NORSOK STANDARD Z-013N - · PDF fileNORSOK-standard S-001 Technical safety NORSOK-standard...

This NORSOK standard is developed by NTS with broad industry participation. Please note that whilst every effort has been made to ensure the accuracy of this NORSOK standard, neither OLF nor TBL or any of their members will assume liability for any use thereof. NTS is responsible for the administration and publication of this NORSOK standard.

Norwegian Technology Centre Telephone: + 47 22 59 01 00 Oscarsgt. 20, Postbox 7072 Majorstua Fax: + 47 22 59 01 29 N-0306 Oslo Email: [email protected] NORWAY Website: www.nts.no/norsok

Copyrights reserved

NORSOK STANDARD Z-013N Rev. 2, September 2001

Risiko- og beredskapsanalyse

NORSOK Standard Z-013N Rev. 2, September 2001

NORSOK standard Page 1 of 98

Innhold Innhold 1 Forord 3 Introduksjon 3 1 Omfang 4 2 Normative referanser 4 3 Definisjoner og forkortelser 5

3.1 Definisjoner 5 3.2 Forkortelser 8

4 Etablering og bruk av risikoakseptkriterier 9 4.1 Generelt 9 4.2 Basis for risikoakseptkriterier 10 4.3 Kvaliteter ved risikoakseptkriterier 10 4.4 Oppdatering av risikoakseptkriterier 10 4.5 Usikkerhet 10

5 Planlegging, gjennomføring og bruk av risiko- og beredskapsanalyse 11 5.1 Generelt 11 5.2 Generelle krav 11 5.3 Spesielle krav til kvalitativ risikoanalyse 13 5.4 Spesielle krav til beredskapsanalyser 14 5.5 Kontroll av ytelseskrav 17 5.6 Deltakelse fra operativt personell 18

6 Særlige krav til kvantitativ risikoanalyse (QRA) 18 6.1 Steg i en kvantitativ risikoanalyse (QRA) 18 6.2 Planlegging 19 6.3 Begrensninger 19 6.4 System definisjon 20 6.5 Identifikasjon av fare 20 6.6 Analyse av årsaker og frekvens av utløsende hendelser 20 6.7 Datagrunnlag og modeller 20 6.8 Konsekvens- og eskaleringsanalyse i TRA 21 6.9 Vesentlige sikkerhetssystemer 22 6.10 Risikoanalyse av brønn- og boreaktivitet 22 6.11 Estimere risiko for personell 23 6.12 Tap av hovedsikkerhetsfunksjon 23 6.13 Etablering av dimensjonerende ulykkeshendelser (DUHer) 23 6.14 Estimere risiko for skade på materielle verdier eller avbrudd i produksjonen 24 6.15 Sensitivitetsanalyser 24 6.16 Dokumentasjon 24 6.17 Oppdatering av analyse 25

7 Bruk av risiko- og beredskapsanalyse i ulike prosjektfaser 25 7.1 Generelt 25 7.2 Analyse gjennom konseptutvikling 25 7.3 Bruk av SBSD 27 7.4 Driftsanalyser 28 7.5 Analyse av beredskap 29

8 Koblinger 29 8.1 Generelt 29 8.2 Forhold til andre NORSOK-standarder 29 8.3 Estimere miljørisiko 30 8.4 Regularitetsanalyse 30 8.5 Pålitelighetsbasert vedlikehold (RCM) 31 8.6 Pålitelighets- og risikobasert testing 31



8.7 Risikobasert inspeksjon (RBI) 31 8.8 Kritikalitetsrangering 31 8.9 Risiko- og beredskapsanalyse for flyttbare innretninger 32 8.10 Sikkerhetsintegritetsnivå (SIL) 32 8.11 Helserisikovurderinger (HRVer) 32

Vedlegg A (informativt) Risikoakseptkriterier 33 Vedlegg B (informativt) Årsaks- og konsekvensanalyse av ulike ulykker 55 Vedlegg C (informativt) Analyser under prosjektering og drift 66 Vedlegg D (informativt) Anerkjente databaser og programvare 71 Vedlegg E (informativt) Retningslinjer for kost-nytte analyser 72 Vedlegg F (informativt) Scenariebasert systemdesign (SBSD) 84 Vedlegg G (informativt) Prosedyre for simulering av sannsynlige eksplosjoner 89 Vedlegg H (informativt) Informative referanser 98



Forord NORSOK-standarder er utviklet av norsk petroleumsindustri for å sikre tilfredsstillende sikkerhet, verdiøkning og kostnadseffektivitet for eksisterende og framtidig utviklingsprosjekter i petroleumsindustrien. NORSOK-standarder er utarbeidet for å komplettere foreliggende internasjonale standarder og å fylle det store behovet i norsk petroleumsindustri. Der det er relevant, vil NORSOK-standarder brukes for å gi norsk industri innspill til sin internasjonale standardiseringsprosess. Når det utvikles og publiseres internasjonale standarder, vil den relevante NORSOK-standarden bli trukket tilbake. NORSOK-standarder er utviklet i henhold til konsensus-prinsippet slik at de er tilpasset de fleste standarder og tilpasset etablerte prosedyrer slik de defineres i NORSOK-standard A-001, som også gjelder dette NORSOK-direktivet. Utarbeidelse og publisering av NORSOK-standarder er støttet av OLF (Oljeindustriens Landsforening) og TBL (Teknologibedriftenes Landsforening). NORSOK-standarder administreres og utgis av NTS (Norsk TeknologiSenter). Alle vedlegg er informative.

Introduksjon Hensikten med denne NORSOK-standarden er å etablere krav for effektiv planlegging, gjennomføring og bruk av risiko- og beredskapsanalyse. Bruk av RAK er også behandlet slik at standarden dekker noen aspekter ved risikovurdering. De informative vedleggene gir retningslinjer. Vedleggene gis som tilleggsinformasjon og sjekklister, slik kan de brukes av personell med ansvar for vurdering og analyse av risiko og beredskap. Det er derfor lagt vekt på å gi nytting informasjon heller enn å begrense størrelsen på vedleggene. Denne NORSOK-standarden inneholder også et antall krav hvorfra det ikke skal gis noen unntak (”skal”-krav). I andre tilfelle er det anbefalt en foretrukket handling (”bør”-krav). Når denne NORSOK-standarden brukes slik at det må gjøres unntak fra den anbefalte framgangsmåte (”bør”-krav), skal begrunnelsen for dette alltid presiseres.



1 Omfang Denne NORSOK-standarden gir krav for planlegging, gjennomføring og bruk av risiko- og beredskapsanalyse med særlig vekt på å gi innsikt i prosessen og klare definisjoner. Denne NORSOK-standarden er strukturert omkring følgende hovedelementer: • Etablering av akseptkriterier for risiko forut for gjennomføring av risikoanalysen. • Sammenhengen mellom risiko og beredskapsanalyse, spesielt integrasjonen av de to typene analyser til

en samlet analyse. • Planlegging og gjennomføring av analyser. • Nærmere om bruk av risiko- og beredskapsanalyser for ulike aktiviteter og prosjektfaser • Etablering av krav basert på risiko- og beredskapsanalyse. Denne NORSOK-standarden dekker beredskapsanalyse, beredskapsetablering samt beredskapsorgani-sering, mens beredskapsvedlikehold og -utvikling ikke er dekket av standarden. Denne NORSOK-standarden dekker analyse av risiko og beredskap i forhold til leteboring, utnyttelse, produksjon og transport av petroleumsressurser samt alle installasjoner og fartøy som tar del i slik aktivitet. Denne NORSOK-standarden dekker ikke utstyr på land. Analyse av dødsrisiko fra arbeidsulykker dekkes av denne NORSOK-standarden. Den dekker ikke ansattes helserisiko, inkludert fysisk og psykologisk arbeidsmiljø, kartlegging og analyse av arbeidsmiljø og bruken av akseptkriterier for risiko. Yrkesskader er ikke del av denne NORSOK-standarden.

2 Normative referanser De følgende standarder inneholder forskrifter som, ved referanser i denne teksten, utgjør forskrifter for denne NORSOK-standarden. Siste utgave av referanser skal brukes dersom man ikke er blitt enige om noe annet. Andre anerkjente standarder kan brukes dersom det kan vises at de møter og overgår kravene i de standarder som er referert nedenfor. IEC 61508 Functional safety of electrical/electronic/programmable electronic safety related

systems(all parts) IEC 61511 Functional safety instrumented systems for the process industry sector (all parts) (under

development) ISO 13702 Petroleum and natural gas industries - Offshore production installations - Control and

Mitigation of Fires and Explosions - Requirements and guidelines. ISO 17776 Petroleum and natural gas industries - Offshore production installations – Guidelines on

tools and techniques for identification and assessment of hazards. ISO 15544 Petroleum and natural gas industries - Offshore production installations – Requirements

and guidelines for emergency response.

“OLF- Veiledning for gjennomføring av miljørisikoanalyser for petroleumsaktiviteter på norsk sokkel - Metode for Miljørettet Risiko Analyse (MIRA) Rev.1 OLF, November 1999

OLF Retningslinjer for etablering av områdeberedskap, 30.6.2000

OLF Retningslinjer for gyldighet av IEC 61508 and IEC 61511 i petroleumsaktiviteter på Norsk kontinentalsokkel, 1.2.2001, OLF Retningslinjer 70, Rev 1 NORSOK-standard N-001 Structural design, Rev. 3, August 2000 NORSOK-standard S-001 Technical safety NORSOK-standard S-002 Working environment



NORSOK-standard Z-008 Criticality classification method NORSOK-standard Z-016 Regularity management & reliability technology “Risikoanalysen som beslutningsstøtte under design av normalt ubemannede installasjoner”, Aker report 58357, 21.9.1999 OD Forskrifter om styring i petroleumsvirksomheten European Commission: Model Evaluation Group, report of the Second Open Meeting, Cadarache France, 19 May 1994, Report EUR 15990 EN, ISBN 92-826-9549-2, 1995 "Design of Offshore Facilities to Resist Gas Explosion Hazard Engineering Handbook."

3 Definisjoner og forkortelser

3.1 Definisjoner De følgende begreper og forkortelser gjøres gjeldende i denne NORSOK-standarden. 3.1.1 ulykkeshendelse hendelse eller hendelseskjede som kan forårsake tap av liv eller skade på helse, miljø eller verdier Note 1 – Hendelser som overveies i en risikoanalyse er akutte, uønskede og ikke-planlagte. F.eks.; Planlagte driftsutslipp, for eksempel til ytre miljø, inkluderes vanligvis ikke i risikoanalyse. Note 2 – Begrepet ”hendelse” må defineres konkret i relasjon til den enkelte analyse, for å oppnå et konsistent grensesnitt mot tilgjengelighetsanalyse, dvs. analyse av produksjonsregularitet. 3.1.2 ALARP – så lavt som praktisk mulig ALARP uttrykker at risikonivået er redusert - gjennom en dokumentert og systematisk evalueringsprosess - så langt at det ikke lenger kan identifiseres kostnadseffektive tiltak som kan redusere risikoen ytterligere Note – Kravet for å etablere en kostnadseffektiv løsning innebærer at risikoreduksjon implementeres inntil kostnadene ved videre risikoreduksjon er "stort misforhold" med effekten av risikoreduksjonen. 3.1.3 kan kan indikerer en fremgangsmåte som er tillatt innenfor rammene av standarden (en tillatelse) eller et forslag som indikerer en mulighet for brukeren av standarden. 3.1.4 definerte fare- og ulykkessituasjoner (DFU) et utvalg av mulige faresituasjoner og ulykkeshendelser som brukes for dimensjonering av beredskap for den enkelte aktivitet Note 1 – Utvalget vil være representativt for mulige hendelser som virksomhetens beredskap og skal inkludere dimensjonerende ulykkeshendelser, samt fare- og ulykkessituasjoner forbundet med en midlertidig økning av risiko og ulykkeshendelser av mindre omfang, som f.eks. mann overbord-situasjoner, mindre oljesøl som overskrider fastsatte utslippsgrenser, arbeidsulykker o.l. Note 2 - Situasjoner forbundet med en midlertidig økning av risiko kan for eksempel være drivende gjenstander, arbeid over åpen sjø, ustabile forhold i brønn i forbindelse med brønnintervensjon, varmt arbeid, opp- og nedjekking av oppjekkbare innretninger, spesielle driftsoperasjoner og naturforhold o.l. 3.1.5 dimensjonerende ulykkeshendelser (DUH) ulykkeshendelser som legges til grunn for utforming, dimensjonering og bruk av innretninger og gjennomføring av virksomheten for å oppfylle de definerte akseptkriterier for risiko



3.1.6 dimensjonerende ulykkeslast (DUL) den last som funksjonen/systemet skal kunne motstå i en nødvendig tidsperiode, for at akseptkriteriene for risiko skal være tilfredsstilt Note - I forbindelse med enkelte typer av ulykkeshendelser kan det være vanskelig å angi hva som er tilhørende ulykkeslast, eksempelvis knyttet til fylling av oppdriftsvolumer med påfølgende ulykkeshendelser i form av kantring eller tap av oppdrift. I slike tilfeller vil grunnlaget for dimensjonering være gitt av dimensjonerende ulykkeshendelser. Ved etablering av ulykkeslaster skal også akseptabel skade eller nødvendig funksjonalitet defineres slik at dimensjoneringskriteriene er entydige. Eksempelvis kan begrepet “motstå” i definisjonen forklares som evnen til å fungere på ønsket vis under og etter at ulykkeslasten er påført, og kan være at: • Utstyret skal være på plass, dvs. det er akseptabelt at utstyret skades og settes ut av funksjon og at f.eks. mindre rør og kabler rives

av. Relevant for elektriske motorer og mekanisk utstyr. • Utstyret skal være funksjonsdyktig, dvs. mindre skade kan være akseptabelt forutsatt at utstyret fungerer som planlagt. Relevant for

ESD ventiler, deluge anlegg, rømningsveier, hovedbæresystem, mv. • Utstyret skal være gasstett. Relevant for hydrokarbonførende utstyr. 3.1.7 effektivitetsanalyse av sikkerhets- og beredskapstiltak analyse som skal dokumentere oppfyllelse av ytelseskrav til sikkerhet og beredskap Note - Effektivitetsanalyser i relasjon til tekniske funksjonskrav gjøres for sikkerhetssystemene i forbindelse med risikoanalysene. Det er slik sett en forutsetning at kvantitative risikoanalyser som gjennomføres i forbindelse med dimensjonering, inneholder kvantitative analyser av rømning, evakuering og redning. Tilsvarende gjøres effektivitetsanalyser av beredskapstiltak i forbindelse med beredskapsanalyse. Analysen skal være sporbar, og vil normalt - men ikke nødvendigvis - være kvantitativ. 3.1.8 beredskap omfatter tekniske, operasjonelle og organisatoriske tiltak som planlegges iverksatt under ledelse av beredskapsorganisasjonen ved inntrådte fare eller ulykkessituasjoner for å beskytte mennesker, miljø og økonomiske verdier Note - Definisjonen fokuserer på å skille dimensjonering av beredskap fra dimensjonering av tekniske sikkerhetssystemer (se også definisjon av beredskapsanalyse og beredskapsetablering). Dimensjonering av tekniske sikkerhetssystemer skjer i tilknytning til bruk av risikoanalyser, i tillegg til myndighetenes minimumskrav, etablert praksis, anerkjente normer osv. 3.1.9 beredskapsanalyse analyse som omfatter etablering av definerte fare- og ulykkessituasjoner herunder dimensjonerende ulykkessituasjoner, etablering av funksjonskrav til beredskap, og identifikasjon av tiltak for å dimensjonere beredskapen 3.1.10 beredskapsetablering systematisk prosess som går ut på å planlegge og implementere egnede beredskapstiltak for den aktuelle virksomheten, på basis av gjennomført risiko- og beredskapsanalyse 3.1.11 beredskapsorganisasjon den organisasjon som planlegges, etableres, trenes og øves for å håndtere inntrådte fare- og ulykkessituasjoner Note - Beredskapsorganisasjonen omfatter både personell på innretningen og på land, og inkluderer alle personellressurser som benyttes ved enhver inntrådte fare- og ulykkessituasjon. 3.1.12 vesentlig sikkerhetssystem system som har som hovedoppgave i kontroll og lindring av ulykker innenfor hvilken som helst følgende rømning, evakuering og redning 3.1.13 informativ referanse referanse brukt informativt for iverksettelse av NORSOK-standarder



3.1.14 hovedsikkerhetsfunksjon sikkerhetsfunksjoner som må være intakte for å sikre at forurensningen kontrolleres og at personell som ikke direkte eksponeres umiddelbart, kan komme i sikkerhet på organisert vis, enten ombord på innretningen eller ved kontrollert evakuering Note - Hovedsikkerhetsfunksjonene inklusiv den funksjonalitet de skal ha, skal defineres for hver enkelt innretning på en entydig måte. EKSEMPLER - Hovedbæresystemer, rømningsveier, kontrollrom, tilfluktsområde (sikkert område) og evakueringsmidler. 3.1.15 kunne verbal form som brukes for å indikere et tillatt handlingsforløp innenfor standardens grenser 3.1.16 ytelseskrav til sikkerhet og beredskap etterprøvbare krav til effektivitet av sikkerhets- og beredskapstiltak som skal sikre at sikkerhetsmålsettinger, risikoakseptkriterier, myndighetenes minimumskrav og etablerte normer tilfredsstilles under prosjektering og drift Note - I relasjon til funksjonskravene skal begrepet "effektivitet" tolkes i vid forstand, inklusiv tilgjengelighet, pålitelighet, kapasitet, mobiliseringstid, responstid, funksjonalitet, sårbarhet, personellkompetanse. 3.1.17 risiko kombinasjon der sannsynlighet for og skade og alvorlighet av skaden Note - Risiko kan uttrykkes både kvantitativt og kvalitativt. Sannsynlighet kan uttrykkes med en sannsynlighetsverdi (0-1, dimensjonsløs) eller som en frekvens, med det inverse av tid som dimensjon. Det ligger implisitt i definisjonen at risikoaversjon (mao. en slik vurdering av risiko som tilsier at visse ulykkeskonsekvenser tillegges større vekt enn andre i bedømmelsen av aksepterbarhet) ikke skal inkluderes i uttrykk for risiko. Det kan være aktuelt å vurdere på kvalitativ basis, aspekter knyttet til aversjon i forbindelse med vurdering av risikonivået for å bestemme graden av eller forutsetninger for aksepterbarhet. 3.1.18 akseptkriterier for risiko Kriterier som benyttes for å uttrykke et akseptabelt risikonivå i virksomheten Note - Akseptkriterier for risiko brukes i analysesammenheng og uttrykker den risiko som aksepteres, og er utgangspunktet for videre risikoreduksjon jamført ALARP-prinsippet, se også 3.1.2. Akseptkriterier for risiko kan være både kvalitative og kvantitative. 3.1.19 risikoanalyse bruk av tilgjengelig informasjon for å identifisere ulykkeshendelser og estimere risiko Note 1 - Risikoanalyse-begrepet dekker flere typer analyser som betrakter både årsak/sannsynlighet til og konsekvens av en ulykkeshendelse i forhold til risiko for personell, miljø og verdier. Eksempler på enklere analyser er; sikker jobb analyse, FMEA, grovanalyse, HAZOP, etc. Note 2 - I en del tilfeller er det mest aktuelt å utføre kvantitative risikoanalyse, som innebærer en tallfesting av sannsynlighet for og konsekvens av ulykkeshendelser, på en slik måte at det tilrettelegges for sammenlikning med kvantitative akseptkriterier for risiko. 3.1.20 risikovurdering den totale prosess for risikoanalyse og risikoevaluering Note – Se figur 2. 3.1.21 sikkerhetsmål mål for sikkerhet for mennesker, miljø og økonomiske verdier som virksomheten skal styres mot Note - Sikkerhetsmål vil uttrykke kort- eller langsiktige målsettinger som er etablert for virksomheten, mens risikoakseptkriterier uttrykker det risikonivå (sett i forhold til risikoanalysen) som aksepteres i dag.



3.1.22 skal skal er et absolutt krav som må følges strengt for å sikre overensstemmelse med standarden. 3.1.23 bør bør er en anbefaling. Alternative løsninger med samme funksjonalitet og kvalitet kan aksepteres.

3.2 Forkortelser

AFFF Skummiddel (Aqueous film forming foam)

AIR Gjennomsnittlig individrisiko

ALARP Så lavt som praktisk mulig

B&G Brann og gass (deteksjon)

BDV Nedblåsningsventil

BK Boligkvarter

BOP Utblåsningsventil

CBA Kost nytte analyse

CFD Strømningsdynamisk beregningskode

CRA Konseptrisikoanalyse

DFU Definerte fare- og ulykkessituasjoner

DNV Det Norske Veritas

DP Dynamisk posisjonering

DUH Dimensjonerende ulykkeshendelser

DUL Dimensjonerende ulykkeslast

EER Rømning, evakuering og redning

EPA Beredskapsanalyse

ERA Tidlig risikoanalyse

ESD Nødavstengning

ESDV Nødavstengningsventil

FAR Dødsfrekvens (antall omkomne per 100 mill eksponerte timer)

FMEA Feilmodi og feileffektanalyse

GBS Plattformunderstell basert på gravitet

HAZID Fareidentifikasjon

HAZOP Hazard and operability study

HC Hydrokarboner

HCLIP Hydrocarbon leak and ignition project

HIPPS High integrity pressure protection system

HMS Helse, miljø og sikkerhet

HMSO Her Majesty’s Stationary Office

HRV Helserisikovurdering

HSE Health and safety executive

IR Individrisiko

IRPA Individuell risiko per år



JIP Joint Industry Project

LCC Livssykluskostnad

LEL Nedre eksplosjonsgrense

MODU Mobile offshore drilling unit

NLFEM Ikke-lineær elementmetode

NTS Norsk Teknologistandardisering

NV Nåverdi

OD Oljedirektoratet

OLF Oljearbeidernes Landsforening

PFD Prosessflytdiagram

PFEER Prevention of fire and explosion and emergency response

PLL Potensielt tap av liv

PUD Plan for bygging og drift

QRA Kvantitativ risikoanalyse

RAK Risikoakseptkriterier

RBI Risikobasert inspeksjon

RCM Pålitelighetsbasert vedlikehold

RRM Risikoreduserende tiltak

RV Trykkavlastningsventil

SAR Search and rescue

SBSD Scenariebasert systemdesign

SD Sjøfartsdirektoratet

SDOF En frihetsgrad

SIL Sikkerhetsintegritetsnivå

SINTEF Stiftelsen for industriell og teknisk forskning ved NTH

SJA Sikker jobbanalyse

TBL Teknologibedriftenes Landsforbund

TRA Totalriskikoanalyse

TREPA Total risiko- og beredskapsanalyse

U&P Undersøkelse og produksjon

UEL Øvre eksplosjonsgrense

UH Ulykkeshendelse

ULS Ulykkesgrensetilstand

4 Etablering og bruk av risikoakseptkriterier

4.1 Generelt Etablering og bruk av risikoakseptkriterier er elementer i HMS-styring, som ikke til fulle dekkes av denne NORSOK-standarden. Dokumentet “Guidelines for Development and Application of Health, Safety and Environmental Management Systems” fra E&P Forum gir veiledning for HMS-styring.



4.2 Basis for risikoakseptkriterier Risikoakseptkriterier uttrykker det overordnede risikonivået som fastsettes som tolererbart med hensyn til en definert tidsperiode eller en fase av aktiviteten. Vedlegg A presenterer en omfattende diskusjon av aspekter relatert til definering og bruk av risikoakseptkriterier. Risikoakseptkriterier utgjør en referanse ved vurdering av behovet for risikoreduserende tiltak og skal derfor foreligge før man gjennomfører risikoanalysen. Akseptkriteriene skal så langt som mulig reflektere virksomhetens sikkerhetsmål og særegenhet. De vurderingene som danner basis for utformingen av risikoakseptkriteriene skal dokumenteres. Det skal fastsettes klare rammer for bruk av risikoakseptkriteriene. Data som legges til grunn for utarbeidelse av kvantitative risikoakseptkriterier skal dokumenteres. Måten disse akseptkriteriene skal brukes på skal også spesifiseres, særlig med hensyn til usikkerheten som ligger i kvantitativt uttrykt risiko.

4.3 Kvaliteter ved risikoakseptkriterier For at akseptkriteriene for risiko skal gi en god støtte for HMS-styring og beslutninger, skulle de representere et kompromiss der følgende kvaliteter tilfredsstilles så langt som mulig: • Egnethet for beslutning om risikoreduserende tiltak. • Være kommuniserbare. • Være entydig formulert (slik at de ikke krever omfattende tolkning eller tilpasning for en spesiell bruk) • Ikke favorisere noe spesielt løsningskonsept, ei heller implisitt gjennom måten risikoen beskrives. (Men

bruken av risikoakseptkriterier i risikovurdering vil vanligvis bety at en konsept (eller flere konsepter) er foretrukket framfor andre, fordi det (de) gir lavest risiko.

Dybdediskusjoner over disse aspektene presenteres i Vedlegg A. Risikoakseptkriterier skal være i samsvar med risikoelementene slik det beskrives i 5.2.5. Hvis gjennomsnittlig ulykkesrisiko eller AIR brukes for å bestemme risikoakseptkriterier, skal også kriterier for områder eller grupper innenfor en plattforms personell formuleres. Det er ikke nok bare å ha en verdi for gjennomsnittet på plattformen som kriterium. Se også § 6 (Akseptkriterier for storulykkerisiko og miljørisiko) i OLFs Forskrift om styring i petroleumsvirksomheten. Risikovurderingen skal vurderes som ODs forskrifter om ”beste estimater” når en vurderer det i forhold til risikoakseptkriterier, enn på en optimistisk eller pessimistisk (”verst tenkelige tilfelle”) måte. Tilnærmingen mot den beste overslaget skal derimot være fra den konservative siden, særlig når datagrunnlaget er begrenset.

4.4 Oppdatering av risikoakseptkriterier Behovet for å oppdatere risikoakseptkriteriene skal evalueres regelmessig som et element i den videre utvikling og kontinuerlige forbedring av sikkerheten.

4.5 Usikkerhet Resultatene av risikovurdering vil alltid bli assosiert med noe usikkerhet, som kan kobles til relevansen av datagrunnlaget, modellene som brukes i vurdering, antakelsene, forenklingene eller ekspertvurderingene som er gjort. Denne usikkerheten vil reduseres ettersom prosjekteringsarbeidet utvikler seg. Usikkerheten er vanligvis svært omfattende i tidlige konseptstudiefaser. Dette skal reflekteres i disse fasene når risikoakseptkriteriene brukes for å bedømme resultatene av QRA. Kravene kan tilfredsstilles på en av to mulige måter: • Bruke mer konservatisme i risikoanalysen • Forsikre at risikoakseptkriteriene gir en tilfredsstillende margin.



5 Planlegging, gjennomføring og bruk av risiko- og beredskapsanalyse

5.1 Generelt Kravene i dette avsnittet er generelle uten tilknytning til noen livsløpsfase. De fasespesifikke krav er gitt i kapittel 7. Beskrivelsen i kapittel 5 behandler hovedsakelig integrert risiko og risiko- og beredskapsanalyse. Spesielle krav til QRA presenteres i kapittel 6.

5.2 Generelle krav

5.2.1 Formål og ansvar Hovedmålet med bruk av risiko- og beredskapsanalyser er å skape et beslutningsgrunnlag som kan bidra til å velge de sikkerhetsmessig optimale løsninger samt de risikoreduserende tiltakene som skal iverksettes, på et riktig faglig og organisatorisk underlag. Hovedresultatene av hvilken som helst risikoanalyse skal være: • Input til risikostyring. • Presentasjon av risiko for den aktuelle virksomhet i forhold til strukturen av risikoakseptkriterier og de

relevante risikoelementene, se 5.2.5 • Innspill til utvelgelse av prosjekteringskonsepter, prosjekter, konstruksjon og bruk av utstyr og

installasjoner for å minimere risiki i forhold til hva som er aktuelt for den beslutning som må fattes. • Rangering av bidrag fra ulike risiki som basis for HMS-styring. • Identifikasjon av mulige tiltak for å redusere risiko i forhold til hva som er aktuelt for den beslutning som

fattes. • Viktige operasjonelle antakelser/tiltak for å møte risikoakseptkriteriene. • Det er påkrevd å følge opp resultater, anbefalinger og antakelser fra analysene. Dokumentasjonen av

disse skal tilrettelegge for slik oppfølging. Hovedresultatene av TRA (eller andre detaljerte risikoanalyser av lignende slag) bør i tillegg gi mulighet for: • Basis for etablering av ytelseskrav. • Etablering av krav for beredskap. • Innspill til utvalg av prosjekteringskonsepter, prosjekter, konstruksjon og bruk av utstyr og installasjoner

for å minimalisere risiko. • Identifikasjon av dimensjonerende ulykkeshendelser. TRA vil også bli brukt for å etablere ytelseskrav for vesentlige sikkerhetssystemer. Hovedresultatene fra en beredskapsanalyse skal være: • Basis for etablering av beredskap, inklusive planer for beredskap og trening og øvelsesplaner. • Utvalg av optimale løsninger mellom tilgjengelige alternativer. En lang rekke aspekter skal avklares før en risikoanalyse gjennomføres: a) Formålet med risikoanalysen defineres klart og samsvarer med virksomhetens identifiserte behov.

Målgruppene for analysens resultater avklares. b) Akseptkriteriene for risiko i virksomheten defineres, se kapittel 4. c) Beslutningskriterier for analyser av begrenset omfang defineres. d) Omfanget av analysen og avgrensningen av det som ønskes analysert skal defineres klart. En

passende metode velges delvis på denne bakgrunnen. e) En foreløpig angivelse av de typer analyser og anvendelser av resultater som planlegges

gjennomført. f) Driftspersonell, inklusive arbeidstakernes representanter onshore og offshore skal være involvert i

arbeidet så langt det er nødvendig. g) Relevante forskrifter, mulige klasseselskapers regler og passende standarder og spesifikasjoner

som skal danne basis for konstruksjon og gjennomføring. Dette gjelder særlig for bygging av nye mobile enheter og flytende produksjonsinstallasjoner.



Krav f) og g) kan ikke fullstendig nås når en flytende enhet er bygget på antakelser, uten at en spesiell operasjon eller kontinentalsokkel er bestemt.

5.2.2 Planlegging av beredskapsanalyser Risikoanalyser skal planlegges i samsvar med utvikling og drift av virksomheten, slik at en sikrer seg at risikoanalysene brukes aktivt i konstruksjon og gjennomføring av virksomheten: • Risikoanalyser skal utføres som en integrert del av utviklingen av utviklingsarbeidet slik at disse

analysene gir deler av grunnlaget for beslutningstaking for bl.a. konstruksjon av sikker tekniske, driftsmessige og organisasjonsmessige løsninger for den aktuelle virksomhet.

• Risikoanalyser skal utføres i sammenheng med store endringer, endring av område for bruk, at en installasjon tas ut av bruk eller fjernes eller i sammenheng med store endringer i organisasjonen og bemanningsnivået. Se avsnitt 7.4 og vedlegg C.6.

For å oppnå de overordnede målene, skal de følgende kravene til risikoanalyse gjelde: • Planlegging av risikoanalyse:

• Analysen skal målrettes og utføres på en systematisk måte som en integrert del av HMS-styringen. • Analysen skal fokusere på identifikasjon av og innsikt i aspektene og mekanismene som kan

forårsake risiko. • Analysene må utføres på en passende tid slik at resultatene av analysen til rett tid kan benyttes i den

aktuelle beslutningsprosessen. • Resultatene fra analysen skal ikke brukes i beslutningstaking i sammenhenger som går utover de

begrensningene som gjelder QRA i særdeleshet (se 6.3). • Gjennomføring av risikoanalyser:

• Operatørens, eierens, kontraktørens/underleverandørens ansvar skal defineres klart (dette er f.eks. viktig når en operatør ikke er involvert i konseptdefinisjonsfasen) med tanke på gjennomføringen av analysen og implementering av resultatene.

• Antakelser skal identifiseres, gjøres tydelige og kommuniseres til brukerne av analyseresultatene. • Erfaring har vist at brukerne av analyseresultatene trenger å bli aktivt involvert i risikovurderingen slik

at denne kan bli effektiv. Se også kravene for risikoanalyse som basis for beredskapsanalyse i 5.2.3.

5.2.3 Planlegging og gjennomføring av beredskapsanalyser For å unngå større og kostbare endringer på et sent tidspunkt i et utbyggingsprosjekt er det viktig å fokusere på beredskap som en integrert del av virksomheten tidlig i utbyggingsprosjekter (Se også vedlegg C.2). Ved gjennomføring av risikoanalyse som underlag for beredskapsanalyse skal det derfor legges vekt på at: a) DUH (som del av DFUer) skal identifiseres og beskrives utførlig. b) Forutsetninger, premisser og antakelser skal identifiseres og dokumenteres som underlag for å

etablere ytelseskrav for beredskap. Følgende forhold skal være avklart før beredskapsanalyse gjennomføres, i tillegg til de generelle kravene i 5.2.1: Når det benyttes kvantitative analyser må datagrunnlaget i planleggingsfasen tilpasses analysens formål best mulig.

5.2.4 Kompetansen hos analysepersonellet Krav til kompetanse hos personellet som utfører og vurderer risiko og beredskapsanalysen skal defineres. Analyseteamet for kvantitative (eller en ekstensiv kvalitativ) risikoanalyse skal ha spesialkompetanse i risikoanalysemetoder og relevante konsekvensmodeller i tillegg til relevant prosjekterings- og driftskompetanse. Den siste kan, når slike aktiviteter analyseres, inkludere kompetanse innen fabrikasjon og installasjonsaktiviteter, relevante marine og bemannede undervannsoperasjoner.



