Indikatorer for risiko- og barrierestyring - SINTEF · API RP14: “Analysis, design, installation...
-
Upload
truongxuyen -
Category
Documents
-
view
219 -
download
0
Transcript of Indikatorer for risiko- og barrierestyring - SINTEF · API RP14: “Analysis, design, installation...
Teknologi og samfunn 1
Indikatorer for risiko- og barrierestyring
Lars Bodsberg
Forskningssjef
SINTEF Teknologi og samfunn [email protected]
www.sintef.no
Sikkerhetssystemkonferansen 2012 25-26 november 2012,
Park Inn Oslo Airport Hotel, Gardermoen
Teknologi og samfunn
Indikatorer for risiko- og barrierestyring
Indikatorer og risikostyring
Ulykkesmodeller
Barrierestyring
Resilience – en alternativ tilnærming
Metoder for utvikling av indikatorer
Eksempel - indikatorer bore-scenario.
2
Teknologi og samfunn
Hva er en indikator?
Ordet kommer fra verbet indikere som betyr å anvise, angi
En indikator gir et forenklet signal om en tilstand eller endring i
tilstand.
Vi bruker gjerne indikatorer når fenomenet i seg selv er for
komplisert eller for kostbart å måle direkte (målbar størrelse)
En vanlig definisjon er
”et observerbart fenomen som viser tilstanden vedrørende et
annet, ikke direkte observerbart fenomen”
3
Teknologi og samfunn
Hva er risiko?
Svært mange forskjellige definisjoner
Uttrykk for den fare som uønskede hendelser
representerer
Uttrykkes gjerne ved en kombinasjon av sannsynlighet for
skade og alvorlighetsgraden av skaden
Mulig tap
4
Teknologi og samfunn 5
Balanse mellom produksjon og
beskyttelse
Kilde: James Reason (1998)
Beskyttelse
Produksjon
Teknologi og samfunn 6
Fra hendelsesbasert til risikobasert styring Fritt etter Jens Rasmussen
Skadeomfang
Hyppig
het
Arbeidsulykker Armbrudd
Drukning
Storulykker Åsta
Sleipner
Katastrofer Fukushima
Deepwater Horizon
Epidemiologisk:
Lær av statistikk!
Hendelsesbasert:
Lær av
enkelthendelser!
Risikobasert:
Løs problemene
før de fører til
en ulykke!
Teknologi og samfunn 7
Heinrichs isfjellteori (1931)
30
Mindre skade
300
Inen skade
Arbeidsulykker
1
Alvorlig
skade
30
Mindre skader
300
Ingen skader
Storulykker
”BP mistakenly interpreted improving personal injury rates as an
indication of acceptable process safety performance”
(Baker Report -Texas City Refinery explosion 2005 )
Teknologi og samfunn 10
Energy transfer theory Gibson & Haddon (1963)
FARE
Energikilde
BARRIERE OFFER
Et sårbart objekt
”Injury results only when there is energy transfer beyond the ability
of the body or structure to resist it.”
Teknologi og samfunn 11
Ptil
Barriere: Tekniske, operasjonelle og organisatoriske
elementer som enkeltvis eller til sammen skal redusere
muligheten for at konkrete feil, fare- og
ulykkessituasjoner inntreffer, eller som begrenser eller
forhindrer skader/ulemper.
Barrierer er
funksjoner og tiltak
som er planlagt
for å bryte et uønsket hendelsesforløp.
Teknologi og samfunn 12
”Barrierefunksjoner”
Unngå bruk av farlig energi
Unngå oppbygging av farlig energi
Unngå utslipp av farlig energi
Begrens utslipp av farlig energi
Atskill farlig energi fra sårbart objekt i tid og rom
Isoler farlig energi fra sårbart objekt
Øk objektets motstandskraft
Tilpasset fra Haddon
FARE BARRIERE OFFER
Teknologi og samfunn
Swiss cheese model
Some holes due
to active failures
Other holes due to
latent conditions
Successive layers of defences, barriers, & safeguards
Hazards
Losses
Kilde: James Reason 1997
Teknologi og samfunn 14
"Another perspective": if the cement
at the bottom of the well had been
leak-tight or the BOP had closed
successfully, this accident would not
have happened!
