2 INNHOLDSFORTEGNELSE Resultater...3 1 Prosjektets formål...5 1.1 Generelt...5 1.2 Spesifikke mål...5 1.3 Behov for pålitelighetsdata for sikkerhetskristisk utstyr...6 1.4 Anvendelser...7 1.5 Forkortelser og definisjoner...7 2 Prosjektorganisering...8 3 Aktiviteter...9 4 Behov for data...10 5 Formidling av resultater/industridialog...12 6 Erfaringer med bruk av data i SIL-analyser...14 6.1 Innledning...14 6.2 Erfaringer fra engineering av topside for Kristin...14 6.3 Erfaringer fra Ormen Lange landanlegg...15 6.4 Erfaring fra bygging av Ekofisk 2/4 M plattformen...16 7 Anbefalte retningslinjer beste praksis...17 7.1 Innleding...17 7.2 Hva sier OLF 070 og NORSOK om bruk av data?...17 7.3 Datainnsamling og white spots...17 7.4 Data kvalifisering for SIL-analyser (og leverandørdata)...18 8 Referanser...20 8.1 Standarder og retningslinjer...20 8.2 Datakilder...20 8.3 Annet...20 Vedlegg A Prosjektbeskrivelse (2004) Vedlegg B Artikkel om bruk av ekspertvurderinger for å estimere feilrater (2004) Vedlegg C Spørreskjema med overordnet oppsummering (2005) Vedlegg D Gjennomgang av datakilder for elektroniske komponenter (2005) Vedlegg E High demand vs. Low demand (2005) Vedlegg F Sammenhengen mellom ISO 14224 og databehov ved SIL-analyser (2005) Vedlegg G Underlagsmateriale Ekspertseminar (2005) Vedlegg H Innlegg på ESReDa seminar (2006) Vedlegg I GAP analyse i forhold til FDIS 14224 (2006) Vedlegg J White spot rapporteringsskjema (2006) Vedlegg K Innlegg på IFEA seminar (2006) Vedlegg L Innlegg om erfaring med, og vurdering av, sikkerhetsytelser (2006)
3 Resultater Hovedformålet med prosjektet har vært å redusere usikkerhet og øke robusthet i beslutningsstøtte for instrumenterte sikkerhetssystemer. Dette skulle oppnås gjennom å forbedre grunnlaget for å samle inn erfaringsdata for instrumenterte sikkerhetssystemer. I tillegg har prosjektet hatt som mål å undersøke bruk av ekspertmetodikk for å estimere data i mangel av reelle erfaringsdata. Prosjektet har bidratt til nettverksbygging mellom flere aktør i petroleumsvirksomheten og løftet temaet opp på et internasjonalt nivå gjennom fokus på internasjonal standardisering. Forbedret grunnlag for datainnsamling er oppnådd gjennom følgende aktiviteter: 1. Resultatet av gjennomgangen og revisjon av taksonomibeskrivelsen for utstyret referert over har gitt direkte innspill til revisjonsarbeidet med ISO 14224 1 og vil etter hvert også bli innpasset i en bedre modell for å samle inn data i OREDA samt harmonisere kravene til data med behovet definert i nevnte SIL-analyser. 2. I flere av arbeidsmøtene har det vært diskutert hvilket utstyr det i dag er dårlig/lite datagrunnlag på. Herunder er det også definert databehovet for nye utstyrsklasser, dvs. utstyrsklasser det per i dag ikke samles data på eller finnes taksonomibeskrivelser for. Dette er summert i kapittel 4 i tabell 3 og 4. 3. I prosjektet har vi også samlet en oversikt over hvilke fabrikanter/leverandører som leverer relevant instrumentert utstyr der disse er norske eller er representert i Norge Dette er vist i Tabell 5. 4. Analyse av kompatibilitet mellom ISO 14224 og behovet i SIL-analyser. Det har vært ønskelig å kunne samle data på såkalte dangerous failures og safe failures samt skille mellom såkalte detekterbare og udetekterbare feil. Det er vanskelig med dagens taksonomi slik som beskrevet i OREDA og ISO 14224 å få fatt i denne informasjonen på en direkte måte. (Se også [2]). Prosjektgruppen har utarbeidet en grov kategorisering av feildata fra OREDA for bruk i PFD-beregninger (Vedlegg F). Ekspertmetodikk for estimering av data er gjennomgått og diskutert i industrigruppen. Følgende aktiviteter er gjennomført: 5. Vi har brukt ekspertmetodikk for fastleggelse av data basert på et resultat av et Dr.ing. studium utført av Atle Hjorteland ved Universitetet i Stavanger (Vedlegg B). Dette har vært gjennomført som et supplement til arbeidet som utføres i PDS-forum, og vi vurderte resultatet til å være informativt, men ut fra også budsjettrammer ikke av en slik kvalitet at frembrakte resultater kunne lanseres som generiske bransjetall. 6. Industrigruppen diskuterte problemstillingen High demand mot Low demand i IEC61511 basert på forberedte innlegg fra både industri og FoU-miljø (Vedlegg E). En vurdering av Beste Praksis er gjennomført gjennom følgende aktiviteter: 1 Resultatene fra prosjektet ble implementert i oppdatert ISO 14224 i den utgaven (DIS-versjon) som ble utgitt 2/12-2004. Senere arbeid gjort i prosjektet vil bli tatt med i endelig (oppdatert) versjon av ISO 14224 i den grad det blir vurdert som relevant av ISO/TC 67 WG4 sekretariat.
