operasjonell risikoanalyse Operasjonell risikoanalyse - Totalanalyse av fysiske og ikke-fysiske barrierer lan for hovedprosjekt (orprosjektrapport) ev 4, 16.10.2003
(blank side)
eport No: 200254-02 Classification: Åpen operasjonell risikoanalyse O Box 519, N-4341 Bryne, Norway Tel: +47 5148 7880, ax: +47 5148 7881 E-mail: post@preventor.no Web: http://www.preventor.no Title of report: Operasjonell risikoanalyse Totalanalyse av fysiske og ikke-fysiske barrierer lan for hovedprosjekt (forprosjektrapport) ev 4 Author(s): Jan Erik Vinnem, Stein Hauge, Jorunn Seljelid, Terje Aven Date: 16.10.2003 Number of pages/appendices: Signature: Client(s)/Sponsor(s): N/OL Clients ref: orprosjektrapporten presenterer et forslag for Hovedprosjekt: Barriereanalyse/Operasjonell risikoanalyse. ormålet med hovedprosjektet er å gjennomføre et demonstrasjonsprosjekt med en komplett modellering og analyse av barrierer på offshore produksjonsinnretninger, inklusive fysiske og ikke-fysiske barriereelementer. Både barrierer før og etter uønskede hendelser skal inkluderes, mao. barrierer for å forhindre at hendelsene skjer, og de barrierer som skal eliminere/begrense konsekvensene etter en uønsket hendelse. Analysen gjøres kvantitativ i størst mulig utstrekning, med de begrensninger som tilgjengelige modeller og data setter. Analysen gjennomføres slik at den kan gi mulighet for å identifisere feil og feilkombinasjoner som medfører risiko. Dette kan i sin tur utnyttes til å identifisere nødvendige tiltak til kontroll av risiko, samt se på effekt av modifikasjoner og konfigurasjonsendringer, og belyse effekten på barrierer når spesielle operasjonelle aktiviteter gjennomføres. Analysen vil bidra til å gi industrien den oversikt og innsikt som Styringsforskriften forutsetter at industrien skal ha i forhold til barrierer. Index terms, English: QA Barrier analysis Operational analysis Barrier performance standard Norsk: Kvantitativ risikoanalyse Barriereanalyse Operasjonell analyse Barriereytelse
operasjonell risikoanalyse (blank side)
operasjonell risikoanalyse Innholdsfortegnelse 1. BAKGUNN... 1 2. OMÅL OG OMANG... 2 2.1 OOSJEKTETS OMÅL... 2 2.2 HOVEDOSJEKTETS OMÅL... 2 2.3 OMANG... 2 3. OVESIKT OVE ANDE ELEVANTE OSJEKTE... 3 3.1 ELEVANTE OSJEKTE OG AKTIVITETE... 3 3.2 OSJEKTE O OLJEDIEKTOATET... 3 3.3 HYDO OSJEKT MOGENDAGENS HMS ANALYSE... 4 3.4 STATOIL OSJEKT AKTIVITETSINDIKATO... 4 3.5 ANDE OSJEKTE... 4 3.6 TILGENSENDE OSJEKTE... 5 4. UNDELAG A OOSJEKT... 7 4.1 OVESIKT OVE OOSJEKT... 7 4.2 ILOTANALYSE LEKKASJEISIKO... 8 4.3 ILOTANALYSE BAIEE MOT ANTENNING... 10 4.4 AKTUELLE BUKSOMÅDE O OEASJONELL ISIKOANALYSE... 12 4.5 BESKIVELSE OG VUDEING AV EKSISTEENDE ELEVANTE ANALYSE... 14 4.6 BUK AV EAINGE A ANDE NÆINGE... 15 5. OVESIKT OVE ANALYS EOGAVE... 16 5.1 TOTALANALYSE OG DELANALYSE I HOVEDOSJEKTET... 16 5.2 ANALYSEMETODE OG -VEKTØY... 16 5.3 ANALYSEEKSEMEL... 16 5.4 KVANTIISEING... 17 5.5 BUK AV ESULTATE A OSJEKTET... 17 5.6 ANALYSE LYTSKJEMA... 18 5.7 OHOLDET TIL K2-OSJEKTET... 18 6. H1: INNLEDENDE TOTALANALYSE BANN OG EKS LOSJON... 19 6.1 OMÅL MED OG OMANG AV TOTALANALYSE... 19 6.2 DELAKTIVITETE... 19 6.3 GJENNOMØING AV H1 AKTIVITETEN... 20 7. H2: DELANALYSE BANN OG EKSLOSJON... 21 7.1 OMÅL MED OG OMANG AV DELANALYSE... 21 7.2 DELAKTIVITETE... 21 7.3 GJENNOMØING AV H2 AKTIVITETEN... 23 8. H3: SYNTESE BANN OG EKSLOSJON... 24 8.1 OMÅL MED OG OMANG AV SYNTESE... 24 8.2 KOODINEING AV DELANALYSE - SAMMENSYING... 24 8.3 ANALYSEAKTIVITETE... 24 8.4 GJENNOMØING AV H3 AKTIVITETEN... 25 8.5 OSJEKTADMINISTATIVE AKTIVITETE... 25 9. OSJON: ANALYSE AV ALLENDE LAST... 26 9.1 OMÅL MED OG OMANG AV ANALYSE... 26 9.2 BUDSJETT OG TIDSLAN... 26 10. ANALYSEMETODIKK OG -VEKTØY... 27 10.1 UTODINGE VED VALG AV ANALYSEMETODIKK... 27 10.2 ANBEALT ANALYSEMETODIKK... 28 10.3 ANALYSEVEKTØY... 28 11. GJENNOMØING... 30 11.1 OGANISEING AV OSJEKTET... 30 11.2 STYINGS- OG EEANSEGUE... 30 11.3 SAMABEID MED ANDE BUKEE... 30 11.4 TIDSLAN... 30
