tradisjonelle risikoanalysemetoder? For å kunne svare på denne problemstillingen vil hendelsen Gassutblåsningen på Snorre A bli brukt som datamateriale for å gjennomføre en FRAM-analyse med fokus på risiko. Nyttig informasjon som kan hjelpe med å svare på problemet kan oppnås ved å se på hvilket bidrag FRAM kunne hatt hvis metoden hadde blitt brukt i prosessen før hendelsen oppsto. Hendelsen skjedde i et system med et tradisjonelt syn på risiko, og det vil derfor være muligheter for å gjøre sammenligninger. Ettersom hendelsen oppsto til slutt kan man studere og vurdere om det var noe galt med antisiperingen og i hvilken grad hendelsen kunne vært forutsett før den inntraff. 1
Implisitt i problemstillingen ønsker man også å vurdere hvilke styrker og svakheter FRAM har innen risikostyring. Det gjøres oppmerksom på at det er blitt gjort en endring i oppgavebeskrivelsen i forhold til den formelle masteroppgaveteksten. Etter avtale med faglærer vil ikke Sequentially Timed Events Plotting(STEP) være inkludert i oppgaven slik som beskrevet i punkt 1. Årsaken til dette er at denne metoden oppfattes å ikke kunne gi noe viktig bidrag i denne oppgaven med bakgrunn i hvordan FRAM vil bli beskrevet og brukt. 1.2.1 Avgrensninger For å begrense omfanget av analysen som skal gjennomføres og gjøre temaet lettere å presentere vil kun planleggingsdelen av Gassutblåsningen på SNA bli brukt. Også i selve utføringen av FRAM-analysen vil det bli gjort noen begrensninger. Hovedfunksjonene som trekkes frem i analysen vil bli beskrevet, men kun de viktigste vil bli valgt ut for videre analyse. Dette vil gjøre analysen mer lettlest, samtidig som det forstås som å være nok til å kunne demonstrere prinsippene bak metoden. En annen begrensning i innholdet i analysen er at det ikke vil bli utført noe barriereidentifisering selv om dette er en del av FRAM. Grunnen til dette er at fokuset i denne oppgaven er på hvordan man kan forutse og identifisere mulige uønskede hendelser. Identifisering av barrierer sees også på som vanskelig med informasjonen som er tilgjengelig. 1.3 Formål Formålet med oppgaven er å se om FRAM kan ha noe bidrag som et risikoanalyseverktøy, og om det vil kunne brukes til å antisipere uønskede hendelser. Man ønsker da å se om det kan være noen fordeler knyttet til å ta et steg vekk fra den tradisjonelle måten å tenke risiko og gjøre risikoanalyser, da dette har vist seg å ikke være tilstrekkelig. Når det også gjøres en tolkning av hvordan metoden kan gjennomføres ønsker man også å se om dette kan ha noe bidrag i metodens videre utvikling. 1.4 Oppgavens oppbygning Oppgavens formål, problemstilling og dets avgrensninger har til nå blitt presentert, og i neste del presenteres metodevalget som er gjort i denne oppgaven for å svare på problemstillingen. I del 3 ser vi på bakgrunnen for denne oppgaven og temaet som tas opp før det i del 4 presenteres hendelsen Gassutblåsningen på Snorre A som da vil bli brukt videre i oppgaven. I del 5 legges det frem et teoretisk grunnlag som oppgaven bygger på. Her vil det først bli gjort en beskrivelse av tradisjonell risikoanalyse for å ha et sammenligningsgrunnlag, før prinsippene bak Resilience Engineering presenteres. Dette er viktig for å forstå hvordan FRAM fungerer. I del 6 ser vi på fremgangsmåten for å gjøre en FRAM-analyse, noe som vil danne grunnlaget for den videre analysen som utføres senere, og i del 7 blir FRAM brukt til å gjøre en analyse med bakgrunn i informasjonen fra den beskrevne hendelsen. Drøfting av resultatene gjøres i del 8 før det gjøres en vurdering av denne oppgavens validitet i del 9. I den siste delen beskrives det en konklusjon med tanker omkring videre arbeid. 2
2. Metode 2.1 Litteraturstudie Et litteraturstudie har vært en naturlig men også veldig viktig del av denne oppgaven. Metoden som studeres regnes som å være ganske ny slik at mye av teorien som ligger bak måtte gjøres grundig kjent. Fokuset har vært på bøker som beskriver prinsippene bak Resilience Engineering og FRAM, men også artikler der FRAM har blitt brukt i analyser har blitt gjennomgått for å kunne få en oversikt over hvordan metoden har blitt brukt tidligere i ulike sammenhenger. For å ha et sammenligningsgrunnlag og kunne løse problemstillingen har beskrivelser av tradisjonell risikoanalyse og metoder innunder dette blitt gjennomgått. Det har vært skrevet uttallige bøker og artikler som omhandler dette, men denne oppgaven har begrenset seg til å kun fokusere på informasjon gjennom faget TPK5160 Risikoanalyse på NTNU. Beskrivelsen av Gassutblåsningen på Snorre A er basert på en tolkning av granskningsrapporten fra Petroliumstilsynet. Dette dokumentet har også dannet grunnlaget for hvordan en brønnoperasjon forstås i denne oppgaven. Basert på dette er det gjort egne tolkninger og antakelser som brukes videre i oppgaven. 