For beredskapsanalyse skal personellet ha kompetanse på beredskapsanalyse samt innenfor prosjektering og driftsarbeid og driftsberedskap skal inkluderes i analyseteamet. Risikoanalytikere bør også delta slik at integreringen av risiko og beredskapsanalysen veiledes.

5.2.5 Risikoelementer Som et minimum skal følgende risikoelementer betraktes i en TRA, i den grad de er relevante: • Utblåsninger, inklusive grunn gass og reservoarsoner, ikke-antent eller antent. • Prosesslekkasjer, ikke-antent eller antent. • Brann/eksplosjon i hjelpeutstyr og -områder. • Brann i boligkvarter. • Fallende eller svingene objekter • Transportulykker:

• Transport av personell mellom installasjoner skal inkluderes i risikonivået når denne er en integrert del av driften på installasjonene.

• Transport av personell fra land til installasjonen skal inkluderes hvis det kreves av risikoakseptkriteriene.

• Helikopterhavari på installasjonen. • Kollisjon, inklusive felt-relatert trafikk og annen trafikk, med drivende fartøy eller passerende skip. • Stigerør- og rørledningsulykker. • Ulykker fra undervannsproduksjonssystemer. • Yrkesulykker. • Rømnings-, evakuerings- og redningsulykker f.eks. fram til et såkalt tilfluktsområde er nådd. • Konstruksjonssvikt inklusive svikt av broer mellom faste og/eller flytende installasjoner. • Fundamenteringssvikt. • Tap av stabilitet/posisjon. Listen overfor skal gjelde eksplisitt for en detaljert risikoanalyse så langt det er gjennomførbart. For en mindre detaljert analyse kan det hende at ikke hele listen er gjennomførbar i detalj, men det bør vurderes som en veiledning for hvilke risikoelementer som behandles. En eksplisitt liste over relevante risikoelementer skal forberedes som del av definisjonen av arbeidsomfang. Listen kan trenge oppdatering gjennom fareidentifikasjon (HAZID).

5.2.6 Risikoreduserende tiltak Risikoreduserende tiltak skal identifiseres som en del av enhver risiko- eller beredskapsanalyse. Risikoreduserende tiltak består både av sannsynlighetsreduserende tiltak, inklusive iboende sikre løsninger og konsekvensreduserende tiltak, herunder beredskapstiltak. Flere detaljerte krav gis i ODs Forskrift om styring i petroleumsvirksomheten §§ 1 (Risikoreduksjon) og 2 (Barrierer). Se også vedlegg A.3.5. Hvis alternative tiltak foreslås, bør avhengigheten mellom risikoreduserende tiltak dokumenteres eksplisitt. Valget av risikoreduserende tiltak bør videre ta hensyn til pålitelighet og sårbarhet av risikoreduserende tiltak og mulighetene for å kunne dokumentere og verifisere den angitte grad av risikoreduksjon. Muligheten for å ta i bruk bestemte risikoreduserende tiltak er avhengig av blant annet tilgjengelig teknologi, den pågående fasen av aktiviteten og resultatene av kost-nytte analysene (se også vedlegg E). Valget av risikoreduserende tiltak skal dokumenteres i forhold til alle relevante forhold.

5.3 Spesielle krav til kvalitativ risikoanalyse Eksempler på kvalitative risikoanalyser er sikker jobbanalyse, grovanalyse av risiko med risikomatrisepresentasjon, ”Driller’s HAZOP” og enkle sammenlikningsanalyser. Generelle krav til planlegging av risikoanalyse presenteres i 5.2.1 og 5.2.2. Kvalitative analyser utføres vanligvis av en stor gruppe personer for slik å reflektere relevant kompetanse, se 5.2. Avhengig av detaljnivået er stegene i en kvalitativ risikoanalyse: a) Planlegging av analysen. b) System/arbeidsbeskrivelse med begrensinger. c) Fareidentifikasjon.



d) Analyse av årsaker og mulige konsekvenser. e) Risikovurdering. f) Identifikasjon av mulige risikoreduserende tiltak. Se vedlegg A for en diskusjon av kvalitative risikoakseptkriterier. Erfaring fra ulykker og hendelser fra selskapenes egne arkiver og databaser og fra offisielle databaser skal være tilgjengelig for analyseteamet. Denne revisjonen av NORSOK-standarden har lagt hovedvekt på kvantitative risikoanalyser. Derfor er det ikke formulert noen spesifikke krav for kvalitative risikoanalyser. De generelle kravene fra 5.2 er likevel gjeldende.

5.4 Spesielle krav til beredskapsanalyser

5.4.1 Omfang av analysene En beredskapsanalyse skal definere grunnlaget for DFUer og dokumentere valget av DFUer. En systematisk gjennomgang av mulige utviklinger av DFU skal definere og dimensjonere de påkrevde beredskapstiltak som oppfyller de etablerte ytelseskrav til sikkerhet og beredskap. Virkningen av beredskapstiltak skal vurderes. Beredskapsanalyse bør være en integrert del av utviklingen og midifikasjonsprosjekter. Beredskapstiltak inkluderer tiltak rettet mot oljesøl og annen forurensning fra mindre eller større utslipp. Dimensjonering av medisinsk beredskap er også en del av beredskapsanalysen. Driftsbegrensninger må vurderes når driftsmessige og miljømessige forhold defineres. Hvis analysen utføres før formulering av slike prosedyrer, kan antakelser måtte etableres. Alle antakelser gjort på et slikt grunnlag skal verifiseres ved føreste mulige anledning.

5.4.2 Elementer i beredskapsanalysen Figur 1 presenterer elementene i beredskapsanalysen og beredskapsetablering i sammenheng med innspill fra QRA. Utgangspunktet for presentasjonen er en integrert risiko- og beredskapsanalyse og den viser arbeidet som kan utføres steg for steg i et feltutviklingsprosjekt. Forbindelsen er begrenset til DUFer. Elementene i beredskapsanalysen beskrives summarisk i punkt 5.4.3 til 5.4.7.



Figur 1 – Risiko og beredskapsanalyse Veiledning til å etablere beredskapsplaner finnes i ISO 15544.

5.4.3 Etablere DFU DFU skal inkludere de følgende hendelseskategorier: • DUHer, vanligvis definert på bakgrunn av DULer gjennom QRA. • Situasjoner forbundet med midlertidig øket risiko. • Mindre omfattende UHer, inkludert akutte sykdomstilfeller. DFUer skal i tillegg etableres på basis av: • Erfarte hendelser fra sammenlignbare aktiviteter. • Ulykkeshendelser som vises i QRA uten å være identifisert som DUHer så lenge de representerer

utfordringer til beredskapen. • DUFer i følge OLFs Etablering av områdeberedskap (30.6.2000). Hendelser som inngår i beredskap i

overensstemmelse mednormal praksis. Valg av DFUer skal dokumenteres, særlig i forhold til hvorfor de vurderes å være et representativt utvalg også slike hendelser som har vært utelatt. Når DFUer er etablert er det viktig å inkludere hendelser som hovedsakelig kan forårsake skade på materielle verdier uten at det medfører risiko for personell, slik som skade på rør og undervannsproduksjonssystemer. Behovet for beskrivelse av DUHer (blant DFUer) er beskrevet i 5.2.3. I situasjonsbeskrivelsene som forholder seg til midlertidig økt risiko eller mindre omfattende ulykkeshendelser, skal følgende inkluderes:

Beredskapsanalyseprosessen

Risikoanalyseprosessen

Ulykkestyper

Stor-ulykker

Mindreulykker

Risikoaksept-kriterier

Forslag til tiltak/løsning/arrange-ment/utforming/

Risikoanalyse

Valg av løsning

Implementeringav løsning

DFU

DUH MindreUH

Midlertidigøkning

Funksjonskrav

Identifisere tiltak

Effektivitetsanalyse av tiltak

Valg av løsning

Beredskapsplan

Etablering av DUH

Forutsetninger somgrunnlag for

funksjonskrav

Iterering

Iterering

Beredskaps-analyse

Etablering avberedskap



• En generell beskrivelse av situasjonen ut fra tid og utstrekning. • Antall personer som kan bli truet eller skadet, likeledes miljøressurser og materielle verdier som kan bli

truet eller skadet. • Drifts- og miljømessige forhold som kan opptre når disse ulykkeshendelsene oppstår. Når en forholder seg til normalt ubemannede installasjoner, skal det skilles mellom de DFUer som relateres seg til personell som er til stede og de som relateres til at installasjonen er ubemannet. For normalt ubemannede installasjoner vil noen DFUer som vanligvis er basert på DUHer defineres som DFUer for bemannede installasjoner, kan ignoreres som DFUer, hvis en lav eksponering (aktivitetsnivå) betyr at sannsynligheten for hendelsen er liten. Dette vurderes fra sak til sak.

5.4.4 Informasjon fra QRA All relevant informasjon og alle relevante resultater fra QRA skal danne grunnlag for beredskapsanalysen. Slik informasjon skal inneholde: • Beskrivelse av de DUHer som det skal etablere organisasjons- og driftsmessige tiltak for. • Tidskrav som må oppfylles. • Krav til systemytelse som danner grunnlag for beredskapen. • Forutsetninger om suksess eller egnethet av beredskapstiltakene (f.eks. forutsetninger om muligheten

for å redde skadet personell på innretningen eller etter fullført rømning fra ulykkesstedet).

5.4.5 Etablere ytelseskrav Ytelseskrav for beredskapstiltak bør: • Uttrykke funksjonalitet, ikke løsning. • Være enkle å forstå. • Være konkrete og målbare. • Være realistiske. Grunnlaget for etablering av ytelsesstandard indikeres i figur 1 og inneholder resultater og premisser fra risikoanalyser, DUHer og laster. Ytelseskrav skal etableres i forhold til kompetanse hos personellet og de følgende beredskapsfaser: • Alarm • Farebegrensning • Redning • Evakuering • Normalisering Ytelseskrav skal være spesifisert slik at de tillater relevante risikoindikatorer å bli vurdert og brukt under driftsfasen, ref. 5.5.

5.4.6 Identifikasjon av tiltak og løsninger Tiltak og løsninger som skal overveies i en beredskapsanalyse er: • Organisasjons- og driftsmessige tiltak relatert til DUHer og tekniske tiltak som ikke inngår i en

risikoanalyse. • Tekniske, organisasjonsmessige og driftsmessige tiltak relatert både til mindre omfattende

ulykkeshendelser og midlertidig økning av risiko. Prinsippene i 5.2.4 skal brukes ved prioritering av risikoreduserende tiltak. Basis for identifikasjon av mulige tiltak og løsninger er bl.a. kunnskap om interne og eksterne beredskapsressurser. Disse skal beskrives eller refereres til. Alle relevante resurser innenfor følgende kategorier skal vurderes:



• Installasjonens egne ressurser • Områderesurser • Eksterne ressurser

5.4.7 Effektivitetsanalyse Ytelse av tekniske beredskapstiltak kan vanligvis dokumenteres gjennom pålitelighets- eller sårbarhetsanalyser. For organisatoriske eller operasjonelle tiltak kan følgende metoder anvendes: • Treningsresultater • Erfaringer fra øvelser • Beregninger av kapasitet, responstid osv. Det kan være aktuelt å optimalisere ytelsen på bakgrunn av dokumenterte resultater. Dette diskuteres i vedlegg E.

5.4.8 Dokumentasjon av beredskapsanalyse Passende informasjon skal være tilgjengelig på en forståelig måte for alt relevant personell, både beslutningstakere og driftspersonell. Dokumentasjon og resultater av beredskapsanalysen skal brukes for: • Fastsette målsetning, omfang og begrensninger. • Beskrive angjeldende installasjon, gjennom alle faser. • Identifisere forutsetninger og premisser, særlig de som er utledet fra kvantitative risikoanalyser. • Gi en detaljert beskrivelse av alle relevante definerte fare- og ulykkeshendelser. Presentasjon av resultatene av en beredskapsanalyse skal være tilstrekkelig omfattende for å gi god innsikt i grunnlaget for analysen. I tillegg til en oppdatert utgave av analysen skal følgende dokumentasjon være tilgjengelig og kjent for driftspersonellet før oppstart eller drift på installasjonen/av operasjonen: • Dokumentasjon av tiltakene som er eller vil bli gjennomført som en følge av analysen. • Beskrivelse av beredskapsanalysen som planlegges utført eller oppdatert i den kommende livsløpsfasen

for virksomheten som del av den overordnede styrende dokumentasjonen av HMS-styring i fasen.

5.5 Kontroll av ytelseskrav En kontroll av at ytelsesstandarden for sikkerhets- og beredskapssystemer møtes i driftsfasen kan oppnås gjennom å overvåke trendene for risikoindikatorer slik det forklares i vedlegg A. En slik overvåkning bør gjøres minst en gang per år. Derfor bør risikoanalysen være i stand til å identifisere parametrene eller indikatorene som har sterk innflytelse på risikonivå og også den virkning endringer vil ha på risikonivået. Dette vil gjøre en i stand til å overvåke risikonivået effektivt i forhold til risikoakseptkriteriene. Eksempler på slike indikatorer kan være: • Hydrokarbonlekkasjefrekvens • Omfang av varmt arbeid • Tilgjengelighet av vesentlige sikkerhetssystemer (se figur 3) • Mobiliseringstid for redningspersonell/-team • Forhold knyttet til sikkerhetskultur Basert på disse generelle anbefalinger bør det defineres spesielle risikoindikatorer knyttet til hver installasjon eller hvert felt. Hensikten er å få et tidlig varsel om enhver tendens som kan gjøre det umulig å nå risikoakseptkriteriene. Risikoindikatorene skal overvåkes regelmessig for å kunne identifisere uønsket utvikling på et tidlig tidspunkt.



Mulig avvik mellom registrerte parameterverdier og ytelseskrav skal behandles i samsvar med virksomhetens prosedyrer for avvik. En mulighet er å oppdatere forutsetningene i de kvantitative risikoanalysene for å identifisere omfanget av innflytelsen av totalrisikoen.

5.6 Deltakelse fra operativt personell Personellet som deltar i arbeidet bør involveres i kvantitativ risikovurdering på følgende måte: • Under fareidentifikasjon • Ved revidering av systembeskrivelser, forutsetninger og premisser • Ved revidering av dokumentasjon fra analyser, inklusive resultater og evaluering av risikoreduserende

tiltak Se også 5.2.1 og 6.16. Det kan kreves at det forberedes separate presentasjoner av resultater og konklusjoner fra totalrisikoanalyser for å presentere disse for hele arbeidsstokken på en instruktiv og nyttig måte. Operativt personell bør involveres i utøvelsen av beredskapsanalysen offshore på følgende måte: • Under fareidentifikasjon • Under vurdering av fare • Ved revidering av risikoreduserende tiltak

6 Særlige krav til kvantitativ risikoanalyse (QRA)

6.1 Steg i en kvantitativ risikoanalyse (QRA) De enkelte elementene i en QRA fremgår i figur 2 og viser fire nivåer: • Innerste nivå: Risikoberegning • Andre nivå: Risikoanalyse • Tredje nivå: Risikovurdering • Ytre nivå: HMS-styring NB: Disse fire nivåene reflekterer ikke rekkefølgen oppgavene skal utføres i. Rekkefølgen starter på toppen i figur 2 og fortsetter nedover. Krav til risikoanalysen og risikoberegning presenteres videre i teksten, avsnitt 6.2-6.17. Utformingen av risikoakseptkriteriene vil bestemme hvilke av kravene i 6.11-6.14 som gjelder. Denne NORSOK-standarden dekker risikoberegning, risikoanalyse og risikovurdering. HMS-styring dekkes ikke.



Figur 2 – Risikoanslag, - analyse og –vurdering

6.2 Planlegging Generelle krav for planlegging av risikoanalyse er beskrevet i 5.2.2. Tilleggskrav til planlegging av QRA sett i forhold til bruk av datagrunnlag og modeller, presenteres i 6.7.

6.3 Begrensninger Begrensningene ved risikoanalyse skal beskrives eksplisitt. De bør overvåkes under planlegging av analysen. Begrensninger for bruk av risikoanalyse vil resultere fra den måten en implementerer de generelle retningslinjer som er presentert i denne NORSOK-standarden. De generelle aspektene ved datagrunnlaget og modellene skal vurderes i forhold til begrensninger slik de er utdypet i 6.7.

DEL AV SIKKERHETSSTYRING OG RISIKOKONTROLL

RISIKOBEDØMMELSE

RISIKOANALYSE

RISIKOESTIMERING

Planlegging avrisikoanalyse

Systemdefinisjon

Identifikasjon avfare

Konsekvensanalyse

Frekvens-analyse

Risikobilde

Risikoreduse-rende tiltak

Risikoaksept-kriterier

Vidererisikoreduse-rende tiltak

RiskevaluationRisikovurdering



Det relevante presisjonsnivået i resultatet skal vurderes eksplisitt på basis av de beregninger, data og modeller som er tilgjengelig for kvanitifisering av muligheter og konsekvenser. Noen ganger er det påkrevet å uttrykke resultatene med noe høyere presisjon enn det som kan synes nødvendig, basert på presisjonen i beregninger, data og modeller. Dette bør inngå i vurdering av usikkerhet.

6.4 System definisjon Systemdefinisjon (eller systembeskrivelse) skal bestå av: • Beskrivelse av det som skal analyseres, dvs. det tekniske systemet (prosess, konstruksjon, nytte,

sikkerhet, beredskapssystemer ) inklusive den aktuelle drift i de aktuelle faser • Beskrivelse av tidsperioden analysen angår • Beskrivelse av nåværende forhold (i forhold til mulig degradering) for viktige sikkerhetssystemer og –

funksjoner (gjelder særlig analyser i driftsfasen) • Beskrivelse av personellgrupper, ytre miljø og materielle verdier som risikovurderingen gjelder Systembeskrivelsen for en QRA bør i tillegg til de generelle retningslinjer ovenfor også inneholde systemets kapasiteter sett i forhold til mulighet for å tåle feil og sårbarhet for ulykkeseffekter.

6.5 Identifikasjon av fare Fareidentifikasjon skal bestå av: • En bred vurdering av mulige farer og årsaker til ulykker, med en særlig vekt på forsikring om at relevante

farer ikke overses. • Interne/eksterne hendelsesrapporter som kan være gjeldende. • En grovinndeling i kritisk fare (motsatt av ikke-kritisk) for etterfølgende analyser. • Særlig beskrivelse av kriterier brukt i undersøkelse av farer. • Særlig dokumentasjon av de vurderinger som er gjort for å skille ut ikke-kritiske farer. Mulige verktøy for en fareidentifikasjon kan være: • Bruk av sjekklister og ulykkesstatistikk, f.eks. bruk av lister fra ISO 17776, vedlegg D eller tilsvarende,

f.eks. som beskrevet i ISO 17776, vedlegg C • Erfaring fra tidligere analyser, sikkerhetsinspeksjoner og revisjon

6.6 Analyse av årsaker og frekvens av utløsende hendelser Konkret analyse av mulige årsaker for initierende hendelser bør foretrekkes framfor estimat av frekvens for initierende hendelser basert på ulykkes- eller feil-statistikk. Årsaksanalyser gir best grunnlag for å identifisere tiltak som kan forebygge slike hendelser og dermed forebygge ulykker. Mulige verktøy som kan brukes for analyse av årsak og utløsende hendelser er: • Feiltre analyser • Feilmodi- og feileffektanalyser Årsaksanalyser og frekvensdata for utløsende hendelser skal inneholde en vurdering av behovet for å inkludere vurdering av menneskelige og organisatoriske faktorer. Dette er særlig nødvendig der ulykker kan forårsakes direkte av menneskelig eller organisatorisk svikt. For analyser av årsaker/frekvenser av utløsende hendelser i en QRA, bør det, så langt som råd er, foretas en konkret pålitelighetsanalyse av menneskelige feilhandlinger. ODs Forskrift for regulering i petroeumsvirksomheten, § 15 (Kvantitative risikoanalyser og beredskaps-analyser).

6.7 Datagrunnlag og modeller Følgende retningslinjer gjelder: • Både data og de modellene som dataene brukes i skal passe i forhold til konteksten i analysen • Data som brukes bør samsvare med relevante operasjoner og faser



• Hvis trender i data brukes, må de underbygges Analytiske modeller og dataprogrammer må tilpasses hensikten og ha en oppløsning som er tilpasset målet for analysen. Modellene må også oppfylle retningslinjer for datagrunnlag, forutsetninger etc., se også 6.15 om sensitivitetsanalyser og vedlegg D for flere detaljer. Modellering av mulig hendelses- eller ulykkessekvens skal være detaljert nok for å fylle hensikten med analysen, dvs: • Estimere risikobildet • Anslå ytelse av barrierer • Etablere ytelseskrav for vesentlige sikkerhetssystemer • Vise avhengigheten mellom fysiske barrierer • Tydelig vise felles feil og felles årsaker til feil Siden risikoanalyser legger en viktig delgrunnlag for beslutningsprosess, skal datagrunnlag, modeller og forutsetninger vurderes i forhold til behovet for kontroll. Se også vedlegg D og NORSOK-standard Z016, kapittel 6. Når det gjelder analytiske modeller, dataprogrammer og data bør kvalifiserte metoder brukes så langt som mulig og som bør godkjennes av operatør/eier eller anerkjente institusjoner på hans vegne. Dette kan f.eks. oppnås ved bruk av ” Model Evaluation Protocol" etablert av "Model Evaluation Group" under EU Kommisjonen. Når ikke-kvalifiserte metoder brukes, skal virkninger på usikkerhet i resultatene vurderes.

6.8 Konsekvens- og eskaleringsanalyse i TRA Begrepet er her anvendt i en utvidet betydning og inkluderer konsekvensmodellering, (dvs. beregning av ulykkeslaster), eskaleringsanalyse, samt beregning av respons til ulykkeslast. Grensedragningen mellom årsaksanalyse og konsekvensanalyse kan variere noe etter formålet med analysen. Retningslinjene i dette avsnittet skal gjelde eksplisitt for detaljerte risikoanalyser. For mindre detaljerte analyser gjelder ikke hele lista ned til minste detalj, men det bør overveies som veiledning for hvilke risikoelementer som behandles. For TRA, skal konsekvensanalysen inneholde, men ikke begrenses til de følgende trinn (enten som del av TRA eller gjennom separate analyser), når faren er relevant: • Lekkasje av brennbare stoffer

• beregning av utslipp (mengde, rate, varighet, etc.) • spredningsberegning • beregning av antennelsespotensial • brannberegning • eksplosjonsberegning • responsberegning (kan også være egne analyser)

• Utblåsning fra brønner (mht. miljøkonsekvenser)

• beregning av utslipp, varighet etc. • drivbaneberegning

• Utblåsning fra brønner (uten miljøkonsekvenser)

• konsekvenser relatert til antenning og umiddelbar virkning beregnes som for lekkasje fra brennbare stoffer

• Ytre laster (kollisjon, fallende/svingende last, helikopterstyrt på plattform)

• beregning av energifordeling • beregning av lastfordeling • beregning av impulsfordeling • responsberegning



• Fallende last på undervannsinstallasjoner og rørledninger • konsekvensberegning som for ytre laster generelt

• Tap av stabilitet og oppdrift, katastrofalt ankerlinebrudd

• beregning av gjenværende last og stabilitet i det som er ødelagt • beregning av lastfordeling i det som er ødelagt • responsberegning

Stabilitets- og oppdriftsberegninger er normalt utført som del av marine analyser, og resultater kan hentes inn i risikoanalysene derfra. Flere detaljer finnes i vedlegg B. Aktuelle verktøy for konsekvensberegninger relatert til brann og eksplosjon er: • CFD-metoder • analytiske metoder, ref industriprosedyrene i vedlegg G • simuleringsmetoder (basert enten på CFD eller analytiske metoder) Ikke-lineære konstruksjonsanalyser brukes ofte for ekstern påvirkning. Slik gjør de det mulig å vise konstruksjonsmessig reservekapasitet utover flyting. Eskaleringsanalyse er nøye sammenbundet med konsekvens- og responsberegning. I eskaleringsanalyse inngår analyse eller vurdering av vesentlige sikkerhetssystemer, for å bestemme muligheter og forutsetninger for å kunne kontrollere utviklingen av ulykkeshendelser. Så langt mulig skal eskaleringsanalyse inkludere bidrag til tap av kontroll forårsaket av menneskelige feilhandlinger og organisatorisk svikt, samt bidrag fra slike feil til feilavhengighet, ref 6.6. De viktigste barrierene skal modelleres eksplisitt i et hendelsestre (eller tilsvarende). Det betyr ikke at alle barrierer modelleres som forgreningspunkt i hendelsestreet, men modellene må være tilgjengelige for analyse av avhengigheter.

6.9 Vesentlige sikkerhetssystemer Analyse eller vurdering av vesentlige sikkerhetssystemer er en viktig del av konsekvensanalysen og gjøres som en verifikasjonsaktivitet for disse systemene. Når det er krevet av en aktuell myndighet eller det er et kontraktskrav skal en eskaleringsanalyse utføres som i det minste skal inneholde klassifisering av vesentlige sikkerhetssystem basert på sårbarhet for ulykkeshendelser. En omfattende analyse skal inneholde identifikasjon og analyse av feilmekanismer i disse systemene og deres avhengighet i forhold til relevante ulykkeshendelser. Særlig skal det legges vekt på analyse av totalsystemet og feilavhengighet skal inngå i analysen av vesentlige sikkerhetssystemer. Dette diskuteres videre i 8.7 og 8.9.

6.10 Risikoanalyse av brønn- og boreaktivitet Utblåsninger representerer en stor risikofaktor for installasjonens risiko, men detaljert vurdering er også påkrevd for hvert boreprogram. På et overordnet nivå, skal risikovurdering for planlagt boring og brønnaktiviteter utføres slik at virkningen på aktiviteter bestemmes som en del av den totale risiko for installasjonen. Resten av dette avsnittet gir en detaljert analyse av boreaktiviteter for spesifikke brønner eller grupper av brønner og kan bare settes ut i livet når detaljerte boreprogrammer og spesifikasjoner og prosedyrer for utstyr er spesifisert. Risikoanalysen skal tilrettelegge basis for: • Operasjonell planlegging • Planlegging av brønnkontrollaktiviteter • Utvalg og krav til barrierer • Krav for trening og organisering av aktivitetene



• Restriksjoner (hvis noen) som gjelder for samtidige operasjoner Detaljert risikoanalyse for brønnaktiviteter bør vanligvis inneholde: • Sannsynlighet for utblåsning og konsekvenser med tanke på passende kategorier i forhold til hva som er

relevant og hva som kreves av risikoakseptkriterier • Sannsynlighet for arbeidsulykker og følgende konsekvenser • Sannsynlighet for ulike størrelser oljesøl som innspill til en miljørisikoanalyse (se 8.2) Risikoanalysen kan dekke mange borings- og brønnaktiviteter så lenge forutsetninger og basis er den samme. Uansett, en vurdering av aktiviteten skal gjøres for å sikre et konsekvent grunnlag.

6.11 Estimere risiko for personell Risiko for personell uttrykkes som oftest ved dødsrisiko, noen ganger også som risiko for personskader. For å estimere dødsrisiko kan det være aktuelt å beregne følgende bidrag separat: • umiddelbart drepte • drepte under transport inkludert skytteltrafikk • drepte under rømning • drepte under evakuering og redning Bidragene til dødsrisiko skal splittes inn i områder eller eksponerte personellgrupper i forhold til hvor dødsrisikoen oppstår. I totalrisikoanalyse skal beregninger inkludere: • responsanalyse for personell, i forhold til:

• varmeutstråling • giftige gasser, røyk o.l. • primær- og sekundær (vanligvis viktigst) virkning av overtrykk/impulslaster

• Analyser av evakuerings- og redningsoperasjoner (fortrinnsvis med sannsynlighetsmodellering) Ofte vil en i beredskapsanalysen trenge estimater for hvor mange skadde som forårsakes av de mulige ulykker. Dette kan innebære at konsekvensberegningen for personell utvides fra kun drepte til også skadde. Analysen kan også brukes for dimensjonering av evakuerings- og redningskapasitet slik det er beskrevet i B.9. Resultater for dødsrisiko bør skal gjøres til gjenstand for omfattende validering på grunn av fravær av erfaringsdata til å bedømme realismen. Presentasjon av mellomresultater kan brukes her, som beskrevet i B.9.

6.12 Tap av hovedsikkerhetsfunksjon Når det er påkrevd av en aktuell myndighet eller det er et kontraktskrav, skal analysen inkludere evalueringer av mulige tap eller skade på hovedsikkerhetsfunksjoner, slik som hovedbærekonstruksjon, rømningsveier, tilfluktsområder, kontrollromfunksjoner og redningsmidler på grunn av ulykkeslaster. Dette kan oppnås ved å utføre separate responsstudier, slik det er beskrevet i 6.7 eller på andre måter. Hovedsikkerhetsfunksjoner diskuteres i A.1.2, A.2.8 og A.4.2.2.

6.13 Etablering av dimensjonerende ulykkeshendelser (DUHer) Ulykkeshendelser og dimensjonerende ulykkeshendelser er nært beslektet. Etableringen skal begynne med fullføring av en risikoanalyse og sammenligning av estimert risiko med risikoakseptkriterier. Risikoanalysen må etablere sett av ulykkeshendelser og beslektede ulykkeslaster, og helst også tilhørende sannsynlighet. DUHer er valgt fra disse settene, slik at risikoakseptkriteriene er tilfredsstilt.



6.14 Estimere risiko for skade på materielle verdier eller avbrudd i produksjonen For å estimere risiko for materielle skader og produksjonsavbrudd bør følgende gjennomføres: • Etablere varighetsfordeling av ulykkeshendelser (ofte en forlengelse utover personellets

eksponeringsperiode) • Beregne respons for utstyr og konstruksjoner • Estimere arbeidstimer og varighet av reparasjonsarbeid som er påkrevet • Beregne kostnaden ved utbedring og varighet av driftsstans inklusive mulige foreløpige løsninger som

by-pass, midlertidig utstyr, erstatninger etc. Flere detaljer presenteres i vedlegg E og NORSOK-standard Z-016.

6.15 Sensitivitetsanalyser Behovet for følsomhetsanalyser skal alltid vurderes. Usikkerhet skal vurderes på dette grunnlaget. Følsomhetsanalyser presenterer robusthet (f.eks. i hvilken grad konklusjonene avhenger av variasjon i verdier og forutsetninger) i resultatene basert på variasjon i: • Risikomodelleringsdata • Konstruksjonsparametre • Driftsparametre Følsomhetsanalyser er særlig viktige hvis datagrunnlaget inneholder et utilfredsstillende antall hendelser. Følsomhet må derfor overveies for å begrense usikkerhet og frambringe robuste konklusjoner.

6.16 Dokumentasjon Informasjonen skal være mulig å forstå for alt berørt personell, både beslutningstakere og driftspersonell. Listen nedenfor skal vurderes relevant for detaljnivået i den aktuelle analysen. Dokumentasjonen av kvantitative risikoanalyser skal i det minste inneholde følgende: • Beskrivelse av målsetning, omfang og begrensinger. • Beskrivelse av målet/systemet for analysen, fasene og operasjonene som analysen gjelder, kategoriene

for definerte ulykkeshendelser som dekkes og risikodimensjonen. Beskrivelsene bør fortrinnsvis følges av tegninger eller lignende.

• Beskrivelse av forutsetninger, antakelser og premisser som analysen baseres på slik at de kan evalueres og aksepteres.

• Datagrunnlaget. • Beskrivelse av den analytiske tilnærmingsmåten som er brukt. • Kvalitetssikring, inklusive personellets kompetanse. • Presentasjon av konklusjonene fra analysen. • Presentasjon av mulige tiltak som kan brukes for å redusere risiko og deres risikoreduserende effekt. I tillegg til de generelle retningslinjer og krav presentert i 5.2.1, skal dokumentasjonen i det minste inneholde følgende: • Omfattende presentasjon av resultater i forhold til målsetning, omfang og begrensninger.

Presentasjonen skal inneholde hovedbidragene til risikonivåene • Presentasjon av følsomhet i resultatene med tanke på variasjon i grunnlagsdata og avgjørende premisser • Spesifisere ytelseskrav slik at de gjøres egnet for bruk som dimensjoneringskrav • Beskrivelse av dimensjonerende ulykkeshendelser og ulykkeslast Forutsetninger og premisser beskrevet i de samlede risikoanalysene (de som utføres for å sammenligne resultater mot risikoakseptkriterier, se 3.1.1 på et tidlig stadium i konstruksjonen), skal inkluderes som ytelseskrav for sikkerhets- og beredskapstiltak for senere faser av prosjekteringen.



Det skal lages en plan for å følge opp analysen. Denne skal inneholde en vurdering av analysens konklusjoner, anbefalinger og planer for implementering av risikoreduserende tiltak, herunder beredskapstiltak.

6.17 Oppdatering av analyse Analysen skal oppdateres når det skjer store modifikasjoner eller endringer i anvendelsesområde. Videre skal konsekvensene for risikonivået ved de følgende aspekter vurderes og analysen oppdateres når det er relevant: • Erfaring fra ulykker, særlig med tanke på årsaksanalyse • Organisasjonsendringer • Endringer i regelverket • Endringer i datagrunnlag, modeller eller risikoberegningsmetoder • Mindre modifikasjoner som samlet sett utgjør en stor endring Oppdatering av analysene skal inneholde oppdatering av følgende når det er relevant: • Beskrivelse av installasjon og drift i forhold til utviklingen av aktiviteten • Forutsetninger og premisser som tidligere analyser er basert på og mulig videre utvikling (av disse) • Hvorvidt risiko knyttet til spesielle operasjoner eller nytt utstyr som planlegges brukt er vurdert på et

tidligere tidspunkt • Datagrunnlaget sett i forhold til ny erfaring, ny kunnskap eller endringer i det datagrunnlaget som er brukt,

inklusive revisjon av erfaringsdata fra egne operasjoner • Metodene som er brukt • Analyseresultatene i lys av mulige endringer i operatørs/eiers risikoakseptkriterier for installasjon eller

drift Operatøren/eieren skal formulere et minstekrav til hyppighet av oppdatering av de kvantitative risiko- og beredskapsanalysene med mindre tekniske eller driftsmessige omstendigheter i mellomtiden har gjort en hyppigere oppdatering nødvendig.

