Revisjonsrapport Rapport Rapporttittel Rapport etter tilsynsaktivitet med nye arbeidsprosesser innen bore- og brønnaktiviteter med bruk av IKT Aktivitetsnummer 999059 Gradering Offentlig Unntatt offentlighet Begrenset Fortrolig Strengt fortrolig Involverte Hovedgruppe Oppgaveleder T-1 Hilde-Karin Østnes Deltakere i revisjonslaget Dato Asbjørn Ueland, Jorunn E. Tharaldsen, Mette E. Vintermyr, Grete I. Løland, Hilde-Karin Østnes 12.3.2012 1 Innledning Petroleumstilsynet (Ptil) førte tilsyn med Statoil 24. og 25. januar 2012. Oppgaven var knyttet til Statoil sin oppfølging av nye arbeidsprosesser innen bore- og brønnaktiviteter med bruk av informasjons- og kommunikasjonsteknologi (IKT). Tilsynsaktiviteten ble gjennomført med et møte hvor Statoil ga presentasjoner i henhold til varslede tema og med intervjuer. På forhånd hadde vi mottatt et utvalg av styrende dokumenter for arbeidsprosessene. 2 Bakgrunn Petroleumstilsynet (Ptil) skal ha oversikt over HMS-utfordringene i petroleumsvirksomheten og bidra til å skape et omforent og helhetlig bilde av risikoforhold i næringen som grunnlag for iverksetting av forebyggende tiltak. Styring av storulykkesrisiko krever forståelse av det komplekse samspillet mellom mennesker, teknologi og organisasjon. Innføring av ny informasjons- og kommunikasjonsteknologi med medfølgende nye arbeidsprosesser skaper utfordringer som er felles for mange aktører i petroleumsvirksomheten. For å bidra til at det utvikles robuste arbeidsprosesser og til at sikkerheten forbedres igangsatte vi den nevnte tilsynsaktiviteten. 3 Mål Målet for tilsynet var å undersøke hvordan Statoil sikrer at arbeidsprosessene innenfor boreog brønnaktiviteter, og beslutningene knyttet til disse, ivaretar krav til helse, miljø og sikkerhet (HMS). Følgende tema ble varslet og gjennomgått i tilsynsaktiviteten: Organisering av bore- og brønnaktiviteter for Snorre feltet - bruk av ny informasjons- og kommunikasjonsteknologi, - gjennomgang av konkrete arbeidsprosesser for en boreoperasjon, herunder samhandling mellom land og hav, - rollen til operasjonssenteret på land - inkludert i fare- og ulykkessituasjoner, - integrering og involvering av fagmiljøer og entreprenører,
2 - tilrettelegging for samhandling. Styring av endringer i forbindelse med en boreoperasjon, herunder samhandling mellom land og hav og alle involverte parter - kriterier for å igangsette en formell endringsprosess, - beslutningsunderlag, - synliggjøring av endring i risiko, - kommunikasjon og sporbarhet av endringene. Menneskelige faktorer ved utforming av arbeidsprosessene (samhandling land og hav) - analyser gjennomført ved utforming av arbeidsprosessene med hensyn til bemanning, kompetanse og kapasitet, - ivaretakelse av brukervennlighet på sanntidsbaserte systemer for visualisering, alarmhåndtering med mer, - tiltak for etablering og opprettholdelse av faglig tillit mellom land og hav, og mellom operatør og entreprenører. Innsamling, behandling og bruk av sanntidsdata - ansvar/grensesnitt i forbindelse med innsamling av sanntidsdata, - eierskap og vedlikehold av sensorer. Bruk av simulering og visualisering som beslutningsstøtte IKT-sikkerhet - roller og ansvar for å ivareta IKT-sikkerhet i grensesnittet mellom land og hav, - kartlegginger og risikovurderinger av IKT-baserte systemer som er relevante for boring, - IKT-baserte boresystemer mot krav, - utfordringer innenfor IKT-sikkerhet. 