Resultatet bygger på vår vurdering av Equinor sine presentasjoner gitt i tilsynet, informasjon fra intervjuer og i møter med utvalgt personell, befaring i anlegget, gjennomgang i system for vedlikeholdsstyring og mottatt dokumentasjon. I tilsynet har vi i hovedsak fulgt opp sikkerhetsfunksjoner knyttet til overtrykksbeskyttelse i separasjonstoget. Vi har sett eksempler på at forutsetninger fra prosjekt- og designfase ikke var ivaretatt i driftsfasen. Dette omfatter mangelfull oppfølging av sikkerhetsfunksjoner fra opprinnelig design, samt instrumenterte sikkerhetsfunksjoner etablert i forbindelse med modifikasjoner som har lagt IEC 61511 til grunn, se avvik 5.1.1 og 5.1.2. Det er eksempler på sikkerhetsfunksjoner som har feil klassifisering og dermed ikke er knyttet til rett vedlikeholdskonsept, se avvik 5.1.4 og 5.1.5. I tilsynet ble vi informert om at forutsetninger for enkelte ytelseskrav har endret seg fra opprinnelig design i dagens driftssituasjon. Dette skyldes blant annet at reservoartrykket fra de brønnene som er i drift per nå er lavere. Vi ser at det er mangler/manglende samsvar mellom dokumenter som beskriver etablerte sikkerhetsfunksjoner og ytelseskrav, noe som gjør det utfordrende å ha en oversikt over hvilke krav som er gjeldende per i dag, samt å skaffe seg tilstrekkelig underlag for å kunne vurdere konsekvens ved feil. Se avvik 5.1.6. Under tilsynet ble vi informert om manglende oppdatering av system- og operasjonsdokumentasjon (SO-dokumentasjon). Vi ble informert om at det nå er nedsatt en gruppe som skal jobbe med oppdatering av SO-dokumentasjonen på Kvitebjørn. Ved tidspunktet for tilsynet var dette arbeidet ikke startet, men det var startet et arbeid med å etablere en gruppe og et mandat for oppdatering av dokumentasjonen. Under tilsynet ble det påvist avvik innenfor følgende områder: Mangelfull oppfølging av instrumenterte sikkerhetsfunksjoner Mangler ved overtrykksbeskyttelse Mangler ved seksjonalisering av brannområder Mangler i vedlikeholdsprogram Mangler ved klassifisering Mangler ved uavhengighet i nødavstengningssystemet Mangler ved styrende og teknisk driftsdokumentasjon Følgende forbedringspunkt ble identifisert: Mangelfull merking i felt
Equinor – Kvitebjørn - prosessikkerhet
Choose deviation
Mangelfull oppfølging av instrumenterte sikkerhetsfunksjoner
Description
Equinor hadde ikke sikret at integritetskravene for instrumenterte sikkerhetsfunksjoner om bord på Kvitebjørn ble fulgt opp og kunne bidra til å identifisere tekniske, operasjonelle og organisatoriske svakheter, feil og mangler.
Grounds
Equinor hadde ikke etablert et system for å følge opp at integritetskravene til alle instrumenterte sikkerhetsfunksjoner, identifisert i SRS, ble ivaretatt under drift på Kvitebjørn.
I 2014 ble det utført et modifikasjonsprosjekt (Pre-compression project), hvor brønnstrømmen fra Valemon ble tilknyttet Kvitebjørn. IEC 61511 ble lagt til grunn for de instrumenterte sikkerhetsfunksjonene. I prosjektet ble det laget en SRS som identifiserte og satte krav til de nye instrumenterte sikkerhetsfunksjonene.
I modifikasjonsprosjektet ble det identifisert 16 nye lokale instrumenterte sikkerhetsfunksjoner. Under tilsynet så vi nærmere på tre av disse funksjonene, ref. id. 4.1.1, 4.1.2 og 4.1.7 (stikkprøver).