7 Bruk av risiko- og beredskapsanalyse i ulike prosjektfaser

7.1 Generelt Kapitlet tar utgangspunkt i de generelle krav presentert i foregående kapittel og definerer hva dette innebærer for risiko- og beredskapsanalyse for hver enkelt livssyklusfase. Bruken av risikoakseptkriterier i varierende livssyklusfaser diskuteres ikke, men presenteres i vedlegg A. Se også ISO 17776, vedlegg C. En eksisterende flyttbar innretning som bringes inn på norsk kontinentalsokkel har vanligvis ferdige anvendelige risikoanalyser utfra utenlandsk lovgivning. Det kan gjøres unntak fra de spesifikke og detaljerte analysene i tabellene i dette kapitlet for flyttbare innretninger så lenge de tilgjengelige analysene dekker kravene i kapittel 5, 6 og 7.

7.2 Analyse gjennom konseptutvikling Tabell 1 viser en oversikt over hovedanalysene som skal utføres under konseptutviklingsfasen, inklusive tidspunkter, hovedhensikt og fokus. Videre detaljer finnes i vedlegg C.



Tabell 1 – Sammendrag av hovedrisikoanalyser i feltutviklingsfasen

Analyse Tidspunkt Hovedhensikt Hovedfokus

ERA Valg av hovedkonsept, før-konseptfasen

• Sammenligning og rangering av feltutviklingskonsept

• Optimalisering av det valgte konsept

• Identifisere alle viktige faremomenter

• Alle installasjoner som er del av produksjonssystemet, inkl. flyttbare innretninger og fartøyer som er involvert i operasjonene

• HAZID av alle risikoaspekt • Ikke-tradisjonelle sikkerhets-

aspekter • Identifisering av mulige ekstra

kostnader for å nå en tilfredsstillende løsning

TRA Når layout-tegninger og prosessflyt-diagram er laget. Før utsendelse av anbudsinvitasjon. Før innlevering av plan for bygning og drift

• Vurdering av overensstemmelse med aksept- og konstruksjonskriterier

• Identifisere funksjons-krav som basis for konstruksjons-spesifikasjoner

• Etablere dimensjonerende ulykkeslaster

• HAZID • Identifisere aspekter som

trenger detaljanalyser • Identifisere utfordringer til

konstruksjon eller drift • Identifisere forutsetninger for

konstruksjon eller drift • Etablere DULer • Gi anbefalinger for design

Design av TRA

Når layout-tegninger og P&ID-er for prosess og vesentlige sikkerhetssystemer er etablert

• Verifisering av konstruksjon

• Kontroll av overens-stemmelse med de totale risikoaksept-kriteriene (forutset-ninger for sikker drift)

• Etablere ytelseskrav fra forutsetninger og premisser i analysene

• Oppdatere DULer • Bestemme behovet for og

utstrekningen av videre risikoreduserende tiltak

• Analyse av ytelsen i sikkerhetsbarrierene

• Identifisere risikoindikatorer og deres viktighet

• Revidere og oppdatere forutsetningene som er lagt til grunn

• Verifisere og bekrefte DULer • Detaljere analysene for mest

nøyaktige resultater As-built TRA Når endelig design

er bestemt • Oppdatere TRA med

as-built-informasjon og vise enhver endring i risikonivå

• Gi underlag for drift

• Som for design TRA

Tabell 2 presenterer en oversikt over de andre analysene som bør overveies i utviklingsfasene. Når de utføres skal tidspunkter, hovedhensikt og fokus være som vist i tabell 2. Flere detaljer finnes i vedlegg C.



Tabell 2 – Oversikt over mulige andre risikoanalyser som kan gjøres i feltutviklings- eller driftsfasen


Detaljert risikoanalyse og analyser i sammenheng med forslag til konstruksjonsendringer, avviksbehandling og prosjektfaser (forlengelse av TRA)

Etter konseptrisikoanalyse

• Evaluere særlige risikoaspekter på basis av utført risikoanalyse for å gi data til konstruksjon

• Evaluere hvordan endringer etc. påvirker risiko

• Evaluere virkning av avvik fra lovfestede krav

• HAZID • Reflektere

konstruksjonsdetaljer/-spesifikasjoner

• Reflektere utførte detalj/-spesialanalyser

• Fremlegge driftsanbefalinger • Oppdatere DUL (hvis påkrevd) • Vurdere samsvar med aksept-

og konstruksjonskriterier • Data til DFU (når påkrevd)

Kvantitative/kvalitative analyser (FMEA, HAZOP, etc)

Når aktuelt eller påkrevet i prosjekteringsfaser for å evaluere systemkonstruksjon

• Identifisere påkrevde forbedringer i systemkonstruksjonen

• Prosessystemer • Hjelpeutstyr • Borevæskesystemer • Vesentlige sikkerhetssystemer • Tap av hindringer • Menneskelige faktorer

Integrert risiko- og beredskapsanalyse for bygging og installasjon

Før vedtak fattes om konsept for bygging og installasjon

• Gi data for konsept og metoder for bygging og installasjon

• Identifisere operasjons og miljømessige begrensninger som skal gjelder under bygging og installasjon

• Bygging av utstyr og konstruksjoner, sammenkopling, slep av moduler, installasjon, oppstart og forberedelser til oppstart

• Alle installasjoner og fartøyer som deltar i installasjon og sammenkoplingsaktiviteter

• Nærliggende installasjoner og fartøy, hvis de er nær nok til å påvirkes av ulykkeskonsekvenser

• Aspekter ved bygging og installasjon som særlig kan påvirke hele installasjonen og/eller risiko for personell

• Bestemme beredskapsnivå for bygging, installasjon og oppstartsarbeid

7.3 Bruk av SBSD Under utvikling av spesielle konsepter, slike som normalt ubemannede installasjoner, kan det være aktuelt å bruke SBSD som en måte å oppfylle intensjonene til aktuelle krav gjennom ikke-tradisjonelle løsninger, som kan avvike fra detaljerte krav i forskrifter og standarder. Vedlegg F beskriver hvordan dette kan gjennomføres i praksis. Bruken av SBSD skal møte følgende hovedkrav: • Kvantitativ risikoanalyse skal alltid utføres i forhold til risikoakseptkriteriene. • Risikoakseptkriteriene på høyt nivå skal utfylles av beslutningskriterier som står i forhold til ytelsen av

barrierene. • Barrierene gassdeteksjon, brannsikring og begrensning av lekkasjepotensial/isolasjon bør alltid

tilfredsstille et sett med funksjonelle basiskrav, selv om SBSD brukes.



7.4 Driftsanalyser Tabell 3 presenterer en oversikt over hovedanalyser som skal utføres under driftsfasen, inklusive tidspunkter, hovedmål og fokus. Flere detaljer finnes i vedlegg C.

Tabell 3 – Oversikt over hovedrisikoanalyser under driftsfasen


Oppdatering av TRA

Under driftsfasen • Oppdatere risikonivå ut fra erfaring, modifikasjoner, forbedring av modeller, endring i kriterier, driftsmetode, bemanningsnivå, vedlikeholdsfilosofi etc.

• Oppdatere TRA for konstruksjon

• Eliminere antakelser • Vise driftserfaringer • Vise endringer • Viser ny kunnskap • Etablere grunnlag for

risikokommunikasjon med driftspersonell

• Vise et detaljert risikobilde • Vise data for scenarier for DFU

Risikoanalyse av kritiske operasjoner, inkl. SJA

Planlegging av operasjonen

• Identifisere fare • Identifisere

risikoreduserende tiltak for å oppnå sikker jobbutøvelse

• Nødvendige risikoreduserende tiltak skal implementeres

Tilpasning av TRA for driftsfasen

Jevnlig under driftsfasen

• Forsikre at risikonivået holdes under kontroll

• Forsikre at driftspersonell er kjent med de viktigste risikofaktorene og deres viktighet

• Identifisere og følge opp antakelser gjort i tidligere faser

• Oppdatere DFU

• Følge opp TRA under driftsfasen

• Status og tilstand til kritiske sikkerhetsaspekter

Integrert TREPA av modifikasjoner

Før det fattes vedtak om detaljer i modifikasjonene

• Vurdere driftsfasen når modifikasjonene er lagt inn

• Identifisere farer • Identifisere mulige

risikoreduserende tiltak

• Som for prosjekteringsfasen så langt det er relevant

Integrert TREPA av modifikasjonsarbeid

Før det bestemmes på hvilken måte modifikasjonene skal implementeres

• Vurdere driftsfasen under modifikasjonsarbeidet

• Identifisere farer • Identifisere mulige

risikoreduserende tiltak

• Samtidige aktiviteter • Økning i risikonivå under

modifikasjonsarbeid • Behov for ekstra beredskap

under modifikasjonsarbeid • Etablere beredskapskrav for

modifikasjonsarbeid



7.5 Analyse av beredskap Tabell 4 viser en oversikt over hovedanalysene som skal utføres under utviklingsfasen, inkl. tidspunkter, hovedmål og fokus. Flere detaljer finnes i vedlegg C.

Tabell 4 – Oversikt over hovedberedskapsanalyse


Tidlig EPA Før vedtak om å starte forberedelse av PUD fattes

• Sammenlikning og rangering av feltutviklingskonsepter

• Gjøre de valgte konseptene best mulige

• Identifisere utgangspunkt for ytelseskrav for beredskap

• Mulige beredskapsaspekter som kan kreve ekstra kostnader for å oppnå en akseptabel løsning

• Ikke-tradisjonelle beredskapsaspekter

• Rømnings- og redningsaspekter

Konsept-EPA

Når layout-tegninger, P&IDer for prosess- og vesentlige sikkerhetssystemer klare. Før innlevering av PUD.

• Vurdering av samsvar med aksept- og konstruksjonskriterier

• Gi data til konstruksjons- og driftsprosedyrer

• Etablere ytelseskrav for teknisk, drifts- og organisatorisk beredskap

• Identifisere aspekt som krever detaljert analyse

• Identifisere konstruksjons- eller driftsforutsetninger

• Gi konstruksjonsanbefalinger • Relevante installasjoner som

deltar i produksjonssystemet, inkl. flyttbare enheter og fartøy som deltar i operasjonen, fartøy og installasjoner i nærheten

As-built EPA

Når den ferdige konstruksjon er bestemt

• Oppdatere EPA med as-built-informasjon og vise endringer i risikonivå

• Etablere ytelseskrav

• Som for konsept-EPA • Underlag for

beredskapsplaner, prosedyrer og beredskapsorganisasjon

Det bør understrekes at hovedvekt bør legges på de aspektene som er listet ovenfor. Hvilke analyser de er inkludert i, spiller mindre rolle.

8 Koblinger

8.1 Generelt Mange vurderinger vil påvirke risikoanalysene og motsatt. Dette kapitlet gir en oversikt over analyser som kan gi data til eller kreve resultater fra risikoanalyser.

8.2 Forhold til andre NORSOK-standarder Slektskapet er nært til analyser for sikkerhet, pålitelighet og vedlikehold. Tre NORSOK-standarder behandler disse temaene. • Z-CR-008 Kritikalitetsklassifiseringsmetode • Z-013 Risiko- og beredskapsanalyse • Z-016 Regularitetsstyring og pålitelighetsteknologi Forholdet mellom standardene med tanke på utveksling av informasjon vises i figur 3. Referanse gjøres også til NORSOK-standard N-001 og S-001.



Figur 3 – Forholdet mellom NORSOK-standardene Z-CR-008, Z-013 og Z-016

8.3 Estimere miljørisiko MIRA-metoden brukes av OLF og har samsvarer på mange områder med risikoanalyse. Følgende delberegninger gjøres i en miljørisikovurdering: • Etablere varighetsfordeling for utslipp • Simulere oljedrift for aktuelle scenarier • Estimere skade på miljøressurser • Estimere restitusjonstid Hoveddataene fra risikoanalysen er: • Frekvens av utblåsninger • Utslippsscenarier, inkl. størrelse, varighet, spredning etc. Hovedresultatene fra MIRA til risikoanalyse er grunnlaget for beredskapsanalyse. Se ellers OLF Retningslinjer for miljørisikoanalyse (MIRA).

8.4 Regularitetsanalyse Referanse gjøres til NORSOK-standard Z-016 hvor regularitets-, tilgjengelighets- og pålitelighetsanalysefunksjoner fra ethvert system og enhver operasjon er beskrevet. Risiko- og beredskapsanalyser kobler sammen mange aspekter fra regularitets- og pålitelighetsanalyse. NORSOK-standard Z-016, kapittel 5, beskriver viktig sammenheng mellom disse to typene analyser, slik som de oppsummeres nedenfor: • Risiko- og beredskapsanalyse kan medføre pålitelighetskrav på spesielt utstyr, særlig vesentlige

sikkerhetssystemer. • Risiko- og beredskapsanalyse kan stille krav til konfigurasjon av utstyr som vil påvirke regularitet.

Sikkerhets-krav til

design/driftPålitelighetskrav til

sikkerhetssystem(SIL)

Påvirkning fraulykker på

produksjons-tilgjengelighet

Påvirkning fra vedlikehold påpålitelighet/tilgjengelighet til utstyr

Krav til vedlikeholdsprogram for å oppnåpålitelighetsmål

FMECA, feilårsaker, feilmekanismer,pålitelighetsdata

Konsekvensklassifisering (produksjon)

Optimalisere kost

Installasjon/system/drift

Z-008Criticality Analysis

for Maintenance Purposes

•Vedlikeholdsprogram

Z-016Regularity Management& Reliability Technology

•Regularitetsanalyse•Pålitelighetsanalyse

Z-013Risk and emergency preparedness analysis

•Planlegging, utførelse, bruk

Krav til design/drift

Estimert pålitelighetav

sikkerhetssystemene

Vedlikeholds-aktiviteter

Konsekvens-klassifisering (HMS)

Testkrav



• Produksjonsutilgjengelighet på grunn av ulykkeshendelser. • Forutsetninger og premisser i risiko- og beredskapsanalysen kan få konsekvenser for

regularitetsanalysen og dennes drifts- og vedlikeholdsstrategier. Eksempler er bemanningsnivå, logistikk og strategier for testing av utstyr.

• Analyseforutsetninger og data i pålitelighetsanalysene og risiko- og beredskapsanalysene skal stemme overens.

8.5 Pålitelighetsbasert vedlikehold (RCM) Hensikten med pålitelighetsbaserte vedlikeholdsanalyser er å fastsette et (forebyggende) vedlikeholdsprogram på en systematisk og optimal måte. Dette er beskrevet i NORSOK-standard Z-016, 8.4.2, hvorfra vi følgende kan sammendras. Samsvaret mellom RCM-analyser og risiko- og beredskapsanalyser er: • Data til RCM-analyse med tanke på pålitelighetskrav for vesentlige sikkerhetssystemer

(brannvannsystem, brann- og gass-deteksjonssystem og nødavstengningssystem), basert på de forutsetningene som brukes i QRA-analysene.

• Data til RCM-analyse med tanke på bemanningskrav (eller forbudt bemanning), basert på forutsetninger brukt i QRA-analysene.

• Analyseforutsetninger og data i risiko- og beredskapsanalyser og RCM-analyser skal stemme overens.

8.6 Pålitelighets- og risikobasert testing For testing av passive systemer, kan det etableres intervaller på basis av pålitelighets- eller risikometoder, slik det beskrives i NORSOK-standard Z-016, 8.4.4. Fra sikkerhetsakseptkriterier eller risiko- og beredskapsanalyser kan det være krav for on-demand tilgjengelighet for vesentlige sikkerhetssystemer. Slike systemer, f.eks. RV, ESV eller BDV, skal testes med jevnlige mellomrom og resultatene registreres. Testresultatene skal sammenlignes med pålitelighetskravene for å se om kravene oppfylles. Basert på resultatene kan testintervallene justeres for å oppnå den påkrevde on-demand tilgjengelighet til lavest mulig kostnad.

8.7 Risikobasert inspeksjon (RBI) RBI er en metode som forsøker å etablere inspeksjonsprogrammer basert på feilmekanismer som kan gjøres til gjenstand for inspeksjon (korrosjon, vibrasjon etc.). Samhandling mellom RBI og andre analysefunksjoner beskrives i NORSOK-standard Z-016, 8.4.5, hvorfra følgende sammendrag presenteres. Metoden kombinerer tilgjengelighet og risikoanalysearbeid og brukes særlig for statisk prosessutstyr (f.eks. trykkbeholdere og ventilhus). Feilmodusen vi er opptatt av er vanligvis tap av integritet (lekkasje). Dataene i risikoanalysen er sannsynlighet for lekkasje og konsekvenser for verdier. Samhandling mellom RBI, RCM, regularitet, tilgjengelighet og risikoanalyser er viktige for å forsikre konsistens i aktuelle feilrater og følgende nedetidsmønstre for utstyret som dekkes av disse analysene. RBI i driftsfasen vil gi informasjon om feilmekanismer og –frekvenser som kan tas med i risikoanalysen, særlig i analyse av ulykkesårsaker. Tilsvarende vil risikoanalyse gi data for å gjøre inspeksjonsprogrammene best mulig i forhold til hvilket utstyr og rørsystem som har det bøyeste bidraget til risiko for liv og verdier.

8.8 Kritikalitetsrangering Kritikalitetsanalyser bør koordineres med RCM som beskrevet i NORSOK-standard Z-016. Rangering av kritikalitet bør baseres på virkningen av feil og på tiden fra noe skjer (av feil/svikt) og til virkningen skjer på selve installasjonen. Hovedsamsvaret med risikoanalysen skal gi data til: • Virkning av feil på vesentlige sikkerhetssystemer • Rangering av sikkerhetssystemer • Kritikalitetsklassifisering av vesentlige sikkerhetssystemer Se også NORSOK Z-008.



8.9 Risiko- og beredskapsanalyse for flyttbare innretninger Risiko- og beredskapsanalyse er påkrevd for flyttbare innretninger (f.eks. flyttbare boreinnretninger og flyttbare boligenheter) i forhold til lovpålagte krav med tanke på: • Bygging av nye flyttbare innretninger • Drift av flyttbare innretninger • Store modifikasjoner på flyttbare innretninger • Samhandling med faste installasjoner når de er bundet sammen av en bro, utligger etc. Planlegging og utføring av risiko- og beredskapsanalyser skal i prinsippet møte kravene i kapittel 1-6 i denne NORSOK-standarden. Dokumentasjonen kan baseres på aksepterte ”safety case” (britisk lovgivning) eller analyse i forhold til NSDs risikoanalyseforskrifter.

8.10 Sikkerhetsintegritetsnivå (SIL) IEC 61508 skal presentere en SIL for elektrisk, elektronisk og programmerbare deler av et antall vesentlige sikkerhetssystemer/-funksjoner som ESD, B&G og nedstengning av tennkilder. Det etableres et uttrykk for påkrevet tilgjengelighet for systemet. Å sammenligne SIL mot total RAK er ikke aktuelt, så lenge RAK er for grov. SIL-risikoanalysen er heller basert på et detaljert nivå, som må defineres. Slik som SIL er et uttrykk for tilgjengelighetsverdier for systemet, bør det etableres og brukes som et barrierenivå som skal møtes. Dermed vil SILs være aktuelt når SBSD skal brukes, se vedlegg F. Tilgjengeligheten av barrierer reflekteres i hendelsestrær og SIL kan gi indirekte data til hendelsestrær. Risikoanalysen kan brukes for følsomhetsanalyser i forhold til definerte SILer, enten for å opprettholde nivået eller slakke ned, men likevel møte ytelseskravene. Veiledning til hvordan etablere SILer finnes i OLF-veiledning for bruk av IEC 61508 og IEC 61511, se kapittel 2. Se også NORSOK-standard Z-016.

8.11 Helserisikovurderinger (HRVer) Helserisikovurderinger er vanligvis ikke del av en risikoanalyses omfang, men kan inkluderes som en del av analysen av yrkesulykker. Det kan komme data fra QRA til arbeidsmiljøanalyser, i forhold til hvilke farer som kan føre til skader. Se NORSOK-standard S-002.



Vedlegg A (informativt)

Risikoakseptkriterier

A.1 Risikoakseptkriterier for kvantitative analyser

A.1.1 Generelt Denne typen RAK brukes vanligvis i forhold til totalrisikoanalyser i konseptdesign, i prosjekteringsfasene og i driftsfasen. Bruk av RAK krever at det finnes relevante kvantifiserbare erfaringsdata som analysen kan ta utgangspunkt i. Krav som settes i standarder, spesifikasjoner, prosedyrer, o.l. for å oppnå et tilfredsstillende sikkerhetsnivå, skal ikke forståes som akseptkriterier for risiko. I en analysesammenheng vil slike krav inngå i risikoanalysen som krav som vil bidra til å oppnå et akseptabelt risikonivå. Risikoakseptkriteriene bør utformes med bakgrunn i blant annet: a) regelverket som regulerer sikkerheten i petroleumsvirksomheten, b) anerkjente normer for virksomheten, c) krav til risikoreduserende tiltak, d) kunnskap om blant annet ulykkeshendelser og ulykkeseffekter, e) erfaringer fra egen og tilsvarende virksomhet. Kapittel 4 i normativ tekst presenterer en oversikt over en del sentrale målestørrelser for risiko som RAK kan måtte forholde seg til. Valg av akseptkriterier for risiko avhenger av hvilken problemstilling (fase/aktivitet/system) en står overfor, og hvilket behov en har for beslutningsstøtte. I tillegg må RAK tilpasses den risikoanalyse metodikk som til enhver tid blir brukt, samt være konsistente innenfor hvert enkelt selskap. Disse forhold kan illustreres med noen eksempler på risikoanalytiske problemstillinger for ulike nivåer/faser i petroleumsvirksomheten: a. En vil ha behov for en oversikt over det totale risikopotensialet i forbindelse med driften av en innretning.

Akseptkriteriene knyttet til denne type analyse vil som oftest være kvantitative (for eksempel FAR-verdi) eller semi-kvantitative (f.eks. risikomatriser), da en har et vidt spekter av scenarier å forholde seg til, og en ønsker å sammenfatte dette på en systematisk måte.

b. For sammenlikning av to alternative feltutbyggingsløsninger trengs et overordnet risikomål for bl.a. risiko

for personell. PLL kan i en del tilfeller være velegnet, da dette akseptkriteriet også kan benyttes dersom et er forskjellige bemanningsnivåer for de alternative løsningene for feltutbygging.

c. Ved den kontinuerlige designutvikling i prosjektsammenheng tar en ofte beslutninger på grunnlag av

sikkerhetsvurderinger eller risikoanalyser. Designendringer kan medføre endringer i risikobildet. RAKene bør formuleres slik at disse endringene kan måles. F.eks. hvis man bruker hovedsikkerhetsfunksjoner i akseptkriteriene vil en kunne måle hvordan frekvens for tap av disse varierer med endringer i design (f.eks. ved omplassering av utstyr).

RAK kan inndeles i ulike typer, avhengig bl.a. av analysens formål og detaljgrad: • Kvantitative RAK for kvantitative analyser • Risiko-matriser og ALARP-prinsippet • Sammenligningskriterier



A.1.2 Risikoakseptkriterier relatert til hovedsikkerhetsfunksjoner For å etablere ulykkeslaster og sikre at plattformkonseptet ikke medfører en uakseptabel høy risiko, beregnes sannsynligheten for at definerte hovedsikkerhetsfunksjoner blir utilgjengelige, jfr. konseptrisikoanalyser. Eksempel: • Frekvensen 1 x 10-4 per år for hver ulykkeslast kan være en akseptabel verdi for utilgjengelighet av en

hovedsikkerhetsfunksjon. Andre foretrekker en samlet frekvens for alle DULer. Et eksempel på det vil være en samlet frekvens på 5 x 10-4 per år for utilgjengelighet av en hovedsikkerhetsfunksjon.

Hovedsikkerhetsfunksjonene inklusiv den funksjonalitet de skal ha, defineres for hver enkelt innretning. Det eksponerte område er tradisjonelt et område adskilt med H-0 brannskiller fra andre områder. Der disse områdene kan ha meget stor fysisk utstrekning, kan det være aktuelt å benytte en finere oppdeling i områder (innenfor områder atskilt med H-0 beskyttelse), der utstrekning av de mindre områdene er basert på utstrekning av kritisk eksponering for ulykkeslaster. Dette innebærer at det eksponerte området kan variere avhengig av typen og omfanget av UH.

A.1.3 Risikomatriser I problemstillinger hvor en må forholde seg til flere ulykkeshendelser og/eller det ikke er like enkelt å kvantifisere risiko, kan det være hensiktsmessig å sammenstille sannsynlighet og tilhørende konsekvens i en matrise, ref. figur A.1. Matrisen deles opp i ulike områder som representerer • Uakseptabel risiko • Akseptabel risiko Et område mellom akseptabel og uakseptabel risiko, der vurderinger må gjøres hvorvidt videre risikoreduserende tiltak bør implementeres, evt. foreta en mer detaljert analyse.

Økende ↑ sannsynlighet

Uakseptabel risiko

Vurder videre innsats

Akseptabel risiko

Økende konsekvens →

Figur A.1 – Risikomatrise

Akseptkriteriene settes ved å bestemme hvilke deler av risikomatrisen som representerer en uakseptabel risiko. Matrisemodellen kan benyttes i så vel kvalitative som kvantitative risikoanalyser. Eksempel på bruk av matrisen til å definere kvalitative akseptkriterier for risiko vil være å benytte kategorier for sannsynlighet og konsekvens, som "sjelden", "stor", "katastrofal" etc. Det er viktig å definere hva som menes med hver av kategoriene. En variant av risikomatriser er kontinuerlige linjer i stedet for bokser som vist ovenfor. En illustrasjon på dette er gitt nedenfor i figur A.2.



Figur A.2 – Risikomatrise med kontinuerlige linjer Den øvre toleransegrensen (figur A.1 og A.2) defineres nesten alltid, mens den lavere grensen er individuell for hvert enkelt risikoreduserende tiltak, avhengig av når kostnaden ved implementering av hvert enkelt tiltak blir urimelig uforholdsmessig til effekten av risikoreduksjonen. Eksempler på problemstillinger hvor bruk av risikomatrise er naturlig: • Kartlegge risiko for personell for ulike løsninger, eks. integrert versus separat boligplattform • Kartlegge risiko ved en operasjon, eks. leteboring • Kartlegge risiko ved et system, eks. mekanisk rørhåndtering • Kartlegge miljørisiko

A.1.4 f-N-kurver f-N kurven (f = frekvens, N = antall) uttrykker akseptabelt risikonivå som en kurve med varierende frekvens (for f.eks. dødsfall) i forhold til varierende konsekvens (antall døde). Kurven kan skaleres i forhold til den ressurs som er utsatt for risiko. F.eks. kan f-N kurven brukt som akseptgrense indikere aversjon mot storulykker (mange antall drepte) hvis produktet av f og N er fallende ved økende N. f-N kurven er kumulativ, dvs. den uttrykker frekvens for N eller flere dødsfall. Se figur A.3 for illustrasjon. Dette er en type akseptkriterier som kan brukes for både mennesker, miljø og økonomi.

Figur A.3 – f-N-kurve

Akseptabelt område

Uakseptabelt område

Evaluere videre handling

Konsekvens

Akseptkriterium

Risiko-kurve

Antall dødsfall, N

F r e k v e n s

S a n n s y n l i g h e t



A.1.5 ALARP–prinsippet Bruken av ALARP-prinsippet (se figur A.4) varierer noe innen industrien. I noen sammenhenger brukes ALARP som eneste akseptkriterium, andre ganger i sammenheng med andre RAK.

Figur A.4 – ALARP–prinsippet

Anvendelse av ALARP prinsippet kan betraktes som å tilfredsstille krav om at risiko skal holdes ”lavest mulig”. Dette forutsetter at vurderingene som foretas dokumenteres utførlig. I intervallet mellom akseptabel og uakseptabel risiko bør risikoen reduseres så mye som praktisk rimelig. Som regel vil det være en kost-nytte vurdering som avgjør hva som oppfattes som praktisk rimelig, dvs. om risikoreduserende tiltak skal implementeres. I praksis vil en alltid sørge for å definere grensen for ikke akseptabel risiko. Imidlertid vil det ofte forekomme at grensen for neglisjerbar risiko ikke er entydig definert. Den lavere grensen er individuell til hvert enkelt risikoreduserende tiltak, avhengig av når kostnadsimplementeringen av hvert tiltak blir urimelig uforholdsmessig til effekten av risikoreduksjonen. Dette er en type akseptkriterium og et prinsipp som er anvendelig for både mennesker, miljø og økonomi.

A.1.6 Sammenlikningskriterier Denne typen vil kunne benyttes i begrensede analyser som primært har til hensikt å sammenligne konsepter eller løsninger på én konkret problemstilling med etablert eller akseptert praksis. Mange av de risikoanalyser som gjennomføres, vil være så avgrenset i omfang at denne typen RAK vil være hensiktsmessig. Kriteriene kan med fordel anvendes på operasjoner som gjentas ofte eller har store likhetstrekk, som f.eks. boring og brønnoverhaling, tunge løft, dykking, etc. Et fornuftig bruk av et slikt RAK forutsetter at basis for sammenligning er beskrevet så presist som mulig. RAK i slike sammenhenger kan være at løsningen ikke bør representere noen økning i risiko i forhold til dagens praksis. Eksempler på sammenlikningskriterier: - Alternativ design (anvendelse av ny teknologi) på brannvannsystem bør være minst like sikker som

eksisterende løsning. - Risikoen for miljøet bør ikke være større enn ved eksisterende løsning. - Alternativ løsning bør være minst like kosteffektiv som etablert praksis. Dette er altså en type RAK som er anvendelig for både mennesker, miljø og økonomi.

(Stort misforhold mellom kostnadog risikoreduserende effekt)

Akseptabel risiko

ALARP område

Uakseptabel risiko

(Øvre grense)



A.2 Aspekter ved valg av overordnede RAK

A.2.1 Oversikt

A.2.1.1 Generelt Ved valg av RAK må det vurderes hvordan de skal brukes. Det er ofte motstridende behov som skal dekkes. For det første må en ha et sett RAK som kan brukes til å fatte beslutninger om risikoreduserende tiltak i design- og driftsfaser. For det andre skal kriteriene muliggjøre sammenligning av risikonivå med annen type risiko i samfunnet. De viktigste aspektene ved valg av RAK, og hvorledes disse kan være motstridende, kan illustreres som nedenfor:

Aspekt Fordeler og ulemper med akseptkriteriet Egnethet for beslutningsstøtte

Akseptkriterier som er enkle å bruke i en beslutningsprosess, er ofte presise og knyttet til konkrete egenskaper ved en innretning eller aktivitet. RAK er egnet til å måle effekten av risikoreduserende tiltak og andre design-endringer eller operasjonelle endringer.

Kommuniserbarhet • enkelt å forstå for ikke-eksperter • sammenligning av risiko med andre aktiviteter

Med kommuniserbarhet menes først og fremst forståelse av akseptkriteriene blant involverte parter så som; de som blir eksponert for risikoen, ledelsen i selskapet, myndigheter, publikum, osv. Dersom RAK er enkle å forstå, gjør det enkelt å overbringe et budskap. På den annen side, et akseptkriterium kan være tilsynelatende enkelt, mens virkeligheten kan være uoversiktlig og komplisert. RAK som er enkle å forstå kan ofte være flertydige på grunn av lavt presisjonsnivå. Akseptkriterier som har nærhet til samfunnsaspekter gjør det enkelt å sammenligne virksomhetens risiko med annen type aktivitet. RAK som er velegnet for sammenligning med annen risiko i samfunnet måler ofte risikoparametre som ligger langt ute i hendelseskjeden.

Entydighet • presisjon • systemgrenser • midling

Entydige RAK er presist definert med hensyn til hvordan risikoen skal beregnes og hvilke systemgrenser som gjelder. Entydige akseptkriterier har ofte en lav grad av midling. De vil sjelden bli misforstått.

Konseptuavhengighet

Akseptkriterier som er konseptuavhengige favoriserer ikke enkelte konseptløsninger. Beregningen av risiko er nøytral i forhold til konsept.

Usikkerhet Risikoparametre som ligger lengst ut i beregningskjeden, vil være beheftet med størst usikkerhet. Estimater må gjøres for alle elementer i hendelseskjeden, noe som øker usikkerheten i tall-beregningene. På den annen side vil detaljeringsnivået da være større, og en får bedre grunnlag for beslutninger.

De vanligste risikoparametre brukt som RAK, er i de påfølgende underavsnitt vurdert med hensyn på disse aspektene.

A.2.1.2 Egnethet for beslutningsstøtte Det viktigste kravet til et akseptkriterium er at det må kunne gi nødvendig underlag for å beslutte om risikoreduserende tiltak skal iverksettes. Kriteriene må altså være egnet for å uttrykke effekten av risikoreduserende tiltak. ALARP-prinsippet kan knyttes til akseptkriteriene og brukes for å beslutte hvilke risikoreduserende tiltak som skal gjennomføres etter at akseptabelt risikonivå er oppnådd. ALARP-prinsippet impliserer at beslutninger tas basert på kost/nytte-betraktninger (se 3.2 samt vedlegg E), der kost/nytte i vid forstand er summen av alle innsatsmidler vurdert mot summen av effektene av tiltaket.