"One perspective": Most of the events and missteps related to the
Deepwater Horizon disaster can be traced back to an overarching
failure of management and communication (ref. President
Commissions' report)
Source: Getty Images
Different perspectives on the DWH / Macondo
accident
Teknologi og samfunn 15
”Bow-tie” ulykkes- og barrieremodell
= Barrieresystem som skal
utføre en Barrierefunksjon
Gasslekkasje
Årsaksforhold Hendelsesforløp Konsekvensutvikling
Påvirkende
forhold
Påvirkende
forhold
Teknologi og samfunn 16
FGD/ESD SYSTEM PSD SYSTEM PC SYSTEM
Normal equipment condition
Stable process
Accident external to
process
Process upset
(transient)
Leak (Process
equipment failure)
Fire or explosion
Pollution
Failure of control or
safety system
Mechanical degradation
Mistake by personnel
Function
Implementation (Example) CONTROL
S PSL GD FD M M
Loss of production
Personnel injury
Facility damage
PSV FSV
NORMAL OPERATIONAL SITUATION
HAZARD ACCIDENT CONSEQUENCE
Equipment Process function
Platform Extent of shut- down action
Production
Detectable conditon
SHUTDOWN CM M S
CM:Condition Monitoring, S:Process sensor, PSV:Pressure relief, PSL:Pressure switch low, FSV:Check valve, GD:Gas detector, FD:Fire Detector, M:Manual
SELF-ACTING
API RP14: “Analysis, design, installation and testing of basic surface safety systems for offshore production platforms”
Teknologi og samfunn 17
QRA
FGD/ESD SYSTEM PSD SYSTEM PC SYSTEM
Normal equipment condition
Stable process
Accident external to
process
Process upset
(transient)
Leak (Process
equipment failure)
Fire or explosion
Pollution
Failure of control or
safety system
Mechanical degradation
Mistake by personnel
Function
Implementation (Example) CONTROL
S PSL GD
FD
FD M M
Loss of production
Personnel injury
Facility damage
PSV FSV
NORMAL OPERATIONAL SITUATION
HAZARD ACCIDENT CONSEQUENCE
Equipment Process function
Platform Extent of shut- down action
Production
Detectable conditon
SHUTDOWN CM M S
CM:Condition Monitoring, S:Process sensor, PSV:Pressure relief, PSL:Pressure switch low, FSV:Check valve, GD:Gas detector, FD:Fire Detector, M:Manual
SELF-ACTING
API RP14: “Analysis, design, installation and testing of basic surface safety systems for offshore production platforms”
Teknologi og samfunn 18
Hvorfor skjer det ikke flere ulykker?
Vi etablerer og vedlikeholder barrierer,
planlagte tiltak for å hindre bestemte hendelsesforløp i å utvikle
seg til ulykker
Vi har evne til å improvisere når det oppstår en situasjon
ingen har forutsett
vi finner en løsning og implementerer den mer eller mindre
umiddelbart
Teknologi og samfunn
Robuste organisasjoner
Tradisjonell ulykkesteori er vinklet mot de
«sykdomsskapende faktorene», dvs. forhold som gjør at
en organisasjon er utsatt for ulykker.
Utvikling av robuste organisasjoner innebærer at vi må
studere og kultiverer de «helseskapende» faktorene
20
Teknologi og samfunn
Eksempel «helseskapende» faktorer
Organisasjonen totalt sett har en bred risikoforståelse.
Ansatte kjenner de tekniske systemene til bunns – fra de abstrakte
fysiske prinsippene og ned til lunene og nykkene til hver enkelt
duppeditt.