4 7. Prosjektet har sett på og beskrevet tre case fra industrien, hvor bruk av data i SILanalyser har vært fokus for beskrivelsen. Det er valgt tre utbyggingscase som er nærmere beskrevet i kapittel 6. 8. Basert på de gjennomgåtte case er det beskrevet en Beste Praksis for bruk og kvalifisering av data i SIL-analyser med fokus på noen tema (kapittel 7). Basert på prosjektets arbeid er følgende anbefalinger identifisert: - Næringen bør øke bruken av ekspertmetodikk for estimering av data - Rapportering av mangel på data bør struktureres (innmeldes OREDA JIP fra industriaktører) for å få igangsatt datainnsamling raskere
5 1 Prosjektets formål 1.1 Generelt Olje og gassvirksomheten til havs og på land setter stadig sterkere krav til ytelsesfaktorer som tilgjengelighet og pålitelighet for utstyr og operasjoner. Prosjektet er rettet mot forskningstema tilknyttet instrumenteringspålitelighet. Det har tidligere vært en mangel på strukturering av data for pålitelighetsanalyse tilknyttet detaljer innen instrumenteringspålitelighet. Bruk av ekspertmetodikk er også sett på i dette prosjektet. Bruk av ekspertmetodikk kan akselerere tilgang på data og representerer noe nytt i forhold til tradisjonell pålitelighetsteori. Ettersom FoU aktivitetene er gjennomført over en 3-års periode 2004-06, er det gjennomført en løpende industridialog for å ajourføre/komplettere viten som har blitt bygd opp i prosjektperioden. 1.2 Spesifikke mål Analyse og vurderinger av instrumenterte sikkerhetssystemer, slik som SIL-analyser 2 (IEC61508), NORSOK Z-016 3 og nytt HMS regelverk krever tilgang til pålitelighetsdata av slikt utstyr. Disse analysene har vital betydning for sikkerhetsnivå og regularitetseffekter for de anlegg som vurderes. Bransjesituasjonen med hensyn på kvalifiserte pålitelighetsdata har ikke vært tilfredsstillende på dette spesifikke anvendelsesområdet, også på grunn av økt SIL-type aktivitet de senere år. Det har vært behov for å foreta en mer forskningspreget vurdering av data som i dag ikke dekkes godt nok, for så å danne metodisk grunnlag for å få nye data. Ettersom SIL-analyser krever mange typer data som på kort sikt ikke vil dekkes av OREDA -databasen, er det i dette prosjekt gjennomført en kartlegging av databehovene. I tillegg er tilgjengelige dataformater identifisert og det er gitt innspill for å få etablert en datastruktur slik at industrien kan ha bedre konsistens og bedre kvalifiserte data i slike analyser. Dette er også viktig med hensyn på bruk av slike pålitelighetsdata for måltall/indikatorer. I prosjektet har vi sett på sikkerhetskritisk utstyr som brukes på olje/gass plattformene så som brannvarsling/slokking og nødavstengning 4, men ikke utstyr brukt i undervannsinstallasjoner 5. (En mer detaljert definisjon av instrumenterte sikkerhetssystemer finnes i IEC 61508, del 4, kap. 3.4.1). Prosjektet er gjennomført som et samarbeid med forskningsmiljø, operatører, fabrikanter og ingeniørselskaper. Sikkerhetskritisk utstyr som ventiler, brann & gassdetektorer, og prosesssensorer er vurdert mhp type inventardata (OREDA) 6 som kreves, og som et nært samarbeid med aktuelle leverandører. Spesiell metodikk tilknyttet dette område er undersøkt for uttesting i SIL sammenheng. Deriblant er et utvalg av utførte SIL-analyser gjennomgått for å avdekke behov for forbedring av datakvalitet og det er foreslått en "Beste Praksis" vedr. fremskaffelse, kvalifisering og bruk av data for slike SIL-analyser. 2 SIL = Safety Integrity Level (ref. IEC 61508). Begrepet SIL-analyser er nærmere beskrevet i rapporten. 3 Vil i løpet av 2005 bli utviklet til ISO Standard (ISO 20815) 4 Se også Application of IEC 61508 and IEC 61511 in the Norwegian Petroleum Industry, table 1.1, for opplisting av sikkerhetskritisk utstyr 5 Dette utstyret blir nå forholdsvis godt dekket i OREDA-prosjektet. RM-data saker vedrørende SIL-tema planlegges behandlet videre også i OREDA-JIP prosjektet. 6 OREDA = Offshore Reliability Data
6 1.3 Behov for pålitelighetsdata for sikkerhetskristisk utstyr Såkalte SIL-analyser av sikkerhetskritisk utstyr basert på IEC standarden 61508, er blitt et krav i olje & gassindustrien. For å kunne gjøre best mulige estimater av feilsannsynlighet i slike analyser trengs det erfaringsdata for påliteligheten av slikt utstyr. Dermed får man et grunnlag for å velge en designløsning som tilfredsstiller egne selskapskrav samt krav fra myndighetene. Selv om det finnes en del pålitelighetsdata for dette utstyret 7 er det ulike mangler i disse dataene som prosjektet har adressert: Klassifisering av utstyret (såkalt taksonomibeskrivelser) Type og klassifisering av informasjon om utstyrssvikt (feildata) Hvor gamle data er ift videreutvikling av teknologien For hvilket utstyr det mangler eller er for lite data Kvalitet av data (hvor dekkende og detaljert data er) Prosjektet har således både lagt grunnlaget for å forbedre datakvaliteten samt identifisert manglende data. AutroLON (TCP/IP) AutroSafe Panel AutroOS AutroSafe Panel To Process Control System ModBus AutroSafe Controller Al_Com loop AutroLON Barrier unit BZ-500 Standard AutroSafe loop units BSD-340 AutroFieldBus Information/ repeater panel AutroSafe EX loop units BSD-321 AutroFlame X33/1 PL PowerLoop Video Third-party detector BN-342 (4-20mA) Simrad AutroPath Pulsar Kidde Fenwal Analaser II AutroFlame CCTV Figur 1 Et eksempel på et instrumentert sikkerhetssystem. Her vises brann/gassdeteksjon og logikk, disse kobles mot brytere, ventiler, etc. 7 OREDA + PDS Handbook
