Omklassifisert 2002-06-19 FORFATTER(E) Knut Øien og Snorre Sklet OPPDRAGSGIVER(E) Oljedirektoratet

SINTEF RAPPORT TITTEL SINTEF Teknologiledelse Sikkerhet og pålitelighet Postadresse: 7034 Trondheim Besøksadresse: Strindveien 4 Telefon: 73 59 27 56 Telefaks: 73 59 28 96 Foretaksregisteret: NO 948 007 029 MVA Risikoindikatorer for overvåking av risikonivået på Statfjord A Omklassifisert 2002-06-19 FORFATTER(E) Knut Øien og Snorre Sklet OPPDRAGSGIVER(E) Oljedirektoratet RAPPORTNR. GRADERING OPPDRAGSGIVERS REF. STF38 A98435 Åpen Liv Nielsen / Odd Tjelta GRADER. DENNE SIDE ISBN PROSJEKTNR. ANTALL SIDER OG BILAG Åpen 384049.10 97 + 10 vedlegg ELEKTRONISK ARKIVKODE PROSJEKTLEDER (NAVN, SIGN.) VERIFISERT AV (NAVN, SIGN.) Rapport SFA Ver 4.doc Snorre Sklet Marvin Rausand ARKIVKODE DATO GODKJENT AV (NAVN, STILLING, SIGN.) 1999-02-18 Lars Bodsberg, Forskningssjef SAMMENDRAG Rapporten inneholder beskrivelse av framgangsmåte og resultater fra "Risikoindikatorprosjektet - Statfjord A" som SINTEF har gjennomført i samarbeid med Statoil og Oljedirektoratet. Det er utarbeidet forslag til 9 risikoindikatorer for de største bidragsyterne til totalrisiko (FAR-verdi) for ulykkestypene prosessulykker og utblåsing. Utgangspunktet for etablering av indikatorene er foreliggende totalrisikoanalyse. Risikoindikatorene kan benyttes til å følge opp endringer i totalrisiko på Statfjord A i tidsrommet mellom oppdateringer av totalrisikoanalysen. For å vurdere anvendbarheten av indikatorene, er disse testet ut ved å samle inn data for tilstanden på indikatorene i 1. og 2. kvartal 1998. Uttestingen har vist at etablering av risikoindikatorer er en iterativ prosess og at indikatorene må justeres ved å ta hensyn til registreringsmulighetene (vanskelighetene) og en vurdering av hensiktsmessighet, relevans og nøyaktighet. Så langt dekker ikke de foreslåtte indikatorene det totale risikobildet. For å utarbeide et sett med indikatorer som er noenlunde komplett, er det behov for videre FOU-arbeid, bl.a. for å utvikle en angrepsmåte for etablering av indikatorer som dekker operasjonelle og organisatoriske risikopåvirkende forhold. STIKKORD NORSK ENGELSK GRUPPE 1 Sikkerhet Safety GRUPPE 2 Risiko Risk EGENVALGTE Risikoanalyse Risk Analysis Risikoindikator Risk Indicator

3 INNHOLDSFORTEGNELSE 1. SAMMENDRAG...5 2. INNLEDNING...8 2.1 Bakgrunn...8 2.2 Målsetting...8 2.3 Begreper og definisjoner...8 2.4 Oppbygging av rapporten...9 2.5 Forkortelser...10 3. INDIKATORER BRUKT I SIKKERHETSSTYRING...12 3.1 Prestasjonsindikatorer (ytelsesindikatorer)...12 3.2 Sikkerhetsindikatorer...13 3.3 Probabilistiske sikkerhetsindikatorer...17 3.4 Vedlikeholdsindikatorer...17 3.5 Sammenlikning av risikoindikatorer med andre indikatorer...17 4. FRAMGANGSMÅTE FOR PROSJEKTET...20 4.1 Prosjektbeskrivelse...20 4.2 Prosjektgjennomføring...21 4.3 Framgangsmåte for utvikling av tekniske risikoindikatorer for Statfjord A...21 4.3.1 Valg av ulykkestyper...21 4.3.2 Identifikasjon av risikopåvirkende forhold...23 4.3.3 Vurdering av endringspotensiale...24 4.3.4 Analyse av effekten på risikonivået...24 4.3.5 Valg av forhold med størst effekt på risikoen...25 4.3.6 Etablering av risikoindikatorer...26 4.3.7 Valg av risikoindikatorer...27 4.3.8 Etablering av rutiner for bruk av risikoindikatorer...28 5. AVGRENSNINGER OG FORUTSETNINGER...30 6. FORSLAG TIL RISIKOINDIKATORER...32 6.1 Oversikt over utvalgte risikoindikatorer...32 6.2 Beskrivelse av utvalgte risikoindikatorer...32 6.2.1 RPF nr. 1 Prosesslekkasjer...34 6.2.2 RPF nr. 2 Antennelse pga. feil på elektrisk utstyr...38 6.2.3 RPF nr. 3 Utkopling av tennkilder ved 20 % LEL...41 6.2.4 RPF nr. 4 Varmt arbeid...43 6.2.5 RPF nr. 5 Antennelse pga. pumper og kompressorer...47 6.2.6 RPF nr. 6 Antennelse pga. drivenheter...50 6.2.7 RPF nr. 7 Antennelse i nabomodul...53 6.2.8 RPF nr. 8 Boring og komplettering...56 6.2.9 RPF nr. 9 Brønnoverhaling...59 6.2.10 RPF nr. 10 Utblåsning...62 7. ORGANISATORISKE RISIKOPÅVIRKENDE FORHOLD...66 7.1 Innledning...66 7.2 Hva mener vi med organisatoriske faktorer (i risikosammenheng)?...66 7.3 Hvordan håndteres dette i dag innenfor offshore? (Hvordan tas organisatoriske faktorer hensyn til i risikoanalysene?)...68 7.3.1 Generiske data...68 7.3.2 Plattform-spesifikke data...70

4 7.3.3 Generelt (både generiske og spesifikke data)...71 7.4 Hvordan ble de organisatoriske faktorene håndtert i Ekofisk 2/4-T studien?...72 7.5 Hva gjøres i andre industrier?...74 7.5.1 SAM (System-Action-Management framework)...74 7.5.2 WPAM (Work Process Analysis Model)...77 7.5.3 I-RISK/OMIM (Organisation and Management Influence Model)...78 7.5.4 Generelle metodebetraktninger...79 7.6 Foreløpige tanker om framgangsmåte for Statfjord A...80 8. BRUK AV RISIKOINDIKATORER...84 8.1 Prinsipper for bruk av risikoindikatorer på Statfjord A...84 8.2 Uttesting av valgte risikoindikatorer...84 8.2.1 Antall olje- og gasslekkasjer...85 8.2.2 Antall av alle feil på elektrisk utstyr...85 8.2.3 Antall varmtarbeidstillatelser klasse A og B...86 8.2.4 Antall timer utestående vedlikehold (backlog)...87 8.2.5 Antall av alle feil på elektriske drivenheter...87 8.2.6 Andel av tiden dørene mellom modulene er åpne...88 8.2.7 Antall dager med boring og komplettering...88 8.2.8 Antall dager med brønnoverhaling...88 8.2.9 Antall trekkinger av borestreng...89 8.2.10 Oppsummering av uttesting...89 9. DISKUSJON OG VIDERE ARBEID...92 9.1 Diskusjon av resultatene fra prosjektet...92 9.2 Implementering og bruk av risikoindikatorer for Statfjord A...93 9.3 Videre FOU-arbeid...94 10. REFERANSER...96 OVERSIKT OVER VEDLEGG...98 VEDLEGG 1 Fortolkning av modellering av prosessulykker VEDLEGG 2 Fortolkning av modellering av utblåsing VEDLEGG 3 Fortolkning av modellering av stigerørsulykker VEDLEGG 4 Fortolkning av modellering av rørledningsulykker VEDLEGG 5 Fortolkning av modellering av helikopterulykker VEDLEGG 6 Liste over risikopåvirkende forhold for prosessulykker VEDLEGG 7 Liste over risikopåvirkende forhold for utblåsing VEDLEGG 8 Liste over risikopåvirkende forhold for stigerørsulykker VEDLEGG 9 Liste over risikopåvirkende forhold for rørledningsulykker VEDLEGG 10Liste over risikopåvirkende forhold for helikopterulykker

