RAPPORT

Hva innebærer egentlig Integrerte Operasjoner? Fenomenforståelse og generiske elementer med mulige konsekvenser for storulykkespotensialet. Camilla Knudsen Tveiten (IO senteret), Linda-Sofie Lunde-Hanssen (IFE), Tor Olav Grøtan (SINTEF), Morten Pehrsen (IFE)

Rapportnr. SINTEF A7078 – Program 4.3 - IO Safe – 2008.06.11

Åpen

Innhold Forord ............................................................................................................................ 4 Innledning...................................................................................................................... 5 Fremtidsscenarier .......................................................................................................... 7

Fremtidsscenarie 1: ”Brønnkontroll og lavbemannet drift. IO støtte fra landbasert operasjonssenter”. ..................................................................................................... 7 Fremtidsscenarie 2: ”SKR på land”. ......................................................................... 9 Fremtidsscenarie 3: ”Integrated Supplier på sikkerhetskritisk utstyr”.................... 11

Generiske funn ............................................................................................................ 14 Grensene, relasjonene og ansvarsdelingen mellom operatører, leverandører og underleverandører.................................................................................................... 14 Grensene, relasjonene og ansvarsdelingen mellom hav og land............................. 15 Ny kommunikasjonsteknologi – hvor god er den når det gjelder? ......................... 16 Endringer i skift, arbeidstidsordning og møtearenaer ............................................. 17 Virtuell håndtering av større avvikssituasjoner....................................................... 18 Gyldighet av regelverk og analyseverktøy- ny holdbarhetsdato? ........................... 18 Endringsprosessen i seg selv- usikker eller sikker periode? ................................... 18

Konklusjon .................................................................................................................. 19

3

Forord Denne rapporten er utviklet i samarbeid mellom Petroleumstilsynet og Senter for Integrerte operasjoner i Petroleumsindustrien. Formålet med rapporten er å beskrive et sett av mulige framtidige IO-løsninger på ulike systemnivå. Videre er formålet å belyse mulige konsekvenser endringer i menneskelige og organisatoriske faktorer i disse løsningene kan ha for storulykkesrisiko. Forhold som kan påvirke risiko for storulykker har framkommet gjennom utvikling av hendelsesscenarier basert på erfaring og antakelser om mulig hendelsesutvikling. Intervjuer med nøkkelpersonell i eksisterende IO-løsninger i næringen, og diskusjoner i en workshop arrangert 14. august 2007 har stått sentralt i arbeidet. Avslutningsvis trekker rapporten fram menneskelige og organisatoriske forhold som vil være av betydning for vurdering av risiko i IO og som er felles for flere av løsningene/scenariene. Beskrivelsene av løsninger, hendelsesscenarier og generiske risikofaktorer i denne rapporten gir ikke noe autoritært svar på om IO fører til økt eller redusert storulykkesrisiko. I tillegg til de elementer som inngår i scenariene og de generiske faktorene, vil det også være andre løsningselementer og faktorer som er viktige i styring av risiko under IO. Utvalget av elementer kan imidlertid danne grunnlag for videre arbeid med utvikling og gjennomføring av konsekvensanalyser, risikoanalyser og risikostyring av menneskelige og organisatoriske faktorer knyttet til IO.

4

Innledning I denne rapporten presenteres et sett av mulige IO-løsninger i form av scenarier og funn med hensyn til hvilke endringer disse inneholder i forhold til mer tradisjonell drift.

IO løsninger drøftes på tre ulike nivåer:

1. Systemnivå: Driftsfilosofien/konseptet er basert på IO (drift av produksjons-innretning).

2. Delsystemnivå: Sentrale arbeidsprosesser/aktivitetsområde er basert på IO. 3. Komponentnivå: IO benyttes for å drive/støtte enkeltkomponenter litt mer spesifikk

(jobbdesign/utstyrsdrift). Med… …komponentnivå mener vi enkeltkomponenter eller system av enkeltkomponenter (turbiner, pumper, sikkerhetssystemer etc.).

…delsystemnivå mener vi for eksempel boring og brønn, produksjon, drift og vedlikehold, modifikasjon ol.; ikke hele operasjonen, men delene.

…systemnivå mener vi helheten – totale konsepter som fjernstyring, ubemannet/automatisert produksjon, systemet av operatør, leverandør, myndighet/tilsyn etc.

En storulykke er en hendelse, konsentrert i tid og rom, som truer et samfunn eller en

relativt uavhengig underavdeling av et samfunn med store uventede konsekvenser som et resultat av kollaps av forhåndsreglene som hittil har vært akseptert i kulturen som tilstrekkelige (Turner og Pidgeon, 1997, s. 70).

Storulykker er de vi husker og hører om i årene etter. De setter spor, ved at regelverk eller arbeidsmåte endres, eller ved at selskaper taper sitt omdømme eller omfattende verdier, går konkurs som en konsekvens av foretaksbøter, kostbare erstatninger og endringer eller liknende. Storulykker betyr ofte at menneskeliv går tapt, slik som i Alexander Kielland ulykken eller Piper Alpha. Storulykker er også de med stor virkning på samfunn eller miljø slik som Longfordulykken, som kun krevde tre menneskeliv, men ulykken lammet gassleveransen til Melbourne i to uker og skapte på det viset et samfunnsproblem.

Storulykker er oftest systemulykker som i petroleumsvirksomheten skjer i komplekse og tidvis tett koblede systemer. Storulykker kan derfor sjelden forklares med enkle årsaksforhold. Vekselvirkninger mellom menneskelige, teknologiske og organisatoriske faktorer, dvs. sammenhengene mellom de forhold som forårsaker hendelser er ikke lineære. Risiko for storulykker kan dermed vanskelig vurderes ut fra tradisjonelle risikoanalyser alene, fordi ”alt” (vi måler) kan virke normalt før det smeller. I komplekse, ikke lineære systemer er det vanskelig å beskrive systemet fullt ut og sammenhengen mellom komponentene er preget av dynamikk og variasjon. Et sentralt spørsmål blir derfor om systemer er i ubalanse eller ikke. I slike systemer må en derfor ha barrierer som hindrer at hendelser utvikler seg når variasjonen i systemet svinger utenfor det forutsette. Hvorfor skal vi da IKKE glemme komponentnivå og de enkle, lineære sammenhenger i storulykkestenkning? Fordi endringer i lineære årsakssammenhenger kan innvirke på balanse i storsystemet. Liten stein kan velte stor kjerre. Dermed; vi trenger et både – og, ha haukens blikk og maurens detaljblikk på en gang. I denne rapporten er vi mest maur i den forstand at vi leter etter endringer, små og større, som ikke nødvendigvis hver for seg betyr store endringer i en eller annen retning når det gjelder sikkerhet. Så kan vi løfte blikket og se hvordan disse endringene, om vi ser dem i sammenheng, har betydning for hva vi kan kalle risikobildet for storulykker.

