Statoil - gransking etter hendelse på Heimdal

Mangelfull designløsning var ikke identifisert

Beskrivelse

Statoil har ikke gjennom analyser, drift og vedlikehold av anlegget, avdekket at designløsningen er mangelfull. I tillegg har endringer i bruk av rørlinjen ikke ført til at risiko forbundet med designløsning og/eller bruk av designløsning, er blitt vurdert og identifisert.

Begrunnelse

Heimdal gjennomgikk en omfattende endring i 1999 da Heimdal Gassenter ble etablert. I konsekvensutreding for modifikasjoner på Heimdal fra juni 1998 står det at Norsk Hydro vil gjennomføre risikoanalyser knyttet til sikkerhet. På forespørsel har Statoil ikke kunnet fremlegge dokumentasjon på at det i forbindelse med modifikasjonsarbeidet og omlegging til å bli et "gassenter" ble gjennomført risikoanalyser, eksempelvis prosess-HAZOP for å bekrefte at den etablerte designløsningen for prosessanlegget var tilfredsstillende, gitt anleggets endrede bruk.

Rørlinjen ble, så langt granskingsgruppen er gjort kjent med, hovedsakelig benyttet til trykkavlasting av Statpiperørledning fram til 2003. Deretter ble den brukt til trykkavlastning i forbindelse med testing av ESDVer. Designsvakheten ble ikke identifisert som del av denne bruksendringen.

Under intervju ble vi fortalt at i tillegg til notifikasjoner, er MIS, TIMP og TTS verktøy som anvendes for å overvåke teknisk tilstand på prosessanlegget. Da Teknisk Tilstand Sikkerhet (TTS) ble gjennomført i 2009 ble det ikke avdekket mangler på den aktuelle rørlinjen, men et ureglementert skifte av trykklasse ble identifisert på en annen rørlinje. Vi konstaterer at Statoil ikke har brukt denne observasjonen til aktivt å identifisere tilsvarende mangler andre steder i anlegget, som på den aktuelle rørlinjen.

Statoil har i TR1055 (versjon 4), PS 8.4.1 Emergency depressurisation krav om at ”block-valves in emergency depressurisation lines shall be secured open”. TTS-verifikasjonen identifiserte ikke at blokkventil før fakkel (NC3) stod i feil posisjon (lukket) i forhold til dette kravet. Det er vår vurdering at rørlinjen som benyttes ifm vedlikeholdsarbeid ut i fra en sikkerhetsmessig vurdering burde vært sjekket på tilsvarende måte som rørlinjer tilknyttet sikkerhetsventiler (PSV) og til automatisk trykkavlastning (blowdown).

Ved bruk av rørlinjen og ventilene, under de årlige lekkasjetester av ESDVer, er den mangelfulle designløsningen ikke blitt oppdaget.

Under intervju var det en uttalt oppfatning at MIS/TIMP/TTS normalt ikke er finmasket nok til å avdekke feil/svakheter med tanke på design. Verktøyene kunne dermed ikke brukes som fullstendig grunnlag for den nødvendige oppdateringen av prosedyrer og tegninger (P&ID).

Hjemmel

• Aktivitetsforskriften § 20 - Oppstart og drift av innretninger

  (sist endret: 01.01.2011)

  , første ledd og annet ledd bokstav b.

• Aktivitetsforskriften § 25 - Bruk av innretninger

  (sist endret: 01.01.2014)

  , første ledd

• Styringsforskriften § 5 - Barrierer

  (sist endret: 01.01.2015)

  , tredje til sjette ledd

• Styringsforskriften § 11 - Beslutningsgrunnlag og beslutningskriterier

  (sist endret: 01.01.2011)

  , første ledd

• Styringsforskriften § 16 - Generelle krav til analyser

  (sist endret: 01.01.2021)

  , første og fjerde ledd

Mangelfulle beskrivelser av hvordan arbeidet skulle utføres

Beskrivelse

Detaljeringsnivået i beskrivelsen for aktiviteten var ikke tilpasset den sikkerhetsmessige betydningen av arbeidsprosessen. Prosedyrene var ikke entydige og brukervennlige.

Begrunnelse

Testprosedyrene, som også omfatter gjeldende P&ID, for nødavstengningsventilene 2ESDV 20007 og 2ESDV 30006, er sentrale for planlegging av sikkert arbeid. I prosedyren ”Lekkasjetest av 2ESDV 20007 gasseksport til Statpipe” står det ”Trykkavlast testsegmentet via 2HCV20021 til 1,05 bara”. Testprosedyrene spesifiserte ikke hvilke manuelle ventiler som skulle håndteres, eller i hvilken rekkefølge de skulle åpnes.

