Statoil - gransking etter hendelse på Gullfaks B

Mangelfull testing av barriereventiler identifisert i isoleringsplan

Beskrivelse

Mangelfull testing av barriereventiler, hydraulisk vingventil (HVV) ble ikke testet og test av hydraulisk hovedventil (HHV) ble utført mot feil akseptkriterier.

Begrunnelse

APOS (Arbeids Prosess Orientert Styring) er Statoil verktøy for å styre arbeidsprosessene – også på Gullfaks B. K-27019 er en del av APOS som omhandler akseptkriterier mot ytre miljø og ved arbeid nedstrøms brønnbarrierene. Ved arbeids nedstrøms brønnbarrierene gjelder krav til dobbel sikring med to (2) barriereelementer i serie hvor det er sikret trykkløst imellom barriereelementene. WR0256 beskriver lekkasjekriteriene for brønnventiler i normal drift.

Isoleringsplanen har synliggjort at HHV inngår som barriereventil i arbeidspakken og at denne ventilen skal lekkasjetestes. Lekkasjetesten som utføres av HHV måles imidlertid mot akseptkriterier for intern lekkasjerate som benyttes for brønnbarrierer i normal drift. Når anlegget skal åpnes mot atmosfære nedstrøms brønnbarrierer er akseptkriteriet for intern lekkasje null (0).

Det er påvist mangler på etterlevelse av krav til styring uttrykt i Statoils styrende dokumenter:

• HVV ble identifisert som barriereventil, men ble ikke testet, og det framgår ikke av isoleringsplanen at den skulle testes.
• Hydraulisk Hovedventil (HHV) ble ikke testet mot akseptkriterium gitt i K-27019 for intern lekkasje = null (0). Lekkasjetesten som ble utført av HHV ble derimot målt mot akseptkriterier for intern lekkasjerate som benyttes for brønnbarrierer i normal drift.
• HVV ble ikke bekreftet tett i forkant av testen for HHV, dette gir usikkerhet mht test av HHV. I WR0256 fremkommer at tester av HHV forutsetter at HVV er tett.
• Testen som ble gjennomført av HHV ble utført ved et differensialtrykk på kun 26 barg, men skulle minimum ha vært utført ved et differensialtrykk på 70 barg iht. Statoils prosedyre. Lekkasjekriteriene som Statoil benyttet for testen av HHV fremkommer i WR0256. Her fremkommer at i normal drift vil en trykkoppbygning på maksimalt 51 barg i løpet av 10 minutter, representere en akseptabel lekkasjerate gjennom HHV. Når differensialtrykket det ble testet mot kun var 26 barg, vil dette i praksis si at akseptkriteriet aldri vil kunne brytes.

Hjemmel

• Styringsforskriften § 13 - Arbeidsprosesser

  (sist endret: 01.01.2011)

Mangelfull planlegging og klarering av lekkasjetesting

Beskrivelse

Lekkasjetesting av anlegget ble ikke planlagt og utført på en måte som ivaretok krav og sikret forsvarlig gjennomføring av arbeidet.

Begrunnelse

Før tilbakestilling av anlegget er det krav i APOS til å lekkasjeteste flenser som har vært løsnet/åpnet. Følgende mangler er påvist knyttet til dette arbeidet:

• Det foreligger ingen prosedyre eller retningslinje som beskriver hvordan lekkasjetesting med injeksjonsvann skal utføres.
• Lekkasjetesting og tilbakestilling var ikke omtalt i isoleringsplanen.
• Normalt skulle dieselpumpen benyttes til lekkasjetestingen. På grunn av oppstått problem med trykkreguleringen kunne ikke diesel pumpen benyttes. Injeksjonsvann fra annen brønn ble planlagt brukt til lekkasjetesting i stedet. Endringen ble muntlig avklart med fagansvarlig prosesstekniker, men det ble ikke avklart tilkoplingspunkt for injeksjonsvannet.
• Valgt tilkoblingspunkt i krysset mellom HHV og VHVV medførte at en måtte åpne barriereelement som inngikk i opprinnelig isoleringsplan. Samtidig var anlegget åpent til atmosfære via 20mm stuss nedstrøms choken. Disse forhold innebar endring av forutsetninger og introduksjon av nye risikomomenter i forhold til opprinnelig arbeidstillatelse og isoleringsplan.

Gjennom intervjuer fremkom det at prosessteknikere i felt ”har frihet” til å åpne ”eksisterende barrierer” ved at det etableres nye barrierer. Det ble hevdet at man i denne forbindelse ikke nødvendigvis vil verifisere lekkasjetetthet til de nye barrierene. Det er vår vurdering at dersom lekkasjetesting utføres ”utenfor” opprinnelig isoleringsplanen, må isoleringsplanen oppdateres både for å sikre en god arbeidsprosess og at planlagt arbeid klareres sikkerhetsmessig før utføring.

