FORFATTER(E) Knut Øien OPPDRAGSGIVER(E) Norsk Hydro GRADER. DENNE SIDE ISBN PROSJEKTNR. ANTALL SIDER OG BILAG. Åpen 82-14-02595-8 384498 70

SINTEF RAPPORT TITTEL SINTEF Teknologi og samfunn Sikkerhet og pålitelighet Barriereendringsanalyse (BEA) Postadresse: 7465 Trondheim Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 27 56 Telefaks: 73 59 28 96 Foretaksregisteret: NO 948 007 029 MVA FORFATTER(E) Knut Øien OPPDRAGSGIVER(E) Norsk Hydro RAPPORTNR. GRADERING OPPDRAGSGIVERS REF. STF38 A04430 Åpen John Monsen GRADER. DENNE SIDE ISBN PROSJEKTNR. ANTALL SIDER OG BILAG Åpen 82-14-02595-8 384498 70 ELEKTRONISK ARKIVKODE PROSJEKTLEDER (NAVN, SIGN.) VERIFISERT AV (NAVN, SIGN.) BEA rapport endelig åpen.doc Knut Øien Snorre Sklet ARKIVKODE DATO GODKJENT AV (NAVN, STILLING, SIGN.) SAMMENDRAG 2005-09-20 Lars Bodsberg, Forskningssjef I offshorevirksomheten på norsk sokkel blir det stadig færre nye store utbygginger, mens modifikasjoner av eksisterende innretninger blir mer og mer aktuelt. Behovet for å gjennomføre troverdige endringsanalyser som belyser sikkerheten er derfor økende. Endringer innebærer både fordeler og ulemper og det er viktig å avdekke begge deler, ikke minst eventuelle ulemper som kan være oversett. For enhver større endring må sikkerhetskonsekvensene vurderes og man må kunne gi svar på: Hvordan påvirker endringene sikkerheten? Er endringene totalt sett sikkerhetsmessig forsvarlig? Ivaretas sikkerheten minst like godt som før endringene? Barriereendringsanalyse (BEA) er en metode for å analysere de sikkerhetsmessige konsekvensene av komplekse tekniske og organisatoriske endringer ut fra et sikkerhetsbarriereperspektiv. Denne rapporten beskriver metoden, bakgrunnen for utviklingen av metoden og hva den bygger på. Resultatene av bruk/uttesting av metoden presenteres, sammen med en diskusjon av nytteverdi, implementering og begrensninger. STIKKORD NORSK ENGELSK GRUPPE 1 Sikkerhet Safety GRUPPE 2 Risiko Risk EGENVALGTE Endringsanalyse Analysis Sikkerhetsbarrierer Safety Barriers

2 INNHOLDSFORTEGNELSE 1 Sammendrag...3 2 Innledning...4 2.1 Bakgrunn og problemstilling...4 2.2 Tilnærming...5 2.3 Målsetting...6 2.4 Begrensning...6 2.5 Begreper og definisjoner...7 2.6 Forkortelser...9 3 Metodebeskrivelse...10 4 Uttesting av metoden...15 4.1 Oppsummering av resultatene...15 4.2 Vurdering av metoden...17 4.2.1 Fordeler og ulemper ved metoden...17 4.2.2 Mulige tilpasninger av metoden...17 5 Diskusjon...19 5.1 Nytteverdi (hvorfor bruke BEA?)...19 5.2 Implementering og bruk (hvordan bruke BEA?)...19 5.3 Begrensninger...20 6 Referanser...21 Vedlegg A Ytelsesstandardene styrker og svakheter...22 Vedlegg B Detaljerte resultater fra uttestingen av metoden...28 Vedlegg C MTO-klassifisering av ytelseskravene...66

3 1 Sammendrag I offshorevirksomheten på norsk sokkel blir det stadig færre nye store utbygginger, mens modifikasjoner av eksisterende innretninger blir mer og mer aktuelt. Behovet for å gjennomføre troverdige endringsanalyser som belyser sikkerheten er derfor økende. Endringer innebærer både fordeler og ulemper og det er viktig å avdekke begge deler, ikke minst eventuelle ulemper som kan være oversett. For enhver større endring må sikkerhetskonsekvensene vurderes og man må kunne gi svar på: Hvordan påvirker endringene sikkerheten? Er endringene totalt sett sikkerhetsmessig forsvarlig? Ivaretas sikkerheten minst like godt som før endringene? Den metoden som blir mest benyttet som endringsanalyseverktøy per i dag er den kvantitative risikoanalysen (QRA). QRA er i utgangspunktet et designverktøy, som modellerer sikkerhetssystemene svært grovt og som ikke dekker organisatoriske forhold. QRA er derfor av flere grunner ikke egnet til vurdering av endringer i drift, og resultatene mangler nødvendig troverdighet. Barriereendringsanalyse (BEA) derimot bygger på ytelsesstandardene utviklet i TTS- og TSTprosjektene som stiller detaljerte krav til sikkerhetssystemene, er tilpasset vurderinger i driftsfasen og dekker i noen grad også organisatoriske forhold. Ytelsesstandardene representerer et betydelig arbeid med å samle alle krav (interne og eksterne) knyttet til sikkerhetssystemene og bør også utnyttes til eksempelvis endringsanalyser. BEA består av tre deler; screeningprosess, endringsanalyse og konsekvensvurdering. I screeningprosessen velger man ut de relevante barrierer/sikkerhetssystemer, dvs. de barrierer som vil bli berørt av endringen, samt at man velger ut de relevante kravene i ytelsesstandardene for de berørte barrierene. I endringsanalysen vurderes hvorvidt kravet oppfylles etter endringen og hvorvidt grad av kravoppnåelse er endret i forhold til tidligere. I konsekvensvurderingen vurderes effekten av endringene, samt eventuelle behov for risikoreduserende tiltak. BEA representerer en grundig kvalitativ vurdering av sikkerhetssystemene ved at den bygger på ytelsesstandardene som stiller detaljerte krav til sikkerhetssystemene. Den er tilpasset vurderinger i driftsfasen og dekker i noen grad også organisatoriske forhold. Nytteverdien ved BEA er at den gir svar på om sikkerheten er tilfredsstillende ivaretatt ved en endring/modifikasjon på en troverdig måte, innenfor den innfallsvinkel til sikkerhetsvurdering denne metoden representerer, dvs. ut fra et barriereperspektiv.