A.2.1.3 Kommuniserbarhet Med krav til kommuniserbarhet menes blant annet at RAK skal kunne forstås av ikke-eksperter og at det skal kunne brukes til å sammenligne risiko fra ulike aktiviteter.



For å oppnå en effektiv HMS-styring, er det et åpenbart behov for å kommunisere såvel RAK som resultatene fra risikoanalyser til personer som ikke har bakgrunn i risikoanalyse. Det kan være snakk om driftsorganisasjonens linjeledelse, representanter for arbeidstakerne, andre fagdisipliner, driftspersonell og publikum/samfunnet eller andre utenforstående.

A.2.1.4 Entydighet Mulige problemer med flertydighet kan være knyttet til: • upresis formulering av RAK • definisjon av systemgrenser for det som skal analyseres, eller • ulike former for midling av risikoen. Presisjon Dersom det benyttes et akseptkriterium for tap av sikkerhetsfunksjoner, eller eskalering må det defineres entydig hva det innebærer at sikkerhetsfunksjonen blir satt ut av spill eller at ulykken eskalerer. Systemgrenser Når selskapet utarbeider egne RAK for risiko for sin virksomhet, må grensene for virksomheten defineres. RAK kan være brukt innenfor ulike systemgrenser (anvendelsesområder), for eksempel for en enkelt installasjon, eller for installasjoner betjent av samme mannskap. Det kan oppstå tvilstilfeller om aksept av risiko dersom systemgrensene for virksomheten (anvendelsesområdet) og for RAK ikke er sammenfallende. Videre kan problemer oppstå ved sammenligning av for eksempel bemannede kontra normalt ubemannede installasjoner, feltutbygging med én stor eller flere små installasjoner, undervannsinstallasjoner kontra plattformer, full prosessering til havs kontra delvis prosessering på land, osv. Dette må en ta hensyn til ved valg og utforming av akseptkriterier. Formulering av RAK kan i enkelte tilfelle favorisere spesielle konseptløsninger på grunn av måten risikonivåene er beregnet på. RAK for personell kan f.eks. måles både på personell som blir direkte eksponert og på personell som er utenfor områder der ulykken kan skje. Slike kriteria kan heller favorisere store integrerte innretninger enn mindre og enklere innretninger, eller motsatt. Midling av risiko RAK må ha en viss fleksibilitet, og det vil være nødvendig å foreta en viss midling av risikoen. Eksempelvis kan risiko midles over: • tid (f.eks. midling over årstid, ett typisk år, varighet av en spesiell operasjon, eller hele driftsfasen) • installasjoner (f.eks. midling over installasjoner forbundet med gangbro eller på annen måte drevet som

en enhet) • områder på samme installasjon (f.eks. midling over alle områder, eller prosessområder) • grupper av personell (f.eks. midling over boremannskap, driftsteknikere, eller alle ombord). Dette innebærer at det kan tillates en relativt høyere risiko dersom eksponeringen foregår over kort tid, eventuelt på en begrenset del av installasjonen, eller eksponerer kun et begrenset antall personer ombord (se også avsnitt 6.2). Valg av midling kan også gi utslag i beregningene, for eksempel vil risikoen for utblåsninger målt per år bli forskjellig for to alternative boreprogram, der samme antall brønner skal bores over tidsrom av forskjellig varighet. Det vil være uhensiktsmessig å gi for detaljerte føringer på hvordan man kan midle. De risikotoppene som midles bort, må imidlertid ikke være for høye i forhold til middelverdien, og de må være av kort varighet i forhold til midlingsperioden. Risikotopper skal uansett analyseres og presenteres separat. Det er nødvendig å ta stilling til om RAK skal relateres til gjennomsnittsår, verste år, mest utsatte personell, eller lignende. Det vanligste er å bruke gjennomsnittsår, men beregning for verste år, mest utsatte personell e.l. vil gi et mere nyansert risikobilde.

A.2.1.5 Usikkerhet Resultatene fra en risikoanalyse vil alltid være forbundet med en viss usikkerhet. Usikkerheten kan være knyttet til relevansen av datagrunnlaget, beregningsmodellene eller forutsetninger, antagelser og ekspertvurderinger som gjøres.



Det vil alltid være betydelig usikkerhet knyttet til hvorvidt visse hendelser vil inntreffe eller ei, hvilke umiddelbare effekter slike hendelser vil gi, og hvilke konsekvenser de kan gi for mennesker, miljø og økonomiske verdier. Denne usikkerheten er knyttet til den informasjon/kunnskap som er tilgjengelig på det aktuelle tidspunkt. I en tidlig fase vil en ha begrenset tilgang på sikker informasjon om tekniske løsninger, operasjons- og vedlikeholdsfilosofier, logistiske forhold m.m. Etterhvert som prosjektet går fremover vil denne type usikkerhet reduseres. Analysemessig kan beregningskjeden for risiko fra en hendelse være som følger: Årsaker Hendelse Fysiske ulykkeslaster Fysiske konsekvenser Skade Et eksempel på en beregningskjede i en risikoanalyse er: Hendelsen Fysisk ulykkeslast Fysisk konsekvens Skade Lekkasje Brannlast på x kW Varmestråling på

rømningsvei Dødsfall

(Ofte utelates en eksplisitt analyse av årsakene fra risikoanalysen, her er ikke årsakene til at en lekkasje skjer tatt med.) Dess lenger ut i beregningskjeden man kommer, dess flere antagelser må gjøres, og mer usikker blir den beregnede risiko. Risikoberegninger som tar utgangspunkt i fysiske ulykkeslaster eller fysiske konsekvenser, får derfor en noe mindre usikkerhet enn beregninger som måler personrisiko i en eller annen form. Dette må tas med i vurderingen når man velger risikoparameter og akseptabelt nivå for denne. For å kunne foreta en konsistent vurdering av aksept av risiko, må det på forhånd ha blitt definert hvordan usikkerheten i analyseresultatene skal tas hensyn til. Det er ikke vanlig å kvantifisere denne usikkerhet (ofte vil det være praktisk umulig), men heller gjøre følsomhetsberegninger av viktige forutsetninger og faktorer i analysen. Det skal derfor tilstrebes å foreta vurderingen mot RAK i forhold til "det beste estimatet" fra risikoanalysen, framfor en optimistisk eller en for pessimistisk vurdering. En må også være klar over at vurderingene avhenger av den kunnskap/informasjon som analytikerne og beslutningstakerne innehar. Dette innebærer at oppfattelsen av godheten til risikoberegningene og dermed usikkerhetsbetraktningen, vil variere. For å unngå for mye variasjon i selve risikoberegningene fra analyse til analyse vil det være nødvendig i en viss grad å standardisere metoder, modeller og inngangsdata.



A.2.2 Potensielt tap av liv (PLL) PLL er statistisk forventet antall døde innen en spesifisert populasjon i et spesifisert tidsrom. Aspekt Fordeler og ulemper med LP Egnethet for beslutningsstøtte

Dårlig ved midling over ulike personellgrupper. Derimot er PLL godt egnet til å sammenligne alternative løsninger for like problemstillinger.

Kommuniserbarhet • enkelt å forstå for ikke-

eksperter • sammenligning av

risiko med andre aktiviteter

PLL er relativt enkelt å forstå for ikke-eksperter på grunn av beregningen av et absolutt antall drepte. Akseptkriteriet tar imidlertid ikke hensyn til antall individer i populasjonen. Ved sammenligning av risiko med andre aktiviteter er populasjon en viktig parameter som må inngå i totalvurderingen.


PLL bør kunne defineres entydig.

Konseptuavhengighet PLL er svært avhengig av konsept og vil kunne favorisere utbyggingsløsninger med lav bemanning, mao. at færre individer blir eksponert for risiko.

Usikkerhet PLL ligger i helt i enden på beregningskjeden, og beregningene for PLL blir dermed mer usikker enn f.eks. tap av hovedsikkerhetsfunksjon og eskaleringsfrekvens. PLL vil være bedre enn FAR beregninger da en ikke midler over flere personer.

A.2.3 f-N-kurver FN kurver er vanligvis en grafisk framstilling av kumulativ frekvens av antall drepte i de risikoberegninger som er gjort, se A.1.4. Aspekt Fordeler og ulemper med f-N kurver Egnethet for beslutningsstøtte

f-N kurver kan slå noe skjevt ut i forhold til aksept hvis den beregnede dødsrate ligger såvidt over akseptkriteriet i ett område, men godt under ellers. Akseptkriteriet kan derfor være vanskeligere å bruke direkte som beslutningsstøtte for ulike tiltak.




Kumulativ fremstilling kan gjøre f-N kurver noe vanskelig å forstå. Kan brukes til sammenligning til en viss grad, da det kan etableres tilsvarende kurver for andre aktiviteter i samfunnet. Imidlertid samme ‘problem’ som for PLL med at de gir et absolutt tall på personrisiko og ikke nødvendigvis er relatert til antall eksponerte personer.


Bør kunne defineres entydig.

Konseptuavhengighet Akseptkriterier på f-N kurver kan lages slik at de favoriserer enkelte konsept, f.eks. til å favorisere konsept med lavt storulykkepotensiale. De kan også lages slik at de er relativt konseptuavhengige.

Usikkerhet Som for PLL.



A.2.4 Dødsfrekvens (FAR)

A.2.4.1 Generelt FAR er forventet antall drepte per 100 mill. eksponerte timer, for en definert personellgruppe. FAR er en mye brukt risikoparameter. Det blir brukt ulike varianter av FAR-verdi, avhengig av hvordan risikoen blir midlet.

A.2.4.2 FAR for en hel installasjon FAR for en hel installasjon er forventet antall drepte per 100 mill. eksponerte timer for en eller flere spesifiserte installasjoner. Risikoen blir midlet over alle posisjoner ombord. Aspekt Fordeler og ulemper med FAR for en hel installasjon Egnethet for beslutningsstøtte

FAR for en hel installasjon er dårlig egnet til beslutningsstøtte. Grunnen til det er at midlingen av risiko over hele installasjonen medfører at effekt av designendringer ikke nødvendigvis kommer fram som endring i risikonivå da en fordeler risikoen over alle posisjoner ombord. Store endringer i risiko for utsatte grupper kan derfor i mange tilfeller kun ha marginal effekt på FAR for en hel installasjon.




FAR er relativt enkelt å forstå for ikke-eksperter. FAR er klart enklest av alle parametre å sammenligne med risiko fra andre aktiviteter.


FAR for en hel installasjon er definert entydig, men er det akseptkriteriet hvor en midler risikoen over hele installasjonen. Akseptkriteriet kan derfor bli noe upresist, og ikke gi et fullgodt risikobilde.

Konseptuavhengighet FAR for en hel installasjon vil favorisere konsept med høy bemanning i områder med lav risiko, det betyr at noen grupper kan bli utsatt for høy risiko uten at dette slår ut på FAR for en hel installasjon.

Usikkerhet FAR for en hel installasjon beregninger ligger lengst ute i beregningskjeden, samtidig som man midler risikoen over alle posisjoner ombord. Dette gir relativt stor usikkerhet.



A.2.4.3 FAR for gruppe med homogen risiko Gruppe-FAR er forventet antall drepte per 100 mill. eksponerte timer for denne gruppen. Aspekt Fordeler og ulemper med gruppe-FAR Egnethet for beslutningsstøtte

Bedre enn FAR for en hel installasjon (se avsnitt A.2.4.2), da denne fokuserer på et mindre antall posisjoner og ikke midles over hele installasjonen.



risiko i andre aktiviteter

Som FAR for en hel installasjon, men FAR for en hel installasjon og gruppe-FAR blir ofte ubevisst blandet sammen.


Som for FAR for en hel installasjon.

Konseptuavhengighet Mindre avhengig av konsept enn FAR for en hel installasjon, PLL og f-N kurver, da en fokuserer på mindre grupper av personell.

Usikkerhet Relativt stor usikkerhet da FAR beregninger ligger lengst ut i beregningskjeden, men noe bedre enn FAR for en hel installasjon, da en her midler over en mindre gruppe.

A.2.4.4 FAR for fysisk avgrenset område Område-FAR er forventet antall drepte per 100 mill. eksponerte timer i et fysisk avgrenset område. Aspekt Fordeler og ulemper med område-FAR Egnethet for beslutningsstøtte

Mer egnet enn PLL, f-N kurver, IR, FAR for en hel installasjon og gruppe-FAR, da en tar for seg et avgrenset område på installasjonen.




Vanskelig å sammenligne med andre aktiviteter fordi definering av områder vil variere.


Som for FAR for en hel installasjon.

Konseptuavhengighet Som for gruppe-FAR. Usikkerhet Som for gruppe-FAR, men hvor midlingen er for et avgrenset område.



A.2.5 Individuell risiko (IR) Individrisiko (IR) er sannsynligheten for at et spesielt individ (for eksempel det individ i en populasjon som blir utsatt for høyest risiko) skal bli utsatt for en dødsulykke i løpet av en midlingsperiode (vanligvis ett år). I praksis vil det ofte være vanskelig å beregne risikoen for et spesielt individ, og man tenker seg et 'gjennomsnittsindivid'. IR blir da proporsjonal med gruppe-FAR. Aspekt Fordeler og ulemper med IR Egnethet for beslutningsstøtte

IR for enkeltindivid er relativt enkel å bruke til å ta beslutninger om tiltak som påvirker det utvalgte individ, effekten vil måles direkte.




Relativt enkelt å forstå for ikke-eksperter og relativt enkelt å sammenligne med risiko for andre aktiviteter, da en regner risikoen for hvert enkelt individ.


Mulige problemer med å eksakt eksponering for et individ. IR medfører minimal midling.

Konseptuavhengighet Mindre avhengig av konsept enn FAR for en hel installasjon, PLL og f-N kurver.

Usikkerhet Som for alle personellrisikoparametre er IR beheftet med nokså høy usikkerhet, da beregning av risiko for et spesielt individ ligger lengst ut i beregningsskjeden.



A.2.6 Risikomatrise Risikomatriser har konsekvenskategorier langs den ene aksen og sannsynlighet- eller frekvenskategorier langs den andre aksen. Konsekvensene kan definere skade på person, økonomiske verdier og miljø. Aspekt Fordeler og ulemper med risikomatrise Egnethet for beslutningsstøtte

Ikke spesielt egnet til å ta beslutninger fordi risikoen blir nokså grovt og subjektivt beregnet. Man kan gjennomføre effektive risikoreduserende tiltak uten at risikoen blir endret i matrisen.




Enkelt å forstå for ikke-eksperter. Gir et visuelt bilde av risikoen. Er ikke nødvendigvis egnet til å sammenligne med risiko i andre aktiviteter da risikomatrisen ofte er skreddersydd for analysen. Vil ofte brukes ved avgrensede problemstillinger.


Bør kunne formuleres entydig, men kan ha lav grad av presisjon da en risikomatrise ofte har relativt grov inndeling i grupper, og ikke krever detaljerte beregninger.

Konseptuavhengighet Definisjonen av konsekvenskategoriene og grenselinje mellom uakseptabel og akseptabel risiko vil avgjøre om risikomatrisen favoriserer noe konsept.

Usikkerhet Risikomatrisen er lite følsom for usikkerhet, da inndelingen ofte er grov, noe som øker sjansen for å estimere risikoen i ‘riktig’ rubrikk.



A.2.7 Eskaleringsfrekvens Eskaleringsfrekvens er frekvensen av de hendelser som medfører at en ulykke eskalerer, for eksempel fra et område til et annet. Et eksempel kan være frekvensen av gasslekkasjer i et område som fører til brann som kan ødelegge brannveggen som skiller området fra naboområdet. Det kan legges inn en tidsbegrensning, for eksempel eskalering innen to timer etter at en brann oppstår. Aspekt Fordeler og ulemper med eskaleringsfrekvens Egnethet for beslutningsstøtte

Dette er et typisk designkriterium. Meget godt egnet til å måle effekt av tekniske tiltak. Mindre egnet til å måle effekt av ikke-tekniske tiltak (organisering, prosedyrer etc.). Ikke spesielt velegnet i driftsfasen, fordi tekniske tiltak som regel er frosset.




Eskaleringsfrekvens er relativt enkelt å forstå, men er ikke egnet til å sammenligne med risiko i andre aktiviteter.


Eskaleringsfrekvens i forhold til veldefinerte, avgrensede områder er entydig, men eskalering innen et område, mellom prosessegmenter o.l. kan være vanskelig å definere entydig.

Konseptuavhengighet For såvidt uavhengig av konsept, men vil selvsagt bidra til løsninger som minimerer risikoen for eskalering (avhengig av definisjon av områder i forhold til eskalering).

Usikkerhet Kan være avhengig av hvordan selve eskaleringsbegrepet er definert. Mindre usikker enn personrisikoparametre siden det kommer tidligere i beregningskjeden.



A.2.8 Tap av hovedsikkerhetsfunksjon Tap av hovedsikkerhetsfunksjon er frekvens av de UH som medfører at en hovedsikkerhetsfunksjon ikke er tilgjengelig. Hovedsikkerhetsfunksjoner er typisk rømningsveier, evakueringsmidler, hovedbæresystem og kontrollrom. Aspekt Fordeler og ulemper med tap av hovedsikkerhetsfunksjon Egnethet for beslutningsstøtte

Dette er et typisk og velegnet designkriterium, som er meget godt egnet til beslutning om tekniske tiltak. Bedre enn eskaleringkriteriet i driftsfasen fordi ikke-tekniske tiltak også vil influere på mulig tap av hovedsikkerhetsfunksjonene, dog med en større usikkerhet enn for tekniske tiltak.




Begrepet tap av hovedsikkerhetsfunksjon er forholdsvis enkelt å forstå for ikke-eksperter. Er ikke egnet til å sammenligne med risiko i andre aktiviteter.


Bør kunne formuleres entydig.

Konseptuavhengighet For såvidt uavhengig av konsept, men vil selvsagt bidra til løsninger som minimerer risikoen for tap av de valgte hovedsikkerhetsfunksjoner.

Usikkerhet De valgte hovedsikkerhetsfunksjoner må defineres klart. Man må tenke nøye gjennom hvilke tilstander som medfører tap av funksjon. Mindre usikker enn personrisikoparametre siden tap av hovedsikkerhetsfunksjon kommer tidligere i beregningskjeden.

A.3 Andre aspekter

A.3.1 Sikkerhetsmålsetninger Så langt som mulig bør sikkerhetsmålsetningene uttrykkes på en måte som tillater verifikasjon av innfrielse gjennom ALARP-vurdering. Sikkerhetsmålsetninger på lang og kort sikt danner grunnlag for videre utvikling av sikkerhetsnivå og knytter RAK som et element i den kontinuerlige forbedringsprosessen sammen med HMS-styringen.

A.3.2 Etablering av nivå for aksept Det er et generelt krav at valg av nivå for aksept av risiko skal begrunnes og dokumenteres. Dette vil også gjøre en framtidig oppdatering av RAK enklere. Graden av presisjon i formuleringen av RAK vil variere ut i fra hvilket behov en har for beslutningsstøtte. Risikoanalyser vil bli utført på ulike detaljeringsnivå og faser i virksomheten, både for svært spesifikke problemstillinger og for hele innretninger. RAK må kunne håndtere dette. Bruken av RAK må være konsistent for den enkelte operatørs virksomhet. RAK må legges på et nivå hvor det er en rimelig balanse mellom ambisjoner om kontinuerlig forbedring, definerte sikkerhetsmål og forbedringer innen teknologi på den ene siden og hva som er realistisk mulig å oppnå på den andre siden. Disse retningslinjene vil ikke gi noen nærmere føring på hvilket risikonivå som kan anses som akseptabelt for virksomheten på norsk sokkel.



A.3.3 Avviksbehandling av akseptkriterier Ledelsen har ansvaret for å etablere styringssystemer, herunder etablering og bruk av RAK og risikoanalyser, for å etablere, opprettholde og videreutvikle et fullt ut forsvarlig sikkerhetsnivå. Ledelsens involvering er nødvendig for å få satt risikoanalysene i en riktig sammenheng som et sentralt element i HMS-styringen. Det er også viktig at arbeidstakerne involveres i prosessen. Det er det samme beslutningsapparatet som vil måtte ta seg av et eventuelt avvik fra RAK. Prosedyrer for avviksbehandling må etableres. For eldre installasjoner som ble tatt i bruk før analyseforskriften ble iverksatt, kan det være aktuelt å behandle disse som avvik fra RAK, eller etablere egne RAK for disse installasjonene.

A.3.4 Oppdatering av RAK Forskriftene setter krav til oppdatering av RAK for å oppnå de etablerte sikkerhetsmålene, i takt med utviklingen av virksomheten for øvrig. RAK bør derfor måtte vurderes oppdatert når operatørens sikkerhetsmål endres. Det kan også være nødvendig å oppdatere RAK etter hvert som analysemetoder, datagrunnlag og teknologi utvikles. RAK vil derfor endre seg over tid og gjennom ulike faser av virksomheten. Videre kan oppnåelse av sikkerhetsmål innebære en reell reduksjon av risiko i virksomheten og dermed danne grunnlag for utarbeidelse av nye RAK. Revisjonen av RAK kan således medføre at UH som opprinnelig ikke ble klassifisert som dimensjonerende, blir definert som dimensjonerende i en etterfølgende risikoanalyse.

A.3.5 Prioritering av risikoreduserende tiltak Overordnede prinsipper for prioritering av risikoreduserende tiltak tilsier at reduksjon av sannsynlighet for ulykker bør prioriteres fremfor reduksjon av konsekvens, når dette er teknisk, operasjonelt økonomisk mulig. Dette innebærer at valg av tekniske, operasjonelle og organisatoriske risikoreduserende tiltak bør prioriteres som følger: a) Sannsynlighetsreduserende tiltak, i følgende rekkefølge: aa) tiltak som reduserer sannsynligheten for at en faresituasjon kan oppstå, ab) tiltak som reduserer sannsynligheten for at en faresituasjon kan utvikle seg til en UH. b) Konsekvensreduserende tiltak, med følgende prioritering: ba) tiltak som angår innretningens utforming, bærende konstruksjoner og passiv brannbeskyttelse, bb) tiltak som angår sikkerhets- og støttesystemer, og aktiv brannbeskyttelse, bc) tiltak som angår beredskapsutstyr og beredskapsorganisasjon.

A.4 Bruk av risikoakseptkriterier (RAK) i livssyklusfaser

A.4.1 Generelt Petroleumsvirksomheten kan deles inn i mange forskjellige faser. Bruk av RAK og risikoanalyser vil selvsagt variere i forhold til hvilken fase av virksomheten som skal vurderes. Det vil være forskjell på akseptkriterier og metodikk for vurdering av en hel plattform i forhold til vurdering av en enkelt operasjon. En oversikt over livssyklusfasene vises i normativ tekst, kapittel 6. Den samme strukturen brukes i dette avsnittet med unntak av undersøkelsesboring som diskuteres mot slutten av A.4.

A.4.2 Konsept- og prosjekteringsfasen

A.4.2.1 Generelt Bruk av risikoanalyser og tilhørende RAK er et viktig verktøy for etablering av dimensjoneringskriterier og beslutninger i designprosessen. Det er viktig å få etablert dimensjoneringskriterier så tidlig som mulig. Disse forhold er omtalt i rapporten «Metoder for etablering av dimensjoneringskriterier» (se vedlegg F), hvor det framgår at følgende tre hovedelementer inngår i denne prosessen: • Tekniske krav og spesifikasjoner (dvs. produktspesifikasjoner, økonomiske premisser og krav, tekniske

spesifikasjoner, operasjonelle premisser)



• Miljølaster og forutsetninger om ytre miljø- og arbeidsmiljø (dvs. laster fra vind, bølger, jordskjelv, lysforhold, korrosjon, erosjon, etc.)

• Ulykkeslaster og sikkerhetskrav (dvs. RAK mht. personell, miljø og materielle verdier, DULer, krav til tilgjengelighet, herunder sårbarhet, og pålitelighet)

For den siste delen (ulykkeslaster og sikkerhetskrav), benyttes tre hovedmetoder for etablering av dimensjoneringskriterier: • direkte avledning fra overordnede RAK basert på risikoanalyse • kvalitative (semi-kvantitative) analyser • erfaringsdata og standarder De følgende underavsnitt fokuserer på de overordnede RAK.

A.4.2.2 Mulighetsstudier og konseptevaluering For konseptevalueringsfasen må man ha etablert kvantitative RAK. Før en kommer til konseptevalueringsfasen kan grovanalyser være utført i forhold til mulighetsstudier, hvor økonomi og tekniske vurderinger er avgjørende. Detaljerte QRA forventes normalt ikke i mulighetsstudier, men en kvalitativ vurdering av sikkerhetsmessige forhold må inngå i disse grove vurderingene. Når så alternative konsepter foreligger må konseptevalueringen omfatte relativt detaljerte QRA i forhold til etablerte kvantitative RAK for personell, samt RAK for miljø og økonomi. Hovedmålet med risikoanalysen i tidlig fase må være å kunne konkludere om konseptet har potensiale til å møte RAK. I den forbindelse vil det være viktig å identifisere kritiske aspekter (operasjoner/områder) slik at eventuelle tiltak kan beskrives og kostnadsestimeres slik at sammenligningsgrunnlaget mellom konseptene blir reelt. RAK som etableres bør altså gjelde for konseptene (installasjonene) i full drift. I denne prosessen er det derfor viktig at en tar hensyn til usikkerheten i de antagelser som gjøres om driftsforhold samt usikkerhet i beregningsmetoder og databaser i forhold til RAK(ref. diskusjon om usikkerhet i A.2.1.5). Et konkret eksempel på bruk av hovedsikkerhetsfunksjoner som akseptkriterium kan være følgende: Evakueringssystemet skal være intakt og tilgjengelig i 90 min. slik at man kan foreta en kontrollert evakuering fra definert tilfluktsområde på installasjonen. Samlet frekvens av UHer hvor denne sikkerhetsfunksjonen tapes skal være høyst 5 x 10-4 per år. Andre hovedsikkerhetsfunksjoner det kan etableres krav for er: • Hovedbæresystem/flyteevne • Rømningsveier • Tilfluktsområde (sikkert område) • Evakueringsmidler (plassering og skjerming av livbåter) • Eskalering (brann- og eksplosjonsbarrierer) • Kontrollromsfunksjon (dvs. nødvendig grad av kontroll, overvåkning og kommunikasjon) En konseptrisikoanalyse kan gjennomføres uten at alle detaljer om sikkerhetssystemer er kjent. Man vil likevel få et risikobilde som viser risikobidragene og man ser hvor tiltak må iverksettes for å møte RAK. Fordeler og ulemper med de forskjellige kriteriene er beskrevet i A.2.2-A.2.8.

A.4.2.3 For- og detaljprosjekteringsfasen I prosjekteringsfasen benyttes normalt de samme overordnede kvantitative RAK. Det som imidlertid er viktig i prosjekteringsfasen er at alle DULer er identifisert og at disse sammen med de overordnede RAK og andre forventninger og premisser for design (pålitelighets-, sårbarhetskrav etc.) blir utledet til designspesifikasjoner. Dette må skje så tidlig i prosjektet som mulig. I denne prosessen og i design-prosessen for øvrig vil det ofte være nødvendig å foreta spesielle detaljerte risikoanalyser for personell for å vurdere om designspesifikasjonene kan imøtekommes (f.eks. brann- og eksplosjonsstudier og fallende last studier). Resultatet av de detaljerte analysene bør være del av beslutningsprosessen, og inngå i en mer detaljert utgave av konseptrisikoanalysen (ofte kalt «totalrisikoanalyse»). Det anbefales å utføre en slik detaljert risikoanalyse fore personell, miljø og



økonomiske verdier som en del av detaljprosjekteringen, slik at analysen aktivt kan brukes i beslutningsprosessen. I prosjekteringsfasen må en altså foreta en nedbrytning av sikkerhets- og designkrav ned til område, system- og komponentnivå. Like fullt vil de overordnede RAK etablert i konseptfasen være avgjørende for å sikre at tiltak settes inn på områder som gir størst sikkerhetsmessig gevinst. I denne sammenheng vil også ALARP-prinsippet brukes i beslutningsprosessen.

A.4.3 Bygge- og installasjonsfaser

A.4.3.1 Byggefasen Byggefasen innebærer fabrikasjon av faste eller flytende konstruksjoner, moduler og forskjellige deler av installasjonen. Det meste av dette foregår på land, men noe arbeid gjøres også offshore. a) Byggearbeid på land/innaskjærs: I disse faser vil som oftest vanlig verkstedpraksis gjelde, og en har til nå normalt ikke etablert egne RAK. Spesielle forhold som rømning og evakuering fra moduler må vurderes i hvert enkelt tilfelle, og i spesielle situasjoner kan det være nødvendig med risikoanalyser for å få klarlagt om folk er trygge og kan komme i sikkerhet hvis en større ulykke skulle inntreffe (f.eks. ved arbeid på en sammensatt konstruksjon i en fjord). Da må alle risikoforhold identifiseres og vurderes mot RAK. Kvalitative akseptkriterier som kan benyttes for slike «temporære» faser er beskrevet i A.4.3.2. b) Byggearbeid til havs: Hvis installasjonen er på plass vil normalt de samme overordnede RAK som i driftsfasen gjelde. Forholdsregler må tas i forbindelse med spesielle aktiviteter, så som bruk av flotell, ekstra høy bemanning, høy byggeaktivitet, bemannede undervannsoperasjoner, start av hydrokarbonsystemene, skytteltrafikk med helikopter og høy boreaktivitet.

A.4.3.2 Installasjonsfasen Installasjonsfasen omfatter installasjon av undervannskonstruksjoner, rørledninger og sammensetting av moduler/konstruksjon etc på feltet. Installasjonsfasen kan også defineres til å omfatte sammensetting av moduler innaskjærs. Installasjonsfasen omfatter ofte bruk av flere marine fartøy som til dels kan operere samtidig på feltet. For disse «temporære» fasene er det så langt ikke etablert noen generell anerkjent industripraksis hva gjelder RAK. Dette beror på følgende forhold: • Hver installasjonsaktivitet er som oftest unik, og gjøres bare en gang. • Erfaringsdata kan ikke da gjøres direkte anvendbare, og en får ikke etablert robuste data. • Varigheten av hver installasjonssekvens er veldig kort, og hver sekvens kan variere mye i omfang og

risikonivå. Det har av den grunn vært vanskelig å etablere kvantitative RAK for denne fasen. De kvantitative beregningene vil ha stor usikkerhet, og ofte være basert på mange antagelser som ikke kan verifiseres eller dokumenteres. Nytteverdien av slike beregninger vil derfor ofte ikke stå i forhold til de ressurser en setter inn for å beregne verdiene. Det kan derfor være hensiktsmessig å benytte kvalitative RAK og analyser.

A.4.4 Driftsfasen

A.4.4.1 Normal drift Som normal drift regnes de regulære aktiviteter som er nødvendig for å operere en installasjon. Herunder inkluderes det vedlikehold og inspeksjonsprogram som er en forutsetning for driften, samt det basis aktivitetsnivå som forventes. Risikonivået i driftsfasen er i utgangspunktet et resultat av design, og de tekniske, operasjonelle og organisatoriske forutsetninger som ble lagt til grunn. Det samme gjelder RAK driftsfasen ble vurdert opp mot. Selv om det kreves et program for kontinuerlig reduksjon av risiko, vil den eksisterende design sette begrensninger i driftsfasen. Dette er begrensninger man ikke vil ha i samme grad ved design av nye



installasjoner. RAK for nye installasjoner kan derfor ikke automatisk gjøres gyldige for eksisterende installasjoner. (Se for øvrig A.3.2 for avviksbehandling). Risikoindikator Det forutsettes at man har en overvåkning av risikonivået i normal drift, slik at man kan vurdere hvordan risikonivået utvikler seg i forhold til akseptkriteriene. Risikoanalysene må derfor kunne identifisere de parametre/indikatorer som er sentrale for risikonivået, og hvilken effekt endring av disse vil ha, slik at en effektiv kontroll av endring i risikonivå i forhold til RAK kan gjennomføres. Eksempler på slike indikatorer kan være: • Lekkasjefrekvenser for hydrokarbon • Nivå av varmt arbeid • Tilgjengelighet av kritiske sikkerhetssystemer • Mobiliseringstid for redningspersonell/team Utgangspunktet er at aksept av risikonivå er basert på at disse indikatorene har en viss verdi, slik det er antatt eller vist i risikoanalysen. Når verdien endrer seg, vil også risikonivået endre seg. Intensjonen er derfor raskt å bli oppmerksom på en trend som kan føre til brudd med RAK. Dette må gjennomføres som en relativt kontinuerlig aktivitet. En slik overvåking av risikoindikatorene vil styre fokuseringen mot de sentrale risikopåvirkende faktorene, samt gi et verktøy for å vurdere avvik fra gitte forutsetninger i analysen. Databaser Initielt er risikonivået i normal drift basert på data fra anerkjente databaser og beregningsverktøy, og ikke fra den aktuelle installasjonen. Så snart egne kvalifiserte erfaringsdata blir tilgjengelige, skal disse benyttes for å vurdere det reelle risikonivået opp mot RAK. Det må i såfall stilles krav til både datamengden og kvaliteten av data, slik at påliteligheten av interne erfaringsdata er akseptabel. Under normal drift vil styring og gjennomføring av aktiviteter i henhold til slike standarder og retningslinjer være utgangspunktet for å sikre en akseptabel drift.