5 1. SAMMENDRAG Resultatene fra "Risikoindikatorprosjektet - Statfjord A" som SINTEF har gjennomført i samarbeid med Statoil og Oljedirektoratet presenteres i denne rapporten. Hovedmålsettingen med prosjektet har vært å utarbeide et sett med indikatorer som kan benyttes for å overvåke eventuelle endringer i risikonivået på Statfjord A. Arbeidet har resultert i forslag til et sett med risikoindikatorer for de risikopåvirkende forholdene som er de største bidragsyterne til totalrisikoen (FAR-verdi). De foreslåtte indikatorene dekker ulykkestypene prosessulykker og utblåsing. Risikoindikatorene kan benyttes til å overvåke endringer i risikoen på plattformen i tidsrommet mellom oppdateringer av totalrisikoanalysen. Fokus rettes mot risikopåvirkende forhold som kan endres i driftsfasen og som har stor påvirkning på totalrisikoen. En oversikt over de foreslåtte risikoindikatorene er presentert i Tabell 1. Tabell 1 Forslag til risikoindikatorer for Statfjord A. Risikopåvirkende forhold Prosesslekkasjer Antennelse pga. feil på elektrisk utstyr Varmt arbeid Antennelse pga. pumper og kompressorer Antennelse pga. drivenheter (turbiner og elektriske motorer) Antennelse i nabomodul Boring og komplettering Brønnoverhaling Utblåsning Risikoindikator 1. Antall av alle lekkasjer (inkl. 20 % LEL) 2. Antall av alle feil på elektrisk utstyr 3. Antall varmt arbeidstillatelser klasse A og B 4. Antall timer utestående vedlikehold (backlog) 5. Antall av alle feil på elektriske drivenheter 6. Andel av tiden dørene mellom modulene er åpne 7. Antall dager med boring og komplettering 8. Antall dager med brønnoverhaling 9. Antall trekkinger av borestreng Det anbefales å foreta kvartalsvise registreringer av tilstanden på risikoindikatorene. Følgende framgangsmåte er benyttet i utviklingen av risikoindikatorene: 1. Valg av ulykkestyper med størst bidrag til totalrisiko (utgangspunkt i totalrisikoanalysen) 2. Identifisering av alle forhold som inngår i totalrisikoanalysen (risikopåvirkende forhold) 3. Vurdering av hvilke forhold som kan endres og hvor mye (endringspotensiale) 4. Analyse av effekten på risiko av endringer (følsomhetsanalyser) 5. Valg av forhold med størst innvirkning på totalrisiko (største bidragsytere gitt potensiell endring) 6. Etablering av forslag til risikoindikatorer 7. Valg av et sett med risikoindikatorer 8. Etablering av rutiner for bruk av risikoindikatorer I arbeidet med å utarbeide risikoindikatorer er det viktig å involvere driftspersonell, spesielt i arbeidet med å vurdere endringspotensiale og ved etablering og utvelgelse av indikatorer. De foreslåtte indikatorene er testet ut ved at vi har samlet inn data om tilstanden på indikatorene i basisåret 1994 samt 1. og 2. kvartal 1998. Uttestingen har vist at etablering av indikatorer er en iterativ prosess hvor det er behov for justeringer underveis. Det må tas hensyn til flere forhold, bl.a. registreringsmulighetene (-vanskelighetene), hensiktsmessighet, relevans og nøyaktighet. Utgangspunktet for arbeidet har vært eksisterende totalrisikoanalyse for Statfjord A, slik at alle beregninger av effekt på risiko er basert på den foreliggende totalrisikoanalysen. Ettersom ikke

6 alle indikatorene inngår direkte i risikoanalysen, har vi vært nødt til å si noe om sammenhengen mellom de utvalgte risikoindikatorene og risikonivået på plattformen. Denne sammenhengen er forenklet illustrert i Figur 1. 1 Små Middels Store Svært store Prosesslekkasjer 2 Alle feil på el. utstyr Kritisk feil på el. utstyr Ant. pga. feil på el. utstyr 4 Vedlikehold Tilstand på pumper/ kompr. Feil på lager (varmgang) 3 Ant. pga. varmt arbeid Ant. pga. pumper/ komp. Ulykkestyper Prosessulykke Risikonivå Statfjord A 5 Alle feil på el. drivenheter Kritisk feil på el. drivenheter Ant. pga. drivenheter Utblåsing 6 Åpne dører mellom moduler Gasspredn. til nabomodul Ant. i nabomodul 7 Boring og komplettering Risikopåvirkende forhold 8 Brønnoverhaling Risikoindikator 9 Swabbing Kick Tap av 1. barriere Utblåsningssannsynlighet Figur 1 Koblingen mellom ulike indikatorer og risikonivået for Statfjord A. Ettersom Statoil er i ferd med å oppdatere totalrisikoanalysen for Statfjord B og C, anbefales det at man legger til rette for å utarbeide et sett med risikoindikatorer for disse plattformene i forbindelse med oppdateringen av disse TRA'ene. I dette arbeidet bør man også involvere driftspersonell fra plattformene. De foreslåtte indikatorene dekker bare en del av det totale risikobildet (største bidragsytere til risiko for tap av personell - begrenset til storulykkespotensiale). Det anbefales at Statoil benytter tilsvarende angrepsmåte til også å utarbeide indikatorer som dekker risiko for skade på ytre miljø og tap av materielle verdier. Ettersom totalrisikoanalysen for SFA er valgt som utgangspunkt for arbeidet, legger kvaliteten på TRA'en (kompletthet, detaljeringsnivå, godhet av modeller, osv.), begrensninger på hvilke risikopåvirkende forhold vi har funnet. Bl.a. inneholder modellene i TRA'en lite årsaksanalyser og analyser av menneskelige forhold, slik at disse forholdene i utgangspunktet ikke vil inngå i de identifiserte risikopåvirkende forholdene. Før man kan påstå å ha et noenlunde komplett sett med indikatorer som også dekker operasjonelle og organisatoriske risikopåvirkende forhold, er det behov for videre FOU-arbeid, bl.a. for å

utvikle en angrepsmåte som gjør det mulig å etablere indikatorer som også dekker disse forholdene. 7