2.2 Kvalitativ metode Metoden som er brukt i denne oppgaven kan karakteriseres som kvalitativ. Det meste av grunnarbeidet og datainnsamlingen har i tillegg til litteraturstudiet kommet gjennom samtaler med en person som har mye erfaring med både teorien bak og bruken FRAM. Oppgaven har i grunnarbeidet blitt basert mest på publisert teori, men for å kunne produsere data som kan bidra til å belyse problemstillingen har det blitt gjennomført en analyse med bruken av FRAM på scenariet Gassutblåsningen på Snorre A. I denne analysen er blitt gjort noen egne tolkninger men også brukt elementer fra andre analyser som er publisert. Fokuset med å gjennomføre en analyse er å demonstrere prinsippene bak FRAM. Det som kommer ut av denne analysen vil da kunne sammenlignes med de tradisjonelle metodene. Datainnsamlingen blir da en kombinasjon av litteraturstudie og data generert av egen analyse. Det er valgt å forme oppgaven på denne måten fordi det er ønsket at fokuset skal være på prinsippene bak og bruken av FRAM, og ikke at resultatene må være 100% korrekte i forhold til virkeligheten. Å bruke informasjonen fra granskningsrapporten til Petroliumstilsynet forstås som tilstrekkelig for å kunne gjennomføre analysen i denne oppgaven da dette regnes som å være en troverdig kilde. Rapporten er detaljert nok til å kunne dekke databehovet. Å kunne gjennomføre intervjuer med involverte i Gassutblåsningen på Snorre A ville selvsagt ha vært et godt supplement til datagrunnlaget, men dette ble sett på som veldig vanskelig med tanke på flere faktorer. 3
2.2.1 Spørsmål til diskusjon Med bakgrunn i resultatene som kommer fra analysen ønskes det å diskutere noen forhold som vil bidra til å svare på problemstillingen. Først og fremst er det resultatene av analysen som trekkes frem. Videre ser vi på hvordan FRAM oppfattes som et verktøy i risikosammenheng, før metoden vurderes i forhold til prinsippene bak Resilience Engineering og spesielt på evnen til å kunne forutse uønskede hendelser. Det neste punktet er hvordan FRAM fungerer i forhold til risiko kontra de mer tradisjonelle metodene, uavhengig av scenariet, før det til slutt ønskes å trekke frem hvordan bruken av FRAM har fungert i praksis. 3. Bakgrunn Tradisjonelle risikoanalysemetoder har i lang tid blitt brukt for å avdekke mulige uønskede hendelser, årsaker og konsekvenser. Det vi ser er at selv om analysene og vurderingene blir utført oppstår det fortsatt ukontrollerte hendelser med uønsket utfall. Virkeligheten viser seg å være forskjellig fra det bildet som har dannet grunnlaget i analysemetodene som har blitt brukt. Metodene og modellene som ligger bak er forenklinger av virkeligheten. De har gjennom sin bruk selvsagt hatt en effekt på identifisering, vurdering og håndtering av risiko. Ellers ville de ikke blitt brukt så hyppig og vært så utbredt som de er i dag. At det da fortsatt oppstår uønskede hendelser viser at disse metodene har sine begrensninger. En tanke som slår inn da er om disse metodene passer til alle typer situasjoner og hendelser. Utviklingen av teknologi i dag har ført til komplekse systemer preget av høy kobling, mens utviklingen av risikokonseptet og risikoanalysemetoder har ikke hatt samme tempo. Å bruke de tradisjonelle metodene for å identifisere og analysere risiko i slike komplekse systemer kan fungere på noen områder mens det på andre ikke vil være tilstrekkelig, noe som resulterer i et hull som må dekkes for å kunne redusere mulighetene for at uønskede hendelser oppstår. Mange av risikoanalysemetodene har blitt utviklet som et resultat av store uønskede hendelser som har oppstått og dekker derfor bare et begrenset sett med hendelser. At de har blitt utviklet på denne måten viser at de er retrospektive av natur. De ser tilbake på hva som har skjedd tidligere og baserer seg på disse erfaringene for å analysere risiko i fremtiden. På denne måten vil man alltid ligge på etterskudd, og man fokuserer ikke på å avdekke ting som ikke har oppstått tidligere. Mange alvorlige hendelser kommer overraskende fordi man aldri har tenkt på at de kan oppstå. Det er også slik at de samme hendelsene som har oppstått tidligere skjer igjen selv om han har analysert risikoen. En måte å kanskje forstå hvorfor dette skjer er å tenke seg at det kan finnes mange veier fram til en uønsket hendelse. Tradisjonell risikoanalyse belyser muligens bare en av veiene fram dit, mens det da fortsatt gjenstår andre veier, representert gjennom andre syn på risiko, som kan føre til det samme resultatet. Metoder som baserer seg på disse andre perspektivene kan derfor hjelpe til med å dekke disse hullene som finnes. 4
Tradisjonelle metoder som har blitt så godt integrert i ulike systemer i dag kan være vanskelige å legge til side, men for at det skal være mulig å håndtere situasjoner og hendelser som disse i dag ikke strekker til er man nødt til å ta et steg videre og vurdere om det finnes flere måter å se på risiko. Når man tar dette steget videre og ser på andre perspektiver og metoder som bygger på disse, må man ha et fokus på om dette kan ha noe bidrag som kan føre til at færre uønskede hendelser oppstår. Interessen vil ligge hos metoder som bruker andre faktorer enn historikk og erfaringsdata, og som ikke fokuserer på årsaker av den sekvensielle typen, men som kan fange opp andre fenomener som kan føre til slike hendelser. 4. Gassutblåsningen på Snorre A Den 28.november 2004 oppsto det en ukontrollert hendelse på Snorre A(SNA) innretningen i den sørlige delen av Nordsjøen. Det var under arbeidet med brønn P-31A at situasjonen utviklet seg til å bli en av de alvorligste på norsk sokkel. Det skulle bores et sidesteg i brønnen men før dette kunne utføres måtte man trekke rør av den. Under denne operasjonen oppsto det problemer som førte til en gassutblåsning på havbunnen. Det samlet seg etter hvert gass under plattformen, og samtidig ble det iverksatt evakuering av personell som ikke var direkte involvert i situasjonen. Oppsamlingen av gass under innretningen gjorde at arbeidet med å kontrollere brønnen ble vanskelig. Ekstra boreslam kunne ikke forsynes av bestemte fartøy i frykt for at gassen skulle antennes, og det måtte tas i bruk slam blandet sammen av tilgjengelige borevæskekjemikalier. Da dette ble pumpet inn i brønnen ble den stabilisert 29.november 2004(Ptil, 2005). Figur 1: Snorre A (www.histos.no) Figur 2: Kart Snorre A (Foto: Tv2 Grafikk) 5