7 1.4 Anvendelser Det har også pågått andre aktiviteter/anvendelser der dette prosjektet har bidratt både med innspill og som komplementær aktivitet: Tabell 1 Brukere av prosjektresultatene Aktivitet/ Anvendelse produkt ISO 14224 Det har siden 2002 pågått et arbeid med å revidere ISO 14224 og de ISO/TC67/WG4 beskrivelser av taksonomi og feilkoder i dette prosjektet vil formidles til å bli + ISO 20815 en del av denne standarden. Det bemerkes at henvisninger til ny oppdatert ISO 14224 i denne rapporten vil kunne være til gjeldende arbeidsversjoner av denne. NORSOK Z-016 vil ellers av WG4 bli brukt som basis til ny ISO 20815, og dette NFR prosjektet kan i forhold til datakvalifisering for SIL-type analyser også tilføre denne standardutviklingen noe i 2006. OREDA JIP PDS Forum SIL-analyser Industrigruppen etablert i dette NFR-prosjektet Myndighetene (Ptil) OREDA er et JIP-prosjekt med bred deltagelse fra oljeindustrien der det bl.a. samles inn data for instrumenterte sikkerhetssystemer. Dette prosjektet vil tilsvarende som for ISO 14224 gi verdifullt grunnlag for å forbedre måten man definerer og samler inn feildata på for dette utstyret. Prosjektet vil tilføre OREDA JIP forskningsinnsats og vurdering av analyse av OREDA-type data. PDS Forum er et samarbeidsforum for industrien, konsulenter og FoU der bruken av data for instrumenterte sikkerhetssystemer i ulike analysesammenhenger blant annet er i fokus. PDS Forum jobber også med å få tilgang til bedre data bl.a. fra OREDA. Er i dag en av de aksepterte analysene av instrumentert sikkerhetskritisk utstyr. Som nevnt over inngår pålitelighetsdata i slike analyser og kravene til disse dataene er bl.a. definert i IEC 61508 samt den norske rettledningen til IEC 61508 utgitt av OLF. Både NORSOK Z-016 og ISO 14224 har en rolle i forhold til krav til og kvalifisering av pålitelighets data ifm bruk av IEC61508 på norsk sokkel da disse er også er omtalt i regelverket. Denne gruppen med representanter fra ulike industrier har både bidratt inn i prosjektet samt fått ta del i den felles kunnskap som er fremkommet i prosjektet. Regelverket for norsk sokkel krever at det skal samles inn og følges opp data som beskriver påliteligheten av nevnte utstyr. Som ovennevnte oversikt viser er det mange dels komplementære behov for disse data, men det er ingen av disse aktivitetene som spesifikt jobber med å definere grunnlaget for klassifisering og innsamling av slike data på det detaljnivået som dette prosjektet har gjort. 1.5 Forkortelser og definisjoner B&G Brann og Gass FEED Front End Engineering Design HIPPS High Integrity Pressure Protection System
8 LOPA Layer of Protection Analysis OREDA Offshore Reliability Data (Joint Industry Project www.oreda.com) PFD Probability of Failure on Demand P&ID Process & Instrument Diagram PUD Plan for Utbygging og Drift SAR Safety Analysis Report SIL Safety Integrity Level SIS Safety Instrumented System SRS Safety Requirement Specification 2 Prosjektorganisering Prosjektet har vært organisert med en forholdsvis bred industrideltagelse fra oljeselskaper, fabrikanter/leverandører og konsulenter som vist i vedlagte tabell: Tabell 2 - Deltagere i prosjektet Navn Runar Østebø (prosjektleder) Helge Sandtorv (2004), Helge Langseth (2005) og Terje Dammen (2006) Frank Firing, Gunhild Holtet Eie, Jan Ståle Austbø, Håkon Løvåsen, Atle Hjorteland Turid M. Haugerød, Mette Roland Arnt Kr. Viland Jarle Øygarden Erik Korssjøen John Dawes Arvid Bjerkestrand Geir Lerfall Jan Myhrvold Mette Pettersen Ivar Skjeldal, Thomas Johannessen Fahrad Pakshad Gjermund Våge Roar Renton Frank Hansen, Ragnar Aarø Henriette Hall Firma Prosjektledelse Statoil SINTEF - delprosjektleder Statoil Oljeselskaper Hydro ConocoPhillips Fabrikanter/Leverandører SAAS System Kongsberg Maritime Siemens Simrad Optronics Autronica Invensys Triconex Engineering AkerKvaerner AkerKværner Offshore Partner (AKOP) VetcoAibel (ABB) Konsulenter DnV Lilleaker Consulting Safetec Nordic Scandpower Risk Management Statoil v/ Runar Østebø har vært prosjektleder mens SINTEF har vært den utførende part vedrørende håndtering og bearbeiding av teknisk materiale (innlegg på møter og innhold i årsrapportene) samt diverse administrative oppgaver (møtereferater, administrering av prosjekthotell (eroom), m.m.). Flere selskapsrepresentanter/møteverter har hatt konstruktive innlegg i forbindelse med møtene.