4 Resultat Tilsynsaktiviteten ble gjennomført i henhold til plan og var godt tilrettelagt. Statoil ga presentasjoner i henhold til varslede tema. Videre observerte vi kommunikasjon mellom hav og land og hadde intervjuer med utvalgt personell. På forhånd hadde vi mottatt et utvalg av styrende dokumenter for arbeidsprosessene. På tidspunktet for tilsynsaktiviteten var Statoil i startfasen for implementering av et nytt system for arbeidsprosesser (fra APOS til ARIS). Vi forholdt oss til APOS slik det framstod under gjennomføringen av tilsynsaktiviteten. Vi oppfattet det slik at det var en generell forventning om at det nye systemet skulle bidra til å gjøre arbeidsprosessene mer oppdaterte og brukervennlige. Vi fikk inntrykk av at Statoil hadde styrende dokumenter som dekket de aktiviteter som ble gjennomgått i tilsynsaktiviteten. Statoil presenterte sin organisering av bore- og brønnaktiviteter på Snorrefeltet og samhandlingen mellom land og hav, herunder grensesnittet mellom operatør og leverandører. Vi fikk opplyst at ingen stillinger var flyttet til land og at Snorre A opererte med tradisjonell bemanning til havs og på land. Av denne grunn ble det ikke fremvist et dokumentert beslutningsunderlag for dagens organisering. Borekabinen på innretningen var i hovedsak original design fra 1992, men oppgradering av denne var planlagt. Det fremkom av presentasjonen at all oppfølging av bore- og kompletteringsoperasjoner for Snorre A og B ble gjort i operasjonsrom omtalt som Snorre Onshore Drilling Operation Center hvor boreoperasjonsleder, programingeniør og borekontraktørens operasjonsplanlegger hadde sine permanente kontorplasser. Samhandling mellom hav og land foregikk i
3 hovedsak via møter med fast tidspunkt og agenda, hvor operasjonsrommet på land koblet opp samhandlingsrommet på Snorre A innretningen og borekontraktørens Onshore Support Center. Det fremkom i tilsynet at samhandlingen mellom hav - land opplevdes som nyttig for eksempel gjennom såkalte Tett-på møter at det var lav terskel for å kontakte land ved behov og at personellet opplevde involveringen av fagpersonell som hensiktsmessig. Konserntjenesten fra Statoil Real Time Center ble benyttet for kontinuerlig kvalitetssikring av sanntids måledata fra brønnen. Videre ble Statoil sitt Subsurface Support Center involvert i planlegging av komplekse aktiviteter og i forbindelse med utfordringer i operativ fase. I forkant av tilsynsaktiviteten hadde vi fått oversendt og gjennomgått styrende dokumenter og arbeidsprosessbeskrivelser for avklaringer av roller og ansvar, samt styring av endring. Vi fikk gjennom tilsynsaktiviteten inntrykk av at Statoil har en ryddig håndtering og dokumentering av endringer gjennom sin Change log og at kontinuerlig risikovurdering av endring var godt integrert i praksis. Bruken av Real Time Data senter ga også et inntrykk av god kvalitetssikring av måledata fra brønnen, roller og ansvar i forhold til vedlikehold av sensorer fremstår som avklart. Ansvaret for IKT-sikkerhet ble sagt å ligge i linjeorganisasjonen og i denne sammenheng omfatter dette både Undersøkelse og Produksjon Norge (UPN) og Teknologi, Prosjekter og Boring (TPB). Administrasjon av kritiske systemoppdateringer og virusdefinisjoner på tekniske systemer skulle utføres manuelt av personell i linjen på innretningen. Det fremkom i tilsynsaktiviteten at det var borekontraktørens elektriker som var tildelt denne oppgaven i boremodulen. Operatøren har imidlertid ansvar for å sikre samsvar mellom egne og andre deltakeres krav. Ved verifikasjon av opplæringsprogrammet avdekket vi manglende krav til kompetanse innen IKT-sikkerhet for borekontraktørens elektriker. I tilsynsaktiviteten identifiserte vi tre forbedringspunkter knyttet til henholdsvis Ansvar og styring knyttet til IKT-sikkerhet Oppdatering av tekniske driftsdokumenter Grenseflater i arbeidsprosessbeskrivelse 5 Observasjoner Ptils observasjoner deles generelt i to kategorier: Avvik: Knyttes til de observasjonene hvor vi mener å påvise brudd på regelverket. Forbedringspunkt: Knyttes til observasjoner hvor vi ser mangler, men ikke har nok opplysninger til å kunne påvise brudd på regelverket. 5.1 Forbedringspunkter 5.1.1 Ansvar og styring knyttet til IKT-sikkerhet Forbedringspunkt: Det var et forbedringspunkt knyttet til operatørens ansvar for å sikre samsvar mellom egne og andre deltakeres krav.