Bruk av manuell hoved ventil (MHV) som barriereventil ved tilbakestilling av anlegget medførte ikke dobbel sikring med to (2) barriereelementer i serie hvor det er sikret trykkløst imellom barriereelementene. Trykkforhold mellom BSV og MHV ble ikke vurdert eller verifisert. MHV ble benyttet som barriereventil ved lekkasjetesting av flenser uten at den inngikk i opprinnelig isoleringsplan og uten at den ble testet mht intern lekkasjerate. Hadde denne ventilen blitt testet ville det blitt avdekket at ventilen hadde en svært høy lekkasjerate og et innestengt gassvolum mellom BSV og ventiltreet. (se også kapittel 5.1.5)

Hjemmel

• Aktivitetsforskriften § 24 - Prosedyrer

  (sist endret: 01.01.2011)

• Aktivitetsforskriften § 30 - Sikkerhetsmessing klarering av aktiviteter

  (sist endret: 01.01.2011)

• Styringsforskriften § 5 - Barrierer

  (sist endret: 01.01.2015)

• Styringsforskriften § 13 - Arbeidsprosesser

  (sist endret: 01.01.2011)

Mangelfull risikovurdering

Beskrivelse

Risiko relatert trykkoppbygning mellom BSV og HHV ble ikke identifisert eller vurdert ved planlegging og gjennomføringen av arbeidet. Risikovurdering knyttet til fortsettelse av samme type arbeid med strupeventiler etter hendelsen var mangelfull.  

Begrunnelse

Trykket mellom BSV og HHV hadde bygget seg opp til 85 barg i tidsrommet som gikk fra lekkasjetest av BSV frem til tidspunkt for lekkasjetesting og tilbakestilling av anlegget.

Risiko relatert dette forholdet var ikke kjent for de involverte i arbeidet med lekkasjetesting og tilbakestilling av anlegget.

Av skiftrapport for dagskift produksjon den 4.12. og 5.12 framgår det at det planlegges å gjennomføre chokeinspeksjon på B-25 mandag den 6.12 på tross av hendelsen på B-32. I intervju ble det opplyst at HVO måtte ta dette opp med direktør for GF for å få jobben utsatt.  

Hjemmel

• Aktivitetsforskriften § 29 - Planlegging

  (sist endret: 01.01.2011)

Lekkasje i manuell hovedventil (MHV)

Beskrivelse

Mangelfullt vedlikehold av MHV slik at det er en stor internlekkasje i denne.

Begrunnelse

MHV på brønn B-32 har hatt intern lekkasjerate som overstiger akseptkriteriet. Den høye lekkasjeraten ut til atmosfære kan bare forklares med at MHV har hatt en høy intern lekkasjerate. Statoil har ikke fulgt leverandørens anbefalte vedlikeholdsintervall (ref Statoils granskningsrapport).

Siste utførte test av MHV er datert 20.6.2010. Testen passerer akseptkriteriet som definert i APOS for brønnventiler i drift. Enkelte har i intervju opplyst at de kjente til at denne ventilen hadde en lekkasje før hendelsen.

Det er også opplyst at denne ventiltypen skal stenges helt på rattet, og så dreies en kvart tørn tilbake for å holde tett. Andre sier at for akkurat denne ventilen (MHV på B-32) er dette ikke tilfellet. Det blir også opplyst av enkelte at denne (B-32) må stenges med rørtang for å holde tett. Det er ikke en notifikasjon på dette. Problemet var ukjent for direkte involvert personell.

Denne brønnen har hatt mye problemer med avleiringer (scale). Dette har medført at en har hatt problemer med å få lekkasjetester på BSV som oppfyller akseptkriteriet. Dette kan være en del av årsaken til problemene med MHV.

Hjemmel

• Aktivitetsforskriften § 45 - Vedlikehold

  (sist endret: 01.01.2017)

• Aktivitetsforskriften § 47 - Vedlikeholdsprogram

  (sist endret: 01.01.2017)

Mangler ved nødavstengningssystemet

Beskrivelse

Deler av nødavstengningssystemet kan utilsiktet settes ut av funksjon på en måte som hindrer at nødavstengningsventiler stenger på signal, og som også innebærer at ventilene ikke kan gå til sikker tilstand dersom det oppstår feil.