A.4.4.2 Spesielle operasjoner Dette omfatter operasjoner som utføres i tidsmessig avgrensede perioder i driftsfasen, og som derfor ikke er inkludert i det basis aktivitetsnivået de overordnede risikoanalysene er basert på. Dette kan være spesielle løfteoperasjoner, bore-/brønn aktiviteter, bemannede undervannsoperasjoner, vedlikeholdsstans og lignende. Overordnede RAK baseres normalt på et gjennomsnittlig risikonivå per år, og er således ikke egnet til å vurdere aksept av risiko forbundet med kortvarige spesielle operasjoner. Risikoen forbundet med spesielle operasjoner kan også være relativt lokal, og ikke nødvendigvis påvirke det overordnede risikonivået. Aksept av slik midlertidig forhøyet risikonivå må bl.a. ta hensyn til: • Varighet av perioden med økt risiko. • Det høyeste risikonivå operasjonen har • Om risikoøkningen er lokal eller gjelder hele installasjonen. • Om risikoøkningen gir svært forskjellig risikonivå for forskjellige personellgrupper. P.g.a. de ulike forhold som kan gjelde fra operasjon til operasjon vil det ikke være mulig å gi et entydig råd om hvilke akseptkriterier som skal benyttes. Som et minimum må likevel ALARP prinsippet benyttes for å begrense risikoen så langt praktisk mulig. Noen typer operasjoner er beskrevet nærmere i det følgende. Intervensjon på normalt ubemannede installasjoner Dette er en operasjon som i natur er spesiell, men som samtidig er en del av den normale driften. Den utføres regelmessig, og det vil normalt kun være behov for å analysere den en gang. I vurderingene av denne type operasjoner må både transport til og fra installasjonen, og den aktivitet som skal utføres tas med. Akseptkriterier vil normalt være individuell risiko, PLL eller FAR, enten knyttet opp til operasjonen separat, eller inn i analysen for selve installasjonen.



Boring, komplettering og brønnoperasjoner Risiko forbundet med de fleste bore-, kompletterings- og brønnoperasjoner vil ligge innbakt i analysen av selve installasjonen, og således være en del av det overordnede risikobildet. Egne analyser kan derimot være nødvendig dersom man avviker fra disse, enten fordi bore- og kompletteringsprogrammet endres, en spesiell brønnvedlikeholdsjobb skal utføres, man skal bore i dypere lag med høyere trykk, etc. Drillers Hazop vil være en aktuell metodikk for de fleste slike operasjoner. Et akseptkriterium kan være å sammenligne med standard operasjoner. Det kan også være aktuelt å knytte risikoen opp mot plattformens overordnede RAK. Bemannede undervannsoperasjoner Risiko forbundet med bemannede undervannsoperasjoner vil vanligvis være uavhengig av installasjonens risikoanalyser. Det følgende bør vurderes i forhold til bemannede undervannsoperasjoner fra fartøy eller installasjoner: • Tilgjengelighet for fartøy, installasjoner, dykkere • Rømningsveier • Mulig midlertidig stans i installasjonens andre rømningsveier (livbåter og flåter, redningssjakt etc.) • Løfteoperasjoner • Fiske • Utslipp av kjemikalier, barytt og sement • Dumping av borekaks • Stillas over åpen sjø • Fakling • Vannjet, sandblåsing • Sjøvanninntak, inklusive brannvann • Slippe ut kjølevann Hvis bemannede undervannsoperasjoner gjøres ut fra en installasjon, bør en særlig legge merke til hyperbarisk evakuering av dykkere. Like mye som sammenligning med etablerte og kjente standarder med tanke på aksept av risiko, brukes vanligvis SJA og/eller risikomatriser. Bemannede undervannsoperasjoner fra eller i nærheten av en installasjon kan få betydning for installasjonens beredskapsplaner og driftsmodus. Arbeid på kritisk utstyr SJA jobb analyser er den mest benyttede metoden for vurdering av risiko. RAK finnes vanligvis ikke, mer generelle beslutningskriterier kan benyttes. Praksis med SJA indikerer at disse primært fokuserer på arbeidsulykker og i liten grad reflekterer operasjonens potensiale for storulykker. Tunge løft SJA er den mest benyttede metoden for vurdering av risiko ved denne typen arbeid. Akseptkriterier er oftere knyttet opp mot tilfredsstillelse av prosedyrer, at prosedyrer er på plass, etc., enn akseptkriterier knyttet opp mot risiko. Marine operasjoner Den normale marine aktiviteten knyttet til trafikk med forsynings- og beredskapsfartøy er normalt dekket (begrenset til den risiko disse utgjør for produksjonsinnretningene) av installasjonens overordnede risikoanalyse. Operasjon av spesialfartøy, mobile rigger, etc. vil derimot kunne kreve separate analyser. Risikomatriser kan være et anvendelig verktøy, der man kan vurdere risikoen forbundet med de ulike fasene operasjonen innebærer opp mot akseptkriteriene som er gitt av matrisen.

A.4.4.3 Inspeksjon og vedlikehold Inspeksjon og vedlikehold inngår som en integrert del av normal drift, og omfatter preventivt og korrektivt vedlikehold, samt rutiner for tilstandsovervåking og inspeksjonsprogram. Det vil normalt ikke bli utført egne risikoanalyser, med dertil etablerte RAK, for regulær inspeksjon og vedlikehold. Dette er basisaktiviteter som inngår i datagrunnlaget for de overordnede risikoanalysene, samt at de utføres i henhold til etablerte prosedyrer og standarder for slike aktiviteter. Hvis det bør foretas inspeksjon og vedlikehold av bemannede undervannsoperasjoner, se avsnittet om bemannede undervannsoperasjoner i A.4.4.2. Utføring av vedlikeholds- og inspeksjonsaktiviteter bør altså normalt ikke blir gjenstand for risikoanalyser. Derimot bør risikoanalysene benyttes i etablering av program for inspeksjon og vedlikehold, for å sikre et kostnadseffektivt program samtidig som risikokritisk utstyr gis nødvendig



prioritet (RBI). Her kan de overordnede kvantitative risikoanalysene for installasjonen benyttes til å identifisere kritisk utstyr, men de er mindre egnet til å gi RAK i forhold til valg av inspeksjon/vedlikeholds program. Endring av program for inspeksjon/vedlikehold bør vurderes opp mot forutsetningene for inspeksjon og vedlikehold som de overordnede risikoanalyse bygger på for å sikre at endringene ikke har uakseptabel effekt på risikonivået. Man bør også etablere et system for erfaringsoverføring fra utført inspeksjon og vedlikehold for å kunne vurdere om erfaringsdata endrer forutsetningene analysene baseres på.

A.4.4.4 Risiko under modifikasjonen Modifikasjoner vil som oftest bli utført mens installasjonen er i full drift, og medfører derfor en økning av aktivitetsnivået på og rundt installasjonen over en kortere eller lengre periode. Risikoanalyser bør benyttes for å sikre at ikke modifikasjonsarbeidet i seg selv medfører en uakseptabel høy risiko. Følgende parametre bør inngå i vurdering av midlertidig forhøyet risiko (se også figur A5): • Den maksimale risikoøkningen. Man er nødt til å vurdere om denne er akseptabel, selv om varigheten

kan være kort. Dette kan være med på å beslutte om valgte metode for gjennomføring av modifikasjon må revurderes, eller om kompensering gjennom f.eks. begrensninger i den normale driften skal innføres.

• Varighet av de aktiviteter som medfører perioder med forhøyet risiko. Den totale eksponeringen man har

p.g.a. modifikasjonsarbeidet må vurderes opp mot RAK. • Om risikoøkningen er lokal, dvs for et begrenset område av installasjonen, eller global for installasjonen.

Man kan lettere akseptere - og eventuelt kompensere for - en risikoøkning dersom den er lokal. • Det kan ha betydning for vurderingen om modifikasjon fører til et redusert eller økt risikonivå etter den er

gjennomført. Aksept av risiko forbundet med modifikasjonsarbeidet kan bl.a. bli basert på den gevinsten modifikasjonen gir i form av risikoreduksjon i ettertid.

Den totale risikoeksponering er avhengig av den midlertidige økning under modifikasjonen, og den reduksjon av risikoeksponering som oppnås. I figur A5 vises risikonivå for 2 situasjoner, uten risikoreduserende tiltak (R1) og med implementering av risikoreduserende tiltak (R2) som medfører midlertidig økning. Figuren viser også akkumulert risiko som funksjon av tid for de to alternativer. Det fremgår at det tar en betydelig periode før akkumulert risiko blir lavere for situasjonen R2 enn for situasjonen R1.



Time

R1R2ACC R1*0.1ACC R2*0.1

Risk level

Figur A.5 – Eksempel på variasjoner i risikonivå ved modifikasjonsarbeid

Den endelige vurderingen av aksept må baseres på en samlet vurdering av alle disse parametrene. Livssyklusbetraktninger bør også kunne benyttes mer i forbindelse med modifikasjonsarbeider. F.eks. for vurdering av sveiste rørforbindelser kontra flensede rørforbindelser (sveiste forbindelser kan gi høyere risiko i modifikasjonsfasen pga. varmt arbeid, men lavere risiko i driftsfasen pga. lavere lekkasjefrekvens). Det er et sentralt element i HMS-styringen av en installasjon at man har en etablert rutine for å bringe risikoanalytisk kompetanse inn i en tidlig fase av planlagte modifikasjoner, slik at de risikomessige forhold blir ivaretatt som en integrert del av planlegging og gjennomføring.

A.4.5 Avvikling og fjerning

A.4.5.1 Generelt Inkludert i avslutningsfasen av et felt regnes de aktiviteter som utføres for å; • stenge ned og sikre system, utstyr og installasjon, dvs. det å gjøre installasjonen kald • vedlikeholde/inspisere kald installasjon inntil endelig disponering finner sted • gjennomføre den endelige disponeringen. Det vil være aktuelt å benytte ulike RAK og analytiske metoder for planlegging og gjennomføring av disse 3 hovedkategoriene, men de har mye til felles med andre aktiviteter som er beskrevet andre steder i denne retningslinjen.

A.4.5.2 Nedstengning Selve nedstengningsfasen har mye til felles med det som utføres i forbindelse med sammenkopling og oppstart av en ny installasjon, slik at de prinsipp som ligger til grunn for den fasen er også gyldig for nedstengning. Intensjonen er å sikre at selve arbeidsoperasjonen utføres på en sikker måte, og i riktig rekkefølge. De mest kritiske operasjonene fra et risikosynspunkt vil være i forhold til fjerning av produksjonsrør i brønnene, permanent plugging, samt fjerning av hydrokarbonrester i anlegget . Det henvises her til brønnoperasjoner i A.4.3.2.

A.4.5.3 Vedlikehold/inspeksjon av kald innretning Denne fasen har en del til felles med intervensjon av normalt ubemannede installasjoner (se A.4.3.2). Selv om risikobildet kan være en del forskjellig, så vil RAK og metodikk kunne være de samme. Akseptabel eksponeringsnivå fra arbeidsulykker/storulykker bør ligge på samme nivå som for normal drift. PLL og IR er anvendelige kriterier.

A.4.5.4 Gjennomføring av endelig disponering

Tid

Risikonivå



Det finnes så ulike alternative løsninger for endelig disponering av installasjoner. Risikoanalyser og RAK må derfor velges ut fra løsning som vurderes. HAZOP og SJA metodikk kan være relevant for de fleste løsninger når det gjelder planlegging av de operasjonene disponeringen består av. Ellers har fjerning av installasjoner mange likhetstrekk med installasjon av nye installasjoner, slik at de RAK som da benyttes, se A.3.2. også kan være aktuelle for en fjerning.

A.4.6 Risikoakseptkriterier for flyttbare innretninger Med flyttbare innretninger menes i dette dokumentet flyttbare innretninger som bore-, bolig- og verkstedplattformer, mens hjelpefartøy, rørleggingsfartøy, dykkerskip, skip til bruk for seismiske undersøkelser og forsyningsskip ikke dekkes av begrepet. Flyttbare produksjonsinnretninger bør behandles som faste installasjoner. Definisjon av virkeområdet for petroleumsvirksomhet er beskrevet i myndighetenes regelverk. Inntak av innretninger representerer spesielle utfordringer mht. fastsettelse av RAK. Formatet på RAK er styrende for hvilke typer risikoanalyser som må utføres. Risikoanalyser med bakgrunn i annen lovgivning kan legges til grunn i petroleumsvirksomheten. RAK i forbindelse med inntak av flyttbare innretninger bør så langt som mulig utformes på et format som er konsistent med etablerte og anerkjente modeller for risikoanalyse av slike innretninger. Operatør bør i tillegg vurdere om alle relevante forutsetninger er gyldige for å ta stilling til om RAK kan møtes for den aktuelle virksomheten. Konkret kan dette gjelde: • brønnspesifikke forhold (eks. utblåsningssannsynlighet, utblåsningsrater) • lokasjonsspesifikke forhold (eks. miljøforhold, skipstrafikk) • nye UHer (nærliggende installasjoner/operasjoner) Oppfølging av anbefalinger om risikoreduserende tiltak for å møte RAK bør i tillegg verifiseres av operatør. En vil oftest ha behov for en kvantitativ risikoanalyse når en flyttbar innretning bør være en integrert del av en fast installasjon, da RAK for den faste installasjonen oftest vil bli anvendt for hele komplekset. I slike tilfeller må altså de overordnede RAK (format og nivå) for den flyttbare delen være på linje med operatørenes RAK for faste installasjoner. Hvis konsepter for utbygging og drift inkluderer en flyttbar innretning må operatøren ha RAK for risiko som anvendes for hele konseptet.



Vedlegg B (informativt)

Årsaks- og konsekvensanalyse av ulike ulykker

B.1 Generelt Dette vedlegget diskuterer årsaker og konsekvenser av typiske UHer. Det presenteres et sett med aspekter som kan betegnes som “kvalifiserte verktøy og modeller”. Retningslinjer og krav vil gjelde ERA, CRA og TRA. Vær oppmerksom på at det finnes mange tilgjengelige teknikker for å identifisere fare knyttet til en installasjon eller aktivitet, f.eks. HAZOP/FMEA, sjekklister, deduktiv analyse, kvalitativ gjennomgang osv. Typen risikoanalyse som skal utføres og type operasjon eller utstyr som vurderes avgjør hvilken teknikk som velges. Fareidentifikasjonsmetodikk beskrives ikke i denne veiledning, men ulykker som beskrives i det følgende vil kunne brukes som en første sjekkliste for å identifisere relevante ulykker for analyse.

B.2 Hydrokarbonlekkasje, brann og eksplosjon

B.2.1 Generelt For å beregne risiko og vurdere viktigheten av ulike faktorer og tiltak relatert til hydrokarbonlekkasjer, bør hendelsestremodeller brukes med lekkasje som uønsket hendelse. En bør være oppmerksom på følgende: • Årsaken til lekkasje, kilde og lokasjon • Størrelse på lekkasje, volum og varighet • Hva er det som lekker (gass/olje)? • Effektivitet av nedstengningssystemet for størrelsen på lekkasjen • Gasspredning/utbredelse • Mulighet for antennelse, tid for antennelse • Mulighet for eksplosjon i tilfelle av antennelse og effekt av eksplosjonen • Brannslokningssystemets ytelse • Nedstengningssystemets ytelse • Ulykkeseskalering • Rømningsmuligheter og redningssystemer • Personellfordeling ERA og CRA kan baseres på forutsetninger om noen av disse faktorene, f.eks. personellfordeling, virkningen av sikkerhetssystemene og varigheten av lekkasjen. Slike forutsetninger bør følges opp i senere faser. TRA må inkludere analyser av sikkerhetssystemenes ytelse.

B.2.2 Lekkasjefrekvens Årsakene til lekkasjer bør identifiseres for å beregne lekkasjefrekvens og identifisere mulige sannsynlighetsreduserende tiltak. Rør- og utstyr (skomponenter) der det kan oppstå lekkasje, bør identifiseres for hver modul/hvert område. Komponentene bør grupperes ut fra type, f.eks.: • Rør (liten og stor diameter) • Flenser (normal stålpakning, greylock-kobling) • Ventiler • Pumper • Kompressorer • Trykktanker, varmevekslere • Instrumentkoblinger • Rørskraperstasjon • Stigerør, strømningsrør • Rørledninger



Antall komponenter (meter med rør) av hvert type bør estimeres innen hver modul, hvert område. Basert på kvalifiserte data og modeller bør frekvensen av lekkasje ved en gitt hullstørrelse fastsettes for hver komponenttype. En utløsende lekkasjerate bør beregnes for hver hullstørrelse ved å bruke modeller for utstrømingsberegning, basert på medium, trykk, temperatur og tetthet. Det vil være nyttig å definere lekkasjescenarier slik at de viser ulike fysiske egenskaper, som: • Gasslekkasjen er ikke nok for å gi en eksplosiv blanding av en størrelse som gir trykkeffekter. Dermed er

det lite sannsynlig med en eksplosjon og en lokal brann er et mulig scenario. • Lekkasjen gir nok tid for manuell handling før stor eksplosiv blanding formes. • Lekkasjen er for stor for at det er realistisk med manuell intervensjon. • Lekkasjen vil raskt fylle mange områder med eksplosiv gass. • En antent lekkasje i et område vil gi en ventilasjonskontrollert brann. Noen typiske lekkasjescenarier bør velges for videre analyser. Typiske kvanta/volumer i ulike prosesseksjoner bør beregnes på basis av de seksjonene prosessen er underdelt i av ESV(er) eller lignende ventiler. Det må skilles mellom ulike media (gass eller olje). I ERA kan utstyr som gjelder for et område baseres på tidligere opptelling for lignende områder (til og med lekkasjefrekvens kan beregnes på bakgrunn av erfaring fra lignende områder i drift). Antallet ulykkesscenarier som analyseres bør velges basert på analysens evne til nøyaktig å reflektere risikobildet. Hovedkomponentene bør telles i CRA, f.eks. pumper, kompressorer, trykktanker, rørskraperstasjoner og rørdeler), og data fra lignende hovedkomponenter brukt i beregningene av lekkasje med gitt hullstørrelse. I driftsfasen bør TRA basere seg på erfaring fra mindre lekkasjer og for større lekkasjer, en evaluering av erfaring versus opptelling av utstyr.

B.2.3 Gasskonsentrasjon, nedstengning og isolasjon Det bør beregnes utstrømingsmengde som funksjon av tid (ved hjelp av kvalifiserte modeller) for typiske lekkasjerater. Beregninger bør også lages for å beskrive utviklingen av konsentrasjon i utstrømningsmedium, f.eks. når/hvor brennbare blandinger oppnås, inklusive ventilasjonsforhold. Særlige ustrømingsvurderinger må ofte gjøres for stigerør, strømingsrør og rørledninger. Undervannslekkasje inkluderer spredning i vann. Olje- og gasskonsentrasjoner på havbunnen og mulighet for antennbare gasskyer bør vurderes. Vurderingene bør inneholde mulig avdrift av hydrokarboner til både luft og vann, fordampning og sted for mulige antennelseskilder. Finnes det undervanns ESVer skal en vurdere både de situasjonene der en har vellykket stengning og der en mislykkes i å isolere.

B.2.4 Ytelsen til nedstengningssystemene En vellykket nedstengning avhenger av: • Deteksjon av lekkasjen • Automatisk ESD-system (paneler, ventiler) • Operatørens mulighet til å initiere ESD når ikke automatisk initiering oppnås En analyse av ytelse av nedstengingssystemene bør utføres. Denne bør dekke sannsynligheten for at systemet fungerer og responstid. Følgende typer feil bør beskrives: 1) Ukjent feil (sovende feil) i et ESD-system, også mislykket respons ved lekkasje 2) Kjente feil der ESD-systemet ikke er i drift og produksjonen fortsetter, f.eks. på grunn av:

• Oppdagede feil (som er under utbedring) og som forårsaker at sikkerhetsfunksjon er utilgjengelig • Funksjonstesting av ESD-systemet er gjort og systemet fungerer ikke under testing.

Lekkasjen og utstrømingsberegningene bør inneholde noen typiske scenarier med nedstengningsfeil. I ERA er det vanligvis nok å anta en pålitelighet (basert på typiske resultateter fra tidligere analyser) og responstid på sikkerhetssystemene. Hvis det er påkrevet med høy pålitelighet, bør muligheten for å oppnå dette vurderes. I CRA kan risikoreduserende effekter av barrierer i undervannsisolering av import- og eksportrørledninger vurderes. Hvis påkrevd, bør den beste plassering analyseres.



B.2.5 Antenning Sannsynligheten for antenning er avhengig av: • Tilstedeværelse av brennbare blandinger • Den brennbare blandingen kan nå en antennelseskilde • Typen antennelseskilde (energi etc.) En tennsannsynlighet som tar disse med i betraktning, bør bestemmes for hvert område (modul), hver lekkasjekategori og hvert medium. Følgende antennelseskilder bør vurderes: • Varmt arbeid • Feil i elektrisk utstyr • Feil i roterende utstyr • Antenning som skyldes turbiner og forbrenningsmotorer/varm overflate • Automatisk antenning hvis brudd • Statisk elektrisitet • Flamme/åpen ild Når det defineres umiddelbar antenning og forsinket antenning, bør antennelsestiden vurderes. En mindre detaljert modell er tilstrekkelig i ERA, så lenge den viser område, lekkasjekategori og medium. En undervannslekkasje som antennes på installasjonen er i både ERA og CRA regnet som en eskalert ulykke. I TRA vurderes de mulige konsekvenser for sammenligning med RAK. Da bør en mulighet for et brann-på-sjøen-scenario vurderes.

B.2.6 Eksplosjon En sannsynlighetsfordeling av trykkutvikling for ulike områder eller moduler og lekkasjekategorier bør etableres baser på kvalifiserte modeller som også regner med: • Plassering av lekkasjekilder • Gasskonsentrasjoner (skyer) • Plassering og energi til tennkildene • Områdets geometri • Ventilasjonsområder • Utstyrsopphopning Responsanalyser bør utføres for typiske trykkeksplosjoner for både å vurdere rekkevidden av lokal skade på ulykkesmodulen og global skade for installasjonens konstruksjonsmessige integritet. Analysen bør fokusere på områder som har høyest risiko for eksplosjon og der en eksplosjon vurderes å gi den største skaden. Eksplosjonsberegningene brukes i ERA og CRA for å etablere konstruksjonslaster for områdeskillene og utstyret i området slik at risikoen møter relevante RAK. Konstruksjonslastene fra ERA brukes hovedsakelig i kostnadshensikt. Dermed kan trykkvurderingen fokusere på størrelsesorden framfor en presis verdi. Se informativ prosedyre beskrevet i vedlegg F.

B.2.7 Brannslokking Det bør utføres en pålitelighets- og sårbarhetsanalyse for brannslokkingssystemet. Analysen bør inneholde: • Påliteligheten til det automatiske brannslokkingssystemet (brannvann, AFFF etc) • Sannsynligheten for vellykket manuell intervensjon • Sannsynligheten for at brannslokking hindrer nye lekkasjer som et resultat av rørbrudd etc. og dermed

muliggjør eskalering av brannen. • I tilfelle større branner: Mulig ytre brannslokking, tilgjengelige fartøy, responstid og virkningen av

scenariet (vannkapasitet, tilgjengelighet, samhandling med folk om bord)



Analysen bør inneholde mulig skade på systemet og dets nytte ut fra ulykkesscenariet, dvs eksplosjon eller brannlast og gassoppdagelse som forårsaker nedstengning av ventilasjon og luftinntak. Dette bør vurderes i forhold til område, lekkasjens størrelse, eksplosjonsstyrke og om en vellykket nedstengning er oppnådd. Effekten av passiv brannbeskyttelse bør også vurderes.

B.2.8 Nedblåsning Det bør foretas en analyse av nedblåsningssystemet som bør inneholde: • Bruk av trykkavlastningssystem, sannsynligheten for av trykkavlastningssystemet aktiviseres i konkrete

situasjoner • Hvor effektiv nedblåsningssystemet hindrer eskalering av ulykker Vurderingene bør se på område, lekkasjerate, eksplosjonsstyrke og om en vellykket nedstengning er oppnådd.

B.2.9 Konsekvenser av ulykkesscenarier Det bør gjøres beregninger ut fra ulike vindforhold for å bestemme varmelaster på ulike steder på installasjonen (dvs. boligområder, livbåtstasjoner) for noen typer ulykkesscenarier. En fordeling av tap av liv på ulykkesområdet og i nærliggende områder som nås fra ulykkesstedet bør bestemmes for hvert ulykkesscenarie. Fordelingen bør baseres på slik personellet faktisk er fordelt og kriteriet for varmelaster, eksplosjonstrykk, etc som et menneske kan tåle. Videre bør konsekvensene fra utviklingen av ulykken, rømning og redning inkluderes i risikobildet.

B.2.10 Risikoberegning Sannsynlighetsfordeling over tap av liv, utstrømning av skadelige stoffer til miljø og økonomiske tap innenfor definerte tapskategorier bør bestemmes for hvert ulykkesscenarie. All risiko fra hydrokarbonlekkasjer bør beregnes på basis av denne fordelingen og de fastlagte frekvensene. Ikke-antente hydrokarbonlekkasjer bør også inkluderes, særlig lekkasje fra rørledninger til sikkerhetssoner eller mellom installasjoner slik det beskrives av RAK.

B.3 Utblåsning

B.3.1 Generelt For å analysere risiki ved utblåsning, bør det brukes hendelsestrær. Følgende bør vurderes: • Utstyret som utblåsningen skjer fra • Strømningsrate som en funksjon av tid og eventuell selvstopping av reservoaret • Medium (dvs. gass eller olje) • Type operasjon (boring, ferdigstilling, vedlikehold, produksjon, injeksjon) • Forhold i reservoaret (dvs. grunn gass) • Sannsynlighet for antenning, tid for antenning • Sannsynlighet for eksplosjon, konsekvenser av eksplosjon • Brannslokkingssystemenes effekt, varmelast • Vindforhold • Eskalering av ulykken • Rømning og redning • Samtidige aktiviteter (boring, produksjon etc)

B.3.2 Frekvens En utblåsning kan oppstå på ulike steder og til ulike tider i operasjonen, og disse bør identifiseres, dvs: • Arbeidsoperasjoner: boring, ferdigstilling, produksjon, injeksjon og brønnvedlikehold • Utblåsningssted: borerør/produksjonsrør, BOP, ventiltre, brønnhode og utsiden av casing Utblåsningsfrekvens (gitt per brønn/brønnår/brønnvedlikehold) bør bestemmes for ulike operasjoner, utblåsningssteder og media. Utblåsningsfrekvenser for installasjonen beregnes på bakgrunn av antall brønner og brønnvedlikehold. Det anbefales å definere et sett med typiske utblåsningsrater.



Forutsetningene bør baseres på: • Type installasjon • Hvor aktiviteten utføres • Tilgjengelig utstyr (barrierer) • Arbeidsprosedyrer • Størrelsen og erfaringen til mannskapet • Værforhold (inkl. sommer eller vinter) • Vanndybde og total brønndybde • Trykk og temperatur Risikoanalysen bør vise sensitivitet overfor følgende parametre: • Forandring i prosedyrer • Marginer for stigerør • Stabilitetsproblemer i brønnen • Nytt eller modifisert utstyr • Krav til trening • Høyt trykk og høy temperatur i brønnen • Kaldt klima • Vanndybde • Trykkbalanserte operasjoner • Stimulering • Bruk av DP All relevant informasjon kan ikke være tilgjengelig i ERA og en må bruke forutsetninger. Scenariet kan defineres i forhold til sammenligning med andre installasjoner. Hvis utblåsning synes å være hovedbilde til den totale risiko, bør en grundig undersøkelse for å redusere frekvens, konsekvenser og varighet av utblåsninger utføres som en del av eller som grunnlag for CRA eller TRA. I driftsfasen bør utblåsningsraten oppdateres på bakgrunn av de best tilgjengelige data for reservoaret. Muligheten for utblåsning bør sjekkes i TRA.

B.3.3 Antenning, brann, eksplosjon, sikkerhetssystemer og evakuering (utblåsningsscenarier) Basert på utblåsningssted, medium, rate og mulige tennkilder bør en sannsynlighet for antenning bestemmes for hver type scenario. Tiden for antenning bør vurderes ved å definere “umiddelbar antenning” og “forsinket antenning”. Sannsynligheten for antenning kan justeres for å vise vanninnhold i brønnstrømmen. Muligheten for brann-på-sjøen-scenarier bør vurderes både for undervannsutblåsninger og utblåsninger på installasjonen. De samme prinsippene som brukes for hydrokarbonbranner og eksplosjoner, både når det gjelder sannsynlighet for eksplosjon og konsekvenser basert på ytelsen til sikkerhetssystemer bør brukes når en vurderer den videre ulykkesutviklingen ved antenning. Eskalering til andre brønner bør analyseres, både mislykkede forsøk på å isolere og ulykkeslaster som ødelegger utstyr og kan forårsake sekundære utblåsninger. CRA bør definere dimensjonerende ulykkeslast fra utblåsninger i forhold til RAK. Her bør også vindforhold og beskyttelse, særlig for boligkvarter, hovedrømningsveier og livbåtstasjoner både ovenfra og nedenfra tas med. Både varmelast og røyk må vurderes. Eksplosjonslast på konstruksjonen bør brukes for å etablere krav til områdeskillere, kritiske konstruksjonselementer og kritisk utstyr (støtte og integritet).

B.4 Helikopterkrasj på installasjoner Risikoen for et helikopterkrasj eller annen ulykke med et helikopter på helidekket, på plattformen utenfor helidekket eller innenfor sikkerhetssonen bør analyseres. Analysen bør vurdere sannsynlighet/mulighet for følgende: • Helikopterulykke/krasj (på plattformen)



• Personell på plattformen som kan treffes av helikopteret eller deler av helikopterer • Lekkasje, brann i drivstoff • Mekanisk feil på prosessutstyr med påfølgende hydrokarbonlekkasje • Skade på drivstofftanker, lekkasje og antenning • Utilfredsstillende brannslokking, eskalering av brann til omgivelsene, så som boligkvarter For reiser mellom land og offshoreinstallasjoner bør risikoen relatert til personell om bord i helikopteret inkluderes for sammenligning med RAK for ulykker innenfor sikkerhetssonen. Totalrisiko for personell på skyttelflygninger mellom offshoreinstallasjoner bør inkluderes. Avgrensningene er satt for å kunne gi sammenlignbare resultater og begrense analysen (generell helikoptersikkerhet diskuteres i separate analyser). En kan bruke data fra lignende installasjoner og justere dem for konkrete forhold i ERA. I CRA bør både layout, utsatt utstyr og driftsforhold for helikopter sjekkes.

B.5 Kollisjoner

B.5.1 Generelt Risiko fra to typer kollisjoner bør vurderes: • Skip/fartøy som treffer installasjonen (både skip i fart og drift) • Kollisjon mellom installasjon og flytende enheter som ligger like i nærheten (floteller, kranfartøy etc.)

B.5.2 Skip/fartøy som treffer installasjonen

B.5.2.1 Generelt En analyse av risiko med tanke på kollisjon med andre fartøy vil være todelt: • En kartlegging av trafikken i området og en beregning av sannsynligheten for kollisjoner

(frekvensanalyse) og den resulterende lasten • En analyse av konsekvenser de ulike kollisjonsscenariene vil ha på installasjonen Risiko relatert til kolliderende fartøy bør ikke inkluderes (tap av liv om bord i fartøyet etc.)

B.5.2.2 Kartlegging av trafikk Vanligvis kartlegges fartøyenes aktiviteter i havområdet rundt installasjonen, og kartleggingen bør framgå i analysen. Følgende typer fartøy bør inkluderes: • Fiskefartøy • Servicefartøy • Forsynings- og beredskapsfartøy • Tankere • Andre skip eller fartøy som passerer på overflaten • Ferger Forsynings- og beredskapsfartøy kan unntas fra kartleggingen hvis omfattende statistikk for disse fartøyene allerede foreligger. Ofte inkluderes de uansett for å oppnå bekreftelse av tidligere data. Trafikken bør presenteres på den måten det antas å være under den aktuelle tidsperioden. Følgende bør vurderes for hver fartøystype: • Gjennomsnittlig antall oppkallinger/passeringer per år • Kategorisering av størrelse og hastighet for fartøyene • Skipsruter • Årstidsvariasjoner • Kursendringer i dårlig vær • Bevegelsesmønstre i sikkerhetssonen

B.5.2.3 Kollisjonsenergi Hastighetsfordelinger bør etableres for hver fartøystype for å skille mellom fartøyer som er i fart og fartøyer som er i drift. Vind- og bølgeforhold bør tas med i betraktning for fartøyer i drift.



Beregningen for kollisjonsenergi bør skille mellom ulike måter kollisjonen kan skje på (foran/bak eller sidelengs og på hvilket sted på installasjonen dette kan skje).