9 3 Aktiviteter Oppgavene i prosjektet har til en viss grad blitt utformet underveis, men i utgangspunktet var flg. planlagt: 1. Beskrivelse av egnet dataformat, definisjoner og taksonomi for innsamling av pålitelighetsdata for instrumenterte sikkerhetssystemer. Vurdering rundt egnetheten av ISO 14224 og mapping mellom denne og IEC 61508. 2. Innspill til ISO-standardiseringsarbeid (ISO TC67/WG4) og industri-jip (OREDA) 3. Data gap analyse: Gjennom spørreskjema og analyse av tilgjengelige datakilder skal det avdekkes hvilke kategorier utstyr som har manglende eller lite dekkende pålitelighetsdata. 4. Fokusert datafangst på utvalgt, utstyr: Ekspertseminarer og gjennomgang av eksterne datakilder 5. Gjennomgang av aktuelle case for å klarlegge databehovet og datakvalitet for SILanalyser 6. "Beste praksis" for estimering og bruk av pålitelighetsdata i såkalte SIL-analyser inkludert kvalifisering av godheten av data En vesentlig del av prosjektarbeidet har pågått som arbeidsmøter i ovennevnte industrigruppe. I alt har det vært avholdt 12 heldagsmøter i prosjektet. Oppmøtet fra industrien har vært godt med deltakelse fra 8 10 selskaper per møte. En vesentlig del av resultatet for 2004 har vært en gjennomgang og total revisjon av taksonomibeskrivelsene for utstyr som flg.: B&G detektorer Prosess sensorer Kontroll-enheter Ventiler Nozzles (Fire Fighting) UPS (Uninterruptable Power Supply) I 2005 har fokus vært på data gap og data fangst. Datagrunnlaget for de forskjellige utstyrstyper ble gjennomgått og vurdert. Supplert med en spørreskjema-analyse (oppsummert i Vedlegg C) ble utstyr valgt ut for nærmere analyse, både ved ekspertseminar (Vedlegg G) og nærmere gjennomgang (Vedlegg D). Hovedaktiviteten i 2006 har vært gjennomgang av tre case for å kartlegge "beste praksis" for estimering og bruk av pålitelighetsdata i såkalte SIL-analyser inkludert kvalifisering av godheten av data. Det ble fokusert på formidling utad i 2006, med innlegg på 2 konferanser.
10 4 Behov for data Prosjektet har identifisert utstyrstyper som det er viktig å ha mulighet til å samle data på. Det innebærer en beskrivelse av hvordan datainnsamling gjennomføres og hvilken taksonomi som er tilgjengelig for å gjøre en datainnsamling. I tillegg må prosessen og taksonomien implementeres for at data kan samles inn. OREDA-prosjektet er et eksempel på et slikt prosjekt hvor ISO 14224 er implementert og muliggjør innsamling av data. Tabell 3 viser det utstyret som det er laget taksonomibeskrivelser av. Selv om mye er lagt til rette for å kunne samle data er det ikke alt utstyr det er samlet feil- og vedlikeholdsdata på. Prosjektet har identifisert en del utstyrstyper hvor det i dag ikke er samlet erfaringsdata på eller det er få eller gamle data. Tabell 4 viser en oppsummering av disse utstyrstypene. I tabellen er det også foreslått en prioritering av datafangst. Det bemerkes imidlertid at OREDA JIP de siste årene har gitt økt prioritert på teknisk sikkerhetsutstyr. Tabell 3 - Utstyrsklasser som helt eller delvis har en sikkerhetskristisk funksjon og som i dag er dekket med taksonomibeskrivelse i ISO 14224 Utstyrs- Klasse FG* CLU* Beskrivelse Brann & Gass detektorer Control Logic Units (CLU) Instrumentert sikkerhetsutstyr fokusert i dette prosjektet X X Annet sikkerhetskritisk utstyr 8 Kommentarer Tilgjengelige data (OREDA) er noe gamle. Tilgjengelige data (OREDA) er noe utdaterte CE Forbrenningsmotorer X Begrenset fokus i dette prosjektet. PS* Prosess sensorer ( Input devices ) X Prosess-sensorer er blitt gitt nytt navn: Input devices PU Pumper X Brannvannspumper har begrenset fokus i dette prosjekt. VA* Ventiler X Fokuserer på ESV/ESD inklusiv HIPPS samt pilotventiler UPS Uninterruptable Power X supply EG Electric generator X EM Electric motor X HPU HPU hydraulic safety valve X-mas tree X topside/onshore Begrenset fokus i dette prosjektet. Begrenset fokus i dette prosjekt for 8 Det kan bli aktuelt å inkludere noe av dette utstyret i prosjektet på et senere tidspunkt
11 Utstyrs- Klasse Beskrivelse DHSV SSIV Other subsea equipment Instrumentert sikkerhetsutstyr fokusert i dette prosjektet Annet sikkerhetskritisk utstyr 8 X X X Kommentarer nedihulls og undervannsutstyr. Tabell 4 - Utstyr der det i dag mangler taksonomibeskrivelser og/eller der det er sparsomt med data eller det er for gamle data Utstyrskategori ISO 14224 utstyrsklasse Utstyr med manglende/lite data Prioritet (H/M/L) Electrical Switchgears/switchboards Brytere (circuit breakers) Høy and distribution boards Power cables and terminations Kabler (høyspent/lavspent & signal) Lav UPS Middels Marine Dynamic position equipment DP systemer Middels Pumper, ventiler, CLU Ballastering Middels etc. Utilities HVAC Brannspjeld Høy Ikke definert som Telemetri-utstyr Middels utstyrsklasse i ISO 14224 Safety and Control Relevant utstyrsklasse Slukkesystemer 1 Middels defineres senere (Ventiler, inert-gass, dyser etc.) Input device, F&G Smarte -transmittere og Høy detektorer CLU + andre Releer (relays) Høy CLU Nyere data Høy Ventiler Pilot og solenoid Høy Mechanical X-mas tree Juletreventiler Middels Well completion DHSV DHSV Middels Note 1: Vanntåke og sprinkler-utstyr ble vurdert til normalt ikke å være sikkerhetskristisk til storulykker relatert til hydrokarbonlekkasjer/-branner
12 Deltagere Tabell 5 Oversikt over utstyrsleverandører av instrumentert sikkerhetskritisk utstyr F & G (Sensoring element) Siemens (inkl. Cerberus) Simrad Optronics Autronica (incl DetTronics) Input device (Sensoring element) Siemens (Leverandør for Moore) Simrad Optronics Invensys Foxboro/Eckardt Equipment class / element CLU (Logic solver) Siemens Kongsberg Maritime SAAS system (Leverandør for HIMA) Autronica Invensys Triconex Valves (Final element) Circuit 9 breakers (Final element) Siemens Aker Elektro Andre Thorn Security Fenwal Holta & Håland (Leverandør for Sieger) Håland Instruments Dräger ABB AT Emerson Process Management (Leverandør for Rosemount) Honeywell Endress+Hauser Bjørge Solberg Andersen (Leverandør for Fisher) ABB AT, Bailey Norge Honeywell Origo (Leverandør før General Electric) Tyco valves Bjørge Solberg Andersen Mokveld Petrolvalves Scana Rotator (aktuator) Håkon Ellingsen Håland Instruments ABB Power 5 Formidling av resultater/industridialog Prosjektet har i all hovedsak fokusert på å få til erfaringsutveksling mellom partene i industrien gjennom å arrangere møter/workshops. I tillegg har prosjektet presentert resultater på et par konferanser. Følgende fora er brukt for formidling av resultatene: a. Innspill til ISO/TC67 arbeidsgruppe WG4 for revisjon av ISO 14224 b. Innspill til OREDA JIP-prosjektet for forbedring av krav til datainnsamling c. Orientering om prosjektet i det såkalte PDS-forum (det avholdes 2 PDS-forum møter årlig) d. Informasjon om prosjektresultatene til deltagerne i industrigruppen 9 Merk at circuit breakers pr. i dag ikke er egen utstyrsklasse i verken ISO 14224 eller OREDA.