Begrunnelse

• Systemet for styring og kontroll med brønnventiler er komplisert. Dette henger sammen med bl.a. åpningssekvenser og forutsetninger for ventiloperering, forskjellen på om hydraulikksystemet er i ”Wirelinemodus” eller ”Normalmodus” og de installerte nåleventilene i hydraulikksystemet. I sum kan denne kompleksitet øke sannsynligheten for menneskelig feilhandling. Dette bl.a. ved at de installerte nåleventiler på hydraulikklinjer til brønnventiler kan hindre både ordinær nødavstengning så vel som fail-safe funksjonen. Se Figur 12.
• Når brønnventiler er i ”Normalmodus” må nåleventilene alltid stå i åpen posisjon. Dersom nåleventil er stengt samtidig som tilknyttet nødavstengningsventil er åpen, vil det ikke være mulig å stenge nødavstengningsventilen fra verken kontrollrom eller via det automatiske nødavstengningssystemet. (Ventilposisjonene til nåleventilene er kun ”sikret” med bånd/borrelås).
• Nåleventiler installert på hydraulikklinjer til brønnventiler er ikke tegnet inn på P&Ids og ikke tag-merket. Granskningsgruppen har ikke verifisert hvorvidt det foreligger FV program for disse ventiler.
• Det er ikke noe tekst eller merking i felt som gir informasjon om at disse nåleventilene kan hindre at nødavstengningsventiler stenger på signal.
• Granskningsgruppen fikk opplyst av intervjuet personell ute på GFB at det også tidligere har vært hendelser tilknyttet hydraulikksystemet for styring og kontroll med brønnventiler, og at dette har hatt innvirkning på nødavstengningsfunksjonen til brønnventiler.
•  

Hjemmel

• Innretningsforskriften § 33 - Nødavstengningssystem

  (sist endret: 01.01.2018)

Manglende sikring av tilstrekkelig kapasitet og kompetanse

Beskrivelse

Det var ikke sikret tilstrekkelig kapasitet og kompetanse til planlegging og gjennomføring av tilbakestillingsarbeidet. Det er en stor arbeidsbelastning på enkelte stillinger og oppgavene og aktivitetsnivået står i misforhold med tilgjengelig kapasitet. Rollene til de involverte var ikke eksplisitt avklart.

Begrunnelse

Det ble i intervju av flere opplyst at arbeidet med å tilbakestille anlegget normalt skal utføres av to erfarne prosessteknikere og at fagansvarlig prosess også skal gå gjennom arbeidet sammen med de utførende før det det påbegynnes. Det var ikke to prosessteknikere som hadde anleggskjennskap og erfaring med å lede denne typen arbeid tilgjengelige da B-32 skulle tilbakestilles og fagansvarlig hadde heller ikke mulighet for å følge opp arbeidet i tilstrekkelig grad verken i planlegging eller utførelse.

Det fremkom gjennom samtaler at i dette tilfellet hadde fagansvarlig ikke tid til å gå gjennom jobben med utførende, slik at det bare ble en kort samtale om bruk av injeksjonsvann i stedet for dieselpumpen. Det ble ikke drøftet hvor vannet skulle koples på, eller hvilke ventiler som skulle åpnes eller lukkes, det vil si hvordan endringen påvirket barrieresituasjonen.

Den ene prosessteknikeren som utførte tilbakestillingen av anlegget er kjent med GFB. Han har imidlertid aldri tidligere hatt rollen med å lede dette arbeidet, men har deltatt under ledelse av en annen prosesstekniker. Den andre utførende var en erfaren prosesstekniker, men han var ny på GFB hvor han samlet hadde vært 16 døgn i løpet av tre turer (6 døgn/7 døgn/3 døgn) for å få anleggsspesifikk opplæring. Han hadde ennå ikke fått tildelt fadder som skulle ta seg av hans anleggsspesifikke opplæring.

Personellets kompetansenivå bestemmes ut fra en egenvurdering, her plasserer den enkelte seg inn i 4 kategorier, fra 0 som betyr ingen kompetanse, 1 noe kompetanse, 2 selvgående og 3 at man kan gi opplæring til andre. Det er ikke involvering av fagansvarlig i kvalitetssikring av denne egenvurdering. Systemet brukes til planlegging av personellsammensetning for dag til dag aktiviteter. I dette tilfellet ble en som hadde vurdert seg selv i kategori 2 satt til å lede arbeidet og å gi anleggsspesifikk opplæring til en som var ny på innretningen. 

Det var ikke eksplisitt avklart i forberedelsen hvilke roller de to prosessteknikerne skulle ha i forbindelse med utførelsen av arbeidet. Kombinasjonen av en erfaren prosesstekniker, uten anleggsspesifikk kompetanse og en yngre prosesstekniker med anleggsspesifikk kompetanse, men uten erfaring i å lede denne typen arbeid, kan i følge dem selv ha medvirket til uklar kommunikasjon og manglende avklaring dem i mellom om hvordan jobben skulle utføres. Prosessteknikeren som var ny ombord reagerte på måten jobben ble utført på, men pekte på at det som ny om bord er vanskelig å gripe inn og kommentere i slike situasjoner.

