Kvalifisering av teknologi (Equinor)
Beskrivelse
Equinor hadde ikke utarbeidet kriterier for utvikling, prøving og bruk av ADC- teknologien Novos som sikret at kravene til helse, miljø og sikkerhet blir ivaretatt. Teknologien var ikke tilpasset allerede aksepterte løsninger. Det var ikke demonstrert gjennom kvalifisering at gjeldende krav kunne oppfylles.
Begrunnelse
Dokumentgjennomgang og intervjuer viste at Equinor ikke hadde utarbeidet og konkretisert gjennom kravspesifikasjoner til leverandør, eller gjennom egen teknologikvalifisering sikret, at teknologien var kvalifisert og oppfylte regelverkets krav ved anskaffelse, installasjon og bruk av Novos systemet.
Equinor behandlet i første omgang Novos som en oppgraderings-kontrakt og ikke en utviklingskontrakt. Likevel ble det 2 måneder etter inngåelse av avtale om innkjøp av teknologien igangsatt en teknologikvalifiseringsprosess.
Imidlertid kunne ikke Equinor vise til at det i selskapets teknologikvalifisering var etablert, eller anvendt, kriterier for utvikling og prøving som var representative for de aktuelle bruksforholdene, og som demonstrerte at gjeldende krav kunne oppfylles ved bruk av teknologien.
Eksempler på dette var:
- Det var gjennomført Hardware in the loop (HIL) testinger, factory acceptance test (FAT), kommisjonering av utstyret og tredjeparts designverifikasjon.
Disse testene var i hovedsak rettet mot systemintegritet, systemets tekniske funksjoner og tekniske grensesnitt. Equinor kunne ikke redegjøre for når og hvordan risikovurdering beskrevet i teknologikvalifiseringssteget «klar for førstegangs bruk» var gjennomført. Det var gjennomført risikovurderinger på innretningsnivå, som er omtalt i denne rapportens avvik 5.1.4 og 5.1.5, men erfaringer fra disse risikoevalueringene var ikke fulgt opp i teknologikvalifiseringsløpet.
- Equinor kunne ikke vise til kriterier for utvikling, prøving og bruk som inkluderte operasjonelle eller menneskelig faktorer i teknologikvalifiseringen utover at det ble forklart at det hadde vært brukermedvirkning.
- Funn fra tredjepartsverifikasjon var ikke fulgt opp i teknologikvalifiseringen.
Teknologien var installert og tatt i bruk på et større antall innretninger selv om teknologikvalifiseringen var mangelfull. Flere aktiviteter i teknologikvalifiseringen var gjennomført før understøttende aktiviteter og beslutningsgrunnlag var etablert og verifisert.
Eksempler på dette var:
- Planen for teknologikvalifisering var beskrevet som «multi use of proven technology after completed first use». For at førstegangs bruk var gjennomført la Equinor til grunn at factory acceptance test (FAT), som er en integritetstest av programvare og utstyr, var gjennomført for Johan Sverdrup i juni 2019 og at prosedyrer for installasjon og brukermanualer var tilgjengelige. Systemet var ikke installert, testet eller brukt i operasjon på Johan Sverdrup før en gikk videre med å skalere ut systemet på flere innretninger. Erfaringsgrunnlaget med bruk av teknologien før den ble skalert ut var derfor mangelfullt.
- Etter bruk på de 3 første flyttbare innretningene i 2019, skulle det i følge oversendt dokumentasjon for teknologikvalifiseringen også gjennomføres evalueringer av systemet før en gikk videre til å installere systemet på alle innretninger som opererer for Equinor. Disse evalueringene var ikke gjennomført.
- Gjennom tilsynet ble det etterspurt når bruk av Novos ble et kontraktskrav ved rigg-inntak. Oversikter vi har fått tilsendt viser at installasjon og bruk av Novos var et krav i kontrakt med Odfjell og Transocean inngått i 2018, og i kontrakt med Valaris (Rowan) i 2019 og Maersk i 2020. Teknologien var altså kontraktsfestet som et inntakskrav til boreentreprenør før teknologien var kvalifisert.
- Gjennom tilsynet fremkom det flere svakheter knyttet til design og tilpasning av Novos til eksisterende borekontrollsystem på Askepott. Stikkprøver avdekket at systemet ikke var ferdig utviklet, og ikke tilstrekkelig integrert. Dette gjorde at operatørene hadde vansker med å enkelt og hurtig kunne motta nødvendig informasjon og utføre nødvendige aksjoner. ref. Avvik 5.1.2 og 5.1.3.
