Deepwater Horizon - sikkerhet i drift Om styring av storulykkesrisiko i drift Børre Johan Paaske 13. september 2011 Storulykker innen olje- og gass-industrien - Historikk - Betydning for oljebransjens sikkerhetsstyring Deepwater Horizon og utblåsningen fra Macondo-brønnen Styring av storulykkesrisiko i drift: - Organisatoriske faktorer og CRM - Barrierestyring og risikoindikatorer 13. september 2011 © Det Norske Veritas AS. All rights reserved. 2 Konsekvenser av store ulykker - eksempler (forenklet) Alexander Kielland – strukturell redundans Exxon Valdez – doble skrog Piper Alpha – risikometodikk “safety case” Texas city – sikkerhet for prosessindustrien Scandinavian Star - mordparagraf MACONDO UTBLÅSNINGEN ? 13. september 2011 © Det Norske Veritas AS. All rights reserved. 3 Storulykkesrisiko Arbeidsulykkesrisiko Hovedkarakteristika: Hovedkarakteristika : • Multi-lineær hendelseskjede • Lineær hendelseskjede • Kompleks årsakssammenheng • Enklere årsakssammenheng • Potensielle katastrofale konsekvenser • Vanligvis begrensede konsekvenser • Potensial for spredning/eskalering 13. september 2011 © Det Norske Veritas AS. All rights reserved. 4 Hva olje- og gassindustrien har og ikke har fått til Over the last 20 years the industry has attained a step change (factor of ten) improvement in occupational safety North Sea major accident safety has improved - No major disaster since introduction of Safety Case / risk based legislation in UK / Norway (leaks have occurred, but none escalated) - Reducing trend in major hydrocarbon leaks - Factor of 10 in last 13 years – UK HSE Database - “What doesn’t leak can’t explode…” 13. september 2011 © Det Norske Veritas AS. All rights reserved. 5 BP Chevron Texaco Concawe ConocoPhillips 2 Dow DuPont ExxonMobil OMV 1 Shell Trend Line 05 20 03 20 01 20 99 19 97 0 19 - Neither EU nor USA has demonstrated significant improvements for onshore major accidents (OSHA PSM, EU Seveso Directive) - Chemical Safety Board and Baker Panel highlighted after Texas City that Process Safety (major accidents) and Occupational Safety (personal accidents) are NOT the same Bayer 3 95 USA and EU Process Industry API 19 4 93 - Graph shows factor of 3 in last 10 years Incidents per 200,000 work hours 5 19 Texas City ulykken lærte oss at det er andre mekanismer som styrer storulykkesrisiko enn arbeidsulykkesrisiko Prosess safety management Personal safety management 13. september 2011 © Det Norske Veritas AS. All rights reserved. 6 Petroleumstilsynet har laget indikatorer for storulykkesrisiko på norsk sokkel PTIL: Risikonivå i norsk petroleumsvirksomhet 2010 Increase in: •Well control incidents (Green) •Hydro carbon leakages (blue) •Large scale accident indicators 13. september 2011 © Det Norske Veritas AS. All rights reserved. 7 Deepwater Horizon og utblåsningen fra Macondo-brønnen 13. september 2011 Offshore boring Illustrasjon: Salazar-report, US Departement of Interior, 2010 13. september 2011 © Det Norske Veritas AS. All rights reserved. 9 20. April 2010 11 omkommet – 17 skadet Største oljeutslipp I USAs historie 13. september 2011 © Det Norske Veritas AS. All rights reserved. 10 8 barrierer ble brutt under Deepwater Horizon-ulykken Ref: “BP Deepwater Horizon Accident Investigation Static Presentation, 2010” 13. september 2011 © Det Norske Veritas AS. All rights reserved. 11 Address Technical, Human and Organizational Factors This lesson has been clearly learned from many past disasters - Esso Longford Fire / Texas City Explosion / Three Mile Island / NASA Challenger Purely technical solutions do not address all important failure modes particularly in people & business process areas A step change will require all three aspects: Technical, Human and Organizational 13. september 2011 © Det Norske Veritas AS. All rights reserved. 