5

Løsnings- og hendelsesscenariene ble utviklet av IO-senteret med hjelp av sentrale informanter fra næringen og ble videre benyttet i en workshop i Ptils lokaler 14. august 2007. Her deltok utvalgte representanter fra næringen, fagforeninger, myndighetene og forskningsinstitusjoner i et arbeid for å presisere beskrivelsen av hvilke endringer som finner sted i IO og som har betydning i et storulykkesperspektiv. Det er i særlig grad menneskelige og organisatoriske faktorer som er vektlagt.

I tidligere artikler og rapporter om IO og HMS har det særlig vært fokusert på konsekvenser for IKT-sikkerhet og arbeidsmiljø. Vi vil med denne rapporten bidra til å gi et bredere grunnlag for å vurdere konsekvensbildet av innføringen av IO, ved å belyse storulykkesperspektivet med utgangspunkt i workshopen, som en fireparts arena. Tekniske forhold blir ikke vektlagt, men blir trukket inn der dette er viktig i forhold til et godt MTO-samspill.

6

Fremtidsscenarier Scenariene som er beskrevet under er ment som illustrasjon og er dermed ikke nødvendigvis fullstendige i forhold til beskrivelse av bemanning eller andre forhold..

Fremtidsscenarie 1: ”Brønnkontroll og lavbemannet drift. IO støtte fra landbasert operasjonssenter”. Organisasjon: Lavbemannet, delvis fjernoperert produksjon (natt) Land/hav: SKR offshore er bemannet med person på dag/natt. En uteoperatør. Borecrew totalt utgjør 12 personer offshore fra borekontraktøren. Driftsoperatørens operasjonssenter på land bemannet med operatørens ansatte – en representant fra borekontraktør mellom 8-16. Boreoperasjonssenter hos kontraktøren på land bemannet med kontraktørens personell 8-24. Nattevakt på telefon man – fre.

Arbeidstid, skiftordning og rotasjon: Offshore: 12 timers skift, 14 dager offshore, 4 uker fri. Boreoperasjonssenter på land: 8-16 og 16-24. Personell roterer på dag/kveldsskift annenhver uke. Produksjon: Olje: 15 000 foe. Gass: 95 000 sm3. Maksimalproduksjon er på om lag 68.000 fat olje pr dag. Vann og gass blir injisert i reservoaret for å øke oljeutvinningen.

Situasjon: Vi er i siste fase av en borekampanje som har vart fra sommeren 2006. Kontrakten for borekampanjen ble forlenget med to år da den opprinnelige kontrakten løp ut. Årsaken var uventende utfordringer med boringen tidlig i perioden med den konsekvens at arbeidet ble forsinket.

Etter ombyggingen i 2006 er plattformen ikke lengre avhengig av støttefartøy for gjennomføring av boreoperasjoner. All slambehandling og pumping gjøres nå om bord. Plassen på dekk for oppbevaring av utstyr er dermed blitt mindre, noe som fører til at fartøy må ligge stand by med utstyr til boring. I forrige borefase ble borevæske levert fra støttefartøy oppankret ved installasjonen, som også ga ekstra kapasitet for lagring av boreutstyr og boligfasiliteter.

Borekontraktøren er totalleverandør av boretjenester på den måten at alle ansvarsområder som for eksempel retningsboring, borevæsker, sementering eller logging under boring i borekontrakten er samlet i en kontrakt. Kontraktsformen som ble inngått allerede i 2004 ble kalt ISD-kontrakt (Integrated Service Delivery), der elementer som total planlegging, krysstrent personell og overføring av arbeidsoppgaver til land var sentrale faktorer. Krysstreningen mellom ulike fag og stillingskategorier ble gjennomført for å oppnå flerfaglighet slik at personell opplæres til å utføre oppgaver i tillegg til eget fagfelt, også på tvers av selskapene. I det siste har det kommet frem at mange er misfornøyd med kompetansenivået hos flere av de nyansatte og at man er redd noe vil inntreffe fordi de som er på vakt, offshore eller på land, ikke vil ha ressurser til å takle situasjonen.

Etter at Hanssen ble pensjonert i fjor er det ingen i boreoperasjonssenteret på land som har offshore erfaring. Operasjonssenteret for drift strever med at folk der ikke vil rotere offshore etter at de har opplevd hvordan det er å arbeide på land med det resultat at fabrikkompetansen forvitrer.

7

I et tilsyn utført av Ptil i 2007 ble det bl.a. konstatert at organisasjonen hadde utfordringer mht ytelseskrav, kompetanse og opplæring innen brønnintegritet. Prosedyrene for diagnose og status til lekkasjer var også mangelfulle.

Brønnene i feltet tilhører det som er kalt ”verstingbrønnene” – de brønner som ble boret på 1990-tallet der man antar at forhold i omgivelsene som kostnadskutt og nedskjæringer i organisasjoner har innvirket på kvaliteten på boringen.

Hendelse: Klokken er 04:00 og alarmen går for gasslekkasje på havbunnen. Enkelte brønner har vært ustabile under vedlikeholdsoperasjon døgnet forut. Organisasjonen frykter en ”Snorre A”- situasjon. Borepersonellet er noe bekymret for om de har tilstrekkelig ressurser tilgjengelig da det kun finnes et minimum av boreinjeksjonskjemikalier tilpasset normal boring tilgjengelig på plattformen.