Ingen av de to prosessteknikerne har deltatt på treningskurs på land i arbeid på trykksatte systemer. Det er bekreftet at teknikerne har gjennomført APOS opplæringen for arbeidet på trykksatte systemer, men denne opplæringen ble i intervju karakterisert som veldig dårlig.

Når det gjelder systemet for oppfølging av APOS treningen så har vi fått opplyst (jf. e-post fra Statoil datert 2.2.2010) at det er noe uklart fra enkelte enheter om det er gjennomgang av APOS i plenum eller om det er egentrening som er rapportert. Det er videre opplyst at det på GFB mangler en oversikt over hvilke APOS pakker personer som kommer fra andre innretninger har vært gjennom tidligere.

De to fagansvarlige prosessteknikerne som var involvert i planleggingen av arbeidet har ikke gjennomført APOS opplæring for arbeid på trykksatte systemer. Men har begge hatt treningskurs på land i arbeid på trykksatte systemer. D&V leder har ikke hatt treningskurset “arbeid på normalt trykksatte systemer”.

AT ble godkjent på tross av mangelfullt beslutningsgrunnlag (ingen isoleringsplan). Ingen i ledelsen om bord hadde identifisert mangler i isoleringsplan før arbeidet ble iverksatt:

• at dieselpumpen ikke kunne brukes ble ikke adressert
• tilkoplingspunkt for slanger ved lekkasjetesting var ikke inntegnet
• akseptkriterier for test av brønnventiler i drift ble lagt til grunn for test i forbindelse med åpning av anlegget
• det ble ikke identifisert risiko knyttet til trykkoppbygging

At ingen av disse forholdene ble oppfanget i forbindelse med kvalitetssikringen kan tyde på at det er mangelfull kompetanse og/eller kapasitet i ledelsen.

I forbindelse med møtet for gjennomgang av nivå 1 arbeidstillatelser kl 0700 den 3.12.2010 ble det foreslått å vente med gjennomføring av denne jobben grunnet generelt høy aktivitet og belastning på kontrollromsoperatørene og prosessteknikere. Det ble besluttet å gjennomføre arbeidsordren som planlagt. Det ble i intervju pekt på at det har det siste året vært en stor økning i etterslep på forebyggende vedlikehold (FV) og det var ekstra personell ute for å ta igjen etterslep på FV. Utsettelse av det aktuelle arbeidet ville medføre at de ikke ville klare å gjennomføre det planlagte arbeidet og dermed en ytterligere økning i utestående arbeid som stod i “rødt”. Dette var bakgrunnen for ledelsens beslutning om å gjennomføre arbeidet som planlagt, på tross av at kapasiteten til å følge opp jobbene fra drift ikke var tilpasset det høye aktivitetsnivået.

Planlegging i etterkant av hendelsen med å fortsette å arbeide på B-25 med samme type arbeid tyder på sterkt fokus på overholdelse av oppsatt arbeidsplan uten vurdering av om kapasiteten er tilstrekkelig for å holde risikoen under kontroll. Se også kap. 5.1.4.

I intervju ble det av flere pekt på at fagansvarlig prosessteknikker er en krevende stilling. I tillegg til rollen som faglig veileder/opplæring innen faget er det en lang rekke administrative oppgaver og faste møter daglig i samhandlingsstrukturen på innretningen i og i forhold til land. Oppgaven som faglig veileder skal utøves gjennom aktiv deltakelse og utførelse av arbeidet i uteområder og SKR. På GFB er det i tillegg slik at fagansvarlig prosessteknikker også skal ivareta en stilling som kontrollromsoperatør. Dette innebærer at fagansvarlig prosesstekniker ofte ikke kommer ut i anlegget pga møter, SKR arbeid og annen administrasjon. Vi har i intervju fått opplyst at det i den senere tid har det vært et betydelig opplæringsbehov av nytt personell og det er for få ressurser til å følge dem skikkelig opp.

Rammebetingelsene for fagansvarlig prosesstekniker synes å ha vært av en slik karakter at det har gått på bekostning av mulighetene for å kunne utøve tilstrekkelig oppfølgning av personell og kvalitetskontroll av planlagte arbeidsoperasjoner.

De fagansvarlige prosessteknikere er blant de fire som har arbeidet flest timer blant Statoil ansatte på GFB. Fra 1.9 til 4.12 har de arbeidet i mer enn 600 timer. Dette skal sammenliknes med at timeverk etter tariff i samme periode i gjennomsnitt vil utgjøre 380 timer og etter rammeforskriften vil alminnelig arbeidstid utgjøre 488 timer. Selv om dette kan være innenfor de maksimale rammene for arbeidstid i løpet av et år gitt i rammeforskriften, ser vi likevel en mulighet for at dette likevel er i strid med arbeidsmiljølovens bestemmelse om at arbeidstiden skal være slik at det er mulig å ivareta sikkerhetshensyn. Dette er ikke analysert nærmere av granskningsgruppen.