Test av ESDVene 2ESDV 20007 og 2ESDV 30006 skal i henhold til plan utføres årlig. Under intervjuene kom det frem at denne rørlinjen sjelden var i bruk, siste gang var i 2004, og at plassering og design på rørlinjen i begrenset grad var kjent av personell om bord. Disse forholdene medfører at muligheten for involvert personell til å bli familiarisert med design er begrenset, og skulle dermed tilsi behov for en økt detaljeringsgrad i prosedyren for sikker operasjon.

P&ID skal vise korrekt utforming av prosessanlegget, og er et sentralt element for å kunne operere anlegget sikkert. I den forelagte prosedyren fremkommer P&ID i A4-format på baksiden av prosedyren. Symboler og tekst i P&ID er til dels utydelige. Det innebærer at det ikke er mulig å lese skifte av trykklasse på rørlinjen. Ventilenes posisjon er også vanskelig lesbar. I tillegg var det flere feil på P&ID, også knyttet til den involverte rørlinjen, ref avvik 7.1.1.

Reguleringsventil (NC2) ble funnet i åpen posisjon av DOF2. I følge P&ID var NC2 merket som NC (Normally Closed). Det var ikke ekstra markering på NC2, eller i P&ID, at denne ventilen stod i åpen posisjon. Under intervjuer kom det i tillegg frem at NC2 i perioder var vanskelig å operere og ble omtalt som ”treg”, ”skeiv” og ”rusten”. Det er ikke samsvar mellom reell utforming av rørlinjen og informasjonen i P&ID, noe som kan være tegn på manglende observasjon av misforhold og/eller oppdatering av testprosedyren ved siste bruk.

Kontrollromsoperatørens skjermbilde av rørlinjen mot fakkel viste ikke andre ventiler enn den (HCV 20021) han selv skulle åpne for trykkavlasting til fakkel (ref figur 6). NC1, NC2 og NC3 var ikke synlige for kontrollromsoperatør, men kontrollromsoperatøren benyttet "master" P&ID av rørlinjen under planlegging av trykkavlastningen.

Prosedyren bidro ikke til at manglende samsvar mellom ventilens posisjon og P&ID ble oppdaget, kommunisert og utløste en reaksjon.

Prosedyren for test av ESDVene 2ESDV 20007 og 2ESDV 30006 inneholder heller ikke informasjon om hvilke ventiler som skal åpnes av prosessoperatør ute i anlegget.

Merking som nødvendig forutsetning for å utforme entydige og brukervennlige beskrivelser av arbeidet.

Petroleumstilsynets tilsynsrapport etter tilsyn med styring av drift og vedlikehold på Heimdal og Heimdal Riserplattform (HRP) fra 2011 identifiserte mangelfull merking av utstyr som avvik fra innretningsforskriften § 10 om anlegg, systemer og utstyr. I tilsynsrapporten står det: ” Personell involvert i drift og vedlikeholdsdisiplinen beskrev under samtaler at de opplevde mangler ved merking som et problem, blant annet i form av økt tidsforbruk for å identifisere utstyr i SAP og i felt. Mangelfull merking vil kunne føre til høynet sannsynlighet for feiloperering av utstyr – og dermed øke sannsynlighet for hendelser.” Tiltak for å merke utstyr i prosessanlegget var påbegynt på Heimdal, men arbeidet var ikke sluttført. NC1, NC2, og NC3 var midlertidig merket med plastlapper, men merkingen var ikke vist på P&ID.

Hjemmel

• Aktivitetsforskriften § 24 - Prosedyrer

  (sist endret: 01.01.2011)

  , andre ledd

• Innretningsforskriften § 10 - Anlegg, systemer og utstyr

  (sist endret: 01.01.2025)

  , andre ledd

• Styringsforskriften § 13 - Arbeidsprosesser

  (sist endret: 01.01.2011)

  , andre ledd og tredje ledd,andre setning

Svakheter ved Statoils dokumentstyring

Beskrivelse

Styrende dokumenter, deriblant tekniske driftsdokumenter var ikke kontrollerte, forelå ikke i oppdaterte versjoner og var ikke tilgjengelig i styringssystemet.

Begrunnelse

Under granskingen ble det avdekket mangelfull dokumentstyringen på tre nivåer:

• Tilgang til prosedyrene
• Kontroll med dokumentene
• Oppdateringer

Tilgang til prosedyrene
Testprosedyrene for 2ESDV 20007 og 2ESDV 30006 var ikke lagt inn i Statoils formelle del av styringssystemet (SAP), men lå lagret på en lokal PC hos ansvarlig i drift og vedlikehold offshore. Prosedyrene var dermed ikke underlagt kontroll av Anleggsintegritet (AI) som har teknisk systemansvar, eller er ”eier” av prosedyrene. I intervju med AI ble det uttalt at dette ikke var i samsvar med korrekt dokumentstyring.

