BEA rapport endelig pen - SINTEF · 2014. 11. 17. · Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 27 56 Telefaks: 73 59 28 96 Foretaksregisteret: NO 948 007

SINTEF RAPPORT TITTEL

Barriereendringsanalyse (BEA)

FORFATTER(E)

Knut Øien

OPPDRAGSGIVER(E)

SINTEF Teknologi og samfunn Sikkerhet og pålitelighet Postadresse: 7465 Trondheim Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 27 56 Telefaks: 73 59 28 96 Foretaksregisteret: NO 948 007 029 MVA

Norsk Hydro

RAPPORTNR. GRADERING OPPDRAGSGIVERS REF.

STF38 A04430 Åpen John Monsen GRADER. DENNE SIDE ISBN PROSJEKTNR. ANTALL SIDER OG BILAG

Åpen 82-14-02595-8 384498 70 ELEKTRONISK ARKIVKODE PROSJEKTLEDER (NAVN, SIGN.) VERIFISERT AV (NAVN, SIGN.)

BEA rapport endelig åpen.doc Knut Øien Snorre Sklet ARKIVKODE DATO GODKJENT AV (NAVN, STILLING, SIGN.)

2005-09-20 Lars Bodsberg, Forskningssjef SAMMENDRAG

I offshorevirksomheten på norsk sokkel blir det stadig færre nye store utbygginger, mens modifikasjoner av eksisterende innretninger blir mer og mer aktuelt. Behovet for å gjennomføre troverdige endringsanalyser som belyser sikkerheten er derfor økende. Endringer innebærer både fordeler og ulemper og det er viktig å avdekke begge deler, ikke minst eventuelle ulemper som kan være oversett. For enhver større endring må sikkerhetskonsekvensene vurderes og man må kunne gi svar på:

• Hvordan påvirker endringene sikkerheten? • Er endringene totalt sett sikkerhetsmessig forsvarlig? • Ivaretas sikkerheten minst like godt som før endringene?

Barriereendringsanalyse (BEA) er en metode for å analysere de sikkerhetsmessige konsekvensene av komplekse tekniske og organisatoriske endringer ut fra et sikkerhetsbarriereperspektiv. Denne rapporten beskriver metoden, bakgrunnen for utviklingen av metoden og hva den bygger på. Resultatene av bruk/uttesting av metoden presenteres, sammen med en diskusjon av nytteverdi, implementering og begrensninger.

STIKKORD NORSK ENGELSK

GRUPPE 1 Sikkerhet Safety GRUPPE 2 Risiko Risk EGENVALGTE Endringsanalyse Change Analysis Sikkerhetsbarrierer Safety Barriers

2

INNHOLDSFORTEGNELSE

1 Sammendrag...........................................................................................................................3

2 Innledning ...........................................................................................................................4 2.1 Bakgrunn og problemstilling............................................................................................4 2.2 Tilnærming .......................................................................................................................5 2.3 Målsetting.........................................................................................................................6 2.4 Begrensning......................................................................................................................6 2.5 Begreper og definisjoner ..................................................................................................7 2.6 Forkortelser ......................................................................................................................9

3 Metodebeskrivelse................................................................................................................10

4 Uttesting av metoden ...........................................................................................................15 4.1 Oppsummering av resultatene........................................................................................15 4.2 Vurdering av metoden....................................................................................................17

4.2.1 Fordeler og ulemper ved metoden...................................................................17 4.2.2 Mulige tilpasninger av metoden......................................................................17

5 Diskusjon .........................................................................................................................19 5.1 Nytteverdi (hvorfor bruke BEA?) ..................................................................................19 5.2 Implementering og bruk (hvordan bruke BEA?) ...........................................................19 5.3 Begrensninger.................................................................................................................20

6 Referanser .........................................................................................................................21

Vedlegg A Ytelsesstandardene – styrker og svakheter ............................................................22

Vedlegg B Detaljerte resultater fra uttestingen av metoden ...................................................28

Vedlegg C MTO-klassifisering av ytelseskravene ....................................................................66

3

1 Sammendrag I offshorevirksomheten på norsk sokkel blir det stadig færre nye store utbygginger, mens modifikasjoner av eksisterende innretninger blir mer og mer aktuelt. Behovet for å gjennomføre troverdige endringsanalyser som belyser sikkerheten er derfor økende. Endringer innebærer både fordeler og ulemper og det er viktig å avdekke begge deler, ikke minst eventuelle ulemper som kan være oversett. For enhver større endring må sikkerhetskonsekvensene vurderes og man må kunne gi svar på:


Den metoden som blir mest benyttet som endringsanalyseverktøy per i dag er den kvantitative risikoanalysen (QRA). QRA er i utgangspunktet et designverktøy, som modellerer sikkerhets-systemene svært grovt og som ikke dekker organisatoriske forhold. QRA er derfor av flere grunner ikke egnet til vurdering av endringer i drift, og resultatene mangler nødvendig troverdighet. Barriereendringsanalyse (BEA) derimot bygger på ytelsesstandardene utviklet i TTS- og TST-prosjektene som stiller detaljerte krav til sikkerhetssystemene, er tilpasset vurderinger i driftsfasen og dekker i noen grad også organisatoriske forhold. Ytelsesstandardene representerer et betydelig arbeid med å samle alle krav (interne og eksterne) knyttet til sikkerhetssystemene og bør også utnyttes til eksempelvis endringsanalyser. BEA består av tre deler; screeningprosess, endringsanalyse og konsekvensvurdering. I screening-prosessen velger man ut de relevante barrierer/sikkerhetssystemer, dvs. de barrierer som vil bli berørt av endringen, samt at man velger ut de relevante kravene i ytelsesstandardene for de berørte barrierene. I endringsanalysen vurderes hvorvidt kravet oppfylles etter endringen og hvorvidt grad av kravoppnåelse er endret i forhold til tidligere. I konsekvensvurderingen vurderes effekten av endringene, samt eventuelle behov for risikoreduserende tiltak. BEA representerer en grundig kvalitativ vurdering av sikkerhetssystemene ved at den bygger på ytelsesstandardene som stiller detaljerte krav til sikkerhetssystemene. Den er tilpasset vurderinger i driftsfasen og dekker i noen grad også organisatoriske forhold. Nytteverdien ved BEA er at den gir svar på om sikkerheten er tilfredsstillende ivaretatt ved en endring/modifikasjon på en troverdig måte, innenfor den innfallsvinkel til sikkerhetsvurdering denne metoden representerer, dvs. ut fra et barriereperspektiv.

4

2 Innledning

2.1 Bakgrunn og problemstilling Endringer og omstillinger er en nødvendig del av all virksomhet som ønsker fremskritt, men endringer kan også være roten til problemer, eller som Johnson (1980) sier det; ”change is the mother of twins – progress and trouble”. I offshorevirksomheten på norsk sokkel blir det stadig færre nye store utbygginger, mens modifikasjoner av eksisterende innretninger blir mer og mer aktuelt. Dette gjelder både installasjoner som fortsatt har lang levetid igjen, og det gjelder tilpasninger mot sluttfase-produksjon av installasjoner som nærmer seg utfasing. Eksempler på dette for Norsk Hydro er utskiftingen av DISCOS/SAS1 på Oseberg Feltsenter og tilpasning til haleproduksjon på Oseberg Øst og Brage. I noen tilfeller er endringene primært av teknisk karakter, mens det i andre tilfeller også gjøres større organisatoriske endringer. Oftest vil det være en kombinasjon av tekniske og organisatoriske endringer. I industrivirksomhet hvor potensialet for store ulykker er til stede, men hvor de faktiske ulykkene er få, benyttes ofte kvantitative risikoanalyser (QRA) for risikovurderinger. I mangel av reelle ulykkeshendelser modelleres og beregnes risikoen for ulykker. QRA’ene er imidlertid mest benyttet i designfasen, er ikke særlig detaljerte, og har i hovedsak fokus på de tekniske systemene. De er lite følsomme for organisatoriske og menneskelige forhold (slik som operatørers ”pålitelighet”). ”State-of-the-art” QRA er derfor dårlig egnet som underlag for vurdering av de sikkerhetsmessige konsekvensene av større modifikasjoner i driftsfasen. QRA ble bl.a. benyttet under forprosjektet for fjerndrift av Oseberg Øst uten at resultatet ble vurdert som særlig troverdig av fagmiljøet for teknisk sikkerhet i Norsk Hydro. Utvikling av risikoanalysen som beslutningsstøtteverktøy har pågått kontinuerlig, særlig innenfor kjernekraftindustrien, men også innenfor prosessindustrien og i den senere tid i noen grad innenfor offshoreindustrien. Utviklingen har gått i mange retninger, men vi vil kun fokusere på det som berører organisatoriske forhold, og som håndteres dårlig i dagens risikoanalyser (innen alle industrier). Felles for alle disse nyutviklingene er at de ennå ikke er tatt i normal bruk, men mer må betraktes som spesialanalyser eller forskningsprosjekt. Det har vært gjort flere forsøk på å integrere organisasjons- og ledelsesmodeller med de tekniske modellene i risikoanalysene, og i et pågående EU-prosjektet kalt ARAMIS2 (Hourtolou & Salvi, 2003) forsøker man også å inkludere aspekter som opplevd risiko (”risikopersepsjon”) i en total risikomodell. På norsk side, innenfor offshorevirksomheten, forsøker man å utvikle en mer detaljert risikoanalyse for bruk i driftsfasen kalt BORA3 (Aven et al., 2004). BORA er primært tenkt benyttet i driftsfasen som et verktøy for å beregne effekten på risikoen av økning i bestemte aktiviteter, konfigurasjonsendringer, osv. (dvs. ”mindre” endringer), noe som ligger nær opp til bruken av såkalte ”Risk Monitors” innen kjernekraftindustrien. På sikt vil kanskje BORA kunne egne seg som underlag for risikovurderinger av større modifikasjoner. 1 DISCOS – Distributed Integrated Safety and COntrol System; SAS – Safety and Automation Systems 2 ARAMIS – Accidental Risk Assessment Methodology for IndustrieS 3 BORA – Barriere og Operasjonell RisikoAnalyse

5

Det er imidlertid et åpent spørsmål om én stor altomfattende risikomodell/analysemetode er det som egner seg best for å analysere konsekvensene av store og komplekse endringer. Som et alternativ til dette foreslår vi å benytte et sett med komplementære analysemetoder, hvorav barriereendringsanalyse (BEA) utgjør én av metodene. Hovedargumentene for dette er at altomfattende/integrerte modeller er kompliserte og ressurskrevende å utvikle, ennå mer komplisert å få implementert og sist men ikke minst vanskelig å gjøre troverdig.

2.2 Tilnærming Vi har altså valgt en tilnærming til analyse av komplekse endringer hvor vi benytter ulike innfallsvinkler for å analysere og belyse konsekvensene av endringene, og vi har utviklet metoder for de ulike innfallsvinklene som vektlegger forståelsen av hva endringene innebærer. Det betyr at vi fokuserer mest på den kvalitative siden, og mindre på kvantifisering av konsekvensene. Flere innfallsvinkler til analyse av komplekse endringer og mer detaljert kvalitativ forståelse av komplekse endringer er bevisste valg vi har gjort, fordi vi mener dette bidrar til å øke troverdigheten til analysene. Vi har også valgt å ta utgangspunkt i eksisterende metoder, enten ved at vi videreutvikler disse, eller at vi bygger på disse. Også dette er et bevisst valg, fordi vi mener det vil lette implementeringen av metodene. Metodene er enten allerede kjent og brukt, eller den metodikk de bygger på er kjent. Terskelen for å ta i bruk nye ukjente metoder vil alltid være større enn å ta i bruk videreutviklede kjente metoder. I denne rapporten beskriver vi metoden vi har kalt barriereendringsanalyse, forkortet BEA. Denne fokuserer spesielt på sikkerhetsbarrierene, noe vi begrunner med at sikkerhetsbarrierene "per definisjon" er viktig for sikkerheten4, og en eventuell endring av barrierenes ytelse vil dermed påvirke sikkerheten. Svært mange forhold påvirker barrierenes ytelse, men en samlet, komplett, og detaljert oversikt over alle påvirkende faktorer finnes ikke. Det er en omfattende jobb å etablere en slik oversikt fra grunnen av, og det vil derfor være en stor besparelse i å ta utgangspunkt i den dokumentasjon som allerede finnes, selv om denne ikke er komplett. Det beste utgangspunktet vi kan finne per i dag er Statoils og Norsk Hydros ytelsesstandarder utviklet og benyttet i TTS- og TST-prosjektene5 (Sørum et al., 2002). En av begrensningene ved disse ytelsesstandardene er at de har fokus på tekniske barrierer, selv om de også inkluderer enkelte menneskelige og organisatoriske faktorer som påvirker disse barrierene. De inkluderer imidlertid ikke rene menneskelige barriereelementer som f.eks. manuell deteksjon av gass. Kravene og sjekkpunktene i ytelsesstandardene kan brukes som underlag for vurdering av endringer. Kun de ytelsesstandarder og krav som berøres av endringen vil være gjenstand for endringsanalyse. Dermed reduseres omfanget av analysen sammenliknet med en full gjennom-gang av tilstanden til samtlige barrierer på en installasjon.

4 Sikkerhetsbarrierene skal enten redusere sannsynligheten for at feil som inntreffer skal få utvikle seg til ulykkes-hendelser eller de skal redusere konsekvensene av ulykkeshendelsene. 5 TTS – Teknisk Tilstand Sikkerhet, TST – Teknisk Sikkerhetstilstand

6

Forankring i regelverket I Styringsforskriften (OD, 2002) § 2 om Barrierer står følgende: Operatøren eller den som står for driften av en innretning, skal fastsette de strategiene og prinsippene som skal legges til grunn for utforming, bruk og vedlikehold av barrierer, slik at barrierenes funksjon blir ivaretatt gjennom hele innretningens levetid.