Ansatte forstår operasjonene, ikke minst hvordan jobben de selv er
ansvarlig for, virker inn på andres arbeidsoppgaver.
Ansatte kjenner arbeidsprosedyrene så godt at de forstår hva som er
konsekvensene av å avvike fra prosedyren.
Ansatte har nok innsikt til å takle uforutsette situasjoner og til å kunne
improvisere sikkert og effektivt i krisesituasjoner.
Ikke nok at kunnskapen sitter i hodene på enkeltpersoner. Organisasjonen må
evne å dele kunnskap på tvers av faggrenser og organisatoriske grenser.
21
Teknologi og samfunn 22
"Resilience" –
en alternativ tilnærming
Tradisjonell tilnærming "Resilience" tilnærming
Feil og svikt ses på som unormalt
Feil ses på som en normal
variasjon i ulike måter å
gjennomføre en arbeidsoppgave på
Ulykker kan forklares gjennom
enkle årsakskjeder
Ulykker kan forklares gjennom
uforutsette samspilleffekter
Barrierer mot kjente, planlagte
hendelsesforløp
Forberede organisasjonen til å
takle uforutsette situasjoner
Fokus på hva som kan gå galt –
risikoanalyser
Fokus på hva som skaper sikkerhet
Teknologi og samfunn
23
Contributing Success Factors
Robustness(of response)
Resourcefulness/
rapidityResponse
(incl. improvisation)
CSF 2:Response Capacity
Decision supportRedundancy
(for support)Anticipation Attention
Risk under-
standing
CSF 1:Risk
Awareness
CSF 3:
Support
Resilience
attributes
Make sure that risk
awareness is maintained
(avoid underestimation of risk)
Be able to provide necessary
capasity to respond, given a
deviation or incident
Be able to support decisions (remedy of
goal-conflicts) in order to maintain critical
functions (given a deviation or incident)
How do we achieve
knowledge and experience
about risk/hazards?
What can we expect? What should we look for? What must we do? How can we ensure
completion of the response
(without suffering damage)?
How can we ensure timely
and sufficient response?
How do we support the
trade-off between safety
and production?
How do we compensate for
degradation to uphold/
maintain critical functions?
Understand – anticipate – and monitor Respond – completely – and timely Give support – and ensure support
1.1 1.2 1.3 2.1 2.2 2.3 3.1 3.2
Teknologi og samfunn
24
General Issues - overview
Robustness(of response)
Resource-
fulness/rapidityResponse
(incl. improvisation)
CSF 2:
Response
Capacity
Decision supportRedundancy
(for support)Anticipation Attention
Risk under-
standing
CSF 1:
Risk
Awareness
CSF 3:
Support
Resilience
attributes
Adequate resource
allocation and staffing
(incl. buffer capacity)
Communicating risk/
resilience at all levels
of the organization
Focus on safety
(safety versus other
issues)
Trends in reported
events and quality of
barriers
Process disturbances;
control and safety
system actuations
Risk/hazard
identification
(Hazid, …)
Training
(simulators, table-top,
preparedness, …)
Flexibility of
organizational
structure
Adaptability of training
(timely revisions of
training material)
Reporting of incidents,
near-misses and
accidents
Information about the
quality of barriers
(technical safety)
Discussion of HSE
issues/status in
regular meetings
Contributing
Success FactorGeneral issue
Make sure that risk awareness is
maintained (avoid underestimation of risk)Be able to provide necessary
capasity to respond, given a
deviation or incident
Be able to support decisions
(remedy of goal-conflicts) in order
to maintain critical functions (given
a deviation or incident)
How do we achieve knowledge and
experience about risk/hazards?What can we expect? What should we look for? What must we do?
How can we ensure completion of the
response (without suffering damage)?
How can we ensure timely
and sufficient response?
How do we support the trade-off
between safety and production?