Hjemmel

• Aktivitetsforskriften § 21 - Kompetanse

  (sist endret: 01.01.2023)

• Aktivitetsforskriften § 33 - Tilrettelegging av arbeid

  (sist endret: 01.02.2019)

• Rammeforskriften § 12 - Organisasjon og kompetanse

  (sist endret: 01.01.2011)

• Styringsforskriften § 14 - Bemanning og kompetanse

  (sist endret: 01.01.2011)

• Arbeidsmiljøloven § 10-2 - Arbeidstidsordninger

Strategi for barrierer og ytelseskrav for barriereelementer

Beskrivelse

Det er ikke etablert spesifikke strategier og prinsipper for utforming av barrierer på GFB.

Det er ikke etablert innretningsspesifikke krav til ytelse til alle barriereelementene som er nødvendige for at den enkelte barrieren skal være effektiv.

Begrunnelse

Det fremkom gjennom samtaler med intervjuet personell på GFB og med relevant personell i driftsorganisasjonen på land, at ingen av disse kjente til en spesifikk strategi eller spesifikke ytelsesstandarder for barrierer for GFB. Det ble i imidlertid referert til Statoils styrende dokument TR1055 (Performance standards for safety systems and barriers – Offshore).

Sitat fra TR1055: ”The Safety Strategy shall be developed in accordance with recognized principles for HSE management systems, e.g. guidelines provided by ISO, OGP or API. The Safety Strategy is the outcome of a systematic identification and evaluation of the hazards and effects which may arise on the actual installation and will define the need for, and role of, the risk reducing measures and safety systems. The Safety Strategy shall outline the design principles for layout, arrangement and the selection of which safety barriers and systems to go into the design, ensuring a consistent and robust design that will be the basis for a safe operation of the installation. Operational aspects shall be addressed in the Safety Strategy, which then should serve as an input to the development of the operational procedures. The Safety Strategy shall reflect installation specific conditions, e.g. environment and climate, competence of staff, cultural elements, infrastructure such as transport, telecommunications and health care, availability of supplies of water and electricity, etc. Emergency preparedness aspects shall also be covered by the Safety Strategy. The principles applied in ISO 13702 and ISO 17776 is considered applicable. Detail requirements to the various safety systems shall be covered by specifications established for each particular system. The principles of the Safety Strategy shall be governing for the development of the performance standards and specifications”. (Understrekning av “actual installation” og ”installation specific condition” er foretatt av granskningsgruppen.)

Overnevnte beskrivelse i TR 1055 av ”Sikkerhetsstrategien” og sammenhengen denne har med både risiko/-farevurderinger og ytelseskrav, er i samsvar med krav i regelverket og føringer i veiledningen til regelverket.

Når det gjelder ytelseskrav og ytelsesstandarder fremkommer følgende i TR 1055; “On the basis of the generic performance standards described herein there shall be developed specific performance standards for each installation. The specific performance standards and their performance requirements should be derived from the generic performance standards and safety strategy to reflect country and local rules and regulations and local practise differences.”…… For existing installations see chapter 1.2. The safety performance standards shall form the basis for safety system elements performance which should be sustained and verified through the lifecycle of the installation. The specific safety performance standards shall ensure that barriers, safety systems or safety functions:

• Is suitable and fully effective for the type hazard identified
• Has sufficient capacity for the duration of the hazard or the required time to provide evacuation of the installation
• Has sufficient availability to match the frequency of the initiating event
• Has adequate response time to fulfil its role
• Is suitable for all operating conditions

Overnevnte beskrivelse i TR 1055 av spesifikke ytelsesstandarder (inkl. ytelseskrav) og sammenhengen mellom disse og ”Sikkerhetsstrategien”, er i samsvar med krav i regelverket og føringer i veiledningen til regelverket.

TR 1055 kapittel 1.2 omhandler hvordan dokumentet skal brukes for eksisterende installasjoner: “For existing installations, identified non-conformities between original design requirements and requirements within TR1055 shall be treated as potential risk reducing measures and included in the ALARP process. ……Identified non-conformities shall be documented in dispensation system. The development of a facility specific safety strategy, including facility specific performance standards for safety systems, shall be approved in the dispensation system and be warranted in this document.

Det er granskningsgruppens forståelse at dette kravet tilsier at en skal vurdere gap mellom opprinnelig (originalt) design og kravene i TR1055 som potensielle risikoreduserende tiltak og inkluderes i ”ALARP prosessen”. Slik bruk av TR 1055 er viktig for å sikre ”kontinuerlig forbedring”, men dette ivaretar ikke forskriftskravene om at spesifikke strategier og ytelseskrav også skal være etablert for eksisterende installasjoner (jf styringsforskriften og veiledningen til denne). I regelverket og veiledningen fremkommer at strategien bl.a. skal utformes for å kunne gi relevant personell en felles forståelse av grunnlaget for kravene til de enkelte barrierene, deriblant hvilken sammenheng det er mellom spesifikke risiko- og farevurderinger for den enkelte installasjon og kravene om og til barrierer.