Det skal være kjent hvilke barrierer som er etablert og hvilken funksjon de skal ivareta, jf. § 1 om risikoreduksjon andre ledd, samt hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendige for at den enkelte barrieren skal være effektiv.

Det skal være kjent hvilke barrierer som er ute av funksjon eller er svekket. Den ansvarlige skal sette i verk nødvendige tiltak for å rette opp eller kompensere for manglende eller

svekkede barrierer. Denne paragrafen viser at myndighetene legger stor vekt på barrierer generelt, og siste setning peker spesifikt på at den ansvarlige skal sette i verk nødvendige tiltak for å rette opp eller kompensere for manglende eller svekkede barrierer. For endringer/modifikasjoner som er planlagt, men ikke gjennomført, må man først avdekke hvilke barrierer som kan bli berørt og hvorvidt de kan bli svekket, og dernest foreslå nødvendige kompenserende tiltak. Dette er det barriereendringsanalysen bidrar til, dvs. ivaretakelse av Styringsforskriftens § 2, siste ledd, i forbindelse med større endringer/modifikasjoner hvor barrierenes ytelse kan bli påvirket.

2.3 Målsetting Målsetningen med utviklingen av en metode for barriereendringsanalyse (BEA) er at den skal brukes i forbindelse med større tekniske eller organisatoriske endringer for å si noe om de sikkerhetsmessige konsekvensene av endringene, og hvorvidt endringene er akseptable (evt. bidra til å klargjøre forutsetninger som må oppfylles før endringene kan iverksettes). Mer konkret bør man ved enhver større endring/modifikasjon være i stand til å besvare følgende spørsmål:


Disse spørsmålene vil BEA bidra til å gi svar på. BEA skal brukes som én av flere metoder (innfallsvinkler/perspektiver), og er derfor ikke - og behøver heller ikke å være - komplett dekkende alene (for nærmere utdyping av dette, se Øien et al., 2002a).

2.4 Begrensning BEA benytter ytelsesstandardene i TST som underlag, og disse dekker først og fremst tekniske forhold, men også i noen grad indirekte påvirkende forhold som driftstilpasning (operability), vedlikeholdsvennlighet, og ledelsesmessige og organisatoriske forhold. De sistnevnte forholdene

7

er imidlertid langt svakere behandlet enn de tekniske forholdene, og det er behov for å styrke disse. Forslag til styrking av sjekklistene er diskutert i vedlegg A. Et annet forhold som kan betraktes som en begrensning (dog ingen absolutt begrensning) er at når vi legger ytelsesstandardene til grunn så er det en stor fordel om den aktuelle installasjonen som skal modifiseres har hatt en TST-gjennomgang. Endringsanalysen kan da bruke resultatene fra denne som basis. Alternativet er å gjøre vurderingen av nå-situasjonen som del av endrings-analysen, noe som imidlertid vil øke omfanget av endringsanalysen.

2.5 Begreper og definisjoner Barrierebegrepet Vi benytter følgende begrepsapparat knyttet til barrierebegrepet (hentet fra arbeidsgruppe for definering av barrierebegrepet i Samarbeid for Sikkerhet, SfS, 2004): Tabell 1 Barrierebegreper

Barrierefunksjon (BF) Funksjon for å hindre realisering av en farekilde, eller begrense skade ved å bryte et uønsket hendelsesforløp. Kan deles inn i barrieredelfunksjoner.

Barrieresystem/-elementer (BS)

MTO-løsninger som skal sørge for at den aktuelle barrierefunksjon oppfylles. Barrieresystem kan deles inn i barriereelementer.

Ytelsespåvirkende forhold

Forhold som påvirker ytelsen til BS. Vedlikehold, ressurstilgang, kompetanse er eksempler på ytelsespåvirkende forhold.

Som beskrevet nedenfor så går begrepene barrierefunksjon og barrieresystem noe over i hverandre. Eksempelvis så brukes ”nødavstengning” om både funksjonen og systemet. Barriereytelsesbegrepet Figur 1 illustrerer hvordan definisjon av barriereytelse har utviklet seg i oljeindustrien. Til venstre i figuren er det henvist til at OD i sitt regelverk (Styringsforskriften § 2; OD, 2002a) stiller krav om at operatørene skal definere krav til barrierenes ytelse, og i veiledningen til Styringsforskriften (OD, 2002b) er det beskrevet hva som kan inngå i ytelsesbegrepet. Til høyre i figuren er det vist hvordan man i to prosjekter (hhv. TTS/TST og RNNS6) har valgt å begrense seg til 3-4 ytelseskategorier ved at man grupperer noen av de ytelseskategoriene som er nevnt i ODs regelverk. Definisjonene benyttet i hhv. TTS/TST og RNNS er nokså like, men vi har her valgt å benytte definisjonene fra TTS/TST, som er: Funksjon Vesentlige oppgaver som systemet forventes å utføre som en sikkerhetsbarriere. 6 RNNS – Risikonivå på norsk sokkel (Husebø et al., 2002)

8

Integritet Systemets pålitelighet og tilgjengelighet, så som sannsynlighet for svikt, svekkede system-komponenter osv. Sårbarhet/robusthet Systemets evne til å fungere som barriere i en dimensjonerende ulykkessituasjon. Styring Status for dokumentasjon, avvikshåndtering, menneskelige faktorer og kompetanse som kan ha direkte innvirkning på tekniske forhold.

Krav til ytelse

Pålitelighet

Tilgjengelighet

Effektivitet

Evne til å motstålaster

Integritet

Robusthet

Kapasitet

...

Funksjonalitet /effektivitet

Tilgjengelighet /pålitelighet

Robusthet (inversav sårbarhet)

(Styring / dok.)

Function (funksjon)

Integrity (integritet)

Survivability (sårbarhet)

Management (styring)

OD, SF §2, veil. TST (TTS)RNNS

Den effekt barrieren har på ulykkesforløpet gitt at denfunksjonerer som forutsatt [RNNS]

Barrierens evne til å være til stede ved behov [RNNS]

Barrierens evne til å funksjonere under relevanteulykkesforløp og -laster [RNNS]

TTSRNNS

OD, SF §2

Vesentlige oppgaver som systemet forventes åutføre som en sikkerhetsbarriere [TTS]

Systemets pålitelighet og tilgjengelighet, så somsannsynlighet for svikt, svekkede systemkomp. osv[TTS]

Systemets evne til å fungere som barriere i endimensjonerende ulykkessituasjon [TTS]

Status for dokumentasjon, avvikshåndtering,endringsstyring, menneskelige faktorer ogkompetanse som kan ha direkte innvirkning påtekniske forhold [TTS]

Figur 1 Definisjoner av barriereytelse/ytelseskategorier Eksempel på bruk av barrierebegrepet i BEA Tabell 2 viser et eksempel på hvordan definisjonene ovenfor kan anvendes for et konkret sikkerhetssystem (ESD) slik dette er beskrevet i ytelsesstandardene til TTS/TST. Barrierefunksjon og barrieresystem går noe over i hverandre ved at samme navn/betegnelse benyttes for begge (nødavstengning). Systemets oppgaver (”role”) beskriver delfunksjoner til barrieren. Videre ser vi av høyre kolonne i Tabell 2 at ytelseskategoriene ”funksjon” og ”sårbarhet” er rettet mot barriereelementer, mens ytelseskategoriene ”integritet”7 og ”styring” omfatter krav til ytelses-påvirkende forhold.

7 Eksempler på sjekkpunkt for integritet er ”check testing routines/devices for online testing” og ”check routines for handling of non-conformance, observation, deviation and temporary contingency measures”.

9

Tabell 2 Barrierebegreper knyttet til ytelsesstandardene for ESD Performance Standard: 4 – Emergency Shut Down Barrierefunksjon

System: Emergency Shut Down Barrieresystem

Role: - Stop hydrocarbon flow on installation - Shutdown process equipment - Sectionalize hydrocarbon inventories - Initiate blow down - Reduce ignition probability - Initiate alarm

Barrieredelfunksjoner

F 1: Location of manual release stations Manual activation of system to be possible from strategically positioned stations where accessibility and manning in a hazard situation is taken into account

Funksjonskrav til barriereelement

F 1.1: Check location of stations: - CCR all ESD levels - …

Kontroll av krav til barriereelement

I 1: Safety critical function ESD functions shall be fully operational …

Krav til ytelsespåvirkende forhold

I 1.1: Check testing routines/devices for online testing Kontroll av ytelsespåvirkende forhold

S 1: Vulnerability System and components incorporated shall resist the dimensioning ...

Funksjonskrav til barriereelement

S 2.1: Check that ‘logic solver’ is located in protected area … Kontroll av krav til barriereelement

M 2: Management (documentation) Documentation to be available …

Krav til ytelsespåvirkende forhold

M 2.4: Check competence/qualification of maintenance personnel Kontroll av ytelsespåvirkende forhold

For hvert krav, gruppert i henhold til de 4 ytelseskategoriene, er det tilordnet et eller flere sjekk-punkter for å bedømme i hvilken grad kravene er oppfylt.

2.6 Forkortelser ARAMIS Accidental Risk Assessment Methodology for IndustrieS BEA Barriereendringsanalyse BORA Barriere og Operasjonell Risikoanalyse CPU Central Processing Unit CRIOP Crisis Intervention and Operability Analysis DISCOS Distributed Integrated Safety and COntrol System ESD Emergency Shutdown HVAC Heating, Ventilating and Air-Conditioning MTO Menneske Teknologi Organisasjon NH Norsk Hydro NUREG Nuclear Regulations OD Oljedirektoratet QRA Quantitative Risk Assessment PA Public Address PSD Process Shutdown PSV Process Shutdown Valve RNNS Risikonivå på Norsk Sokkel SAS Safety and Automation Systems SF Styringsforskriften SRS Safety Requirement Specification SSS Sikkerhets Styrings System TSC Technical Safety Condition TST Teknisk Sikkerhetstilstand TTS Teknisk Tilstand Sikkerhet

10

3 Metodebeskrivelse Metoden fokuserer på endringer i sikkerhetsbarrierene og består av 3 deler med til sammen 7 trinn/spørsmål: A. Screeningprosess

1. Hvilke barrierer/sikkerhetssystemer vil bli berørt? 2. Hvilke ytelseskrav er relevante?

B. Endringsanalyse

3. Hvordan håndteres hvert enkelt krav før og etter endringen? 4. Oppfylles kravet? 5. Endres grad av kravoppnåelse?

C. Konsekvensvurdering

6. Hva er sikkerhetskonsekvensene av endringen? 7. Er det behov for risikoreduserende tiltak?

Mesteparten av spørsmålene besvares i et arbeidsmøte med deltakere fra modifikasjonsprosjektet, tekniske stabsfunksjoner, driftspersonell, leverandører, etc. Hvem som bør delta avklares i hvert enkelt tilfelle, med det er viktig at noen med god kjennskap til TST-sjekklistene deltar. 1. Hvilke barrierer/sikkerhetssystemer vil bli berørt? Dette innebærer en gjennomgang av samtlige barrierer/sikkerhetssystemer for å velge ut kun de som blir berørt av endringen/modifikasjonen og dermed vil være gjenstand for endringsanalyse. De barrierer/sikkerhetssystemer som omfattes av TST er:

1. Containment function 2. Natural ventilation and HVAC 3. Gas detection 4. Emergency shutdown (ESD) 5. Open drain 6. Ignition source control 7. Fire detection 8. Blowdown and flare/vent 9. Active fire fighting 10. Passive fire protection 11. Emergency power and lightning 12. Process safety (PSD/PSV etc.) 13. PA, alarm and emergency communication 14. Escape, evacuation and rescue 15. Explosion barriers 16. Offshore cranes 17. Well barriers 18. Ballast etc. & position keeping

En utvelgelse av de aktuelle barrierene/sikkerhetssystemene kan med fordel gjennomføres i forkant av arbeidsmøtet.

11

2. Hvilke ytelseskrav er relevante? For de utvalgte barrierene, som vil bli berørt av endringene, gjøres det nå en mer detaljert vurdering på kravnivå. Kun de krav som berøres av endringen tas med videre til endringsanalysen. I og med at det ikke alltid er åpenbart hvilke krav som blir berørt, kan denne vurderingen gjøres som del av arbeidsmøtet. Det kan også være aktuelt å komplettere TST-ytelsestandardene med krav som ikke dekkes av dagens standarder knyttet til driftstilpasning, vedlikeholdsvennlighet og organisatoriske forhold, hentet fra for eksempel CRIOP-sjekklistene eller andre relevante kilder. Se for øvrig Vedlegg A for en diskusjon rundt styrking av TST-ytelsesstandardene. 3. Hvordan håndteres hvert enkelt krav før og etter en endring? For selve endringsanalysen er det viktig at man har tilstrekkelig grunnlag for å kunne foreta en riktig vurdering. Dette er grunnen til at man skal vite hvem som sørger for å tilfredsstille kravet i dag (og hvem som er tiltenkt denne oppgaven etter endringen) og hvordan dette gjøres i dag (og hvordan man har tenkt å gjøre dette etter endringen). Man vil også kunne avdekke forhold som ikke er godt nok vurdert i det aktuelle modifikasjonsprosjektet. Her er det viktig med deltakelse fra både driftspersonell, som kjenner dagens situasjon godt, og prosjektpersonell som kjenner endringene godt. 4. Oppfylles kravet?[Ja, delvis, nei, vet ikke] Her er vi primært ute etter å vurdere om kravet oppfylles etter endringen, men det kan også være aktuelt å få avdekket hvorvidt et krav oppfylles selv om man ikke gjør noen endring som påvirker dette kravet. Det kan tenkes at noen krav ikke oppfylles verken nå eller etter endringen, og dette bør i så fall dokumenteres og presenteres for ledelsen. Er man tidlig nok ute med analysen kan slike funn resultere i tilleggsendringer uten at kostnadene blir alt for høye. (Vet ikke innebærer at dette kravet ikke berøres av endringen og at ingen i analyseteamet har kjennskap til hvorvidt kravet oppfylles per i dag.) 5. Endres grad av kravoppnåelse?[Ja, nei, ikke aktuell] Oppfylles kravet bedre etter endringen enn før endringen? Denne vurderingen skal gjøres selv om kravet også tidligere har vært tilfredsstillende oppfylt, fordi grad av kravoppnåelse godt kan endre seg selv om man hele tiden oppfyller kravet ”tilfredsstillende”. (Ikke aktuell innebærer at kravet ikke er relevant, evt. at det er for tidlig å besvare dette spørsmålet.) 6. Hva er sikkerhetskonsekvensene av endringen? [--,-,0,+,++] Gir endringen redusert (--,-) eller økt sikkerhet (+,++)? Eller forblir sikkerhetsnivået uforandret (0)? Vi benytter her en femdelt skala, slik at 2 minuser eller 2 plusser indikerer hhv. stor reduksjon eller stor økning i sikkerheten. Slik analyseprosessen er tenkt gjennomført diskuterer man seg fram til en av de fem verdiene (konsensusvurdering). Analytiker aggregerer vurderingene fra sjekkpunkt til krav og videre til barrieren totalt sett, med bruk av røde, gule og grønne smileys. 7. Er det behov for risikoreduserende tiltak? Vurderingen av behovet for risikoreduserende tiltak kan enten skje som del av arbeidsmøtet, ved behandlingen av hvert enkelt sjekkpunkt, eller den kan skje i ettertid. Umiddelbare ideer til tiltak kan med fordel noteres ned på arbeidsmøtet, men man bør være forsiktig så ikke diskusjoner rundt løsningsdetaljer tar uforholdsmessig mye av tiden. Det kan også tenkes at man ikke finner noen gode tiltak, og i stedet velger å søke om avvik. En slik beslutning må uansett treffes i etterkant av arbeidsmøtet. En oversikt over de enkelte trinn i metoden er vist i Figur 2.