Manglene viste at Equinor ikke hadde sikret at teknologien kunne oppfylle regelverkets krav før den ble tatt i bruk på minst 8 innretninger.
Hjemmel
Utforming av menneske-maskin grensesnitt (KCAD)
Beskrivelse
Novos og skjermbasert utstyr var ikke utformet slik at faren for menneskelige feilhandlinger som kan ha betydning for sikkerheten ble redusert. Informasjonsgivere og betjeningsinnretninger var ikke utformet slik at utførende personell enkelt og hurtig kunne motta nødvendig informasjon og utføre nødvendige aksjoner.
Begrunnelse
Befaring av systemene og dokumentgjennomgang viste at integrering av Novos i Cyberbase var mangelfull. Produktet var også uferdig (ref avvik 5.1.1). I tekniske beskrivelser og operasjonsmanualer var det ikke beskrevet hvilke normative referanser som var benyttet i utformingen for å oppfylle regelverkets krav.
I dokumentgjennomgang og presentasjoner knyttet til utforming av systemet kom følgende frem:
- Novos og eksisterende borekontrollsystem var ikke realisert i et felles brukergrensesnitt.
- Oppsett og konfigurasjon krevde innsetting av parametere på tvers av systemene cyberbase og Novos. Det var mange nye parametere som operatøren måtte forholde seg til, der relaterte parameter gjerne også måtte tastes inn i ett eller begge systemer. Dette kompliserte prosessen for å løse problemer som oppstod med de automatiserte boreoperasjonene.
- Samme informasjon ble ulikt presentert i de ulike grensesnittene (f.eks. innstilling for vekt på borkrone og borehastighet).
- Alarmer var ikke realisert i felles system, ref. avvik 5.1.3
- Designspråk, fargebruk og utforming av brukergrensesnitt mellom systemene var ikke uniformt utformet.
- Gjennom tilsynet fremkom det at Novos sitt menneske maskin grensesnitt designet basert på rammeverket «material design». Material design er ikke en anerkjent industristandard for utforming av menneske maskin grensesnitt. I dokumentasjon er det ikke beskrevet hvordan valgte løsning på tilsvarende måte møter regelverkskrav.
I intervjuer med utførende personell kom følgende problemer knyttet til menneske-maskin grensesnitt frem:
- Systemene gav feilmeldinger, eller utførte uventede handlinger som kunne være vanskelige for utførende personell å forstå. Det kunne også være utfordrende å identifisere hva som var årsaken til at systemet stoppet opp. Det kunne for flere operasjonsmodi være utfordrende å komme seg tilbake i automatisk modus når Novos eller multimaskin kontrollen for rørhåndtering feilet.
- I flere operasjoner kunne det være vanskelig å forutse eller forstå hvilke konsekvenser korrektiv kommando fra operatøren ville føre til.
- Systemets hensikt var å gi en bedre situasjonsforståelse til operatørene, imidlertid opplevde operatører at systemene bidro til å skape en opplevd distanse til det som skjedde i brønnen. Enkelte beskrev at de mistet "følelsen" eller at det kunne være vanskelig å "huske på" brønnen når man i større grad overvåket situasjonen i stedet for å aktivt utføre operasjon. Se også avvik 5.1.5 siste kulepunkt.
- Å "gå til manuell modus" ble av ledende og utførende personell fremhevet som løsningen man grep til når en var i tvil om systemet fungerte. Endring av modus ble også benyttet når systemet ikke gav tilstrekkelig ytelse for å nå KPIer. Dette medførte hyppige endringer mellom manuell og automatisk modus. Intervjuer viste at personell ombord i liten grad var bevisst på risiko knyttet til skiftning av modus. Dette var heller ikke inkludert i risikovurderinger eller HAZOP.
- I perioden fra Novos ble installert til tilsynet ble gjennomført var det gjort flere oppdateringer av systemet for å gjøre systemet lettere å bruke samt for å rette feil. Imidlertid førte dette - sammen med de beskrevne mangler i opplæringen (ref. avvik 5.1.7) og prosedyrer (ref. avvik 5.1.6) - til ytterligere problemer i samhandlingen mellom menneske og maskin.