operasjonell risikoanalyse 12. BUDSJETT OG INANSIEING... 31 12.1 12.2 BUDSJETT... 31 INANSIEING... 32 13. EEANSE... 33 AENDIX 1: AENDIX 2: AENDIX 3: AENDIX 4: KT ark ilotprosjekt containment barriere ilotprosjekt antenningsbarriere iskspectrum informasjon
operasjonell risikoanalyse Tabelloversikt TABELL 1 BUDSJETT O OSJEKTET... 31 TABELL 2 SAMMENDAG AV BUDSJETT... 32 TABELL 3 OSJEKTETS OUTSATTE INANSIEING... 32 iguroversikt IGU 1 UTGANGSUNKT O TEKNISK SIKKEHETSINDIKATO O BAGE (E 6)... 8 IGU 2 TONIVÅE I EILTE O CONTAINMENT BAIEEN... 9 IGU 3 OVESIKT OVE BAIEEN HINDE ANTENNING... 11 IGU 4 OVEODNET SKISSE OVE MODELLEING AV BAIEEN HINDE ANTENNING... 12 IGU 5 SKISSE TIL ESENTASJON AV BAIEEYTELSE, BASET Å ESENTASJON SOM BUKES I KJENEKAT ANALYSE... 14 IGU 6 BAGE LATTOMEN... 17 IGU 7 HOVEDOMÅDE Å BAGE LATTOMEN... 17 IGU 8 LYTSKJEMA O DELANALYSE... 18 IGU 9 HENDELSESTE I ILOTSTUDIE O M4-MODUL... 29 IGU 10 OSJEKTETS OGANISASJONSKAT... 30
operasjonell risikoanalyse (blank side)
1 1. Bakgrunn ODs regelverk har flere formuleringer som innebærer et behov for at alle barrierer og barriereelementer, fysiske og ikke-fysiske, analyseres i sammenheng. Det anses at disse kravene bare i begrenset utstrekning er ivaretatt i industrien, og de risiko- og barriereanalyser som er gjennomført. I ulike prosjekter har det vært gjennomført begrensede vurderinger av barrierer, disse har hovedsakelig vært kvalitative, og har primært fokusert på de fysiske barriereelementer. Det har vært skissert behov for mer omfattende og helhetlig analyse i flere sammenhenger, men så langt er det ikke gjennomført slik analyse noen gang innenfor petroleumsindustrien, kun delanalyser har vært gjort i ulike sammenhenger. I kjernekraft risikoanalyser er derimot slike helhetlige analyser (i alle fall av tekniske barriereelementer) forholdsvis vanlig. Et arbeidsseminar i N-prosjektets regi medio januar 2003 konkluderte med et behov for å analyser ikkefysiske barriereelementer, primært i en helhetlig analyse sammen med tekniske barrierer. Det ble samtidig observert at teknikker og modeller i stor grad er tilgjengelig. Dette er delvis verifisert gjennom forprosjektet og må videre utdypes i hovedprosjektet. Deltakerne på seminaret (fra forskning, myndigheter og industri) viste også et klart engasjement for å starte et prosjekt med en slik altomfattende analyse. Konklusjonen her sammenfaller i betydelig grad med det som OLs essursgruppe for Teknisk Sikkerhet (TS) konkluderte med i 2002, etter gjennomføring av et forprosjekt knyttet til (OA). ra OL gruppens side har det vært arbeidet med å få til analyse av barrierer, inklusiv fokus på effekt på barrierer når spesielle operasjonelle aktiviteter gjennomføres. OL gruppen inntok ved årsskiftet 2002/2003 en avventende posisjon, for å vurdere hva N-prosjektet ville ta initiativ til. Det er lagt opp til et samarbeid mellom N og OL arbeidsgruppen, slik at OL deltar i finansieringen av hovedprosjektet. ODs prosjekt isikonivå på norsk sokkel (ref. 1, NNS) hadde i ase 3 en overordnet vurdering av barrierer, basert på en kvalitativ vurdering utført av hvert enkelt operatørselskap. apporten konkluderte slik i forhold til selskapenes tilfredsstillelse av regelverkets krav: Industrien ble bedt om å gjøre overordnede vurderinger av ytelse av alle barrierer, slik regelverket krever. egelverkskravene synes per dags dato ikke å være særlig godt tilfredsstilt i bransjen sett under ett. rosjektet har som målsetting å bidra til at industrien får bedre innsikt i og oversikt over ytelse av barrierer, avhengigheter mellom disse samt hvordan barrierene påvirkes av ulike operasjonelle tiltak og aktiviteter.