B.5.2.4 Konsekvensanalyse Det må utføres konsekvensanalyse av typiske kollisjonsscenarier. Installasjonens integritet i forhold til ulykkeslaster bør bestemmes og sammenlignes med kollisjonsenergier som er beregnet for de ovenfor nevnte typiske kollisjonsscenariene. Både lokal og global overbelastning på konstruksjonen bør vurderes. Virkningen på installasjonen, målt i tap av liv, økonomisk tap og utstrøminger som skader miljøet bør vurderes. RAK for kollisjon relateres til katastrofekonsekvenser, ikke til skade på konstruksjoner. Følgende effekter bør også vurderes: • For store fartøy kan overbygningen på fartøyet kollidere med konstruksjoner på dekk • Skipet kan synke og forårsake skade på rørledninger og andre undervannsinstallasjoner • Anker kan skade rørledninger eller brønnrammer • Skipet kan komme i brann som kan eskalere til installasjonen eller hindre evakuering

B.5.2.5 Sannsynlighet for kollisjon Hvis konsekvensberegningene viser at kollisjonsscenariet kan forårsake store konsekvenser for plattformen med tanke på sikkerhet, bør sannsynligheten av scenariet bestemmes. Følgende bør vurderes ved beregning av sannsynlighet: • Farvann • Bevegelsesmønstre innenfor sikkerhetssonen • Navigasjonsfeil • Mislykket varsling og/eller assistanse For fartøyer i drift bør basis være hva som kan forårsake at fartøyet kommer i drift. I tillegg bør følgende tas med i beregningen: • Vind- og bølgeforhold • Varslingsprosedyrer • Beredskapsprosedyrer for assistanse av fartøy i drift

B.5.3 Kollisjon mellom installasjon og flytende innretning Hvis installasjonen vil være brotilkoblet til et flotell for hele eller deler av perioden inkludert i TRA, bør det også beregnes hva slags risiko som kan oppstå hvis det skjer en kollisjon med flotellet. Tilsvarende bør vurderes når det gjelder risiko fra andre nærliggende enheter (kranskip, servicefartøy, forsyningsfartøy etc). Risikoen for flotellet (tap av liv om bord og økonomisk tap) bør behandles som en egen installasjon og inkluderes i den samlede risiko for installasjonene (som spesifisert i RAK). Sannsynligheten for at et flotell kolliderer med installasjonen kan vurderes ved å bruke et hendelsestre. Man bør vurdere følgende: • Brudd i ankerline eller slep • Feil på DPsystem/thrustere • Konstruksjonsfeil • Værforhold og vindretning • Mulighet for å manøvrere for egen maskin • Tilgjengelighet av slepefartøy • Vellykket assistanse • Prosedyrer for beredskap



Konsekvensberegningene må samsvare med de som er gjort for kollisjon mellom installasjon og et annet fartøy. Ulike kollisjonsscenarier bør beskrives og kollisjonsenergiene bør beregnes. Verdiene bør være sammenlignbare med de ulykkeslaster som installasjonen skal kunne stå imot. ERA kan bruke ulykkesstatistikk for å vurdere risiko for flotellkollisjoner. Kvalifiserte modeller bør brukes for å vise om plassering av installasjonen er akseptabel med tanke på ruter for skipstrafikken og denne analysen må gjøres tidlig, enten for å bestemme plassering eller for å forberede (dyre) tiltak for å kontrollere risikoen for skipskollisjoner. Driftstiltak bør verifiseres i TRA for å se på responstider for beredskapsfartøy eller overvåkningssystemenes ytelse.

B.6 Fallende last Fallende last som forårsaker skade på de hydrokarbonførende systemene (lekkasjer) eller kritisk konstruksjonsskade må analyseres. Risikoen for personell ved ulykker som forårsakes av last som skader personer direkte gjennom fall, svinging og knusing etc, dekkes ikke av dette underavsnittet, men inkluderes i yrkesulykker. Følgende UHer bør analyseres: • Kran, bom eller last faller i havet • Kran, bom eller last faller om bord på installasjonen • Svingende last som kan forårsake tap av kontroll over eller skade på vesentlige sikkerhetssystemer I detaljerte analyser kan en se bort fra sjeldne hendelser med ubetydelig risiko, f.eks. at kranen faller om bord på installasjonen. Risikoutsatte systemer og områder må identifiseres. Det bør skjelnes mellom ulike typer av laster, slik som containere og ulike typer rør. Man bør vurdere sannsynligheten for skade på det aktuelle systemet ved å se på: • Sannsynligheten for at et objekt treffer systemet • Lasten på systemet Hvis energien fra den fallende lasten er nok til å forårsake lekkasje, må det beregnes ulykkesfrekvenser på bakgrunn av relevant statistikk. Disse scenariene bør analyseres videre slik det er beskrevet for hydrokarbonlekkasjer og inkludere sannsynligheten for antenning for å vise muligheten for at et fall i seg selv er en tennkilde. I tilfeller der fallende last ikke forårsaker lekkasje, men skade på konstruksjonen, bør muligheten for progressivt brudd vurderes. En bør fastsette økonomiske tap. Basert på enkle geometriske vurderinger og grov vurdering av skaden kan risikoen for fallende objekter vurderes i ERA. Driftsmønster bør undersøkes og en bør etablere spredning av last i CRA og TRA. Hvis påkrevet må CRA møte RAK, bestemme konstruksjonslaster for undervannsutstyr, konstruksjonselementer og beskyttelse av hydrokarbonutstyr. I frekvensberegningene for TRA bør en reflektere krankonstruksjonen, det vil si progressivt brudd og ødelagte systemer.

B.7 Jordskjelv og ekstremt vær Risikoen for jordskjelv og ekstremt vær bør vurderes. Konstruksjonsmessig integritet så vel som utstyr og fundamenter bør vurderes (også tilgjengelige forutsetninger spesifiseres slik at de kan følges opp senere). I alle fall bør disse typene ulykkers bidrag inkluderes slik at en ser hva en realistisk feilfrekvens bør være i forhold til PLS-kriterier. På samme måte bør det realistiske omfanget av dødsulykker vurderes på bakgrunn av mulighetene for evakuering. I en ERA kan en forutsette at en installasjon er konstruert for: • Ingen skade i en 100 års miljøtilstand (frekvens av overskridelse er omtrent 0,01 per år) • Å opprettholde hovedsikkerhetsfunksjonene og installasjonens integritet i en 10 000 års miljøtilstand

(frekvens for å overskride er omtrent 0,0001 per år)



I CRA bør disse vurderingene verifiseres og det som skaper risiko for slike hendelser. Hvis påkrevet bør en identifisere nye konstruksjonslaster. TRA bør inneholde vurderinger av risiko for personell, miljø og økonomi. Også mindre alvorlige forhold enn 10 000 års-situasjonen må vurderes. I en drifts-TRA bør endringer til konstruksjonens integritet sjekkes og utstyr og utstyrsstøtte bør vurderes for ekstreme forhold.

B.8 Arbeidsulykker

B.8.1 General Arbeidsulykker defineres som menneskelige ulykker som ikke forårsakes av UHer med plattform eller prosess. I praksis betyr det alle ulykker som ikke er tatt med i andre analyser, og typiske eksempel vil være: • Fall (til samme nivå, til et lavere nivå, til sjø osv.) • Fallende objekter, f.eks. støt, slag eller knusing mot personell • Forgiftning, kvelning, stråling • Elektrisk sjokk • Skade forårsaket av verktøy eller maskineri Fritidsulykker og samfunnsulykker (f.eks. selvmord) er ikke tatt med.

B.8.2 Risiko relatert til yrkesulykker Frekvensen av dødsulykker og FAR-verdier bør beregnes på bakgrunn av aktuell statistikk med skjelning mellom ulike funksjoner (administrasjon/produksjon, boring, forpleining, konstruksjon/vedlikehold) og ulike typer ulykker (fall, fallende objekter osv). Beregningsgrunnlaget kan finnes i ODs årlige rapporter og de samme personellkategoriene kan brukes. Dødsfallsraten må hentes ut fra skadesstatistikken. Følgende formel bør brukes for å beregne FAR-verdier for yrkesulykker når en skal oppdatere TRA for driftsfasen: FAR = a • b hvor a = forhold mellom død og skade basert på statistikk fra sammenlignbare data (mange installasjoner, lang

tidsperiode for offshoreinstallasjoner på norsk kontinentalsokkel).

b = registrert antall skader per 108 timer på den aktuelle installasjon. Yrkesulykkesstatistikken bør undersøkes for forskjell fra andre installasjoner og slike forskjeller bør kommenteres som basis for tiltak. Når statistikken indikerer særlig ulikhet i forhold (a) for ulik type arbeid, bør dette inkluderes i beregningene.

B.9 Tap av oppdrift eller stabilitet For flytende innretninger bør følgende UHer analyseres hvis de bidrar til en mulig risiko: • Tap av oppdrift • For høy eller feilplassert vekt • Feilplassert ballast • Feil i ballastsystemet • Tap av stabilitet i skadet tilstand • Feil ved fortøyningssystemet • Feil på systemet for å dreie turreten Frekvensen av slike ulykker kan vurderes ut fra statistikk, men må justeres hvis de aktuelle forholdene avviker fra normalen. Analysen av ballastsystemet bør vanligvis inneholde en feiltreanalyse av det som får systemet til å feile inklusive det som kan skyldes menneskelige eller organisatoriske faktorer der det er relevant.

B.10 Andre ulykkeshendelser (UHer) Andre typer UHer må analyseres hvis de synes bidra til mulig risiko, så som:



• Brann (ikke HC) i: • boreslamsystem • metanol og glykol-systemer • diesel eller drivstoffsystemer • dreneringssystem • boligkvarter

• Ulykker med elektrisk kraft:

• kortslutning/overslag/lysbuer som fører til brann eller annen stor skade • eksplosjon i elektriske apparater/transformatorer

• Fragmenter fra turbiner/roterende utstyr:

• Gjennomtrengning av vegger, konstruksjoner eller utstyr

• Tap av undertrykk i betongceller • Vanninntrengning i tørre skaft Frekvensen av slike ulykker kan vurderes på bakgrunn av statistikk, men med justeringer hvis de aktuelle forhold avviker fra normalen. Analysen av branner bør utføres parallelt med antente hydrokarbonlekkasjer med brann som vanligvis den uønsket hendelse i hendelsestrærne (i særlige tilfelle som for metanolsystemer kan det være mer aktuelt å la lekkasjen være den uønskede hendelsen). Den samme detaljeringsgrad er ikke nødvendig. I ERA kan andre branner vurderes kun basert på statistikk hvis det ikke finnes store forskjeller fra andre installasjoner (f.eks. store kvanta brennbare stoffer, materialer i boligkvarterer som kan avgi giftige gasser under brann).

B.11 Resultat av dødsrisiko Dødsrisikoresultater uttrykkes vanligvis i forhold til hvordan RAK er beskrevet. For å gi en bred presentasjon av risikobildet, bør det i tillegg normalt presenteres hovedbidrag til den totale dødsrisiko. Resultater fra detaljert dødsrisikoestimering kan brukes som del av grunnlaget for dimensjonering av kapasiteten på EER-midler. Noen av disse verdiene uttrykkes eksplisitt innenfor modellene, andre vises ikke i det hele tatt, men kan påvirkes fra andre modeller eller forutsetninger og premisser. Dette betyr at følgende bør estimeres for hvert scenario eller for hver kategori av scenarier: • Antall personer som ut fra forutsetninger eller beregninger ikke rekker fram til beskyttelse eller

hovedevakueringsmidler. • Antall personer som i følge forutsetninger eller beregninger vil overleve evakuering og redning, disse

verdiene er kritiske premisser for å møte RAK. • Av og til er de kvantitative analysene for vellykkethet av evakuering og redning utført innenfor

risikoanalysene, der en har beregnet det antall personer som vil trenge rask redning for å overleve. For å beregne redningskapasitet er det ofte nyttig å summere resultatene inn i et sannsynlighetsfordeling for det antallet personer som trenger rask redning på grunn av en av følgende omstendigheter: • Personer som er skadet i evakueringsmidlene • Personer i skadede evakueringsmidler • Personer i redningsflåter • Personer i sjøen For å se gyldigheten av dødsrisikoestimatene, bør en foreta en omfattende presentasjon av dødsrisikokomponentene. Presentasjonen slik den beskrives ovenfor kan tjene samme hensikt for den siste fasen av store ulykker, evakueringen og redningen. For de tidligere fasene i en ulykke bør følgende presenteres i den hensikt å sjekke gyldighet: • Hydrokarbonlekkasjer:

• Antall dødsfall per lekkasje og per antent lekkasje • For de enkelte moduler og for hele installasjonen • Hvis mulig også delt opp i ulike ulykkesmekanismer, brann, eksplosjon av varierende alvorlighet etc.



• Andre lekkasjer av brennbare stoffer eller brann på installasjonen:

• Antall dødsfall per lekkasje av brennbare væsker og per antent lekkasje • For de enkelte moduler og for hele installasjonen

• Ytre sammenstøt, konstruksjonelle feil:

• Antall dødsfall per tilfelle av utløsende (topp) hendelse



Vedlegg C (informativt)

Analyser under prosjektering og drift

C.1 Mulighetsstudie og konseptuell design Dette underavsnittet dekker faser av mulighetsstudier og konseptuelt designarbeid. Risiko og EPA utføres vanligvis separat i disse fasene. Når analyser, f.eks. optimeringsanalyser, utføres i denne fasen er det viktig å vurdere hvilke av livssyklusfasene som dekkes i vurderingen. Hovedmålene for slike analyser bør være: • Risikoanalyser • Sammenligning og rangering av feltutviklingskonsepter, muligens også inklusive kvalitative vurderinger • Optimalisering av valgte konsepter • Identifisering av mulighet for å oppnå en akseptabel løsning eller ekstra kostnader som kreves for å

oppnå det • Vurdere om risikonivået for et gitt konsept er i samsvar med RAK eller om konsepter har potensiale i seg

til å nå disse kriteriene • Identifisere alle store farer • Beredskapsanalyse • Identifisere mulige beredskapsaspekter knyttet til feltutvikling som kan kreve ekstra kostnader for å

oppnå en akseptabel løsning eller som kan påvirke eller bety spesielle designkrav Målgruppene for analysen er de som fatter vedtakene i forhold til feltutviklingskonsept. Det oppstår en spesiell situasjon når et rørledningssystem utvikles, eller hvis alternativ transportmidler vurderes så som eksport med rørledning eller tankskip. Slike prosjekter krever sine egne vurderinger i forhold til om prosjektet og konseptdesign lar seg gjennomføre. Hensikten med analysen bør i så tilfelle være: • Risikoanalyse • Sammenligning og rangering av alternativ transportalternativer eller alternative rørledningstraséer • Sammenligning av alternative plasseringer for stigerørs- eller kompressorplattformer • Optimalisering av valgt transportsystem, inklusive rørledningstrase • Identifisering av mulighet for eller ekstra kostnader som kan være påkrevet for å nå en akseptabel

løsning • Vurdere om risikonivået for konseptet er i samsvar med RAK eller om konseptet har mulighet for å nå

disse kriteriene • Beredskapsanalyse • Identifisere mulige beredskapsaspekt knyttet til feltutvikling som kan kreve ekstra kostnader for å oppnå

en akseptabel løsning eller som kan påvirke eller bety spesielle designkrav Alle aktuelle installasjoner som er del av produksjonssystemet, inklusive flyttbare innretninger og fartøy som deltar i operasjonen bør omfattes av analysen. På dette stadiet er det særlig viktig å fokusere på ikke-tradisjonelle sikkerhets- og beredskapsaspekter, f.eks. bemannede undervannsoperasjoner. Det følgende bør gjelde med tanke på tidsplanlegging av analysen: • Risiko for personell bør beregnes på et tidligst mulig tidspunkt • Dimensjonerende ulykkeslaster må identifiseres på tidligst mulig tidspunkt, helst i konseptdesignfasen • En første EPA bør utføres i konseptdesignfasen Hvis det foreslås avvik fra lovkrav bør en risikoanalyse lages. For enklere installasjoner finnes en veiledning for risikoanalyser i vedlegg F.



C.2 Prosjekteringsfasene Forprosjektering og detaljerte prosjekteringsfaser (eller kombinasjoner) inkluderes i dette avsnittet. Risiko og EPA bør så langt som overhode mulig utføres som en integrert analyse, med følgende siktemål: • Vurdere risikonivået på det valgte konseptet og samsvaret med RAK • Identifisere DULer som basis for design av sikkerhets- og beredskapssystemene • Verifisere forutsetninger gjort i analyser utført i tidligere faser • Identifisere forutsetninger og premisser like meget som oppdaterte DULer som input for å etablere

beredskap • Bestemme behovet for og rekkevidden av videre risikoreduserende tiltak • Initiere etablering av teknisk, driftsmessig og organisatorisk beredskap for de deler av DFUer som faller

utenfor store UHer • Initiere etablering av drifts- og organisatorisk beredskap for store UHer Risiko- og beredskapsanalyser må dekke de aktuelle installasjoner som deltar i produksjonssystemet inklusive flyttbare innretninger og fartøy som deltar i operasjonen, muligens også nærliggende fartøy og installasjoner hvis de er nær nok til å påvirkes av konsekvenser av en ulykke. Videre bør det vurderes hva slags behov en har for bemannede undervannsoperasjoner gjennom alle fasene av aktiviteten. Særlig bør det legges vekt på å vurdere hva bemannede undervannsoperasjoner medfører for konseptet og om det finnes gode tekniske løsninger for implementering av konseptet i forhold til beredskapsaspekter. Hvis det foreslås avvik fra lovkrav, bør en utføre en risikoanalyse. Kvalitative analyser som FMEA, HAZOP og SJA etc er ofte mer vidtrekkende enn kvantitative analyser. Det følgende må gjelde med tanke på tidsplanlegging av analysen: • Beregning av personellrisiko fra mulighetsstudien eller konseptdesignfasen er oppdatert og fortsatt

gjennom prosjekteringsfasen • Etter fullføring av konseptdesignfasen er mulighetene for å forbedre risikonivået svært begrenset. Derfor

må akseptable løsninger finnes på dette stadiet. Men mulighetene for økende risiko er også mange etter konseptdesignfasen

• Oppdatert EPA bør utføres i den detaljerte prosjekteringsfasen • Den endelige oppdatering av risiko- og beredskapsanalysen må utføres mot slutten av disse fasene:

• Oppdatert QRA reflekteres de valgte løsninger og systemer • Utføre en endelig EPA • Dokumentere resultat fra EPA på en hensiktsmessig måte, for alle DFUer, mulige årsaker og følger

for ulykker for bruk i driftsfasen • Kvalitative analyser inklusive sikkerhetsdesigngjennomganger bør utføres kontinuerlig gjennom disse

fasene Det er essensielt at forutsetninger og premisser for analysen dokumenteres tydelig med følgende hensikt: • Basis for fortløpende oppdatering av EPA og etablering av beredskap • Basis for etablering av beredskapsinformasjon • Basis for oppfølging i følgende byggings- og installasjonsfaser • Basis for oppfølging i driftsfasen Presentasjonen av resultatene fra HAZOP-analyser bør inkludere en oversikt over ansvar og en tidsplan for implementering av anbefalinger fra analysen.

C.3 Fabrikasjons- og installasjonsfasen Denne fasen dekker bygging av utstyr og konstruksjoner, oppkobling, slep av moduler, installasjon, ferdigstillings- og oppstartsforberedelser. Arbeidet kan gjøres både på land og offshore. Risiko og EPA bør så langt det er mulig være integrert, med følgende siktemål:



• Analysere særlige aspekter ved bygging og installasjon som kan medføre tap av eller alvorlig skade på hele installasjonen og/eller risiko for personell

• Fastsette beredskapsnivå for bygging, installasjon og oppstartsforberedelser Analysene må ikke begrenses til produksjonsinstallasjoner, men inkludere alle installasjoner og fartøy som deltar i installasjons- og oppkoblingsoperasjonene. De kan også inkludere nærliggende installasjoner og fartøy hvis de er nær nok til å påvirkes av konsekvenser av ulykker. Følgende aspekter må vurderes dersom de er relevante: • Finnes det hydrokarboner ombord eller ei • Økt antall personer ombord • Økt antall personell i fareområder • Risiko assosiert med lignende operasjoner • Bruk av ”varmt arbeid” offshore kontra bruk av flenser • Effekt av habitat (”telt”) for ”varmt arbeid” • Fallende last • Midlertidig ikke-adgang til sikkerhetssystemer for installasjonen, oppstartsforberedelser • Effekt av overlevering og testing av ESD-system og prosessikkerhet • Økende antall lekkasjekilder og eksplosjonslaster på grunn av mer utstyr • Menneskelig svikt Datagrunnlaget for hver QRA i disse fasene er ofte begrenset siden mange av disse operasjonene er unike for det aktuelle prosjektet. Kvalitative analyser vil ofte være dominerende, f.eks. HAZOPer, sikkerhetsvurderinger og beredskapsvurderinger. Kvantitative analyser kan utføres når nok datagrunnlag finnes. Hvis installasjonene er endret vesentlig gjennom bygging og installering bør det kreves oppdatering av risiko og EPA under prosjekteringsfasene.

C.4 Driftsfasen Denne fasen inkludere vanlig drift, inspeksjon, vedlikehold og begrensede modifikasjoner. Behovet for en integrert risiko og EPA bestemmes av omfanget av modifikasjonene. Siktemålet med analysen bør være: • Å oppdatere risiko og EPA for å forsikre at de viser de aktuelle tekniske og operasjonelle aspekter • Å forsikre at risikonivået holdes under kontroll • Å forsikre at driftspersonell er kjent med de viktigste risikofaktorene og deres viktighet for en akseptabel

risiko og beredskap • Å forsikre at risikoaspekter for pågående operasjoner og arbeidsoppgaver vurderes og at nødvendig

risikoreduserende tiltak implementeres • Å forsikre at risikonivået overvåkes i følge oppdaterte risikoanalysedatabaser, verktøy, metoder og

erfaring Kvalitative analyser bør utføres når en planlegger og forbereder arbeidsoppgaver som har vital betydning for driftssikkerhet, f.eks. samtidige operasjoner. Analysene bør ikke bare begrenses til produksjonsinstallasjonen, men også dekke nærliggende fartøy og installasjoner hvis de er nær nok til å påvirkes av konsekvenser av en ulykke. Datagrunnlaget for beregningsanalyser vil generelt være det samme som for prosjekteringsfasene, men vil i tillegg inkludere både data generert gjennom drift av installasjonen og ny og oppdatert kunnskap og erfaring. Risikoindikatorer, slik de beskrives i vedlegg A, er særlig viktige i denne sammenheng. Oppdatering av risiko og EPA må identifisere behov for videre risikoreduserende tiltak som beredskapstiltak, eller for å identifisere nye områder en særlig må være oppmerksomme på i sikkerhets- og beredskapsarbei-det for aktiviteten. Analyser bør oppdateres i sammenheng med større modifikasjoner eller områdeendringer, også på grunnlag av:



• Erfaring fra ulykker som har oppstått • Organisatoriske endringer • Endringer i forskrifter • Endringer i datagrunnlag, modeller eller risikoestimeringsmetoder • Mindre modifikasjoner, som i sum representerer en stor modifikasjon Oppdatering av analysene bør inneholde oppdatering av: • Installasjonen og driften i samsvar med utvikling av aktiviteten • Forutsetninger og premisser som tidligere analyser er basert på, og mulig videre utvikling (for disse) • Om risiko for spesielle operasjoner eller nytt utstyr som planlegges brukt er vurdert på et tidligere

stadium • Datagrunnlaget i lys av ny erfaring, ny kunnskap eller endringer i datagrunnlaget som er brukt, inklusive

revisjon av erfaringsdata fra egne operasjoner • Metodikken som er brukt • Analyseresultatene i lys av mulige endringer til operatørens/eierens RAK for installasjonen eller

operasjoner Hvis ikke tekniske og driftsmessige omstendigheter i mellomtiden har vist behov for en oftere oppdatering, må operatør/eier formulere minimumskrav til frekvens av oppdatering av QRA og EPA.

C.5 Modifikasjon og gjenbruk Et modifikasjonsprosjekt vil vanligvis inkludere følgende faser; analysefase, prosjektering, bygging, installasjon, fullføring og drift. Hvis modifikasjonen er svært stor sammenlignet med nåværende bruk av installasjonen (gjenbruk), bør prosjektet behandles som et nytt byggeprosjekt. Risiko, risikoaksept og beredskap bør behandle alle de involverte fasene. Analysene bør inkludere alle aktuelle installasjoner som er engasjert i produksjonssystemet, inklusive flytt-bare innretninger og fartøy som kan delta i operasjonene, muligens også nærliggende fartøy og installasjoner hvis de ligger nær nok til å påvirkes av konsekvenser av en ulykke. Gjennom analysefasen bør gjennomførbarheten av de planlagte modifikasjonene vurderes med tanke på sikkerhet og risikoaksept. For mindre modifikasjoner kan dette være kvalitative risikoanalyser, mens for større modifikasjoner kan kvantitative konseptrisikoanalyser, slik de beskrives i C.1. og C.2, være påkrevet. For modifikasjoner av prosessystemer kreves en HAZOP. Gjennom prosjekteringsfasene bør en integrert risiko og EPA utføres slik det beskrives i C.3. Det er likevel nok å oppdatere bare de delene av de eksisterende analysene for installasjonen som påvirkes av modifikasjonen. En separat integrert risiko og EPA bør utføres for den tidsperioden mens modifikasjonsarbeidet gjøres på installasjonen. I begge disse analysene bør tilleggsrisiki fra modifikasjonsarbeidet legges til det eksisterende risikonivået på installasjonen og sammenlignes med RAK for den aktuelle installasjonen. DFU og DUL for installasjonene må oppdateres og gjøres gjeldende for videre design av sikkerhetssystemer og beredskap for den modifiserte installasjonen. For mindre modifikasjoner, når det er tydelig at RAK vil møtes, er en kvalitativ risiko og EPA tilstrekkelig også i prosjekteringen. Den kvantitative effekten på risikonivået av en modifikasjon kan så beregnes ved regelmessig oppdatering av kvantitative risiko- og beredskapsanalyser for installasjonen. Analysene bør identifisere operasjoner der SJA bør utføres. Følgende spesielle aspekter må vurderes hvis de er relevante: • Økt antall personer ombord under modifikasjonsarbeidet • Økt antall personer i fareområder • Risiki assosiert med lignende operasjoner under installasjon, modifikasjon, og overlevering • Bruk av ”varmt arbeid” under modifikasjonsarbeidet offshore kontra bruk av flenser



• Effekt av habitat på ”varmt arbeid” • Fallende last • Midlertidig utilgjengelighet til sikkerhetssystemer for modifikasjonsarbeidet • Effekten av modifikasjonene på ESD-systemet og prosessikkerheten • Økt antall lekkasjekilder og eksplosjonslaster på grunn av mer utstyr • Menneskelig svikt I tillegg bør analysene tilfredsstille generelle krav til risiko og EPA slik det er gitt i denne NORSOK-standarden. Dersom det er fare for oljeutslipp, bør en miljørisikovurdering inkluderes.

C.6 Avvikling og fjerning Denne fasen inkluderer forberedelser for og faktisk avvikling og fjerning av produksjonsinstallasjoner. Innholdet i denne fasen samsvarer med arbeidet i byggings- og installasjonsfasene, se C.4. Når en forbereder avvikling og fjerning vil det vanligvis legges mer vekt på vurdering av og sammenligning mellom alternative løsninger. I tillegg til det som nevnes i C.2 bør analyser som sammenligner alternative løsninger med tanke på risiko og beredskap vektlegge at det ofte er en såkalt ”kald fase”, uten hydrokarboner, mellom avvikling og fjerning, som ofte medfører store avvik fra forskrifter, siden utstyr og systemer fjernes eller deaktiveres. De viktigste risikoaspektene forbindes ofte med følgende forberedelser for den ”kalde fasen”: • Bruk av dykkere • Bruk av undervanns kutteutstyr • Bemannede operasjoner for tunge løft og kutteoperasjoner I denne perioden må beredskap bestemmes i følge en separat EPA der i det minste følgende DFU bør behandles: • Helikopterkrasj på helidekket eller innenfor installasjonens sikkerhetssone • Akutte medisinske situasjoner • Kollisjon med skip • Mann overbord • Arbeidsulykker Flere krav beskrives i C.4.



Vedlegg D (informativt)

Anerkjente databaser og programvare

Datakilder De følgende datakilder bør vanligvis brukes:

Fare Anbefalt datakilde

• Prosesslekkasjer HSE Leak and Ignition Data base, Offshore Hydrocarbon Releases, 1992-99, OTO 1999 079, January 2000

HCLIP (for norsk kontinentalsokkel er dette ventet å være tilgjengelig fra tidlig i 2001)

• Lekkasjer i stigerør eller rørledninger

PARLOC 96, The update of loss of containment data for offshore pipelines, AME Ltd.

• Utblåsning SINTEF Blowout database, Report SFT38 F00431

• Kollisjon COAST traffic database

• Fallende objekter Ingen tilgjengelige kilder

• Helikoptertransport SINTEF Helicopter Safety Study, Rev. 2, 15.12.1999

• Arbeidsulykker OD årsrapport 1999, mai 2000

• Menneskelige toleransegrenser

Scandpower/DNV report for Statoil, “Human resistance against thermal effects, explosion effects, toxic effects and obscuration of vision”, dated 14.9.19931

• Sikkerhet og produksjonssystemer

OREDA, Offshore Reliability Data, SINTEF, Safety and reliability Department

• Generelt WOAD, Worldwide Offshore Accident Data, DNV

For en oppdatert versjon av dette vedlegget se følgende internettadresse: http://www.nts.no/norsok/z/Z01302/annexd.pdf

1 Andre kilder bør også konsulteres, slik som tålegrenser for fakling, etc.



Vedlegg E (informativt)

Retningslinjer for kost-nytte analyser

E.1 Generelt Dette vedlegget gir en anbefalt tilnærming for å bruke CBA for HMS-temaer i petroleumsindustrien offshore slik at en kan bestemme det optimale valg eller den optimale løsning. Denne tilnærmingen er veletablert på mange områder, særlig i transportsektoren. Bruken har også økt betraktelig i petroleumssektoren de siste årene. Det er viktig at konsekvente tilnærminger utvikles og brukes, og konsekvent bruk av CBA er også en nødvendig forutsetning for vellykket bruk av en scenariebasert analyse.

E.2 Hensikt med kost-nytte analyse

E.2.1 Generelle målsetninger Bruk av CBA for risikoaspekter er spesielt med tanke på at det er en blanding av deterministiske kostnadselementer og kostnadselementer med lav sannsynlighet. (Se også diskusjonen i E.3.3.) Det kan være noe ulike målsetninger for utføring av CBA: • Fastsette optimalt beskyttelsesnivå når RAK er oppnådd gjennom tidligere risikovurdering. Dette vil

vanligvis bety at RAK for personell (muligens også miljø) er oppnådd og at CBA brukes for å finne optimalt nivå av beskyttelse mot risiko for skade på materiell (type I).

• Fastsette hva som er et akseptabelt risikonivå uten tidligere oppnådd RAK. Hvis dette er saken, brukes vanligvis den samme tilnærming for risiko for personell, miljø og materielle verdier, hvorav alle vurderes innenfor ALARP-sammenhengen (type II).

• Fastsette optimalt nivå for beredskap når RAK og funksjonskravene for beredskap er oppnådd gjennom tidligere risikovurdering og EPA (type III).

Dette henger sammen med definisjonen av begrepet ”risiko” i avsnitt E.3. Bruken av CBA som tilnærmingsmåte til HMS-aspekter kan også favne videre enn det som defineres innenfor begrepet ”risiko”. Dette betyr f.eks. at temaer knyttet til helse, arbeidsmiljø, ikke-akutt utslipp og kapasiteten for nødreparasjoner kan analyseres. Kost og nytte må tolkes på videst mulig måte når CBA-tilnærmingen benyttes. Dette betyr at alle fordeler og ulemper må inkluderes i analysen. Bare noen av disse kan beregnes, hvilket betyr at kvalitative vurderingen må sammenlignes med kvantitative analyser. F.eks. vil fordelene også inkludere følelsen av sikkerhet og beskyttelse som personellet kan oppleve i forhold til et spesielt risikoreduserende tiltak. Det kan også være ulemper en umulig kan beregne, slik som å skape presedens (ved bruk av et spesielt tiltak) som kan ha stor betydning for framtida. Hvordan prosessen utføres avhenger til dels av hovedmålsetningene for risikoevaluering av personell eller risikoen for materielle verdier. To flytdiagram presenteres derfor i følgende underavsnitt.

E.2.2 ALARP-demonstrasjon av personellrisiko Bruken av CBA i en ALARP-vurdering for personell vil være type II slik den er beskrevet i E.2.1. Dette betyr at risiko for personell, miljø og materielle verdier integreres i vurderingen, men vanligvis fattes beslutningene ut fra personellrisiko. Vurderingsprosessen presenteres i diagrammet under. Det gis også noen kommentarer til stegene i prosessen. Risikonivå i uakseptabelt område? Hvis det risikonivået som bestemmes av QRA er i det ”uakseptable” området, dvs over øvre toleransegrense, er det obligatorisk å implementere nødvendige RRMer i følge ALARP-prinsippene. Risikonivå i akseptabelt område?



Hvis risikonivået er i det ”akseptable” området, dvs. under nedre toleransegrense, er det unødvendig med videre implementering av RRMer i følge ALARP-prinsippene (se 3.2.1 og A.1.5), og vurderingen kan stanses. Den øvre toleransegrensen defineres nesten alltid, mens den nedre grensen er individuell for hvert enkelt risikoreduserende tiltak, avhengig av når kostnaden ved implementering av hvert tiltak blir uforholdsmessig disproporsjonal med den risikoreduserende effekten. Hvis risikonivået ikke finnes i noen av disse kategoriene, faller ALARP-området mellom nedre og øvre toleransegrense og mulig implementering av RRMer bør vurderes. Identifisere mulige RRMer Første steg i vurderingen av RRM er å identifisere alle mulige risikoreduserende tiltak som kan vurderes. Det er viktig å forsikre seg om at det brukes en bred erfaringsbakgrunn når den skal identifisere RRMer, særlig viktig er det å oppnå deltakelse fra arbeidstakerne og personell med driftserfaring. Evaluere RRMer kvalitativt Hvert risikoreduserende tiltak bør først vurderes kvalitativt for virkningen på personellsikkerhet, miljø og materielle verdier basert på: • Overensstemmelse med krav, forskrifter, standarder og akseptert praksis. • Kvalitativ vurdering av potensiell risikoreduksjon.