4 2 Innledning 2.1 Bakgrunn og problemstilling Endringer og omstillinger er en nødvendig del av all virksomhet som ønsker fremskritt, men endringer kan også være roten til problemer, eller som Johnson (1980) sier det; change is the mother of twins progress and trouble. I offshorevirksomheten på norsk sokkel blir det stadig færre nye store utbygginger, mens modifikasjoner av eksisterende innretninger blir mer og mer aktuelt. Dette gjelder både installasjoner som fortsatt har lang levetid igjen, og det gjelder tilpasninger mot sluttfaseproduksjon av installasjoner som nærmer seg utfasing. Eksempler på dette for Norsk Hydro er utskiftingen av DISCOS/SAS 1 på Oseberg Feltsenter og tilpasning til haleproduksjon på Oseberg Øst og Brage. I noen tilfeller er endringene primært av teknisk karakter, mens det i andre tilfeller også gjøres større organisatoriske endringer. Oftest vil det være en kombinasjon av tekniske og organisatoriske endringer. I industrivirksomhet hvor potensialet for store ulykker er til stede, men hvor de faktiske ulykkene er få, benyttes ofte kvantitative risikoanalyser (QRA) for risikovurderinger. I mangel av reelle ulykkeshendelser modelleres og beregnes risikoen for ulykker. QRA ene er imidlertid mest benyttet i designfasen, er ikke særlig detaljerte, og har i hovedsak fokus på de tekniske systemene. De er lite følsomme for organisatoriske og menneskelige forhold (slik som operatørers pålitelighet ). State-of-the-art QRA er derfor dårlig egnet som underlag for vurdering av de sikkerhetsmessige konsekvensene av større modifikasjoner i driftsfasen. QRA ble bl.a. benyttet under forprosjektet for fjerndrift av Oseberg Øst uten at resultatet ble vurdert som særlig troverdig av fagmiljøet for teknisk sikkerhet i Norsk Hydro. Utvikling av risikoanalysen som beslutningsstøtteverktøy har pågått kontinuerlig, særlig innenfor kjernekraftindustrien, men også innenfor prosessindustrien og i den senere tid i noen grad innenfor offshoreindustrien. Utviklingen har gått i mange retninger, men vi vil kun fokusere på det som berører organisatoriske forhold, og som håndteres dårlig i dagens risikoanalyser (innen alle industrier). Felles for alle disse nyutviklingene er at de ennå ikke er tatt i normal bruk, men mer må betraktes som spesialanalyser eller forskningsprosjekt. Det har vært gjort flere forsøk på å integrere organisasjons- og ledelsesmodeller med de tekniske modellene i risikoanalysene, og i et pågående EU-prosjektet kalt ARAMIS 2 (Hourtolou & Salvi, 2003) forsøker man også å inkludere aspekter som opplevd risiko ( risikopersepsjon ) i en total risikomodell. På norsk side, innenfor offshorevirksomheten, forsøker man å utvikle en mer detaljert risikoanalyse for bruk i driftsfasen kalt BORA 3 (Aven et al., 2004). BORA er primært tenkt benyttet i driftsfasen som et verktøy for å beregne effekten på risikoen av økning i bestemte aktiviteter, konfigurasjonsendringer, osv. (dvs. mindre endringer), noe som ligger nær opp til bruken av såkalte Risk Monitors innen kjernekraftindustrien. På sikt vil kanskje BORA kunne egne seg som underlag for risikovurderinger av større modifikasjoner. 1 DISCOS Distributed Integrated Safety and COntrol System; SAS Safety and Automation Systems 2 ARAMIS Accidental Risk Assessment Methodology for IndustrieS 3 BORA Barriere og Operasjonell RisikoAnalyse

5 Det er imidlertid et åpent spørsmål om én stor altomfattende risikomodell/analysemetode er det som egner seg best for å analysere konsekvensene av store og komplekse endringer. Som et alternativ til dette foreslår vi å benytte et sett med komplementære analysemetoder, hvorav barriereendringsanalyse (BEA) utgjør én av metodene. Hovedargumentene for dette er at altomfattende/integrerte modeller er kompliserte og ressurskrevende å utvikle, ennå mer komplisert å få implementert og sist men ikke minst vanskelig å gjøre troverdig. 2.2 Tilnærming Vi har altså valgt en tilnærming til analyse av komplekse endringer hvor vi benytter ulike innfallsvinkler for å analysere og belyse konsekvensene av endringene, og vi har utviklet metoder for de ulike innfallsvinklene som vektlegger forståelsen av hva endringene innebærer. Det betyr at vi fokuserer mest på den kvalitative siden, og mindre på kvantifisering av konsekvensene. Flere innfallsvinkler til analyse av komplekse endringer og mer detaljert kvalitativ forståelse av komplekse endringer er bevisste valg vi har gjort, fordi vi mener dette bidrar til å øke troverdigheten til analysene. Vi har også valgt å ta utgangspunkt i eksisterende metoder, enten ved at vi videreutvikler disse, eller at vi bygger på disse. Også dette er et bevisst valg, fordi vi mener det vil lette implementeringen av metodene. Metodene er enten allerede kjent og brukt, eller den metodikk de bygger på er kjent. Terskelen for å ta i bruk nye ukjente metoder vil alltid være større enn å ta i bruk videreutviklede kjente metoder. I denne rapporten beskriver vi metoden vi har kalt barriereendringsanalyse, forkortet BEA. Denne fokuserer spesielt på sikkerhetsbarrierene, noe vi begrunner med at sikkerhetsbarrierene "per definisjon" er viktig for sikkerheten 4, og en eventuell endring av barrierenes ytelse vil dermed påvirke sikkerheten. Svært mange forhold påvirker barrierenes ytelse, men en samlet, komplett, og detaljert oversikt over alle påvirkende faktorer finnes ikke. Det er en omfattende jobb å etablere en slik oversikt fra grunnen av, og det vil derfor være en stor besparelse i å ta utgangspunkt i den dokumentasjon som allerede finnes, selv om denne ikke er komplett. Det beste utgangspunktet vi kan finne per i dag er Statoils og Norsk Hydros ytelsesstandarder utviklet og benyttet i TTS- og TST-prosjektene 5 (Sørum et al., 2002). En av begrensningene ved disse ytelsesstandardene er at de har fokus på tekniske barrierer, selv om de også inkluderer enkelte menneskelige og organisatoriske faktorer som påvirker disse barrierene. De inkluderer imidlertid ikke rene menneskelige barriereelementer som f.eks. manuell deteksjon av gass. Kravene og sjekkpunktene i ytelsesstandardene kan brukes som underlag for vurdering av endringer. Kun de ytelsesstandarder og krav som berøres av endringen vil være gjenstand for endringsanalyse. Dermed reduseres omfanget av analysen sammenliknet med en full gjennomgang av tilstanden til samtlige barrierer på en installasjon. 4 Sikkerhetsbarrierene skal enten redusere sannsynligheten for at feil som inntreffer skal få utvikle seg til ulykkeshendelser eller de skal redusere konsekvensene av ulykkeshendelsene. 5 TTS Teknisk Tilstand Sikkerhet, TST Teknisk Sikkerhetstilstand