Her følger en beskrivelse av hva brønnkontroll er (engelsk): “The drilling has the tasks of adjusting the mud flow rate, mud density and choke pressure to maintain pressure balance in the well while drilling, tripping and under completion operations. Under normal operations, the choke is not used and pressure in the well is regulated through adjustment of the flow rate, (can change quickly, but has only a small effect) or the mud weight (can adjust pressure much more, but takes time to take effect).

Gas influx can be discovered either through increased pit levels or mud flow out of the well when the mud pumps are turned off. When this happens, the first step is to determine the severity of the influx. This is performed by observing the pit levels and mud flow out closely over a period of time.

If influx is small enough, the driller can continue drilling, but order weight material to be added to the mud.

Slight larger influx and drilling must wait until the well is again under control. This will usually take several hours and can be accomplished by adding weight material to the mud and pumping faster. The time for mud to circulate down the drillstring and up the annulus is one to two hours. After a period of circulation, based on how severe the influx was, the well is re-checked – circulation is stopped and we check to see if mud is still coming out of the well.

A higher influx rate will require that the well be choked. This is done by closing the BOP = Blow Out Preventer, (looks like an inner tube) that is inflated with hydraulic oil to close off the area around the drillstring and force returning fluid through the choke manifold. The choke manifold has a series of valves (chokes) that can be partially closed. Mud flowing through the chokes will cause a pressure increase in the well and help to stop the influx while heavier mud in pumped into the well. With the choke system activated, the driller can regulated the well pressure through the pump rate as the pressure generated over the choke is dependent of the flow rate through the choke.

An additional aspect to well control is that one cannot just increased the annulus pressure and stop influx of gas. This is because too high pressure in the well is also a problem. Excessive pressure in the annulus can lead to fracturing the formation around the well thus leading to an uncontrolled loss of mud. Simultaneously handling influx at one point in the annulus and loss of mud at another point in the annulus is very difficult.

These operations are today “crew intensive” as several things need to be done more or less simultaneously and at several placed on the rig. “

8

Fremtidsscenarie 2: ”SKR på land”.

År: 2015. Feltet drevet siden 1980 og er nå i senfasen.

Type felt: Gass/Olje

Brønner: 100

Boligkvarter: 36 senger Organisasjon: Lavbemannet, delvis fjernoperert produksjon (natt), en bemannet installasjon, en ubemannet installasjon og en installasjon på havbunn.

SKR onshore: Komplett SKR onshore i Norge, har 3 skift og 3 operatører per skift. Alle kontrollromsfunksjoner skal ivaretas hos SKR land.

SKR offshore: Komplett kontrollrom offshore, bemannet med en operatør, 12 timers dagskift. Kontrollrom offshore er stengt om natten. Det er 4 uteoperatører, hvorav 1 er tilgjengelig for SKR onshore på natten. Uteoperatørene jobber dag- og nattskift og alle er krysstrenete.

Arbeidstid, skiftordning og rotasjon: Offshore: dagskift, 12 timer, 14 dager offshore deretter 4 uker fri. Onshore: SKR har 3 skift og 8 timer per skift. Rotasjon på landpersonell 9 mnd. Operativ gruppe og planleggingsgruppe har ordinær 8 timers arbeidsdag.

Energiforsyningen på plattformen er dekket ved kraft fra land. Det er nødgeneratorer ombord i tilfelle strømbrudd. Det er også mulighet for kommunikasjon via satellitt som backup ved eventuelle brudd i ordinære kommunikasjonslinjer.

Situasjon: Feltet har vært i drift siden 1980. Studier tilsier at effektiviteten og sikkerheten vil øke med fjernstyring av plattformen. I tilegg vil levetiden for feltet og brønnene forlenges. Av blant annet disse grunnene ble det besluttet at SKR skulle flyttes fra offshore til onshore. I 2012, for tre år siden, ble SKR flyttet onshore, noe som er muliggjort med dagens teknologi. SKR er bemannet med 3 operatører. Det er fortsatt et kontrollrom på plattformen, men det er kun bemannet med en operatør på dagtid. SKR fjernstyrer også et havbunnsanlegg.

Olje- og gassfelt på sokkelen fjernstyres av en landorganisasjon, sammensatt av ulike kompetansegrupper. Enkelte eksperter, som befinner seg i Nigeria, er leid inn for å hjelpe til med å tolke de stadig økende datamengdene innenfor reservoar. Kommunikasjonen mellom SKR og innleid ekspertise foregår via samhandlingsrom (bredbåndskommunikasjon). Det er daglig kommunikasjon via samhandlingsrom, både faste, avtalte og etter behov. Ekspertisen i Nigeria kan støtte brønnservice om natten.

På grunn av det store antallet offshorearbeidere som ble pensjonert i perioden 2009-2013 og rekrutteringsproblemene i årene før det, er det få igjen både på plattformen og i SKR som har lang erfaring offshore. Rekrutteringsproblemet er også grunnen til at en del av ingeniørene offshore er rekruttert fra land med annet språk og kultur enn de norske arbeiderne.

På land er det også en operativ gruppe, som hjelper SKR og plattformen med å ta riktige beslutninger på plattformen og sørger for kontinuitet mellom skiftene. En annen gruppe på land sørger for planlegging, fra langsiktig til dag – til - dag planlegging. SKR, planleggingsgruppe og operativ gruppe er samlokalisert og gruppert i forhold til arbeidsoppgaver, samhandlingsbehov og tilhørighet.

9

Noen av utfordringene hittil har handlet om ulik kultur og språk, ulike skiftordninger hav og land samt håndtering av et økende antall handover. Det har også vært en utfordring for kontrollromsoperatørene at de stadig er under trykk fra flere hold i forhold til å øke produksjonen.

