Ulike verktøy for styring av storulykker

Deepwater Horizon - sikkerhet i drift
Om styring av storulykkesrisiko i drift
Børre Johan Paaske
13. september 2011
Storulykker innen olje- og gass-industrien
- Historikk
- Betydning for oljebransjens sikkerhetsstyring
Deepwater Horizon og utblåsningen fra
Macondo-brønnen
Styring av storulykkesrisiko i drift:
- Organisatoriske faktorer og CRM
- Barrierestyring og risikoindikatorer
13. september 2011
© Det Norske Veritas AS. All rights reserved.
2
Konsekvenser av store ulykker - eksempler (forenklet)
 Alexander Kielland – strukturell redundans
 Exxon Valdez – doble skrog
 Piper Alpha – risikometodikk “safety case”
 Texas city – sikkerhet for prosessindustrien
 Scandinavian Star - mordparagraf
 MACONDO UTBLÅSNINGEN ?
13. september 2011
© Det Norske Veritas AS. All rights reserved.
3
Storulykkesrisiko
Arbeidsulykkesrisiko
Hovedkarakteristika:
Hovedkarakteristika :
• Multi-lineær hendelseskjede
• Lineær hendelseskjede
• Kompleks årsakssammenheng
• Enklere årsakssammenheng
• Potensielle katastrofale konsekvenser
• Vanligvis begrensede konsekvenser
• Potensial for spredning/eskalering
13. september 2011
© Det Norske Veritas AS. All rights reserved.
4
Hva olje- og gassindustrien har og ikke har fått til
Over the last 20 years the industry has
attained a step change (factor of ten)
improvement in occupational safety

North Sea major accident safety has improved
- No major disaster since introduction of Safety
Case / risk based legislation in UK / Norway (leaks
have occurred, but none escalated)
- Reducing trend in major hydrocarbon leaks
- Factor of 10 in last 13 years – UK HSE Database
- “What doesn’t leak can’t explode…”
13. september 2011
© Det Norske Veritas AS. All rights reserved.
5
BP
Chevron Texaco
Concawe
ConocoPhillips
2
Dow
DuPont
ExxonMobil
OMV
1
Shell
Trend Line
05
20
03
20
01
20
99
19
97
0
19
- Neither EU nor USA has demonstrated significant
improvements for onshore major accidents (OSHA
PSM, EU Seveso Directive)
- Chemical Safety Board and Baker Panel
highlighted after Texas City that Process Safety
(major accidents) and Occupational Safety
(personal accidents) are NOT the same
Bayer
3
95
USA and EU Process Industry
API
19

4
93
- Graph shows factor of 3 in last 10 years
Incidents per 200,000 work hours
5
19

Texas City ulykken lærte oss at det er andre mekanismer som
styrer storulykkesrisiko enn arbeidsulykkesrisiko
Prosess safety management
Personal safety management
13. september 2011
© Det Norske Veritas AS. All rights reserved.
6
Petroleumstilsynet har laget indikatorer for storulykkesrisiko
på norsk sokkel
PTIL: Risikonivå i norsk petroleumsvirksomhet 2010
Increase in:
•Well control incidents (Green)
•Hydro carbon leakages (blue)
•Large scale accident indicators
13. september 2011
© Det Norske Veritas AS. All rights reserved.
7
Deepwater Horizon og utblåsningen fra
Macondo-brønnen
13. september 2011
Offshore boring
Illustrasjon: Salazar-report,
US Departement of Interior, 2010
13. september 2011
© Det Norske Veritas AS. All rights reserved.
9
20. April 2010
11 omkommet – 17 skadet
Største oljeutslipp I USAs historie
13. september 2011
© Det Norske Veritas AS. All rights reserved.
10
8 barrierer ble brutt under Deepwater Horizon-ulykken
Ref: “BP Deepwater Horizon Accident Investigation Static Presentation, 2010”
13. september 2011
© Det Norske Veritas AS. All rights reserved.
11
Address Technical, Human and Organizational Factors
 This lesson has been clearly learned from many past disasters
- Esso Longford Fire / Texas City Explosion / Three Mile Island / NASA
Challenger
 Purely technical solutions do not address all important failure modes
particularly in people & business process areas
 A step change will require all three aspects:
Technical, Human and Organizational
13. september 2011
© Det Norske Veritas AS. All rights reserved.
12
Macondo Well Responsibilities – Major Parties Involved
 Leasing, exploration plan approval, application for permit to drill and permits to
modify well design – Minerals Management Service (MMS)
 Lease operation, well design and overseeing contractors – BP
 Engineering services, cement design and testing – Halliburton
 Rig Operation, maintenance and testing – Transocean
 BOP maintenance and testing – Transocean
 Drilling mud specs and supervision – M-I SWACO
 Mud-logging equipment and personnel – Sperry Sun (Halliburton)
 Casing components (float collar, shoe and centralizers) – Weatherford
 Wellhead equipment and installation supervision – Dril-Quip
 ROV equipment and personnel - Oceaneering
Responsibilities according to BP Deepwater Horizon Accident Investigation Report
13. september 2011
© Det Norske Veritas AS. All rights reserved.