Følgende avvik ble identifisert for disse funksjonene:
- 4.1.1 - PAHH 1. trinns separator
- I den definerte funksjonen er det tatt høyde for stenging av enten master- eller vingventil (en av to). 16 ventiltrær (pluss nedstengning av innløp fra Valemon) inngår i funksjonen. I sikkerhetsapplikasjonen er det ikke lagt inn logikk for å kunne stenge masterventil. Integriteten til funksjonen i drift avviker dermed stort fra integritetskravet satt til funksjonen i design.
- Generiske tall for Failure Fraction (FF) er lagt til grunn for master- og vingventil i funksjonen. Feilraten som benyttes er høyere enn hva det totale integritetskravet til funksjonen tillater. FF tar bare høyde for elementer og ikke funksjon.
- Safety Critical Element (SCE)-rapporten viste høyere feilrater for master- og vingventiler, enn antagelsene lagt til grunn i det generiske tallet.
- 4.1.2 - LALL 1. trinns pre-kompressor væskeutskiller A/B og 4.1.7 - LALL væskeutskiller gasseksport
- Det er satt et 6-månedlig testintervall for PST, LST, TST og PDST transmittere som inngår i funksjonen. Det er kun LST som testes, men den testes årlig og ikke halvårlig som SRS-en krever.
- PST, TST og PDST er ikke definert som sikkerhetskritiske element og ligger heller ikke inne med tilhørende testprogram.
Legal authority
Mangler ved overtrykksbeskyttelse
Description
Equinor hadde ikke sikret at det var dokumentert at prosessanlegget på Kvitebjørn ivaretok kravet om to uavhengige sikringsnivåer mot overtrykk for definerte overtrykksscenarier.
Equinor hadde ikke sikret at aktiviteter for oppfølging av ytelse for enkelte sikkerhetsfunksjoner knyttet til overtrykkssikring sikret at sviktmodi som var under utvikling ble identifisert.
Grounds
Under tilsynet ble det identifisert mangler ved etableringen av ytelseskrav, samt mangler ved oppfølging av ytelseskrav for overtrykkssikring. Dette inkluderer:
- Krav til responstid for primærbarriere må defineres for å sikre at det er et uavhengig sikringsnivå. Det var ikke etablert ytelseskrav til PSD-responstid på Kvitebjørn utover de generiske kravene på 2s/tomme. Det var ikke vurdert om de generiske kravene er tilstrekkelig for å ivareta funksjonen.
- Gas blowby fra 2. trinns separator til 3. trinns separator er dimensjonerende for lavtrykksfakkel. I etterkant av opprinnelig design er det gjennomført en endring som innebærer økt Cv på nivåkontrollventil på oljeutløpet fra 2. trinns separator. I fakkelrapport er det beskrevet et behov for å redusere PAHH settrykk på 2.trinns separator for å håndtere gas blowby med økt Cv. Dette settrykket er ikke korrigert.
- Ytelseskrav for kapasitet på enkelte PSV-er er basert på at tilbakeslagsventiler begrenser tilbakestrømning fra nedstrøms segment med høyere trykk. Gjennomgang i vedlikeholdsprogram viste eksempler på tilbakeslagsventiler som har en slik funksjon, men som ikke er definert som et sikkerhetskritisk element og som dermed heller ikke følges opp med lekkasjetest. Dette gjelder bla. tilbakeslagsventiler nedstrøms eksportpumpene og pumper på væskeutløp fra væskeutskillere i fakkelsystemet (se også avvik 5.1.4 og 5.1.5).
- I forbindelse med årlig NAS-test skal det iht. arbeidsordre også verifiseres at PAS-solenoiden fungerer som tiltenkt. Gjennomgang i vedlikeholdsprogram viste at tilbakemeldingen fra test ikke tydelig dokumenterte hvilke solenoider som var verifisert.
- Se også avvik 5.1.1 som identifiserer funksjoner for overtrykksbeskyttelse
Legal authority
Mangler ved seksjonalisering av brannområdene
Description
Equinor hadde ikke sikret at det var installert tilstrekkelig antall nødavstengningsventiler i prosessanlegget.
Grounds
Det skal installeres tilstrekkelig antall seksjoneringsventiler i prosessanlegget for å begrense brannbelastningen slik at prosessbranner ikke kan eskalere ut av brannområdet.