ARIS ble implementert 18. mai 2012 og tilgang til APOS ble fjernet samtidig. Under intervjuene kom det frem at flere ikke hadde fått opplæring i ARIS og oppga at de ikke fant enkelte dokumenter. De hadde ikke lenger tilgang til APOS etter 17. mai 2012.

Kontroll med dokumentene
Testprosedyrene for 2ESDV 20007 og 2ESDV 30006 var på hendelsestidspunktet under oppdatering. Arbeidet var påbegynt før hendelsen. Prosedyrene har ikke vært oppdatert siden 2004. Prosedyrer manglet revisjonshistorie, revisjonsdato, og det fremgikk ikke hvem som var ansvarlig eller hvem som hadde godkjent prosedyrene. Prosedyrene har for øvrig mangler (ref avvik 1).

Oppdateringer
P&ID`ene inngår som svært sentrale dokumenter i den daglige styring av prosessanlegget. En feil på P&ID vil kunne få store konsekvenser for planlegging og utføring av arbeid og modifikasjoner på anlegget. Ansvar for oppdatering av P&ID’er i Statoil ligger hos AI.

Master av gjeldende P&ID av rørlinjen har siste revisjonsår 2009. P&ID tilknyttet testprosedyren har derimot revisjonsår 2004. Eksempelvis har gjeldende P&ID fremdeles deltittel ”Heimdal 2000 Modification & Tie-In”.

Under intervjuene på land med AI ble fire konkrete feil ved gjeldene P&ID, som også er del av testprosedyrene for 2ESDV 20007 og 2ESDV 30006, omtalt. Tre av feilene var direkte knyttet til den aktuelle rørlinjen.

Representanter for AI, som har teknisk systemansvar, kunne ikke vise til aktiviteter eller rutiner for å sikre samsvar med teknisk utforming av prosessanlegget på Heimdal og hvordan dette er representert på P&ID’er, jf avvik 7.1.3. De henviste til offshoreorganisasjonens ansvar for å legge inn notifikasjoner dersom de oppdaget at det ikke var samsvar mellom P&ID og anlegg. P&ID inneholdt feil på følgende områder:

• Beskrivelsen av rørlinjen på P&ID samsvarer ikke med faktisk plassering av skifte av trykklasse i anlegget. Se avvik 7.1.3. Skifte av trykklasse er del av opprinnelig design fra 1984 og har aldri blitt identifisert som en feil ved P&ID.
• På P&ID står siste blokkventil (NC3), merket med NC (Normally Closed) men burde i henhold til NORSOK P 001 vært NO (Normally Open).
• Dokumentasjon viser at siste revisjonsdato på P&ID er fra 2009 og noen av de identifiserte feilene er fra opprinnelig design i 1984.

Vi har også identifisert svakheter med hensyn til funksjon, bl a detaljeringsgrad og format, ved gjeldende testprosedyre, jf. avvik 7.1.3.

Det oversendte dokumentet ”System- og operasjonsmanual” er driftsdokumentasjon som sammen med P&ID kan benyttes i forbindelse med opplæring, modifikasjoner og arbeid på et anlegg. Linjen ble sist brukt i 2004 til trykkavlastning av Statpipe ifm Jotun rørbrudd.
Den involverte rørlinjen ble heretter hovedsakelig tatt i bruk for trykkavlasting i forbindelse med årlig lekkasjetesting av ESDVer.

Driftsdokumentasjonen er ikke oppdatert for å reflektere denne bruksendringen. Revisjonshistorikk og synliggjøring av ansvarlig eier av dokumentet, er ikke ivaretatt. Dette medfører tvil om status og gyldighet.

Hjemmel

• Aktivitetsforskriften § 20 - Oppstart og drift av innretninger

  (sist endret: 01.01.2011)

  med veiledning, andre ledd, bokstav a. og b.

• Styringsforskriften § 6 - Styring av helse, miljø og sikkerhet

  (sist endret: 01.01.2011)

  , med veiledning, andre avsnitt jf NS-EN ISO 9004:2000 4.2.3. og fjerde avsnitt  

Svakheter ved risikovurdering i planleggingen

Beskrivelse

Planleggingen av aktivitetene sikret ikke at viktige bidragsytere til risiko ble identifisert, og aktivitetene ble ikke styrt og gjennomført slik at hendelsen ble forhindret.