e. Oppretting av eget eroom (prosjekthotell) der industrigruppen får tilgang til alle prosjektresultater f. Det har vært avholdt 11 møter/workshops, der ulike personer fra 18 selskap har deltatt. I gjennomsnitt har det deltatt 8 10 personer per møte med deltagelse fra oljeselskaper, fabrikanter/leverandører, engineering, konsulenter og FoUinstitusjoner. g. Innlegg på IFEA-seminar i Sandefjord 15.-16. mars 2006 (Vedlegg K) h. Paper til 30th ESReDA Seminar: Reliability of Safety-Critical Systems, Juni 7-8, 2006 - SINTEF/NTNU, Trondheim (Vedlegg H) i. Det er vist interesse til NFR prosjektet blant internasjonale oljeselskaper (for eksempel Total og ENI) som følge av innlegg om saken på ESReDA og orienteringer til OREDA JIP. j. Avslutningsmøte hos Statoil, i Stavanger 28. november 2006, presentasjon av sluttrapport med fokus på Beste Praksis for bruk av data og datakvalifisering i SIL-analyser 13
14 6 Erfaringer med bruk av data i SIL-analyser 6.1 Innledning Ett av målene i prosjektet har vært å beskrive "beste praksis" for estimering og bruk av pålitelighetsdata i såkalte SIL-analyser, inkludert vurdering av godheten av feildata. Ved hjelp av gjennomganger av tre ulike utbyggingscase har prosjektet sett på hvordan databehovet og datakvaliteten i SIL-arbeidet er i de ulike casene. For hvert av casene har vi gjennomgått noe dokumentasjon og gjennomført korte møter med relevant personell. I møtene har vi fokusert på prosessene knyttet til SIL i prosjektene og hvordan feildata er brukt i den forbindelse. Hvert case har beskrevet hvilke prosesser de har hatt og hvordan data er håndtert i de ulike steg i prosessene. Diskusjonene kan oppsummeres i tre viktige spørsmål som skal besvares: Hvordan fremskaffes, valideres, realitetsvurderes og brukes pålitelighetsdata for SILanalyser? Hvilke data kan brukes; leverandørdata; OREDA, PDS, OLF, andre kilder? Hva bør være god praksis basert på erfaringer i prosjektet? Det bør nevnes at i alle tre utbyggingscasene er det samme ingeniørselskap som har stått ansvarlig for prosjektgjennomføringen. Det har imidlertid vært forskjellig personer involvert i prosjektene. Følgende case er gjennomgått: Selskap Installasjon/anvendelse Utbygging Drift Statoil Kristin topside x Hydro Ormen Lange landanlegg x ConocoPhillips 2/4-M x 6.2 Erfaringer fra engineering av topside for Kristin Kristin består av undervannsbrønnrammer som er knyttet opp til en flytende plattform. Kristin har gjennomgått en prosess for å sette krav til og verifisere pålitelighet av instrumenterte sikkerhetssystem som skal oppfylle IEC 61508. Prosjekt har vært gjennom de faser som beskrives i retningslinjene til OLF[5]. Det er gjennomført risikoanalyser for å definere de viktigste sikkerhetsfunksjonene. I tillegg er det gjort en SIL-allokering med bruk av blokkdiagram som beskriver SIL-funksjon. SRS med definerte SIL-krav ble laget etter PUD, noe som kanskje var litt sent i prosessen. Erfaringene en gjorde seg med å få SAR av leverandører var at dette til dels var vanskelig og utfordrende. SARer fra de ulike leverandørene var ulik i form og innhold. I hovedsak ble tre typer SAR analyser gjennomført: SAR basert på leverandørdata, in-house (basert på utstyr levert og reklamasjoner mottatt) TÜV sertifikat bakgrunnsdokumentasjon Gjennomføring av FMEA med underleverandører På Kristin har SAR gitt input til designendringer blant annet i forhold til krav om redundans.