How do we compensate for degradation
to uphold/maintain critical functions?
Redundancy of
decision support
functions
Redundancy in
information processing
Redundancy in skills;
multiple skills
Resilience refers to the
capability of recognizing,
adapting to, and coping with the
unexpected
(Woods, 2006).
Robustness of
responsible function
Organizational
robustness (backup
functions)
Information about the
quality of barrier
support functions
(operational safety)
Information about risk
through e.g. courses &
doc. (Hazop, QRA, ...)
Activity level /
simultaneous
operations
Handling of exceptions
(beyond day to day
operations)
Adequate ICT systems
(timely updating of
information)
Adequate decision
support staffing
(availability & knowl./
experience)
Criteria for safe
operation well defined
and understood
Adequate ICT decision
support systems
Adequate external
decision support
Learn from own
experiences &
accidents
Learn from other’s
experiences &
accidents
Early warnings/weak
signals (e.g. from
whistle blowers)
Understand – anticipate – and monitor Respond – completely – and timely Give support – and ensure support
Safety performance
matters requested by
senior management
Bypass of control and
safety functions
System knowledge
Ability to make
(correct) decisions
Communication
between actors
(interface control)
1.1 1.2 1.3 2.1 2.2 2.3 3.1 3.2
1.1.1
1.1.2
1.1.3
1.1.4
1.1.5
1.1.6
1.1.7
1.1.8
1.2.1
1.2.2
1.2.3
1.3.1
1.3.2
1.3.3
1.3.4
1.3.5
1.3.6
1.3.7
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.2.1
2.2.2
2.2.3
2.2.4
2.3.1
2.3.2
3.1.1
3.1.2
3.1.3
3.1.4
3.2.1
3.2.2
Most important
general issue
Changes; technical,
organizational,
external (weather, …)
• How well are we doing?
• What would tell me that we are doing well (or have problems) with this issue?
Teknologi og samfunn
25
General Issues - examples
No. CSF level 2 General issue
1.1
1.1.1 System knowledge
1.1.2 Information about risk through e.g. courses & documents
1.1.3 Reporting of incidents, near-misses and accidents
1.1.4 Information about the quality of barriers (technical safety)
1.1.5 Information about the quality of barrier support functions (oper. safety)
1.1.6 Discussion of HSE issues/status in regular meetings
1.1.7 Safety performance matters requested by senior management
1.1.8
Risk understanding
Communicating risk/resilience at all levels of the organization
1.2
1.2.1 Risk/hazard identification
1.2.2 Learn from own experiences & accidents
1.2.3
Anticipation
Learn from other’s experiences & accidents
1.3
1.3.1 Process disturbances; control and safety system actuations
1.3.2 Bypass of control and safety functions
1.3.3 Activity level/simultaneous operations
1.3.4 Trends in reported events and quality of barriers
1.3.5 Early warnings/weak signals (e.g. from whistle blowers)
1.3.6 Changes; technical, organizational, external (weather, …)
1.3.7
Attention
Focus on safety (safety versus other issues)
Teknologi og samfunn 26
Six perspectives that can help us
understand the organisational mechanisms
related to major accidents:
• The energy and barrier perspective;
• The theory of Normal Accidents;
• The theory of High Reliability
Organisations;
• The information processing perspective;
• A decision-making perspective;
• The Resilience Engineering perspective.
Teknologi og samfunn 27
Early warning indicators
Using four complementary
methods for the development of
early warning indicators
Ensure best possible capturing of
potential signs/signals/warnings
General approach Specific method
I. Safety performance based HSE method (HSE, 2006)
Dual assurance method
II. Risk based ORIM (Øien, 2001)
(Organizational Risk Influence Model)
III. Incident based IDM (Øien, 2008)
(Influence Diagram Method)
IV. Resilience based REWI (Øien et al., 2010)
(Resilience based Early Warning Indicators)
I. HSE
II. ORIM III. IDM
IV. REWI
Teknologi og samfunn
Risk based method for indicators
Take advantage of the existing
risk analysis / risk model of the
facility/plant/activity/…
Extract the factors that are
important with respect to
potential change in risk
Focus on the significant risk
influencing factors!