Begrunnelse

Oversikt over segmentet som inngikk i testen
Før arbeidsoperasjonen ble iverksatt inneholdt rørsegmentet store mengder hydrokarboner. I henhold til Statoils styrende dokument TR1055, PS 8.4.1. er det krav om at ikke noe segment i prosessanlegg skal inneholde mer enn 1000 kg hydrokarboner uten tilkobling til en EDP (blow down ventil/sikkerhetsventil). Under hendelsen innholdt det aktuelle segmentet 7000 kg hydrokarboner og tilstedeværelsen av hydrokarboner i rørsegmentet ble ikke identifiserte og anvendt i planleggingen av testene. I etterkant av hendelsen innehold segmentet anslagsvis 3500 kg som det var betydelige utfordringer med å få trykkavlastet.

A-standard
I henhold til Statoils egne krav i Statoilboken skal det i forbindelse med arbeidsoperasjoner alltid gjennomføres en A-standard, ref dok. 48. Denne beskrives som et ”felles handlingsmønster” for Statoilorganisasjonen. En A-standard skal identifisere risiko ved aktiviteten og krav til aktiviteten ihht formelle krav og hvilken arbeidsmetode som skal anvendes. Arbeidslaget skal vurdere om det er behov for ytterligere metode-, krav- eller risikovurderinger. I tillegg til A-standard peker Statoilboken på viktigheten av etterlevelse og lederskap. Ledere har ansvar som kommunikator, rollemodell, trener og veileder i en A-standard. En fortløpende risikovurdering underveis i arbeidsoperasjonen skal også gjennomføres.

I etterkant av en hydrokarbonlekkasje på Gullfaks B i 2010 ble en rekke forbedringstiltak etablert og presentert for Ptil. Tiltak nr 20 er formulert: ”I forbindelse med hydrokarbonførende system skal det signeres for gjennomført A-standard handlingsmønster på skjema for AT for den aktuelle jobben. For arbeid på hydrokarbonførende system som ikke krever AT (for eksempel klargjøring og tilbakestilling) skal det signeres for gjennomført A-standard handlingsmønster på ventil- og blindingsliste.”

Tiltak beskrevet i UPN Direktør Øystein Michelsens brev til Ptil datert 28.4.2011 er ikke reflektert i oppdaterte prosedyrer (revisjonsdato 18.5.2012), eksempelvis er krav til signert A-standard gjennomgang ikke innført i prosedyre ”OM01.05.05. - Operere system og utstyr i drift”.

Det ble gjennomført en revisjon på Heimdal 16.5.2012 (10 dager før hendelsen). Rapporten har tittel: ”Tiltak for å redusere gasslekkasjer ved arbeid på normalt trykksatte system – Heimdal”. Den påpeker ”A-standard gjennomgang ifb isoleringsplan virket ukjent for enkelte”.

Under intervjuene kom det frem at A-Standard handlingsmønster ikke ble benyttet ved planlegging og utføring i forbindelse med test av ESDVene. Vi har under granskingen identifisert syv sammenkomster/møter mellom involvert personell som ledd i forberedelse til nødavstengingstesten. Vår vurdering er at ingen av møtene, enkeltvis eller totalt, tilfredsstiller Statoils krav til A-Standard handlingsmønster, eller ivaretar andre krav til risikovurderinger knyttet til den aktuelle arbeidsoperasjonen. Eksempelvis ble betydningen av at isoleringsventilene ble åpnet i riktig rekkefølge under trykkavlastningen, og hvilken risiko feiloperasjon kunne medføre, ikke gjenstand for verken Sikker Jobb Analyse, Før jobb Samtale, kameratsjekk, bruk av ventil- og blindingsliste eller andre former for sjekklister.

Vi kan ikke se at ledelse på land eller til havs i Heimdalorganisasjonen har fungert som rollemodell, trener eller veileder for en gjennomføring av A-standard handlingsmønster med tilhørende risikovurderinger. Så langt vi har klart å bringe på det rene har ingen leder på noe tidspunkt etterspurt en muntlig eller skriftlig A-standard knyttet til den aktuelle arbeidsoperasjonen. Heller ikke da skifte av utførende personell ble besluttet. Statoils krav til A-standard er ikke tilstrekkelig formidlet til, eller forstått, heller ikke av ledende personell på Heimdal. Under intervju offshore ble det uttalt ”A-standard bruker vi bare når vi skal inn på systemet.”

Under intervjuene var et høyt aktivitetsnivå nevnt av flere. Som eksempel ble det fortalt at personell utførte arbeid alene selv om arbeidsmetoden var lagt opp til å utføres av et lag, det vil si minst to. Vi så tegn til at operasjonelle ledere ikke hadde tilstrekkelig tid til å følge opp planleggingsaktivitetene. Under granskingen observerte vi at arbeidsbelastningen, i særlig grad for D&V leder, var såpass høy at det er fare for at det vil gå på bekostning av aktiviteter som ligger i kravet i A-standard til ham som rollemodell.