Granskningsgruppen har fått opplyst at Gullfaks B har internt unntaksbehandlet et avvik fra krav om å etablere spesifikke strategier og ytelseskrav. Selskapet har ikke søkt Ptil om unntak fra regelverkets krav. Det er granskningsgruppens vurdering at det skulle ha vært søkt da praktisert bruk av TR1055 ikke ivaretar regelverkets krav til spesifikke strategier og ytelseskrav.

Den manglende spesifikke sikkerhetsstrategien og manglende spesifikke ytelsesstandarder, bidrar til at det blant plattformpersonell på GFB ikke er tilstrekkelig kjent hvilken funksjon alle barrierer eller barriereelementer skal ivareta. Et forhold som illustrerer dette er tilknyttet bruken av skum sammen med brannvann når dette brukes som eksplosjonsdempende middel (se kapittel 5.2.2). I kapittel 5.1.9 fremkommer andre eksempler på usikkerhet som delvis henger sammen med manglende spesifikke ytelseskrav, og dokumentasjon som bekrefter/verifiserer at disse kravene er ivaretatt.

Hjemmel

• Styringsforskriften § 4 - Risikoreduksjon

  (sist endret: 01.01.2011)

• Styringsforskriften § 5 - Barrierer

  (sist endret: 01.01.2015)

Henvisning til annet regelverk

, andre ledd

Eksplosjonsrisiko, dimensjonerende ulykkeslaster (DAL spesifikasjon)

Beskrivelse

Statoil har ikke i tilstrekkelig grad oppdatert risikoanalyser som gir et nyansert og helhetlig bilde av eksplosjonsrisiko og som klargjør forutsetninger for bruk. Det er videre ikke dokumentert at risikoen tilknyttet eksplosjoner er redusert så langt det er mulig.

Begrunnelse

Det er usikkerhet tilknyttet hvilke eksplosjonslaster (gitt dagens kunnskap, modeller og metoder) som kan opptre, hva som er dimensjonerende eksplosjonslaster for alle relevante barriereelementer og hvordan disse vil kunne motstå dimensjonerende laster. For å møte krav i regelverket må en vite hvilke ulykkeslaster innretningen eller deler av denne kan bli eksponert for ved en dimensjonerende hendelse. Videre må en kunne dokumentere at etablerte barriereelementer kan motstå disse lastene i nødvendig tidsrom. Nedenfor er det angitt mer konkrete begrunnelser for avviket.

Design Accidental Load Specification

Dimensioning accidental load (DAL) er i Norsok S-001 definert som følger: “most severe accidental load that the function or system shall be able to withstand during a required period of time, in order to meet the defined risk acceptance criteria”.

Granskningsgruppen har vurdert ”Design Accidental Load Specification” (DAL spesifikasjon) for Gullfaks B. Dokumentet er datert i 1985 (versjon 6A).

I GFB DAL fremkommer bl.a. et anbefalt statisk designtrykk på 0,3 barg med varighet 0,5 sekund for å sikre integriteten til brannvegger ved eksplosjon. Videre er det angitt krav til maksimal tillatt defleksjon for å sikre integritet til passiv brannbeskyttelse på brannvegger. Designlaster for eksplosjonsvind (drag) eller undertrykk (negativ impuls) er ikke omhandlet.

TTS ytelseskrav M2.2 i PS 15 Explosion Barriers lyder;

”Relevant documentation for operation shall be available and updated:

• Total Risk Analysis & Emergency Preparedness Analysis (explosion studies)
• Fire and Explosion Strategy (including HAZOP, DAL etc.)
• Design Accidental Load specification (DAL)”

I TTS verifikasjonsnote fra 2005 fremkommer følgende tilknyttet dette kravet: ”DAL spek er ikke oppdatert, men tilgjengelig i STID. Nye eksplosjonsberegninger viser at designlast fra eksplosjon er i overensstemmelse med områdelaster gitt i DAL Følgelig er en oppdatering ikke nødvendig som følge av ekplosjonstrykksberegninger”.

TTS ytelseskrav F 1.2 i samme PS lyder; “Check that the dimensioning loads are defined for relevant local horizontal and vertical area dividers (pressure and impulse from explosion) and equipment (drag forces). This also includes safety critical equipment”. I TTS verifikasjonsnote tilknyttet dette kravet fremkommer: ”Det er ikke oppgitt dimensjonerende laster for sikkerhetskritisk utstyr”.