Figur E.1 – ALARP-demonstrasjon for personellrisiko

Risikoanalyse(QRA)

Implementerenødvendige

RRMer

STOPPUnødvendig med

merrisikoreduksjon

Uakseptabeltområde

Neglisjerbartområde

Identifisere muligeRRMer

Vurdere kvalitetenpå RRMene

Utføre CBA forRRMer som ikkeimplementeres

umiddelbart

STOPPIngen videre

risikoreduksjonbør gjøres

Risikoaver. ellerkval. aspekter fører til

implementering

Oppdatererisikoanalysen

(QRA)

ALARP-område

ImplementereRRM

Misforholdmellom kost

og nytte

Beslutte omimplementering avRRMer enkeltvis

Risikonivåi neglisjerbart

område

Risikonivåi uakseptabelt

område

Ja

Nei

Nei

Nei

Nei

Nei

Ja

Ja

Ja

Ja



Fastsette individuelle RRMer for implementering Den første iterasjon av RRMer baserer seg på den kvalitative vurderingen. Noen RRMer er klare kandidater for implementering og det bør være unødvendig med videre analyse av disse. Utføre CBA for forkastede RRMer For de RRMer som ikke umiddelbart implementeres i første iterasjon, bør CBA utføres slik det presenteres i dette vedlegget. Kostnader forholdsmessig høye i forhold til For de RRMer som har kostnader som ikke er disproporsjonale med fordelene, bør implementering besluttes. Resultatet vil i de fleste tilfellene avhenge av hvordan konsekvensene av ulykker verdsettes (f.eks. hva er verdien for et menneskeliv eller et avverget dødsfall). Hvordan dette kan behandles diskuteres i E.6. Risikoaversjon eller kvalitative aspekter ved implementering? Andre ”ikke-kvantitative” aspekter kan av og til bety at et RRM bør implementeres til tross for at kostnadene er svært disproporsjonale med fordelene.

E.2.3 ALARP-demonstrasjon for risiko for materielle verdier Bruken av CBA i en ALARP-vurdering for risikoen for materielle verdier er type I i følge E.2.1. Dette betyr at vurderingene begrenses til økonomisk optimalisering. Evalueringsprosessen presenteres i figur E.2. Diagrammet er identisk med figur E.1 med ett unntak. Det gis noen kommentarer til dette elementet som er ulikt i de to tilnærmingene. Diagrammet forutsetter at det også er fastsatt toleransegrenser for risiko for materielle verdier. Dette er oftest ikke tilfelle og man kan se bort fra de to første vedtaksboksene på toppen av diagrammet som forholder seg til ALARP-områder. Positive LCC? For de risikoreduserende tiltakene som har en positiv nettoverdi i følge E.1, er det ingen tvil om implementeringen. Resultatene vil oftest avhenge av hvordan konsekvensene av ulykken vurderes. Hvordan dette kan gjøres, presenteres i E.6.



Figur E.2 – ALARP-demonstrasjon av risiko for materielle verdier

Risikoanalyse(QRA)

Implementerenødvendige

RRMer

STOPPUnødvendig med

merrisikoreduksjon

Uakseptabeltområde

Neglisjerbartområde

Identifisere muligeRRMer

Vurdere kvalitetenpå RRMene

Utføre CBA forRRMer som ikkeimplementeres

umiddelbart

STOPPIngen videre

risikoreduksjonbør gjøres


implementering

Oppdatererisikoanalysen

(QRA)

ALARP-område

ImplementereRRM

NPV>0

Beslutte omimplementering avRRMer enkeltvis

Risikonivåi akseptabelt

område

Risikonivåi neglisjerbart

område

Nei

Nei

Nei

Nei

Ja

Ja

Ja

Ja

Ja

Nei



E.2.4 Optimalisering av beredskap Bruk av CBA i ALARP-vurderingen for beredskap kategoriseres som type III slik det er beskrevet i E.2.1. Evalueringene gjøres på samme måte som for risiko for personell og følger hovedsakelig den samme tilnærmingen som i figur E.1. ALARP-begrensninger benyttes dog ikke, og den forenklede tilnærming vises i figur E.3.

Figur E.3 – Kost nytte analyse for beredskapstiltak

Minimaltberedskapsnivå

for å møtefunksjonskrav

Identifisere muligeberedskapstiltak

Utføre CBA forberedskapstiltak

STOPPIngen flere tiltak

bør gjøres


implementering

Implementeretiltak

Misforholdmellom kost

og nytte

Beslutte tiltakbasert på kvalitativ

vurdering

Ja

Nei

Nei

Nei

Ja

Ja



E.3 Tilnærming til kvantitativ sammenligning av nytte og kost

E.3.1 Generell modell Hovedprinsippet for kvantitativ sammenligning av nytte og kost innen HMS er at reduksjon av tap av HMS (dvs. nytte) bør overgå kostnadene når de vurderes i et livssyklusperspektiv. Matematisk kan dette uttrykkes slik:

( ) 0ICRCCV∆C1,0pLCC nnj

3

1jnj

nN

1n>

−−⋅= ∑∑

=

−

=

(E.1)

der

LCC = Livssykluskostnader (Nåverdi) for et spesielt risikoreduserende tiltak fra år 0 til år ‘N’ N = Siste året i feltets levetid 1,0p-n = Diskonteringsfaktor for år ‘n’, basert på rentefot ‘p’ % ∆Cnj = Differanse i forventet ulykkeskonsekvens i år n, risikodimensjon j j = 1 dimensjon: risiko for personell j = 2 dimensjon: risiko for miljø j = 3 dimensjon: risiko for materielle verdier Vj(C) = Verdisetting av risikodimensjon j som en funksjon av ulykkeskonsekvens C RCn = Løpende kostnad (drift, vedlikehold, etc.) i år n ICn = Investeringskostnader i år n

Det er et spesialtilfelle når LCC basert på risiko for materielle verdier alene er negativt og det er tydelig forbedring av risiko for personell. Da er det ofte nyttig å eliminere risiko for personell fra (E.1), og beregne kostnaden statistisk avverget dødsfall. Alternativt, risiko for personell beholdes i (E.1) og verdisettingen Vj(C) velges for å vise villighet til å betale for å forhindre et statistisk dødsfall. E.1 viser klart at alle kostnader under drift må diskonteres forhold til en rente som bør være den samme som vanligvis brukes for investeringsanalyser. Neddiskontering diskuteres i E.3.4. Beregning av kostnader (RCn og IC0 i (E.1)) diskuteres i E.4, mens beregningen av nytten (fnij, Cnij) diskuteres i E.5. De mulige verdisettingsproblemene (Vj(C)) for personellrisiko, risiko for miljø og materielle verdier diskuteres i E.6. I tillegg er det noen kontroversielle aspekter i en overordnet tilnærming som kan løses ulikt fra tilfelle til tilfelle. Hensikten med diskusjonen som følger i E.3.2 til E.3.4 er å anbefale hvordan en skal behandle disse aspektene slik at det bør velges en konsistent bruk uten store variasjoner i tilnærming.

E.3.2 Selskapsmessige- eller samfunnsmessige vurderinger I løpet av årene har det vært mye diskusjon om hvilket perspektiv en skal bruke for CBA når det gjelder kost og nytte. Kost og nytte er den videste vurdering en ser i samfunnsmessig kontekst mens den smaleste vurderingen ser de økonomiske aspektene begrenset til feltoperatøren, vanligvis med et begrenset antall eierandeler. Hvis selskapsmessige vurderinger velges, kan kostnaden ved en ulykke bli svært begrenset. Skade på utstyr vil i mange tilfelle kompenseres av forsikring og tapt inntekt vil ofte i stor utstrekning kompenseres av redusert beskatning på grunn av redusert overskudd eller utsatt produksjon. Ulempen med denne tilnærmingen er at svært få (hvis noe) risikoreduserende tiltak vil implementeres kostnadseffektivt fordi kostnaden av en ulykke indirekte belaster hele industrien og samfunnet. Denne tilnærmingen ble for noen år siden valgt svært ofte. For å oppnå sammenlignbar global optimalisering, er samfunnsmessige vurderinger bedre egnet. Samfunnsmessige vurderinger bør velges og dermed elimineres virkningen av forsikring, skatt og eierandeler.



Det kan argumenteres med at samfunnsmessige vurderinger bør bety at risikoaversjon inkluderes kvantitativt i analysen av nytten. Det er absolutt anerkjent at risikoaversjon er en faktor som må vurderes i den kvalitative evalueringen av ytelsen når den kvantitative analysen er fullført. Men, som diskutert i forhold til 3.1.17 i normativ tekst, vurdering av risikoaversjon bør ikke inkluderes i den kvantitative analysen, men begrenses til kvalitativ vurdering. Imidlertid bør risikoaversjon være et av aspektene som vurderes når verdien av Vj(C) faktoren i (E.1) fastsettes.

E.3.3 Deterministiske kostnader versus sannsynlig nytte Et spesialtilfelle av CBA for risikohendelser er at nytte vanligvis opptrer sjelden så lenge realisering av fordelene vil avhenge av at den fare opptrer som forebyggingen eller beskyttelsen rettes mot. Dette betyr at nytten er en utpreget probabilistisk parameter. Vanligvis er kostnadene i utgangspunktet tatt med i investeringene, men i noen tilfelle kan de også oppstå som årlige drifts- eller vedlikeholdskostnader. Bare sjelden vil kostnadene være avhengig av oppståtte ulykker og dermed probabilistiske. Et unntak er redusert forsikringspremie. Den vanlige konteksten er derfor at deterministiske kostnader påløper på forskudd, som muligens kan kompenseres ved reduserte tap, hovedsakelig i forhold til en (toppen veldig få) mulige ulykker, i framtida. Summen er slik at sluttresultatet i løpet av livssyklusen enten blir veldig negative eller veldig positive. Den forventede kost eller nytte er en matematisk beregning som aldri vil vises i praksis, i alle fall ikke for en enkelt installasjon. Hvis operatøren derimot har et stort antall installasjoner, bør summen av forventet årlig tap for den enkelte installasjon settes i nærheten av gjennomsnittlig tap som operatøren har for alle sine installasjoner. Den siste komplikasjonen er når en ulykke faktisk skjer, vil nytten sjelden være en størrelse det er mulig å beregne eksplisitt så lenge kostnadene er probabilistiske. Nytten vil vanligvis fastsettes fra QRA som en fordeling av mulige fordeler og en forventningsverdi. På tross av disse teoretiske komplikasjonene utføres CBA slik det er beskrevet i tidligere underavsnitt. Det betyr likevel at maksimum tap bør vurderes i tillegg til forventede verdier. Har operatøren bare en installasjon må man vurdere om selskapet kan overleve tap av installasjonen og hvor mye selskapet er forberedt på å bruke for å redusere sannsynligheten for at et slikt fullstendig tap kan skje.

E.3.4 Verdiforringelse og framtidige tap Kostnader som skyldes materiell skade eller forsinkelse i produksjonen blir vanligvis nedskrevet ved bruk av f.eks. NPV-tilnærming. Også framtidige løpende kostnader diskonteres på samme måte når den totale kostnaden ved risikoreduserende tiltak beregnes. Et vanskelig aspekt er hvor stor grad framtidige dødsfall eller miljømessig skade bør diskonteres på samme måte, noe som faktisk følger en streng tolkning av (E.1). Slik diskontering betyr f.eks. at avvergede dødsfall om 10 år har halv verdi av avvergede dødsfall som skjer straks, hvis en rentefot på 7 % brukes. Dødsrisiko har sjelden blitt diskontert på en slik måte. Likevel, bruken av denne diskonteringen anbefales av HSE i dokumentet “The tolerability of risk from nuclear power stations” (HMSO, 1992). Verdiforringelse av alle framtidige tap (inklusive dødsfall) anbefales valgt som tilnærming for å opprettholde konsistens.

E.4 Beregning av kostnader Kostnadene som fordelene bør evalueres mot er: • Løpende kostnader (drift, vedlikehold etc) • Investeringskostnader Løpende kostnader er årlige kostnader som bør diskonteres i følge en fastsatt rentesats. Disse kostnadene bør tas for hele feltets levetid. Både løpende kostnader og investeringskostnader bør tas som inkrementelle kostnader for det aktuelle risikoreduserende tiltaket eller, hvis aktuelt, en kombinasjon av ulike risikoreduserende tiltak. Disse kostnadene er bestemmende og bør estimeres i følge vanlige kostnadsoverslagsregler, men beste estimater bør brukes.



Løpende kostnader bør hovedsakelig begrenses til direkte kostnader. Indirekte kostnader bør vanligvis ikke inkluderes, men følgende unntak: • Når ekstra personell kreves for driften relatert til RRM • Eksisterende personell krever nye ferdigheter i en slik utstrekning at ekstra trening (opplæring og

repetisjon) er nødvendig • Ekstra transport via luft eller sjø er påkrevet I følge diskusjonen ovenfor bør kostnadene tas som kostnader før skatt og uten vurdering av partenes andeler.

E.5 Beregning av nytte

E.5.1 Generelt beregning av nytte Det generelle uttrykket for beregning av nytte er som følger:

[ ]∑=

⋅−⋅=I

1i

rrmnij

rrmnij

inij

inijnj CfCf∆C (E.2)

der ∆Cnj = forskjell i forventet ulykkeskonsekvens i år n, risikodimensjon j for ‘I’ antall ulykkesscenarier (totalt

antall slutthendelser for alle hendelsestrær) fnij = ulykkesfrekvens i år n, scenario i, risikodimensjon j (‘i’ betegner initiell tilstand, mens ‘rrm’

betegner forhold etter RRM) Cnij = ulykkeskonsekvens i år n, scenario i, risikodimensjon j Avhengig av omstendighetene for RRM kan enten ulykkesfrekvens eller ulykkeskonsekvens (eller begge) endres, derfor det generelle uttrykket over.

E.5.2 Risiko for personell Reduksjon av risiko for personell betyr estimering av ulikheter i alle eller noen av de følgende: • Antall døde per ulykke • Betinget sannsynlighet for ulykker • Frekvensen av ulykker som kan medføre dødsfall Skadde inkluderes noen ganger i vurderingen hvis det aktuelle RRM hovedsakelig har konsekvenser for risikoen for personskade.

E.5.3 Risiko for miljøet Reduksjon i risikoen for miljøet betyr estimering av ulikheter i alle eller noen av de følgende: • Størrelse på utslipp per ulykke • Betinget sannsynlighet for utslipp • Frekvens av ulykker som kan medføre utslipp Beregningen av risiko for miljøet bør baseres på mengden HC som er sluppet ut heller enn på hvor lang tid det tar før de sårbare resursene som berøres settes i stand igjen, noe som er det vanlige parameteret for beregning av risiko for miljøet. Det er to muligheter når en skal beregne nytte ved risiko for miljøet: • Mengde oljesøl fra installasjonen (plattform, undervannsproduksjonsutstyr eller rørledning) • Mengde olje som kommer til land



Kostnadsoverslag for bekjempelse av utslipp finnes i litteratur som bruker det totalte sølet eller bare den delen som når til land, den siste vanligvis bare som en brøkdel av det første, i de tilfellene der offshoreutslipp skjer langt fra kysten.

E.5.4 Risiko for materielle verdier Reduksjon i risiko for materielle verdier betyr estimering av ulikheter i alle eller noen av følgende: • Omfang av skade per ulykke • Varighet av produksjonsstans per ulykke • Betinget sannsynlighet for skade på utstyr • Frekvens av ulykker som kan bety skade på materielle verdier Beregningen av forskjell i risiko for materielle verdier gjøres på forskjeller som gjelder kostnader ved: • produksjonsforsinkelse • skade på utstyr og konstruksjoner • midlertidige løsninger Kostnadene ved midlertidige løsninger kan være vanskelig å estimere, men de bør ikke oversees. Da en mistet den første GBS-understellet for Sleipner A-plattformen, nådde de midlertidige kostnadene opp i 80-85 % av erstatningskostnadene for understellet i seg selv. Dette er sannsynligvis en øvre grense. Risiko for materielle verdier uttrykkes i CBA med økonomiske begreper. Noen ganger uttrykkes risiko for materielle verdier i QRA som kategorier av typen ”systemskade”, ”en-modul-skade”, ”mange-modul-skade”, fullstendig tap. Hvis dette gjøres for vurderingen av risiko på materielle verdier, må disse kategoriene oversettes til økonomiske størrelser.

E.6 Aspekter knyttet til verdifastsettelse

E.6.1 Hva er det som bestemmer ”stort misforhold”?

Extent of RRM implementation

Valu

e ne

eded

for L

CC

>0

RRM-ARRM-B

Det er viktig å vurdere hvordan en kan etablere en grense mellom hva som synes å være ”stort misfor-hold” og hva som ikke er det. Diagrammet viser et teoretisk eksempel på to RRMer. Den vertikale aksen viser verdiene vurdert f.eks. som kostnad ved avverging av et statistisk dødsfall for å oppnå LCC>0 i følge (E.1). To RRMer vurderes, begge kan implementeres i større eller mindre grad på en kontinuerlig skala.

Figur E.4 – Illustrasjon av "stort misforhold"

I eksempeldiagrammet har RRM-A en gradvis økning mens RRM-B viser en tydelig steg-funksjon. Det er enklere å definere ”stort misforhold” for RRM-B enn for RRM-A. ”Stort misforhold” for RRM-B vil ligge til høyre (over) steg-verdien, hvilket betyr at RRM-B bør implementeres fram til steget. Som beskrevet tidligere, risikoaversjon bør også overveies når en bestemmer hva som er ”stort misforhold”. Noen ganger argumenteres det med at risikonivå bør ha innflytelse på hva som defineres som ”stort misforhold”, dvs. at man er villige til å bruke mer penger bør være høyere hvis risikonivået ligger tett opptil tålegrensen. Dette har likevel ikke fått bred støtte, men det kan i det minste være nødvendig å vurdere dette.

Grad av RRM-implementering

V e r d i f o r

å

g i

L C C

>0



Noen vanlige grenser for hva som bestemmer ”stort misforhold” diskuteres separat under for personell, miljø og materielle verdier.

E.6.2 Risiko for personell Med tanke på å fastsette verdien for nytten for personell, er det to alternative muligheter og de kan uttrykkes som følger: • Vurdere kostnaden av menneskeliv • Vurdere villighet til å betale for å avverge statistiske dødsfall Uavhengig av hvilken av disse to tilnærmingene som velges er det komplisert å bestemme terskelverdier der det ikke kan gis en eksakt definisjon eller kvantifisering. På den annen side har forskjellige analyser vist at samfunnet vårt likevel bruker slike verdier som støtte for beslutninger i forhold til å investere i ulykkeshindrende tiltak for transport, medisinsk behandling, livsforsikring etc. HSE har publisert en verdi som ofte brukes som eksempel; £ 0,6 millioner (6 -7 mill norske kroner), beskrevet i referansedokumentet for tålegrense for risiko fra kjernekraftverk. Denne verdien har tilsynela-tende ingen klar relevans offshore, men det kan argumenteres for at det finnes tilstrekkelig likhet. Vurdering av samfunnsmessige tap av ”produksjonskapasitet” for en gjennomsnittlig offshorearbeider har en tilsvarende verdi. En offisiell norsk analyse av forbedring av det norske helikopterbaserte SAR-beredskapssystemet brukte i 1996 en verdi på 16,5 millioner kroner per statistisk reddet liv i sin CBA. Det kunne argumenteres at en typisk verdi i Norge var 10-20 millioner norske kroner som bare kunne sees som en indikasjon på en stor størrelse. Langt høyere verdier er ofte resultatet når ”villighet til å betale”-tilnærmingen brukes. Det skyldes åpenbart jakten på ”stort misforhold” slik det indikeres i figur E.4. Det er ikke uvanlig at nivåer som indikerer stort misforhold kan være så høyt som 100 millioner norske kroner eller høyere. Risikoaversjon, slik det er diskutert tidligere, er først og fremst relevant for verdien av risiko for personell.

E.6.3 Risiko for miljø Verdisetting av risiko for miljøet kan inkludere mange ulike aspekter: • Opprenskningskostnader • Kostnader for tapt olje • Kompensasjon for fiske og oppdrettsnæringen, lokalsamfunn etc, for tap av inntekt på grunn av

miljømessig skade Disse aspektene er alle håndgripelige på den måten at økonomiske verdier relativt enkelt kan defineres. Det er likevel mange uhåndgripelige aspekter, som f.eks. tap av rykte, det å bli sett på som en miljømessig uansvarlig organisasjon etc. ”Villigheten til å betale”-tilnærmingen bør også være god for vurdering av skade på miljøet. På et rent kvalitativt grunnlag kan det synes som mange mennesker er forberedt på å betale store summer for å unngå skade på miljøet, selv i tilfeller der forholdet mellom tiltak og positiv effekt er langt fra sikker. Det er ikke kjent at slike vurderinger har vært forsøkt i utstrakt grad. Med tanke på håndgripelige aspekter, er det beste undersøkte oljeutslippet fra tankskipet Exxon Valdez i Prins Williamsundet i Alaska i 1989. Følgende verdier kan eksemplifiseres fra dette utslippet: • Ca. 440 000 kroner (1997-verdi) per tonn oljeutslipp i opprenskningskostnader • Ca. 1 million kroner (faktisk betalt) per tonn oljeutslipp in kompensasjon, bøter, etc. Hvis en ser på mer moderate utslipp (500 tonn til 5 000 tonn), kan typiske opprenskningskostnader være i størrelsesorden 150 000 kroner per tonn olje som har nådd land.



Noen ganger er også ikke-antente gassutslipp vurdert å være en miljørisiko, men dette er ikke vanlig. I slike tilfelle blir det så å si umulig å sette en verdi på utslippet av gass, bortsett fra det typiske tapet av skatteinntekter fra det tapte gassvolumet.

E.6.4 Risiko for materielle verdier Skade på materielle verdier er det enkleste aspektet å beregne og består vanligvis av følgende komponenter (ikke alle er relevante i alle tilfeller): • Kostnad for erstatning av konstruksjoner og utstyr på grunn av materiell skade • Verdi av produksjonstap/produksjonsutsettelse Kostnaden ved midlertidige løsninger, forsikring og skatt ble diskutert i E.5.4. Man kan legge merke til at ulikheter i salgskontrakter for gass og olje betyr at gassleveranser vanligvis tapes fullstendig ved produksjonsstans (bortsett fra stopp av kort varighet), mens oljeproduksjon utsettes og kan skje senere. Forsinkelsen i oljeproduksjonen er avhengig av omstendighetene, om produksjonen er på et toppnivå (platånivå) og fullt ut bruker produksjonssystemet, da vil forsinkelsen vare til enden av platånivået. Er produksjonen, når ulykken skjer, på et lavere nivå enn toppnivået, blir forsinkelsen mye kortere. Dette betyr at verdifastsettelsen av produksjonstapet er annerledes i forhold til når ulykken skjer, og en kan behøve å utføre en simulering der tiden for når ulykken skjer simuleres statistisk. I forhold til produksjon i de senere faser av feltets livstid, må en også definere tidspunktet hvoretter det er vanskelig å forsvare store kostnader ved rekonstruksjon fordi reservene er for små. I forhold til produksjonsnedstengningen må en særlig se på realistiske estimater av de minst alvorlige ulykkene, f.eks. ikke-antente gasslekkasjer eller ikke-antente utblåsninger av kort varighet. Det er ganske vanlig at en kan få ganske lange produksjonsnedstengningsperioder selv etter ikke-antente hydrokarbon-utslipp, f.eks. på grunn av behovet for etterforskning eller fordi behovet for utbedring av iboende svakheter er påvist ved en hendelse. Vurdering av produksjonstap bør vurdere konkret betydning for gassleveranser til kunder. For gasseksport er det ofte påkrevet å beregne relevante buffere som lagring, ”pakking” av gass i ledningen og ”erstatning”, dvs. levering av den avtalte gassmengden, men fra et annet felt. En simuleringstilnærming kan bli en ganske omfattende analyse og hvis det er tydelig at kostnadene langt overstiger nytten, kan det av og til være hensiktsmessig å utføre en enklere tilnærming. Analysene forventes å være svært detaljert for analyser av de risikoreduserende tiltak som er mulige kandidater for implementering. Hvis det viser seg at et tiltak er langt fra å være gjennomførbart, kan en enklere analyse være hensiktsmessig.



Vedlegg F (informativt)

Scenariebasert systemdesign (SBSD)

F.1 Introduksjon SBSD er en systematisk, analytisk tilnærming som brukes når avvikene fra standarder og reglementer er nødvendig, på bakgrunn av risikovurdering. Slike avvik kan ofte være påkrevet for installasjoner som er spesielle på en eller annen måte. OD har generelt uttrykt motvilje mot omfattende bruk av SBSD på en slik måte at det virker inn på sikkerhetsnivået som er implisitt i forskriftene. Industrien bør derfor, på tross av grunnønsket om å ha maksimal fleksibilitet, forsøke å implementere SBSD på en bevisst og kontrollert måte. Basistilnærmingen i dette informative vedlegget er å fastsette aktuelle og påkrevde begrensninger for bruk av SBSD, mens en gir så stor grad av fleksibilitet som er forsvarlig. Hensikten med SBSD er å bruke risikovurdering for å etablere krav til vesentlige sikkerhetssystemer og funksjoner når avvik fra kravene i forskrifter og standarder er nødvendig på grunn av spesielle omstendigheter. Standarder og forskrifter kan ikke tilpasses spesielt for å finne optimale og økonomisk gjennomførbare løsninger til alle slags ulike omstendigheter med tanke på sikkerhet, tekniske og finansielle aspekter. SBSD er ikke noe alternativ til risikovurdering, SBSD er en tilnærming som benytter risikovurderingsteknikker for å fastsette hva som bør være krav for sikkerhetssystemer og funksjoner. Det vil kreves dokumentasjon på at RAK møtes gjennom bruken av risikovurdering. Den foreslåtte tilnærming til SBSD er ny og har ikke vært testet ut. Den er inkludert slik at den kan testes. Erfaring med denne tilnærmingen vil vises i den neste versjonen av denne NORSOK-standarden.

F.2 Muligheter for bruk av SBSD

F.2.1 Installasjonstyper SBSD kan brukes for følgende installasjonstyper: • Normalt ubemannede installasjoner • Bemannede installasjoner, ved særlig forhold som bruk av ny teknologi • Endring i driftsmåte (nedbemanning, ”oppbemanning” etc) for bemannede eller ubemannede

installasjoner Den mest typiske bruken av SBSD er for vanligvis ubemannede installasjoner, men det kan også brukes for bemannede installasjoner ved særlige forhold. Et slikt forhold kan være endring i driftsmåte. SBSD skal ikke brukes omfattende for en integrert, bemannet installasjon i drift, men dersom det finnes spesielle omstendigheter, kan se noe bruk i tidlige faser av prosjekteringen for slike installasjoner. Bruk av SILer i følge IEC 61508 for design av elektrisk, elektronisk og programmerbare deler av sikkerhetssystemene, er ved sin natur bruk av SBSD. Dette er på den andre siden i følge forskrifter og standarder of faller dermed utenfor den definisjonen dette vedlegget bruker av SBSD.

F.2.2 Livssyklusfaser SBSD er mest attraktivt å bruke på et tidlig stadium i prosjekteringen, men på det tidspunktet da et totalt risikobilde ikke alltid er etablert. Dermed kan bruken av RAK i SBSD trenge å vise en nødvendig konservatisme i forhold til total RAK for å forsikre samsvar med total RAK på et senere stadium. SBSD kan også brukes i senere faser, men der vil det være flere restriksjoner på hva som kan oppnås med tanke på forenklinger. Med tanke på bruk i ulike faser finnes følgende retningslinjer:



• Hovedbruk vil være i fasen der en bestemmer gjennomføring og konsept • En annen mulighet kan være i driftsfasen når en planlegger og designer modifikasjoner • For å rettferdiggjøre endring i basisfilosofien, må det finnes spesielle omstendigheter som f.eks. endring

av driftsmåte hvis det skal brukes i driftsfasen for en installasjon som i utgangspunktet er designet i følge krav.

F.3 Krav for bruk av SBSD

F.3.1 Typer av risikoanalyser Bruk av SBSD vil alltid kreve en QRA. Følgende er retningsgivende med tanke på bruk av ulike analysetyper: • Enhver type QRA kan brukes for SBSD så lenge analysen behandler ytelse av de aktuelle barrierers

funksjoner i følge prinsippene beskrevet nedenfor. Generelt sett vil kravene til QRA i det minste være så strenge som presentert i vedlegg B, særlig for dokumentasjon av metoder, analysemodell og bruk av data.

• Analysen bør være tilrettelagt for eksplisitt analyse av barrierer • Avhengighet mellom systemer med tanke på virkning på risikoen må behandles. • Ytelse i forhold til RAK må demonstreres • Utvalget av scenarier bør baseres på RAK og beslutningskriterier slik de beskrives nedenfor. Eksempler på slike analyser kan være: • Detaljerte kollisjonsrisikoanalyser for å fastsette den nødvendige kollisjonsmotstand • Detaljert prosessrisikoanalyse for å fastsette om passiv brannbeskyttelse på fundamenter for

prosessutstyr er påkrevd • Detaljert prosessrisikoanalyse for å fastsette om et aktivt brannbeskyttelsessystem som f.eks.

brannvann er påkrevd To rapporter har behandlet disse aspektene og kan brukes som bakgrunnsdokumentasjon: • Metoder for etablering av dimensjoneringskriterier, rapport fra en ad-hoc OLF-arbeidsgruppe, Report No

ST-96-031-01. • Risikoanalysen som beslutningsstøtte under design av normalt ubemannede installasjoner, Aker report

58357.

F.3.2 Barriereprinsipper som innføres

F.3.2.1 Generelt Et nødvendig krav for bruk av SBSD er at ytelsen av barrierer settes i fokus. Disse kan vurderes på tre nivåer: • Overordnet nivå: Innfri alle krav og intensjoner for barrierene • Funksjonsnivå: Innfri individuelle barrierefunksjonenes ytelseskrav • Systemnivå: Innfri individuelle systemers ytelseskrav Dette prinsippet er hovedsakelig nyttig for brann- og eksplosjonsfare der barrierene er implementert med tanke på forebygging og beskyttelse. Bruk av SBSD bør forsikre at barrierer med tilfredsstillende ytelseskarakteristikker er spesifisert for et av disse tre nivåene.

F.3.2.2 Overordnet nivå Barrierefunksjonen på overordnet nivå har som mål å forebygge en eskalering på grunn av ulykkers virkninger. Dette nivået behandler: • Eskalering på grunn av brann • Eskalering på grunn av eksplosjon



Hvis det er formulert krav til barrierer på dette nivået bør det være for å forsikre at eskalering forebygges med tanke på funksjonalitet, pålitelighet, tilgjengelighet og sårbarnet. I tillegg må tidsaspektet av eskaleringen vurderes. Et eksempel kan være en grense (som for 10-4 per installasjon per år) på hendelser som vil forårsake eskalering ved brann fra et brannområde til et nabobrannområde.

F.3.2.3 Funksjonelt nivå Følgende barrierefunksjoner må opprettholdes selv i en sammenheng der enklere løsninger søkes i følge SBSD: • Beskyttelse mot overtrykk • Deteksjon av lekkasje • Deteksjon av brann • Mulig begrensning av HC • Brannbeskyttelse • Eksplosjonsbeskyttelse Hvis det er formulert krav til barrierer på dette nivået, bør det være for å forsikre at disse barrierefunksjonene opprettholdes med tanke på funksjonalitet, pålitelighet, tilgjengelighet og sårbarhet. Tidsaspektet bør behandles også her. Et krav på et funksjonelt nivå kan typisk være maksimum frekvens av ikke-oppdagede lekkasjer fra prosessanlegget. Dette kan tilfredsstilles gjennom bruk av innebygde sikkerhetsprosessystemer (med lav sannsynlighet for lekkasje) som et alternativ til omfattende gassdeteksjonssystemer.

F.3.2.4 Systemnivå Følgende systemer brukes ofte til en viss grad for å møte barriererfunksjonskravene:

Barrierefunksjon Systemer som brukes ofte • Beskyttelse mot overtrykk • Prosessinstrumentering

• HIPPS • Materialdimensjoner/designmarginer

• Deteksjon av lekkasje • Automatisk gassdeteksjon • Manuell gassdeteksjon

• Deteksjon av brann • Automatisk branndeteksjon • Manuell branndeteksjon

• Mulig begrensning av HC • ESD system. • ESVer • Nedblåsningssystem/fakling

• Brannbeskyttelse • Aktiv brannbeskyttelse • Passiv brannbeskyttelse • Manuell brannbeskyttelse

• Eksplosjonsbeskyttelse • Aktiv delugebeskyttelse • Avlastningsarealer • Passiv eksplosjonsbeskyttelse /

konstruksjonsmessig integritet Hvis det er formulert krav til barrierer på dette nivået, bør det være for å forsikre at valg av systemer foregår på en slik måte at hver barrierefunksjon opprettholdes så langt som mulig og for den påkrevde tid.

F.4 Aksept- og beslutningskriterier

F.4.1 Risikoakseptkriterier (RAK) Det overordnede RAK bør alltid anvendes når SBSD brukes. Følgende krav anvendes for å etablere og bruke RAK og beslutningskriterier for SBSD:



• FAR-kriterier (eller IR eller tilsvarende kriterier) må fastsettes for mindre grupper eller lokale områder (eller på det detaljnivå som er relevant for SBSD-analysen): • Områder kan trenge stor begrensning når det finnes store brannområder • En installasjon med et brannområde må å deles opp i mindre områder

• Frekvens av tap av hovedsikkerhetsfunksjoner (eller tilsvarende) kan alternativt brukes med følgende begrensninger: • En installasjon med et brannområder må deles opp i mindre områder • Det må fastsettes i det minste en hovedsikkerhetsfunksjon for installasjonen, uavhengig av hvor liten

den er • Et beslutningskriterium basert på sammenligning må vurderes i forhold til et av de foran nevnte valg.