8 2. INNLEDNING 2.1 Bakgrunn For bedre å kunne følge opp utviklingen i risikonivået på Ekofisk 2/4-T i interimsperioden, dvs. tiden fra beslutning om utfasing av plattformen til faktisk nedstenging i 1998, igangsatte OD i 1994 et prosjekt med overordnet målsetting "å identifisere et sett med indikatorer som kunne benyttes til å si noe om utviklingen av risikonivået på plattformen i interimsperioden" (/1/). Resultatene fra dette prosjektet var såpass lovende at OD ønsket å gå videre med et tilsvarende prosjekt for Statfjord A i samarbeid med Statoil. Denne rapporten oppsummerer resultatene fra dette prosjektet. Prosjektet er også et forsøk på å ta et steg videre med tanke på å tilfredsstille intensjonene i ODs analyseforskrift (/2/) om at "operatøren skal planlegge risikoanalyser slik at de utføres i samsvar med virksomhetens utvikling og brukes aktivt i utformingen og gjennomføringen av virksomheten". I praksis har risikoanalyser blitt benyttet som et verktøy i forbindelse med prosjektering av nye innretninger, mens bruken av resultatene fra risikoanalysene i driftsfasen har vært begrenset. Dette prosjektet er derfor et forsøk på å dra nytte av arbeidet med totalrisikoanalysen for Statfjord A under videre drift og vedlikehold av plattformen. 2.2 Målsetting Hovedmålsettingen med prosjektet har vært å utvikle et sett med indikatorer som kan benyttes for å overvåke eventuelle endringer i risikonivået på Statfjord A. Følgende delmål ble utarbeidet for prosjektet: 1. Identifisere de forhold som har størst betydning for risikonivået på Statfjord A slik dette framgår av Totalrisikoanalyse Statfjord A (/3/) (kalt tekniske risikopåvirkende forhold). 2. Identifisere bakenforliggende forhold som påvirker risikonivået på Statfjord A (kalt organisatoriske risikopåvirkende forhold). 3. Identifisere hensiktsmessige indikatorer for utvalgte risikopåvirkende forhold. 4. Utarbeide rutiner for bruken av indikatorene og fornuftig form på presentasjon av resultatene. 2.3 Begreper og definisjoner I Figur 2 har vi vist sammenhengen mellom de sentrale begrepene risikonivå, risikopåvirkende forhold og indikatorer som benyttes i rapporten. Risiko er i ODs analyseforskrift (/2/) definert som uttrykk for sannsynligheten for og konsekvensene av en ulykkeshendelse, hvor ulykkeshendelse defineres som ukontrollert hendelse som kan medføre tap av menneskeliv, personskader, skade på miljø og tap av økonomiske verdier. Risikonivå er i dette prosjektet avgrenset til å gjelde risiko for tap av personell på plattformen. Denne uttrykkes vha. FAR-verdi. FAR-verdi defineres som forventet antall døde pr. 10 8 eksponeringstimer. Med risikopåvirkende forhold (RPF) menes et forhold (hendelse, tilstand, egenskap) som påvirker risikonivået knyttet til et gitt system eller aktivitet (her drift og vedlikehold av en bestemt offshore

9 innretning). Et eksempel på et risikopåvirkende forhold er omfang av varmt arbeid på plattformen, noe som påvirker sannsynligheten for antennelse av hydrokarboner. En indikator er en målbar/tellbar/registrerbar/observerbar størrelse som benyttes til å overvåke utviklingen av et risikopåvirkende forhold. En indikator skal i størst mulig grad være korrelert med det risikopåvirkende forhold den "overvåker". To eksempler på indikatorer for varmt arbeid er antall varmt arbeidstillatelser klasse A og B i en periode og antall timer varmt arbeid i løpet av en periode. Nederst til venstre i Figur 2 har vi illustrert sammenhengen mellom den relative endringen i tilstanden på en indikator og risikonivået på plattformen. Denne sammenhengen kan finnes ved å ta utgangspunkt i totalrisikoanalysen, og gjennomføre følsomhetsanalyser ved å endre én og én inngangsparameter i totalrisikoanalysen. Når vi kjenner sammenhengen mellom ulike indikatorer og risikonivået, kan vi ved å foreta periodiske målinger av tilstanden på indikatorene, også si noe om den relative endringen i risikonivået. Nederst til høyre i figuren har vi vist hvordan man ved å måle tilstanden på én indikator i flere tidsperioder (f.eks. kvartalsvis), kan vise hvordan dette påvirker risikonivået på plattformen. Risikonivå Risikopåvirkende forhold (RPF) Indikatorer ANTALL VARMT ARBEIDSTILLATELSER KLASSE A OG B VARMT ARBEID ANTALL TIMER VARMT ARBEID KLASSE A OG B %-VIS ENDRING I RISIKONIVÅ %-VIS ENDRING I RISIKONIVÅ Indikator 1 40 20 0 0 50 100 %-VIS ENDRING I INDIKATOR 20 0-20 P1 P2 P3 P4 P5 PERIODE Figur 2 Sammenheng mellom ulike begreper. 2.4 Oppbygging av rapporten Vi har utarbeidet en relativt fyldig rapport fra prosjektet. Ikke alle deler av rapporten vil være like relevant for alle leserne. Kapittel 1 inneholder et sammendrag der vi har trukket ut hovedpoengene i rapporten. Kapittel 2 inneholder bakgrunnen for og målsettingen med prosjektet. I kapittel 3 presenterer vi noen eksempler på bruk av indikatorer for å overvåke sikkerheten i andre

10 bransjer. I kapittel 4 beskriver vi framgangsmåten vi har benyttet for å etablere risikoindikatorer for Statfjord A. Kapittel 5 inneholder en oversikt over de viktigste avgrensningene og forutsetningene vi har gjort, mens vi i kapittel 6 gjennomgår de indikatorene vi foreslår for Statfjord A. I kapittel 7 diskuteres mulige framgangsmåter for å vurdere hvilken effekt endringer i organisatoriske faktorer har på risikonivået. Kapittel 8 inneholder forslag til hvordan indikatorene kan brukes, samt resultater fra en uttesting av de foreslåtte indikatorene på Statfjord A. I kapittel 9 diskuteres resultatene fra prosjektet. Kapittel 10 inneholder en oversikt over litteratur vi har gjennomgått i prosjektet, mens VEDLEGG 1 - VEDLEGG 10 gir en mer detaljert oversikt over resultater fra prosjektet. 2.5 Forkortelser Nedenfor følger en liste med forklaringer på de forkortelser som er benyttet i rapporten. BOP Blowout Preventer CDF Core Damage Frequency DBR Daglig BoreRapport ESD Emergency Shutdown (valve) FAR Fatal Accident Rate FV Forebyggende vedlikehold ILCI International Loss Control Institute I-RISK EU-prosjektet "Development of an Integrated Technical and Management Risk Control and Risk Monitoring Methodology for the Quantification and Management of On-site and Off-site Risks" ISRS The International Safety Rating System (Internasjonalt System for Rangering av Sikkerhet) KV Korrektivt vedlikehold LEL Lower Explosion Limit MCS Minimal Cut Set OD Oljedirektoratet OHRAT Offshore Hazard and Risk Analysis Toolkit OMIM Organisational and Management Influence Model OREDA Offshore Reliability Data PLL Potential Loss of Life PRA Probabilistic Risk Assessment PRIMA Process Risk Management Audit PSA Probabilistic Safety Assessment RPF Risikopåvirkende forhold SADT Structured Analysis and Design Technique SAM System Action Management SAP Programvare for styring av administrative og produksjonsrelaterte prosesser SFA Statfjord A SJA Sikker jobbanalyse SKI Statens Kärnkraftinspektion SMS Safety Management System SPAR Styringsparametre for oppfølging av vedlikehold TRA Totalrisikoanalyse TRA SFA Totalrisikoanalyse Statfjord A (/3/) VMS Vedlikehold- og Materialstyring WANO World Association of Nuclear Operators WPAM The Work Process Analysis Model QRA Quantitative Risk Analysis