Eksemplene viser at operatørene hadde vansker med å enkelt og hurtig kunne motta nødvendig informasjon og utføre nødvendige aksjoner. Flere operatører opplevde det som utfordrende å ha hensiktsmessig tillit til systemene slik at faren for feilhandlinger ble redusert.
Hjemmel
Overvåking og kontroll av alarmer (KCAD)
Beskrivelse
Alarmer i borekontrollsystemet ble ikke gitt slik at de kunne oppfattes og behandles på den tiden som kreves for sikker betjening. Omfanget av nye og stående alarmer var slik at det var krevende å forstå og håndtere avvik og faresituasjoner som oppstår.
Begrunnelse
I samtaler fremkom det at alarmbelastningen i borekabinen opplevdes som høy. KCAD gjennomfører årlige alarmanalyser. Vi har mottatt og gjennomgått siste alarmanalyse gjennomført på innretningen.
For alarmsystemet for Novos og Cyberbase observerte vi følgende:
- Utforming av alarmsystemet i Novos var ikke i henhold til normer KCAD viste til eller standarder referert i regelverket.
- På befaring observerte vi at det var et høyt antall alarmer aktive på Novos, som hadde vært aktive i lang tid uten å bli kvittert ut.
- Tredjeparts applikasjoner utviklet av andre leverandører som kunne installeres på Novos, hadde ikke tilgang til Novos alarmsystemet. De kunne derfor ikke varsle operatør om avvik eller feil som hadde betydning for sikkerheten. For å få varsel om dette var operatøren avhengig av å få muntlig beskjed fra operasjonssenter på land via telefon.
For oppfølging av alarmer i borekabin observerte vi følgende:
- KCAD gjennomførte den årlige alarmanalysen ved å gjøre et uttrekk over en ukes belastning. Det var ikke beskrevet i ytelsesstandarden om innretningen skulle være i boreoperasjoner når analysen ble gjennomført. Det kunne derfor ikke dokumenteres at datagrunnlaget for analysen reflekterte de ulike operasjoner for innretningen enkeltvis eller samlet.
- Resultatet fra alarmanalysen viste at det var flere stående alarmer enn akseptkriteriet. Analysen tok ikke hensyn til alarmer fra alle systemer i borekabinen, og tok heller ikke hensyn til akseptkriteriet for peak alarmrater. Videre viste analysen totalt antall alarmer som ble gitt i borekabinen, men ikke belastning for hver operatør slik KCAD har formulert det i sin ytelsesstandard.
- Det var ikke gjennomført alarmrasjonaliseringstiltak etter at innretningen ble tatt i bruk.
Informasjon mottatt gjennom tilsynet viste derfor at det var svikt i utforming- og oppfølgingen av alarmsystemene, både for hvert enkelt system og for systemene samlet.
Hjemmel
Risikovurderinger og analyser (KCAD)
Beskrivelse
Det var mangler ved gjennomførte risikovurderinger. KCAD hadde ikke utført nødvendige analyser som skal sikre et forsvarlig arbeidsmiljø og gi beslutningsstøtte ved valg av tekniske, operasjonelle og organisatoriske løsninger ved installasjon og bruk av ADC teknologiene.
Bruken av ADC teknologier var ikke tilrettelagt ut fra en enkeltvis og samlet vurdering av akutte og langvarige påvirkninger fra ulike arbeidsmiljøfaktorer.
Begrunnelse
Det var betydelige mangler ved risikovurderinger gjennomført for enkelte systemer (Novos 2019, Wired Drillpipe (WDP) 2020 og Drilltronics 2022). I designverifikasjon gjennomført av DNV ble det blant annet forutsatt at det gjennomføres risikovurderinger som inkluderer operasjoner ved bruk av Novos, arbeidsprosedyrer, og samspill med sikkerhetssystemer slik at bruken av systemet foregikk sikkert. Imidlertid var det ikke gjennomført systematiske vurderinger, - enkeltvis og samlet, for å redusere menneskelig, operasjonelle og organisatorisk risikofaktorer.
Eksempler på dette var:
- Selskapet hadde ikke gjennomført human factors analyser eller andre analyser som belyste forhold knyttet til menneskelige og organisatoriske forhold som f.eks. oppgaveanalyse, HMI-utforming, funksjonsallokeringsanalyse og arbeidsbelastningsanalyse.