15 Når det gjelder oppfølgning av SIL i drift blir testdata registrert og disse legges inn i blokkdiagram brukt til SIL-allokering slik at SRS kan leve videre i drift og oppdateres med driftserfaring. I tillegg gjennomførte Statoil en vurdering av SARer på tvers av systemene som et grunnlag for et gjennomgående datadossier og for å kvalitetssikre datagrunnlaget. Ønsket var å ivareta konsistens for alle deler av anlegget og på tvers av systemer. 6.3 Erfaringer fra Ormen Lange landanlegg Ormen Lange er et felt basert på dypvanns undervanns-installasjoner ca. 100 km fra land med ilandføring av olje/gass til land for prosessering på Nyhamna. På det tidspunkt da man startet med prosjektering av landanlegget på Ormen Lange gjaldt reglene fastsatt av DSB (Direktoratet for samfunnssikkerhet og beredskap), noe som innebar at IEC krav da ikke var gjeldende. Det var ikke formelle krav fra myndigheter om at IEC 61508/61511 skulle brukes på Ormen Lange, men tatt i betraktning at man visste at Ptil kom til å bli tilsynsmyndighet så var det naturlig å stille krav om det. Disse standardene er jo også europeiske normer og bør benyttes innenfør EØSområdet. Derfor valgte Hydro å kreve at OLF sine retningslinjer knyttet til IEC61508 og IEC61511 skulle følges. Basert på erfaringer fra Kristin-utbyggingen ble det laget en egen metodebeskrivelse for behandling av SIL i Ormen Lange prosjektet. Arbeidet med SIL kom sent i gang mot slutten av FEED-fasen, men det ga ikke spesielle problemer. Det er nødvendig å ha fått gjennomført noe systemdesign før man er i posisjon for å etablere SIL krav og evt verifisere (basert på generiske tall) at man ser ut til å designe slik at kravene kan møtes. Det var en del usikkerhet knyttet til SIL-klassifisering av utstyr og systemer. Noen krav kom fra SSS (trippel-s) systemet til Hydro. SSS kravene innebar krav til "safety unavailability" (SU) og test intervaller, samtidig som SSS spesifiserte også SIL krav. SIL klassifisering av funksjoner ble gjort i henhold til OLF- retningslinjene hvis funksjonene beskrevet i OLF stemte med tilsvarende funksjoner på Ormen Lange. Hvis ikke ble Shell sin DEP-metode i kombinasjon med Hydros trippel-s anvendt. Det ble også etablert en spesifikasjon av de funksjonelle sikkerhetskrav som er satt til de ulike systemene; for eksempel lukketid for ventiler, varmelaster, osv. Det var vanskelig å få samlet inn all denne informasjonen. Arbeidet med SAR i prosjektet hadde mange utfordringer. Det var veldig få av leverandørene som var kjent med hva som krevdes av innhold i en SAR. Mye arbeid gikk derfor med til å møte leverandører for hjelpe dem med å etablere tilfredsstillende SAR dokumenter. I prosjektet hadde SAR dokumentene veldig varierende kvalitet. Erfaring med norske leverandører var imidlertid gjennomgående god. Leverandører av utstyr sitter ofte ikke på erfaringene selv, dvs. at de har begrenset kunnskap om hvordan utstyret deres feiler i driftsfasen. Det er oljeselskapene som vanligvis sitter med disse dataene og det er liten eller ingen tilbakemelding til leverandørene om erfaringer på utstyret. Det finnes også leverandører som ikke nødvendigvis ønsker å dele erfaringene sine. Man ender derfor ofte opp med å bruke generiske/historiske data eller at SAR dokumentene kommer med tilhørende konsulentrapporter eller TÜV-sertifikater. De leverandørene som har serviceavtaler med oljeselskapene sitter imidlertid på en del erfaringer selv.
16 Godkjenning av SAR var vanskelig. Det var vanskelig å vurdere hva som strengt tatt var godt nok. Identifikasjon av barrierer var en utfordring. Det var vanskelig å identifiseres hvor det eventuelt fantes instrumenterte systemer i anlegget. Først ett halvt år ut i detaljprosjekteringen ble det arrangert et eget brainstormingmøte hvor barrierer ble forsøkt systematisk identifisert. De fleste (80-90%) av funksjonene var kjent i FEED-fasen. Det bør da være mulig å sette SILkrav i FEED for disse funksjonene. 6.4 Erfaring fra bygging av Ekofisk 2/4 M plattformen Ekofisk 2/4 M er en relativt enkel plattform med ett stegs separasjon og vannbehandling. I tillegg er det nødvendige hjelpesystemer. Fordi byggingen av 2/4 M plattformen ble gjennomført senere enn Kristin utbyggingen kunne man trekke ut en del erfaringer fra arbeidet med SIL i Kristin prosjektet. Utbyggerne av 2/4 M fikk også merke at en del leverandører var blitt mer vant til å forholde seg til SIL, erfaringer de hadde fått gjennom arbeidet på Kristin. Alt arbeid med funksjoner og SIL ble gjort i hht. OLF 070 Guideline. Det ble gjort noen forsøk med å definere funksjoner i FEED-fasen, men det viste seg veldig vanskelig. Mye av dette knyttes til liten erfaring med jobbing med SIL i en tidlig fase i prosjekter. Selv om SIL-allokering ble gjort i hht til OLF 070, ble noen tilleggsfunksjoner identifisert, slik som blant annet vannfylling av jacket-struktur (det ble her satt spesifikt SIL-krav til åpning av ventil). Det viste seg i senere faser at noen funksjoner burde vært identifisert tidligere. For 2/4 M er det blant annet multiple innløp til separator som krever at flere ESD ventiler stenger og slike funksjoner står ikke eksplisitt beskrevet i OLF retningslinjene. Det ble gjennomført en egen HAZID, men den ga ikke så mye nytt. QRA ble først gjennomført i detailed engineering fase. Det var en del utfordringer knyttet til SAR. Et eksempel var når innkjøpskontrakter ble skrevet mellom leverandør av utstyr og oljeselskap i en så tidlig fase at det var vanskelig å påvirke leveransen i senere faser, dvs det var vanskelig å få gjennomslag for eksplisitte SIL-krav til utstyret fra disse leverandørene, da leveranse allerede var kontraktsfestet. ConocoPhillips har erfart at det er vanskelig å bruke data fra vedlikeholdssystemet (SAP). Det ble brukt data fra OREDA og PDS datahåndboka. Et eksempel på bruk av erfaringsdata var bruk av testdata på brannvannspumper. Brannvann leveres gjennom rør fra annen plattform og erfaringsdata for pumpestart var i denne sammenheng vesentlig.