13
Clear Operational Roles and Responsibilities
 Offshore operations involve many parties
- Owner, operator, contractors, independent 3rd parties
 The Operator owns the overall risk and the Safety case
- The regulator may “accept” a safety case, but does not usually “approve” it
 Bow Tie risk model clearly identifies responsibilities for maintaining barriers at
specified performance level
Business Processes
Operations
Maintenance
Inspection
Outcome 1
Top
Event
Threat 2
Threat 3
Outcome 2
Safeguard
Safety Critical Element
13. september 2011
© Det Norske Veritas AS. All rights reserved.
Consequences
Hazard
Threat 1
14
Responsible Person
Barriers Breached and the Relationship of Barriers to the Critical Factors
Ref: “BP Deepwater Horizon Accident Investigation Report, 2010”
13. september 2011
© Det Norske Veritas AS. All rights reserved.
15
Typer av barrierer
 Hva er en barriere?
- Tekniske, operasjonelle og organisatoriske tiltak som hver for seg, eller i samspill, skal
hindre eller bryte spesifiserte uønskede hendelsesforløp.
- Barrierer kan være både sannsynlighetsreduserende og konsekvensreduserende.
Barrierer
Menneskelige
barrierer
Tekniske
barrierer
1613.
- september
Classification:
2011 Internal
Menneskelige
barrierer
Tekniske
barrierer
Organisatoriske
barrierer
2010-06-16
© Det Norske Veritas AS. All rights reserved.
16
Organisatoriske
barrierer
Styring av storulykkesrisiko
Identifisere
storulykkes
scenariene
Etablere/ identifisere
barrierer
Etablere/ identifisere
indikatorer
Utførelse
Rapportering
Oppfølging av
indikatorer
Kompetanse
Identifisere storulykkescenariene, årsak og konsekvens
Identifisere/ etablere barrierer for storulykkesrisiko og krav til barrierer
(Styringsforskriften, paragraf 5)
Etablere indikatorer for storulykker, inkl. indikatorer som beskriver status på
Barrierene (Styringsforskriften, paragraf 10)
Utføre aktiviteter for å opprettholde anleggets tekniske
og operasjonelle integritet
Rapportering av status på indikatorene, storulykke revisjon, myndighets revisjon
Tolkning av resultater fra rapportering, beslutte korrigerende tiltak,
oppfølging og eventuelt justering av disse tiltakene
Kompetanse i forhold til storulykke, barrierer, granskning, erfaringsoverføring
13. september 2011
© Det Norske Veritas AS. All rights reserved.
17
En strategi for barrierestyring – Beste praksis
QRA
Safety
Case
Safety
Studies
RBI
RCM
SIL
HAZID
HAZOP
Functionality
-
Are the systems designed to
meet requirements?
Availability/Reliability
Rules,
Standards,
Class, etc
-
PS
Will it function when
required?
Survivability
-
Will it withstand the impact of
the accident that it is
required to protect against?
Management
Define &
Implement &
Document
Verify &
Review
Status
8. Competence & Capacity Building
7. Continuous Improvement
SPS’s, Methodology, Work Process
1. High Level
Planning
·
·
Timings
Milestones
2. Detailed
Planning
·
·
·
Resources
Timings
Practical
Arrangements
3. Barrier
Performance
Review
·
·
·
·
Doc. Review
Interviews
Inspections
Testing
4. Quality
Assurance
·
·
QA of Results
Ensure
Consistency
5. Prioritise Gap
Closure
·
·
Prioritise Gaps
Prioritise Actions
Database
5 Year
Plan
Timing
Duration
Detailed
Detailed
Plan
Detailed
Plan
Plan
-6 months
6. Follow-up
·
·
Findings
Corrective
Actions
SMART
Review
Review
Report
Review
Report
Report
0
3 weeks
w. 4
w. 5
3 days
1 week
w. 6 -
Follow-up & Continuous
Improvement
13. september 2011
© Det Norske Veritas AS. All rights reserved.
18
Monitor &
Communicate
-
Are the systems adequately
maintained and managed?
Eksempel: system for automatisk oppfølging av indikatorer
Installasjon
Installasjon
Logikk
Indikator
kategori
Indikator
Inspeksjon
Inspeksjon
• System 1
• System 2
•…
• System n
Testing
Testing
• Gass det.
• Brann det.
• ESD vent.
• Etc.
Oppfølging
• Utest. insp.
• Utest. test.
• Audit funn
• Etc.
13. september 2011
© Det Norske Veritas AS. All rights reserved.
Oppfølging
19
Vekting
+
logikk
Eksempler på indikatorer og datakilder
 Totalt KV på sikkerhetskritisk utstyr
Vedlikeholdsprogram
 # feil/ # tester (sikkerhetskritisk utstyr)
 Funn ved inspeksjon på sikkerhetskritisk utstyr
Inspeksjonsprogram
Etc.