Skifte av utførende personell
Verken prosessoperatør, DOF1, som det var planlagt skulle gjennomføre arbeidet ute i anlegget, eller den personen som endte opp med å gjennomføre arbeidet ute, DOF2, deltok i planleggingen av arbeidet med trykkavlasting. DOF1 deltok riktig nok i planleggingsmøte 25.5.2012 med kontrollromsoperatør og to assistenter som skulle bidra i arbeidet, men heller ikke der ble risiko i fm trykkavlasting diskutert.

Det ble foretatt et skifte av utførende prosessoperatør i anlegget rett før arbeidet ble gjennomført uten at det ble vurdert behov for ekstra risikovurderinger/planlegging. Under intervju kom det frem at DOF2 ikke hadde erfaring med denne testen eller rørlinjen, og at personell med erfaring fra tilsvarende tester, fikk ansvaret for å ivareta dette arbeidet.

Før arbeidet ble utført ble det ble gjennomført det som ble beskrevet som ”en slags Før Jobb Samtale” mellom kontrollromsoperatør og DOF2, som utførte oppgaven. I fellesskap fant de frem P&ID, så på den og gjennomgikk prosedyre for testing av 2ESDV 20007. I forbindelse med planleggingen avklarte ikke DOF2, som skulle ut i anlegget, og kontrollromsoperatør i felleskap hvilke ventiler som skulle åpnes og i hvilken rekkefølge de skulle åpnes, før DOF2 gikk ut for å åpne ventilene.

Kommunikasjon og arbeidsordre mellom uteoperatør og kontrollromsoperatør var, slik det fremkommer i intervjuene, uklar. Ventilene hadde ikke individuell merking, jf. avvik 1. Under arbeidsoperasjonen hadde de radiokontakt og vi ble fortalt at ordren ”Åpne NC-NC-NC” ble gitt av kontrollromsoperatør. Ordre fra kontrollromsoperatør ble ikke bekreftet av DOF2 ute før arbeidet med trykkavlastning mot fakkel ble startet.

Ventilkonfigurasjon avvek fra P&ID
Under utførelsen av arbeidet oppdaget DOF2 at NC2 ikke var stengt og ga beskjed om dette over telefon til kontrollromsoperatør. Arbeidet ble ikke avbrutt for å drøfte eventuelle konsekvenser av dette.

NC3 ble ikke åpnet av DOF2. Årsaken til dette er, slik det fremkommer i intervju, at det var forståelse for at denne stod i åpen stilling.

Det ble ikke stilt spørsmål fra kontrollrom om bekreftelse om at alle tre ventilene, NC3, NC2 og NC1 suksessivt, var satt i åpen stilling, før HCV 20021 ble åpnet av kontrollromsoperatør.

AI/OPS gruppen har ikke istandsatt driftsfolkene offshore til å utføre en sikker jobb. Arbeidsoperasjonen bar preg av manglende involvering av ledende personell på alle plan. Mangelfulle risikovurderinger av prosessanlegget og arbeidet som skulle utføres, planlegging av oppgaven, samt mangelfull merking av ventiler med spesifikk nummerering, mangelfull spesifikasjon av hvordan arbeidet skal utføres i prosedyrer og vanskelig lesbar, og mangelfull P&ID, ga dårlig beslutningsstøtte.

Hjemmel

• Aktivitetsforskriften § 29 - Planlegging

  (sist endret: 01.01.2011)

  , første ledd

• Aktivitetsforskriften § 30 - Sikkerhetsmessing klarering av aktiviteter

  (sist endret: 01.01.2011)

• Aktivitetsforskriften § 32 - Overføring av informasjon ved skift- og mannskapsbytte

  (sist endret: 01.01.2011)

• Styringsforskriften § 11 - Beslutningsgrunnlag og beslutningskriterier

  (sist endret: 01.01.2011)

  , første ledd

• Styringsforskriften § 12 - Planlegging

  (sist endret: 01.01.2011)

• Styringsforskriften § 17 - Risikoanalyser og beredskapsanalyser

  (sist endret: 01.01.2018)

  , første ledd

Svakheter ved erfaringsoverføring og læring i Heimdalorganisasjonen etter tidligere hendelser

Beskrivelse

Statoil har ikke i tilstrekkelig grad sikret at informasjon fra tidligere hendelser blir bearbeidet, formidlet og brukt til forbedring og læring i Heimdal-organisasjonen. Det er ikke lagt til rette for at erfaringskunnskap fra egen eller andres virksomhet er brukt i forbedringsarbeidet ved Heimdal.