17 7 Anbefalte retningslinjer beste praksis 7.1 Innleding Forskningsrådsprosjektet har hatt som mål å kunne si noe om beste praksis knyttet til bruk av data for SIS. Mye av dagens praksis er innarbeidet i retningslinjene fra OLF 070 (ref. [5]) som senest ble revidert i 2004. Innenfor de økonomiske rammene som forskningsprosjektet har hatt har det derfor blitt valgt å fokusere på konkrete case og erfaringer fra disse. Rapporten dekker ikke det totale bildet, men skal bidra til at det blir kunnskap om og forslag til bruk av data i arbeid med SIL. Dette kapittelet starter derfor med en kort oppsummering av hvordan OLF og NORSOK behandler temaet. I tillegg fokuseres det på datainnsamling, datakvalifisering og bruk av leverandørdata. 7.2 Hva sier OLF 070 og NORSOK om bruk av data? I forhold til IEC 61508 og IEC 615511 bruker industrien i stor grad de retningslinjer som OLF har laget og som er beskrevet i OLF 070 sine retningslinjer, [5]. Retningslinjene behandler data i flere kapitler og har også et eget datadossier som hovedsakelig bygger på PDS datahåndboka og OREDA 2002 håndboka. OLF dataene er selvfølgelig basert på en rekke antagelser, knyttet til for eksempel design, coverage på selvdiagnostikk, sikker tilstand, osv. Ved verifikasjon av SIL og bruk av disse dataene, er det derfor viktig at også underliggende forutsetninger er oppfylt for utstyret som brukes. Systematiske feil er diskutert separat og det presiseres at dette er en type feil som vil inngå i de generiske/historiske dataene og som det er viktig å inkludere for at de estimerte pålitelighetstallene skal gi et mest mulig riktig bilde av hvordan utstyret vil oppføre seg i faktisk drift. Retningslinjene legger opp til at det skal stilles krav til feildata. Data skal dokumenteres tilstrekkelig og alle antagelser skal gis. Hvilke feilrater som skal beregnes oppgis også i retningslinjene. Retningslinjene nevner tre måter å få tak i data på: - erfaringsdata fra samme eller lik anvendelse - tredjeparts sertifikat eller lignende - vurdering av system eller komponent basert på feildata fra generiske datakilder Retningslinjene (Kap 10.2) legger også opp til at en plan for innsamling og analyse av data i operasjonsfasen for systemene skal lages i designfasen. Kvalifisering og anvendelse av data håndteres også i NORSOK Z-016 kap 6.2 (ISO/FDIS 20815 kap 8.2). Der beskrives en del overordnede retningslinjer valg av data. 7.3 Datainnsamling og white spots Utfordringer i prosjektene hvor det gjøres vurderinger av SIL er alltid knyttet til det å få tak i feildata som er relevant for utstyret og dens bruk. Det er viktig å kunne identifisere behov for feildata i en tidlig fase i et prosjekt, og da med fokus på utstyr der man vet det ikke eksisterer data eller hvor dataene er mangelfulle, såkalte white spots. Hvis identifiseringen gjøres tidlig nok
18 (ref. NORSOK Z-016, kap. 4.5.2) vil dette kunne iverksette datainnsamlingsaktiviteter som kan gi prosjekt relevante data i en senere fase. En annen del av denne identifiseringen av mangel på data, er å se på installasjonsspesifikke funksjoner som kan medføre behov for data på utstyr/komponenter som ikke er en del av kjente funksjoner angitt i f.eks OLF 070. For et hvert prosjekt bør det lages en prosess for identifisering av white spots. Dette kan understøttes med skjema som skal fortelle hvilke data en ikke har tilgjengelig. Rapportformatet bør ta utgangspunkt i utstyrsklasse og system fra ISO/OREDA. Et eksempel på et slikt rapporteringsskjema er vist i Vedlegg J. En endelig versjon bør etableres av OREDA JIP. De identifiserte white-spots bør meldes til operatørens OREDA-kontakt for mulig igangsettelse av innsamling av data. Rapporten sendes videre til OREDA prosjektet ved prosjektleder (SINTEF). En mulig løsning er å etablere et eget web-skjema på OREDAs hjemmesider som kan støtte og forenkle denne prosessen. I et lengre perspektiv vil da innsamling foregå i OREDA regi og gi erfaringsdata fra flere selskap på prioritert utstyr. 7.4 Data kvalifisering for SIL-analyser (og leverandørdata) En generell erfaring er at leverandører ikke har erfaringsdata fra operasjon av utstyret sitt. Hvis leverandør har data viser de ofte at utstyret har god pålitelighet og da bedre enn de generelle generiske dataene viser. Slik dokumentasjon er ofte basert på utstyrssertifikater, f.eks Exida rapporter, TÜV-sertifikater etc. som sier noe om utstyrets pålitelighet basert på for eksempel en FMECA analyse av utstyret. Prosjektenes utfordringer er da å vurdere om disse dataene er gode nok / relevante. Datakvalifisering inneholder da elementer som: o Er dataene basert på faktisk operasjon eller rein analyse? o Er alle relevante feilmoder inkludert? o Hva er antatt i forhold til hvordan utstyret skal anvendes? o Hvor er eventuelle erfaring samlet (hvor er utstyret vært i bruk)? o Relevant applikasjon og bruk? (continuous or stand-by mode)? Det er ikke etablert noen felles praksis eller sjekkliste for datakvalifisering. Kvalifisering og anvendelse av data kan gjøres med utgangspunkt i NORSOK Z-016 kap 6.2 (ISO/FDIS 20815 kap 8.2). Der beskrives en del overordnede retningslinjer som kan brukes som en enkel sjekkliste. Et forslag til håndtering av data i et utbyggingsprosjekt er å lage et datadossier som lever gjennom hele prosjektet. I prosjektfasen før leverandør er valgt bør det etableres et datadossier per komponenttype. Denne blir naturlig nok basert på kun generiske kilder. Det er viktig å få etablert og konkludert med anbefalte data for denne fasen. I neste omgang stilles det krav til leverandør gjennom definert SIL-nivå og SIL-allokering. I tillegg bør man være tydelig på krav til dokumentasjon fra leverandøren. Når leverandør er valgt bør datadossier suppleres med leverandørdata (der det lar seg gjøre) og man oppdaterer de anbefalte data for denne fasen. Leverandørdata inkluderes når de er tilgjengelig og vurdert som relevante/robuste.