Granskningsgruppen har konstatert at DAL spesifikasjon for GFB ikke er oppdatert slik at dimensjonerende ulykkeslaster for sikkerhetskritiske rør og utstyr fremkommer. DAL spesifikasjon er heller ikke oppdatert slik at den angir referanser til hele det beslutningsunderlaget som ligger til grunn for gjeldende dimensjonerende ulykkeslaster.

Statisk overtrykk kontra dynamisk trykkutvikling:

Lastene i GFB DAL spesifikasjonen angir dimensjonerende last i form av statisk overtrykk. I en eksplosjon er det en dynamisk trykkutvikling med kortvarig maksimalt overtrykk. Strukturrespons som følge av eksplosjonslast vil være avhengig av lastenes størrelse som funksjon av tid og strukturenes karakteristika. Beregning av strukturrespons ift eksplosjonslaster er beskrevet i NORSOK N-004, A.6. Ut fra oversendt dokumentasjon har ikke granskningsgruppen fått innblikk i GFB spesifikke strukturanalyser som dokumenterer at dimensjonerende dynamiske eksplosjonslaster ikke vil medføre tap av hoved-sikkerhetsfunksjoner. Design av brannvegger på GFB ift en statisk eksplosjonslast innebærer tilsynelatende en viss usikkerhet. I regelverket er det krav til at en skal redusere usikkerhet.

Effekt av brannvann i eksplosjonsanalyser

Gjeldende risikoanalyse for Gullfaks B er datert 2 juni 2003 og inkluderer en eksplosjons-analyse. I denne eksplosjonsanalysen er det synliggjort en betydelig risikoreduserende effekt på de mest alvorlige eksplosjonsforløp dersom det fastmonterte anlegg for brannbekjempelse (delugeanlegget) er utløst i forkant av antenning. I innretningsforskriften er det i dag krav til at fastmonterte anlegg for brannbekjempelse skal utløse automatisk ved gassdeteksjon dersom det kan medføre lavere eksplosjonstrykk. På lik linje som gjeldende krav til utforming av passiv brannbeskyttelse, er imidlertid intensjonen i regelverket at det ikke skal tas hensyn til effekten fra brannbekjempelsesutstyr ved utforming av anlegg og utstyr for å motstå eksplosjonslaster. I Gullfaks B eksplosjonsanalyse har en for å beregne frekvensen for tap av eksplosjonsbarrierer (tap av hovedsikkerhetsfunksjoner) tatt hensyn til effekten av deluge. Sitat fra Gullfaks B TRA Appendiks D – Eksplosjonsanalyse: ”Ettersom denne oppdateringen av TRA skal gjenspeile faktiske forhold på Gullfaks B, er eksplosjonssimuleringer kjørt med overrisling spesifikt for Gullfaks B”. I TR 1055 fremkommer følgende i kapittel PS 15.4.8 Explosion design Principles: ”The effect of automatically released deluge may be taken into account when establishing the dimensioning explosion load if the calculation method takes into account the reliability, availability and efficiency of the deluge system”.

Granskningsgruppen kan ikke se at eksplosjonsanalysen har tatt hensyn til pålitelighet/ tilgjengelighetsaspektet, eller de tilfeller der eksplosjonen inntreffer så hurtig at eksplosjonslastene er generert før delugeanlegget er aktivert eller er effektivt. Dersom man skal kunne argumentere for å ta hensyn til effekten av deluge ift etablering av dimensjonerende ulykkeslaster og vurderinger tilknyttet frekvens for tap av hovedsikkerhetsfunksjoner, må man differensiere på eksplosjoner som skjer før delugesystemet er aktivert eller er tilstrekkelig effektivt. Dette kan gjøres ved bl.a. å ta hensyn til responstider til gassdeteksjonssystemet, oppstartstid til brannpumper og tiden det tar før det enkelte delugeanlegg kan levere vann som er effektivt for å redusere eksplosjonslaster. Granskningsgruppen vil her påpeke at en generell erfaring med tennsannsynlighetsmodeller er at en forholdsvis stor andel av total tennsannsynlighet skjer det første minuttet etter lekkasjestart. Et annet forhold som nevnes er at studier/rapporter etter hendelser ofte har vist at gassdeteksjonssystemet var overbroet (eller delvis utkoblet) da lekkasjen oppsto. (Eksempelvis var dette tilfellet ved gasslekkasje på Heidrun 11.10.2010). Dette vil i vesentlig grad kunne forsinke oppstart og utløsning av deluge.