4.1 Bakgrunn SNA er en integrert bolig-, bore- og produksjonsinnretning som ble satt i drift i 1992. Opprinnelig var det Saga Petrolium ASA som hadde operatøransvaret før Norsk Hydro AS og Statoil overtok i henholdsvis 1.1.2000 og 1.1.2003. Innretningen er bygget opp på en slik måte at den er flytende på havoverflaten med strekkstag forankret i havbunnen som sørger for stabilitet. I tillegg til funksjonene som ligger direkte på SNA er det også to undervanns produksjonsanlegg(upa) tilknyttet innretningen. Snorre UPA ligger 6km nordøst fra SNA mens Vigdis UPA ligger 7km sørvest. Gassutblåsningen som er beskrevet her er ikke den første hendelsen som har oppstått på Snorre A. Allerede i 1994 ble det registrert problemer med aktiviteter ved brønn P-31. Denne brønnen ble boret som observasjonsbrønn dette året, men under operasjonen oppsto det problemer ved kjøring av et fôringsrør i en brønnseksjon. Det førte til at fôringsrøret måtte kuttes samtidig som man måtte sidestegbore et nytt brønnspor. Den nye brønnen P-31A ble deretter ferdigstilt med bruk av de samme lede- og fôringsrørene som hadde blitt brukt i P-31. En ny hendelse ved brønn P-31A tok sted i 1995 under sementering av et forlengelsesrør. Borestrengen hadde satt seg fast og den påfølgende fiske- og utfresingsoperasjonen førte til omfattende slitasje i et av fôringsrørene. I tillegg viste det seg at det hadde blitt spylt 2-3 hull med et høytrykkvaskeverktøy på 1561 meter under havbunnen. En scab-liner med en lengde på 2578 meter ble derfor installert for å tette disse hullene og styrke integriteten. Brønnen ble deretter trykktestet til 255 bar, noe som var en reduksjon fra den opprinnelige trykkspesifikasjonen på 345 bar. Et produksjonsrør kompletterte brønnen før den ble startet opp igjen i mai 1995. I juni 2001 ble det registrert omfattende korrosjon i produksjonsrøret i forbindelse med en brønnkampanje utført av Norsk Hydro. Det ble også oppdaget en lekkasje mellom produksjonsrøret og ringrom. Som et tiltak ble derfor en ny overlappingsfôring satt inn i den nederste delen av produksjonsrøret, men det ble oppdaget en ny lekkasje mellom produksjonsrøret og ringrom i desember 2003. En trykktest utført i etterkant førte til at fôringsrøret sprakk. Trykket hadde gått til 194 bar før det falt til 94 bar. Statoil valgte da å stenge inn brønnen, og brønnen ble fylt med saltlake. Som en del av brønnbarrierene ble det satt en plugg rett ovenfor reservoarseksjonen. Analyser av hvor lekkasjen hadde oppstått eller alvorlighetsgraden hadde ikke blitt utført, men brønnen fikk nå status som kompleks. 4.2 Planlegging Våren 2004 startet planleggingen av en ny brønnoperasjon som igjen involverte brønn P-31A. Det skulle nå utføres en slissegjenvinning på denne brønnen for å klargjøre for boring av et sidesteg senere. Det nye sidesteget skulle da bli brønn P-31B. Et prosjektlag med ansvar for hver av disse operasjonene ble bestemt av Statoil Snorre A reservoarutvinning(sna RESU), reservoar SNA RESU med ansvar for slissegjennvinning og boring og brønn SNA RESU med ansvar for boring av sidesteg. 6
Det ble samlet inn historiske data i juli 2004 av programingeniøren, og brønnstatus med utfordringene som har preget brønnintegriteten i P-31A ble presentert for SNA RESU. Videre ble det mellom september og november 2004 avholdt en rekke detaljplanleggingsmøter av prosjektlaget for slissegjenvinningen. I disse møtene deltok kontraktører for boreslam, sementering, kompletteringselementer/plugger, kutting eller perforering av eksisterende rør, mens boreentreprenør var ikke involvert. Problemene med brønnintegriteten i P-31A hadde blitt tatt hensyn til da planen for operasjonen ble utarbeidet. Statoil hovedkontor hadde 31. august 2004 gitt en anbefaling som innebar at det skulle settes en ny plugg av sement over det planlagte kuttpunktet i produksjonsrøret. Dette skulle gi en mer robust løsning, og reservoarseksjonen skulle dermed ikke åpnes og sementeres. Planen ble forandret i oktober 2004 da reservoar SNA RESU i det andre detaljplanleggingsmøtet 01.oktober 2004 foreslo at reservoarseksjonen allikevel skulle sementeres ved trykksementering. Dette skulle gjøres for å unngå kommunikasjon med sidesteget P-31B i etterkant. Boring og brønn SNA RSU ønsket fortsatt å unngå sementering da dette ville gjøre planleggingen og gjennomføringen av slissegjenvinningen mer komplisert, men måtte etterkomme forslaget til reservoargruppen i et møte 27. oktober 2004. Programmet ble derfor endret i det tredje detaljplanleggingsmøtet 02. november 2004. I denne perioden hadde også en ny boreentreprenør Odfjell drilling overtatt både borekontrakten og 80% av SNA personellet som tidligere tilhørte Prosafe. Flere ulike metoder ble vurdert i forhold til det nye programmet, der det tilslutt stod mellom trekking av pluggen i halerøret eller å punktere halerøret ovenfor denne pluggen. Punktering ble av leverandører og prosjektlaget vurdert som den metoden med størst sannsynlighet for suksess, og ble derfor valgt. Etter