Hendelse/DFU:

Strømbrudd og brann Det blir utført vedlikeholdsarbeid på den kombinerte olje- og gassproduksjonsplattformen. En ventil på pumpe A blir ikke tettet tilstrekkelig av vedlikeholdspersonell på dagskiftet fordi pumpe A ikke skulle brukes i vedlikeholdsperioden. Personell som kommer på kveldsskiftet blir ikke informert om at ventilen ikke er tettet. Det oppstår en teknisk feil i pumpe B i løpet av kveldsskiftet. Driftsledelsen beslutter å starte opp pumpe A, fordi den skulle være i orden. Beslutningen blir tatt uten å utføre forskriftsmessig tilsyn. Noen minutter senere går lav – nivå - gassalarm. Enda noen minutter senere går høyt – nivå - gassalarm. Samtidig oppstår en eksplosjon og påfølgende brann som gir strømbrudd og kommunikasjonskanaler til land slutter å fungere.

10

Fremtidsscenarie 3: ”Integrated Supplier på sikkerhetskritisk utstyr”

År: 2012 Type felt: Gass Arbeidstid, skiftordning og rotasjon: SKR bemannet på dagtid. ”Integrated Supplier” har 24/7 kontinuerlig teknisk overvåkning av SIS/ESD

Valemon felt

Plattform A

Plattform X

Plattform Y

Satelite C

Satelite B

Satelite A

HY

DR

OIL

INTER

NET

CDD (16)

XYZ

CDD India

(8)

SKR/dagtid

SIS/ESD

SIS/ESD

SIS/ESD

SIS/ESD

SIS/ESD

SIS/ESD

Situasjon I 2008 ble det inngått kontrakt mellom operatørselskapet Hydroil og leverandøren CDD om administrasjon av instrumenterte sikkerhetssystemer (SIS) på alle installasjoner på Valemonfeltet. Instrumenterte sikkerhetssystemer (SIS) kjennetegnes ved at de implementerer autonome, sikkerhetskritiske funksjoner. En av de viktigste funksjonene innen SIS er knyttet til automatisk emergency shutdown (ESD). Tilliten til ESD funksjonen uttrykkes gjennom SIL nivå (Safety Integrity Level), jfr IEC 61508 og PDS-metoden for krav til SIL og verifisering av dette.

ESD funksjonen på Valemon er klassifisert til SIL3, som avspeiler at konsekvensene ved feil er alvorlige, og at det i praksis ikke finnes alternative (sikre) måter å stenge ned installasjonen på i en nødssituasjon. Et SIL3 nivå innebærer mye redundans og sikkerhet i implementasjonen, noe som betyr at (tidlige) signaler på interne feil ikke er lette å tolke uten dyp teknologisk kompetanse. Hva kan isoleres og hva kan outsources av teknisk kompetanse

11

er derfor et vanskelig strategisk spørsmål for Hydroil. Leverandører som CDD blir stadig mer attraktive for Hydroil, i et kortsiktig, økonomisk perspektiv.

SKR på Valemon overvåker eventuelle ESD alarmer på dagtid. SKR funksjonen overføres til et ”operasjonssenter” på land nattestid. CDD overvåker SIS døgnkontinuerlig mht teknisk integritet og systemfeil. Oppkoplingen mellom CDD og Hydroil foretas gjennom Internet og videre inn gjennom Hydroils administrative og tekniske datanett. Security (for eksempel hacking) er dermed et kritisk tema. I tråd med at CDD og Hydroil begge kjente til SeSa metoden som er utviklet i PDS forum, ble denne metodikken benyttet for å verifisere at en slik oppkopling (designmessig) ikke undergravde tilliten (dvs. det fastlagte SIL-nivået) til SIS. En viktig (administrativ) del av dette er at CDD sine operasjoner av SIS i stor grad styres gjennom et arbeidstillatelsessystem. Verken de tekniske eller administrative delene av ”SeSa-kriteriene” er imidlertid fulgt opp systematisk eller sjekket på nytt i løpet av de fire årene som er gått siden kontraktsinngåelse. Dette til tross for at flere av prosedyrene, og til og med brukergrensesnittet for CDD, er endret/revidert flere ganger. På den tekniske siden er det en spesielt viktig premiss for SIL3-nivået på ESD at andre tekniske installasjoner (prosesskontroll, vedlikehold) ikke undergraver uavhengigheten til SIS generelt, og ESD spesielt. Dette er en utfordring sett i forhold til det store antallet leverandører som utfører ulike former for modifikasjon og vedlikehold, og som fra tid til annen også (midlertidig) blir nødt til å ”overbroe” ESD funksjoner.

Et annet forhold (som SeSa metodikken ikke berører) er implikasjonene over tid av at de som administrerer ESD systemet selv ikke er fysisk tilstede – noen av dem har faktisk aldri vært offshore! CDD’s tekniske administrasjon er dessuten døgnkontinuerlig, og foregår fra India 8 timer i døgnet. ”Handover” av situasjonsforståelse er spesielt kritisk, og er i praksis avhengig av at alle viktige parametere er dekket av systemet, at de blir forstått på ”riktig” måte til enhver tid, og at ingen latente faktorer blir oversett og/eller aggregeres over tid.

ESD/SIS-teknologi og installasjon forandrer seg hele tiden (modifikasjoner). Hydroil og CDD er ikke alltid like konsekvente med å tilpasse menneskelige/organisatoriske elementer som følge av dette. Fra forskningshold har kritiske MTO-orienterte røster i tillegg hevdet at denne type løsning og rådende praksis med å vurdere ESD/SIS som en ”sum” av tekniske (T) og menneskelige (M) elementer inviterer til en klassisk misforståelse der den gjensidige tilpasningen mellom disse grovt undervurderes. Kritikerne hevder at organisasjonen (O) legger opp til farlige fremtidige situasjoner gjennom å behandle M- og T-delen som uavhengige deler som kan substitueres og erstattes uavhengig av hverandre. Kritikerne hevder at en slik praksis legger til rette for uforutsigbare hendelser (”contingencies”), ikke minst ved eksepsjonelle forhold.

Valemon-feltet er bygd opp rundt en hovedplattform med flere satellitter av ulike slag, hvorav mange har selvstendige ESD funksjoner. Disse er imidlertid underlagt det sentrale SIS systemet på hovedplattformen. Hovedplattformens SKR er bemannet på dagtid og har tilgang til og mottar alarmer fra SIS/ESD, men i praksis skjer all teknisk administrasjon av SIS fra CDD. Kravet til produksjon for Valemonfeltet er høye og økende, ikke minst fordi det er en del av en gassrørledning til Europa. Valemon SIS er derfor knyttet til et Pipeline Protection System som innebærer at en nødavstengning på Valemon vil føre til automatisk nedstengning av andre enheter på samme pipeline, og vice versa. Disse har lignende SIS/ESD systemer, men driftes av andre leverandører, men på samme måte.