Begrunnelse

Under intervjuene ble det fortalt at hendelser blir gjennomgått på jevnlige HMS-møter, både på land og offshore. Det kom imidlertid ikke frem konkret kjennskap til granskingsrapporter etter tidligere hydrokarbonlekkasjer på Heimdal, eller andre årsaksforhold som kunne være relevante å kjenne til for å planlegge og operere prosessanlegget på Heimdal på en sikker måte.

Det var begrenset kjennskap til frekvens, årsaker og utvikling over tid for hydrokarbonlekkasjer på Heimdal. Dette gjalt også for andre hydrokarbonlekkasjer i forretningsenheten Modne felt, generelt i Statoil eller på norsk sokkel.

Iverksatte tiltak på UPN nivå i Statoil for å redusere risiko for hydrokarbonlekkasjer var i liten grad kjent i Heimdalorganisasjonen.

Heimdal har, sammenliknet med andre innretninger på norsk sokkel, de siste årene hatt et høyt antall hydrokarbonlekkasjer. Gjennomgang av rapporterte hydrokarbonlekkasjer over 0,1 kg/s til Ptil viser at Heimdal Hovedplattform (HMP) har hatt 2 hendelser i 2002, 2 hendelser i 2003, 3 hendelser i 2005, 2 hendelser i 2006, 1 hendelse i 2007 og 1 hendelse i 2011. Gjennomgang av rapporterte hydrokarbonlekkasjer over 0,1 kg/s til Ptil viser at Heimdal Riserplattform (HRP) har hatt 2 hendelser i 2005,1 hendelse i 2006 og 1 hendelse i 2010 (se kapittel 3.2).

Medregnet HRP er Heimdal den innretningen på norsk sokkel med høyest frekvens av hydrokarbonlekkasjer over 0,1 kg/s, med et snitt på 1,5 pr år i perioden 2002 til 2011. Under intervjuene kom det imidlertid frem at det både i Heimdalorganisasjonen offshore og på land, var svært begrenset kjennskap til lekkasjefrekvens på Heimdal eller kjennskap til årsaker til at lekkasjene hadde funnet sted. Det ble uttalt at Heimdal trolig lå «godt an» og «midt på treet» i forhold til frekvensgjennomsnitt av hydrokarbonlekkasjer på norsk sokkel. På forespørsel kunne relevant personell verken gjøre rede for årsaker til tidligere hydrokarbonlekkasjer ved Heimdal, eller mer generelt på Statoilnivå eller for norsk sokkel.

Intervjuer offshore og i Heimdals landorganisasjon ga granskingsgruppen et overordnet inntrykk av at ansvarlig personell i liten grad hadde oppmerksomhet rettet mot risiko for hydrokarbonlekkasjer på Heimdal.

Risiko for hydrokarbonlekkasjer på Heimdal og viktigheten av å hindre slike er for øvrig ikke omtalt i viktige strategiske dokumenter og systemer (TTS, TIMP) som danner grunnlag for sikker drift av innretningen, inkludert Drift og Vedlikehold strategidokument.

En gjennomgang av Hydro og Statoils granskingsrapporter etter hydrokarbonlekkasjer på Heimdal (2002-2011, ref. dok 30-41, og 57, 59 og 61) indikerer at de fleste hendelsene har bakgrunn i en kombinasjon av teknisk svikt, svak design og operasjon av anlegget. Det påpekes i flere av disse granskingsrapportene at det har vært gjentakende liknende hendelser i forkant av de granskede hydrokarbonlekkasjene (ref. dok 30, 31, 33, 34, 37, 41). Eksempelvis viser granskingene til gjentatte utfordringer med å skaffe ekstradeler til gamle ventiler (ref. dok. 41), en rekke registrerte lekkasjer fra autoklave blokker og Mapegaz ventiler (ref. dok. 34, dok. 37 og dok. 41), gjentatte hendelser knyttet til samme TEG system (ref. dok. 30) og en rekke hendelser knyttet til sviktende rutiner ved avstengingsplaner (ref. dok. 33).

Granskingsrapportene peker på at mange forhold har vært kjent og rapportert gjentatte ganger uten at de har ført til tiltak for å redusere sannsynlighet for gjentakelse. På tross av en rekke gjennomførte granskinger av hydrokarbonlekkasjer på Heimdal, kom det frem under intervjuene at de ikke var kjent med mønster i årsaksforhold til tidligere hydrokarbonlekkasjer på innretningen, eller anbefalte tiltak for å redusere disse. 