punktering av halerøret kunne man pumpe sement forbi pluggen og inn i reservoarseksjonen. Det var også opprinnelig planlagt å kutte og trekke produksjonsrør før punktering av halerøret men dette ble endret til at punkteringen skulle utføres først. Dette fordi man ville fått problemer med å komme til med punkteringsverktøy etter trekkingen. I tillegg til disse endringene ble det også besluttet å bruke brine (tung saltvannsløsning) ved punktering, etter ønske av Wireline-selskapet, før man byttet til boreslam. Selv om boreslam normalt ville blitt brukt forventet man et bedre resultat med brine. Et annet viktig punkt som kom opp i det tredje detaljplanleggingsmøtet var potensielle problemer med hullene i fôringsrøret. Dette ble diskutert i forhold til punkteringsoperasjonen men ble ikke identifisert som en risiko eller barrierebrudd. Det ble avholdt flere møter med utstyrsleverandører om detaljer i planen, før det siste planleggingsmøtet ble holdt 11.november 2004. Under dette møtet gikk man gjennom brønnens historikk, før hver deloperasjon ble gjennomgått og diskutert. Tilstede var både leverandører og personell fra SNA RESU. Videre var det planlagt en risikogjennomgang 12. november 2004, men dette ble utsatt på grunn av møtekollisjon og nedprioritering av deltakerne. 7
Programmet var nå ferdig planlagt og ble lagt fram for SNA RESU ledelsen for verifisering, anbefaling og godkjenning: 15. november 2004: Program verifisert av ledende boreingeniør. 16. november 2004: Program verifisert av ledende brønningeniør. 15. november 2004: Program anbefalt av boreoperasjonsleder. 16. november 2004: Program godkjent av SNA RESU leder. Slissegjenvinningsprogrammet som ble godkjent var som følger: 1. Punktering av halerør 2. Utskifting av saltlake med oljebasert slam 3. Kutting og trekking av produksjonsrør 4. Kutting og trekking av scab-liner 5. Sementering av brønnens reservoarseksjoner 6. Kutting og trekking av fôringsrør. Gassutblåsningen oppsto under punkt 4. Operasjonene i brønn P-31A kunne starte tidligere enn planlagt fordi man hadde blitt raskere ferdig i en annen brønn. Riggen ble flyttet til P-31A 16. november 2004 og samme dag ble det holdt et utreisemøte med boreledelsen for dagskiftet. Brønnprogrammet ble presentert, der man fra Statoil hadde boreoperasjonsleger, programingeniør, og boreleder dag tilstede. Fra Odfjell Drilling deltok boreoperasjonssjef, boresjef natt, borer og assisterende borer. Boresjef dag fra Odfjell var ikke tilstede på grunn av flyproblemer. Risikogjennomgangen som hadde blitt utsatt fra 12. november 2004 skulle utføres 19.november 2004, men ble tilslutt kansellert. Slissegjenvinningsoperajonen på SNA ble startet samme dag. 4.3 Gjennomføring Allerede 21.november 2004 oppstod det en uventet situasjon da brønnvæske i form av diesel og gass strømmet ut i forbindelse med kutting og perforering av produksjonsrøret. Hendelsen ble gransket internt av Statoil. Samme dag ble halerør punktert, noe som førte til at det kun var saltlake som utgjorde primærbarrieren i reservoaret. Oljebasert slam ble deretter pumpet inn med et trykk på 100 bar for å ta over som primærbarriere. 23.november 2004 sendte boreleder dag en epost til programingeniør med en kopi til breoperasjonsleder, der han ønsket å avklare om det trengtes en søknad for å kunne trekke scabliner uten en holdefunksjon i brønnåpningen. Programingeniørens tolkning og svar var at det ikke var nødvendig så lenge scab-liner ikke var ute i åpent hull. Dagen etter ble det holdt et møte mellom programingeniøren og fungerende fagansvarlig for sementering fra hovedkontoret. Målet med møtet var å diskutere trykksementering av reservoarseksjonen. Resultatet ble at man besluttet å punktere hull i toppen av scab-liner før kutting slik at man kunne utjevne gass og 8
trykk bak lineren. Det var kun dette som ble diskutert under møtet. Et utreisemøte ble holdt samme kveld. Tilstede var boreoperasjonsleder, programingeniør, boreleder natt fra Statoil, og operasjonssjef, borer og assisterende borer natt fra Odfjell drilling. Statoils boreleder hadde ikke vært på SNA siden 1997, mens dette var første tur for borekontraktørens boresjef. Mellom 23. og 24. november 2004 ble produksjonsrøret kuttet og trukket, men det ble oppdaget at dette bare delvis hadde blitt gjort. Under uttrekkingen fulgte det med et innvendig rør. Det var ikke noe utstyr for å trekke dette gjennom åpningen slik at dette måtte bestilles fra land, og det måtte vurderes om produksjonsrøret med det innvendige røret skulle kjøres tilbake ned i brønnen mens man ventet på utstyret. 25. november 2004 ble det holdt et møte mellom brønnteknolog fra brønnkontrollgruppen ved hovedkontoret og programingeniøren. Møtet gjaldt deloperasjonen for hvordan man skulle trekke scab-liner. Kun denne operasjonen ble tatt opp. Mellom 23. og 25. november 2004 hadde det blitt gjort endringer i den operative detaljplanen. Det skulle nå gjøres tilpasninger i forhold til de problemene som hadde oppstått i forbindelse med kutting og trekking av produksjonsrøret. Det skulle utarbeides en prosedyre for dropp av dette røret. Samtidig delte man uttrekking av scab-liner i to deler. Man skulle først punktere den for å jevne ut for trykk, før kutting og trekking kunne utføres. Disse planene ble ferdigstilt av boreleder og boresjef 25-26. november 2004, og samtidig ble risikovurderinger i forbindelse med trekking av scab-liner fjernet fra planen. Det ble 25.november 2004 utført risikoanalyser(hazop) for to deloperasjoner i programmet av landorganisasjonen. Den første analysen gjaldt dropp av produksjonsrør og ble godkjent av og signert av SNA RESU leder. Den andre gjaldt perforering og trekking av scab-liner, men denne hadde ikke blitt signert. 