2 2. ormål og omfang 2.1 orprosjektets formål ormålet med forprosjektet har vært å definere i detalj innholdet i hovedprosjektet, inklusiv scenarier og barrierer som skal inngå, utvelgelse av case og samarbeid med operatørselskaper og OL, samt organisering av gjennomføringen av hovedprosjektet, med aktuelle ou-miljøer, bruker- og andre miljøer. Det er etablert en oversikt over ou- og andre miljøer (norske og utenlandske) som har gjennomført detaljert modellering av barrierer og innflytelse av aktiviteter. Inneværende beskrivelse av hovedprosjektet er hovedproduktet fra forprosjektet. 2.2 Hovedprosjektets formål ormålet med hovedprosjektet er å gjennomføre et demonstrasjonsprosjekt (case studie) med en komplett modellering og analyse av barrierer på offshore produksjonsinnretninger, inklusive fysiske og ikke-fysiske barriereelementer. Både barrierer før og etter uønskede hendelser skal inkluderes, mao. barrierer for å forhindre at hendelsene skjer, og de barrierer som skal eliminere/begrense konsekvensene etter en uønsket hendelse. Analysen gjøres kvantitativ i størst mulig utstrekning, med de begrensninger som tilgjengelige modeller og data setter. Analysen gjennomføres slik at den kan gi mulighet for å identifisere feil og feilkombinasjoner som medfører risiko. Dette kan i sin tur utnyttes til å identifisere nødvendige tiltak til kontroll av risiko, samt se på effekt av modifikasjoner og konfigurasjonsendringer, og belyse effekten på barrierer når spesielle operasjonelle aktiviteter gjennomføres. Analysen vil bidra til å gi industrien den oversikt og innsikt som Styringsforskriften forutsetter at industrien skal ha i forhold til barrierer, som det er påvist i NNS rapporten for ase 3 (se kapi. 1) at industrien ikke har. 2.3 Omfang Hovedprosjektet skal modellere i detalj alle barrierer, inklusiv fysiske og ikke-fysiske barriereelementer. Dette anses å være den mest sentrale oppgave i forbindelse med kvantitativ. Analysen gjennomføres slik at eventuelle felleselementer og avhengighet mellom barriereelementer dekkes i nødvendig utstrekning. Den totale ytelse av barrierene må modelleres, inklusiv pålitelighet/tilg jengelighet, funksjonalitet og robusthet. Analysen prioriterer følgende risikomomenter, når det gjelder barrierer: Barrierer og -elementer knyttet til brann og eksplosjonsrisiko i prosessområdet på produksjonsinnretninger Barrierer og -elementer knyttet til fallende last (opsjon) Analysen gjøres kvantitativ så langt det er mulig med tilgjengelige modeller og data, eventuelt ved å kombinere med ekspertvurderinger. Det forventes at en vil benytte ulike typer delanalyser: Tekniske analyser Analyser av menneskelig pålitelighet, adferd og beslutningstaking av operatører i kontrollrom og andre overvåkingsfunksjoner, samt operatører i felt, arbeidslag, vedlikeholdsarbeidere, osv. Analyser av administrative og organisatoriske forhold. Delanalysene må knyttes sammen, slik at avhengigheter og fellesfeil kan analyseres på tvers.