En rekke granskingsrapporter etter tidligere hydrokarbonlekkasjer ved Heimdal peker på at uklare eller lite spesifikke prosedyrer/arbeidsbeskrivelser har hatt betydning for at lekkasjene oppstod (ref. dok. 31, dok. 34, dok. 35).

Operatørens granskingsrapporter (2002-2011) sammenlikner ikke Heimdals lekkasjefrekvens opp mot andre innretninger i Hydro (frem til 2002-2007) eller Statoil, eller jf. andre innretninger på norsk sokkel. Flere rapporter påpeker imidlertid at det er manglende kjennskap til tidligere hendelser på innretningen (ref dok. 30, 31, 33, 34, 37, 41).

Gjennomgang av 10 granskingsrapporter (2002-2011) etter hydrokarbonlekkasjer på Heimdal viser at fem av hendelsene er skjedd i forbindelse med klargjøring og utføring av vedlikehold. De andre hendelser skylder forstyrrelser i prosessanlegget.  Så langt granskingsgruppen har vurdert på bakgrunn av dokumentasjon fra hendelsene er det ikke søkt om AT ifm noen av hendelsene. Disse hendelsene kan knyttes til ”normal” driftsaktivitet (i Drift) og det kan synes som  at operasjonelt arbeid som krever AT og gjennomført SJA tilsynelatende ikke har medført hendelser i denne størrelsesorden. Under intervjuene oppga driftoperatører og ledelse offshore at AT ble anvendt av Drift kun noen få ganger i løpet av et år. Det var ikke kjent av personell i Heimdalorganisasjonen at tidligere lekkasjer i stor grad har skjedd i forbindelse med arbeid utført av Drift. Se også diskusjon om bruk av AT i kapittel 8.

”Vi er tross alt et gassenter”, ble det uttalt under granskingen. Heimdal har ikke boreaktiviteter og hydrokarbonlekkasjer synes dermed som den største bidragsyteren til risiko for Heimdal.

Ptils årlige rapport Risikonivå norsk petroleumsvirksomhet (RNNP ) inneholder en storulykkesindikator for hydrokarbonlekkasjer over 0,1 kg/s med data fra operatørselskapene. Selskapet rapporterer selv egne hendelser til RNNP og de bør derfor være kjent for Statoil og de deler av organisasjonen, som  hendelsene er relevante for. I 2010 ble det gjennomført en studie om årsaker og tiltak knyttet til hydrokarbonlekkasjer på norsk sokkel i regi av RNNP. Studien peker på at en rekke hydrokarbonlekkasjer på norsk sokkel har oppstått på bakgrunn av menneskelig inngripen i tekniske løsninger med uheldig design. Studien identifiserte behov for å redesigne seg vekk fra dårlige løsninger for å redusere risiko. Statoil ble oversendt informasjon om studien etter at den var gjennomført, og den ble også oversendt i forbindelse med et tilsyn påbegynt høsten 2011. Vi ser ikke at denne kunnskapen er gjort kjent eller vurdert tatt i bruk i Heimdalorganisasjonen.

Hydrokarbonlekkasjen på Heimdal 26. mai 2012 har likhetstrekk med årsaker identifisert i studien, jfr avvik 7.1.1, 7.1.2. og 7.1.5. Under intervjuene kom det frem at ingen kjente til innholdet i studien, eller kunne referere til andre liknende studier eller informasjon om årsaker til hydrokarbonlekkasjer. Under siste intervju gjennomført 21. august 2012 kom det frem at Statoil hadde gjennomført en egen årsaksanalyse i 2010 av hydrokarbonlekkasjer for innretningene i Modne Felt. Det var imidlertid ingen som under granskingen kunne vise til analysen, eller bruk av denne til å utvikle egne risikoreduserende tiltak for å unngå fremtidige lekkasjer på Heimdal. Dette tyder på at Statoil UPN og Drift Nordsjøen vest ikke har sikret at Heimdalorganisasjonen var kjent med risiko for hydrokarbonlekkasjer på egen innretning.

Hendelsen med hydrokarbonlekkasje på Gullfaks B 4. desember 2010 har dannet utgangspunkt for omfattende forbedringstiltak i Statoil. Disse er blant annet beskrevet i brev fra selskapet til Ptil datert 28.4.2011, ref dok. 62. Statoil har overfor Ptil bekreftet at alle enheter har gjennomgått de overordnede tiltakene, og at det er etablert relevante tiltakspakker lokalt. Under intervjuene kom det imidlertid frem at det ikke var kjennskap til dette initiativet fra UPN eller til andre risikoreduserende tiltak knyttet til hydrokarbonlekkasjer på Heimdal de siste fem årene. Under granskingsintervjuene fremkom det at årsaksbildet til hendelsen på Gullfaks B 2010 ikke var godt kjent.