27. november 2004 ble scab-liner punktert og brønnen ble observert for gass. Da trekkingen startet ble det forventet at man skulle få en u-tube effekt og medfølgende trykkøkning på 32 bar i slamsystemet, men det ble ikke observert noe. Senere viste det seg at man hadde hatt en defekt pakning i festet mellom scab-liner og borestrengen, noe som gjorde at det ikke ville vært mulig å observere u-tube uansett om dette hadde oppstått eller ikke. Det ble registrert swabbing(uønsket stempeleffekt) i starten av uttrekkingen, noe som ble ansett som normalt, men swabbingen fortsatte besluttet boreleder 28. november 2004 å stoppe operasjonen. Han diskuterte situasjonen med boresjef og boreleder dag. Det ble forsøkt å sirkulere brønnen gjennom scab-lineren og opp ringrommet på utsiden. Observasjon av lavt sirkulasjonstrykk og rask retur av borevæske til overflaten betød at pakningen i festet mellom scab-liner og borestreng fortsatt var defekt. Videre trekking av scab-liner fortsatte fram til 28. november da det gjennom ulike observasjoner ble registrert tilfredsstillende forhold. I utviklingen videre opplevde man derimot trykkøkning og 9
tap av volum i brønnen. Sirkulering av boreslam fungerte ikke optimalt og i løpet av kort tid hadde trykket økt til ca.130 bar. Det ble etter hvert observert utstrømming av gass, samtidig som trykket fortsatte å øke. Personell som ikke var direkte involvert i hendelen ble Utfordringene fortsatte da det så ut som man skulle gå tom for boreslam samtidig som det var umulig å forsyne mer på grunn av gass. Det resterende personalet ombord klarte til slutt å stabilisere brønnen gjennom å blande eget boreslam med kjemikalier som var tilgjengelig. (Ptil, 2005) 5. Teoretisk grunnlag 5.1 Tradisjonell risikoanalyse Risikoanalyser og vurderinger brukes i dag som et verktøy for å avdekke og vurdere mulighetene for uønskede hendelser som kan skje i fremtiden. Med uønskede hendelser tenker vi her på ulykker eller uhell. Vi ser på risiko som noe som potensielt kan oppstå. Ettersom man ikke kan vite hva som vil skje i fremtiden vil det alltid være en usikkerhet knyttet til dette. Å vite når eller hvor en hendelse vil inntreffe er noe vi sjelden har et godt nok bilde av, og vi bruker derfor begrepene sannsynlighet og konsekvens for å beskrive hvor alvorlig en hendelse kan være. Med sannsynlighet menes hvor stor sjanse det er for at en uønsket hendelse skal oppstå. Det kan også innebære hvor ofte en slik hendelse oppstår, altså frekvensen. Konsekvenser av en uønsket hendelse kan være skade på mennesker, miljøskader eller tap av materielle verdier. Konsekvensene vil sammen med sannsynligheten danne et grunnlag for det risikobildet vi står overfor. Denne informasjonen vil kunne bidra til å kvantifisere risiko gjennom ulike risikomål. Et eksempel på dette kan være forventet antall drepte per år (PLL Potential Loss of Life)(Rausand & Øien, 2004). For å anslå risiko ønsker man mest mulig informasjon om hvilke type hendelser det er snakk om. Man deler derfor disse i ulike grupper eller kategorier. I gruppe 1 har vi for eksempel trafikkulykker og mindre arbeidsulykker som skjer ganske ofte. Ettersom slike hendelser oppstår regelmessig kan man med god sikkerhet få et bilde av hva som vil skje i fremtiden. Ved en gjennomgang av historiske data bestående av ulike risikomål kan man anslå hva risikoen er for at det vil skje igjen. Risikoen for slike hendelser vil da baseres på at det er en høy frekvens men lav konsekvens(rausand & Øien, 2004). Videre har vi i gruppe 2 ulykker som skjer ganske sjeldent men der konsekvensene er større. I denne kategorien finner man for eksempel flyulykker, togulykker og store industriulykker. Slike hendelser sees på som ganske alvorlige og det jobbes mye i etterkant gjennom granskninger for å avdekke årsaker slik at man kan unngå at det oppstår igjen. Å anslå risikoen for en ulykke av 10
denne typen vil ikke her være like lett som i gruppe 1. I tillegg til informasjon om frekvens og konsekvens vil det som oftest være nødvendig med gjennomføring av risikoanalyser. En slik analyse vil dele systemet inn i delsystemer og komponenter, og ved en systematisk gjennomgang kan man avdekke alle mulige farer eller feil som er tilstede. Estimater av risikoen for feil i de enkelte delene, basert på statistikk og historiske data, vil sammen bestemme risikoen for det totale systemet(rausand & Øien, 2004). I den siste gruppen finner vi uønskede hendelser som nesten kan beskrives som utenkelige, det vil si at de skjer svært sjeldent, men her er konsekvensene enorme. Her har vi for eksempel store kjernekraftulykker. Når slike ulykker oppstår så sjeldent har man ikke så mye historisk data å bygge på. Det utføres derfor detaljerte risikoanalyser med ekspertvurderinger av erfarne og kunnskapsrike personer(rausand & Øien, 2004). Hvilken metode man bruker for å anslå risiko avhenger av hvilken type hendelse det er snakk om. Risikoanalyser mest vanlig for de to siste gruppene. En risikoanalyse utføres fordi man ønsker å identifisere og gjøre en vurdering av uønskede hendelser som kan føre til