3 3. Oversikt over andre relevante prosjekter 3.1 elevante prosjekter og aktiviteter 3.1.1 Norsk petroleumsindustri ølgende prosjekter med offshore petroleumstilknytning er identifisert å ha relevans i forhold til modellering av ikke-fysiske barriereelementer: OD prosjekt ikke-fysiske barrierer Hydro prosjekt Morgendagens HMS analyser Statoil prosjekt Aktivitetsindikator (BI) SfS arbeidsgruppe for barrierer K2- Endring - organisasjon teknologi (N) DNV//OD prosjektet Årsaksanalyse Diverse studier relatert til utvikling av Kickisk Med unntak av det førstnevnte prosjekt, er det ingen av prosjektene som søker å integrere fysiske og ikkefysiske barriereelementer, tilsvarende som målsettingen for inneværende prosjekt. rosjektet rundt ikke-fysiske barrierer har sammenfallende målsetting, for så vidt angår integrasjon av fysiske og ikke-fysiske barrierer. Det er nær kontakt mellom inneværende (for)prosjekt og OD-prosjektet, for å sikre god koordinering og a unngå overlapp. Det er også til dels samme personer fra SINTE involvert i begge prosjekter. rosjektene omtales kort nedenfor, med unntak av N-K2- Endring - organisasjon - teknologi, som er omtalt i delkapittel 5.7. Et antall prosjekter med en viss begrenset tilknytning, der aktuelle problemstillinger i en viss grad er adressert, omtales kort i delkapittel 3.6. 3.1.2 Andre næringer og andre land I tilknytning til forprosjektet har det vært kontakt med andre miljøer som følger: elcon AB, vedrørende kjernekraft risikoanalyser (se delkapittel 4.6) Charles Shepherd, HSE, risk monitors i kjernekraftverk rofessor Vicki Bier, University of Wisconsin, accident precursors & indicators rofessor W H Gibson, University of Birmingham, human reliability data, COE database 3.2 rosjekter for Oljedirektoratet 3.2.1 SINTE prosjekt for OD modellering av ikke fysiske barrierer I dette prosjektet arbeider SINTE i 2003 med å identifisere barrierer mot lekkasje i forbindelse med brønnintervensjon og en ser spesielt på samspillet mellom fysiske og ikke-fysiske barriereelementer. Som case er wirelineoperasjon valgt. 3.2.2 ODs ilotprosjekt Oljedirektoratet fikk gjennomført et pilotprosjekt i perioden 2000-2003, for å illustrere hvordan metodikk for risikoanalyse av kjernekraftverk kunne benyttes for petroleumsinnretninger. Et avgrenset pilotprosjekt ble gjennomført for M4-modulen på Statfjord A plattformen, med bruk av verktøyet iskspectrum. elcon AB som har utviklet verktøyet, stod også for gjennomføringen av pilotprosjektet. iskspectrum har en meget høy markedsandel (80-90% eller mer i Europa, 40% på verdensbasis) innenfor risikoanalyser for kjernekraftverk.
4 ilotprosjektet viste hvordan iskspectrum kan benyttes. I pilotprosjektet ble det illustrert hvordan tekniske avhengigheter mellombarriereelementer kan analyseres, og hvordan hjelpesystemer kan være en kilde til fellesfeil mellom flere barriereelementer. igur 9 viser et lite utsnitt av analysen i pilotprosjektet. ilotprosjektet inkluderte også feiltrær for en del av barriereelementene. Men analysen var sterkt forenklet på flere punkter, bl.a. i forhold til modellering av antenning. 3.3 Hydro prosjekt morgendagens HMS analyser Morgendagens HMS-analyser for vurdering av tekniske og organisatoriske endringer er et treårig prosjekt (2002-2004) igangsatt av Norsk Hydro i samarbeid med SINTE og NTNU. Målet for dette prosjektet er å utvikle bedre metodikk for vurdering av de sikkerhetsmessige konsekvensene av tekniske og organisatoriske endringer. Dagens metoder, både innenfor offshore i Norge, innenfor annen virksomhet i Norge og i verden forøvrig, er ikke nødvendigvis tilpasset en vurdering av komplekse tekniske og organisatoriske endringer i eksisterende virksomhet. apporten fra 2002, ref. 2, skisserer at nye metoder eller ny bruk av eksisterende metoder som dekker ulike perspektiver av sikkerhet må anvendes. Noen av de mest aktuelle metodene for endringsanalyse er beskrevet. En av metodene en har bestemt seg for å se nærmere på er Barriereendringsanalyse (BEA). Ved utførelse av en BEA er det foreslått å ta utgangspunktet i selskapenes ytelsesstandarder som er utviklet og benyttet i Statoils og Norsk Hydros Teknisk Tilstand prosjekter (henholdsvis TTS- og TST-prosjektene). Kravene og sjekkpunktene i disse ytelsesstandardene, som er utviklet for ulike tekniske barrierer, blir da brukt som underlag for vurdering av endringer. Dette betyr at en del ikke-fysiske barriereelementer, slik som manuell gassdeteksjon, ikke dekkes. å den annen side vil de menneskelige og organisatoriske forholdene som påvirker de tekniske barrierene, omfattes av en slik endringsanalyse. 3.4 Statoil prosjekt Aktivitetsindikator Målet med prosjektet er å utvikle indikatormodeller som gir en indikasjon på hva slags risiko et sett planlagte aktiviteter på en petroleumsinnretning medfører. okus er på risiko for personell. rosjektet er finansiert av Statoil og N, som BI-prosjekt tilknyttet K3 prosjektet. Aktivitetsindikatorer skal dekke isikopåvirkning fra planlagte aktiviteter Samtidige aktiviteter Vedlikehold (kontinuerlig og kampanjer) Modifikasjonsprosjekter rosjektet vurderer følgende aktuelle måleparametere: Sannsynlighet for initierende hendelser (hydrokarbonlekkasjer, fallende last etc.) Svekkelse av effektivitet og tilgjengelighet av risikoreduserende barrierer. Starten på prosjektet er gjennomført ved 2 hovedoppgaver ved HiS (ref. 3 og 4), og fortsetter utover i første halvår 2004. 3.5 Andre prosjekter 3.5.1 SfS arbeidsgruppe for barrierer Samarbeid for Sikkerhet (SfS) har initiert et prosjekt som har som målsetting å
