Securing Safety in the Norwegian Petroleum Industry with Digital Twins

Abstract

Norsk petroleumindustri er underlagt strenge krav til kontroll og sikkerhet. Dette skyldes at hendelser kan ha konsekvenser som tap av utstyr, miljømessig og økonomisk forringelse og tap av liv. Informasjons Teknologi (IT)/Operasjonell Teknologi (OT)-konvergens og sofistikerte cyberangrep gjør sektoren mer sårbar for cybertrusler. Petroleumstilsynet (PSA) spesifiserer at et høyt sikkerhetsnivå må prioriteres ved introduksjon av ny teknologi, noe som motiverer begrepet cybersikker sikkerhet (secure safety). Digital Tvilling er en ny teknologi innen Industri 4.0 (I4.0), som muliggjør Maskin-til-Maskin (M2M) kommunikasjon, analyse og visualisering av fysiske og digitale eiendeler. I norsk petroleumsnæring har Equinor implementert teknologien hovedsakelig for prediktivt vedlikehold. Imidlertid gjør disse egenskapene også Digital Tvilling til et interessant forskningsområde innen cybersikkerhet, og kan tenkes å adressere nåværende utfordringer angående eldre systemer og IT/OT-konvergens. For å følge PSA-spesifikasjonene må man sørge for at implementeringen av nye teknologier ikke går på bekostning av cybersikkerheten og følgelig sikkerheten (safety).

Dette arbeidet utforsker hvordan norsk petroleum-industri kan dra nytte av den Digitale Tvillingen i en cybersikkerhetskontekst, samtidig som den oppfyller PSA-spesifikasjonene. En kvalitativ forskningstilnærming bestående av intervjuer og litteratur studier på temaene Digital Twin, cybersikkerhet og barrierehåndtering brukes til å analysere og svare på forskningsspørsmålene. Målet med arbeidet er å identifisere mulige bruksområder og utfordringer for teknologien og diskutere disse i sammenheng med barrierehåndtering. Denne konteksten har til hensikt å understreke konvergensen mellom cybersikkerhet og sikkerhet.

Vi har utledet fire anbefalte bruksområder for en innledende implementering av Digital Twin for cybersikkerhet. Disse funnene inkluderer systemstatusovervåking, sikkerhetsoppdatering, inntrengningsdeteksjon, og opplæring og bevissthet. Både tekniske og kulturelle utfordringer og begrensninger knyttet til teknologien ble identifisert. Disse involverer eldre systemer, datakvalitet- og flaskehalser, mangel på standardisering og bevissthet, og cyberkultur. Å analysere bruksområder og utfordringer på de øvre modenhetsnivåene til Digital Twin og utforme undermodeller for et Asset Administration Shell (AAS) presenterer et nytt perspektiv for fremtidig arbeid og overveielser.

The Norwegian petroleum industry is subject to stringent requirements for control and safety. This is due to incidents with consequences spanning loss of equipment, environmental and financial degradation, and loss of life. Information Technology (IT)/Operational Technology (OT) convergence and sophisticated cyber attacks make the sector more vulnerable to cyber threats. The Norwegian Petroleum Safety Authority (PSA) implies that a high level of safety must be a priority when introducing new technology, motivating the term secure safety. The Digital Twin is an emerging technology in Industry 4.0 (I4.0), facilitating Machine-toMachine (M2M) communication, analysis, and visualization of physical and digital assets. In the Norwegian petroleum industry, Equinor has implemented the Digital Twin mainly for predictive maintenance. However, these characteristics also make the Digital Twin an interesting research area as an asset for cybersecurity, addressing current challenges regarding legacy systems and IT/OT convergence. To follow the PSA requirements, one must ensure that the implementation of new technologies is not compromising security and, consequently, safety.

This work explores how the Norwegian Oil&Gas industry can benefit from the Digital Twin in a cybersecurity context while still addressing secure safety. A qualitative research approach involving interviews and literature reviews on the topics of Digital Twin, cybersecurity, and barrier management is used to analyse and answer the research questions. The aim of the work is to identify possible use areas and challenges for the technology and to discuss these in the context of barrier management. This context intends to emphasize the convergence between safety and security.

We have derived four recommended use areas for an initial implementation of the Digital Twin for cybersecurity. These findings includes system status monitoring, security patching, intrusion detection, and training and awareness. Both technical and cultural challenges and limitations regarding the technology were identified. These involves legacy systems, data quality- and bottleneck, lack of standardization and awareness, and cyber culture. Analyzing use areas and challenges at the upper maturity levels of the Digital Twin and designing sub models for an Asset Administration Shell (AAS) presents a new perspective for future work and considerations.