ulike konsekvenser. Vi skiller mellom kvalitative og kvantitative risikoanalyser og det er også variasjoner i hvor detaljert analysen er. Gjennom en analyse ønsker man normalt svar på: hvilke hendelser som kan oppstå hva årsakene til at slike hendelser kan oppstå hvilke konsekvenser vi står overfor hvis en slik hendelse skulle inntreffe Man kan se på dette som tre trinn som utføres i den rekkefølgen som er oppgitt. Ulike metoder er utviklet for hvert av trinnene og er beskrevet i figur X. Det vil bli gitt en nærmere beskrivelse av fire ulike metoder som brukes mye i dag. Den første tar for seg både identifisering av hendelser, årsaker og konsekvenser som er knyttet til disse, mens de to neste fokuserer på å identifisere henholdsvis årsaker og konsekvenser. Sist beskrives en metode som brukes mye for å gjennomgå alle 5.1.1 Hazop Hazard and Operability study (Hazop) er en av de mest brukte metodene for å identifisere uønskede hendelser, beskrive årsaker og evaluere konsekvenser. Det er mulig å gjennomføre en hazop i ulike faser av en prosess eller deler av systemet, men det som kanskje er vanligst er etter at systemet er designet. Metoden utføres som regel av en gruppe på 4-6 personer bestående av spesialister og eksperter på de delene av systemet analysen utføres på. Det er en systematisk metode der man ved hjelp av ledeord(guideword), i kombinasjon med ulike parametere, identifiserer alle hendelser i form av tilstander som ulike komponenter i systemet kan ha. Tilstandene vil omfatte alle avvik man kan få i den spesifikke komponenten. Eksempler på ledeord kan være mer/mindre/ingen, og sammen med parametre som trykk/temperatur/nivå, beskriver dette en avvikende tilstand. Når disse er identifisert vurderer man hva som kan være 11
årsakene og hvilke konsekvenser dette kan medføre. Når disse stegene er gjennomført sitter man igjen med informasjon om: Hva komponenten/prosessen er designet for Hvilke store avvik fra design kan oppstå Mulig årsaker til avvikene Mulige konsekvenser som følge av avvikene Mulige tiltak som kan iverksettes for å minimere farene forbundet med avvikene (Haugen, 2009) 5.1.2 Feiltreanalyse(Fault Tree Analysis) Feiltreanalyse(FTA) er en systematisk analysemetode som fokuserer på spesifikke hendelser kalt topphendelser. I gjennomføringen av metoden utvikles det underliggende sekvenser av hendelser som totalt leder fram til denne topphendelsen. Dette er altså en årsaksanalyse. Det utføres en analyse for hver topphendelse(scenario). Normalt bruker FTA hendelser som har blitt identifisert av andre metoder, men det forutsettes at disse er godt definerte og at systemet som er i fokus har et begrenset antall hendelser. FTA er en deduktiv metode som bruker boolske logiske symboler for å bryte ned årsakene til topphendelsen i komponentfeil eller menneskelig svikt. Man starter analysen ved å identifisere de øyeblikkelige årsakene til at topphendelsen oppstår. I tillegg bestemmer man hvilket logisk forhold disse har til topphendelsen. Man fortsetter deretter på samme måte men nå for hver at disse øyeblikkelige årsakene. Det vil si at hver årsak opptrer som en topphendelse og man fortsetter å bryte de ned til man har kommet til en komponent i systemet eller menneskelig svikt. Analysen presenteres grafisk som et tre og illustrerer forholdet mellom årsakene og topphendelsen. Man kan videre analysere treet kvantitativt ved hjelp av data i form av sannsynligheter for komponentfeil. Totalt vil man da komme fram til et tall som angir sannsynligheten for at topphendelsen oppstår. Ved en kvalitativ analyse utvikler man en liste med kombinasjoner av ulike årsaker som ved å inntreffe samtidig vil føre til at topphendelsen inntreffer. Man kaller dette for kutt-sett(cut set) (Rausand, 2005). 5.1.3 Hendelsestreanalyse(Event Tre Analysis) Hendelsestreanalyse (ETA) er en metode for å identifisere mulige konsekvenser som kan oppstå som følge av en uønsket hendelse. Normalt vil det være utviklet ulike barrierer på forhånd for å unngå eller dempe konsekvensene av en hendelse. Med ETA ønsker man å analysere hva som kan skje hvis det er brudd på disse barrierene eller hvis det er mangel på barrierer. Det opprettes en starthendelse(initiating event) når metoden tas i bruk. Alle hendelser og barrierer som videre kan oppstå etter starthendelsen listes deretter opp i kronologisk rekkefølge(vilkårlig hvis det ikke finnes noe rekkefølge). En hendelse eller barriere kan enten inntreffe eller ikke, og det vurderes hvilke konsekvenser man vil få med bakgrunn i disse 12
utfallene. Forskjellige kombinasjoner av utfall for hendelsene og barrierene danner ulike sekvenser og resulterer i ulike konsekvenser(haugen, 2009). 5.1.4 Sikker Jobb Analyse(SJA) Sikker Jobb Analyse(SJA) er en kvalitativ metode for å analysere en jobbprosedyre for å identifisere farer og mulige hendelser som kan oppstå under gjennomføringen av jobben, og dermed kunne bestemme passende tiltak for å redusere risikoen. Hensikten er å kunne identifisere farer som kan ha blitt oversett under design, oppstått etter endringer i prosedyrer, eller som har oppstått etter at den første jobben var utført. Hovedmålet er å kunne finne en sikker måte å utføre en jobb. Hele jobbprosedyren blitt brutt opp i en sekvens med atskilte steg, der hvert steg beskriver hva som blir gjort. Gjennom møter vurderer SJA-teamet for hvert steg hva som kan gå galt, konsekvenser, og hvordan det kan skje. Medvirkende årsaker, sannsynlighet, og sikkerhetstiltak blir deretter vurdert. Det brukes som regel skjemaer for å registrere data, og når analysen er gjennomført jobber man med å finne på løsninger som kan kontrollere eventuelle farer som har blitt identifisert ved hvert steg(rausand, 2005). 