Mange i Hydroil mener at det i den siste tiden har gått litt på marginene løs når det gjelder regularitet og produksjon i forhold til sikkerhet. Operatørselskapet har uttrykt i en

12

pressemelding at de skal øke salget av gass til Europa med 10 % det neste halvåret og installasjonen vet at de utgjør en stor del av der de 10 % skal hentes ut.

Hendelse:

Desember 2012 er uvanlig kald i Europa. Det politiske klimaet østover er også heller kjølig, og gassleveranser herfra preges av mer eller mindre tilfeldige driftsproblemer med store konsekvenser for industri og folk flest. Gassprisen er usedvanlig høy, og leveransene fra Nordsjøen svært kritiske.

En natt med ruskete vær i Nordsjøen får vakthavende SIS-operatør i India melding om at SIS har mistet kontakten med noen av ESD funksjonene tilhørende satellitter på Valemon. Disse funksjonene er autonome og kan (bør) i prinsippet fortsatt virke, men kan ikke lenger administreres. Dette introduserer en dobbel usikkerhet; vil de virke hvis nødvendig, eller vil de ”slå til” på sviktende grunnlag? Dette betyr at de ”isolerte” funksjonene i teorien kan stenge ned hele rørledningen som Valemon er del av

Samtidig får Hydroil problemer med Internett på grunn av et hacker-angrep mot Hydroils nett. Administrasjon av nettverk, brannmur, IT-utstyr, aksess koder, osv er et minefelt som Hydroil har og har hatt store utfordringer med. Det har (for) lenge vært diskutert om Hydroil har nok kompetanse til å håndtere slike angrep, og strategien er uklar. Betyr hacker-angrepet at Valemon og andre plattformer bør stenges ned forebyggende?

CDD’s operatør er ikke klar over at det er avdekket et hacker-angrep hos Hydroil, og at dette er årsaken til at han ikke får kontakt med den funksjonen/personen hos Hydroil som vanligvis gir ham arbeidstillatelse overfor SIS.

CDD (i India) kommer ikke i kontakt med Hydroil gjennom nettet og ringer tilslutt. Denne omveien er ikke vanlig rutine. Prosedyren åpner for umiddelbar nedstengning av den autonome delen før eventuelt denne delen påvirker anlegget. Dette har imidlertid aldri skjedd før, CDD operatøren kommer i tvil pga de store konsekvensene som dette innebærer (energisituasjonen i Europa er kjent også i India).

Etter et par timer lykkes CDD operatøren å komme i (telefonisk) kontakt med en linjeleder hos Hydroil, og foreslår å redusere produksjonen og stenge ned subsystemer på Valemon, ut fra et føre - var prinsipp i selskapets sikkerhetsfilosofi, og ut fra de faktiske prosedyrene som foreligger. Denne linjelederen ser målkonflikten men kommer i sterk tvil, skal han redusere kapasiteten på rørledningen, eller ta sjansen på full stopp initiert av en ”isolert” ESD. Nettopp dette at ESD skal være en slik ”løs kanon” virker så ”far fetched” at han beslutter at man fortsetter som før. Linjelederen begrunner sin beslutning med at han finner det vanskelig å bruke hypotetiske resonnement fra den andre siden av kloden over hva som kan gå galt som input til sin egen beslutning.

Verken CDD-operatøren eller linjelederen hos Hydroil er imidlertid klar over at en leverandør av brønnkontrollutstyr er i ferd med å oppdage at noe av det utstyret de plasserte på Valemon i forrige uke har en grov teknisk svakhet som gjør at det i verste fall kan stoppe datatrafikken (i nærheten av ESD), og kanskje også er infisert av virus fra en underleverandør av programvare. ESD-operatøren hos CDD blir på sin side ekstra stresset av at brukergrensesnittet nettopp er blitt ”forbedret”, slik at han ikke finner de skjermbildene han har vent seg til å bruke – når alt er ”normalt”. Dette gjør at han overser en ny rutine som en innførte for denne type (sjeldne) situasjoner, og som kunne gitt ham en sjanse til å reetablere kommunikasjonen/kontakten med SIS/ESD, og dermed avklare den initiale usikkerheten knyttes til SIS/ESD.

13

Generiske funn I plenum etter gruppeoppgavene presenterte de tre gruppene sine funn. I denne rapporten har vi forsøkt å trekke ut essensen av disse funnene for å komme frem til hva vi mener kan være generiske elementer eller faktorer som betegner hva som er spesifikt for integrerte operasjoner sammenlignet med andre driftsformer. Dette kan også betegnes som hva som utgjør endringen i overgangen mot IO. De følgende punktene kom tydeligere frem i noen av scenariebeskrivelsene, men er ut fra vår tolkning gjeldende for flere enn ett og dermed berettiget til å være generiske.

Det er stor forskjell på de faktorene som trekkes fram når det gjelder deres potensial for å påvirke storulykkesrisiko, om konsekvensen vil vises på kort eller lengre sikt og i hvilken grad det er mulig å sette inn tiltak for å redusere en eventuell ikke ønsket konsekvens av endringen. Disse forholdene diskuterer vi ikke i denne rapporten. Spørsmål angående hvor reell og stor risikoen er, om den aksepteres eller ei, hva tiltak kan være osv. er det viktig at tas videre i forskning, utvikling, og andre tiltak hos næringen og myndighetene.