11

12 3. INDIKATORER BRUKT I SIKKERHETSSTYRING Vi har utviklet en ny type indikatorer som vi kan betegne som risikoindikatorer, men generelt sett, så er bruk av indikatorer innenfor sikkerhetsstyring ikke noe nytt. En rekke ulike typer av indikatorer har blitt foreslått, og de har en mer eller mindre kjent effekt på sikkerheten. Vi vil i dette kapitlet se nærmere på noen av de kvantitative indikatorene som har blitt foreslått, og sammenligne disse med våre risikoindikatorer. I tillegg til de kvantitative indikatorene finnes det også en rekke metoder som benytter seg av kvalitative indikatorer, gjerne utformet som spørsmål knyttet til gitte sikkerhets- eller risikoforhold. Herunder kommer ulike audit-metoder. Noen av disse kan sies å være semi-kvantitative, ved at de benytter seg av poenggivning for å uttrykke godheten av gitte sikkerhets- eller risikoforhold. Felles for de fleste av disse indikatorene (og evt. tilhørende metoder), er at det i liten grad finnes dokumentert sammenheng mellom verdiene/svarene på indikatorene og storulykkesrisikoen. Nedenfor følger en kort beskrivelse av følgende kvantitative indikatorer som er benyttet i andre bransjer (i hovedsak kjernekraft), for å overvåke ulike forhold av betydning for sikkerheten: Prestasjonsindikatorer (ytelsesindikatorer) Sikkerhetsindikatorer Probabilistiske sikkerhetsindikatorer Vedlikeholdsindikatorer I beskrivelsen av disse indikatorene har vi lagt vekt på å beskrive hvordan de er etablert, samt deres korrelasjon med risikoen/sikkerheten. Terminologien benyttes slik den benyttes innenfor kjernekraft. Det er ikke noe forsøk på å gi en form for klassifisering som er allment akseptert og blir benyttet på tvers av flere bransjer. 3.1 Prestasjonsindikatorer (ytelsesindikatorer) Den internasjonale kjernekraftindustrien etablerte World Association of Nuclear Operators (WANO) etter Tsjernobyl ulykken. En verdensomspennende standardisering av kjernekraftverksindikatorer (noen var allerede i bruk) ble sett på av WANO som et av de sentrale målene. Behovet for å ha felles internasjonale prestasjonsindikatorer var basert både på den påviste nytte ved å kunne utveksle driftserfaring, men også erkjennelsen av at en sammenlikning mellom ulike kraftverk var uunngåelig. I 1990, etter et internasjonalt utviklingsengasjement, etablerte WANO 10 prestasjonsindikatorer for internasjonal bruk innenfor kjernekraftverkssikkerhet, pålitelighet, effektivitet og personellsikkerhet. Disse indikatorene, beskrevet ved deres originale engelske betegnelse, er (/5/): 1. Unit Capability Factor 2. Unplanned Capability Loss Factor 3. Unplanned Automatic Scrams per 7000 Hours Critical 4. Safety System Performance 5. Thermal Performance 6. Fuel Reliability 7. Collective Radiation Exposure 8. Volume of Lower Level Solid Radioactive Waste

13 9. Chemistry Index 10. Lost-Time Accident Rate Prestasjonsindikatorene er gitt følgende beskrivelse ( definisjon ) (/5/): Performance indicators are measurable parameters providing a quantitative means of monitoring the effectiveness of the spectrum of activities at commercial nuclear plants that can influence safety. Legg merke til at det kun er antatt at disse indikatorene kan påvirke sikkerheten. Et eksempel som illustrerer bruken av en av disse indikatorene (indikator nr. 4 Safety System Performance) er vist i Figur 3. Denne indikatoren er definert som den totale utilgjengeligheten uansett årsak til komponentene i systemet i løpet av en periode, delt på antall tog systemet består av. 0,01 0,009 0,008 Unavailability 0,007 0,006 0,005 0,004 0,003 0,002 0,001 0 1985-3 1985-4 1986-1 1986-2 1986-3 1986-4 1987-1 1987-2 1987-3 1987-4 1988-1 1988-2 1988-3 1988-4 1989-1 1989-2 1989-3 1989-4 1990-1 1990-2 1990-3 Quarter 4-quarter running average Figur 3 Gjennomsnittlig utilgjengelighet av fire diesel generatortog, Loviisa 2, Finland (Tilpasset fra /5/). Det har blitt uttrykt bekymring om hvorvidt graden av sikkerhetsvektlegging er tilstrekkelig ved bruk av WANO s sett med indikatorer. En videre utvikling og implementering av mer detaljerte og kraftverksspesifikke indikatorer (for overvåking av sikkerhetskritiske aktiviteter og avdekking av avvik i kraftverket) er ansett å være nyttig både blant operatørene av kjernekraftverkene og av myndighetene som forvalter regelverket. Et praktisk problem ved kraftverkene er å skille ut den viktigste andelen av den store mengden av informasjon som framskaffes hver dag. En mer problemorientert erfaringstilbakeføring kan oppnås ved å benytte kraftverksspesifikke sikkerhetsindikatorer. 3.2 Sikkerhetsindikatorer Hovedhensikten med sikkerhetsindikatorer er å hjelpe til med å identifisere tidlige indikasjoner på degradert ytelse og derigjennom etablere tiltak for "forhåndsvarsling" av begynnende problem før en alvorlig hendelse eller ulykke inntreffer.

14 Et varsel fra sikkerhetsindikatorene bør igangsette videre gransking av årsakene til symptomene for å sikre at korrigerende tiltak blir satt inn på rett plass. To typer av indikatorer med ulike egenskaper har blitt etablert: Direkte indikatorer Indirekte indikatorer Direkte indikatorer baserer seg på informasjon hentet direkte fra hendelser som har inntruffet ved kraftverket, f.eks. antall transienter, eller feilrater i sikkerhetskritiske systemer. Men, kun et fåtall sikkerhetskritiske hendelser inntreffer i kraftverket i løpet av en periode. Ledelsen vil ikke få nok tilbakemeldinger til at de kan handle ut i fra denne, og den mulige nytten av de direkte indikatorene kan være begrenset. Det har derfor vært nødvendig å finne den type målbare egenskaper ved et kraftverks prestasjon/ytelse som kan gi et forhåndsvarsel om degradert ytelse, før de direkte resultatindikatorene blir påvirket. Indirekte indikatorer måler prestasjonen til funksjonsenhetene innenfor kraftverksorganisasjonen, slik som drift, vedlikehold, opplæring, og teknisk støtte. Dersom den organisatoriske adferden knyttet til disse funksjonsenhetene kan identifiseres, og også måles med indikatorer, burde disse indikatorene antyde eller gi signal om framtidige fysiske prestasjonsindikasjoner. Verdien med å identifisere indirekte indikatorer er den mulighet de har til å kunne være antakelsesindikatorer om potensielle problem. Indirekte indikatorer blir ofte kalt prediktive eller programatiske. Utvikling av sikkerhetsindikatorer I et nordisk prosjekt (/5/) ble beskyttelseslinjene (barrierene) i forsvar-i-dybden strategien, sammen med risikoanalysen, identifisert som et fornuftig rammeverk for identifisering og strukturering av prestasjonsområdene knyttet til sikkerhet. Forsvar-i-dybden strategien kan illustreres som vist i Figur 4. Human errors Component failures External hazards 4 physical Fuel matrix Fuel cladding Boundary of reactor cooling system Containment system barriers 5 safety barriers 5 1 Conservative design, QA, safety culture 2 Process control and failure detection 3 Safety systems 4 Accident management Off-site emergency response Figur 4 Illustrasjon av forsvar-i-dybden (defense-in-depth) strategien.