5.2 Resilience Engineering De siste årene har Resilience Engineering utviklet seg som et nytt perspektiv innen ulykkesteori. Ved å fokusere på resiliens har man gått vekk fra å kun forstå hendelser som har skjedd og forklare disse, til å se etter nye muligheter for å forutse og håndtere uønskede hendelser. Perspektivet bygger på et systemisk syn der normal drift og svikt i komplekse systemer er resultater av interaksjoner mellom ulike funksjoner. De fleste store hendelser eller ulykker oppstår som et resultat av komplekse sammentreff av flere faktorer, uten at disse trenger å ha noe relasjon til hverandre. Svikt i systemet kan derfor ikke beskrives og forklares ved å fokusere på de ulike komponentene som utgjør systemet. 5.2.1 Variabilitet Variabilitet påvirker komplekse systemer i form av endringer i ytre omgivelser og i indre subsystemer, men det er ikke bare negative avvik fra den normale driften som trekkes frem. Det omfatter også de små avvikene i den daglige driften som er nødvendige for å kunne håndtere systemets kompleksitet(hollnagel&woods, 2005). Det erkjennes at systemer er komplekse og preges av tett kobling. For å kunne håndtere utfordringene som følges av dette synet blir variabilitet sett på som en nødvendighet. Det som faktisk skjer i et system avviker ofte fra det som beskrives gjennom dokumenterte rutiner, prosedyrer og regler. Kompleksiteten gjør at man ikke klarer å definere og beskrive alle prosedyrer i utførelsen av de ulike oppgaver og funksjoner som systemet består av. Fordi omgivelsene endres hele tiden må det gjøres tilpasninger for at funksjonene skal kunne fungere. Variabilitet er derfor både naturlig og normalt, og normal drift er derfor et resultat av de justeringene og tilpasningene som må til for å håndtere variabiliteten i de indre og ytre omgivelsene(hollnagel&woods, 2006). Utallige snarveier tatt av operatører viser at det utføres handlinger som er forskjellige fra krav, forventninger og intensjon. Disse 13
trenger ikke være upassende eller feil, men et resultat av lokale tilpasninger som er nødvendige(hollnagel&woods, 2006). Selv som variabilitet er nødvendig for at funksjoner skal kunne fungere, er dette også grunnen til at ting går galt. Det er ikke svikt i funksjoner eller komponenter som fører til at hendelser oppstår men tilpasninger og variasjoner som ikke har vært tilfredsstillende. Variabilitet kan derfor føre til at ting både går riktig og galt. Prosessen er den samme, men med ulikt utfall. 5.2.2 Emergens Det som fører til at hendelser oppstår beskrives som et emergent fenomen. Normalt vil ikke variasjoner i en funksjon kunne føre til at man får en svikt i funksjonen. Det man ønsker å trekke frem er at et system består av mange funksjoner, og når man vet at den nødvendige variabiliteten er tilstede hos flere av disse, vil dette kunne føre til uheldige og uventede kombinasjoner av disse variasjonene. Resultatet er at man får konsekvenser som er langt større enn det variasjonen i de enkelte funksjonene skulle tilsi. Verken svikt (failure) eller normal funksjon kan beskrives som et resultat av en rekke med ting som har skjedd tidligere eller ved å peke på spesifikke komponenter. De oppstår som kombinasjoner av ulike variasjoner og man ser derfor på begge som emergente fenomener. 5.2.3 ETTO Tilpasninger og justeringer som utføres i arbeidet kan i mange tilfeller forklares med bakgrunn i de forholdene som man opplever. Det kan være at man kun har utstyr som ikke passer, mangler ressurser, ikke har nok tid, hadde en annen forventning til situasjonen som man er i, eller at man er under sterkt press. Man prøver som regel å gjøre det beste ut av de forholdene man står overfor. Tilpasninger som har bakgrunn i slike forhold kan beskrives gjennom ETTO-prinsippet (Efficiency-Thoroughness Trade Off). På den ene siden kan man prioritere grundighet og redusere effektivitet, på den andre kan man velge effektivitet på bekostning av grundighet. Variabiliteten i funksjonen vil være resultatet av hvilke vurderinger som blir gjort. Hvis man vektlegger grundighet risikerer man å bruke for mye tid og ressurser som kan ha en påvirkning på andre funksjoner. Hvis man prioriterer effektivitet står man i fare for å ta for raske beslutninger med dårlig grunnlag, noe som kan føre til at det gjøres feil. Det må gjøres en avveining når man står i en slik situasjon(hollnagel, 2009). 5.2.4 Resiliens Et resilient system har ifølge Hollnagel evne til å tilpasse egen operasjon før, under og etter endringer og forstyrrelser, slik at det kan fortsette operasjonen som ønsket etter en hendelse eller ulykke, og når det er kontinuerlig påtrykk (hollnagel, 2009). For at ting skal gå bra er man nødt til å ha en evne til å forutse (anticipate) risiko, vite når problemer oppstår og ha en respons som sørger for tilfredsstillende tiltak. Mangel på dette vil føre til svikt. Hollnagel beskriver fire grunnsteiner (cornerstones) for hva som ligger bak Resilience Engineering og hva fokuset ligger på når man jobber for å oppnå resiliens. 14