6 Forankring i regelverket I Styringsforskriften (OD, 2002) 2 om Barrierer står følgende: Operatøren eller den som står for driften av en innretning, skal fastsette de strategiene og prinsippene som skal legges til grunn for utforming, bruk og vedlikehold av barrierer, slik at barrierenes funksjon blir ivaretatt gjennom hele innretningens levetid. Det skal være kjent hvilke barrierer som er etablert og hvilken funksjon de skal ivareta, jf. 1 om risikoreduksjon andre ledd, samt hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendige for at den enkelte barrieren skal være effektiv. Det skal være kjent hvilke barrierer som er ute av funksjon eller er svekket. Den ansvarlige skal sette i verk nødvendige tiltak for å rette opp eller kompensere for manglende eller svekkede barrierer. Denne paragrafen viser at myndighetene legger stor vekt på barrierer generelt, og siste setning peker spesifikt på at den ansvarlige skal sette i verk nødvendige tiltak for å rette opp eller kompensere for manglende eller svekkede barrierer. For endringer/modifikasjoner som er planlagt, men ikke gjennomført, må man først avdekke hvilke barrierer som kan bli berørt og hvorvidt de kan bli svekket, og dernest foreslå nødvendige kompenserende tiltak. Dette er det barriereendringsanalysen bidrar til, dvs. ivaretakelse av Styringsforskriftens 2, siste ledd, i forbindelse med større endringer/modifikasjoner hvor barrierenes ytelse kan bli påvirket. 2.3 Målsetting Målsetningen med utviklingen av en metode for barriereendringsanalyse (BEA) er at den skal brukes i forbindelse med større tekniske eller organisatoriske endringer for å si noe om de sikkerhetsmessige konsekvensene av endringene, og hvorvidt endringene er akseptable (evt. bidra til å klargjøre forutsetninger som må oppfylles før endringene kan iverksettes). Mer konkret bør man ved enhver større endring/modifikasjon være i stand til å besvare følgende spørsmål: Hvordan påvirker endringene sikkerheten? Er endringene totalt sett sikkerhetsmessig forsvarlig? Ivaretas sikkerheten minst like godt som før endringene? Disse spørsmålene vil BEA bidra til å gi svar på. BEA skal brukes som én av flere metoder (innfallsvinkler/perspektiver), og er derfor ikke - og behøver heller ikke å være - komplett dekkende alene (for nærmere utdyping av dette, se Øien et al., 2002a). 2.4 Begrensning BEA benytter ytelsesstandardene i TST som underlag, og disse dekker først og fremst tekniske forhold, men også i noen grad indirekte påvirkende forhold som driftstilpasning (operability), vedlikeholdsvennlighet, og ledelsesmessige og organisatoriske forhold. De sistnevnte forholdene

7 er imidlertid langt svakere behandlet enn de tekniske forholdene, og det er behov for å styrke disse. Forslag til styrking av sjekklistene er diskutert i vedlegg A. Et annet forhold som kan betraktes som en begrensning (dog ingen absolutt begrensning) er at når vi legger ytelsesstandardene til grunn så er det en stor fordel om den aktuelle installasjonen som skal modifiseres har hatt en TST-gjennomgang. Endringsanalysen kan da bruke resultatene fra denne som basis. Alternativet er å gjøre vurderingen av nå-situasjonen som del av endringsanalysen, noe som imidlertid vil øke omfanget av endringsanalysen. 2.5 Begreper og definisjoner Barrierebegrepet Vi benytter følgende begrepsapparat knyttet til barrierebegrepet (hentet fra arbeidsgruppe for definering av barrierebegrepet i Samarbeid for Sikkerhet, SfS, 2004): Tabell 1 Barrierebegreper Funksjon for å hindre realisering av en farekilde, eller begrense skade Barrierefunksjon (BF) ved å bryte et uønsket hendelsesforløp. Kan deles inn i barrieredelfunksjoner. Barrieresystem/- elementer (BS) Ytelsespåvirkende forhold MTO-løsninger som skal sørge for at den aktuelle barrierefunksjon oppfylles. Barrieresystem kan deles inn i barriereelementer. Forhold som påvirker ytelsen til BS. Vedlikehold, ressurstilgang, kompetanse er eksempler på ytelsespåvirkende forhold. Som beskrevet nedenfor så går begrepene barrierefunksjon og barrieresystem noe over i hverandre. Eksempelvis så brukes nødavstengning om både funksjonen og systemet. Barriereytelsesbegrepet Figur 1 illustrerer hvordan definisjon av barriereytelse har utviklet seg i oljeindustrien. Til venstre i figuren er det henvist til at OD i sitt regelverk (Styringsforskriften 2; OD, 2002a) stiller krav om at operatørene skal definere krav til barrierenes ytelse, og i veiledningen til Styringsforskriften (OD, 2002b) er det beskrevet hva som kan inngå i ytelsesbegrepet. Til høyre i figuren er det vist hvordan man i to prosjekter (hhv. TTS/TST og RNNS 6 ) har valgt å begrense seg til 3-4 ytelseskategorier ved at man grupperer noen av de ytelseskategoriene som er nevnt i ODs regelverk. Definisjonene benyttet i hhv. TTS/TST og RNNS er nokså like, men vi har her valgt å benytte definisjonene fra TTS/TST, som er: Funksjon Vesentlige oppgaver som systemet forventes å utføre som en sikkerhetsbarriere. 6 RNNS Risikonivå på norsk sokkel (Husebø et al., 2002)

8 Integritet Systemets pålitelighet og tilgjengelighet, så som sannsynlighet for svikt, svekkede systemkomponenter osv. Sårbarhet/robusthet Systemets evne til å fungere som barriere i en dimensjonerende ulykkessituasjon. Styring Status for dokumentasjon, avvikshåndtering, menneskelige faktorer og kompetanse som kan ha direkte innvirkning på tekniske forhold. OD, SF 2 OD, SF 2, veil. TST (TTS) RNNS TTS RNNS Kapasitet Pålitelighet Tilgjengelighet Function (funksjon) Funksjonalitet / effektivitet Vesentlige oppgaver som systemet forventes å utføre som en sikkerhetsbarriere [TTS] Den effekt barrieren har på ulykkesforløpet gitt at den funksjonerer som forutsatt [RNNS] Krav til ytelse Effektivitet Integrity (integritet) Tilgjengelighet / pålitelighet Systemets pålitelighet og tilgjengelighet, så som sannsynlighet for svikt, svekkede systemkomp. osv [TTS] Barrierens evne til å være til stede ved behov [RNNS] Evne til å motstå laster Survivability (sårbarhet) Robusthet (invers av sårbarhet) Systemets evne til å fungere som barriere i en dimensjonerende ulykkessituasjon [TTS] Barrierens evne til å funksjonere under relevante ulykkesforløp og -laster [RNNS] Integritet Robusthet Management (styring) (Styring / dok.) Status for dokumentasjon, avvikshåndtering, endringsstyring, menneskelige faktorer og kompetanse som kan ha direkte innvirkning på tekniske forhold [TTS]... Figur 1 Definisjoner av barriereytelse/ytelseskategorier Eksempel på bruk av barrierebegrepet i BEA Tabell 2 viser et eksempel på hvordan definisjonene ovenfor kan anvendes for et konkret sikkerhetssystem (ESD) slik dette er beskrevet i ytelsesstandardene til TTS/TST. Barrierefunksjon og barrieresystem går noe over i hverandre ved at samme navn/betegnelse benyttes for begge (nødavstengning). Systemets oppgaver ( role ) beskriver delfunksjoner til barrieren. Videre ser vi av høyre kolonne i Tabell 2 at ytelseskategoriene funksjon og sårbarhet er rettet mot barriereelementer, mens ytelseskategoriene integritet 7 og styring omfatter krav til ytelsespåvirkende forhold. 7 Eksempler på sjekkpunkt for integritet er check testing routines/devices for online testing og check routines for handling of non-conformance, observation, deviation and temporary contingency measures.