Grensene, relasjonene og ansvarsdelingen mellom operatører, leverandører og underleverandører I gjennomgang av scenariene kommer det frem uklarheter i hvordan grenser mellom grupper, selskaper, parter i lisens osv. er planlagt og skal ivaretas. Slike uklarheter blir tydelig når avvikssituasjoner i en eller annen form oppstår. Beslutninger kan tas på avstand, men hvor klokt er det? Ny og bedre utviklet informasjons- og kommunikasjonsteknologi (IKT) muliggjør deling av informasjon og forming av globale organisasjoner. Slik er det mulig å ikke bare ha sekvensiell/seriell overlevering av resultater og informasjon, men sanntids dataoverføring og dermed grunnlag for at beslutningsgrunnlag eksisterer hvor som helst. Beslutningen kan også tas hvor som helst, men hvor klokt er det? I workshopen fremkom det bekymringer for at effektiviteten og kostnadskutt er drivende faktorer for mange kontrakter. I slike sammenhenger kan en fort etablere løsninger som for eksempel unnlater å ta hensyn til beslutningstakeres forutsetninger for å kjenne helheten i systemer og ikke bare enkeltkomponenter. Selv om planlagt informasjon er delt og overført i sanntid er ikke nødvendigvis uformell og ikke planlagt informasjon det. Slik tilleggsinformasjon kan virke uvesentlig i øyeblikket, men kan bidra til å komplettere et bilde i forståelse av noe som oppstår. Selv om kodifisert informasjon i IKT systemer reiser raskt vil ikke nødvendigvis sublim eller underliggende informasjon gjøre det. Underliggende informasjon kan for eksempel være medarbeideres uro for at ikke alt virker som det skal, men som ikke oppfattes som ”viktig nok” til å sende varsko ut i et nettverk. I en samtale mellom flere hadde ”uroen” kanskje blitt nevnt og bidratt til en annen forståelse i gruppen. Ikke all informasjon fremstår som sikkerhetskritisk når den gis selv om den er det i en senere situasjon. Gjennomgang av alle scenariene viser tydelig at leverandører og underleverandørers forhold til hva som kan betegnes som nye eller vesentlig endrede sikkerhetsmessige barrierer i forbindelse med IO er uklart.

14

Integrerte leverandører og kontraktsforhold Målet med integrert leverandør er blant annet å utnytte kompetanseforhold og å redusere kostnader knyttet til parallelle organisasjoner hos leverandør og operatøren/oljeselskapet. Det forutsetter langtidskontrakter. Det er kjent at vedlikehold er en utfordring i slike kontrakter siden marginen for profitt er lav for leverandøren og at profittmargin dermed blir noe kontraktøren verner ekstra om. Det er derfor en utfordring å holde kompetanse og trening på rett nivå dersom slike utfordringer, som normalt, ikke er tatt høyde for. Integrerte kontrakter medfører redusert bemanning på anleggene og leverandører er også mer sårbare i forhold til skifte i marked og gjennomtrekk av personell. Et annet spørsmål er om det vil finnes tilstrekkelig med ressurser tilgjengelig i driftsorganisasjonene til å delta i planlegging og implementering av endringsprosesser, samtidig som en opprettholder forsvarlig drift. Det er også utfordringer med hensyn til ansvarsforhold ved avvik og hendelser i operasjonen for eksempel ved uforutsette ting i reservoaret.

Grensene, relasjonene og ansvarsdelingen mellom hav og land IO fører land og hav nærmere sammen IO kan gjenskape samarbeid, kompetanse og nærhet mellom grupper som tidligere ikke har møttes eller hatt kontakt. Særlig ser dette ut til å gjelde innenfor organisasjonen, mens det på tvers av organisasjonene er mer usikkert hvordan det vil utvikle seg. Det er fordeler knyttet til å gjennomgå planlagte oppgaver sammen med hjelp fra IKT. Terskelen for å ta kontakt blir lavere om mennesker ofte møtes og det er grunn til å anta at dette også til en viss grad gjelder når man har møttes i videomøter eller liknende. Dersom roller, ansvar, funksjoner og oppgaver er riktig organisert og avklart i en slik sammenheng, er mange av forutsetningene for god håndtering av normal drift og avvikssituasjoner, til og med krisesituasjoner til stede. Hvem tar ansvar for å si at en situasjon går fra ”gult” til ”rødt” mht. innretningens tilstand? Tradisjonelt har plattformsjefens rolle i å vurdere alvorlighetsgrad i situasjoner vært udiskutabel. Med økt involvering og styring fra land blir ansvaret for hvem som har hevd for å vurdere alvorlighet mer utydelig og uenighet med etterfølgende tap av verdifull tid kan bli blant følgene. Økt press på regularitet og produksjon kan bidra til at slike konflikter oppstår.

Realitetene i den sosiale konteksten hav og land er forskjellig ved at man på innretninger har et isolert sosialt miljø, mens man på land har en normalsituasjon ut fra den samfunnskonteksten man befinner seg i. Det innebærer at man ikke i samme grad kan kontrollere usikkerhets-/risikofaktorene på samme måte. Også den reelle risikoen som de ulike gruppene utsettes for er vesentlig forskjelling. Det er en utfordring å få til samme grad av risikooppfattelse offshore og onshore.

Når flere onshore sentre (boresenter, operasjonssenter hos operatør, flere) er involvert øker risiko for en uklarhet med hensyn til hvem som setter grenser for hva som er risikabelt. Fordelingen av ansvar for hvordan en håndterer situasjonen for å gjenvinne kontroll virket uklar i gjennomgangen av scenariene.