Når man tar hensyn til gunstig effekt av deluge slik som er gjort i eksplosjonsanalysen for GFB, må man, i tråd med TR 1055, kunne dokumentere at forutsetninger og ytelseskrav som er lagt til grunn vedrørende delugesystemet, er uttrykt på en klar måte og videre dokumentert og etterlevd gjennom driftsfasen. Granskningsgruppen har i oversendt dokumentasjon ikke identifisert at dette er tilstrekkelig ivaretatt. Et konkret eksempel er relatert til nødvendig brannpumpekapasitet ift eksplosjonsdemping. For at deluge skal ha gunstig effekt med tanke på å dempe eksplosjonslaster er det normalt en forutsetning at vanndråper distribueres i hele romvolumet hvor gass-skyen er tilstede og hvor eksplosjonen vil inntreffe. Slik granskningsgruppen oppfatter situasjonen for GFB, vil et dimensjonerende ”gasscenario” inkludere delugeaktivering i hele M14, og at dette tilsvarer ”største + største tilstøtende område” ift brannscenarier.

I TTS sammenheng fremkommer følgende i den dokumentasjonen som er oversendt til Ptil:

• Fra år 2001: The dimensioning fire area is not segregated from other areas with firewalls. The largest defined area is M14 N wellhead area, BOP deck North plus the manifold areas (M14N and M14S), i.e. M14S wellhead area is not included in the fire area even if there are no walls separating M14S from M14N. No study supporting two different fire areas in M14 North and South has been identified. The firewater pump capacity is dependent on fire area size and firewater coverage. In addition, the firewater duty points are not balanced for firewater demands exceeding current 100% capacity, i.e. 3 electrical firewater pumps.
• Status per 03.04.02: Området er testet fullt ut. Dvs. dimensjonerende brannområde + det største av de tilstøtende områdene. "vegg til vegg”. Verifikasjonspunkt klarert med fagsstigen i basisorganisasjonen og lukkes dermed.
• Verifikasjonsnote 2005: Punktet ble i 2002 lukket i samråd med basis på bakgrunn av at man hadde verifisert at det var nok kapasitet til hele gasscenariet med en pumpe (dieselhydraulisk) ute av drift. Det har i løpet av denne delgjennomgangen (2005) ikke vært mulig å få dokumentert testresultater for den testen. For at observasjonen skal kunne lukkes må det minimum utføres test som kan dokumentere tilfredsstillende kapasitet. Testen benyttes til å verifisere tilsvarende Pipenet beregning. Når Pipenet beregning er verifisert ok, kjøres beregning med 10 % degradert pumpekurve, da dette er akseptgrense for pumpekapasitet.

Det kommenteres også at en annen konsekvens av at GFB er avhengig av deluge for å oppnå akseptabel eksplosjonsrisiko vil være relatert eventuelle fremtidige perioder der eksempelvis brannmonitorer benyttes ved modifikasjon/vedlikehold av ordinært delugesystem. Dette siden brannmonitorer vanskelig kan sikre at vanndråper distribueres i hele romvolumet.

Modulgeometri benyttet i analyser

Foreliggende eksplosjonsanalyse for GFB er fra 2003. Dagens kunnskap viser at det er avgjørende å bruke en detaljert nok fremstilling av modulgeometri i eksplosjonssimuleringer. Det fremkom i intervju at det i dag ikke eksisterer en tilstrekkelig oppdatert eksplosjons-analyse for Gullfaks B, men at det allerede er igangsatt et omfattende arbeid med å etablere slik.

Potensielle lekkasjescenarier i M14

Eksplosjonsanalysen reflekterer ikke muligheten for lekkasjer i M14 som i hovedsak kun består av gass. For M14 er det i eksplosjonsanalysen lagt til grunn at det som kan lekke ut vil inneholde store mengde vann, i gjennomsnitt 80 % vann. Lekkasjen som oppsto 4. desember 2010 viser med tydelighet at det også kan inntreffe betydelige lekkasjer som mer eller mindre består av ren gass.

Prinsipper for risikoreduksjon

I TTS observasjon i 2005 fremkommer følgende ifm Performance Standard nr 15 (Explosion barriers): ”Det er ikke utført en kost-nytte vurdering av å redusere frekvensen for eskalering (ALARP)”. I dokumentasjonen som er oversendt fra Statoil i fm granskningen framgår det at denne TTS-observasjonen fremdeles ikke er lukket.

Hjemmel

• Aktivitetsforskriften § 25 - Bruk av innretninger

  (sist endret: 01.01.2014)

• Rammeforskriften § 11 - Prinsipper for risikoreduksjon

  (sist endret: 01.01.2011)

• Styringsforskriften § 5 - Barrierer

  (sist endret: 01.01.2015)

• Styringsforskriften § 11 - Beslutningsgrunnlag og beslutningskriterier

  (sist endret: 01.01.2011)

• Styringsforskriften § 16 - Generelle krav til analyser

  (sist endret: 01.01.2021)

• Styringsforskriften § 17 - Risikoanalyser og beredskapsanalyser

  (sist endret: 01.01.2018)