5 1. Etablere felles begrepsapparat og definisjoner for barrierer. 2. Utarbeide utkast til avklarende forskriftstekst for oversendelse til OD. 3. Utarbeide utkast til etningslinjer som utgjør beste praksis og som gjør at bransjen har en felles og helhetlig tilnærming til barrieretenking og barrierebeskrivelse. Arbeidet utføres av en bredt sammensatt gruppe fra næringen og forskningsmiljøene. 3.5.2 DNV//OD prosjektet Årsaksanalyse Arbeidet beskrevet i denne rapporten ble initiert i forbindelse med utviklingen av Oljedirektoratets (ODs) nye HMS forskrifter. ormålet har vært å utvikle prinsipper for årsaksanalyse av prosesslekkasjer for å bedre nytten av kvantitative risikoanalyser som beslutningsstøtte i denne sammenhengen, og demonstrere hvordan slike analyser kan gjennomføres i praksis. rosjektet er utført i samarbeid mellom Det Norske Veritas (DNV) og - ogalandsforskning () på oppdrag for Oljedirektoratet i to økter i perioden 1999-2002, avbrutt av et lengre opphold fra høsten 1999 til høsten 2001. Den langsiktige målsetningen i prosjektet er å utvikle et analyseverktøy basert på årsaksmodeller, som gjør det mulig å kvantifisere installasjonsspesifikk lekkasjesannsynlighet, identifisere kritiske faktorer og sammenligne sannsynlighetsreduserende tiltak. I rapporten som beskriver forprosjektet, diskuteres hvordan grundigere årsaksanalyse vil bedre underlaget for styring av risiko knyttet til prosesslekkasjer sammenlignet med dagens praksis, hvordan slike analyser bør utføres samt praktisk gjennomførbarhet. Det er gjort en generell gjennomgang av fenomenet prosesslekkasje, dagens praksis med hensyn til analyse av lekkasjesannsynlighet og behovet for årsaksanalyser i ulike beslutningsprosesser i prosjektering og drift. å dette grunnlaget diskuteres hvilke krav som må stilles til en modell for årsaksanalyse av lekkasjesannsynlighet, for at den skal kunne legges til grunn for valg av tekniske og operasjonelle løsninger, og hvilke modelleringsprinsipper som bør benyttes. Basert på disse prinsippene utvikles en modellstruktur for analyse av lekkasjesannsynlighet og det gis et eksempel på detaljert modellering. Beregningsmetoder og utfordringer i denne sammenheng diskuteres. esultatene fra dette prosjektet, gir grunnlag for forbedringer av ulike sider av arbeidet med forebygging av lekkasjer, også utover den kvantitative analysen med sammenligning av løsninger og identifisering og valg av tiltak. De kvalitative resultatene fra forstudien kan benyttes som et felles grunnlag for systemer for innsamling av lekkasjedata, etablering og oppfølging av risikoindikatorer og granskning av hendelser. 3.5.3 Diverse studier relatert til utvikling av Kickisk Kickisk er et verktøy for analyse av brønnspesifikk risiko relatert til kick (brønnspark) og utblåsning. Verktøyet er basert på detaljert modellering av årsaksmekanismer til kick og utblåsning, og inkluderer både fysiske og operasjonelle aspekter ved boreoperasjonen. Den detaljerte modelleringen tillater brønn- og operasjonsplanleggere å analysere risiko ved å spesifisere usikkerhet til størrelser relatert til operatør, rigg, brønn og reservoar på et hensiktsmessig detaljnivå, og deretter se hvordan disse verdiene påvirker kick og utblåsningssannsynlighet. Kickisk skiller seg fra eksisterende verktøy som hovedsaklig er basert på gjennomsnittlige utblåsnings frekvenser. Disse verktøyene vil i liten grad være i stand til å reflektere brønnspesifikk informasjon, og er dermed til liten nytte i brønnplanleggingsprosessen. Kickisk er utviklet av ogalandsforskning. Den første fasen av prosjektet som var utvikling av kick modulen, ble ferdigstilt i 1998. Den andre fasen som innebar å utvikle en modul som ser på tap av brønnkontroll gitt kick ble ferdig i 2002. Tredje fase er utvikling av en modul som kvantifiserer utblåsningsrate og -volum, og dette arbeidet pågår. rosjektet er støttet av Norsk Agip, Norsk Hydro, Statoil og Oljedirektoratet. 3.6 Tilgrensende prosjekter Aktuelle tilgrensende prosjekter er:
6 Modellering av barrierer i risikoanalyser, prosjekt-initiativ tatt av OLs gruppe for Teknisk sikkerhet i 2002, for å få et bredt samarbeid om modellering av barrierer. rosjektet ble aldri startet, bl.a. med henvisning til at N har startet forberedelser til et bredt anlagt prosjekt. isikonivå på norsk sokkel (ref. 1, NNS). I forbindelse med ase 3 rapporten la en opp til en overordnet vurdering av barrierer, basert på en kvalitativ vurdering utført av hvert enkelt operatørselskap. apporten konkluderte med at oversikten over barrierens samlede ytelse generelt sett er begrenset blant selskapene. SO Operational Safety (ref. 5), som analyserte menneskelige og organisatoriske årsaker til kollisjonsrisiko for bøyelastere ved lasting fra produksjonsskip, med bruk av risikoinfluensdiagram.