- Det var ikke gjort vurderinger av, eller etablert føringer for, hvor lenge utførende personell burde sitte i operatørstolen om gangen. Vi ble informert om at det var opp til den enkelte, og den enkeltes leder, å vurdere når det var behov for avlastning. Hvor lenge personell ble sittende i operatørstolen var avhengig av aktiviteter om bord, samt tilgjengelige kompetent personell til å avløse.
- Arbeidsbelastning for borer var identifisert som risiko som kunne medføre menneskelig feilhandling. Imidlertid, viste intervjuer og dokumentgjennomgang at dette ikke var systematisk fulgt opp de siste 3 årene. For eksempel:
- Flere identifiserte risikoforhold knyttet til operasjon, der tiltak var utforming av arbeidsprosesser, arbeidsprosedyrer og instrukser var mangelfullt lukket, uten at effekten var evaluert - se også avvik 5.1.6.
- Tiltak 7 om økt arbeidsbelastning var lukket med referanse til gjenbruk av konfigurasjonsskjema og en HMI analyse som var planlagt utført i q4 2022.
- Tiltak 8 om å utføre HF analyse (ref avvik 5.1.4) var kansellert.
- Tiltak 10 om overgang fra automatisk til manuell modus var kansellert
Arbeidsbelastning ble også belyst som tema i intervjuer. Flere opplevde at det ble drevet produktutvikling samtidig med operasjon. Dette ble forklart å være belastende og at det kunne svekke oppmerksomhet på primær operasjon. For å avbøte dette lokalt var det i perioder nødvendig å gjøre skjermingstiltak for borer.
- Hazop for Wired Drillpipe (WDP) og risikovurdering for Drilltronics redegjorde i mindre grad for forhold knyttet til operasjonell risiko og menneskelige faktorer. For eksempel, beskrev hazopen for WDP tekniske feilmodi der konsekvens i hovedsak er beskrevet som bortfall av kommunikasjon. Data fra WDP omsettes primært til beslutningstøtte for borer fra operasjonssenter på land. Operasjonelle risikomomenter knyttet til konsekvenser av bortfall, irregularitet i datakvalitet, eller organisering og samhandling knyttet til bruk av dataene og beslutningstøtte var ikke vurdert i hazopen og riskovurderingen.
- Det var mangelfulle analyser av alarmsystemet – som beskrevet i avvik 5.1.3
- Det var avvik mellom Hazop for Novos sitt formål og resultat. Hazopens formål om å «å identifisere nye farer, usikkerheter og utfordringer som følge av at systemet Novos blir en integrert del av borekontrollsystemet sammen med det eksisterende systemet Cyberbase» ble derfor ikke tilstrekkelig ivaretatt, men snarere endret til å omhandle tilrettelegging for effektiv innfasing.
Hazopens formål var beskrevet å være: Operasjonelle risikofaktorer, menneskelige faktorer og menneske-maskin-grensesnitt.
I sammendraget over de viktigste funnene ble imidlertid følgende beskrevet som de viktigste anbefaling fra hazopen: «Etablere et nært og forpliktende samarbeid mellom Equinor, KCAD, NOV og evt. andre – med mål om å blant annet avklare og beskrive roller og ansvar for operering av Cyberbase Novos. Dernest bør dette samarbeidet tilrettelegge for en effektiv innfasing av Novos-systemet slik at potensialet til Cyberbase Novos som et integrert borekontrollsystem realiseres».
Hjemmel
Avviksbehandling (KCAD)
Beskrivelse
Identifisert avvik var mangelfullt lukket, effekten av korrigerende tiltak var ikke evaluert.
Begrunnelse
Avvik knyttet til utforming av menneske-maskin-grensesnitt, var lukket uten gjennomførte tiltak og aksjoner. I designverifikasjon for Novos gjennomført av DNV i 2019 ble avvik knyttet til utforming av menneske maskin grensesnitt fremhevet og KCAD hadde registrert et avvik på dette. Avviket var også behandlet i HAZOP av 2019. Avviket var lukket uten tiltak, etter kort tid, basert på lovnader fra leverandør om at avvikene over tid ville lukkes ved fremtidige oppgradering av Novos og med en henvisning til en CRIOP analyse gjennomført av NOV. CRIOP-analysens innhold var ikke kjent eller tilgjengelig for KCAD. Ved gjennomgang av oppdateringer gjort av Novos i perioden frem til nå relatert til avviket, var dette i hovedsak mindre grafiske justeringer som ikke var tilstrekkelige til å lukke avviket.