12

Performance standards for all safety barriers

Relevant barrier?

Selectedbarriers

Relevantrequirements?

Selected barrier requirements from

TSC doc.

Include operability and management

requirements(from e.g. CRIOP)

Selected barrier requirements from TSC and CRIOP

Include maintainability requirements

Selected barrier requirements for change analysis

Requirement fulfilled?

Unsatisfying safety barrier

conditions

Propose risk reducing

measures

Change in fulfillment?

Changed safety barrier conditions

YES

NO

NO

YES

Evaluation of safety

consequences

Effect on safety of changed safety

barrier conditions

Safety measures needed?

Risk reducing measures

Satisfying safety barrier conditions

No change in safety barrier

conditions

Compliance with requirement prior to change

(how, who)

Compliance with requirement

after change(how, who)

NO

YES

NO

YES

A

A

YES

NO

1

2

3

4

5

6

7Apply for deviation

Legends:

Figur 2 Oversikt over BEA-metoden Vurdering av akseptabel sikkerhetstilstand Når det gjelder vurdering av hvorvidt sikkerheten er tilfredsstillende ivaretatt etter endringen så kan dette skje på flere måter. Noen av de mulige fremgangsmåtene/prinsippene er:

1. Ingen forverring av sikkerhetstilstanden etter endringen, basert på en semi-kvantitativ vurdering (eksempelvis femdelt karakterskala). Enten for hvert krav, hvert system/barriere, eller totalt for alle systemene/barrierene som påvirkes av endringen.

13

2. Tilfredsstille hvert ytelseskrav iht. et fastsatt minimumsnivå. Dette kan eksempelvis ta

utgangspunkt i scoresystemet i TST, hvor for eksempel C eller D representerer minimums-nivået på en skala fra A (best) til F (dårligst), altså også her en semi-kvantitativ vurdering.

3. Identifisere sikkerhetstilstandene semi-kvantitativt med bruk av BEA, men evaluere effekten kvantitativt med andre metoder, for eksempel QRA. Problemet er at dagens QRA offshore ikke er tilstrekkelig detaljert, men det pågår arbeid med detaljert modellering (ref. BORA).

Fremgangsmåten for effektvurdering slik den foreligger nå, og slik dette ble gjort under uttestingen, følger prinsipp 1 ved at endringen for hvert enkelt krav vurderes. Alle sjekkpunkt under et gitt krav vurderes etter den femdelte skalaen [--,-,0,+,++] mht. effekt på sikkerheten og en samlet verdi (basert på antall plusser og minuser) angis for det enkelte krav. Selv om den samlede verdien tilsier at kravet ikke tilfredsstilles dårligere enn tidligere, så kan det være behov for risikoreduserende tiltak rettet mot enkeltsjekkpunkter dersom disse har fått en negativ score. En svært aktuell tilpasning av metoden er å benytte prinsipp 2 for konsekvensvurdering spesielt etter hvert som TST implementeres for alle installasjoner og anlegg. På sikt kan prinsipp 3 være aktuelt i og med at det per i dag ikke er noen knytning mellom TST og risiko. Det er imidlertid en stor utfordring å etablere en slik sammenheng. Analyseprosessen Endringsanalysen gjennomføres som en gruppeprosess ledet av en fasilitator/prosessleder, se Figur 3. Det vil være en fordel om prosesslederen er en av deltakerne fra den opprinnelige TST-gjennomgangen på den aktuelle installasjonen, dersom det er foretatt en TST-gjennomgang.

Id. No. Examination Activity

Req. fulfilled Y - Yes (Completely) P – Partly N – No U - Unknown

Change Y –Yes N – No N/A – Not applicable

Safety consequences Reduced <--> increased

[--, -, 0, +, ++]

The ESD system shall be certified as a safety system from the SAS vendor and shall have been verified by a 3rd party. Ref. NHT-I52-00049, 4.2.1.

Y

Y

+

F 6.1

Comments: Har ikke sertifisert per idag. Får det nå.

Figur 3 Oversikt over analyseprosessen

14

Hvorvidt kravet oppfylles (trinn 4) angis i tredje kolonne, hvorvidt det er endring i grad av kravoppnåelse (trinn 5) i fjerde kolonne og sikkerhetskonsekvensene (trinn 6) i siste kolonne. Eventuelle forslag til tiltak (trinn 7) dokumenteres i kommentarfeltet. Et eksempel på dokumentering av vurderingene er vist i Figur 4 (for et av funksjonskravene til ESD-systemet).

Req. fulfilled (Y, P, N, U) Change (Y, N, N/A) Safety consequence (--, -, 0, +, ++) Result (4, 0, 0, 0) (3, 1, 0) (0, 0, 1, 3, 0)

F 6

ESD logic solver The logic solver hardware and software, including I/O, logic and communication interfaces, shall comply with prevailing regulations and practices for normal operation, test and emergency situations (see also M 3).





[--, -, 0, +, ++]


Y

Y

+

F 6.1

Comments: Har ikke sertifisert per idag. Får det nå. It shall be possible to test the ESD logic, including I/O cards without unacceptable degradation on the installation safety reducing the production rate. This shall also include trip signals between SAS units. Ref. NORSOK I-002, 4.2.1, point 1.

(Y)

Y

+

F 6.2

Comments: Oppfyller utvidet krav, bl.a. testing (bedre mulighet for broing)

Figur 4 Dokumentering av vurderingene i sjekklistetabellene (utdrag) Funksjonskrav F 6 består av fire sjekkpunkt (F 6.1 – F 6.4). I Figur 4 er kun de to første sjekk-punktene tatt med. Vurderingen viser at detaljkravene som dekkes av disse to sjekkpunktene oppfylles etter endringen, at det vil bli en endring i forhold til i dag, og at dette gir økt sikkerhet. Øverst i Figur 4 vises det samlede resultat for funksjonskrav F 6. Her ser vi at alle sjekkpunktene (detaljkravene) oppfylles, at tre av fire innebærer en endring, og at de tre som innebærer en endring fører til økt sikkerhet. Et av sjekkpunktene ivaretas like godt i dag, slik at det etter endringen ikke blir noen endring i sikkerheten basert på dette spesifikke forholdet. Figur 5 viser et utdrag av det aggregerte resultatet.

Results Evaluering: 1) Oppfylles kravet etter endringen, dersom det gjøres en endring? Oppfylles kravet per i dag dersom det ikke gjøres en endring? 2) Medfører modifikasjonen en endring mhp dette kravet/forholdet? 3) Hva er sikkerhetskonsekvensene av endringen?

Req. fulfilled Y – Yes (completely) P – Partly N – No U - Unknown

Change Y – Yes N – No N/A – Not applic.

Safety consequences

Reduced <--> increased [--, -, 0, +, ++]

Function Y P N U Y N N/A -- - 0 + ++ Tot F 1 Location of manual release stations 1 0 0 0 1 0 0 0 0 0 1 0 ☺ F 2 ESD-sectioning 0 0 0 7 0 7 0 0 0 7 0 0 F 3 Automatic ESD actions 1 0 0 1 1 1 2 0 0 1 1 0 ☺ F 4 ESD alarms and displays 1 0 0 1 1 1 1 0 0 1 1 0 ☺ F 5 ESD response time 1 0 0 1 1 1 0 0 0 2 0 0 F 6 ESD logic solver 4 0 0 0 3 1 0 0 0 1 3 0 ☺ F 7 ESD system independence 2 0 0 1 1 2 0 0 0 2 0 1 ☺ F 8 Human-Machine interface (HMI) 5 0 0 0 4 1 0 0 0 2 2 1 ☺ F 9 Functionality of safety system (operation, inspection and maintenance) 0 0 0 1 0 1 2 0 0 0 0 0

Figur 5 Dokumentering av aggregert resultat (utdrag) Her ser vi bl.a. at krav F 6 totalt sett er gitt et grønt ansikt som indikerer økt sikkerhet som følge av endringen.

15

4 Uttesting av metoden En uttesting av metoden ble gjennomført 7. juli 2004 med DtS-prosjektet8 som case (Øien, 2004). Uttestingen var avgrenset til ESD-systemet, og de detaljerte vurderingene og resultatene er vist i vedlegg B. Deltakere på uttestingen var: • Fritz H. Eilertsen, Norsk Hydro (DtS-prosjektet) • Marianne Skår, Norsk Hydro (DtS-prosjektet) • John Monsen, Norsk Hydro (Teknisk sikkerhet) • Jan A. Pappas, Norsk Hydro (Teknisk sikkerhet) • Knut Øien, SINTEF

4.1 Oppsummering av resultatene I alt 39 av 60 enkeltkrav/sjekkpunkter (for ESD-systemet) ble evaluert, ref. Figur 6.

Figur 6 Omfang/avgrensning av uttesting Alle funksjonskrav (9 overordnede krav) og de fleste integritetskrav (2 av 3) ble gjennomgått, mens sårbarhetskrav (1) og styringskrav (3) ikke ble gjennomgått (pga for liten tid).

8 DtS – DISCOS til SAS prosjektet på Oseberg Feltsenter (nytt kontrollrom)

16

Resultatene er illustrert i Figur 7 (hentet fra Vedlegg B). Results Evaluering: 1) Oppfylles kravet etter endringen, dersom det gjøres en endring? Oppfylles kravet per i dag dersom det ikke gjøres en endring? 2) Medfører modifikasjonen en endring mhp dette kravet/forholdet? 3) Hva er sikkerhetskonsekvensene av endringen?



Safety consequences


Function Y P N U Y N N/A -- - 0 + ++ Tot F 1 Location of manual release stations 1 0 0 0 1 0 0 0 0 0 1 0 ☺ F 2 ESD-sectioning 0 0 0 7 0 7 0 0 0 7 0 0 F 3 Automatic ESD actions 1 0 0 1 1 1 2 0 0 1 1 0 ☺ F 4 ESD alarms and displays 1 0 0 1 1 1 1 0 0 1 1 0 ☺ F 5 ESD response time 1 0 0 1 1 1 0 0 0 2 0 0 F 6 ESD logic solver 4 0 0 0 3 1 0 0 0 1 3 0 ☺ F 7 ESD system independence 2 0 0 1 1 2 0 0 0 2 0 1 ☺ F 8 Human-Machine interface (HMI) 5 0 0 0 4 1 0 0 0 2 2 1 ☺ F 9 Functionality of safety system (operation, inspection and maintenance) 0 0 0 1 0 1 2 0 0 0 0 0 Integrity I 1 Safety critical function 0 0 0 0 0 0 3 0 0 0 0 0 I 2 Reliability and availability criteria 0 0 0 1 1 0 3 0 0 1 0 0 I 3 Integrity Survivability S 1 Vulnerability Management M 1 Management (Deviations and non-conformance) M 2 Management (Documentation) M 3 Management (software control)

Total (etter at 39 av 60 sjekkpunkter er evaluert) 15 0 0 13 13 15 11 0 0 17 8 2 ☺

Figur 7 Aggregerte resultater av uttestingen Av de 9 overordnede funksjonskravene vil 6 ivaretas sikkerhetsmessig bedre etter endringen. Disse er: F1 Location of manual release stations F3 Automatic ESD actions F4 ESD alarms and displays F6 ESD logic solver F7 ESD system independence F8 Human-Machine interface (HMI) Tre av funksjonskravene vil forbli sikkerhetsmessig uforandret etter endringen (eller dette kan ikke besvares ennå). Disse er: F2 ESD-sectioning F5 ESD response time

F9 Functionality of safety system (operation, inspection and maintenance) Ingen funksjonskrav vil bli sikkerhetsmessig dårligere ivaretatt etter endringen. De 2 overordnede integritetskravene som ble gjennomgått (av totalt 3) vil forbli sikkerhetsmessig uforandret (eller kan ikke besvares ennå). Disse er: I1 Safety critical function I2 Reliability and availability criteria Basert på denne evalueringen (hvor ingen forhold endres i negativ retning) kan det for ESD-systemet konkluderes med at endringene er totalt sett sikkerhetsmessig forvarlig, og at sikkerheten ivaretas minst like godt som før endringene. Vi er altså med bruk av BEA i stand til å gi svar på de grunnleggende sikkerhetsspørsmålene knyttet til endringer, som er:

• Hvordan påvirker endringene sikkerheten? (Se Vedlegg B) • Er endringene totalt sett sikkerhetsmessig forsvarlig? Ja, fordi … (se ovenfor)

17

• Ivaretas sikkerheten minst like godt som før endringene? Ja, fordi … (se ovenfor)

4.2 Vurdering av metoden Konklusjonen etter uttestingen er at BEA med visse tilpasninger (se 4.2.2) er en metode som er egnet for endringsanalyse og som kan ivareta dette på en bedre måte enn dagens metoder (inklusive QRA og designgjennomganger).