9 Tabell 2 Barrierebegreper knyttet til ytelsesstandardene for ESD Performance Standard: 4 Emergency Shut Down System: Emergency Shut Down Role: F 1: F 1.1: I 1: - Stop hydrocarbon flow on installation - Shutdown process equipment - Sectionalize hydrocarbon inventories - Initiate blow down - Reduce ignition probability - Initiate alarm Location of manual release stations Manual activation of system to be possible from strategically positioned stations where accessibility and manning in a hazard situation is taken into account Check location of stations: - CCR all ESD levels - Safety critical function ESD functions shall be fully operational Barrierefunksjon Barrieresystem Barrieredelfunksjoner Funksjonskrav til barriereelement Kontroll av krav til barriereelement Krav til ytelsespåvirkende forhold I 1.1: Check testing routines/devices for online testing Kontroll av ytelsespåvirkende forhold S 1: Vulnerability System and components incorporated shall resist the dimensioning... Funksjonskrav til barriereelement S 2.1: Check that logic solver is located in protected area Kontroll av krav til barriereelement M 2: Management (documentation) Documentation to be available Krav til ytelsespåvirkende forhold M 2.4: Check competence/qualification of maintenance personnel Kontroll av ytelsespåvirkende forhold For hvert krav, gruppert i henhold til de 4 ytelseskategoriene, er det tilordnet et eller flere sjekkpunkter for å bedømme i hvilken grad kravene er oppfylt. 2.6 Forkortelser ARAMIS BEA BORA CPU CRIOP DISCOS ESD HVAC MTO NH NUREG OD QRA PA PSD PSV RNNS SAS SF SRS SSS TSC TST TTS Accidental Risk Assessment Methodology for IndustrieS Barriereendringsanalyse Barriere og Operasjonell Risikoanalyse Central Processing Unit Crisis Intervention and Operability Analysis Distributed Integrated Safety and COntrol System Emergency Shutdown Heating, Ventilating and Air-Conditioning Menneske Teknologi Organisasjon Norsk Hydro Nuclear Regulations Oljedirektoratet Quantitative Risk Assessment Public Address Process Shutdown Process Shutdown Valve Risikonivå på Norsk Sokkel Safety and Automation Systems Styringsforskriften Safety Requirement Specification Sikkerhets Styrings System Technical Safety Condition Teknisk Sikkerhetstilstand Teknisk Tilstand Sikkerhet

10 3 Metodebeskrivelse Metoden fokuserer på endringer i sikkerhetsbarrierene og består av 3 deler med til sammen 7 trinn/spørsmål: A. Screeningprosess 1. Hvilke barrierer/sikkerhetssystemer vil bli berørt? 2. Hvilke ytelseskrav er relevante? B. Endringsanalyse 3. Hvordan håndteres hvert enkelt krav før og etter endringen? 4. Oppfylles kravet? 5. Endres grad av kravoppnåelse? C. Konsekvensvurdering 6. Hva er sikkerhetskonsekvensene av endringen? 7. Er det behov for risikoreduserende tiltak? Mesteparten av spørsmålene besvares i et arbeidsmøte med deltakere fra modifikasjonsprosjektet, tekniske stabsfunksjoner, driftspersonell, leverandører, etc. Hvem som bør delta avklares i hvert enkelt tilfelle, med det er viktig at noen med god kjennskap til TST-sjekklistene deltar. 1. Hvilke barrierer/sikkerhetssystemer vil bli berørt? Dette innebærer en gjennomgang av samtlige barrierer/sikkerhetssystemer for å velge ut kun de som blir berørt av endringen/modifikasjonen og dermed vil være gjenstand for endringsanalyse. De barrierer/sikkerhetssystemer som omfattes av TST er: 1. Containment function 2. Natural ventilation and HVAC 3. Gas detection 4. Emergency shutdown (ESD) 5. Open drain 6. Ignition source control 7. Fire detection 8. Blowdown and flare/vent 9. Active fire fighting 10. Passive fire protection 11. Emergency power and lightning 12. Process safety (PSD/PSV etc.) 13. PA, alarm and emergency communication 14. Escape, evacuation and rescue 15. Explosion barriers 16. Offshore cranes 17. Well barriers 18. Ballast etc. & position keeping En utvelgelse av de aktuelle barrierene/sikkerhetssystemene kan med fordel gjennomføres i forkant av arbeidsmøtet.

11 2. Hvilke ytelseskrav er relevante? For de utvalgte barrierene, som vil bli berørt av endringene, gjøres det nå en mer detaljert vurdering på kravnivå. Kun de krav som berøres av endringen tas med videre til endringsanalysen. I og med at det ikke alltid er åpenbart hvilke krav som blir berørt, kan denne vurderingen gjøres som del av arbeidsmøtet. Det kan også være aktuelt å komplettere TST-ytelsestandardene med krav som ikke dekkes av dagens standarder knyttet til driftstilpasning, vedlikeholdsvennlighet og organisatoriske forhold, hentet fra for eksempel CRIOP-sjekklistene eller andre relevante kilder. Se for øvrig Vedlegg A for en diskusjon rundt styrking av TST-ytelsesstandardene. 3. Hvordan håndteres hvert enkelt krav før og etter en endring? For selve endringsanalysen er det viktig at man har tilstrekkelig grunnlag for å kunne foreta en riktig vurdering. Dette er grunnen til at man skal vite hvem som sørger for å tilfredsstille kravet i dag (og hvem som er tiltenkt denne oppgaven etter endringen) og hvordan dette gjøres i dag (og hvordan man har tenkt å gjøre dette etter endringen). Man vil også kunne avdekke forhold som ikke er godt nok vurdert i det aktuelle modifikasjonsprosjektet. Her er det viktig med deltakelse fra både driftspersonell, som kjenner dagens situasjon godt, og prosjektpersonell som kjenner endringene godt. 4. Oppfylles kravet?[ja, delvis, nei, vet ikke] Her er vi primært ute etter å vurdere om kravet oppfylles etter endringen, men det kan også være aktuelt å få avdekket hvorvidt et krav oppfylles selv om man ikke gjør noen endring som påvirker dette kravet. Det kan tenkes at noen krav ikke oppfylles verken nå eller etter endringen, og dette bør i så fall dokumenteres og presenteres for ledelsen. Er man tidlig nok ute med analysen kan slike funn resultere i tilleggsendringer uten at kostnadene blir alt for høye. (Vet ikke innebærer at dette kravet ikke berøres av endringen og at ingen i analyseteamet har kjennskap til hvorvidt kravet oppfylles per i dag.) 5. Endres grad av kravoppnåelse?[ja, nei, ikke aktuell] Oppfylles kravet bedre etter endringen enn før endringen? Denne vurderingen skal gjøres selv om kravet også tidligere har vært tilfredsstillende oppfylt, fordi grad av kravoppnåelse godt kan endre seg selv om man hele tiden oppfyller kravet tilfredsstillende. (Ikke aktuell innebærer at kravet ikke er relevant, evt. at det er for tidlig å besvare dette spørsmålet.) 6. Hva er sikkerhetskonsekvensene av endringen? [--,-,0,+,++] Gir endringen redusert (--,-) eller økt sikkerhet (+,++)? Eller forblir sikkerhetsnivået uforandret (0)? Vi benytter her en femdelt skala, slik at 2 minuser eller 2 plusser indikerer hhv. stor reduksjon eller stor økning i sikkerheten. Slik analyseprosessen er tenkt gjennomført diskuterer man seg fram til en av de fem verdiene (konsensusvurdering). Analytiker aggregerer vurderingene fra sjekkpunkt til krav og videre til barrieren totalt sett, med bruk av røde, gule og grønne smileys. 7. Er det behov for risikoreduserende tiltak? Vurderingen av behovet for risikoreduserende tiltak kan enten skje som del av arbeidsmøtet, ved behandlingen av hvert enkelt sjekkpunkt, eller den kan skje i ettertid. Umiddelbare ideer til tiltak kan med fordel noteres ned på arbeidsmøtet, men man bør være forsiktig så ikke diskusjoner rundt løsningsdetaljer tar uforholdsmessig mye av tiden. Det kan også tenkes at man ikke finner noen gode tiltak, og i stedet velger å søke om avvik. En slik beslutning må uansett treffes i etterkant av arbeidsmøtet. En oversikt over de enkelte trinn i metoden er vist i Figur 2.