7 4. Underlag fra forprosjekt 4.1 Oversikt over forprosjekt 4.1.1 Arbeidsoppgaver ølgende aktiviteter har vært gjennomført i forprosjektet: 1. Beskrivelse av innhold 2. Etablering av samarbeidsrelasjoner 3. Definisjon av delanalyser/pilotstudier 4. Hovedprosjektorganisering 5. Budsjett og finansiering 6. Informasjon og erfaringsutveksling 4.1.2 Seminarer og møter ølgende møter og seminarer er avholdt i forprosjektet: 16.1, Sonderingsmøte, behandling av menneskelige og organisatoriske feil i kvantitative risikoanalyser 27.4, Oppstartmøte 5.6, Innføring i hvordan barrierer analyseres i kjernekraftverk, samt bruk av iskspectrum 13.6, Gjennomgang av pilotstudier utført av ST for Brage plattformen 21.8, Statusmøte, diskusjon av analysemetodikk & -verktøy Det arbeides med å få til et samordningsmøte med K2-prosjektet i forhold til K2-prosjektets arbeid med barrierer. Det er intensjonen at et slikt møte vil bli avholdt tidlig i hovedprosjektet. I de fleste møter i prosjektgruppen har aktuelle brukermiljøer deltatt. I tillegg til de overnevnte møter kommer arbeidsmøter internt i prosjektgruppen, samt at prosjektet er diskutert i OLs gruppe for Teknisk sikkerhet ved flere anledninger. 4.1.3 SINTEs analyse av Brage plattformen SINTE Teknologiledelse har 2 relevante prosjekter for Norsk Hydro med tilknytning til Brage plattformen: Morgendagens HMS-analyser (BI-prosjekt), se delkapittel 3.3 KI teknisk sikkerhetstilstand, Brage-pilot (ref 6) I det andre prosjektet på listen over utvikles en KI (Key erformance Indicator) for teknisk sikkerhetstilstand, basert på et pilotprosjekt på Brage. Omfanget framgår av igur 1.
8 Teknisk sikkerhetsindikator Nødavstengningsventiler Sikkerhetsventiler Gassdetektorer Annet utstyr ør Annet prosessutstyr Etterslep forebyggende vedlikehold Utestående korrigerende vedlikehold Utkoplinger og overbroinger Barrieretestindikator Inspeksjonsindikator Aktivitetsindikator Hendelsesindikator Lekkasje/utslipp Svikt/mangler på teknisk sikkerhetssystem Mangelfull klargjøring før/etter drift/vedlikehold Brann og eksplosjon igur 1 Utgangspunkt for teknisk sikkerhetsindikator for Brage (ref 6) I forbindelse med et OD-tilsyn på Brage er det våren 2003 blitt utarbeidet en dokumentasjons-cd, som er blitt stilt til rådighet for alle relevante prosjekter. Det planlegges videre et besøk på Brage i løpet av høsten 2003. 4.2 ilotanalyse lekkasjerisiko Målsetningen for pilotprosjektet har vært å beskrive en mulig framgangsmåte for nedbryting og analyse av containment barrieren, dvs. den barrieren som skal forebygge og forhindre utslipp av hydrokarboner. Det er lagt vekt på å bryte ned containment barrieren til et nivå som skal reflektere hvordan barrieren påvirkes av menneskelige og organisatoriske faktorer, og hvor det skal være mulig å vurdere effekten av ulike operasjonelle tiltak og aktiviteter. Modellering av lekkasjer i dagens QA baserer seg i stor grad på generisk frekvensanalyse. Basert på en oppsummering av antall utstyr på installasjonen kombinert med en generisk lekkasjefrekvens for dette utstyret, kommer en fram til en total lekkasjefrekvens for installasjonen, gjerne fordelt på ulike lekkasjerateintervaller. I en slik generisk framgangsmåte utelates viktig systemkunnskap, både om de forholdene som direkte påvirker lekkasjefrekvensen (som korrosjon, erosjon, operasjonelle feil, etc.) og