The Actual Evne til å ha respons Som oftest skjer justeringene i egen drift når det skjer en hendelse. Dette er en reaktiv justering som uttrykkes gjennom en respons på hendelsen, men å reagere når noe har skjedd kan være utilstrekkelig og dermed føre til at systemet ikke klarer å håndtere situasjonen. Det er bare mulig å være forberedt på et bestemt antall forhåndsdefinerte hendelser eller tilstander, og det må også tas hensyn til hvilke ressurser og hvor lenge man har disse tilgjengelig (Hollnagel, 2009). The Critical Evne til å overvåke Å gjøre justeringer i systemet fra normal drift til økt beredskap før en hendelse skulle oppstå gjør at man kan være bedre forberedt på å håndtere hendelsen. Ressurser kan tilpasses bedre og bestemte funksjoner kan settes i gang. Utfordringen er å vite når man skal gjøre denne justeringen. Det må derfor være definerte indikatorer som bidrar når dette bestemmes. Å være i en beredskapsmodus uten at dette er nødvendig kan føre til nedsatt drift og misbruk av ressurser. The Factual Evne til å lære Justeringer som kommer etter at en hendelse har inntruffet sees på som tiltak for å forhindre at hendelsen skjer igjen. Disse tiltakene utvikles på bakgrunn av de erfaringene som er hentet fra hendelsen(hollnagel,2009). The Potential Evne til å forutse Når man snakker om hva man skal forvente søker man å identifisere mulige fremtidige hendelser og tilstander som bør unngås. Det er de mest uventede og usannsynlige hendelsene som faller inn under dette området. Utfordringen ligger i det at dagens komplekse systemer er i kontinuerlig endring. Man må derfor ha en forestillingsevne eller kunne tenke seg til viktige aspekter i fremtiden(westrum referert av Hollnagel 2009). Dette er nødvendig for å forstå hvilken retning det er mest sannsynlig at problemer vil komme fra, og dermed kunne fokusere på disse faktorene(adamski&westrum referert av Hollnagel 2009). Selv om det erkjennes at uventede hendelser kan oppstå, er det lett å gjøre forenklinger i framstillingen av problemet. Å gjøre ting lettere å forstå kan føre til effektivitet men vil begrense en tankegang som åpner for nye ideer. For å kunne avdekke fremtidige hendelser kreves det mye tid og ressurser, men når man ikke kan være sikker på resultatene er det få organisasjoner som ønsker å fokusere på dette(hollnagel 2009). Det som er viktig å forstå i arbeidet med å forutse fremtidige hendelser er hvilke forutsetninger man har for utviklingen i fremtiden. I tradisjonelle modeller beskrives fremtiden enten som en repetisjon eller et resultat av fortiden, men det er mer realistisk å tenke at fremtidige hendelser er noe som plutselig oppstår. Funksjoner i et system påvirker hverandre på utenkelige måter slik at man ikke kan basere seg på årsak-virkning relasjoner(hollnagel, 2009). 15
6. Functional Resonance Analysis Method Functional resonance analysis method (FRAM) er en metode som er utviklet for å kunne brukes i både risikostyring og ved analyser av hendelser og ulykker som allerede har oppstått. Det tar utgangspunkt i Functional resonance accident model som bygger på mange av de samme prinsippene som i Resilience Engineering. Modellen går vekk fra de sekvensielle og epidemiologiske modellene, og har et systemisk (systemic) perspektiv på ulykker og hendelser. Systemet blir sett på som en helhet og hendelser kan derfor ikke beskrives gjennom dekomponering eller årsak-effekt fenomener. 6.1 Beskrivelse av modellen Målet med bruk av FRAM er å prøve å avdekke koblinger og avhengigheter mellom ulike funksjoner i et system, noe som muliggjør en analyse for å trekke frem spesielle forhold som kan påvirke systemet. Resultatet vil være at man kan utvikle tiltak for å kontrollere dette. Før man kan gjøre disse analysene må modellen av systemet bygges opp. Denne modellen beskrives ved å identifisere og presentere hovedfunksjonene som utgjør systemet. Vi skiller mellom det vi kaller for foreground - og background -funksjoner. Foreground funksjoner er funksjoner som sørger for at systemet fungerer med suksess. Man må vurdere hvilke funksjoner som bidrar til å beskrive systemet og som er nødvendige for at systemet skal kunne fungere etter hensikt. Det vil være seks faste parametre som er knyttet til hver foreground-funksjon. Disse er: 1. Input 2. Output 3. Ressurser 4. Kontroll (Controls) 5. Forutsetning (Precondition) 6. Tid Background -funksjoner utgjør funksjoner som kan ha en innvirkning på systemet eller påvirke foreground-funksjonene, uten at de er nødvendige for at selve systemet kan fungere med suksess(macchi, Hollnagel, Leonhard, 2008). Til hver background-funksjon kan man også knytte seks faste parametre, men ettersom fokuset på disse funksjonene er hvilken påvirkning de kan ha på resten av systemet eller foreground-funksjonene, vil kun output fra dem være av interesse for den videre analysen. Man kan beskrive funksjonene gjennom tabeller eller visuell framstilling der hver funksjon tegnes opp som et hexagon. Et viktig skille mellom oppbygging av modell og bruk av metoden er at modellen kun vil bestå av funksjonene som utgjør systemet uten at man har gjort noen evalueringer eller analyser med tanke på disse seks parametrene. Det er heller ikke gjort noen vurderinger i forhold til hvilke koblinger og avhengigheter som kan være mellom ulike funksjoner. Man ser på disse koblingene og avhengighetene som potensielle og ikke noe som faktisk er tilstede ved dette øyeblikk. Når man har en modell vil denne kunne om igjen i ulike 16