12 Performance standards for all safety barriers A Selected barrier requirements for change analysis 1 Relevant barrier? NO YES Selected barriers Compliance with requirement prior to change (how, who) 3 Compliance with requirement after change (how, who) 2 Relevant requirements? NO 4 Requirement fulfilled? YES Satisfying safety barrier conditions YES Selected barrier requirements from TSC doc. NO Unsatisfying safety barrier conditions in fulfillment? 5 NO No change in safety barrier conditions YES Include operability and management requirements (from e.g. CRIOP) Apply for deviation NO Safety measures needed? 7 d safety barrier conditions YES Selected barrier requirements from TSC and CRIOP Propose risk reducing measures Evaluation of safety consequences 6 Include maintainability requirements A Risk reducing measures Effect on safety of changed safety barrier conditions Legends: Figur 2 Oversikt over BEA-metoden Vurdering av akseptabel sikkerhetstilstand Når det gjelder vurdering av hvorvidt sikkerheten er tilfredsstillende ivaretatt etter endringen så kan dette skje på flere måter. Noen av de mulige fremgangsmåtene/prinsippene er: 1. Ingen forverring av sikkerhetstilstanden etter endringen, basert på en semi-kvantitativ vurdering (eksempelvis femdelt karakterskala). Enten for hvert krav, hvert system/barriere, eller totalt for alle systemene/barrierene som påvirkes av endringen.

13 2. Tilfredsstille hvert ytelseskrav iht. et fastsatt minimumsnivå. Dette kan eksempelvis ta utgangspunkt i scoresystemet i TST, hvor for eksempel C eller D representerer minimumsnivået på en skala fra A (best) til F (dårligst), altså også her en semi-kvantitativ vurdering. 3. Identifisere sikkerhetstilstandene semi-kvantitativt med bruk av BEA, men evaluere effekten kvantitativt med andre metoder, for eksempel QRA. Problemet er at dagens QRA offshore ikke er tilstrekkelig detaljert, men det pågår arbeid med detaljert modellering (ref. BORA). Fremgangsmåten for effektvurdering slik den foreligger nå, og slik dette ble gjort under uttestingen, følger prinsipp 1 ved at endringen for hvert enkelt krav vurderes. Alle sjekkpunkt under et gitt krav vurderes etter den femdelte skalaen [--,-,0,+,++] mht. effekt på sikkerheten og en samlet verdi (basert på antall plusser og minuser) angis for det enkelte krav. Selv om den samlede verdien tilsier at kravet ikke tilfredsstilles dårligere enn tidligere, så kan det være behov for risikoreduserende tiltak rettet mot enkeltsjekkpunkter dersom disse har fått en negativ score. En svært aktuell tilpasning av metoden er å benytte prinsipp 2 for konsekvensvurdering spesielt etter hvert som TST implementeres for alle installasjoner og anlegg. På sikt kan prinsipp 3 være aktuelt i og med at det per i dag ikke er noen knytning mellom TST og risiko. Det er imidlertid en stor utfordring å etablere en slik sammenheng. Analyseprosessen Endringsanalysen gjennomføres som en gruppeprosess ledet av en fasilitator/prosessleder, se Figur 3. Det vil være en fordel om prosesslederen er en av deltakerne fra den opprinnelige TSTgjennomgangen på den aktuelle installasjonen, dersom det er foretatt en TST-gjennomgang. Id. No. F 6.1 Examination Activity The ESD system shall be certified as a safety system from the SAS vendor and shall have been verified by a 3 rd party. Ref. NHT-I52-00049, 4.2.1. Y - Yes (Completely) P Partly Y Yes N/A Not applicable Y Y + Har ikke sertifisert per idag. Får det nå. Figur 3 Oversikt over analyseprosessen

14 Hvorvidt kravet oppfylles (trinn 4) angis i tredje kolonne, hvorvidt det er endring i grad av kravoppnåelse (trinn 5) i fjerde kolonne og sikkerhetskonsekvensene (trinn 6) i siste kolonne. Eventuelle forslag til tiltak (trinn 7) dokumenteres i kommentarfeltet. Et eksempel på dokumentering av vurderingene er vist i Figur 4 (for et av funksjonskravene til ESD-systemet). Result F 6 (Y, P, N, U) (Y, N, N/A) Safety consequence (--, -, 0, +, ++) (4, 0, 0, 0) (3, 1, 0) (0, 0, 1, 3, 0) ESD logic solver The logic solver hardware and software, including I/O, logic and communication interfaces, shall comply with prevailing regulations and practices for normal operation, test and emergency situations (see also M 3). Id. No. F 6.1 Examination Activity The ESD system shall be certified as a safety system from the SAS vendor and shall have been verified by a 3 rd party. Ref. NHT-I52-00049, 4.2.1. Y - Yes (Completely) P Partly Y Yes N/A Not applicable Y Y + Har ikke sertifisert per idag. Får det nå. F 6.2 It shall be possible to test the ESD logic, including I/O cards without unacceptable degradation on the installation safety reducing the production rate. This shall also include trip signals between SAS units. Ref. NORSOK I-002, 4.2.1, point 1. Oppfyller utvidet krav, bl.a. testing (bedre mulighet for broing) (Y) Y + Figur 4 Dokumentering av vurderingene i sjekklistetabellene (utdrag) Funksjonskrav F 6 består av fire sjekkpunkt (F 6.1 F 6.4). I Figur 4 er kun de to første sjekkpunktene tatt med. Vurderingen viser at detaljkravene som dekkes av disse to sjekkpunktene oppfylles etter endringen, at det vil bli en endring i forhold til i dag, og at dette gir økt sikkerhet. Øverst i Figur 4 vises det samlede resultat for funksjonskrav F 6. Her ser vi at alle sjekkpunktene (detaljkravene) oppfylles, at tre av fire innebærer en endring, og at de tre som innebærer en endring fører til økt sikkerhet. Et av sjekkpunktene ivaretas like godt i dag, slik at det etter endringen ikke blir noen endring i sikkerheten basert på dette spesifikke forholdet. Figur 5 viser et utdrag av det aggregerte resultatet. Results Evaluering: 1) Oppfylles kravet etter endringen, dersom det gjøres en endring? Oppfylles kravet per i dag dersom det ikke gjøres en endring? 2) Medfører modifikasjonen en endring mhp dette kravet/forholdet? 3) Hva er sikkerhetskonsekvensene av endringen? Y Yes (completely) P Partly Y Yes N/A Not applic. Function Y P N U Y N N/A -- - 0 + ++ Tot F 1 Location of manual release stations 1 0 0 0 1 0 0 0 0 0 1 0 F 2 ESD-sectioning 0 0 0 7 0 7 0 0 0 7 0 0 F 3 Automatic ESD actions 1 0 0 1 1 1 2 0 0 1 1 0 F 4 ESD alarms and displays 1 0 0 1 1 1 1 0 0 1 1 0 F 5 ESD response time 1 0 0 1 1 1 0 0 0 2 0 0 F 6 ESD logic solver 4 0 0 0 3 1 0 0 0 1 3 0 F 7 ESD system independence 2 0 0 1 1 2 0 0 0 2 0 1 F 8 Human-Machine interface (HMI) 5 0 0 0 4 1 0 0 0 2 2 1 F 9 Functionality of safety system (operation, inspection and maintenance) 0 0 0 1 0 1 2 0 0 0 0 0 Figur 5 Dokumentering av aggregert resultat (utdrag) Her ser vi bl.a. at krav F 6 totalt sett er gitt et grønt ansikt som indikerer økt sikkerhet som følge av endringen.