4.2.1 Fordeler og ulemper ved metoden Følgende fordeler og ulemper ved metoden ble identifisert basert på uttestingen og diskusjoner av metoden i tilknytning til uttestingen: Fordeler • BEA er i stand til å avdekke endringer og vurdere konsekvensene av disse på et detaljert nivå. • Dette gjelder både endringer med positiv konsekvens for sikkerheten, negativ konsekvens,

samt ingen konsekvens. Også det som ikke endrer seg avdekkes og dokumenteres. • BEA gir en samlet oversikt over og dokumentasjon av endringene og sikkerhetskonse-

kvensene for systemer som inngår i TST. • BEA fokuserer på sikkerhetssystemene/barrierene, noe som ivaretar myndighetenes økte fokus

og krav til bedre kontroll/styring av barrierene. • BEA dekker i noen grad organisatoriske forhold (oppdatering av dokumentasjon og opp-

læring, osv.) Ulemper • BEA er semi-kvantitativ, den er avgrenset til barrierene/sikkerhetssystemene som inngår i

TST, og har størst vekt på tekniske forhold. • Den kanskje største ulempen ligger ikke i selve metoden, men at den er ny. Det vil alltid være

en utfordring å introdusere en ny metode. • Hvorvidt omfanget er stort eller lite kan diskuteres og avhenger av hva man sammenlikner

med. Sammenliknet med en QRA er omfanget lite, men som en tilleggsaktivitet så kan omfanget oppfattes som rimelig stort, avhengig av forventet nytteverdi av å bruke BEA.

4.2.2 Mulige tilpasninger av metoden Forslag til endringer/tilpasninger er knyttet til følgende forhold (innspill fra deltakerne på uttestingen):

• Justering av tabellen/kolonnene • Timing • Tiltaksvurdering • Prosjektstørrelse • Deltakere

18

Justering av tabellen/kolonnene9

1. Endringskolonnen bør komme først. 2. Dersom vi legger inn som forutsetning at en TST er gjennomført, så kan vi ha en kolonne hvor

nåværende tilstand iht. siste TST oppgis (A – F). Dersom man angir at modifikasjonen innebærer en endring for det aktuelle sjekkpunktet/kravet, så må man også ha en kolonne hvor man angir ny tilstand (A – F) som følge av endringen. Konsekvenskolonnen blir da en kolonne som angir forskjellen mellom eksisterende og ny tilstand (for eksempel C -> B).

Timing (Når skal metoden brukes?) Dersom metoden blir brukt for sent vil mulighetene for endring være mindre og kostnadene forbundet med endringer vil være større. Brukes metoden tidlig har man ikke nødvendigvis svarene på hvorvidt man oppfyller kravene10, men man kan da eksempelvis bruke dette som underlag ved gjennomføring av designgjennomganger senere i prosjektet. Tiltaksvurdering En vurdering av tiltak ble foreslått gjort i ettertid, fordi en ”negativ” endring eller et krav som ikke oppfylles kan kanskje aksepteres, og det kan skrives avvik for dette. Det er imidlertid åpenbare fordeler med å notere ned forslag til tiltak som umiddelbart foreslås underveis i gjennomgangen. Prosjektstørrelse En gjennomgang av TST-ytelsesstandardene er forholdsvis omfattende og prosjektet bør være av en viss størrelse for at bruk av metoden skal kunne forsvares. På den annen side så vil det være størst sjanse for at enkelte krav er oversett i et lite prosjekt, og de ville sånn sett hatt vel så stor nytte av metoden brukt som design/verifikasjonsverktøy. Utgangspunktet er imidlertid å benytte metoden som sluttdokumentasjon på hvordan sikkerheten ivaretas etter endringen (bedre/dårligere/like bra – hvor mye bedre/dårligere), og komplettere QRAen for å dokumentere hvordan sikkerheten blir ivaretatt etter modifikasjonen. Det vil da være naturlig å anvende BEA på den type prosjekt hvor man ellers ville benyttet QRA som endrings-analysemetode. Deltakere Det er viktig at noen med god kunnskap om krav til sikkerhetssystemer er med på vurderingene. For modifikasjonsprosjekter er ikke dette like kritisk som for drift i og med at man i prosjektene kjenner godt til designkravene. Det er nok hensiktsmessig at det også er med folk fra drift som kjenner nåværende tilstand godt (aller helst en som har vært med på forrige TST-gjennomgang). Det vil ellers kunne være lett for at prosjektet vurderer det meste til å bli ivaretatt minst like godt eller bedre. I noen tilfeller vil det antakelig være nødvendig med bistand fra leverandører.

9 ”BEA-tabellene” utarbeides på grunnlag av de sist oppdaterte TST-tabellene og ønskede tilpasninger som her beskrevet kan da innarbeides. Det foreligger altså ikke noen ferdige BEA-tabeller for samtlige ytelsesstandarder nå, fordi innholdet i TST-ytelsesstandardene er gjenstand for endring og oppdatering. 10 Bortsett fra at man ut i fra spesifikasjonene kan vurdere om man forventer å oppfylle kravene.

19

5 Diskusjon

5.1 Nytteverdi (hvorfor bruke BEA?) Utgangspunktet er at for enhver større endring må sikkerhetskonsekvensene vurderes og man må kunne gi svar på følgende spørsmål:


Den metoden som blir mest benyttet som endringsanalyseverktøy per i dag er den kvantitative risikoanalysen (QRA). QRA er i utgangspunktet et designverktøy som modellerer sikkerhets-systemene svært grovt og som ikke dekker organisatoriske forhold. QRA er derfor av flere grunner ikke egnet til endringsvurderinger i drift, og resultatene mangler nødvendig troverdighet. BEA derimot representerer en grundig kvalitativ vurdering av sikkerhetssystemene ved at den bygger på TST-ytelsesstandardene som stiller detaljerte krav til sikkerhetssystemene. Den er tilpasset vurderinger i driftsfasen og dekker i noen grad også organisatoriske forhold. Nytteverdien ved BEA er at den gir svar på om sikkerheten er tilfredsstillende ivaretatt ved en endring/modifikasjon på en troverdig måte, innenfor den innfallsvinkel til sikkerhetsvurdering denne metoden representerer, dvs. ut fra et barriereperspektiv.

5.2 Implementering og bruk (hvordan bruke BEA?) BEA bør innføres og brukes til endringsanalyse av større endrings-/modifikasjonsprosjekt, av både teknisk og organisatorisk karakter11, slik at man sikrer at alle forhold ved sentrale barrierer ivaretas på en god måte og at sikkerheten dermed opprettholdes minst like godt som før endringen. Ved at BEA bygger på og utnytter det arbeid som er lagt ned i ytelsesstandardene fra TTS/TST-prosjektene sikrer man at både eksterne regelverkskrav og interne selskapskrav blir ivaretatt på en tilfredsstillende måte. Analysen følger de trinn som er beskrevet i kapittel 3, og underlagsmaterialet er altså de ytelsesstandardene og tilhørende sjekklister som er relevante for det aktuelle modifikasjonsprosjektet. Analysen gjennomføres som en gruppeprosess med deltakere fra bl.a. prosjektet, driftspersonell og personell som har god kjennskap til ytelsesstandardene. Arbeidet bør utføres så tidlig i prosjektet at nødvendige tiltak kan iversettes uten alt for store kostnader. Samtidig kan det være behov for oppfølging ved at enkelte forhold ikke er avklart tidlig i prosjektet, og man dermed ikke er i stand til å besvare sjekkpunktene på et tidlig tidspunkt.

11 BEA brukt til rene organisatoriske endringer vil ha den begrensning at det ikke er nedfelt krav til enkelte operasjonelle barrierer i ytelsesstandardene. Dette gjelder eksempelvis kontroll av utført arbeid, lekkasjetest etter vedlikehold, etc. For nærmere diskusjon av denne typen barrierer, se Sklet og Hauge, 2004.

20

Det kan også være et alternativ å gjennomføre BEA suksessivt som del av designgjennomgangene i et prosjekt. Dersom BEA benyttes for å komplettere en kvantitativ risikoanalyse bør BEA gjennomføres først slik at denne vurderingen inngår som underlag til den kvantitative risikoanalysen. Det vil da være lettere å få synliggjort hvilke forhold som reflekteres i den kvantitative risikoanalysen og hvilke som ikke er mulig å reflektere pga. den modellering som ligger til grunn i risikoanalysen. Dette vil gi økt troverdighet til den totale risikovurderingen.

5.3 Begrensninger Slik metoden foreligger nå er den først og fremst egnet som et supplement til en kvantitativ risikoanalyse. Dette skyldes både at metoden er kvalitativ/semi-kvantitativ og at den har et begrenset scope ved at endringene betraktes ut fra et barriereperspektiv. Metodens begrensninger er nært knyttet til begrensningene i ytelsesstandardene. Den fokuserer på de tekniske sikkerhetssystemene og dekker dermed ikke helheten mht. sikkerhet/risiko. For nærmere diskusjon av ytelsesstandardenes styrker og svakheter, se Vedlegg A. BEA representerer én innfallsvinkel til sikkerhetsvurdering av endringer, og kan med fordel også kompletteres med andre metoder/innfallsvinkler i tillegg til den kvantitative risikoanalysen. Dette gjelder eksempelvis CRIOP-analyse som i større grad dekker kontrollromsoperatørens situasjon og driftstilpasning, spesielt i avvikssituasjoner. (Se Vedlegg A for nærmere utdyping.)

21

6 Referanser Aven, T., Hauge, S., Sklet, S., Vinnem, J. E., 2004. Operational risk analysis, Total analysis of physical and non-physical barriers. H2.1 Methodology for Analysis of HOF Factors. Draft 1, Rev. 0, Report No. 200254-05. CRIOP, 2004. www.criop.sintef.no. Hourtolou, D., Salvi, S, 2003. ARAMIS project: development of an integrated accidental risk assessment methodology for industries in the framework of Seveso II directive. ESREL’03, Maastricht, 2003, pp 829-836. Husebø, T., Ravnås, E., Lauritsen, Ø., Lootz, E., Brandanger Haga, H., Haugstøyl, M., Kvitrud, A., Vinnem, J. E., Tveit, O., Aven, T., Haukelid, K., Ringstad, A. J., 2002. Utvikling i risikonivå-norsk sokkel. Fase 2 rapport – 2001. Oljedirektoratet, OD-02-07, www.npd.no. Hydro Teknisk Sikkerhetstilstand – TST, Performance Standard: 1 Containment Function, Rev. 01, 17.01.03, DNV. Hydro Teknisk Sikkerhetstilstand – TST, Performance Standard: 3 Gas Detection, Rev. 01, 17.01.03, DNV. Johnsen, WG, 1980. MORT Safety assurance systems. Marcel Dekker, New York, 1980. OD, 2002a. Forskrift om styring i petroleumsvirksomheten (Styringsforskriften), fastsatt 3. september 2001, Oljedirektoratet. OD, 2002b. Veiledning til forskrift om styring i petroleumsvirksomheten (Styringsforskriften), fastsatt 3. september 2001, Oljedirektoratet. Olson J, Chockie AD, Geisendorfer CL, Vallario RW, Mullen MF, 1988. Development of Programmatic Performance Indicators. NUREG/CR-5241, PNL-6680, BHARC-700/88/022, US Nuclear Regulatory Commission, Washington, D.C., USA. SfS, 2004. Barrierer – ut av tåkehavet mot bedre sikkerhet. Barrierer – begrepsavklaringer, fase 3, Samarbeid for Sikkerhet, 22 oktober 2004. www.samarbeidfor-sikkerhet.no. Sklet, S., Hauge, S., 2004. Safety barriers to prevent release of hydrocarbons during production of oil and gas. SINTEF report STF38 A04419, Trondheim, Norway. Sørum, M., Firing, F., Endresen, I., Øvrebø, R., Storhoug, O., Berg, F. R., Hvam, C., Holmboe, R. H., Austbø, J. S., 2002. Kartlegging av tilstand teknisk sikkerhet i Statoil, hovedrapport, F&T MST-02006. Øien, K., Guttormsen, G., Hauge, S., Sklet, S., Steiro, T., 2002. Morgendagens HMS-analyser for vurdering av tekniske og organisatoriske endringer. Prosjektrapport 2002. SINTEF rapport STF38 F02423. Øien, K., 2004. Barriereendringsanalyse (BEA) – uttesting. Case: DtS-prosjektet; ESD-systemet. SINTEF notat 2004-08-20.

http://www.criop.sintef.no/

http://www.samarbeidfor-sikkerhet.no/

22

Vedlegg A Ytelsesstandardene – styrker og svakheter A.1 Oversikt Ytelsesstandardene dekker i alt 18 sikkerhetsfunksjoner/-systemer/barrierer, hvor krav og sjekkpunkter er gruppert i fire ytelseskategorier; funksjon, integritet, overlevelsesevne og styring. Dette er illustrert i Figur A.1. Antall krav (øverst) og sjekkpunkter (nederst) er angitt for samtlige ytelsesstandarder. Totalt er det 249 krav og 985 sjekkpunkter.