mer bakenforliggende årsaker (slik som design, vedlikehold, prosedyrer, etc.). Ved å modellere til et passende nivå ønsker vi å utnytte tilgjengelig informasjon i form av hendelsesdata, ekspertvurderinger, samt andre tilgjengelige data slik som feilrater for utstyr, menneskelige feilsannsynligheter, osv, på en mer eksplisitt måte i modelleringen. En bør tidlig i hovedprosjektet ta stilling til hvorvidt analysen skal være basert på normaliserte lekkasjefrekvenser for aktiviteter i forhold til estimert lekkasjefrekvens for normalt drift eller estimere på tradisjonelt vis en sannsynlighet for lekkasje ved aktuelle aktiviteter. or eksempel; frekvensen av store lekkasjer på kjellerdekket vil (i en nærmere definert tidsperiode) øke med 30% i forbindelse med pågående brønnaktiviteter. I forbindelse med feiltremodellering av containment barrieren vil det være flere ulike mønstre for å bryte denne barrieren videre ned, som for eksempel: Nedbryting med operasjonsfaser som øverste nivå Nedbryting med direkte årsaker på øverste nivå
9 Nedbryting med utstyrkategori på øverste nivå Ved å kombinere elementer fra disse tre ulike nedbrytingsmønstrene, har en i pilot prosjektet konkludert med følgende utgangspunkt for videre modellering av containment (se igur 2). Lekkasje/loss of containment rosessparametere "out of range" ysisk nedbryting / utstyrssvikt Operasjonell svikt Ytre påvirkning Overtrykk Undertrykk Overflow / overfylling Anna eil montering av utstyr eil ifm isolering / ventilposisjon Mangelfull drenering / gassfriing 2 3 4 5 11 12 13 Lekkasje fra koblinger Lekkasje fra ventil Lekkasje fra rør Lekkasje fra trykktank Lekkasje fra roterende maskineri allende last Kollisjon/ påkjørsel Andre eksterne laster 6 7 8 9 10 14 15 16 igur 2 Toppnivåer i feiltre for containment barrieren En tidlig aktivitet i hovedprosjektet vil være å bryte dette feiltreet for containment videre ned i passende basishendelser for videre analyse. Det vil dessuten være behov for å splitte analyseobjektet, dvs installasjonen som en ser på, opp i hovedområder og lekkasjestørrelser, slik som for eksempel stor lekkasje på hoveddekket. Kvantifisering i den grad det lar seg gjøre ved hjelp av tilgjengelige modeller og data, er et uttalt mål med hovedprosjektet. or å kvantifisere topphendelsen forutsettes det at sannsynlighetene eller frekvensen for alle basishendelsene i feiltreet kvantifiseres. En kan se for seg ulike metodiske tilnærminger til en kvantifisering av basishendelsene: Direkte bruk samt bearbeiding av generiske data fra ulike datakilder Metoder for kvantifisering av menneskelig feilpålitelighet (HA), for eksempel HEAT I-analyse / influensmodellering Bruk av ekspertvurderinger Det kan være aktuelt å bruke disse metodene enkeltvis eller i kombinasjon. or å kunne foreta en kvantifisering samt en vurdering av hvilken effekt ulike tiltak og aktiviteter har på de ulike basishendelsene (og dermed på lekkasjerisikoen), ser vi for oss (minst) fire ulike aktiviteter: a) Etablering av basissannsynligheter; Basert på generiske data, HA og/eller ekspertvurderinger, etableres en basissannsynlighet for hver slutthendelse i feiltreet. b) Etablere en generisk liste med risikopåvirkende faktorer; Et sett med risikopåvirkende faktorer (Ier), dvs forhold som påvirker sannsynligheten / frekvensen for basishendelsene, må deretter defineres.