15 4 Uttesting av metoden En uttesting av metoden ble gjennomført 7. juli 2004 med DtS-prosjektet 8 som case (Øien, 2004). Uttestingen var avgrenset til ESD-systemet, og de detaljerte vurderingene og resultatene er vist i vedlegg B. Deltakere på uttestingen var: Fritz H. Eilertsen, Norsk Hydro (DtS-prosjektet) Marianne Skår, Norsk Hydro (DtS-prosjektet) John Monsen, Norsk Hydro (Teknisk sikkerhet) Jan A. Pappas, Norsk Hydro (Teknisk sikkerhet) Knut Øien, SINTEF 4.1 Oppsummering av resultatene I alt 39 av 60 enkeltkrav/sjekkpunkter (for ESD-systemet) ble evaluert, ref. Figur 6. Figur 6 Omfang/avgrensning av uttesting Alle funksjonskrav (9 overordnede krav) og de fleste integritetskrav (2 av 3) ble gjennomgått, mens sårbarhetskrav (1) og styringskrav (3) ikke ble gjennomgått (pga for liten tid). 8 DtS DISCOS til SAS prosjektet på Oseberg Feltsenter (nytt kontrollrom)

16 Resultatene er illustrert i Figur 7 (hentet fra Vedlegg B). Results Evaluering: 1) Oppfylles kravet etter endringen, dersom det gjøres en endring? Oppfylles kravet per i dag dersom det ikke gjøres en endring? 2) Medfører modifikasjonen en endring mhp dette kravet/forholdet? 3) Hva er sikkerhetskonsekvensene av endringen? Y Yes (completely) P Partly Y Yes N/A Not applic. Function Y P N U Y N N/A -- - 0 + ++ Tot F 1 Location of manual release stations 1 0 0 0 1 0 0 0 0 0 1 0 F 2 ESD-sectioning 0 0 0 7 0 7 0 0 0 7 0 0 F 3 Automatic ESD actions 1 0 0 1 1 1 2 0 0 1 1 0 F 4 ESD alarms and displays 1 0 0 1 1 1 1 0 0 1 1 0 F 5 ESD response time 1 0 0 1 1 1 0 0 0 2 0 0 F 6 ESD logic solver 4 0 0 0 3 1 0 0 0 1 3 0 F 7 ESD system independence 2 0 0 1 1 2 0 0 0 2 0 1 F 8 Human-Machine interface (HMI) 5 0 0 0 4 1 0 0 0 2 2 1 F 9 Functionality of safety system (operation, inspection and maintenance) 0 0 0 1 0 1 2 0 0 0 0 0 Integrity I 1 Safety critical function 0 0 0 0 0 0 3 0 0 0 0 0 I 2 Reliability and availability criteria 0 0 0 1 1 0 3 0 0 1 0 0 I 3 Integrity Survivability S 1 Vulnerability Management M 1 Management (Deviations and non-conformance) M 2 Management (Documentation) M 3 Management (software control) Total (etter at 39 av 60 sjekkpunkter er evaluert) 15 0 0 13 13 15 11 0 0 17 8 2 Figur 7 Aggregerte resultater av uttestingen Av de 9 overordnede funksjonskravene vil 6 ivaretas sikkerhetsmessig bedre etter endringen. Disse er: F1 Location of manual release stations F3 Automatic ESD actions F4 ESD alarms and displays F6 ESD logic solver F7 ESD system independence F8 Human-Machine interface (HMI) Tre av funksjonskravene vil forbli sikkerhetsmessig uforandret etter endringen (eller dette kan ikke besvares ennå). Disse er: F2 ESD-sectioning F5 ESD response time F9 Functionality of safety system (operation, inspection and maintenance) Ingen funksjonskrav vil bli sikkerhetsmessig dårligere ivaretatt etter endringen. De 2 overordnede integritetskravene som ble gjennomgått (av totalt 3) vil forbli sikkerhetsmessig uforandret (eller kan ikke besvares ennå). Disse er: I1 Safety critical function I2 Reliability and availability criteria Basert på denne evalueringen (hvor ingen forhold endres i negativ retning) kan det for ESDsystemet konkluderes med at endringene er totalt sett sikkerhetsmessig forvarlig, og at sikkerheten ivaretas minst like godt som før endringene. Vi er altså med bruk av BEA i stand til å gi svar på de grunnleggende sikkerhetsspørsmålene knyttet til endringer, som er: Hvordan påvirker endringene sikkerheten? (Se Vedlegg B) Er endringene totalt sett sikkerhetsmessig forsvarlig? Ja, fordi (se ovenfor)

17 Ivaretas sikkerheten minst like godt som før endringene? Ja, fordi (se ovenfor) 4.2 Vurdering av metoden Konklusjonen etter uttestingen er at BEA med visse tilpasninger (se 4.2.2) er en metode som er egnet for endringsanalyse og som kan ivareta dette på en bedre måte enn dagens metoder (inklusive QRA og designgjennomganger). 4.2.1 Fordeler og ulemper ved metoden Følgende fordeler og ulemper ved metoden ble identifisert basert på uttestingen og diskusjoner av metoden i tilknytning til uttestingen: Fordeler BEA er i stand til å avdekke endringer og vurdere konsekvensene av disse på et detaljert nivå. Dette gjelder både endringer med positiv konsekvens for sikkerheten, negativ konsekvens, samt ingen konsekvens. Også det som ikke endrer seg avdekkes og dokumenteres. BEA gir en samlet oversikt over og dokumentasjon av endringene og sikkerhetskonsekvensene for systemer som inngår i TST. BEA fokuserer på sikkerhetssystemene/barrierene, noe som ivaretar myndighetenes økte fokus og krav til bedre kontroll/styring av barrierene. BEA dekker i noen grad organisatoriske forhold (oppdatering av dokumentasjon og opplæring, osv.) Ulemper BEA er semi-kvantitativ, den er avgrenset til barrierene/sikkerhetssystemene som inngår i TST, og har størst vekt på tekniske forhold. Den kanskje største ulempen ligger ikke i selve metoden, men at den er ny. Det vil alltid være en utfordring å introdusere en ny metode. Hvorvidt omfanget er stort eller lite kan diskuteres og avhenger av hva man sammenlikner med. Sammenliknet med en QRA er omfanget lite, men som en tilleggsaktivitet så kan omfanget oppfattes som rimelig stort, avhengig av forventet nytteverdi av å bruke BEA. 4.2.2 Mulige tilpasninger av metoden Forslag til endringer/tilpasninger er knyttet til følgende forhold (innspill fra deltakerne på uttestingen): Justering av tabellen/kolonnene Timing Tiltaksvurdering Prosjektstørrelse Deltakere

