GRUNNLEGGENDE: Svikt i it-systemene som overvåker sikkerhetskritiske funksjoner kan være den grunnleggende årsaken til utblåsningen på Deepwater Horizon. Bildet er fra en riggen som boret avlastningsbrønnen etter utblåsningen. (Bilde: Gerald Herbert)
Doktorgradsstipendiat Jon Espen Skogdalen ved Universitetet i Stavanger har analysert svikt i sikkerhetskritiske dataystemer på riggen Deepwater Horizon. (Bilde: UiS)

Transoceans rigg full av datafeil

En faggruppe med norsk deltakelse har avdekket fatale feil på it-systemene på Deepwater Horizon før utblåsningen.

  • IT

Datafrys og blå skjermer var hverdagen for boremannskapet på oljeriggen Deepwater Horizon i flere måneder før det smalt i våres.

Det kommer frem i forklaringer som mannskapet har gitt den amerikanske kystvakten og det amerikanske petroleumstilsynet, Bureau of Ocean Energy Management, Regulation and Enforcement. Teknisk Ukeblad har fått tilgang til utdrag av disse forklaringene.

Ikke bare i Mexicogolfen: Problem også på norsk sokkel

NTNU-eksperter: – Forventer tett vedlikehold

Feil og mangler

En ekspertgruppe på risikohåndtering ledet av University of California, Berkeley, har analysert opplysningene og kommet frem til at omfattende feil og mangler ved it-systemene kan ha bidratt til ulykken.

Doktorgradsstipendiat i risikoanalyse Jon Espen Skogdalen ved Universitetet i Stavanger ble i juni tatt inn i denne ekspertgruppen.

Obama

Den gransker "Deepwater Horizon"-ulykken og rapporterer til Graham-Reilly Commission som er nedsatt av president Barack Obama.

En av USAs mest erfarne ulykkesgranskere, Dr. Robert Bea, leder gruppen på 50 forskere fra hele verden.

Bea har tidligere gransket redningsarbeidet etter orkanen Katrina, katastrofen med romfergen Colombia og over 20 ulykker på offshore-rigger.

Tekniske feil

Fram til i dag har granskningsgruppen pekt på ulike tekniske feil bak ulykken i Mexicogulfen. Blant annet ufullstendig sementdesign og for dårlig kvalitetssikring og kvalitetskontroll i kritiske seksjoner av brønnen.

Gruppen har også kritisert prosedyrer og beslutninger hos operatøren og riggselskapet.

Kritisk

Nå har den i tillegg kommet fram til at sikkerhetskritiske it-systemer som ble brukt på Deepwater Horizon var fulle av feil.

Og feilene ble ikke forstått av mannskapet.

Ekspertgruppen presenterte sine funn for amerikanske Ptil og etatens direktør Michael Bromwich fredag.

Svikt

Her trakk Skogdalen frem flere tilfeller av datasvikt som kan ha bidratt til ulykken:

  • Boreoperatørens skjermer gikk i blått. Dette skjedde så ofte at fenomenet fikk betegnelsen ”screen of death”.
  • Programvare stoppet opp til stadighet, slik at datamaskinen frøs.
  • Mannskapet hadde manglende kontroll med utkoblinger og såkalte overbroinger av brann- og gassvarslingssystemet.
  • Ved et tilfelle opplevde mannskapet såkalte "kick" eller "brønnspark" på grunn av datasvikt.

Et brønnspark innebærer en ustabilitet i brønnen som følge av at den tar inn gass, olje eller vann. Dersom barrierene svikter, kan brønnspark føre til utblåsning.

Avhengig av it

Deepwater Horizon var en såkalt femtegenerasjonsrigg, det vil si topp moderne og helt avhengig av sikkerhetskritiske it-baserte kontrollsystemer.

I forbindelse med ulykken sviktet disse systemene helt eller delvis, ifølge ekspertgruppens rapport til det amerikanske petroleumstilsynet.

Det dreier seg om blant annet Emergency Disconnect System (EDS), Blow-out Preventor (BOP), brann- og gassvarslingssystemet og Power Managment-systemet (PMS).

Stort problem

Feil med programvaren i slike kritiske systemer er et stort problem, ifølge Skogdalen.

– De er i mange tilfeller kortvarige, for eksempel en skjerm som låser seg i noen sekunder eller at systemet må restartes. I utgangspunktet ikke kritisk, men et varsel om at det er noe alvorlig galt. Resultatet er at de sikkerhetskritiske systemene er ustabile, upålitelige og med ukjente fellesfeil, sier eksperten til Teknisk Ukeblad.

Meldes ikke videre

– Feil må bli rapportert for at de skal kunne bli fikset. Antagelig blir mange feil aldri rapportert fordi de ikke blir forstått, mener Skogdalen.

Han legger til at samhandling mellom systemer kan være så komplekse at selv de få ekspertene som har detaljkunnskap, kan ha problemer med å forutse alle mulige hendelser.

Resultatet er mangelfull kompetanse til å ta de rette beslutningene når det oppstår feil.

Misbruk

Mange sikkerhetskritiske systemer er såkalt ”fail-safe”, det vil si at de skal gå tilbake til trygg tilstand hvis de svikter.

– Uttrykket fail safe misbrukes, sier Skogdalen og viser til at BOP-en på Deepwater Horizon var såkalt ”fail-safe”.

– Det finnes ingen fail-safe for mange av de sikkerhetskritske systemene. Enten fungerer systemet som det skal eller så oppstår det en farlig situasjon, understreker eksperten.

Det er for tidlig å konkludere med at datasvikt forårsaket riggulykken.

– Det vi foreløpig har kommet fram til er at feil i programvare ikke kan utelukkes som en av rotårsakene til ulykken. Mer arbeid er nøvendig før vi kan trekke konklusjoner. Det vi vet er at de sikkerhetskritiske systemene ikke fungerte, skriver Skogdalen i en e-post til Teknisk Ukeblad.

Mer om saken:

Ikke bare i Mexicogolfen: Problem også på norsk sokkel

NTNU-eksperter: – Forventer tett vedlikehold