12 Macondo Well Responsibilities – Major Parties Involved Leasing, exploration plan approval, application for permit to drill and permits to modify well design – Minerals Management Service (MMS) Lease operation, well design and overseeing contractors – BP Engineering services, cement design and testing – Halliburton Rig Operation, maintenance and testing – Transocean BOP maintenance and testing – Transocean Drilling mud specs and supervision – M-I SWACO Mud-logging equipment and personnel – Sperry Sun (Halliburton) Casing components (float collar, shoe and centralizers) – Weatherford Wellhead equipment and installation supervision – Dril-Quip ROV equipment and personnel - Oceaneering Responsibilities according to BP Deepwater Horizon Accident Investigation Report 13. september 2011 © Det Norske Veritas AS. All rights reserved. 13 Clear Operational Roles and Responsibilities Offshore operations involve many parties - Owner, operator, contractors, independent 3rd parties The Operator owns the overall risk and the Safety case - The regulator may “accept” a safety case, but does not usually “approve” it Bow Tie risk model clearly identifies responsibilities for maintaining barriers at specified performance level Business Processes Operations Maintenance Inspection Outcome 1 Top Event Threat 2 Threat 3 Outcome 2 Safeguard Safety Critical Element 13. september 2011 © Det Norske Veritas AS. All rights reserved. Consequences Hazard Threat 1 14 Responsible Person Barriers Breached and the Relationship of Barriers to the Critical Factors Ref: “BP Deepwater Horizon Accident Investigation Report, 2010” 13. september 2011 © Det Norske Veritas AS. All rights reserved. 15 Typer av barrierer Hva er en barriere? - Tekniske, operasjonelle og organisatoriske tiltak som hver for seg, eller i samspill, skal hindre eller bryte spesifiserte uønskede hendelsesforløp. - Barrierer kan være både sannsynlighetsreduserende og konsekvensreduserende. Barrierer Menneskelige barrierer Tekniske barrierer 1613. - september Classification: 2011 Internal Menneskelige barrierer Tekniske barrierer Organisatoriske barrierer 2010-06-16 © Det Norske Veritas AS. All rights reserved. 16 Organisatoriske barrierer Styring av storulykkesrisiko Identifisere storulykkes scenariene Etablere/ identifisere barrierer Etablere/ identifisere indikatorer Utførelse Rapportering Oppfølging av indikatorer Kompetanse Identifisere storulykkescenariene, årsak og konsekvens Identifisere/ etablere barrierer for storulykkesrisiko og krav til barrierer (Styringsforskriften, paragraf 5) Etablere indikatorer for storulykker, inkl. indikatorer som beskriver status på Barrierene (Styringsforskriften, paragraf 10) Utføre aktiviteter for å opprettholde anleggets tekniske og operasjonelle integritet Rapportering av status på indikatorene, storulykke revisjon, myndighets revisjon Tolkning av resultater fra rapportering, beslutte korrigerende tiltak, oppfølging og eventuelt justering av disse tiltakene Kompetanse i forhold til storulykke, barrierer, granskning, erfaringsoverføring 13. september 2011 © Det Norske Veritas AS. All rights reserved. 17 En strategi for barrierestyring – Beste praksis QRA Safety Case Safety Studies RBI RCM SIL HAZID HAZOP Functionality - Are the systems designed to meet requirements? Availability/Reliability Rules, Standards, Class, etc - PS Will it function when required? Survivability - Will it withstand the impact of the accident that it is required to protect against? Management Define & Implement & Document Verify & Review Status 8. Competence & Capacity Building 7. Continuous Improvement SPS’s, Methodology, Work Process 1. High Level Planning · · Timings Milestones 2. Detailed Planning · · · Resources Timings Practical Arrangements 3. Barrier Performance Review · · · · Doc. Review Interviews Inspections Testing 4. Quality Assurance · · QA of Results Ensure Consistency 5. Prioritise Gap Closure · · Prioritise Gaps Prioritise Actions Database 5 Year Plan Timing Duration Detailed Detailed Plan Detailed Plan Plan -6 months 6. Follow-up · · Findings Corrective Actions SMART Review Review Report Review Report Report 0 3 weeks w. 4 w. 5 3 days 1 week w. 6 - Follow-up & Continuous Improvement 13. september 2011 © Det Norske Veritas AS. All rights reserved. 