4 Begrunnelse: a) Det fremkom i tilsynsaktiviteten at det var borekontraktørens elektriker som utfører kritiske systemoppdateringer og virusdefinisjoner i boremodulen. Kompetansekrav vedrørende IKT-sikkerhet var ikke reflektert i opplæringsprogrammet for stillingen. b) Det fremkom ikke om Statoil hadde satt kompetansekrav til ivaretakelse av IKTsikkerhet i boremodulen offshore. c) Det fremkom av presentasjoner og intervjuer at det ansvaret linjen har knyttet til IKTsikkerhet ikke var tydeliggjort. Krav: Styringsforskriften 8 om interne krav Aktivitetsforskriften 21 om kompetanse 5.1.2 Oppdatering av tekniske driftsdokumenter Forbedringspunkt: Tekniske driftsdokumenter forelå ikke i oppdatert versjon. Begrunnelse: Statoil styrende dokument for teknisk nettverk og sikring av automasjonssystemer (TR1658) hadde krav om at et oppdatert nettverkstopologidiagram skal være tilgjengelig. Versjonen vi ble vist i tilsynsaktiviteten var fra 1989 og basert på planlagt utforming, ikke faktisk utforming. Krav: Aktivitetsforskriften 20 om oppstart og drift av innretninger 5.1.3 Grenseflater i arbeidsprosessbeskrivelse Forbedringspunkt: Det var et forbedringspunkt knyttet til tydeliggjøring av grenseflater mellom operatør og leverandør i arbeidsprosessbeskrivelsen for brønnkontroll. Begrunnelse: a) Arbeidsprosessbeskrivelsene i APOS omfattet ikke roller og ansvar som ble ivaretatt av leverandørselskaper. Grenseflate mot leverandørene var ikke beskrevet i de dokumentene vi verifiserte. Statoil påpekte at de bevisst har utelatt dette. De lokale arbeidsbeskrivelsene (nivået under) inkluderer leverandøransvar/- oppgaver. b) Slik vi fikk fremlagt flytskjema for brønnkontroll Handle Well control incident var det ikke tydelig hvilken samhandling operatøren skal ivareta med involverte leverandører. Krav: Styringsforskriften 13 om arbeidsprosesser 6 Andre kommentarer a) Statoil hadde utarbeidet styrende dokumenter for IKT-sikkerhet som i hovedsak var basert på systemene innen prosesskontroll. Det ble uttalt at disse også gjaldt for boring og brønn.
5 b) IKT-sikkerhet eller IT-sikring var ikke definerte begreper i styrende dokumenter vi verifiserte. c) Change Form mal sto med status Draft. Dokumentet fremsto da som om den var under klargjøring og ikke klar for bruk. Samme praksis ble benyttet i selve Change log. Det ble sagt at denne ble satt til final når loggen er endelig, det vil si når brønnen var ferdigstilt. d) Teamsite ble av enkelte opplevd å inneholde mye dokumenter og at det kunne være utfordrende å finne frem i. e) Vi observerte under Tett-på møtet at en del av deltakerne på innretningen ikke var synlige i bildet. Uskarpt bilde og stor avstand til kamera gjorde det vanskelig å oppfatte kroppsspråk og se hvem som snakket. 7 Deltakere fra Petroleumstilsynet Grete Løland, fagområde arbeidsmiljø Jorunn E. Tharaldsen, fagområde arbeidsmiljø Asbjørn Ueland, fagområde prosessintegritet Mette E. Vintermyr, fagområde boring og brønnteknologi Hilde-Karin Østnes, fagområde boring og brønnteknologi (oppgaveleder) Jorunn S. Stålesen deltok som observatør fra Ptil 24.1.2012. 8 Dokumenter Følgende dokumenter ble benyttet under planlegging og gjennomføringen av aktiviteten: 1. Organisasjonskart Statoil B&B, datert 10.1.2012 2. Organisasjonskart Odfjell Drilling & Technology Snorre, datert 27.10.2011 3. APOS R110A Process & requirements DW04.01 Change management 4. Arbeidsprosessbeskrivelse for brønnkontroll 5. Integrerte Operasjoner (IO) i Statoil for bore- og brønoperasjoner 6. Change Form mal 7. a) Change log for drilling operations, well 34/7-P36 A 7. b) Mal for Change log for drilling, completion and well operations 8. Technology, projects and drilling (TPD) Organisation, management and control, OMC05 9. Liste med stillingsbeskrivelser fra APOS (bore- og brønnsjef, boreoperasjonsleder, boreleder, operasjonsingeniør) 10. Collaboration Solutions, Guideline, GL3527 11. Meeting activities, Guideline, GL3526 12. Veiledning for etablering av operasjonsrom og samhandlingsrom, GL0342 13. Integrated Operations Guideline, GL0372 14. Technical Network and Security of Automation Systems, TR1658 15. APOS R110A Process & requirements OM01.no Drift 16. Statoils presentasjon til Ptil 24.1.2012 17. Odfjells presentasjon til Ptil 24.1.2012 18. Check Card 19. Snorre A Systematisk opplæringsprogram for elektriker/instr.tekn. (Odfjell) 20. Utskrift fra SAP om kurs:it sikring i prosesskontroll system 21. Utskrift fra SAP: SAS Change order 21665845: Operation overview
6 22. Nettverkstopologidiagram 23. Informasjonsplakat fra innretningen vedrørende bruk av minnepinner 24. Statoil boken 25. OMC01 Vedlegg A Oversikt over intervjuet personell.