 Antall overbroinger av sikkerhetskritisk utstyr
 Åpne kritiske funn fra auditer
Datakilder
 Utestående FV på sikkerhetskritisk utstyr
Driftsdata
Øvelser
 Utestående testing av sikkerhetskritisk utstyr
 Utestående inspeksjon på sikkerhetskritisk
utstyr
 Utestående modifikasjoner på sikkerhetskritisk
utstyr
 Ulykker/hendelser med barrierebrudd og/eller
som potensialet for eskalering
13. september 2011
© Det Norske Veritas AS. All rights reserved.
20
Opplæring
Ulykkes- og
Hendelsesrapportering
Indikatorer – på ulike nivåer
Layout
Integritet (lekkasjesikring)
Ventilasjon
Gassdeteksjon
 Fremstilling/visualisering
Nødavstenging (NAS/ESD)
Åpen drenering
Tennkildekontroll
6
Branndeteksjon
5
 Automatisk datafangst
4
Ind 1
Ind 2
3
Ind 3
Ind 4
Ind 5
2
 Enkelt indikatorer
 Aggregering av indikatorer
 Oversiktsbilde
 Trending
13. september 2011
© Det Norske Veritas AS. All rights reserved.
21
Passiv brannbeskyttelse
Nødstrøm og nødbelysning
Prosess sikkerhet (PAS)
Alarm og nødkommunikasjon
1
 Automatisk score vs. manuell vurdering
Nedblåsning
Aktiv brannbekjempelse
0
jan
feb
mar
apr
mai
jun
jul
aug
sep
okt
nov
des
Rømning og evakuering
Menneske maskin grensesnitt (HMI)
Vedlikeholdsstyring og sikkerhetsstyring hånd i hånd
Styring av storulykkesrisiko
OPERATE
COMMISSION
Policy & Strategic
Objectives
INSPECT
CORROSION
MANAGEMENT
QA/QC
ASSET INTEGRITY
MANAGEMENT SYSTEM
BUILD
Leadership &
Commitment
MAINTAIN
Implementation &
Monitoring
REVIEW/
IMPROVE
PROCURE
DESIGN
Learning
for future
projects
Organisation,
Resources &
Documentation
Review
CHANGE
Evaluation & Risk
Management
Planning
DECOMMISSION
DISPOSE
CONCEPT
Asset management system,
HSE Management
Technical equipment
Organization/procedures
13. september 2011
© Det Norske Veritas AS. All rights reserved.
22
Dilemmaer
1. Aggregering til en indikator - nyttig verdi eller kun et
gjennomsnitt?
En
sammenKPI
satt
2. Indikatorpanel – ”spill for galleriet” eller aktiv bruk?
3. Fokus fra ledelsen – fornuftig oppfølging eller
”tidstyver”?
Indikatorer på
systemnivå
Indikatorer på utstyrsnivå
4. Resultatene – tror vi på de og mener vi at det er
riktige indikatorer eller ikke?
5. ”Det riktige bilde” – ser vi viktige sammenhenger eller
ser vi kun enkelt feil/mangler?
6. Utvalget – er det for snevert eller klarer vi å få med
”hele bildet”, MTO?
13. september 2011
© Det Norske Veritas AS. All rights reserved.
23
Teknologi
utstyr, teknologi
Sikkerhet
Organisasjon
standarder,
prosedyrer
Menneskelig
kunnskap,
ferdigheter, kultur
Suksesskriterier for implementering av storulykkesindikatorer
Organisasjon
Ledelses
engasjement
Felles forståelse
av storulykke,
barrierer etc
Eierskap
Endringsvilje
Individ
Suksess
kriterier
Ansvarsfordeling
og oppfølging
Tilstedeværelse i
beslutningsmøter
God
sikkerhetskultur
13. september 2011
© Det Norske Veritas AS. All rights reserved.
Tilgjengelighet
av informasjon
24
Oppsummering: Kunne Deepwater Horizon ulykken vært unngått
dersom et robust indikatorsystem hadde vært på plass?
 For å oppnå god risikostyring i drift er
det nødvendig at sikkerhetsbarrierenes
betydning og tilstand er kjent
 Man kan drømme om å ha en indikator for
storulykkerisiko…
 …men sannsynligvis må vi ha et ganske
komplekst indikatorsystem og vi må ha en
organisasjon rundt som bruker systemet:
- tolker informasjonen rett
- tar de riktige beslutningene
- gjennomfører tiltak
 Med en god forståelse for barrierene og tett
oppfølging av integriteten til barrierene, vil
risiko for storulykker reduseres
13. september 2011
© Det Norske Veritas AS. All rights reserved.
25
Kommentarer eller spørsmål?
13. september 2011
© Det Norske Veritas AS. All rights reserved.
26
Safeguarding life, property
and the environment
www.dnv.com
13. september 2011
© Det Norske Veritas AS. All rights reserved.
27