SikkerhetsfunksjonSikkerhetssystem

Barriere

PS

9. A

ctiv

e fir

e fig

htin

g

PS

8. B

low

dow

n an

d fla

re/v

ent

PS

7. F

ire d

etec

tion

PS

6. I

gniti

on s

ourc

e co

ntro

l

PS

5. O

pen

drai

n

PS

4. E

mer

genc

y sh

utdo

wn

(ES

D)

PS

3. G

as d

etec

tion

PS

2. N

atur

al v

entil

atio

n an

d H

VA

C

PS

1. C

onta

inm

ent f

unct

ion

PS

10.

Pas

sive

fire

pro

tect

ion

PS

11.

Em

erge

ncy

pow

er a

nd li

ghtn

.

PS

12.

Pro

cess

saf

ety,

PS

D/P

SV

etc

PS

13.

PA

, ala

rm a

nd e

mer

g. c

omm

.

PS

14.

Esc

ape,

eva

c. a

nd re

scue

PS

15.

Exp

losi

on b

arrie

rs

PS

16.

Offs

hore

cra

nes

PS

17.

Wel

l bar

riers

PS

18.

Bal

last

,.. &

pos

ition

ing

Function

Integrity

Survivability

Management

10

36

3

12

1

2

3

11

Ytelseskrav

Sjekkpunkter

7

37

0

0

1

0

2

8

6

24

3

9

1

5

2

8

9

32

3

11

1

5

3

12

5

14

0

0

1

2

2

8

11

33

3

8

0

0

3

10

8

37

3

11

1

2

3

11

5

20

3

11

1

3

3

11

15

91

7

26

3

8

8

35

6

24

2

6

1

2

2

8

5

21

3

11

1

2

2

11

10

36

4

13

1

2

3

12

7

36

3

8

1

3

2

8

7

27

2

7

2

4

2

8

3

10

1

1

0

0

2

8

3

16

3

7

1

1

3

11

4

18

2

7

1

4

3

11

7

49

4

19

2

5

4

18

128

561

49

167

20

48

52

209

SUM:

Figur A.1 Ytelsesstandarder med krav og sjekkpunkter for de fire ytelseskategoriene Det totale omfanget av krav og sjekkpunkter som må vurderes ved en barriereendringsanalyse (BEA) som det her legges opp til blir ganske stort, og det er viktig å avgrense analysen til de aktuelle ytelsesstandarder og krav (ref avsnitt A.3 nedenfor). A.2 Styrker og svakheter Ytelsesstandardene representerer den første samlede oversikten over eksterne krav (fra forskrifter, standarder, etc.) og interne krav (fra prosedyrer, arbeidsbeskrivelser, etc.) som stilles til sikkerhetsbarrierene på offshoreinnretninger. De utgjør en grundig og detaljert basis for endringsanalyse i tillegg til vurderingsgrunnlag for teknisk sikkerhetstilstand.

23

En av ulempene er at ytelsesstandardene fokuserer mest på tekniske forhold, og at det er behov for å styrke de organisatoriske kravene. Et annet poeng er at TST ytelsesstandardene vil være generelle av natur. Det vil derfor være naturlig, for de prosjekter hvor dette er utviklet, også å ta en gjennomgang av de krav som ligger i Safety Requirement Spesifikasjonene (SRS) og inkludere disse i endringsanalysen. SRS dokumenter, som normalt utvikles for nye prosjekter og større modifikasjoner, vil inneholde installasjonsspesifikke krav, som kan supplere kravene fra de generelle ytelsesstandardene. Eksempler på krav som skal ligge i SRS’ene vil være responstider for teknisk utstyr, tripp punkter, krav til kompenserende tiltak ved utkobling/feil på sikkerhetsutstyr, krav til ansvarlige personer, osv. En annen svakhet er at ytelsesstandardene ikke sier noe om risikomessig betydning. Det er kun en vurdering av i hvilken grad kravene oppfylles (til systemer som alle antas å være viktige for sikkerheten). A.3 Avgrensning av analyseomfang Antall barrierer/ytelsesstandarder og krav er så stort at det for en endringsanalyse vil være hensiktsmessig å gjøre en tidlig ”grovscreening” slik at kun de barrierer og krav som påvirkes av den aktuelle endringen analyseres. Et naturlig utgangspunkt er å starte med en utvelgelse av de aktuelle barrierene/ytelsesstandardene. Et eksempel på dette er vist i Tabell A.1.

Tabell A.1. Utvelgelse av relevante barrierer

No Barrier description Affected by

change (Yes/No)

Comments

1 Containment function No *) 2 Natural ventilation and HVAC Yes Only CPU 3 Gas detection Yes 4 Emergency shutdown (ESD) Yes 5 Open drain Yes Minor affects 6 Ignition source control Yes 7 Fire detection Yes 8 Blowdown and flare/vent Yes 9 Active fire fighting Yes

10 Passive fire protection No 11 Emergency power and lightning Yes Minor affects 12 Process safety, PSD/PSV etc. Yes 13 PA, alarm and emergency communication Yes 14 Escape, evacuation and rescue No 15 Explosion barriers No 16 Offshore cranes No 17 Well barriers Yes One well 18 Ballast and positioning No

CPU – Central Processing Unit; ESD/PSD – Emergency/Process Shut Down; PSV – Process Safety Valve; PA – Public Address *) May influence the frequency of overpressure, but insignificant contribution towards loss of containment risk.

En utskifting av hele SAS-systemet på en installasjon kan gi en utvelgelse som antydet i Tabell A.1. For noen barrierer/sikkerhetssystemer som kun blir påvirket i liten grad vil det være aktuelt å sortere ut de krav som er aktuelle å ta med i endringsanalysen.

24

Det vil også være av interesse å finne ut hvor mange av kravene/sjekkpunktene som er rene tekniske (T) krav/sjekkpunkter ift. de som er menneskelige (M) eller organisatoriske (O). Ved rene organisatoriske endringer vil det være tilstrekkelig å fokusere på M og O krav/sjekkpunkter. Vi har testet ut en slik klassifisering i forhold til tekniske, menneskelige og organisatoriske krav for to av barrierene; gassdeteksjon og containment (vist med gult i Figur A.1). Se Vedlegg C. A.3 Styrking av organisatoriske aspekter Som tidligere nevnt anses de ledelsesmessige og organisatoriske aspektene (hovedsakelig M-delen i TST) å være en svakhet ved TST, spesielt dersom TST benyttes som grunnlag for vurdering av komplekse tekniske og organisatoriske endringer, slik vi ønsker. For å vurdere de organisatoriske aspektene mht hvor det er størst behov for styrking, har vi tatt utgangspunkt i en NUREG-modell utviklet på 80-tallet (Olson et al., 1988). Modellen ble laget i forbindelse med utvikling av ”programmatiske” (programmatic) ytelsesindikatorer12 innen kjernekraft, og ble betegnet som ”Conseptual framework for causes of events: Overview of causal chain”. Modellen er med mindre modifikasjoner gjengitt i Figur A.2.

Figur A.2 Organisatorisk modell (basert på Olson et al., 1988) ”Equipment failures” i høyre del av figuren inkluderer feil i sikkerhetssystemer, noe som påvirkes direkte av ulike ”front-line programs”, som igjen påvirkes av administrative forhold og iboende personlige kvaliteter til de som utfører frontlinjeprogrammene. En første tilpasning av modellen til offshore og vår bruk er illustrert i Figur A.3. Frontlinje-programmene er slått sammen til hhv. drift, vedlikehold (inkl. inspeksjon, testing og kalibrering)

12 ”Programmatic performance indicators are indicators that assist in assessing the quality and performance of various programs, functions, and activities relating to the safety of the plant.” (Olson et al., 1988).

25

og modifikasjon. Modifikasjon er innført for å skille mellom den design som representerer ”as built” første gang, og senere endringer i design – som er modifikasjoner. Vi betrakter dermed design som en bakenforliggende faktor og modifikasjon som et frontlinje-program.

Equipmentfailures

REPORTABLEEVENTS

Other

Other

FRONT-LINEPROGRAMS

- Maintenance

- Inspection/testing/ calibration

- Operations/control

- Design

- Installation

...

ADMINISTRATIVECONTROL

Work supervisionWork verificationCorrective actionsTechnical analysis

TASKDESCRIPTION

Procedures/diagrams/instructions

Work scheduling/planning/coord-ination/comm.

TRAININGSTAFFING

QualificationStaffing Level

Personnelactions

INTRINSICPERSONNELQUALITIES

Cognitive errorInattentionDeliberateOther

ADMINISTRATION

LOWER-LEVEL CAUSES

Barriererperformance

Operations

Maintenance

Design

Opplæring/kompetanse

Prosedyrer,rutiner, dok.

Planl., koord.,org., kontroll

PM-programM&O

Modification

Figur A.3 Tilpasning av NUREG-modellen til en organisatorisk modell for evaluering av

ytelseskrav ”Task description” inngår i ”prosedyrer, rutiner og dokumentasjon”, ”training” og ”staffing” inngår i ”opplæring og kompetanse”, ”administrative control” inngår i ”planlegging, koordinering, organisering og kontroll”. I tillegg har vi tatt med PM-program som et organisatorisk forhold. ”Personnel actions” lar vi inngå i frontlinjeprogrammene, mens ”intrinsic personnel qualities” er ikke tatt med fordi dette er lite målbart samt vanskelig å sette krav til. Den endelige tilpasningen av modellen er vist i Figur A.4. Her har vi skilt mellom utførelsen av frontlinjeprogrammene og den tekniske/designmessige tilretteleggingen (vist nederst i figuren). Vedlikeholdsvennlighet/vedlikeholdstilpasning (maintainability) er tilrettelegging for vedlikehold (maintenance performance) som skal sikre ønsket barriereytelse. Tilsvarende kan vi skille mellom driftsvennlighet/driftstilpasning (operability) og selve driftsutførelsen (operation performance). TST fokuserer spesielt på ytelseskategoriene funksjon, integritet og robusthet, hvor premissene i stor grad legges under design. Disse påvirker barriereytelsen direkte, men også indirekte gjennom frontlinjeprogrammene og O&M-faktorene. Det som kravene i TST i særlig grad dekker er sikkerhetssystemenes tekniske funksjonalitet (synliggjort med skyggelagt/grå boks i Figur A.4), men også i noen grad operability og maintainability, samt at M-delen i noen grad dekker training/competence og procedures/ instructions.

26

Figur A.4 Organisatorisk modell for evaluering av ytelseskrav Det som er helt fraværende eller svært mangelfullt dekket er planning/organization og PM-program. Dessuten er det stort potensial for bedre håndtering av operability og maintainability. Vi foreslår å styrke M&O-delen samt operabilitet/driftstilpasning gjennom å inkludere relevante deler av CRIOP-metoden (Crisis Intervention and Operability Analysis), (CRIOP, 2004). Figur A.5 viser hvor CRIOP kan bidra.

Figur A.5 Inkludering av relevante krav fra CRIOP

27

Del 1-3 i den generelle sjekklisten i CRIOP har primært fokus på operabilitet, mens del 4-6 vil styrke M&O-delen og da spesielt del 4 (job organization) som ikke dekkes av TST. Dessuten så er det svært få krav/sjekkpunkter som ser på om systemene gir den faktiske ytelse man ønsker (”valideringspunkter”). Her kan CRIOP scenarioanalyse være et alternativ.

28

Vedlegg B Detaljerte resultater fra uttestingen av metoden

29

Barriereendringsanalyse (BEA) basert på TST-sjekklister

Uttesting 07.07.04

Performance Standard: 4

EMERGENCY SHUT DOWN (ESD)

Rev. 01 Date: 17.01.03

BEA Rev. 04, Date: 18.08.04

30

PERFORMANCE STANDARDS AND EXAMINATION SCHEME Installation All installations

System Emergency Shut Down (ESD)

Performance Standard (PS) no. 4

Revision 17.01.03

Role The Emergency Shutdown System shall initiate and control the following actions: • Stop hydrocarbon flow on the installation • Shutdown process equipment • Sectionalise hydrocarbon inventories • Initiate blowdown • Reduce ignition probability • Initiate alarm The purpose is to prevent escalation of abnormal conditions into a major hazardous event and to limit the extent and duration of any such events that do occur. Results Evaluering: 1) Oppfylles kravet etter endringen, dersom det gjøres en endring? Oppfylles kravet per i dag dersom det ikke gjøres en endring? 2) Medfører modifikasjonen en endring mhp dette kravet/forholdet? 3) Hva er sikkerhetskonsekvensene av endringen?



Safety consequences


Function Y P N U Y N N/A -- - 0 + ++ TotF 1 Location of manual release stations 1 0 0 0 1 0 0 0 0 0 1 0 ☺ F 2 ESD-sectioning 0 0 0 7 0 7 0 0 0 7 0 0 F 3 Automatic ESD actions 1 0 0 1 1 1 2 0 0 1 1 0 ☺ F 4 ESD alarms and displays 1 0 0 1 1 1 1 0 0 1 1 0 ☺ F 5 ESD response time 1 0 0 1 1 1 0 0 0 2 0 0 F 6 ESD logic solver 4 0 0 0 3 1 0 0 0 1 3 0 ☺ F 7 ESD system independence 2 0 0 1 1 2 0 0 0 2 0 1 ☺ F 8 Human-Machine interface (HMI) 5 0 0 0 4 1 0 0 0 2 2 1 ☺ F 9 Functionality of safety system (operation, inspection and maintenance) 0 0 0 1 0 1 2 0 0 0 0 0 Integrity I 1 Safety critical function 0 0 0 0 0 0 3 0 0 0 0 0 I 2 Reliability and availability criteria 0 0 0 1 1 0 3 0 0 1 0 0 I 3 Integrity Survivability S 1 Vulnerability

31

Management M 1 Management (Deviations and non-conformance) M 2 Management (Documentation) M 3 Management (software control)

Total (etter at 39 av 60 sjekkpunkter er evaluert) 15 0 0 13 13 15 11 0 0 17 8 2 ☺ Forklaring til evalueringen: Evalueringen skal bidra til å gi et dokumentert svar på: - Hvordan påvirker endringene sikkerheten? (Forbedret? Uforandret? Forverret?) - Er endringene totalt sett sikkerhetsmessig forsvarlig? - Ivaretas sikkerheten minst like godt som før endringene? Basis for evaluering: Et gitt krav og hvordan dette håndteres før og etter en (eventuell) endring. Evaluering: 1) Oppfylles kravet etter endringen, dersom det gjøres en endring? Oppfylles kravet per i dag dersom det ikke gjøres en endring?