18 Justering av tabellen/kolonnene 9 1. Endringskolonnen bør komme først. 2. Dersom vi legger inn som forutsetning at en TST er gjennomført, så kan vi ha en kolonne hvor nåværende tilstand iht. siste TST oppgis (A F). Dersom man angir at modifikasjonen innebærer en endring for det aktuelle sjekkpunktet/kravet, så må man også ha en kolonne hvor man angir ny tilstand (A F) som følge av endringen. Konsekvenskolonnen blir da en kolonne som angir forskjellen mellom eksisterende og ny tilstand (for eksempel C -> B). Timing (Når skal metoden brukes?) Dersom metoden blir brukt for sent vil mulighetene for endring være mindre og kostnadene forbundet med endringer vil være større. Brukes metoden tidlig har man ikke nødvendigvis svarene på hvorvidt man oppfyller kravene 10, men man kan da eksempelvis bruke dette som underlag ved gjennomføring av designgjennomganger senere i prosjektet. Tiltaksvurdering En vurdering av tiltak ble foreslått gjort i ettertid, fordi en negativ endring eller et krav som ikke oppfylles kan kanskje aksepteres, og det kan skrives avvik for dette. Det er imidlertid åpenbare fordeler med å notere ned forslag til tiltak som umiddelbart foreslås underveis i gjennomgangen. Prosjektstørrelse En gjennomgang av TST-ytelsesstandardene er forholdsvis omfattende og prosjektet bør være av en viss størrelse for at bruk av metoden skal kunne forsvares. På den annen side så vil det være størst sjanse for at enkelte krav er oversett i et lite prosjekt, og de ville sånn sett hatt vel så stor nytte av metoden brukt som design/verifikasjonsverktøy. Utgangspunktet er imidlertid å benytte metoden som sluttdokumentasjon på hvordan sikkerheten ivaretas etter endringen (bedre/dårligere/like bra hvor mye bedre/dårligere), og komplettere QRAen for å dokumentere hvordan sikkerheten blir ivaretatt etter modifikasjonen. Det vil da være naturlig å anvende BEA på den type prosjekt hvor man ellers ville benyttet QRA som endringsanalysemetode. Deltakere Det er viktig at noen med god kunnskap om krav til sikkerhetssystemer er med på vurderingene. For modifikasjonsprosjekter er ikke dette like kritisk som for drift i og med at man i prosjektene kjenner godt til designkravene. Det er nok hensiktsmessig at det også er med folk fra drift som kjenner nåværende tilstand godt (aller helst en som har vært med på forrige TST-gjennomgang). Det vil ellers kunne være lett for at prosjektet vurderer det meste til å bli ivaretatt minst like godt eller bedre. I noen tilfeller vil det antakelig være nødvendig med bistand fra leverandører. 9 BEA-tabellene utarbeides på grunnlag av de sist oppdaterte TST-tabellene og ønskede tilpasninger som her beskrevet kan da innarbeides. Det foreligger altså ikke noen ferdige BEA-tabeller for samtlige ytelsesstandarder nå, fordi innholdet i TST-ytelsesstandardene er gjenstand for endring og oppdatering. 10 Bortsett fra at man ut i fra spesifikasjonene kan vurdere om man forventer å oppfylle kravene.

19 5 Diskusjon 5.1 Nytteverdi (hvorfor bruke BEA?) Utgangspunktet er at for enhver større endring må sikkerhetskonsekvensene vurderes og man må kunne gi svar på følgende spørsmål: Hvordan påvirker endringene sikkerheten? Er endringene totalt sett sikkerhetsmessig forsvarlig? Ivaretas sikkerheten minst like godt som før endringene? Den metoden som blir mest benyttet som endringsanalyseverktøy per i dag er den kvantitative risikoanalysen (QRA). QRA er i utgangspunktet et designverktøy som modellerer sikkerhetssystemene svært grovt og som ikke dekker organisatoriske forhold. QRA er derfor av flere grunner ikke egnet til endringsvurderinger i drift, og resultatene mangler nødvendig troverdighet. BEA derimot representerer en grundig kvalitativ vurdering av sikkerhetssystemene ved at den bygger på TST-ytelsesstandardene som stiller detaljerte krav til sikkerhetssystemene. Den er tilpasset vurderinger i driftsfasen og dekker i noen grad også organisatoriske forhold. Nytteverdien ved BEA er at den gir svar på om sikkerheten er tilfredsstillende ivaretatt ved en endring/modifikasjon på en troverdig måte, innenfor den innfallsvinkel til sikkerhetsvurdering denne metoden representerer, dvs. ut fra et barriereperspektiv. 5.2 Implementering og bruk (hvordan bruke BEA?) BEA bør innføres og brukes til endringsanalyse av større endrings-/modifikasjonsprosjekt, av både teknisk og organisatorisk karakter 11, slik at man sikrer at alle forhold ved sentrale barrierer ivaretas på en god måte og at sikkerheten dermed opprettholdes minst like godt som før endringen. Ved at BEA bygger på og utnytter det arbeid som er lagt ned i ytelsesstandardene fra TTS/TST-prosjektene sikrer man at både eksterne regelverkskrav og interne selskapskrav blir ivaretatt på en tilfredsstillende måte. Analysen følger de trinn som er beskrevet i kapittel 3, og underlagsmaterialet er altså de ytelsesstandardene og tilhørende sjekklister som er relevante for det aktuelle modifikasjonsprosjektet. Analysen gjennomføres som en gruppeprosess med deltakere fra bl.a. prosjektet, driftspersonell og personell som har god kjennskap til ytelsesstandardene. Arbeidet bør utføres så tidlig i prosjektet at nødvendige tiltak kan iversettes uten alt for store kostnader. Samtidig kan det være behov for oppfølging ved at enkelte forhold ikke er avklart tidlig i prosjektet, og man dermed ikke er i stand til å besvare sjekkpunktene på et tidlig tidspunkt. 11 BEA brukt til rene organisatoriske endringer vil ha den begrensning at det ikke er nedfelt krav til enkelte operasjonelle barrierer i ytelsesstandardene. Dette gjelder eksempelvis kontroll av utført arbeid, lekkasjetest etter vedlikehold, etc. For nærmere diskusjon av denne typen barrierer, se Sklet og Hauge, 2004.