Focus on the most important risk influencing factors (RIFs)
Risk model
(QRA)
Sociotechnical
system (OPI)
Risk
measure
Risk
indicators
Risk Influencing Factor (RIF)
Risk Indicator
Risk
status
Early
warning
0
10
20
-10
-20
-30
-40
-41.8
-16.8
-10.9
-5.2
-2.6 -3.0 -2.7
18.0
7.37.8
5.34.6
3.6 3.12.3
[%]
Leak frequency (x0.1)
Probability of leakage in neighbor module (x0.4)
Number of drillings and completions (0)
Number of workovers (x0.5)
Probability of hot work (x2)
Probability of ignition due to failure in electrical equipment (x2)
Probability of autoignition (x2)
Probability of ignition due to drive unit (x1.5)
Probability of ignition given leakage and hot work (x1.6)
Probability of ignition due to pumps/compr. (x2)
Probability of blowout (x0.75)
Reduction factor for electrical disconnection of ignition sources (x2)
(x1.75)(x1.7)
(x0.5)
Potential risk increase
Potential risk reduction
0
*0,Δ
R
R t 4
5Significant RIFs
Insignificant RIFs(Øien, 2001)
Teknologi og samfunn
Comparison of methods -
complementarities Table 5. Comparison of different indicator methods
- Very favorable; – Favorable; – Neutral; – Unfavorable; – Very unfavorable
Characteristic I
Perform. based
II Risk
based
III Incident
based
IV Resilience
based
1 Easy to identify influencing factors
2 Relevant for major accidents
3 Easy to determine risk significance/importance
4 Relevant as early warnings
5 Practical, simple, well-documented
6 Resource intensive
7 Easy to communicate 8 Independent of the occurrence of events
9 Dependent on thorough accident investigation
10 Focusing on ‘what went right’ (positive signals)
All methods are very favourable with respect to some characteristics
and at the same time very unfavourable to some other characteristics.
(Øien, 2010)
Teknologi for et bedre samfunn 31
PDS forum
PDS metode og data håndbøker
PDS prosjekt
PDS rapporter
PDSTool
Teknologi for et bedre samfunn
PDS-BIP 2010-2012 - Hovedaktiviteter og resultater
Utvikling av barrierer og indikatorer for å hindre og begrense utslipp til sjø
1. Utvikling av miljøakseptkriterier
og tekniske og operasjonelle krav
til sikkerhetssystemer
2. Utvikling av indikatorer for å
overvåke potensialet for utslipp til sjø
3. Utvikle analyseverktøy og håndbøker for å
beregne påliteligheten av barrierefunksjoner
mot miljøutslipp
4. Publisering / informasjons-
spredning
Håndbøker
Analyseverktøy
Presentasjoner
Rapporter
Artikler, osv.
32
Teknologi for et bedre samfunn 33
• Foreslår indikatorer for sentrale
barrierer knyttet til et bore-
scenario.
• Beskriver metodikk for å finne slike
indikatorer.
Rapporten ligger åpent på: www.sintef.no/pds
PDS rapport
Teknologi for et bedre samfunn 34
Metodisk tilnærming for å finne indikatorer
• Velg initierende hendelser som kan føre til miljøutslipp
• Blowout under boring (lete- og produksjonsboring)
• Identifiser relevante barrierefunksjoner for initierende hendelse
• 6 ulike barrierefunksjoner
• Etabler hendelsetre basert på initierende hendelse
• Hendelsetre for blowout under boring med de 6 barrierefunksjonene
• Analyser barrierefunksjoner – relativ viktighet basert på analyse av hendelsetreet
• Input fra andre studier
• Identifiser og etabler indikatorer for de viktigste barrierene
Teknologi for et bedre samfunn 35
Beskrivelse av identifiserte barrierefunksjoner
1.