19 Når robuste leverandørspesifikke data ikke er tilgjengelig, brukes generiske data, og hvor relevant anvendelse kan dokumenteres. Som diskutert over er det ved verifikasjon av SIL viktig å se til at forutsetninger som ligger til grunn for dataene er oppfylt for utstyret som brukes. Disse antagelsene og forutsetningene er i stor grad beskrevet i PDS datahåndboka, [8]. For denne bruken er OLF 070 ikke optimal da det her presenteres oversiktstall uten at antagelser og forutsetninger som ligger til grunn for tallene beskrives eksplisitt. Det er også viktig at prosjektene gjør en uavhengig kontroll av kvalitet på tvers av SARene for å ivareta konsistens for alle deler av anlegget og på tvers av systemer (eks. en del på land - en del vedrørende havanlegg, anleggsutvidelse ny/gammel del, etc.). SAR er ikke et internasjonalt brukt konsept, men SAR kommer kanskje inn som begrep i den nye IEC 61508 standarden som er under utarbeidelse. Det oppstår raskt et dilemma i forbindelse med at det gjerne er begrenset mengde pålitelighetsdata tilgjengelig. Når de ulike aktørene som er involvert i de forskjellige fasene av prosjekter baserer sine vurderinger på de samme datakildene får man en situasjon hvor tall som brukes i QRA, SRS og SAR stort sett er de samme. I verste fall ender en opp med at de dataene som brukes for å sette krav er de samme som de dataene som verifiserer disse kravene, slik at en måler seg selv mot seg selv. Operatørselskapene har ansvaret for å sikre rett kvalitet i dataene til sine beslutningsformål, men de ulike aktørene (konsulenter, fabrikanter, engineering) må hver på sine måte også bidra til at datakvalifisering foretas. Identifikasjon av barrierer kan være en utfordring. Det skal identifiseres hvor det eventuelt finnes instrumenterte systemer i nye konsept/anlegg. Det vil være fornuftig å starte prosessen med å sette SIL-krav så tidlig som mulig. De fleste (80-90%) av funksjonene er kjent i FEED-fasen. Det bør da være mulig å sette SIL-krav i FEED for disse funksjonene. Det er viktig å få definert krav til de systemene/pakkene som det skal skrives kontrakter på. Tidsperspektivet i arbeidet med SIL er skissert i OLF retningslinjene i Vedlegg E. Når P&ID er er klar kjøres det HAZOP i ulike faser av prosjektet. Som en del av dette bør det kjøres egne vurderinger av SIL-funksjoner, for eksempel gjennomføre en LOPA (Ref. IEC 61511 Vedlegg F). Når noe skjer med testfrekvens eller andre forutsetninger kjører man en ny LOPA.
20 8 Referanser 8.1 Standarder og retningslinjer [1] ISO 14 224 Petroleum, petrochemical and natural gas industries Collection and exchange of reliability and maintenance data, FDIS-version issued 27.03.2006 Note: Official ISO 14224 issued in July 1999, but now subject to revision process. [2] NORSOK Z-016 Regularity Management & Reliability Technology, December 1998 (Note: ISO 20815 will later replace NORSOK Z-016 and is now issued as Committee Draft in 8 July 2005.) se http://www.standard.no [3] IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems, Part 1 Part 7, issued 1998-12 (Part 1) until 2000-04 (Part 6). [4] IEC 61511 Functional safety: Safety instrumented systems for the process industry sector, part 1- Part 3, issued 2003-01 (Part 1) until 2003-07 (Part 2). [5] Application of IEC 61508 and IEC 61511 in the Norwegian Petroleum Industry, OLF Guideline 070, Rev.02, 29 October 2004, http://www.itk.ntnu.no/sil/ 8.2 Datakilder [6] OREDA JIP (Joint Industry Project) http://www.oreda.com/ [7] OREDA 2002 Reliability Data Handbook (4 th Edition) [8] Reliability Data for Safety Instrumented Systems, PDS Data Handbook, 2006 edition, April 2006, http://www.pds.sintef.no [9] EXIDA, Safety Equipment Reliability Handbook, http://www.exida.com/, 2003. 8.3 Annet [10] Hjorteland, A. & Aven, T., How to use expert judgement in regularity analyses to obtain good predictions. Presented at the 16 th European Safety and Reliability Conference (ESREL), 2005 (se Appendiks B). [11] Jean-Pierre Signoret: High integrity pressure protection systems (HIPPS) Difficulties in SIL-calculations. Presentation given at the Regularity Management Conference in Stavanger 2004 [12] Dammen, T & Østebø, R, Use of reliability data for Safety Instrumented Systems, Proceedings of the 30th ESReDA Seminar, Trondheim, Norway, June 07-08, 2006
[13] Østebø, R & Dammen, T, Forskningsprosjekt: Pålitelighet av instrumenterte sikkerhetssystemer, IFEA seminar om IEC 61508 Sikkerhetsfunksjoner. Design, drift, modifikasjoner, 15. -16. mars 2006, Sandefjord 21