15 Prestasjonsområdene som ble definert, basert på forsvar-i-dybden strategien, ble betegnet: Safety management (Level 1 safety barrier) Control of operation (Level 2 safety barrier) Safety functions (Level 3 safety barrier) Physical barriers (Physical barriers 1-4) Nivå 4 og 5 (dvs. ulykkesgransking og beredskap) ble ikke benyttet som basis for utvikling av indikatorer. Omkring et hundre sikkerhetsindikatorer har blitt innsamlet og videreutviklet, og deretter beskrevet i form av spesifikasjoner (dvs. indikatornavn, funksjonsområde, hensikt, definisjon, databehov, beregning, bruk og resultater). Eksempler på slike indikatorer er gitt i Tabell 2. Tabell 2 Eksempler på sikkerhetsindikatorer (hentet fra ref. /5/). Safety Management Control of Operation Safety Functions Physical Barriers Recurrent fault modes Maintenance ambition index Safety issues backlog Transient index Mean time between repairs of components Unplanned capability loss factor * Safety systems performance * Common cause failures Length of component unplanned outage Tightness index Crack index Fuel reliability index * * Også WANO indikator Operatørspesifikke sikkerhetsindikatorer Vattenfall utviklet et sett med operatørdefinerte sikkerhetsindikatorer i samarbeid med det nordiske prosjektet (/5/). Rammeverket for definering av indikatorer er illustrert i Figur 5. Level 1 Level 2 Level 4 Level 5 Safety barriers (the five levels in defense-in-depth) Level 3 Event transients Physical barriers 1 2 3 4 Plant safety Figur 5 Vattenfalls rammeverk for definering av et sett med indikatorer.

16 Legg merke til at safety systems (nivå 3 i forsvar-i-dybden) består av utstyr (hardware) som skal overvåkes ved bruk av direkte indikatorer. Indikatorene som er identifisert er vist i Tabell 3. Tabell 3 Operatørspesifikke indikatorer. Safety indicators Type Routine use Reported each 4 mth Events Unplanned automatic scrams Transient index D D/I x x x x Physical barriers Safety barriers ( Defense-indepth ) Fuel cladding (1) Primary circuit pressure boundary (2) Containment Safety culture, QA (1) Control of operation (2) Safety systems (3) Fuel reliability Chemistry index Crack index Tightness index QA index Exemption index LER significance index Recurrent failure index Maintenance quality index Maintenance ambition index Work order management index Unplanned capability index Safety system performance Valve failure index D D/I D D I I D D/I I I I D D D x x x x x x x x x x x D - direkte indikatorer I - indirekte indikatorer Ni av indikatorene ble akseptert for rutinemessig bruk etter utviklingsprosjektet, mens 6 av disse har blitt brukt som et kommunikasjonsverktøy mellom operatørens sentrale ledelse og de enkelte kjernekraftverksenhetene. En analyse og evaluering av disse indikatorene ved de ulike kjernekraftverksenhetene rapporteres i kvartalsrapporter til kraftverkene og til den sentrale ledelsen. Sikkerhetsindikatorer er gitt følgende beskrivelse (/5/): Safety indicator is an observable characteristic of an operational nuclear power plant unit, presumed to bear a positive correlation with the safety of the reactor. The safety indicators have been selected, among other means, for the purpose of supervision of safety. The safety indicators can be related to defense lines according to defense-in-depth such as physical barriers and safety functions. Som for prestasjonsindikatorene, så er det kun antatt å være en positiv korrelasjon mellom indikatorene og sikkerheten. Den virkelige effekten på sikkerheten er ikke på noen måter evaluert. Men, bruken av indikatorene har ført til avdekking av sikkerhetsforhold som ellers ville forblitt skjult i den store mengden av rapporter og data som er tilgjengelig. Sikkerhetsindikatorer har potensiale til å gjøre erfaringstilbakeføringen hurtigere og mer selektiv for kontinuerlig sikkerhetsevaluering og utvikling.

17 3.3 Probabilistiske sikkerhetsindikatorer Statens Kärnkraftinspektion (SKI) i Sverige administrerer en erfaringsdatabase, STAGBAS II. Statistiske diagram i den såkalte hendelseskatalogen visualiserer det årlige antall hendelser som stammer fra ulike sikkerhetsfunksjoner, -systemer og -komponenter. Fra denne katalogen identifiseres indikatorkandidater ved bl.a. å se på trend. Sikkerhetsrelevansen til hver av kandidatene (f.eks. isoleringsventiler), som enhetsspesifikke indikatorer, er også vurdert ved å benytte den kraftverksspesifikke risikoanalysen for å uttrykke deres betydning for totalrisikoen. Den underliggende feilårsaken til kandidatene undersøkes i detalj for å identifisere det egentlige problemområdet samt bekrefte deres trend. Deretter kan de enhetsspesifikke indikatorene fastsettes. Legg merke til at disse indikatorene måler en eller annen endring ved f.eks. isoleringsventiler hvor effekten på risiko evalueres gjennom å benytte den kraftverksspesifikke risikoanalysen. Ikke bare er det en positiv korrelasjon med sikkerheten, men effekten er også kjent. En annen viktig observasjon er at disse indikatorene identifiseres ut i fra hendelser, og ikke fra risikoanalysen. Følgende potensielle observasjonsområder har vist seg å være felles for flere kraftverksenheter: Hydraulic scram system or control rod drives (reactivity control) Fire protection system Electric power supply Isolation valves Core spray system and containment vessel spray system Probabilistiske sikkerhetsindikatorer er altså utviklet på bakgrunn av en detaljert studie av hver av disse "problemområdene". 3.4 Vedlikeholdsindikatorer Et pilotprosjekt for utvikling av indikatorer ble gjennomført ved Barsebäck kjernekraftverk. Det ble her utviklet en type tilstandsovervåkingsindikatorer som kan benyttes for vedlikeholdsplanleggingsformål. Disse kan gi informasjon om aldring og degradering av komponenter. Denne type informasjon hjelper vedlikeholdsplanleggeren til å detektere tidlig feilutvikling, og derigjennom kunne planlegge vedlikeholdsaksjonene bedre, for å unngå funksjonsfeil eller skade. Et eksempel på en slik indikator er trykkfall over en varmeveksler. Denne typen indikator dekker imidlertid kun en begrenset del av én av sikkerhetsbarrierene (nivå 2 i forsvar-i-dybden), dvs. de har liten dekningsgrad. I tillegg er korrelasjonen med sikkerhet uklar. 3.5 Sammenlikning av risikoindikatorer med andre indikatorer Vi vil her sammenlikne våre risikoindikatorer med de overfor nevnte indikatorene. Vi har delt inn risikoindikatorene i 2 kategorier:

18 1. Tekniske risikoindikatorer 2. Organisatoriske indikatorer Disse indikatorene har noen likhetstrekk med de indikatorene som er utviklet innenfor kjernekraft og som er presentert ovenfor, men også noen særtrekk. De tekniske risikoindikatorene er sammenlignbare med de probabilistiske sikkerhetsindikatorene ved at effekten på sikkerheten (risikoen) er etablert via risikoanalysen. De dekker også i hovedsak teknisk utstyr, slik de probabilistiske sikkerhetsindikatorene gjør, men i noen grad fanger de også opp operasjonelle forhold (som f.eks. varmt arbeid). Hovedforskjellen ligger i hvordan indikatorene etableres. Risikoindikatorene identifiseres med utgangspunkt i risikoanalysen, mens de probabilistiske sikkerhetsindikatorene identifiseres ut i fra en hendelsesdatabase. Identifiseringen med utgangspunkt i risikoanalysen har to fordeler framfor bruk av hendelsesdatabaser: 1. Risikobidragsyterne med det største potensialet for å endre totalrisikoen identifiseres 2. Den totale dekningsgraden til et sett med indikatorer, ift. totalrisikoen kan beregnes (i allefall tilnærmet) I tillegg forsøker vi gjennom risikoindikatorene å dekke organisatoriske forhold, selv om dette ennå er i en tidlig utviklingsfase (kun forslag til rammeverk for framgangsmåte er etablert). Risikoindikatorene er i dette henseende mer sammenliknbare med sikkerhetsindikatorene. Også disse kan deles i to kategorier: direkte og indirekte, selv om dette ikke er direkte overensstemmende med betegnelsene tekniske og organisatoriske som vi benytter. Direkte innebærer at sikkerhetsindikatorene er basert på informasjon innhentet direkte fra hendelser som inntreffer på kraftverket, mens teknisk innebærer at risikoindikatorene dekker alle aspekter modellert i den tekniske risikoanalysen. (Pga. metodiske begrensninger er f.eks. organisatoriske forhold ikke inkludert, mens noen operasjonelle forhold, f.eks. varmt arbeid, er inkludert). De to betegnelsene indirekte (sikkerhetsindikatorer) og organisatoriske (risikoindikatorer) er mer sammenliknbare. Begge dekker i hovedsak organisatoriske faktorer, som innenfor kjernekraft er sikkerhetsbarrierene (nivåene) i forsvar-i-dybden, og innenfor offshore er ledelses- og organisasjonsfaktorer. Når det gjelder framgangsmåten for etablering av indikatorene, så er forskjellen større, selv om rammeverket for etablering har visse likheter. De indirekte sikkerhetsindikatorene er etablert ved å benytte en top-down framgangsmåte (fra de fem nivåene i forsvar-i-dybden, via de fysiske barrierene og til systemet) som illustrert i Figur 5. De organisatoriske risikoindikatorene vil bli identifisert ved å benytte en bottom-up framgangsmåte (fra risikoanalysen/risikomodellen, via handlinger og beslutninger som påvirker de tekniske risikofaktorene og til de organisatoriske faktorene som igjen påvirker handlingene og beslutningene). Til slutt vil vi understreke hensikten med å benytte risikoindikatorer, som er å overvåke utviklingen i risikonivået mellom to påfølgende oppdateringer av risikoanalysen (som typisk vil være flere år). Dette er forskjellig fra hensikten med de øvrige indikatorene. Gjennom etablering og bruk av risikoindikatorer kan man ha, om ikke kontinuerlig, iallfall regelmessig kontroll med utviklingen i risikonivået.

19

20 4. FRAMGANGSMÅTE FOR PROSJEKTET 4.1 Prosjektbeskrivelse Prosjektet har bestått av 7 aktiviteter, som vist i Figur 6. 1. Avgrense arbeidet 2. Velge ulykkestyper 3. Identifisere og velge ut tekniske risikopåvirkende forhold 5. Identifisere og velge ut organisatoriske risikopåvirkende forhold 4. Identifisere og velge ut tekniske indikatorer 6. Identifisere og velge ut organisatoriske indikatorer 7. Utvikle operativt verktøy for bruk av indikatorer Figur 6 Aktiviteter i "Risikoindikatorprosjektet - Statfjord A". Arbeidet med aktivitet 1, 2, 3, 4, og 7 ble i hovedsak gjennomført i henhold til opprinnelig plan, og har resultert i et sett med risikoindikatorer for Statfjord A som presenteres i denne rapporten. En oversikt over framgangsmåten for utvikling av risikoindikatorer for Statfjord A er beskrevet i avsnitt 4.3. Videre er de enkelte aktivitetene (1, 2, 3, 4 og 7) dokumentert som følger: Avgrensinger som ble gjort i løpet av prosjektarbeidet og forutsetninger som resultatene bygger på (aktivitet 1), er dokumentert i kapittel 5. Resultatene fra aktivitet 2, Valg av ulykkestyper, presenteres i avsnitt 4.3.1. Resultatene fra aktivitet 3, Identifisere og velge ut tekniske risikopåvirkende forhold, og 4, Identifisere og velge ut tekniske indikatorer, presenteres i avsnittene 4.3.2-4.3.7 og kapittel 6. I kapittel 8 diskuteres resultatene fra aktivitet 7, Utvikle operativt verktøy for bruk av indikatorer. Når det gjelder aktivitet 5 og 6, var målsettingene for ambisiøse innenfor rammen av dette prosjektet. Arbeidet med å identifisere og velge ut organisatoriske risikopåvirkende forhold og indikatorer for disse for Statfjord A, er derfor kun påbegynt. For å kunne identifisere og velge ut organisatoriske risikopåvirkende forhold, er det behov for å utvikle et teoretisk rammeverk for å vise sammenhengen mellom organisatoriske risikopåvirkende forhold og risikonivået på plattformen. Som et ledd i utviklingen av dette rammeverket, er det gjennomgått en del internasjonal litteratur innenfor fagområdet. Hovedresultatene fra denne litteraturgjennomgangen og status for arbeidet med organisatoriske risikopåvirkende forhold og indikatorer er oppsummert i kapittel 7. Dette arbeidet videreføres i et eget prosjekt "Risikoanalyser i driftsfasen". Prosjektet utføres av SINTEF med deltakelse fra Oljedirektoratet, 9 operatørselskaper (Statoil, Norsk Hydro, Saga, BP, Norske Shell, Esso, PPCoN, Elf og Amoco) og 3 konsulentselskaper (DNV, Scandpower og Safetec). Resultatene fra dette prosjektet vil bli rapportert i egne rapporter på et senere tidspunkt.

21 4.2 Prosjektgjennomføring I løpet av prosjektperioden er det avholdt jevnlige møter i en referansegruppe for prosjektet. Referansegruppen har bestått av personer fra Statoil og Oljedirektoratet. I tillegg er det gjennomført flere arbeidsmøter med deltagere fra relevante fagområder fra Statoil og Oljedirektoratet for å diskutere avgrensede problemstillinger i periodene mellom møtene i referansegruppen. Utbyttet av alle disse møtene har i stor grad påvirket gjennomføringen av prosjektet, og vært en forutsetning både for en vellykket gjennomføring og framskaffelsen av de resultater som foreligger. 4.3 Framgangsmåte for utvikling av tekniske risikoindikatorer for Statfjord A Framgangsmåten for utvikling av tekniske risikoindikatorer for Statfjord A er vist i Figur 7. Vi vil her kun gi en grov oversikt over framgangsmåten. En utdypende beskrivelse av den generelle metoden for utvikling av risikoindikatorer er gitt i (/4/). Steg 1. Velg ulykkestyper Steg 2. Identifiser forhold som inngår i risikoanalysen Steg 3. Vurder hvilke forhold som kan endres og hvor mye Steg 4. Analyser effekt på risiko Steg 5. Velg forhold med størst innvirkning på risiko Steg 6. Etabler indikatorer Steg 7. Velg et sett med indikatorer Steg 8. Etabler rutiner for bruk av indikatorer Figur 7 Framgangsmåte for utvikling av tekniske risikoindikatorer for Statfjord A. 4.3.1 Valg av ulykkestyper Ulykkestyper ble valgt med utgangspunkt i TRA'en (/3/). Følgende kriterier ble lagt til grunn for valg av ulykkestyper for videre arbeid: 1. Ulykkestypen skulle innebære et visst storulykkespotensiale. 2. Ulykkestypen skulle gi et signifikant bidrag til totalrisikoen mht. tap av menneskeliv.