Hjemmel
Utforming av arbeidsprosesser og prosedyrer (KCAD)
Beskrivelse
KCAD hadde ikke sikret at prosedyrer knyttet til ADC systemer var utformet og ble brukt slik at de oppfylte sine tiltenkte funksjoner. Samspillet mellom menneskelige, teknologiske og organisatoriske faktorer var ikke ivaretatt i arbeidsprosessene.
Begrunnelse
Det var mangler i arbeidsprosedyrer som beskrev prosesser og instrukser for bruk av de nye teknologiene. Arbeidsprosedyrene og tilknyttede arbeidsprosesser beskrev ikke ivaretagelse av samspillet mellom menneskelige, teknologiske og organisatoriske faktorer.
- Oversendte onepagere, arbeidsprosedyrer og arbeidsinstrukser for bruk av Novos var i hovedsak sjekklister for oppsett av systemene før bruk. De beskrev ikke hva som var krevd av operatøren etter igangsettelse av systemet, eksempelvis når det kom til overvåking og kontroll. Flere av disse var dokumenter uten revisjons- og internkontroll.
- Arbeidsprosessene beskrev ikke samhandling og grensesnitt mellom ulike roller og funksjoner, eksempelvis samhandling med ulike operasjonsstøttesenter på land.
- I intervjuer fremkom det at instruksjoner for bruk av systemene etter endringer og mindre oppgradering i systemene som påvirket arbeidsprosessene ble overført til andre skift uten at arbeidsprosedyrer ble oppdatert.
Kvaliteten, anvendelighet og systematikk i oversendte arbeidsprosedyrer, erfaringsoverføringstiltak, one-pagere og hand-over var derfor mangelfull.
Hjemmel
Kompetanse og opplæring (KCAD)
Beskrivelse
KCAD hadde ikke sikret at personell på Askepott hadde den kompetansen som er nødvendig for å bruke ADC-systemene i henhold til helse-, miljø og sikkerhetslovgivningen.
Begrunnelse
Gjennom tilsynet fremkom det at opplæringen for Novos var mangelfull. Kursene som ble gitt var uferdige og ikke dekkende. Opplæringen som ble gitt om bord var i stor grad basert på støtte til problemløsning på en «sak til sak»- basis. Opplæringen ble beskrevet som lite systematisk, og det manglet kriterier for både ferdighetsnivå og når opplæring var ansett som gjennomført. Dette medførte at ansatte ikke var blitt istandsatt til å operere systemene selvstendig og som tiltenkt. En var avhengig av støtte fra opplæringspersonell via digitale samhandlingstjenester når systemene skulle settes opp og brukes.
Eksempler på dette var:
- Personell som ikke var en del av bemanningen når innretningen var ny, eller systemene ble installert - fikk i liten grad planlagt og systematisk praktisk opplæring og trening, f.eks. simulatortrening. Det var heller ikke etablert krav til at slike kurs skulle være gjennomført før systemene ble tatt i bruk.
- På tidspunktet der Novos kursene ble gjennomført var ikke teknologien og brukergrensesnittet ferdig utviklet og systemene fungerte ikke som tiltenkt. Videre ble vi fortalt at kursmateriellet også fremstod som uferdig, og ikke var tilstrekkelige relevant for hvordan systemene fungerte når man senere møtte dem i praksis på innretningen.
- Det kunne gå lang tid mellom operasjoner der systemene ble brukt. Dette bidrog til at utførende personell ikke fikk opprettholdt ferdigheter knyttet til bruk av ADC systemene. Det var ikke planmessig og systematisk lagt til rette for ferdighetstrening som kompenserte for dette.
- I perioden fra systemene ble installert til i dag var det implementert flere oppdateringer, av disse flere som medførte endringer i funksjon og menneske-maskin grensesnitt. Opplæring og erfaringsoverføring knyttet til oppdateringer av systemet var mangelfull, ref. avvik 5.1.6
- Av ledende personell ble vi forklart at opplæring og trening i stor grad skulle dekkes gjennom praktisk arbeidstrening og KCADs egenerklæringssystem. Egenerklæringssystemet inneholdt ikke konkrete kriterier og ferdighetsnivå for bruk av ulike ADC- systemer og var derfor mangelfullt.
Manglende trening og opplæring bidro til at personell om bord i liten grad hadde kjennskap til automasjonsrisiko og hvordan dette kunne påvirke sikkerheten i operasjonene direkte eller indirekte.
Hjemmel