På Kvitebjørn er vannutløpsventilene på 1. og 3. trinns separatorene definert som XSV-er (PAS-ventiler). Dokumentasjon mottatt i tilsynet viste at tettheten til disse ventilene med hensyn til internlekkasje er en forutsetning i definisjonen av «worst credible process fire» for de respektive områdene, og regelverket krever derfor at disse defineres som NAS-ventiler. Slik situasjonen er i dag, er man også avhengig av PAS for å oppnå seksjonalisering av brannområdene.
I befaringen så vi også at XSV-ene ikke var plassert så nærme separatorene som mulig, eller at antall lekkasjepunkter mellom separatorene og XSV-ene var minimert, slik som regelverket gjennom tilvist standard, NORSOK S-001, krever. I ett tilfelle så vi at manuell tie-in–ventil (20V0204) var plassert mellom separator og XSV. Denne var fremdeles installert i anlegget, tross at note 57 på P&ID C193-NA-P-XB-20010-01 sier at denne skal «fjernes ved neste stans». Det har vært flere stanser på Kvitebjørn etter at ventilen ble installert.
Det var åpne aksjoner fra TTS-funn fra 2023 knyttet til dette, og vi ble informert om at XSV-ene er reklassifisert og nå inngår i vedlikeholdsprogram tilsvarende det for NAS-ventiler, som inkluderer lekkasjetest. Det er også etablert en dispensasjon for forholdet, med gyldighet fra 3. desember 2025, samt en Thelma-case for korrigering.
Legal authority
Mangler i vedlikeholdsprogram
Description
Equinor hadde ikke sikret at alle aktiviteter for overvåking av ytelse og teknisk tilstand, som sikrer at sviktmodi som er under utvikling eller har inntrådt, blir identifisert og korrigert.
Grounds
I forbindelse med gjennomgang i system så vi mangler knyttet til utforming av arbeidsordretekster, samt nødvendige sikkerhetsfunksjoner som hadde mangelfullt vedlikeholdsprogram. I tilsynet så vi:
- Arbeidsordretekster som ikke hadde entydige og klare beskrivelser av vedlikeholdsoppgaven. Det var ved flere anledninger oppgaver som refererer til styringssystemet ARIS (det kan være flere underpunkter i ARIS og det er ikke entydig hva som skal utføres). Flere arbeidsordretekster hadde blitt endret, men endringen tar ikke ut det som ikke var relevant å utføre. Et eksempel på dette er arbeidsordren for resertifisering av PSV-er på innløpsseparatoren.
- Eksempler på sikkerhetsfunksjoner som hadde mangelfullt vedlikeholdsprogram, dette gjelder blant annet enkelte tilbakeslagsventiler og transmittere. Se avvik 5.1.1 og 5.1.2.
Legal authority
Mangler ved klassifisering
Description
Equinor hadde ikke sikret at alle sikkerhetsfunksjoner var rett klassifisert med hensyn til konsekvensene for helse, miljø og sikkerhet av potensielle funksjonsfeil.
Grounds
Under verifiseringen i Equinor sitt system for vedlikeholdsstyring (SAP) og analyseverktøy for klassifiseringen (Kamfer) så vi flere hovedfunksjoner som ikke hadde beskrivelse av hoved- og subfunksjon i Kamfer. Det var dermed ikke mulig å se hva som var lagt til grunn i analysen.
Flere utstyrstag (tilbakeslagsventiler) var definert som sikkerhetskritisk i SAP, men ikke i analysen i Kamfer. Equinor kunne ikke forklare hvorfor det var ulikt.
Flere tilbakeslagsventiler hadde ikke beskrevet de faktiske funksjonene ventilene skal ivareta. Funksjonsbeskrivelsen i Kamfer viser da ikke reell funksjon.