22 I TRA'en er fare- og ulykkessituasjoner som kan påvirke risikonivået (FAR-verdi) på Statfjord A og Polycrown behandlet. I TRA'en (/3/ Appendix 2) er det beskrevet i alt 47 identifiserte fare- og ulykkessituasjoner for Statfjord A og Polycrown. Disse fare- og ulykkessituasjonene er samlet i alt 12 ulykkestyper (jfr. Tabell 4). SINTEF har ikke vurdert mulige ulykkestyper utover dette, da det antas at disse vil gi et svært lite bidrag til totalrisikoen sammenlignet med ulykkestyper behandlet i TRA'en. Bidraget til totalrisiko for hver at disse ulykkestypene er vist i Figur 8. Bidrag til totalrisiko fra alle ulykkestyper for Statfjord A Andre branner 1 % Arbeidsulykker 12 % Heliko.ulykker 6 % Flotellkollisjon 0 % Skipskollisjon 0 % Jordskjelv 2 % Ekstreme værforhold 2 % Prosessulykker 46 % Utblåsing 25 % Stigerør / rørledn.ulykker 6 % Figur 8 Bidrag til totalrisiko fra ulike ulykkestyper (/3/). De ulykkestypene som i Figur 8 er skyggelagt, er de som ble valgt ut. Tabell 4 viser hvor stort FAR-bidrag de ulike ulykkestypene vurdert i TRA'en gir, og en begrunnelse for hvilke ulykkestyper som ble valgt for videre analyse. Følgende ulykkestyper ble altså valgt for videre vurdering med tanke på utarbeidelse av risikoindikatorer: Topside prosessulykker Stigerør/rørledningsulykker Utblåsning Helikopterulykker Totalt utgjør dette 83 % av totalrisikoen for Statfjord A med flotell og 85 % av totalrisikoen for Statfjord A uten flotell. De 4 valgte ulykkestypene utgjør altså en relativt stor andel av totalrisikoen.

23 Tabell 4 Personellrisiko (FAR-verdi) for ulike ulykkestyper. FAR-verdi Ulykkestype SFA m/flotell SFA u/flotell Kommentar Topside prosessulykker 2,85 3 Velges for videre arbeid Stigerør / rørledningsulykker 0,45 0,45 Velges for videre arbeid Utblåsning 1,75 1,93 Velges for videre arbeid Skipskollisjoner 0,01 0,01 Utelates pga. lav risiko Flotellkollisjoner 0 0 Utelates pga. lav risiko Helikopterulykker 0,43 1,01 Velges for videre arbeid Arbeidsulykker 0,8 0,8 Utelates pga. manglende storul.potensiale Jordskjelv 0,11 0,11 Utelates pga. lav risiko og lav påv.mulighet Ekstremt vær 0,11 0,11 Utelates pga. lav risiko og lav påv.mulighet Branner i glykol, dieselsystemer osv. 0,04 0,04 Utelates pga. lav risiko Branner relatert til el. kraft/utstyr 0,03 0,03 Utelates pga. lav risiko Sek. lekk./branner pga. fallende laster <0,001 <0,001 Utelates pga. lav risiko Totalt Statfjord A 6,6 7,5 Statfjord A og Polycrown som en enhet 5,8 4.3.2 Identifikasjon av risikopåvirkende forhold Tekniske risikopåvirkende forhold ble identifisert av SINTEF ved å ta utgangspunkt i eksisterende TRA (/3/). I TRA'en tas det utgangspunkt i identifiserte ulykkeshendelser. Analysen av hver ulykkeshendelse består i hovedsak av en beskrivelse av mulige hendelsessekvenser modellert vha. hendelsestrær, samt modeller/antakelser om grensannsynligheter (godhet av "barrierer"). Parametre som inngår i TRA'en inngår derfor i ulike modeller på ulike steder i analysen. Vi var derfor nødt til å gjennomgå modellene for hver ulykkestype og identifisere alle parametre som inngikk i de ulike modellene. Alle forhold som inngår i modellene for de valgte ulykkestypene i risikoanalysen ble identifisert som et teknisk risikopåvirkende forhold. Våre illustrasjoner av modellene for hver av ulykkestypene er vist i følgende vedlegg 1 : VEDLEGG 1 Fortolkning av modellering av prosessulykker VEDLEGG 2 Fortolkning av modellering av utblåsing VEDLEGG 3 Fortolkning av modellering av stigerørsulykker VEDLEGG 4 Fortolkning av modellering av rørledningsulykker VEDLEGG 5 Fortolkning av modellering av helikopterulykker. Disse modellene er utgangspunktet for vårt arbeid. Det har ikke vært en oppgave i dette prosjektet å vurdere godhet eller kompletthet til modellene eller komme med forslag til forbedringer som gjør risikoanalysene bedre egnet som utgangspunkt for å utarbeide risikoindikatorer (indirekte er dette imidlertid gjort i noen få enkelttilfeller). Som forberedelse til arbeidet med å vurdere endringspotensialet til de ulike risikopåvirkende forholdene, listet vi alle inngangsparametre i TRA'en for hver barriere for alle ulykkestypene i ulike tabeller. Én linje i en tabell tilsvarer et risikopåvirkende forhold. Tabellene med oversikt over risikopåvirkende forholdene for de ulike ulykkestypene er vist i følgende vedlegg: VEDLEGG 6 Liste over risikopåvirkende forhold for prosessulykker 1 Vi har splittet mellom stigerør- og rørledningsulykker ettersom de er modellert forskjellig i totalrisikoanalysen.