Slike beslutningskriterier bør være viet til de sikkerhetsbarrierene det spørres etter Analyse av overordnet RAK for å fastsette kriterier til bruk i SBSD involverer problemer relatert til tolkning og overordnet optimalisering. Det viser seg lite fruktbart å prøve slike analyser på generell basis. Til tross for dette er et beslutningskriterium assosiert med forebygging av eskalering det mest passende for SBSD og beslutninger om barrierer. Beregning og presentasjon av risikoresultat bør vise kravene for risikomål og presentasjon i forhold til akseptkriterier. Det kan illustreres med at hvis RAK spesifiserer at risiko skal vises for definerte grupper av mennesker, da må risikoanalysen for SBSD helt klart også behandle risikoen for den samme gruppen.

F.4.2 Beslutningskriterier

F.4.2.1 Generelt Bruk av sammenlignende kriterier for barrierefunksjoner bør inneholde følgende steg: • Beregne sannsynligheten for vellykkethet av barrierenes hovedfunksjon med ikke-standard/

ukonvensjonell design, ut fra SBSD. Sannsynlighet for vellykkethet bør vurdere følgende parametre (i forhold til eksponering fra aktuelle ulykkeslaster): • Pålitelighet • Tilgjengelighet • Overlevelsesevne

• Sammenligne med sannsynlighet for vellykket funksjon for standard/konvensjonell design • Ikke-standard/ukonvensjonelle løsninger bør ikke ha særlig lavere sannsynlighet for å innfri

hovedfunksjonen En enkel illustrasjon på hvordan dette kan anvendes kan sette en grense på 10-4 per installasjon per år for hendelser som kan forårsake eskalering ved brann fra et brannområde til nærliggende brannområder. Dette kan tilfredsstilles gjennom bruk av konvensjonelle barrierer eller ved bruk av egensikre prosessystemer som kunne redusere sannsynligheten for tap av kontroll til et slikt nivå at brannbarrierer ikke er påkrevet for å møte grensen på 10-4. Det passer godt å bruke ALARP-prinsippet for SBSD. Slik vil alle anbefalinger for bruk av ALARP-tilnærmgingen (se vedlegg E) gjelde med tanke på dokumentasjon etc. Bruk av SBSD vil vanligvis medføre effekter på både risiko for personell og materielt utstyr. Derav følger at disse parametrene bør rapporteres separat.

F.4.2.2 Systemnivå Bruk av beslutningskriterier på lavest nivå betyr at hver systems funksjonalitetskrav er opprettholdt. Hvis ytelseskrav er tilfredsstilt på et systemnivå, er det funnet en likeverdig løsning.

F.4.2.3 Funksjonsnivå Bruk av beslutningskriterier på en funksjonsnivå betyr at den kombinerte funksjon av mange systemer skal tilfredsstille ytelseskravene for denne funksjonen. Tilfredsstillelse av funksjonsnivå betyr større rom for optimalisering slik at krav for et system kan senkes hvis det finnes en kompenserende faktor. Hvis ytelseskravene tilfredsstilles på en funksjonsnivå, er det funnet en likeverdig barriereløsning som bruker andre systemer enn de som er brukt som betingelse i forskrifter og standarder.



F.4.2.4 Overordnet nivå Bruk av beslutningskriterier på overordnet nivå betyr at den kombinerte funksjon av mange barrierer, som hver involverer mange systemer, skal tilfredsstille ytelseskravene for eskalering av en ulykke. Denne tilnærmingen ligner det som er brukt av noen operatører som har definert ”eskalering” som en hovedsikkerhetsfunksjon som svekkelse vurderes for. Tilfredsstillelse på overordet nivå betyr den mest omfattende mulighet for optimalisering slik at kravene for et system kan senkes hvis det finnes kompenserende faktorer. Disse kompenserende faktorene kan også innebære drifts- og organisatoriske tiltak (manuell intervensjon, operative restriksjoner, værberegninger etc), likevel brukt med forsiktighet og nøye vurdering av operasjonsbegrensningene. Det er viktig å forsikre at analysen brukt for å oppnå tilfredshet på overordnet nivå behandler alle aspektene ved enhver beskyttelsesfunksjon. Hvis ytelseskravene er tilfredsstilt på et funksjonsnivå, så er det funnet et likeverdig nivå for beskyttelse mot eskalering, men nødvendigvis ikke med de samme barrierer og systemer.

F.5 Nødvendige forutsetninger og begrensninger for bruk av SBSD

F.5.1 Begrensninger Følgende begrensninger er fastsatt for å foreskrive en bevisst og kontrollert bruk av SBSD: • SBSD skal bare brukes for vurdering av om en skal forenkle et system av gangen. Andre systemer kan

vurderes som erstatninger. Manuell og/eller organisatorisk inngripen kan brukes i stedet, men i så tilfelle bør det kreves en særlig forbedring av integriteten til barrieren, siden det ofte er vanskelig å måte den kvantitative effekten av drifts og organisatoriske kompenserende tiltak.

• Valget av kompenserende tiltak bør gis høyeste prioritet til egensikre sikkerhetstiltak samt følge prioriteringen gitt i A.3.5.

En bør ikke vurdere å utelate følgende systemer når en bruker SBSD: • Gassdeteksjon • Branndeteksjon • Mulig begrensning/isolering av HC • Evakuering Dette betyr f.eks. at nødvendige automatiske gassdeteksjonssystemer implementeres, uavhengig av hvor lav sannsynligheten er for gasslekkasje. Tilsvarende, et automatisk branndeteksjonssystem bør implementeres, selv om det vises at det er svært lite sannsynlig med brann.

F.5.2 SBSD i forhold til insentiver i kontrakten Bruk av ALARP-prinsippene er viktige når en anvender SBSD. Det er vist at ALARP er vanskelig å implementere på en god måte når det brukes en fastpriskontrakt for prosjektering, innkjøp, bygging og installasjon. For at SBSD skal fungere bør andre kontraktsmekanismer brukes i tillegg.

F.5.3 Bruk av data Hvis det ikke finnes noen data tilgjengelige, de har dårlig kvalitet eller er irrelevante kreves det at fordelene med ikke-konvensjonelle alternativer bør være svært mye bedre enn den konvensjonelle løsningen. Dette bør vanligvis forklares som et minimum av en størrelsesordensforskjell i relevante parametre. I tillegg må datakilden og relevansen av dataene alltid beskrives og vurderes.



Vedlegg G (informativt)

Prosedyre for simulering av sannsynlige eksplosjoner

G.1 Introduksjon og grunnleggende krav

G.1.1 Generelt I det følgende beskrives en prosedyre (figur G.1) for den totale beregning av eksplosjonsrisiko fra lekkasje til og med uakseptabel konstruksjonsrespons. Prosedyren er ment å benyttes til fullstendige analyser av plattformer i drift eller i de faser av prosjektering hvor det er tilgjengelig informasjon om alle vesentlige designelementer som påvirker risikobildet fra eksplosjoner. I tidlige faser av prosjekteringen må prosedyrene forenkles ut fra tilgjengelig designinformasjon. Mengden utstyr må estimeres ut fra tilsvarende området i tidligere analyser. Følsomhetsanalyser skal brukes for å finne ut om mindre endringer i utstyrsmengde, trykkavlastningsområder eller ventilasjon vil endre gasseksplosjonslasten vesentlig. I tilfeller der en kan forvente at lastene enten er lave eller at konstruksjonen har stor styrke slik at større konservatisme kan aksepteres i estimeringen av gasseksplosjonslastene, kan denne prosedyren selvsagt forenkles, forutsatt at konservatismen er under kontroll. Det skal på forhånd være enighet med oppdragsgiver dersom en forenkler og avviker fra prosedyren. Dette skal beskrives i rapporten. Prosedyren følger hendelsesforløpet kronologisk, men inkluderer noen iterasjoner. Uansett, for å få en riktig balanse mellom bruk av ressurser og korrekt fokusering på de relevante problemstillingene, er det nødvendig at en tenker på problemstillingen som en helhet baklengs gjennom hendelseskjeden når en planlegger arbeidet. Dette betyr at en må vurdere uønskede konsekvenser, definere hva som er uakseptabel respons, og derfra vurdere hvor mye lasten skal beskrives og etablere resten av metodikken styrt at dette. Prosedyrene tar mål av seg til å estimere den mest sannsynlige eksplosjonslasten og ikke det verst tenkelige tilfelle, men på en slik måte at når det gjøres forenklinger i forhold til en tenkt ideell teoretisk modell, så skal det totale risikobildet, last eller respons, ikke være vesentlig for lav, men heller være på den konservative siden. Dette betyr ikke at hvert eneste ledd i prosedyren må være konservativt, men at man har rimelig kontroll over at sluttproduktet, dvs. last og respons, er konservativt. Et mål med prosedyren er å standardisere analysene noe slik at eksplosjonsrisiko kan sammenlignes mellom ulike områder, installasjoner og konsepter, selv om analysene er utført av ulike miljøer og personer. Samtidig skal ikke prosedyren stanse en utvikling mot bedre metoder.

G.1.2 Generelle forenklinger i modellering På det nåværende tidspunkt løses problematikken med in-homogenitet i skyene ved at det etableres ekvivalente støkiometriske skyer ved antenning. Dette kan likevel resultere i en for kort varighet av lasten. Eksplosjonssimuleringer utføres med disse skyene. I praksis forventes det at en kan simulere eksplosjoner av en del standardskyer før en har etablert en sannsynlighetsfordeling av ulike skystørrelser. Et stort antall scenarier for gass-sky-dannelse må vurderes på bakgrunn av lekkasjesegment, lekkasjepunkt, retninger og tid for antenning. Disse kan representeres ved et sett ”standard” scenarier dvs. skyer og lokalisering. Vurdering av symmetri, resonnement og forenkling basert på forståelse av fysikk kan brukes til å redusere antall scenarier som skal beregnes og finne de som simuleres med CFD-verktøy. Fra dette etableres størrelsesfordelingen for ”ekvivalente” skyer. Informasjon om den mest sannsynlige plassering kan også brukes hvis den er tilgjengelig. Et sett ”standardiserte” skyplasseringer og tennpunkter velges. Hensikten med spredningsanalysen er å tilordne frekvensene for ulike lekkasjescenarier gjennom tennsannsynlighet til frekvenser for de ulike standard antente støkiometriske skyene. I spesielle tilfelle kan det være ønskelig å bruke ikke-støkiome-triske, men fortsatt homogene, skyer.



Frekvenser for ulike antente støkiometriske skyer kobles med eksplosjonssimuleringer for å estimere risiko for eksplosjon inklusive designlaster når det er nødvendig. Der forenklede relasjoner mellom inputparametre og resultater fra CFD-beregninger brukes både for gasspredning og eksplosjon, skal godheten av disse relasjonene dokumenteres. Metodikken skal kunne kombineres med brannanalyser i risikoanalysen på en konsistent måte. Prosedyren stiller ganske omfattende krav til faktorer og antallet parametervariasjoner som skal vurderes. Dette trenger ikke følges slavisk dersom det kan dokumenteres at forenklinger ikke får vesentlig betydning for resultatet. For å lette vurderingen og sammenligningen mellom ulike analyser, legges det vekt på at resultatene fra de ulike mellomstegene presenteres på en enkel og oversiktlig måte. Denne skal inneholde: • Lekkasjefrekvens både for ulike lekkasjekategorier, prosessegmenter og totalt • Typisk lekkasjevarighet eller -profil • Sannsynlig antenningstetthet både for mellomliggende og kontinuerlige ressurser og hvordan disse

influeres av håndtering av plattformsystemer som gassdeteksjon og nedstengning • Beregnet sannsynlighet for antenning for ulike lekkasje- og antenningskategorier • Ventilasjonsforhold, gjennomsnittlig og som en funksjon av vindforhold • Gjennomsnittlig eller spredning av tid fra lekkasjen starter til både gassdeteksjon og antenning for ulike

lekkasjekategorier • Frekvenser for ikke-antente gasskystørrelser • Frekvenser for antente gasskystørrelser og total antenningsfrekvens • Skisser som viser større og lokalisering av gasskyer, lekkasje og antenningssteder brukt i

eksplosjonssimuleringer • Eksplosjonstrykk som en funksjon av gasskyens størrelse

G.2 Rekkefølgen av hendelser

G.2.1 Lekkasje

G.2.1.1 Frekvens av klasser/fordeling Det skal startes med fordeling av hullstørrelser. På bakgrunn av trykk i systemet, skal initielle lekkasjerater beregnes og klassifiseres i etter en finfordeling som må stemme overens med eventuelle grovere fordelinger brukt i brannanalysene. Følgende finfordeling bør brukes (alle verdier i kg/s):

0,1-0,5; 0,5-1; 1-2; 2-4; 4-8; 8-16; 16-32; 32-64; >64. En kontinuerlig fordeling for lekkasjestørrelse kan brukes, da må frekvensene for de oppgitte klassene angis. Verdien for nedre grense (0,1 kg/s) må vurderes i hvert tilfelle i forhold til den minste skyen som kan bidra til eksplosjonsrisikoen.

G.2.1.2 Varighet, transient kildestyrke Det skal tas hensyn til representative transiente lekkasjeprofiler. Dette kan fravikes for tilfeller der det ikke i vesentlig grad vil påvirke relevante skystørrelser eller tennsannsynlighet. Dette må i så fall dokumenteres. Valg av transient kildestyrke må vurderes i forhold til: a) Karakteristisk tid for ratereduksjon i forhold til karakteristiske tider til antenning. Segmenter som tømmes

raskt må dermed behandles med transient kildestyrke b) Mengde gass som lekker ut bør ikke i vesentlig grad overstige mengden innestengt gass i segmentet. c) Lekkasjerater som raskt avtar, men som opprinnelig gir ”fete” skyer (mye gass over UEL) Bruk av tidsavhengig lekkasjerate forutsette at tennkildemodellen kan håndtere tidsavhengig skystørrelse.



G.2.1.3 Valg av representativt segment eller eksplisitt for alle segmenter Dette er bestemt av hvor nøye det er behov for å regne. I utgangspunktet bør alle segmenter beregnes eksplisitt. Grove modeller kan brukes så lenge de er kalibrert av CFD-kjøringer av valgte, representative segment. Det bør vurderes om en skal velge segment med høyest trykk, lengst varighet av lekkasjen osv. Dette må også gjøres ved segmenter med vesentlig forskjell i reaktivitet av mediet. Det legges mindre vekt på forskjell i driftstemperatur etc (som kan ha betydning for oppdrift av lekkasjen), da vi foreløpig ikke vil etablere ekvivalente støkiometriske skyer som dekker kun deler av høyden i området, se G.2.1.4 Unntak er her åpne geometrier der oppdrift kan ha stor betydning.

G.2.1.4 Fasong på ekvivalent støkiometrisk sky Normalt vil gasskyen være vesentlig større enn den ekvivalente støkiometriske skyen, og den brennbare delen av skyen har en irregulær form. Likevel kan denne modelleres med en kubisk sky, som når fra gulv eller tak. Når skystørrelsen indikerer en høyde (eller bredde) som er større enn området, legges skyen fra gulv til tak og vegg til vegg og lengden kompenseres for å gi riktig størrelse. Dette betyr at vi normalt ikke ser på lagdeling ("pannekake"-sky) i et lukket område, selv om CFD-kjøringene skulle indikere at lagdeling kan forekomme. Dette er antatt å gi noe konservatisme, noe som eventuelt bør kommenteres der CFD indikerer lagdeling. I CFD-simuleringer må en ta vurdere programmets begrensninger. Dette gjelder både plassering av antenningssted i forhold til ytterkant av skyen og en minste skydimensjon. I tilfelle FLACS brukes, skal den minste skydimensjon på hvilken som helst sky løses med minst 13 celler.

G.2.1.5 Lokalisering og beregning av lekkasje For å oppnå en representativ fordeling, skal det brukes minst 3 lekkasjepunkter i en modul, hver av dem med seks jetretninger og mulig diffus lekkasje. Det skal være minst et scenario med lekkasjeorientering mot vanlig ventilasjonsretning. Symmetribetraktninger og vurderinger basert på forståelse av fysikk, geometri, vind og ventilasjonsretninger kan brukes for å begrense antall scenarier som må beregnes. Forenklinger må dokumenteres. Både masse, impuls og energi bør bevares i jetlekkasjen ut fra et høyttrykkssystem. Dersom dette fravikes skal nøyaktigheten av forenklingen kommenteres og helst dokumenteres. Utslipp som raskt mister impuls kan modelleres ved å rette jetten mot en passende vegg eller større utstyr.

G.2.1.6 Medium Den delen av en lekkasje som kommer ut som væske og som så flasher eller fordamper skal modelleres som et tilsvarende gasutslipp. Det kan modelleres som et diffust utslipp. Det er viktig å ha korrekt sammensetning, særlig for å få riktig reaktivitet. Også den delen av oljelekkasjer som former tåke, skal modelleres som tilsvarende mengde gass. Forbrenningsegenskapen av tilsvarende gass skal diskuteres og dokumenteres.

G.3 Skydannelse

G.3.1 Vindretning og styrke Det skal i utgangspunktet tas hensyn til minst åtte vindretninger med en frekvens og hastighetsfordeling bestemt fra vindrosa i området. Ofte kan disse grupperes i et fåtall (2-4) ulike ventilasjonsregimer. CFD-ventilasjonssimuleringer kan brukes for å finne disse. Det virker som en god antakelse at ventilasjonsraten for vindretning er proporsjonal med vindhastigheten, men det er også viktig å vurdere at proporsjonalitetskonstanten er forskjellig for de ulike vindretningene. Dette må tas med i beregningen når bidragene til ventilasjonsregimene fra ulike vindretninger etableres. Ved lave vindhastigheter gjelder ikke proporsjonalitetsbetraktningene ovenfor da effekter som oppdrift fra varmt utstyr vil spille en rolle. Hvordan dette håndteres må dokumenteres. Antall vind- og ventilasjonshastigheter som skal tas med bør for konsistens ikke være så mye lavere enn antall utslippsrater.



Det skal søkes etablert en enkel relasjon mellom gasskonsentrasjonen og forholdet mellom lekkasjerate og ventilasjonsrate. Gyldighetsområde for relasjonen skal indikeres. Denne relasjonen kan deretter benyttes til ekstrapolering til andre lekkasjerater og strømningshastigheter. Der en tidsavhengig tennsannsynlighetsmodell brukes skal frekvensfordelingen beregnes for skystørrelser ved antenningstidspunkt. Det må derfor benyttes en modell for beregning av transient skystørrelse ved lekkasjer. Se for øvrig G.4.

G.3.2 Beregning av ekvivalent støkiometrisk sky Størrelsen på den ekvivalente støkiometriske skyen ved tenntidspunktet skal beregnes som mengden gass i det eksplosive området, veiet med flammehastighetens konsentrasjonsavhengighet. Vi er innforstått med at dette ikke tar hensyn til eventuell initiell turbulens i skyen (spesielt for jetlekkasjer). Dette tas opp til ny vurdering når flere forsøksdata på gasseksplosjoner i skyer utviklet fra jetlekkasjer og tilsvarende tester av beregningsmodellene er tilgjengelige. Skyene skal inntil videre ikke velges for å representere eventuell sjikting av gassen. Dette utestår til både eksplosjonssimuleringen og spredningsmodellene er videre testet mot sjikting.

G.3.3 Spredning, valg av modeller CFD-modeller skal brukes for spredningsberegninger. For å få med seg det store antall parametervariasjoner som prosedyren innebærer, kan det være nødvendig å bruke korrelasjoner som bygger på disse spredningsberegningene. Godheten av disse korrelasjonene skal dokumenteres gjennom uavhengige beregninger. Det forventes at minst 10-15 CFD-spredningsberegninger er nødvendig for hver modul.

G.4 Antenning

G.4.1 Lokalisering av gass-sky og antenningspunkt I utgangspunktet bør tennkilder plasseres homogent i skyen. Ved fordeling av tennsteder på layout bør det påsees at de ulike skyplasseringene medfører tennsteder med ulike trykk for hver enkelt sky (fortrinnsvis både høyt og lavt). Man bør alltid ha minst en randtenning av hensyn til konsekvensen av kontinuerlige tennkilder, og sannsynligheten for antenning bør blant andre faktorer vurderes på bakgrunn av type tennkilde. Ved detaljerte analyser eller der tilstrekkelig detaljert layout er tilgjengelig, kan spredningen av tennkilder på layout ta hensyn til konsentrasjon av tennkilder i ulike områder. Hvis det er lik fordeling av tennkilder i rommet kan man velge romfast eller skyfast plassering. Tennkildens plassering og tid til antenning må sees i sammenheng med spredningsanalysen.

G.4.2 Eksponering av tennkilde for sky Med tanke på JIP-tennmodellen (15), er eksponeringsdelen allerede dekket i og med at spredningen beregnes eksplisitt. Dette gjelder også tidsavhengighet eksponeringsdelen. Dermed brukes ikke eksponeringsdelen av JIP-tennsannsynligheten. For hvert nytt tidssteg i spredningsanalysen skal følgende parametre beregnes fordi de påvirker sannsynligheten for antenning: • Totalt volum eksponert for brennbar gass (med konsentrasjon mellom LEL og UEAL) som kan antennes

av diskontinuerlige tennkilder • Nytt volum eksponert for brennbar gass som kan antennes av kontinuerlige tennkilder • Ekvivalente støkiometriske skystørrelser på tidspunkt for antenning (typisk ErrFAC*drivstoff i FLACS

eller lignende

G.4.3 Betinget sannsynlighet for antenning gitt eksponering NB: Dette er også viktig for effekten av deluge. Kontinuerlige tennkilder Dette må antas å gi antenning umiddelbart ved kontakt med skyen. Sannsynligheten for antenning blir proporsjonalt med det volum som har vært eksponert for brennbar gass, forutsatt konstant sannsynlighet for antenningstetthet (se G.4.2). Intermittentkilder



Her er det tidsavhengighet også i den betingede sannsynligheten: P(t) = P eksponering [V(t)] * P intermittent (t) Selvantenning av lekkasje Sen selvantenning bør behandles som intermittent. Umiddelbar selvantenning skjer så raskt at scenariet bør resultere i brann. Modellering av transient skystørrelse En forenkling av skyutviklingen ved bruk av kontinuerlige relasjoner er akseptabelt. Hvis den stasjonære skyen er ”fet”, vil den på sin vei opp, ha passert et område med en maksimal støkiometrisk sky. Både tiden det tar å nå fram til denne maksimale støkiometriske skyen og tiden fra maksimal til stasjonær oppløsning skal modelleres rimelig grundig. NB: Den siste tiden er null hvis den stasjonære oppløsningen er mager eller støkiometrisk. Vekstraten Maksimalpunktet for en lekkasjerate som i stasjonærfordeling vil gi en ”fet” sky, kan konservativt brukes som den mengden gass som kan gi en stasjonærfordeling med verste ventilasjonsrate. Hvis dette bidrar mye, bør reell ekvivalent skystørrelse estimeres. Gassdeteksjon og aksjoner fra disse som kan påvirke tennsannsynlighet og skydannelse (isolering av tennkilder, nedstengning og nedblåsing) bør tas i betraktning på en slik måte at tidsavhengigheter inkluderes i modellen.

G.5 Eksplosjon

G.5.1 Definisjon av last For å fastsette konstruksjonsrespons og sikkerhetsmargin for sikkerhetskritiske konstruksjonselementer på en installasjon, skal det benyttes et tidsavhengig gasseksplosjonsovertrykk og dragkraft. Designverdier av last og konstruksjonsdesign skal etableres fra forholdet mellom trykk og impuls (P-I) av en estimert last, overtrykk/drag og frekvensen av last slik det gis i RAK. Dermed vil ikke den dimensjonerende lasten bli en enkel trykkverdi, men en samling av trykk og impuls(tid) kombinasjoner med en gitt frekvens for overskridelse av både trykk og impuls. Dette fremkommer som snittet mellom trykk-impuls-flaten og akseptkriteriet for frekvens. Forholdet mellom maksimalt trykk og varighet kan brukes hvis simuleringer viser at dette er en god forenkling, men da må forholdet dokumenteres. P-I-flaten skal beregnes for gjennomsnittlig trykk på et forhåndsbestemt areal. I tilfeller der det er store variasjoner i overtrykk over et eksponert areal, skal det etableres et videre P-I-forhold for lokalt område med høyest lokalt overtrykk. Denne P-I-flaten skal i så fall gjelde alle andre lokalområder på arealet, med mindre dette ikke er realistisk (f.eks. hvis ekstremt høyt trykk i hjørnene blir gjeldende for hele arealet). En draglast må vurderes for større rør og utstyr. Hvis ingen drag-impulsforhold etableres, skal drag beregnes fra spredningen av hastighetsfordelingen i CFD-beregninger for noen utvalgte dimensjoneringsscenarier.

G.5.2 Valg av simuleringsmodeller En bør velge en avansert CFD-modell som FLACS.

G.5.3 Valg av standarder for modellering Modelleringsstandard skal velges etter krav fra programleverandør. Denne skal være tilstrekkelig til at effekter observert i Blast&Fire-prosjektet kan modelleres. Erfaring viser at det er avgjørende å bruke en detaljert nok fremstilling av modulgeometri i eksplosjonssimuleringer. Analyser skal utføres på utvalgte scenarier for å vise følsomheten av last til variasjoner av laveste grense for utstyrsstørrelse som inkluderes. Der detaljert modulgeometri ikke er tilgjengelig, skal inputgeometri baseres på sammenligning med detaljert geometri i lignende moduler eller utstyrstype.



Den utstyrstettheten som brukes i simuleringene skal dokumenteres og sammenlignes med tetthet i lignende modelltyper.



G.5.4 Ekstrapolering/interpoerling ved flytting av tennpunkt Det er liten begrensning i å gjøre mange CFD-analyser med variasjon kun av tennpunkt, men konstant scenario ellers. Det er derfor ikke nødvendig å interpolere/ekstrapolere mellom et lite antall beregninger for ulike tennlokaliseringer.

G.5.5 Eksternt trykk Forplantning av eksplosjoner fra moduler ut i gass blåst ut av modulen produserer et eksternt trykkfelt som kan skape betydelig trykk på ytterflater av andre området på plattformen. Hvis FLACS brukes kan fjernfeltstrykk beregnes med FLACS Blastblock (scenariet må regnes om igjen). Det anbefales at man beregner verst-tenkelig-scenarier og noen scenarier rundt de dimensjonerende scenariene som beregnes.

G.6 Beregning av respons

G.6.1 Forholdet mellom responsanalyse og RAK Hvis RAK for eksplosjoner relaterer til frekvens for eksplosjonslast, er hensikten for responsanalysen å vise overensstemmelse mellom respons og krav til grensetilstand. Hvis RAK for eksplosjoner relaterer til frekvens av lastrespons, er hensikten med responsanalysen å vise at frekvensen av overskridelse av kravene til grensetilstand er innenfor RAK.

G.6.2 Grensetilstand Konstruksjonsrespons skal klassifiseres i følge ALS slik det er definert i G.6.1. Blant andre skal følgende krav til styrke og funksjonalitet vurderes: • Global konstruksjonskollaps • Brudd på eller uakseptabel utbøyning av en eksplosjonsbarriere inklusive uakseptabel skade på passiv

brannbeskyttelse av barriere • Skade på utstyr og rør som forårsaker uakseptabel eskalering av hendelser (gjelder også for rør og

kabler som gjennomtrenger barrierer. Dette inkluderer skade på grunn av avbøyning/skade på bærende konstruksjoner

• Uakseptabel skade på sikkerhetskritisk utstyr som må virke etter eksplosjon Konstruksjonsrespons skal beregnes for eksplosjonslaster som vist i G.5.1.

G.6.3 Valg av analyseprinsipper Responsanalyse av konstruksjoner som er utsatt for gasseksplosjonslaster involverer prediksjon av kompliserte deformeringsprosesser medikke-lineære material- og geometriske egenskaper. For å oppnå presise beskrivelser av eksplosjonsrespons er det meget viktig å forstå detaljene med deformering, sammenbruddsmekanismer og hvordan materialene oppfører seg. Prediksjon av responser skal utføres ved bruk av hensiktsmessig analysemodeller. SDOF og elementanalyser (FEM) som modellerer teknikker med dynamiske og ikke-lineære evner (NLFEM) kan brukes. Dynamiske og deformasjonsmessige karakteristikker av konstruksjonen skal vises fullgodt i den valgte analytiske prosedyren. To tilnærminger for beskrivelse av eksplosjonslast som kan brukes i konstruksjonsanalysen er: 1. Eksplosjonslasten kan beskrives som en triangulær, tidsavhengig overtrykk/motstand gitt av den

dimensjonerende hendelse fra trykk-impuls-flaten som beskrevet i avsnitt G.5. Dette gis av dimensjonerende last og er dermed særlig nyttig tidlig i designsituasjoner.

2. Direkte linearisering av overtrykk–tidskurven som et resultat av hver CFD-simulering. (Moderne NLFEM-

programmer har også mulighet for å bruke fullstendige overtrykk-tidsbeskrivelse og dermed er ingen lastlinearisering påkrevet.) Prosedyre for lastlinearisering kan finnes i "Design of Offshore Facilities to Resist Gas Explosion Hazard Engineering Handbook".



Deretter kan responsanalyser for hver CFD-simulering utføres. Hver respons vurderes som akseptabel eller uakseptabel basert på grensetilstandskriteriene i G.6.2. Til slutt oppnås totalfrekvens for uakseptabel respons som summen av frekvenser for hvert enkelt scenario med uakseptabel respons. Dermed er lasten for hvert scenario overført direkte til en respons. Siden metoden går direkte fra CFD-simuleringen til konstruksjonsresponsen, produseres det ingen dimensjonerende last. Derfor er denne metoden bare aktuell for beregning av frekvenser av uakseptabel respons for en gitt konstruksjon.

Usikkerheten i respons er hovedsakelig styrt av usikkerheten i lasten og nøyaktigheten av analysemodellene for konstruksjonen. Dermed er det ikke nødvendig å ta med usikkerheten ved materialkvalitet, variasjoner i materialdimensjoner etc. Siden problemene i forhold til in-homogene skyer løses gjennom etablering av ekvivalente støkiometriske skyer, kan den beregnede lasten ha en for kort varighet. Effekten av økende lastvarighet bør diskuteres i responsanalysen.

G.7 Beregning av trykkreduserende tiltak

G.7.1 Effekt av deluge Deluge reduseres høyt overtrykk i overfylte områder, men har ingen slik effekt på scenarier med lavt trykk. Siden det er nødvendig å etablere deluge før antenning, vil deluge bare være effektiv ved sen antenning (typisk 20 s eller senere). Sannsynligheten for antenning vil vanligvis ikke øke når en brukes deluge. Per i dag ser FLACS ut til å gi en god prediksjon av tester med deluge. Dermed er det akseptabelt å bruke FLACS for scenarier med deluge.



Figur G.1 – Skjematisk framstilling av prosedyre for beregning av eksplosjonsrisiko

Etablerelekkasjescenarier

Etablereskyfordelingsstørrelse

Etablereeksplosjonslaster

Etablereeksplosjonslaster

Nåværenderisikobilde

Frekv

Kg/s

Frekv

Kg

Frekv

Kons

Frekv

PmaxTid

Frekvens av overskridelse FAR-verdier,Frekvens av tap av hovedsikkerhetsfunksjon etc.

Antenning, spredning

Variere skyplassering, antenning, etc.Utføre CFD-eksplosjonssimuliernger

Grensetilstandskriterier, RAK for presonell etc.



Vedlegg H (informativt)

Informative referanser

1. Sjøfartsdirektoratet; “Forskrift av 22. desember 1993 om risikoanalyse for flyttbare innretninger” (Regulations of 22. December 1993 covering risk analyses for mobile offshore units), NMD.

2. Health and Safety Executive: Tolerability of Risk from Nuclear Power Stations, HMSO, 1992

3. Lord Cullen; The Public Inquiry into the Piper Alpha Disaster. UK Department of Energy 1990. ISBN 0 10 113102.

4. DNV: Guidelines for Risk and emergency preparedness assessment of MODU (SS), Drill ships, Well intervention ships and Wellintervention Units (SS), Report No 99-3139, 15.3.1999.

5. A guide to the Offshore Installations (Safety Case) Regulations, 1992, (SI 1992/2885), UK HSE

6. Prevention of fire and explosion and emergency response on offshore installations (PFEER) Regulations 1995, (SI 1995 743) UK HSE

7. UKOOA: HSE Management guidelines

8. Guidelines for the Development and Application of Health, Safety and Environmental Management Systems, E&P Forum, July 1994

9. NS-EN 1050 “Maskinsikkerhet – Prinsipper for Risikovurdering” (Machine Safety Directive)

10. Occupational health and safety management systems – Guidelines for the implementation of OHSAS 18001, BSI-OHSAS 18002:2000

11. NORSOK standard N-001, Structural design, Rev. 3, August 2000

12. “Metoder for establering av dimensjoneringskriterier” (Methods for establishment of design criteria, Norwegian only), report from an ad hoc OLF working group, Safetec Report No ST-96-031-01, 31.5.1996

13. NORSOK Standard N-003, “Action s and Action Effects”

14. “Design of Offshore Facilities to Resist Gas Explosion Hazard Engineering Handbook”. J. Czujko, ed., 2001

15. “JIP Ignition Modelling. Time Dependent Ignition Probability Model”, Det Norske Veritas Report 96-3629.

17. OGP Guidelines for the Development and Application of Health, Safety and Environmental Management Systems.

NORSOK STANDARD Z-013N - · PDF fileNORSOK-standard S-001 Technical safety NORSOK-standard...

Documents

Transcript of NORSOK STANDARD Z-013N - · PDF fileNORSOK-standard S-001 Technical safety NORSOK-standard...