Selv om kravet/forholdet ikke er gjenstand for endring vil det være nyttig informasjon å vite om det er krav/forhold som per i dag ikke oppfylles (N), men dette kan være ukjent (U) for modifikasjonsprosjektet. (Behov for at ”driftspersonell” deltar i evalueringen).

2) Medfører modifikasjonen en endring mhp dette kravet/forholdet? (Endret grad av kravoppnåelse?) N/A innebærer at kravet ikke er relevant, evt. at tidspunktet for å besvare dette er feil. 3) Hva er sikkerhetskonsekvensene av endringen? (Redusert eller økt sikkerhet?) Benytter en femdelt semikvantitativ skala, samt en kvalitativ oppsummering i form av fargede smileys/ansikter (grønn, gul og rød). Karaktergivingen er midlertidig og kan bli endret. Inntil videre teller hvert underpunkt like mye, uavhengig av hvor mange delspørsmål et underpunkt består av. Kommentarer til evalueringen: Av 9 funksjonskrav vil 3 forbli sikkerhetsmessig uforandret , mens 6 vil ivaretas sikkerhetsmessig bedre ☺ etter endringen (gjelder F1, F3, F4, F6, F7 og F8). Ingen funksjonskrav vil bli sikkerhetsmessig dårligere ivaretatt etter endringen. De 2 integritetskravene som ble evaluert (av 3 totalt) vil forbli sikkerhetsmessig uforandret . Basert på denne evalueringen (hvor ingen forhold endres i negativ retning) kan det for ESD-systemet konkluderes med at endringene er totalt sett sikkerhetsmessig forsvarlig, og at sikkerheten ivaretas minst like godt som før endringene. (NB. Konklusjonene kan bli vanskeligere å trekke dersom noen/mange forhold også endres i negativ retning. Deltakelse av ”driftspersonell” i evalueringen vil også kunne bidra til å avdekke om krav som ikke endres er utilfredsstillende ivaretatt/oppfylt, samt at de kan bidra til å nyansere fordelene av endringene slik dette betraktes fra prosjektets side.)

32




Revision 17.01.03

System description There are in principle three levels of emergency shutdown (text typical, to be changed to suit actual installation); • ESD 0 (APS-Abandon Platform Shutdown) will only be initiated manually. • ESD 1 includes shutdown of main power generation, start of emergency generator and isolation / shut down of all ignition sources except safety critical equipment. ESD 1

is initiated manually or automatically upon gas detection. • ESD 2 shutdown and sectionalises the hydrocarbon process facilities. ESD 2 can be initiated either automatically or manually. A superior ESD level will initiate lower levels including PSD. Including subsea. Emergency shutdown system: Interface/interactions other safety systems Function/reason PS-no. F&G-system F&G system receives and give input signals to Emergency Shutdown System 3, 7 Ignition Source Isolation Ignition source isolation is an automatic action by Emergency Shutdown 6 Blowdown Initiation of blowdown 8 Drilling Interface to alarms only 17 Alarm signals and emergency communication Visual and audible alarms 13 PSD ESD system gives input signals to PSD system. 12 Required utilities Function/reason PS-no. UPS-system Provides power supply when main power is shut down 11

N ASH ovedbryter Power

D ISC O SN ASI-modu l N AS

so lenoideN AS

bryte r O -modu l Ventil

I-modu l

D ISC O SPAS O -modul PAS

so leniode

B&G D eteks jons-

system

Syste mgrenseN ASH ovedbryter Power

D ISC O SN ASI-modu l N AS

so lenoideN AS

bryte r O -modu l Ventil

I-modu l

D ISC O SPAS O -modul PAS

so leniode

B&G D eteks jons-

system

Syste mgrense

33

Basis for requirements External • NPD, Innretningsforskriften, Rammeforskriften, Aktivitetsforskriften, Jan. 2002. • NORSOK Standard, Technical Safety S-001, rev. 3, Jan. 2000 • NORSOK Standard, Process Design P-001, Rev 4, Oct. 1999 • NORSOK Standard, Safety and Automation Systems (SAS) I-002, rev. 2, May 2001 • ISO 13702, Control and mitigation of fires and explosions on offshore production installations – Requirements and guidelines, 1999 • NORSOK Standard, Safety and Automation Systems (SAS) I-002, rev. 2, May 2001 • OLF-070, Recommended Guidelines for Application of IEC 61508 and IEC 61511 in the Petroleum Activities on the Norwegian Continental Shelf Internal Norsk Hydro • NHT-F51-00014, Requirements to safety systems and equipment, supplement to NORSOK S-001. • NHT-C51-0004, Requirements to process design, supplement to NORSOK P-001. • NHO-DB04-P01.23, SSS-23, Standard for teknisk sikkerhet, Rev. 3, Apr. 2000 • NHT-I52-00049, Safety and automation system, supplement to I-002. • NHO-DB08-P06, Utkobling /overbroing av NAS/PAS/BG systemer • NHO-DB04-P32, Prinsipper og standarder for beredskap i D&U Norge • NHO-DB04-P25, Beredskap- og sikkerhetsopplæring for innretninger til havs • NHO-DB04-P23-A02, Sikkerhetskrav til midlertidig utstyr • NHO-DB004-P27, Lekkasjetesting for sikkerhetsmessige viktige ventiler, Rev. 1, Feb. 2000 • NHO-DB08-P28, Arbeidstillatelsessystem • NHO-DB01-P03, Avviksbehandling i D&U Norge • NHO-DB09-P31, Gjennomgang av modifikasjonsprosjekter • NHO-DB09-P38, Håndtering av programvare for sikkerhets og kontrollsystemer • 10-00-UP-X02-00001, General operation requirements • System manual • WR0011

34




Revision 17.01.03

Basis for examination Installation specific: • Safety & Emergency Preparedness Analysis • Safety Strategy / Safety System Philosophy • Equipment layout • Design Accidental Load Spec (DAL) • Overall logic shutdown level hierarchy • ESD node logbook • Discos/SAS topology • Relevant SCD (System Control Diagram) • ESD test reports (24 month system and 6 month valve) • Safety Requirement Specification • Operating Manuals • Operating & Maintenance procedures • Maintenance program • Management of Change procedure • Modification procedures • System description

35


F 1 Location of manual release stations Manual activation of system to be possible from strategically positioned stations where accessibility and manning in a hazard situation is taken into account.





[--, -, 0, +, ++]

Check location of stations: • CCR all ESD levels • Helideck (ESD 0/APS) • Lifeboat stations (ESD 0/APS) • Bridge connections (ESD 2) • Drillfloor (Driller shut down, and ESD 1) • Exits from process and wellhead areas (ESD 2) • Manual ESD 0 shall not be installed in Muster areas and at

bridge connections. Ref. NHT-F-51-00014

Y

Y

+

F 1.1

Comments: Eksisterende matrise byttes ut med ny CAP (Critical Action Panel) som medfører en forenkling og forbedring. Ellers ingen endring av plassering.

36


F 2 ESD-sectioning ESD valves shall isolate and sectionalise the installation process in a fast and reliable manner according to dimensioning fire scenarios.





[--, -, 0, +, ++]

Check that if an ESD valves is used as a process sectioning valve, the signal from the ESD-system is connected to the actuator through an independent solenoid. Ref, NHT-F51-00014, 9.3.1.

U

N

0

F 2.1

Comments: Check that ESD valves are equipped with position indication (CCR & local). Valve status/position shall be displayed on VDU in CCR. Open and close position indicator shall be installed. Ref. NHT-F51-00014, 9.3.1.

U

N

0

F 2.2

Comments: (Dersom ventilene har posisjonsindikatorer) Check that ESD valves either have spring return or local accumulators to ensure fail-safe function. Local accumulators shall have capacity for at least three operations (close-open-close) and be placed as close as possible to the valve. Ref. NORSOK S-001, 9.3.2. Check for correct accumulator pressure. Check that the actuator capacity is in accordance to the actual valve torque.

U

U

N

N

0

0

F 2.3

Comments: (Total score: U, N, 0)

37





[--, -, 0, +, ++]

Check that ESD valves meet with defined criteria for leakage rate, in NHO-DB04-P27.

U

N

0

F 2.4

Comments:

Check that the ESD sectioning is according to the risk analysis, i.e. valves are installed in accordance with the dimensioning fire scenarios.

U

N

0

F 2.5

Comments:

Check that ESD valves are fitted only with local reset function. (May not be required for remote operated installations).

U

N

0

F 2.6

Comments: Check that valves in equalising lines across ESD valves are secured (e.g. car sealing) closed during normal production.

U

N

0

F 2.7

Comments:

38

Req. fulfilled (Y, P, N, U) Change (Y, N, N/A) Safety consequence (--, -, 0, +, ++) . Result (1, 0, 0, 1) (1, 1, 2) (0, 0, 1, 0, 1)

F 3 Automatic ESD actions Automatic direct actions pending ESD level initiation: • Shutdown and sectionalises the hydrocarbon process facilities. • Initiate blowdown. • Ignition Source Isolation. • Shutdown main power generation. • Start / stop of emergency power generator. In accordance with Installation Safety Strategy and Philosophy documentation.





[--, -, 0, +, ++]

The system inherent functions and annunciations to be in accordance with stated philosophy & design requirements , i.e. a) Conformity between philosophy, shutdown hierarchy and C&E-

diagrams b) Check C&E diagrams for principle of alarms, actions and

annunciation. c) Temporary equipment implementation (ref. NORSOK Z-015). d) Check for possible satellite field and interconnected installation

requirements. e) Check conformity to ESD system requirements as stated in

following specifications: - NORSOK I-002, 4.2.1 - NHT-I52-00049, 4.2.1 - NORSOK S-001,9.3.1 - NHT- F51-00014, 9.3.1

Y

Y

U U

P P P P

Y

Y

N N

Y Y N N

+

+

0 0

+ + 0 0

F 3.1

Comments: a) Gjennomført komplett gjennomgang av konsistensen til filosofien b) Gjennomført komplett gjennomgang e) Oppfyller krav til sertifisering og broing i 4.2.1. (Se også F6/F7/F8.) (Total score: Y, Y, ++)

39





[--, -, 0, +, ++]

Check function test records.

N/AF 3.2

Comments: Check that procedures are in place and that SSSV and Master valves can be operated locally during well intervention not requiring BOP. Check that shutdown of the well can be performed safely during an emergency situation, e.g. locally from wellhead / drilling area.

N/A

F 3.3

Comments: For interconnected installations check if there are requirements for upstream installation export to be automatically stopped upon any ESD situation. Check that ESD status signals are transferred between the installations.

U

U

N

N

F 3.4

Comments: (Total score: U, N, 0)

40


F 4 ESD alarms and displays Alarms shall be given as quickly as possible to warn personnel, i.e. activation of main ESD levels and failure to execute actions shall be presented in Central Control Room, and in addition ESD activation shall be presented at Driller location.





[--, -, 0, +, ++]

Check visual display of alarms at Driller location.

U N 0F 4.1

Comments: Check that the system provides monitoring for faults and raises alarms in CCR when faults are detected. Ref. NORSOK I-002, 4.2.1, point 5 and 9 – for check points.

Y

Y

+

F 4.2

Comments: Implementert monitorering av linjer (ESD-innganger) som det ikke er idag. Check that CCR operator is aware of the instructions of initiation of ESD and that adequate response will be given according to the emergency situation.

N/A

F 4.3

Comments:

41


F 5 ESD response time Maximum response time of the ESD function loop shall be defined in order to ensure that total reaction time for each safety function can be fulfilled.





[--, -, 0, +, ++]

Check typical response and statistics from test records. Time from activation to start of execution shall be less than 2 seconds plus final element execution time (including sub sea wellhead safety valves). Check ESD valve closure time according to design requirements. Ref. NORSOK I-002, 4.2.1, point 3 and Annex B.

Y

Y

N/A

0

F 5.1

Comments: Check that no particular fast response applications have been defined.

U

N

0

F 5.2

Comments:

42


F 6

ESD logic solver The logic solver hardware and software, including I/O, logic and communication interfaces, shall comply with prevailing regulations and practices for normal operation, test and emergency situations (see also M 3).





[--, -, 0, +, ++]


Y

Y

+

F 6.1

Comments: Har ikke sertifisert per idag. Får det nå. It shall be possible to test the ESD logic, including I/O cards without unacceptable degradation on the installation safety reducing the production rate. This shall also include trip signals between SAS units. Ref. NORSOK I-002, 4.2.1, point 1.

(Y)

Y

+

F 6.2

Comments: Oppfyller utvidet krav, bl.a. testing (bedre mulighet for broing) Check type of hardware and software provisions implemented to prohibit unauthorised changes to system parameters. Ref. NORSOK I-002, 5.1, check also for additional requirements.

Y

N

0

F 6.3

Comments:

43





[--, -, 0, +, ++]

Check that logic solver software is protected against access from external sources, i.e. external data communication interface security of common SAS network and units (see also PS 3, PS 7 and PS 12). (Brannmur)

Y

Y

Y

Y

+

+

F 6.4

Comments: Ny ESD node IEC 61508 sertifisert. To nivåer på tilgang fra offshore til land (brannmur nå som det ikke var før). ”Tilpasser oss fjerntilgangsprosjektet.” (Total score: Y, Y, +)

44


F 7 ESD system independence The ESD system shall operate as an independent system integrated as part of the SAS/ DISCOS.





[--, -, 0, +, ++]

Check that system independence requirements are adhered to.

Y N 0F 7.1

Comments: (Gjelder ikke PSD) The ESD system shall not be dependent on local instrument rooms with location less safe than the CCR. Ref. NHT-F51-00014, 9.3.1.