TE
CH
NIC
AL
BA
RR
IER
EL
EM
EN
TS
3.
OR
GA
NIS
AT
ION
AL
BA
RR
IER
EL
EM
EN
TS
2.
HU
MA
N B
AR
RIE
R
EL
EM
EN
TS
Barrier function 1:
Gas inflow is detected before it
reaches BOP (kick detection)
Drill pipe
pressure
Pit Gain
(Volumetric
comparison)
Flow-out/in
(Rate
comparison)
1.1 1.2 1.3
3.1
2.1
Operational procedures
(e.g pit management)
Human detection and
action
Gas content
1.4
Control system
HMI in control room
and at drilling floor
3.2
Reservoir / pore
pressure predictions
Management and
work supervision
Communication,
cooperation and
interfaces
Competence
and trainingOther RIFsWork practices
• Barriereelement-diagrammer etablert
for de 6 barrierefunksjonene
• Utgangspunkt for kvantitative
beregninger og for å identifisere
indikatorer
Risk influencing
factors:
Teknologi for et bedre samfunn 37
• Utarbeidet liste med forslag
til indikatorer
• Videre arbeid med
oppfølging av indikatorer og
behov for datainnsamling
er nødvendig
Indicators for "early kick detection" function (barrier function 1)
Unit
Time since last test / calibration of kick detection sensors (e.g. level sensors in pit tank and
flow rate sensors) Months
Average number of active mud pits/tanks since drilling start-up Number
Fraction of spurious alarms (to the total number of alarms) %
Number of formal verification meetings between mud logger and driller (to number of drilling
days) Ratio
Indicators for "BOP annular preventer seals" function (barrier function 2)
Fraction of failed functional tests (both closure tests and pressure tests) to the total
number of tests %
Fraction of repeated failures revealed during testing and maintenance (to the total number
of revealed failures) %
Number of stripping operations during lifetime of BOP Number
Indicators for "heavy mud to kill well" function (barrier function 3)
Time since last functional test of essential choke and kill line assemblies Months
Average amount of spare mud available throughout the operation m3
Average number or fraction of mud and cement pumps out of service throughout the
operation Number or %
Indicators for "shear ram cuts and seals" function (barrier function 5)
Fraction of failed functional tests of shear ram (both closure tests and pressure tests) to the
total number of tests %
Fraction of repeated failures revealed during testing and maintenance (to the total number
of repeated failures) %
Service life of shear ram – time since last cutting verification Months
General indicators
Number of deviations from original "detailed drilling program" handled onshore (e.g. during
last three months) Number
Number of deviations from original "detailed drilling program" handled offshore (e.g. during
last three months) Number
Indikatorer
Teknologi for et bedre samfunn
Ytelseskrav til barrierene – Noen observasjoner
38
• Generelt manglende pålitelighetskrav (SIL/EIL) for utstyr knyttet til boring,
brønnintervensjon og undervannsproduksjon
• Misforhold mellom pålitelighetskrav til barrierer for boring, brønnintervensjon og
undervannsproduksjon sammenlignet med topside barrierer:
• OLF 070 inneholder per i dag kun krav til "drilling BOP" og til "ESD isolation of subsea well"
• Ingen kvantitative pålitelighetskrav til barrierer som: deteksjon av brønnspark, kontroll på
væskesøylen, nødkraft, akustisk BOP aktivering, nødfrakobling (EQD) av rigg,
avledersystemet, subsea PSD funksjoner og BOP under brønnintervensjon.
• Dersom dette er sikkerhetskritisk utstyr – burde det ikke da settes krav til det?
SIL = Safety Integrity Level
EIL = Environmental Integrity Level
ESD = Emergency Shutdown
PSD = Process Shutdown
EQD = Emergency Quick Disconnect