24 VEDLEGG 7 Liste over risikopåvirkende forhold for utblåsing VEDLEGG 8 Liste over risikopåvirkende forhold for stigerørsulykker VEDLEGG 9 Liste over risikopåvirkende forhold for rørledningsulykker VEDLEGG 10 Liste over risikopåvirkende forhold for helikopterulykker. 4.3.3 Vurdering av endringspotensiale Endringspotensialet for hvert enkelt risikopåvirkende forhold ble vurdert av bore- og driftspersonell fra Statfjord A, risikoanalytikere fra Statoil samt fagpersonell fra Oljedirektoratet i flere arbeidsmøter. Vurderingen av endringspotensialet ble gjennomført i to trinn: 1. Vurdering av hvilke risikopåvirkende forhold som kunne endres. 2. Vurdering av hvor store endringer vi kan forvente. Modellene i risikoanalysen ble gjennomgått før endringspotensialet til hvert enkelt risikopåvirkende forhold ble vurdert og gruppen ble enig om største sannsynlige endring. I vurderingene ble det lagt vekt på å få med så mange av de relevante forholdene som mulig, dvs. heller å ta med seg noen forhold for mye, enn å risikere å utelate forhold som kunne ha stor innvirkning på risikoen. Det var altså "bedre" å overestimere enn å underestimere endringspotensialet 2. Vi var interessert i å få fram både endringer som kunne gi økning i risiko og endringer som kunne gi reduksjon i risiko. Våre illustrasjoner av modellene i risikoanalysen (VEDLEGG 1 - VEDLEGG 5) ble benyttet som et kommunikasjonshjelpemiddel mellom risikoanalytikere og bore- og driftspersonell. Dette ga bore- og driftspersonellet god forståelse av hvordan TRA'en var bygd opp og hvilke forutsetninger analysen bygde på. På denne måten fikk driftspersonellet en forståelse av hvordan virkeligheten om bord på plattformen var gjengitt i TRA'en. Diskusjonene ga også nyttige innspill til risikoanalytikerne om svakheter i modellene i TRA'en og relevansen av de inngangsdata som var benyttet og forutsetninger og antakelser analysen bygger på. Resultatene fra vurderingen av endringspotensialet er dokumentert i VEDLEGG 6 - VEDLEGG 10. Hovedpunktene fra diskusjonene med bore- og driftspersonell er oppsummert i kommentarfeltet under tabellene i disse vedleggene. 4.3.4 Analyse av effekten på risikonivået For å beregne effekten på risikonivået på grunn av gitte endringer (vurdert av driftspersonell) i risikopåvirkende forhold, utførte Statoil følsomhetsanalyser av parametrene i TRA'en. Følsomhetsanalysene ble gjennomført ved å endre én og én inngangsparameter i TRA'en. For å kunne gjennomføre følsomhetsanalysene, måtte Statoil legge TRA'en inn i en ny versjon av OHRAT. Dette var tids- og ressurskrevende. Resultatene fra følsomhetsanalysene er dokumentert i tabellene i VEDLEGG 6 - VEDLEGG 10. I Figur 9 gis en oversikt over de risikopåvirkende forhold som ga størst endring i risiko fra de følsomhetsanalyser som ble gjennomført. 2 Endringspotensialet benyttes for å fastsette inngangsverdier til følsomhetsanalysene, og har ikke noe å gjøre med "virkelig" endring/effekt på risiko. En overestimering fører derfor ikke til gale resultater. Resultatene (endring i risiko) følger av virkelige (registrerte) endringer i indikatorverdier.

25 R [o/ o] 41.8 Lekkasjefrekvens (x0.1) 40 30 Risikoreduksjon 20 16.8 Sannsynlighet for antennelse i nabomodul (x0.4) 10 10.9 Antall boringer og kompletteringer (3->0) Antall brønnoverhalinger (8->4) 5.2 Varmt arbeid (x0.5) Utkopling av tennkilder ved 20% LEL (x2) 2.6 2.7 3.0 Utblåsningssannsynlighet (x0.75) 0-10 7.3 (3->5) 7.8 (8->14) 5.3 (x2) 4.6 2.3 Antennelse pga pumper, kompr.(x2) 3.1 3.6 Antennelse pga drivenheter-turbiner, el.motorer (x1.5) Antennelse gitt lekkasje og varmt arbeid (0.5->0.8) Sannsynlighet for selvantennelse (x2) Risikoøkning 18.0-20 Antennelse pga feil på elektrisk utstyr (x2) Figur 9 Risikopåvirkende forhold med stor påvirkning på totalrisiko. I figuren er potensiell risikoreduksjon illustrert som "positiv" endring i risiko (oppover langs y- aksen). Endringspotensialet er angitt i parentes bak hvert risikopåvirkende forhold. I noen tilfeller er det vurdert både potensiale for økning og for reduksjon for et og samme forhold (f.eks. for varmt arbeid). Som eksempel vil en dobling av mengde varmt arbeid (x2) i forhold til forutsetningene i TRA'en gi en risikoøkning på 5,3 % ift. 1994 (basisåret for TRA'en). Risikoendringen (R) er relatert til totalrisiko (FAR-verdi) for alle ulykkestyper. 4.3.5 Valg av forhold med størst effekt på risikoen Følsomhetsanalysene resulterte i en rangert liste over de forhold som har størst innvirkning på risikonivået på Statfjord A. Ut fra denne listen, ble alle risikopåvirkende forhold som førte til mer enn 2,3 % 3 endring i totalrisiko 4, ble valgt ut som kandidater for utarbeidelse av risikoindikatorer. Det resulterte i at vi sto igjen med følgende 12 risikopåvirkende forhold: 3 Et "cut-off"-kriterium på 2,3 % er et rent "subjektivt" valg ut fra en totalvurdering av antall forhold med R > 2,3%, samt en vurdering av de forhold som ga R < 2,3 %. 4 Med totalrisiko menes her den totale risiko for alle kategorier ulykkestyper, ikke f.eks. kun prosessulykker.

26 1. Lekkasjefrekvens 2. Antennelse pga. feil på elektrisk utstyr 3. Utkopling av tennkilder ved 20 % LEL 4. Varmt arbeid 5. Eksponeringsfaktor, gitt lekkasje og varmt arbeid 6. Antennelse pga. pumper og kompressorer 7. Antennelse pga. drivenheter (turbiner og elektriske motorer) 8. Selvantennelse 9. Antennelse i nabomodul 10. Boring og komplettering 11. Brønnoverhaling 12. Utblåsning Som vi ser av listen, var det bare risikopåvirkende forhold for ulykkestypene prosessulykker og utblåsing som hadde så stor innvirkning på totalrisikoen at de ble valgt ut (R > 2,3 %). Nærmere beskrivelse av de utvalgte risikopåvirkende forholdene er gitt i avsnitt 6.2. 4.3.6 Etablering av risikoindikatorer Hver av de 12 utvalgte risikopåvirkende forholdene ble gjennomgått og diskutert med bore- og driftspersonell fra Statfjord A for å finne hensiktsmessige indikatorer. For noen av forholdene var det enkelt å finne indikatorer, mens det for andre var mer problematisk. Følgende kriterier ble benyttet ved identifikasjon av risikoindikatorer: Datagrunnlaget, dvs. om det er tilstrekkelig antall hendelser å registrere i en tidsperiode. Graden av sammenheng mellom risikoindikator og risikonivå (særlig viktig for "bakenforliggende" forhold). Registreringsmuligheter, dvs. om det overhodet er mulig å registrere den type data vi er interessert i på en enkel måte. Registreringssystemer, dvs. om det registreres denne type data i dag. I forbindelse med bruk av risikoindikatorer vil spørsmålet om statistisk signifikans melde seg, dvs. hvor mange registreringer i en periode som er nødvendig for å kunne fastslå at endringene er reelle og ikke et resultat av tilfeldige variasjoner? Antall registreringer det er behov for med et gitt signifikansnivå kan beregnes. Problemet er hvilket "signifikansnivå" som er relevant å benytte i en "føre-var" tankegang. Hvis datagrunnlaget blir for spinkelt, er det imidlertid uansett behov for å gå lenger tilbake i årsakskjeden for å finne indikatorer. Dette påvirkes også av vårt ønske om forholdsvis hyppig registrering ("kontinuerlig kontroll"), som typisk vil være på kvartalsbasis. Hvis det er behov for å gå lenger tilbake i årsakskjeden, vil det være en mer indirekte kobling mellom en indikator og det risikopåvirkende forholdet. Graden av sammenheng mellom en risikoindikator og risikonivået blir dermed vagere. I mange tilfeller går vi lenger "bakover" enn det modellene i TRA'en inkluderer eksplisitt, og det må gjøres antakelser om sammenhengen mellom en foreslått indikator og en gitt parameter (evt. en forutsetning) i den aktuelle modellen. Dersom det vurderes å være en "rimelig" sammenheng/kopling mellom indikator og modell, kan TRA'en benyttes til å bedømme effekten på det totale risikonivået (gjennom de forhåndsutførte følsomhetsanalysene).