I tilsynet så vi også eksempler på utstyrskomponenter som inngår i sikkerhetsfunksjoner i PAS, men som ikke er klassifisert som kritiske for sikkerheten, og var følgelig ikke tilknyttet vedlikeholdskonsept som gjenspeiler kritikaliteten. Dette gjelder endebrytere i fakkelsystemet som er installert på manuelle ventiler, og hvor utgangssignalene (ZSH) normalt bruker kontrollogikken for nivåstyring av fakkelpumper. Signalene inngår også i initieringen av PSD-nivåer 5.13 og 5.19
Legal authority
Mangler ved uavhengighet i nødavstengningssystemet
Description
Equinor hadde ikke sikret at nødavstengningssystemet var tilstrekkelig uavhengig av andre systemer.
Grounds
Kravet om uavhengighet i innretningsforskriftens § 33 om nødavstengningssystem innebærer at nødavstengningssystemet skal komme i tillegg til systemer for styring og kontroll og andre sikkerhetssystemer, jf. veiledning til bestemmelsen. Systemet skal ikke inneholde andre sikkerhetsfunksjoner enn selve nødavstengningsfunksjonene.
Avviket gjelder følgende prosessikringsfunksjoner som er realisert i nødavstengningssystemet:
- Overtrykksbeskyttelse av høytrykks fakkeldunk (PAHH)
- Temperatursikring av eksportrørledningene for gass og kondensat (TAHH)
Legal authority
Mangler ved styrende og teknisk driftsdokumentasjon
Description
Equinor hadde ikke sikret at styrende dokumentasjon og tekniske driftsdokumenter forelå i oppdatert versjon.
Grounds
Sentrale dokumenter som skal dokumentere barrierefunksjoner innen prosessikring hadde ikke blitt oppdatert ved endringer i driftsforhold eller ved modifikasjoner som påvirker funksjonene fra opprinnelig design. Dette gjør det vanskelig å skaffe seg oversikt over de faktiske funksjonene, hvilke scenarioer som er dimensjonerende, samt hvilke krav som settes til komponentene som inngår i disse.
Dette inkluderer blant annet:
- Safety analysis tables (SAT):
- Det er etablert separate SAT-dokumenter for de forskjellige modifikasjonsprosjektene, uten at det finnes kryssreferanse mellom disse. Det er derfor vanskelig å få fullstendig oversikt. I tillegg så vi at SAT-tabellene for prekompresjonsprosjektet kun er utgitt som «issued for information», og ikke som «as-built».
- I tilfeller hvor eksisterende barrierer har blitt endret som følger av nye prosjekter, er dette ikke oppdatert i opprinnelige SAT-tabeller, eksempelvis overtrykksbeskyttelse knyttet til brenngasskjøler.
- Fakkelrapport:
- Endringer i fakkelsystemet som følger av enkelte modifikasjoner er ikke tilstrekkelig inkorporert i rapp Det er i enkelte deler av rapportteksten angitt at endringer som en konsekvens av prosjekt skal markeres i resultattabeller, men det er ingen markeringer i rapporten som synliggjør dette.
- Functional Safety Management Plan (FSMP):
- Kvitebjørn kunne ikke vise til en Functional Safety Management Plan (FSMP), eller tilsvarende, utover den generiske tilnærmingen til anbefalingsdokumentet på konsernnivå (GL0114 – Safety Critical Failures). FSMP-en er ment å beskrive den overordnede prosessen for funksjonell sikkerhetsstyring, aktiviteter og ansvarlige gjennom hele livssyklusen, for de instrumenterte sikkerhetssystemene om bord på innretningen, ref. ON 070, hvilket inkluderer aktiviteter knyttet til verifikasjoner av forutsetninger og krav fra SRS og tilhørende samsvarsrapport. Disse dokumentene beskriver klare forutsetninger fra design som må etterleves i drift for at anleggets integritet skal ivaretas på det nivået som er nødvendig. Dokumentene er ikke ansett av Kvitebjørn-organisasjonen for å være styrende dokumentasjon, og er derfor ikke brukt i driftsfasen.
Legal authority
Mangelfull merking i felt
Description
Equinor synes ikke å ha sikret at merking av manuelle ventiler i felt legger til rette for en sikker drift og et forsvarlig vedlikehold.
Grounds
Under befaring om bord observerte vi mangler knyttet til merking av manuelle ventiler. Mange ventiler manglet tagskilt eller hadde uleselig skilt.