18 Monitor & Communicate - Are the systems adequately maintained and managed? Eksempel: system for automatisk oppfølging av indikatorer Installasjon Installasjon Logikk Indikator kategori Indikator Inspeksjon Inspeksjon • System 1 • System 2 •… • System n Testing Testing • Gass det. • Brann det. • ESD vent. • Etc. Oppfølging • Utest. insp. • Utest. test. • Audit funn • Etc. 13. september 2011 © Det Norske Veritas AS. All rights reserved. Oppfølging 19 Vekting + logikk Eksempler på indikatorer og datakilder Totalt KV på sikkerhetskritisk utstyr Vedlikeholdsprogram # feil/ # tester (sikkerhetskritisk utstyr) Funn ved inspeksjon på sikkerhetskritisk utstyr Inspeksjonsprogram Etc. Antall overbroinger av sikkerhetskritisk utstyr Åpne kritiske funn fra auditer Datakilder Utestående FV på sikkerhetskritisk utstyr Driftsdata Øvelser Utestående testing av sikkerhetskritisk utstyr Utestående inspeksjon på sikkerhetskritisk utstyr Utestående modifikasjoner på sikkerhetskritisk utstyr Ulykker/hendelser med barrierebrudd og/eller som potensialet for eskalering 13. september 2011 © Det Norske Veritas AS. All rights reserved. 20 Opplæring Ulykkes- og Hendelsesrapportering Indikatorer – på ulike nivåer Layout Integritet (lekkasjesikring) Ventilasjon Gassdeteksjon Fremstilling/visualisering Nødavstenging (NAS/ESD) Åpen drenering Tennkildekontroll 6 Branndeteksjon 5 Automatisk datafangst 4 Ind 1 Ind 2 3 Ind 3 Ind 4 Ind 5 2 Enkelt indikatorer Aggregering av indikatorer Oversiktsbilde Trending 13. september 2011 © Det Norske Veritas AS. All rights reserved. 21 Passiv brannbeskyttelse Nødstrøm og nødbelysning Prosess sikkerhet (PAS) Alarm og nødkommunikasjon 1 Automatisk score vs. manuell vurdering Nedblåsning Aktiv brannbekjempelse 0 jan feb mar apr mai jun jul aug sep okt nov des Rømning og evakuering Menneske maskin grensesnitt (HMI) Vedlikeholdsstyring og sikkerhetsstyring hånd i hånd Styring av storulykkesrisiko OPERATE COMMISSION Policy & Strategic Objectives INSPECT CORROSION MANAGEMENT QA/QC ASSET INTEGRITY MANAGEMENT SYSTEM BUILD Leadership & Commitment MAINTAIN Implementation & Monitoring REVIEW/ IMPROVE PROCURE DESIGN Learning for future projects Organisation, Resources & Documentation Review CHANGE Evaluation & Risk Management Planning DECOMMISSION DISPOSE CONCEPT Asset management system, HSE Management Technical equipment Organization/procedures 13. september 2011 © Det Norske Veritas AS. All rights reserved. 22 Dilemmaer 1. Aggregering til en indikator - nyttig verdi eller kun et gjennomsnitt? En sammenKPI satt 2. Indikatorpanel – ”spill for galleriet” eller aktiv bruk? 3. Fokus fra ledelsen – fornuftig oppfølging eller ”tidstyver”? Indikatorer på systemnivå Indikatorer på utstyrsnivå 4. Resultatene – tror vi på de og mener vi at det er riktige indikatorer eller ikke? 5. ”Det riktige bilde” – ser vi viktige sammenhenger eller ser vi kun enkelt feil/mangler? 6. Utvalget – er det for snevert eller klarer vi å få med ”hele bildet”, MTO? 13. september 2011 © Det Norske Veritas AS. All rights reserved. 23 Teknologi utstyr, teknologi Sikkerhet Organisasjon standarder, prosedyrer Menneskelig kunnskap, ferdigheter, kultur Suksesskriterier for implementering av storulykkesindikatorer Organisasjon Ledelses engasjement Felles forståelse av storulykke, barrierer etc Eierskap Endringsvilje Individ Suksess kriterier Ansvarsfordeling og oppfølging Tilstedeværelse i beslutningsmøter God sikkerhetskultur 13. september 2011 © Det Norske Veritas AS. All rights reserved. Tilgjengelighet av informasjon 24 Oppsummering: Kunne Deepwater Horizon ulykken vært unngått dersom et robust indikatorsystem hadde vært på plass? For å oppnå god risikostyring i drift er det nødvendig at sikkerhetsbarrierenes betydning og tilstand er kjent Man kan drømme om å ha en indikator for storulykkerisiko… …men sannsynligvis må vi ha et ganske komplekst indikatorsystem og vi må ha en organisasjon rundt som bruker systemet: - tolker informasjonen rett - tar de riktige beslutningene - gjennomfører tiltak Med en god forståelse for barrierene og tett oppfølging av integriteten til barrierene, vil risiko for storulykker reduseres 13. september 2011 © Det Norske Veritas AS. All rights reserved. 25 Kommentarer eller spørsmål? 13. september 2011 © Det Norske Veritas AS. All rights reserved. 26 Safeguarding life, property and the environment www.dnv.com 13. september 2011 © Det Norske Veritas AS. All rights reserved. 27