Y

Y

+ / ++

F 7. 2

Comments: PAB CPU’er flyttes inn i sikkert område (unngår trip pga gass). (Total score: Y, Y, ++) Check that ESD functions are independent of well control and PSD in well control panel.

U

N

0

F 7.3

Comments:

45


F 8 Human-Machine interface (HMI) Human-machine interface (HMI) shall provide system information presentation in CCR. The primary means for presentation shall be the operator stations (VDU) and in addition, a simplified safety matrix panel for manual activation of safety functions.





[--, -, 0, +, ++]

Check ESD presentation, i.e.: • ESD overview hierarchy • ESD valve status • Status of input and outputs • Alarm when valve and equipment are not activated • Inhibit and override (blocking) • Indication of remaining time until isolation of instrument UPS Is the presentation considered to be in accordance with current recommended practice? Ref. NORSOK I-002, NHT I52-00049.

Y Y Y Y Y Y

(Y) Trolig

Y Y Y Y Y

+ + + + 0 +

F 8.1

Comments: a) Har ikke idag (opprettholder CAP). Har tenkt å lage på én side på VDU – ett skjermbilde. a-d) Generell forbedring av ESD presentasjonen. Forbedret HM i presentasjon: Storskjerm, CAP, OS’er. f) Innfører en timer (noe man ikke har i dag). (Total score: Y, Y, ++)

Check that shutdown alarms and critical system failure are presented with the proper priority.

Y

Y

+

F 8.2

Comments: Implementerer ny alarmfilosofi iht. YA-710.

F 8.3 One single function shall be sufficient to turn off all blockings/ overrides. Ref. NORSOK I-002, 4.2.1.

(Y)

Y/N

0

46





[--, -, 0, +, ++]

Comments: Én for NAS, én for B&G og én for PAS, samt én for hver av OSA, OSB og OSD. Det er altså ikke én knapp som kopler ut alt, men alle knappene er samlet et sted. Check that the safety matrix/ critical action panel is fully independent of VDU and buses.

Check that the safety matrix provides means for manual activation of:

• All ESD levels • Blowdown • Manually operating ESD “Master switch” in order to isolate all

ESD outputs

Y x)

Y Y Y

N

N N N

0

0 0 0

F 8.4

Comments: x) I den grad buses skal være uavhengig er de uavhengig (slik vi oppfatter det). (Total score: Y, N, 0) Check that the Human-machine interface in CCR is suitable during emergency situations. Ref. NORSOK I-002, 4.4.2 point 1, and 4.4.6.

Y

Y

+

F 8.5

Comments: Lettere å finne fram, og alarmsystem er forbedret (ref. F 8.2).

47


F 9 Functionality of safety system (operation, inspection and maintenance) The ESD functions shall be operated, inspected and maintained so as to retain their functional capability,





[--, -, 0, +, ++]

Check contents and revision of maintenance, testing, inspection and repair program with respect to: a) Test method, procedure and frequency. b) Check maintenance backlog. c) Documentation of tests. d) Follow-up of findings. e) Are changes to inspection and maintenance interval subject to a

proper safety assessment and formal approval?

N/A

F 9.1

Comments: Check that the system does not generate spurious/false alarms and operates without any significant faults present.

N/A

F 9.2

Comments:

48





[--, -, 0, +, ++]

Check that instructions/procedures for use and control of inhibits and overrides, blockings are in place, e.g.: a) That Control Room has overview of all

inhibits/overrides/blockings? b) That risk compensating measures are identified. c) That safety system is brought back to normal operation mode

when job is finished. d) That operational leader and responsible have assessed the need for

inhibits/overrides (E.g. NHO-DB08-P06 ).

U

(N)

F 9.3

Comments: Har ikke til hensikt å forandre dette.

49

Req. fulfilled (Y, P, N, U) Change (Y, N, N/A) Safety consequence (--, -, 0, +, ++) Result (0, 0, 0) (0, 0, 3) (0, 0, 0, 0, 0)

I 1 Safety critical function ESD functions shall be fully operational whenever necessary and appropriate testing of the system shall be possible without interrupting operations, i.e. the following shall be in place: • Testing routines/devices for online testing • System inhibits and overrides to be in accordance with formal operating instructions/procedures • The duration, number and compensatory measures shall be defined for equipment that is out of service (planned or unplanned).





[--, -, 0, +, ++]

Check testing routines/devices for online testing N/AI 1.1

Comments: Check routines for handling of non-conformance, observation, deviation and temporary contingency measures.

N/A

I 1.2

Comments: Check extent of overrides (override log) and possible equipment taken out of service with respect to fulfil the barrier philosophy: • Check extent of overrides and possible equipment taken out of

service. • Check that all overrides in connection with testing/ maintenance

are register in Work Permits. • An overview of all overrides shall be available in the CCR.

N/A

I 1.3

Comments:

50


I 2

Reliability and availability criteria Probability of failure upon demand for the ESD function (PFD): SIL 2 Number of Safety Critical Errors per number of tests: • ESD push button: 0.1 % • ESD valve: 2 % • ESD valve accumulator: 1 % Maximum test frequencies (see I1 for compensatory measures): • ESD push button: 12 monthly • ESD valve: 6 monthly • ESD valve accumulator: 6 monthly Maximum time to repair shall be less than 1% of test interval. Ref. SSS-23, 23.9. Treatment of non-conformance shall be initiated if the safety function is inaccessible above the limits specified above.





[--, -, 0, +, ++]

[Check possible] reliability/ availability calculations/ reports.

U (Y) 0 / + I 2.1

Comments: Benytter SRS (og SAR), og påliteligheten/tilgjengeligheten vil bli like bra som nå eller bedre. (Når det gjelder oppfølging i drift er det behov for opprydding i SSS-23) (Se også I 2.5) Check inspection, maintenance, test and calibration record (SAP or REH/Synergi).

N/A

I 2.1

Comments:

Check extent of replacement.

N/A I 2.3

Comments:

51





[--, -, 0, +, ++]

• Check that relevant SSS-23 requirements are followed up and met.

• Check the ESD functions for safety critical errors, maximum time to repair and test frequencies.

N/A I 2.4

Comments:

ESD system shall have high reliability. The reliability shall be verified by use of PDS (Pålitlighet av datamaskin baserte sikkerhetssystemer) or similar calculation methods. Ref. NORSOK I-002, 4.2.1.

I 2.5

Comments: N.B. Dette punktet er nå utgått. (Bytter fra 2oo2 til 1oo2 på ESD push buttons i felt.)

52

Req. fulfilled (Y, P, N, U) Change (Y, N, N/A) Safety consequence (--, -, 0, +, ++) Result

I 3 Integrity Safety integrity shall be maintained upon loss of power or any single failure of electronic parts. REF. NORSOK I-002, 4.2.1





[--, -, 0, +, ++]

Check applied fail-safe principle: • Input (failure of input signal to initiate corresponding ESD

actions) • Output (all ESD outputs initiating safety actions shall be

normally energised) • Logic

I 3.1

Comments: Check that safety integrity is maintained upon loss of power (electrical, hydraulic, mechanical and pneumatic) or any single failure of electronic parts. REF. NORSOK I-002, 4.2.1

I 3.2

Comments: Check that the system design provides the required fault tolerance by means of diagnostic features and redundancy.

I 3.3

Comments:

53

Req. fulfilled (Y, P, N, U) Change (Y, N, N/A) Safety consequence (--, -, 0, +, ++)

Result

S 1 Vulnerability System and components incorporated shall resist the dimensioning accidental loads to which they may be exposed for the required period of time.





[--, -, 0, +, ++]

Check that conclusions in vulnerability study/ SEPA and FMECA/ Fault tree and assumptions are adhered to.

S 1.1

Comments: Check that “logic solver” is located in protected area e.g. including satellites, retrofits and extensions. Ref. NHT-F51-00014, 9.3.1.

S 1.2

Comments: Check equipment which are critical for the effectuation of system actions are protected against accidental loads such as explosion, fire and falling loads where applicable. Check that equipment necessary for activation of valves (electrical cables, pneumatic and hydraulic tubing and accumulators) are protected against loads from fire and explosion until the “shutdown” sequence is completed

S 1.3

Comments:

54





[--, -, 0, +, ++]

Check that ESD valves are certified in accordance with recognised standard regarding fire resistance, e.g. BS 6755. Check that valves are protected against the same fire class as pipes.

S 1.4

Comments: There shall be open area or grated deck below the riser ESD valve. Ref. NHT-F51-00014, 6.8

S 1.5

Comments:

55


M 1

Management (deviation and non-conformance) Deviations and non-conformances to be reported, registered and evaluated in a systemised manner in accordance with WR0011 and with reporting in Synergi or DocMap as applicable.





[--, -, 0, +, ++]

Check for the existence of outstanding instructions and recommendations, or pending implementation of management decisions with respect to ESD system. E.g. studies, verification reports, Synergi, HAZOP, FMECA/Fault tree and vulnerability studies.

M 1.1

Comments: Check that there is a deviation, observation and non-conformance reporting system and to what extent this system is used for reporting of failures and findings in connection with PM (Preventive Maintenance) or other activities.

M 1.2

Comments:

M 1.3 Check that all identified deviations or non-conformances are closed and that required corrective or compensating measures are implemented. If not closed, check that defined compensating measures have been implemented.

56





[--, -, 0, +, ++]

Comments: Check that all pending comments given during the verification process carried out by a third party or internal are closed.

M 1.4

Comments:

57


M 2

Management (documentation) Documentation to be available in a formal updated revision that reflect current design and operation; • Safety & Emergency Preparedness Analysis • Safety Strategy / Safety System Philosophy • Equipment layout • Design Accidental Load Spec (DAL) • Overall logic shutdown level hierarchy • ESD node logbook • Discos/SAS topology • Relevant SCD (System Control Diagram) • ESD test reports (24 month system and 6 month valve) • Safety Requirement Specification • Operating Manuals • Operating & Maintenance procedures • Maintenance program • Management of Change procedure • Modification procedures • System description





[--, -, 0, +, ++]

M 2.1 Operational / maintenance documentation: • Check that relevant operational/ maintenance documentation

including SEPA, is available and updated. • Check that assumptions are known and complied with and that

technical criteria used in VSKTB (ytelseskrav) are followed up. • Check that the applicable latest versions are used in CCR. • Check also that relevant personnel are familiar with relevant

documentation.

58





[--, -, 0, +, ++]

Comments: Design documentation: • Check that relevant design documentation is available and

updated. • Check that master archive is defined and that the documentation

in this archive is according to current design. • Check that most recent versions are used in CCR. Check also that

personnel are familiar with the system.

M 2.2

Comments:

• Check that changes/modifications to the ESD system is performed according to a written procedure (ref. Management of Change procedure) for initiation, documentation, review, approval and verified if necessary.

• Check that safety requirements and philosophies are adhered to and that safety assessment is performed prior to changes affecting system safety functions.

M 2.3

Comments:

Check competence/ qualification of maintenance personnel. M 2.4

Comments:

Check that personnel have proper knowledge and can prove apprehension and proper reaction on incoming alarms.

M 2.5

Comments:

59


M 3

Management (software control) A formal revision shall exist for firmware and application logic, and a procedure shall be available to ensure that changes of system parameters by operating personnel is not permitted unless authorised. Procedure for software control downloading and back-up shall be available and adhered to. The node book shall document this.





[--, -, 0, +, ++]

Check existence of formal software revision. Check that procedures for software control and back up control are followed.

M 3.1

Comments: Check that new/modification of functions are properly tested. M 3.2

Comments: Check that procedures are in place and adhered to regulating changes to safety critical parameters. Record of changes shall be available. Spot check that system parameters have not been changed in an “illegal” way.

M 3.3

Comments:

60

Req. fulfilled (Y, P, N, U) Change (Y, N, N/A) Safety consequence (--, -, 0, +, ++)

Result

C 1 CRIOP check points (selected points for illustration) Selected points from the CRIOP checklists are inluded, covering aspects from - Checklist 3: Control and safety systems (3 pts) - Checklist 4: Job organisation (3 pts) - Checklist 5: Procedures (4 pts) - Checklist 6: Training (3 pts)

These points are included to enhance the management aspects influencing barrier performance in general, and the ESD system in specific.





[--, -, 0, +, ++]

Is the shutdown logic available on VDUs (cause and effects)? (3.28) C 1.1

Comments: Has the operator been timely informed about the activation of a shut down function? (3.30)

C 1.2

Comments: Has the operator been timely informed about deviations when performing the shut down function? (3.31)

C 1.3

Comments:

C 1.4 Are tasks adequately allocated between operator and system? (4.3)

61





[--, -, 0, +, ++]

Comments: Is any bypass of the emergency shutdown system entered in a log book? (4.24)

C 1.5

Comments:

Are keys for operation of emergency shutdown system bypass switches kept in a locked cabinet?

C 1.6

Comments: Are the procedures available on-line, and in latest version? (5.3) C 1.7

Comments:

Are procedures checked routinely, compared with operator action and revised as appropriate? (5.8)

C 1.8

Comments: Are written bypass procedures provided for manual actions when automatic actions are unavailable? (5.12)

C 1.9

Comments:

62





[--, -, 0, +, ++]

Is any bypass of the emergency shutdown system authorized by a responsible person? (5.13)

C 1.10

Comments: Does the operator have the required qualification and competence to perform the task? (6.4)

C 1.11

Comments:

Do changes in requirements for task performance result in changes in training and training materials? (6.5)

C 1.12

Comments: a) Have training programs in the use and objectives of mimics and large screen displays been established? b) Are operators trained in the use and objectives of mimics and large screen displays?

C 1.13

Comments:

63


MS 1

Maintainability and maintenance support requirements (selected requirements for illustration) Selected requirements from a guideline on maintainability and maintenance support are inluded. Fulfillment of these requirements may reduce human error during maintenance of safety systems. The requirements are based to a large extent on interviews with maintenance personnel on offshore installations and refer to observed problems on these installations. Ref.: Bodsberg, L., Rosness, R, Øien, K. Guidelines for reduction of human errors during maintenance of safety systems; maintainability and maintenance support. SINTEF Report STF75 A93065.