10 c) elasjon mellom basishendelser og I er; En må deretter, for hver basishendelse, identifisere de risikopåvirkende faktorene som en mener vil påvirke frekvensen av hendelsen. I tillegg må det etableres en sammenheng mellom Iene og frekvensen av basishendelsen. Dette kan gjøres enten i form av en enkel liste og/eller det kan være beskrevet ved hjelp av et influensdiagram. d) I analyse; Når basissannsynligheter for alle slutthendelsene og oversikt over I er som påvirker disse er etablert, må en for hver slutthendelse vurdere hvordan status på I ene vil påvirkes av de ulike tiltak og aktiviteter som analysen skal dekke. or en mer detaljert beskrivelse av framgangsmåten beskrevet over, henvises det for øvrig til pilotprosjektrapporten i Appendix 2 (se spesielt kap. 5 i denne). ilotprosjektrapporten inneholder dessuten en beskrivelse av en spesifikk case relatert til flenser. 4.3 ilotanalyse barriere mot antenning ormålet med denne pilotstudien har vært tre-delt: Avklare hva simulering av antenningstidspunkt/antenning som gjøres i QA-studier innebærer. Avklare om modellering kan baseres på hendelsestre & feiltre, eller om full simulering er nødvendig. Modellere antenning som pilotprosjekt ilotstudien har tatt utgangspunkt i barrieren hindre antenning slik den er beskrevet i Utvikling i risikonivå norsk sokkel (NNS), ase 3 (ref. 7), se igur 3. ilotstudien har vektlagt å få synliggjort de barriere - element som inngår i barrieren Hindre tenning og sammenhengen mellom disse som funksjon av tid, samt hvordan driftsmoder, bemanning osv. påvirker hendelsesforløpet. Studien har tatt hensyn til Tidsutvikling Den totale ytelsen til barrieren, inklusiv pålitelighet/tilgjengelighet, funksjonalitet og robusthet Avhengigheter og fellesfeil Modellering av driftsmoder og aktiviteter. Et viktig element har vært at eksiterende analyser og modeller som brukes i dagens QA og resultater fra detaljerte pålitelighetsstudier/sil-studier skal brukes i størst mulig grad. Men at for eksempel detaljresultater skal synliggjøres og brukes for å få bedre kunnskap om barrieren Hindre antenning.
11 Barriere Systemnivå Barriereelement åvirkende forhold Deteksjon Tennkildekontroll Automatisk gassdeteksjon Manuell gassdeteksjon Inert gass Tennkildeisolering Detektorer &G logikk ersonel l ush buttons mm. &G logikk ilter Inertgass generator Distribusjonssystem Ventiler &G logikk Brytere - Voteringslogikk - Detektortetthet - Etterslep V - Testprosedyrer/intervall - rosedyrer - Oppmerksomhet i kontrollrommet - Tilstedeværelse av personell - Bemanningsnivå - Etterslep V - Nødavstengingshierarki - Nødavstengingshierarki - Etterslep V & KV - rosedyrer - Detektortype Hindre antenning Ex utstyr rosedyrer Ex utstyr Varmtarbeidkontroll utiner knyttet til personaktivitet/ arbeidsutførelse - Etterslep V - Sikkerhetskultur - Opplæring/kompetanse - Arbeidsledelse - isikovurdering - Kommunikasjon Hindre spredning av gass til uklassifiserte områder Overtrykk i uklassifiserte områder Vifter Sluser Trykkregulering - Etterslep KV Utforming/ design Avstand Antall og plassering Ytelse: ålitelighet (), unksjonalitet () og obusthet () igur 3 Oversikt over barrieren hindre antenning En mer detaljert rapport fra dette pilotprosjektet framgår av Appendix 3. I Appendix 3 skisseres hendelsestrær og feiltrær, samt en skisse av hvordan tidsmessig simulering av gasspredning, deteksjon og antenning skal integreres i hendelsestrærne, se igur 4.
12 or lekkasjekategori 1..m t 0 t1 t 2 or vindretning 1..n or vindstyrke 1..k umiddelbar tenning Lekkasje (m,n) Tenning mellom t0 og t 1 Brann deteksjon, tid t 1 Ikke deteksjon Tenning mellom t1 og t utkoblinmg av tennkilder Gassdeteksjon, tid t 1 Ikke tenning Ikke tenning Tenning mellom t1 og t 2 Ikke deteksjon Deteksjon, tid t 2 Gassdeteksjon feiler, ved tid t 1 Ikke tenning Deteksjon feiler, tid t2 Detektorer ikke eksponert, ved tid t 1 eil på deteksjonssyst Deteksjon feiler, ved tid t2 Detektorer ikke eksponert, ved tid t 2 eil på deteksjonssyst igur 4 Overordnet skisse over modellering av barrieren hindre antenning 4.4 Aktuelle bruksområder for r Aktuelle bruksområdet for operasjonelle risikoanalyser omfatter følgende: Gi underlag for beslutninger om effekten av driftsrelaterte forhold, tiltak og beslutninger som påvirker lekkasjesannsynligheten. Eksempler på slike kan være: o Utkobling av sikkerhetssystemer / funksjoner, for eksempel i SD o kvalitet og omfang av vedlikehold og inspeksjon o kompetanse og opplæring av operatører o kompleksitet av systemer og prosess o styring, gjennomføring og kontroll av arbeidsprosesser o effekten av å utsette eller sløyfe en nærmere spesifisert vedlikehold- eller inspeksjonsaktivitet o effekten av å sløyfe SJA før utførelse av en vedlikeholdsaktivitet o arbeidstillatelsessystemet