15

Ny kommunikasjonsteknologi – hvor god er den når det gjelder? Det er stilt spørsmål ved hvor rik kommunikasjon en videokonferanse gir. Her er det avhengig av teknologi og hvorvidt teknologi og omgivelser/fasiliteter er tilrettelagt for det formålet det skal benyttes til. Vi vet lite om hvor mye underliggende informasjon som går tapt, for eksempel ved å gjennomføre møter som før ble gjort ansikt til ansikt i videokonferanse (planleggingsmøter, andre tidligere rene offshoremøter). Funnet er knyttet til avsnittet ovenfor vedrørende forskjeller i risikooppfatning på bakgrunn av hvilke omgivelser man befinner seg i og hvordan videokonferanse kan bidra eller ikke bidra til å oppnå delt risikoforståelse mellom deltakere som er geografisk spredt.. I scenarie 2 er det ikke risikoanalysert hvordan et tap av kommunikasjon med land i en IO operert setting vil påvirke håndtering av fare- og beredskapssituasjonen. At det ikke finnes plan for slikt skaper sterk usikkerhet i scenario 2, SKR på land. Det stilles det spørsmål ved hva man mister når SKR ikke får informasjon i sanntid, men likevel skal håndtere en beredskapssituasjon. IO innebærer at en større del av styringen av de tekniske systemene på driftsanleggene baseres på ”åpne” nettverksløsninger. Dermed blir hacking og inntrenging i datanettverk en større risikofaktor, og det kan lettere oppstå tvil i avvikssituasjoner om oppdagete systemfeil skyldes slike handlinger, eller om de er tegn på virkelige forstyrrelser i systemet. Både langt ute i et nettverk og nært selve operasjonen kan en slik forskjell være vanskelig å oppdage. Sannsynligvis har ikke de som sitter i operasjonsrom eller på annen måte er knyttet til operasjon av systemer kompetanse til å skille mellom årsaker til at et avvike fremkommer i brukergrensesnittet. Tiltak som igangsettes kan dermed være basert på feil beslutningsgrunnlag og bidra til negativ utvikling av situasjonen. Det er behov for å øke kompetanse, holdninger og forståelse for informasjonssikkerhet (konfidensialitet, integritet, tilgjengelighet) innen petroleumsvirksomheten som helhet i parallell med implementering av IO. Det oppfattes som en stor risiko at svikt i IKT-systemer ikke inngår i de vanlige DFU analysene. Innenfor IO vil situasjoner med kommunikasjonsbrudd eller andre IKT relaterte scenarier være relevante DFU elementer for å sikre at dette tas inn i risikoanalyser, opplæring, trening mv. Kulturelle og prosessorienterte utfordringer med globale nettverk og ”follow the sun” prinsipper

I tilfeller arbeidsressurser i prinsippet er tilgjengelige i ”hele verden”, vil de som jobber på lang avstand ofte arbeide på en tid av døgnet når landansatte i Norge ikke er på jobb. Personene som på den tiden overvåker systemer har dermed ikke alltid direkte tilgang til de netteverk av eksperter og kompetansepersoner som kan hjelpe i å forstå avvik i systemer. Hvorvidt man likevel vil finne utav problemet og finne løsning vil både avhenge av kontraktens innhold og det formelle ansvaret, av kulturelle aspekter og av opplevelse av tidspress på tid og krav om regularitet.

Kontrakten kan begrenses til at aktører langt unna kun har delroller å ivareta og kun har tilgang til ”need to know” informasjon for å utfore disse oppgavene. Man kan likevel ikke unngå at de vil stå ovenfor situasjoner som ikke er planlagt og ikke faller inn under delansvaret og det er like vanskelig å vite hva som virkelig er ”need to know” informasjon.

16

Endringer i skift, arbeidstidsordning og møtearenaer Arbeidstidsordninger og skiftproblematikk er uløste oppgaver. Endringer i skiftordninger og arbeidstid hav/land kan skape uro i organisasjonen og potensielle hull i oppmerksomhet mot aktivitet og operasjon. Grenseflatene blir mange og utviklingen synes å gå i retning av flere, og mer kompliserte handover situasjoner. IKT, operasjon – og samhandlingsrom gjør det mulig å få geografisk spredde deltakere med på handover, men stor disiplin og større grad av planlegging kreves dersom man skal sikre seg at alle som bør være med faktisk deltar i disse møtene. Handover situasjonen er en kritisk aktivitet med sterk innvirkning på situasjonsforståelse blant deltakerne i operasjonen. Mangelfull handover med feilaktig situasjonsforståelse som resultat har vært årsak til store ulykker Står vi ovenfor et skifte i den daglige risikotilnærmingen? Planleggingsmøter offshore der alle disipliner er representert har fungert som et sted der man ser hverandre i øynene og forteller om planlagte og pågående aktiviteter. Dersom ingen risikoelementer kommer opp i møtet, oppfattes alt som å være OK med hensyn til sikkerhet. Dette er en viktig arena. En slik tilnærming til vurdering av generell sikkerhet er mulig i systemer med klar avgrensning, god oversikt over aktiviteter og hvem som arbeider på dem og gjennomsiktige teknologiske prosesser. I kompliserte systemer, med mange aktører, der grensen for hvem som er involvert i arbeidet er mer utydelig og deltakerne er mange, er det mer vanlig med en a priori forståelse av at ”alt forutsettes å gå galt dersom det ikke er sjekket ut til å være i orden”. Dette siste innebærer ofte sjekklister som en normal del av alt arbeid slik som for eksempel i luftfart. I arbeidet med scenariene ble det identifiserte at økt kompleksitet mht hvem som har aktiviteter i driften og ulike geografiske avstander mellom medlemmene i teamet økte usikkerheten i forhold til om man har tilstrekkelig oversikt over risikobildet. Arenaen for planleggingsmøte om kvelden forsvinner eller får endrede grenser. Økt automatisering utfordrer situasjonsforståelsen Økt automatisering er både en del av pågående utvikling i IO og er sett som en kritisk faktor for å muliggjøre for eksempel styring fra land. Økt automatisering vil i noen grad føre til at oppgaver kan gjøres uten inngrep fra operatører. Automatiseringen vil imidlertid også være et viktig verktøy i operatørstyrte prosesser, hvor mer komplekse operatørstøttesystemer baseres på ulike automatiseringsfunksjoner. Menneskets forutsetninger for situasjonsforståelse blir derfor utfordret på to måter: 1) det daglige arbeidet vil for en del bære mer preg av monitorering og mindre intervensjon – med påfølgende større krav til operatøren ved avvikssituasjoner, 2) mer komplekse informasjonsgrensesnitt øker de mentale kravene i arbeidet og gir større krav til ekspertise hos operatørene. Menneskets evne til å gjenvinne kontroll over uforutsette situasjoner avhenger av at aktøren har en korrekt oppfattelse av prosess, system, status og konsekvenser av handlinger som kan utføres på systemet. I tillegg skal aktøren ha evne til å operere systemet og føle seg trygg på at han eller hun kan det. Trygghet og tillit til at man evner å utføre en oppgave er sterkt knyttet til erfaring og trening i å operere systemet.