20 Det kan også være et alternativ å gjennomføre BEA suksessivt som del av designgjennomgangene i et prosjekt. Dersom BEA benyttes for å komplettere en kvantitativ risikoanalyse bør BEA gjennomføres først slik at denne vurderingen inngår som underlag til den kvantitative risikoanalysen. Det vil da være lettere å få synliggjort hvilke forhold som reflekteres i den kvantitative risikoanalysen og hvilke som ikke er mulig å reflektere pga. den modellering som ligger til grunn i risikoanalysen. Dette vil gi økt troverdighet til den totale risikovurderingen. 5.3 Begrensninger Slik metoden foreligger nå er den først og fremst egnet som et supplement til en kvantitativ risikoanalyse. Dette skyldes både at metoden er kvalitativ/semi-kvantitativ og at den har et begrenset scope ved at endringene betraktes ut fra et barriereperspektiv. Metodens begrensninger er nært knyttet til begrensningene i ytelsesstandardene. Den fokuserer på de tekniske sikkerhetssystemene og dekker dermed ikke helheten mht. sikkerhet/risiko. For nærmere diskusjon av ytelsesstandardenes styrker og svakheter, se Vedlegg A. BEA representerer én innfallsvinkel til sikkerhetsvurdering av endringer, og kan med fordel også kompletteres med andre metoder/innfallsvinkler i tillegg til den kvantitative risikoanalysen. Dette gjelder eksempelvis CRIOP-analyse som i større grad dekker kontrollromsoperatørens situasjon og driftstilpasning, spesielt i avvikssituasjoner. (Se Vedlegg A for nærmere utdyping.)

21 6 Referanser Aven, T., Hauge, S., Sklet, S., Vinnem, J. E., 2004. Operational risk analysis, Total analysis of physical and non-physical barriers. H2.1 Methodology for Analysis of HOF Factors. Draft 1, Rev. 0, Report No. 200254-05. CRIOP, 2004. www.criop.sintef.no. Hourtolou, D., Salvi, S, 2003. ARAMIS project: development of an integrated accidental risk assessment methodology for industries in the framework of Seveso II directive. ESREL 03, Maastricht, 2003, pp 829-836. Husebø, T., Ravnås, E., Lauritsen, Ø., Lootz, E., Brandanger Haga, H., Haugstøyl, M., Kvitrud, A., Vinnem, J. E., Tveit, O., Aven, T., Haukelid, K., Ringstad, A. J., 2002. Utvikling i risikonivå-norsk sokkel. Fase 2 rapport 2001. Oljedirektoratet, OD-02-07, www.npd.no. Hydro Teknisk Sikkerhetstilstand TST, Performance Standard: 1 Containment Function, Rev. 01, 17.01.03, DNV. Hydro Teknisk Sikkerhetstilstand TST, Performance Standard: 3 Gas Detection, Rev. 01, 17.01.03, DNV. Johnsen, WG, 1980. MORT Safety assurance systems. Marcel Dekker, New York, 1980. OD, 2002a. Forskrift om styring i petroleumsvirksomheten (Styringsforskriften), fastsatt 3. september 2001, Oljedirektoratet. OD, 2002b. Veiledning til forskrift om styring i petroleumsvirksomheten (Styringsforskriften), fastsatt 3. september 2001, Oljedirektoratet. Olson J, Chockie AD, Geisendorfer CL, Vallario RW, Mullen MF, 1988. Development of Programmatic Performance Indicators. NUREG/CR-5241, PNL-6680, BHARC-700/88/022, US Nuclear Regulatory Commission, Washington, D.C., USA. SfS, 2004. Barrierer ut av tåkehavet mot bedre sikkerhet. Barrierer begrepsavklaringer, fase 3, Samarbeid for Sikkerhet, 22 oktober 2004. www.samarbeidfor-sikkerhet.no. Sklet, S., Hauge, S., 2004. Safety barriers to prevent release of hydrocarbons during production of oil and gas. SINTEF report STF38 A04419, Trondheim, Norway. Sørum, M., Firing, F., Endresen, I., Øvrebø, R., Storhoug, O., Berg, F. R., Hvam, C., Holmboe, R. H., Austbø, J. S., 2002. Kartlegging av tilstand teknisk sikkerhet i Statoil, hovedrapport, F&T MST-02006. Øien, K., Guttormsen, G., Hauge, S., Sklet, S., Steiro, T., 2002. Morgendagens HMS-analyser for vurdering av tekniske og organisatoriske endringer. Prosjektrapport 2002. SINTEF rapport STF38 F02423. Øien, K., 2004. Barriereendringsanalyse (BEA) uttesting. Case: DtS-prosjektet; ESD-systemet. SINTEF notat 2004-08-20.

22 Vedlegg A Ytelsesstandardene styrker og svakheter A.1 Oversikt Ytelsesstandardene dekker i alt 18 sikkerhetsfunksjoner/-systemer/barrierer, hvor krav og sjekkpunkter er gruppert i fire ytelseskategorier; funksjon, integritet, overlevelsesevne og styring. Dette er illustrert i Figur A.1. Antall krav (øverst) og sjekkpunkter (nederst) er angitt for samtlige ytelsesstandarder. Totalt er det 249 krav og 985 sjekkpunkter. Sikkerhetsfunksjon Sikkerhetssystem Barriere Ytelseskrav Sjekkpunkter PS 1. Containment function PS 2. Natural ventilation and HVAC PS 3. Gas detection PS 4. Emergency shutdown (ESD) PS 5. Open drain PS 6. Ignition source control PS 7. Fire detection PS 8. Blowdown and flare/vent PS 9. Active fire fighting PS 10. Passive fire protection PS 11. Emergency power and lightn. PS 12. Process safety, PSD/PSV etc PS 13. PA, alarm and emerg. comm. PS 14. Escape, evac. and rescue PS 15. Explosion barriers PS 16. Offshore cranes PS 17. Well barriers PS 18. Ballast,.. & positioning SUM: Function 7 37 6 24 10 36 9 32 5 14 11 33 8 37 5 20 15 91 6 24 5 21 10 36 7 36 7 27 3 10 3 16 4 18 7 49 128 561 Integrity 0 0 3 9 3 12 3 11 0 0 3 8 3 11 3 11 7 26 2 6 3 11 4 13 3 8 2 7 1 1 3 7 2 7 4 19 49 167 Survivability 1 0 1 5 1 2 1 5 1 2 0 0 1 2 1 3 3 8 1 2 1 2 1 2 1 3 2 4 0 0 1 1 1 4 2 5 20 48 Management 2 8 2 8 3 11 3 12 2 8 3 10 3 11 3 11 8 35 2 8 2 11 3 12 2 8 2 8 2 8 3 11 3 11 4 18 52 209 Figur A.1 Ytelsesstandarder med krav og sjekkpunkter for de fire ytelseskategoriene Det totale omfanget av krav og sjekkpunkter som må vurderes ved en barriereendringsanalyse (BEA) som det her legges opp til blir ganske stort, og det er viktig å avgrense analysen til de aktuelle ytelsesstandarder og krav (ref avsnitt A.3 nedenfor). A.2 Styrker og svakheter Ytelsesstandardene representerer den første samlede oversikten over eksterne krav (fra forskrifter, standarder, etc.) og interne krav (fra prosedyrer, arbeidsbeskrivelser, etc.) som stilles til sikkerhetsbarrierene på offshoreinnretninger. De utgjør en grundig og detaljert basis for endringsanalyse i tillegg til vurderingsgrunnlag for teknisk sikkerhetstilstand.