[--, -, 0, +, ++]

Work space within panels should be sufficient to allow maintenance tasks to be performed without a risk of unintentionally affecting other parts of equipment. (50)

MS 1.1

Comments: Cabinets should have easy access for maintenance. (51) MS 1.2

Comments: It should be possible to remove and replace components or parts without disconnecting the power-circuit. (53)

MS 1.3

Comments:

MS 1.4 Test points for print-cards should be located on the front. (54)

64





[--, -, 0, +, ++]

Comments: For computer-based systems, provisions should be given for displaying cause & effect tables on visual display units. (62)

MS 1.5

Comments: Spare capacity for future software development should be considered during the design phase. (64)

MS 1.6

Comments: Extra computer nodes should be provided for test purposes. (65) MS 1.7

Comments: Computer-based systems should have simulation facilities which allow operators to examine the effects of planned changes in the logic, before the software programme of the master computer is modified. (66)

MS 1.8

Comments: The control logic of computer-based systems should have built-in test. (71)

MS 1.9

Comments:

MS 1.10 Fault location features should be provided on input/output cards. (72)

65





[--, -, 0, +, ++]

Comments: Replacement of input/output cards should be possible to do on-line. (74)

MS 1.11

Comments: Procedures for verification of system function after correction or modification should be established. (76)

MS 1.12

Comments:

66

Vedlegg C MTO-klassifisering av ytelseskravene Case 1: Gassdeteksjon Figur C.1 gir en oversikt over hvilke krav (på overskriftsnivå) som stilles til gassdeteksjons-systemet.

Gas detectionsystem

Integrity Survivability ManagementFunction

Design and coverageof detectors

Location of detectors

Calibration of detectors

Shutdown logic

Alarms and votingprinciples

Detection responsetime

Design, operation andmaint. of F&G logic

System independenceand SAS/DISCOS int.

Human-machineinterface (HMI)

Functionality of safetysystem (op., insp., ma.)

Safety critical function

Reliability andavailability criteria

Integrity

Deviations and non-conformance

Documentation

Software control

Vulnerability

Teknisk

Menneskelig

Organisatorisk

Påvirkes vedorganisatorisk endring

Kontroll av selve systemet(iboende funksjonalitet, pålitelighet, og sårbarhet)

Kontroll av bruk og vedlikehold av systemet(opprettholdelse av funksjonalitet, pålitelighet og robusthet)

Kontroll av tilrettelegging for drift og vedlikehold av systemet(organisering, ledelse, styring)

Figur C.1 Oversikt over ytelseskrav til gassdeteksjonssystemet m/ MTO-kategorisering Disse kravene er igjen kategorisert iht. MTO, med bruk av fargekoder, og det er gitt en kort forklaring til hva vi legger i hhv. tekniske, menneskelige og organisatoriske ytelseskrav. For å kategorisere det enkelte krav må man vurdere alle sjekkpunkter som inngår under det enkelte krav. Dersom et sjekkpunkt/kontroll er rettet mot iboende funksjonalitet, pålitelighet og sårbarhet/robusthet, så betraktes dette som et rent teknisk forhold. Er alle sjekkpunkter under et gitt krav av teknisk art, så er også selve kravet kun ”teknisk”.

67

Fortolkningen av hva som er teknisk, menneskelig eller organisatorisk er ikke alltid helt enkel, og i noen tilfeller er det viktig å lese selve kravet for å forstå hva man her er ute etter. (Et enkelt sjekkpunkt kan isolert sett se ut til f.eks å være ikke-teknisk, men det kan være at man ønsker å avdekke rent tekniske egenskaper.) Sjekkpunkter/kontroll av bruk og vedlikehold av systemet (opprettholdelse av funksjonalitet, pålitelighet og sårbarhet/robusthet) kategoriseres som et ”menneskelige” forhold. Her fokuseres det på ”frontlinjepersonellet”. Sjekkpunkter/kontroll av tilrettelegging for drift/vedlikehold av systemet (organisering, ledelse, styring, med mer) kategoriseres som ”organisatoriske” forhold. Av Figur C.1 framgår det at de fleste funksjonskravene til gassdeteksjonssystemet er tekniske, mens styringskravene naturlig nok er hovedsakelig organisatoriske. I noen tilfeller kan det være en blanding. Det er i figuren også indikert (med rød boks) hva som kan påvirkes ved en organisatorisk (ikke-teknisk) endring – eksempelvis nedbemanning. Dette gjelder krav som er av menneskelig og organisatorisk art. Figur C.2 viser hvilke krav det er behov for å ”endringsanalysere” dersom det er klart at endringen ikke påvirker utformingen av gassdeteksjonssystemet (det tekniske systemet). Det vil da være tilstrekkelig å fokusere på de 7 kravene som indirekte kan påvirke systemets ytelse.

Gas detectionsystem





Reliability andavailability criteria


Documentation

Software control

Figur C.2 Oversikt over M&O-krav til gassdeteksjonssystemet Fullstendig angivelse av de 7 M&O-kravene er gitt i Figur C.3.

68

Gas detection system

Integrity ManagementFunction


Functionality of safety system (op., insp., ma.)


Reliability and availability criteria


Documentation

Software control

Gas detectors shall be calibrated (or havepre-set sensitivity) to ensure that they do notunderestimate the present gas concentrations(point detectors) or gas amounts (open pathdetectors).

The F&G functions shall be operated,inspected and maintained so as to retain theirfunctional capability.

The gas detection system shall be fullyoperational whenever the installation is “live”,and appropriate testing of the system shall bepossible without interrupting operations, i.e.the following shall be in place:

Testing routines/devices for online testingSystem inhibits and overrides to be inaccordance with formal operatinginstructions/proceduresThe duration, number and compensatorymeasures shall be defined for equipmentthat is out of service (planned orunplanned)

Maintain reliability and availability criteria forgas detection functions.

Probability of failure upon demand (PFD) forthe gas detection system: SIL 2

Defined Safety Critical Errors:Initiation of alarms 0,5 %.Initiation of ESD 1,0%.Gas detector 2%.

Maximum test interval (see I1 forcompensatory measures):

Gas detectors: 12 monthlyGas detector, optical detector withoutself-test: 6 monthly

Maximum time to repair shall be less than 1%of test interval. Ref. SSS-23, 23.9.

Treatment of non-conformance shall beinitiated if the safety function is inaccessibleabove the limits specified above.

Deviations and non-conformances to be reported,registered and evaluated in a systemised manner inaccordance with WR0011 and with reporting in Synergi orDocMap as applicable.

Documentation to be available in a formal updated revisionthat reflect current design and operation;

Safety & Emergency Preparedness AnalysisFire and Explosion Strategy/ Safety Strategy / SafetySystem Phil.Design Accidental Load Spec (DAL)Modification proceduresCause and effect diagramOverall logic shutdown level hierarchyF&G node logbookFire protection data sheetsDiscos/SAS topologySAP F&G PM Technical HistorySafety Requirement SpecificationLoop DiagramsF&G layout“Aksjonsliste ved gass alarm” Operating & Maintenance proceduresOperating ManualsMaintenance programManagement of Change proceduresSystem description

A formal revision shall exist for firmware and applicationlogic, and a procedure shall be available to ensure thatchanges of system parameters by operating personnel isnot permitted unless authorised.

Procedure for software control downloading and back-upshall be available and adhered to. The node book shalldocument this.

Figur C.3 Fullstendige M&O-krav til gassdeteksjonssystemet Figur C.4 viser sjekkpunktene (inntil 5 sjekkpunkter per krav) for de 7 M&O-kravene, med unntak av Software control. Disse sjekkpunktene (minus de fire blå/tekniske under reliability and availability criteria) må vurderes ved endringsanalysen, gitt at selve gassdeteksjonssystemet ikke endres. Dette utgjør 22 av totalt 61 sjekkpunkter. Antall sjekkpunkter er dermed redusert med ca. 2/3.

69

Gas detection system

Integrity ManagementFunction


Functionality of safety system (op., insp., ma.)


Reliability and availability criteria


Documentation

Software control

Check and compare pre-set sensitivity of IR-detectors with sensitivity for actual process gases/vapours.

Check calibration routines, e.g. reflects relativeresponse between test gas (methane) and actualgas.Check if spot checks are carried out where gasdetectors are directly (i.e not through test tube)exposed to test gas.

Check contents and revision of maintenance,testing, inspection and repair program and that it islived up to.

a) Test method, procedure and frequency.b) Check maintenance backlog.c) Documentation of tests.d) Follow-up of findings.e) Are changes to inspection, test and maintenanceinterval subject to a proper safety assessment andformal approval?

Check that the system does not generate spurious/false alarms and operates without any significantfaults present.

Check that instructions/procedures for use andcontrol of inhibits and overrides, blockings are inplace, e.g.:a) That Control Room has overview of all inhibits/

overrides/blockings?b) That risk compensating measures are identifiedc) That safety system is brought back to normal

operation mode when job is finishedd) That operational leader and responsible have

assessed the need for inhibits/overrides (E.g.NHO-DB08-P06 )

Check that personnel have proper competence tooperate and maintain the system in all operationconditions (including emergency situations andnumber of personnel with necessary competence).

Check routines for handling of non-conformance,observation, deviation and temporary contingencymeasures.

Check that suitable routines/devices for onlinetesting are available.

Check extent of overrides (override log) andpossible equipment taken out of service withrespect to fulfil the barrier philosophy:

Check extent of overrides and possibleequipment taken out of service.Check that all overrides in connection withtesting/ maintenance are register in WorkPermits.An overview of all overrides shall beavailable in the CCR.

Check that gas detectors that are overridden or arein fault are treated as if they are in alarm.

Gas detection system shall have high reliability.The reliability should be verified by use of PDS(Pålitelighet av datamaskin basertesikkerhetssystemer) or similar calculationmethods. Ref. NORSOK I-002, 4.2.2.

Check possible reliability/availability calculations/reports.

Check inspection, maintenance, test andcalibration records (SAP, REH / Synergi)

Check for the existence of outstanding recommendations orpending implementation of management decisions with respectto gas detection systems. E.g. studies, verification reports,Synergi, HAZOP, FMECA/Fault tree and vulnerability studies.

Check extent of replacement

Check that relevant SSS-23 requirements arefollowed up and met.Check F&G for follow-up of safety criticalerrors, with respect to downtime.

Check that there is a deviation, observation and non-conformance reporting system and to what extent this system isused for reporting of failures and findings in connection with PM(Preventive Maintenance) or other activities.

Check that all identified deviations or non-conformances areclosed and that required corrective or compensating measuresare implemented.

If not closed, check that defined compensating measures havebeen implemented.

Check that all pending comments given during the verificationprocess carried out by a third party or internal are closed.

Operational/ maintenance documentation:Check that relevant operational/ maintenance documentationincluding SEPA, is available and updatedCheck that assumptions are known and complied with andthat technical criteria used in VSKTB (ytelseskrav) arefollowed up.Check that the applicable latest versions are used in CCR.Check also that relevant personnel are familiar with relevantdocumentation.

Design documentation:Check that relevant design documentation is available andupdated.Check that master archive is defined and that thedocumentation in this archive is according to current design.Check that most recent versions are used in CCR. Checkalso that personnel are familiar with the system.

Check that changes/modifications to the F&G System areperformed according to a written procedure (ref.Management of Change procedure) for initiation,documentation, review, approval and verified if necessary.Check that safety requirements and philosophies are adheredto and that safety assessment is performed prior to changesaffecting system safety functions (such as set-points,hardware, firmware and application logic)

Check competence/ qualification of maintenance personnel.Check existence, knowledge of and adherence to installationspecific work requirements / procedures for the gas detectionsystem.Check that personnel have proper knowledge and can proveapprehension and proper reaction on incoming alarms. (e.g.“Alarminstruks”)

…. Figur C.4 Sjekkpunktene for M&O-ytelseskravene til gassdeteksjonssystemet

70

Case 2: Containment For containment-barrieren er situasjonen noe annerledes ved at det i større grad er fokus på menneskelige og organisatoriske forhold og ikke kun tekniske. Her er altså alle kravene en blanding av tekniske, menneskelige og/eller organisatoriske krav, slik det framgår av Figur C.5.

Containmentfunction


Integrity of piping andvessels

Integrity of flexiblerisers and jumpers

Integrity of inlineinstrumentation

Integrity of valves

Integrity of flanges andmechanical connections

Integrity of rotatingmachinery



Documentationmanagement

Vulnerability (covered by PS9a, PS 10, PS 8, PS 15, PS16 & PS19)

Teknisk

Menneskelig

Organisatorisk

Påvirkes vedorganisatorisk endring

Kontroll av selve systemet(iboende funksjonalitet, pålitelighet, og sårbarhet)

Kontroll av bruk og vedlikehold av systemet(opprettholdelse av funksjonalitet, pålitelighet og robusthet)

Kontroll av tilrettelegging for drift og vedlikehold av systemet(organisering, ledelse, styring)

No special integrityrequirements

Figur C.5 Oversikt over ytelseskrav (overskrifter) til containment-barrieren Det er derfor ingen krav til containment-barrieren som kan ”screenes” vekk på dette nivået (gitt at det ikke er noen fysiske/tekniske endringer ved containment). For containment-barrieren vil kun enkelte sjekkpunkter være av rent teknisk art, og dermed kunne utgå ved en endringsanalyse knyttet til en organisatorisk endring. I alt 7 av totalt 45 sjekkpunkter er rene tekniske forhold.

Documents

BEA rapport endelig pen - SINTEF · 2014. 11. 17. · Besøksadresse: S P Andersens veg 5 7031 Trondheim Telefon: 73 59 27 56 Telefaks: 73 59 28 96 Foretaksregisteret: NO 948 007