17

Virtuell håndtering av større avvikssituasjoner Tilstrekkelig bemanning for normal operasjon er ikke nødvendigvis tilstrekkelig i beredskap.

Organisasjoner der det er minimumsbemanning offshore eller det er lite personell ute kan få utfordringer med å bemanne en beredskapsorganisasjon. Et av kravene til medlemmene i beredskapsorganisasjonen er at de skal kjenne og trene på sin rolle og delta i øvelser slik at de kan ta ansvar i situasjoner der gjester eller mindre erfarne arbeidere/servicepersonell trenger hjelp under for eksempel evakuering. Dette krever relativt fast personell på installasjonen. Ordningen slik den er i dag kan møte utfordringer ut fra at de som befinner seg om bord kan ha svært kort erfaring med den spesifikke installasjonen og dermed være lite beredt til beredskapsmestring ut over å ”følge ordre”. Det er heller ikke gjort endringer i hvem som leder eller fører an i en slik situasjon etter at fordeling av funksjoner mellom hav og land er endret. Det trenes ikke på IO relaterte fare og ulykkessituasjoner.

Som beskrevet under punktet ”Ny kommunikasjonsteknologi – hvor god er den når det gjelder?” er ikke DFU’er slik de er i dag tilpasset IO utviklingen og det er dermed ikke å regne med at IO - relaterte faresituasjoner inngår i beredskapstreningen. En oppdatering av DFU-scenariene må også innbefatte de nye aktørgruppene og systemene som inngår i virtuelle organisasjonsstrukturer.

En liten og oversiktelig organisasjon har ikke alltid muligheten til å bygge redundans og problemløsningsevne

Fordelen ved å ha færre mennesker offshore er at det er lettere å ha en transparent organisasjon hvor man vet hvor kompetansen er eller hvor den mangler, slik at man kan kompensere for det gjennom enten bytte av jobb/oppgaver eller kompetanseheving. Fokus på gode barrierer og robuste organisasjoner er viktig i forhold til å håndtere usannsynlige hendelser. Deltakerne stilte spørsmål ved om en organisasjon der det er lite personell, men fremdeles fast bemanning offshore har mulighet for å bygge opp den kompetansen som skal til for å kunne håndtere kritiske situasjoner på en robust og feiltolerant måte.

Gyldighet av regelverk og analyseverktøy- ny holdbarhetsdato? Regelverk og analyseverktøy baserer seg på gjeldende operasjonsform og arbeidsforhold og utvikles tradisjonelt på bakgrunn av at endringer har skjedd eller at forskning viser behov for endringer. IO har ikke påvirket regelverk og analyseapparat i nevneverdig grad frem til nå. Det er dermed mulig at organisatoriske og teknologiske IO-løsninger lik de som ble presentert i scenariene blir vurdert som akseptable innenfor dagens regelverk uten at vesentlige forhold, slike som gjengitt i denne rapporten, blir tilstrekkelig risikovurdert. Det stilles også spørsmål med om gjeldende analyseverktøy som for eksempel Quantitative Risk Assessment (QRA) vil være tilstrekkelig til å fange opp ulike aspekter av risiko ved systemorienterte integrerte operasjoner.

Endringsprosessen i seg selv- usikker eller sikker periode? I gjennomgangen av scenariene ble det bemerket at de situasjonene og organisasjonene som ble beskrevet så ut til å ha hatt dårlig endringsledelse i prosessen som førte frem til de nye

18

løsningene. Mange selskaper ser ikke på IO som en organisasjonsutviklingsprosess. Og vi vet også lite om hva slags endringsledelse som er viktig i utviklingen av IO. Dagens offshorearbeid er populært på grunn av ekstra goder som følger med det. Det er forventet at både arbeidstidsordninger og kompensasjonsordninger vil endres når funksjoner/oppgaver flyttes på land. Endringsprosesser knyttet til innføring av IO er i seg selv en stor utfordring som kan påvirke risikobildet. Gjennomføring av endringsprosesser er krevende i dagens organisasjonsmodeller og skiftordninger. Når driftsorganisasjonene blir mer virtuelle og omfatter flere ulike typer skiftordninger, blir også arbeidet med planlegging og implementering av endringer mer komplekst. Dette vil både kunne gjelde varige store endringer (omstillingsprosesser) og mindre reverserbare endringer (driftstilpasninger).

Konklusjon Innledningsvis skisserte vi at storulykker er å betrakte som systemulykker som i petroleumsvirksomheten skjer i komplekse og tidvis tett koblede systemer. I rapporten har vi pekt på forhold som endrer sammensetningen i det komplekse systemet og vi har pekt på forhold som kan tyde på at deler av systemet kan få tettere koplinger eller at barrierer endres, forvitrer eller ikke blir satt inn på rett sted ved etablering av nye koplinger. Kompleksiteten i petroleumssystemet øker også med IO, med flere aktører inn i nettverk, beslutningssløyfer og informasjonstolkning. Vi har illustrert at det er viktige sammenhenger mellom endringer i IO og potensiell storulykkesrisiko, som vi pr i dag i de fleste tilfeller vet for lite om. Noe av denne kunnskapen vil måtte komme gjennom generisk kunnskapsutvikling (forskning) mens noe vil måtte komme gjennom praktisk erfaring og vurdering i de enkelte virksomheter. I dette er det viktig at kunnskap som dannes i den enkelte virksomhet deles åpent i forum der man kan lære av erfaringer som gjøres. Likeledes ser vi at de samme endringene betyr at deling av HMS kunnskap mellom selskapene blir lettere slik at den totale forståelsen av hva risiko og HMS er kan øke i petroleumsnæringen dersom det arbeides aktivt med dette. IO skaper en arena for slikt arbeid og muliggjør forskning og utvikling innen dette området. Vi har ikke indikert om risiko for storulykker går opp eller ned. Med fokus på HMS og storulykker parallelt med annen utvikling innen IO, vil vi bidra til at vi lettere vet på forhånd hvilken retning vi beveger oss i.

19