Vår forståelse etter intervjuene er at man hovedsakelig forholder seg til enkelthendelser fra synergirapporter og sikkerhetsmeldinger sendt ut etter hendelser, og vurderer tiltak på bakgrunn av disse. Tilgjengelige statistiske data fra hendelser, granskinger eller studier er ikke blitt bearbeidet, systematisert og anvendt i risikoreduserende arbeid på Heimdal.

Hjemmel

• Styringsforskriften § 15 - Informasjon

  (sist endret: 01.01.2011)

• Styringsforskriften § 19 - Innsamling, bearbeiding og bruk av data

  (sist endret: 01.01.2011)

  , første ledd bokstav a., c. og e.

• Styringsforskriften § 23 - Kontinuerlig forbedring

  (sist endret: 01.01.2011)

Svakheter knyttet til kompetanse og risikoforståelse

Beskrivelse

Statoil har ikke sikret at personell både i Heimdals land- og offshoreorganisasjon har nødvendig kompetanse og risikoforståelse for å kunne håndtere arbeidet på en sikker måte.

Begrunnelse

Under intervjuene med personell offshore og på land, og på alle organisasjonsnivå, kom det frem at:

• Det var svak kunnskap om risiko for hydrokarbonlekkasjer på egen innretning, i Heimdalorganisasjonen. Personell i land- og offshoreorganisasjonen hadde ikke fått informasjon om relevante erfaringsdata om hydrokarbonlekkasjer, ref. avvik nr 7.1.6.
• Heimdalorganisasjonen hadde ikke fått informasjon om relevante analyser, som årsaksanalysen av hydrokarbonlekkasjer fra forretningsområdet ”Modne Felt” fra 2010, RNNP studie fra 2010, og tiltak etter GFC-hendelsen samt årsaksanalysen fra ”Modne Felt”, ref avvik 7.1.6.
• Heimdalorganisasjonen hadde ikke vurdert bruk av andre risikoanalyseverktøy for å kartlegge tilstand på prosessanlegget, jfr avvik 7.1.2., og dermed ikke bidratt til å sikre relevant informasjon til brukerne av anlegget.
• Personell ikke hadde fått tilstrekkelig opplæring i Statoils styringsystem, spesifikt dokumentstyring, jfr avvik 7.1.4.
• Personell i Heimdals landorganisasjon og offshore hadde ulike tolkninger av hvorvidt den aktuelle arbeidsoperasjonen, og en rekke andre arbeidsoperasjoner, var underlagt krav til søknad om AT eller ikke. Dette tyder på at de ikke hadde fått tilstrekkelig eller entydig opplæring i anvendelse av AT-systemet (ref. kapittel 8. Diskusjon om usikkerheter).
• Personell hadde ikke oppdatert informasjonsmateriell. I system manual står det at rørlinjen kun skal anvendes til trykkavlasting av Statpipe. Opplæringsmanualer er i begrenset grad oppdatert, ref. avvik 7.1.4.
• Personell hadde ikke fått informasjon og opplæring om den involverte rørlinjen.
• AI Prosess hadde et uavklart forhold til ansvar for arbeidsprosedyrene, og eierskap og nødvendig revisjon av P&ID. AI Prosess involverte seg kun vedrørende endringer i P&ID i forbindelse med modifikasjoner, eller på bakgrunn av feilmeldinger/notifikasjoner fra offshoreorganisasjonen.

Ledelse på alle nivå, både i UPN, Heimdals land- og offshoreorganisasjon, har unnlatt å sørge for at relevante risikoforhold blir belyst og brukt til opplæring av personell. Det fremstår også uklart for oss hvem i Statoil som har ansvar for å innhente, bearbeide og formidle kunnskap om sikkerkritiske forhold til- og i  Heimdalorganisasjonen. 

Informasjon fra intervjuene, totaliteten av identifiserte avvik og begrunnelsen i de nevnte punkter tilsier at risikoforståelsen i Heimdalorganisasjonen knyttet til faren for hydrokarbonlekkasjer på innretningen var mangelfull.

Hjemmel

• Aktivitetsforskriften § 21 - Kompetanse

  (sist endret: 01.01.2023)

  , første ledd

• Styringsforskriften § 6 - Styring av helse, miljø og sikkerhet

  (sist endret: 01.01.2011)

  , andre ledd

Utilstrekkelig kapasitet på brannvannsystemet

Beskrivelse

Brannvannsystemet hadde ikke tilstrekkelig brannvannforsyning til å sikre tilstrekkelig kapasitet når deler av forsyningen var ute av drift.

Begrunnelse

I mottatt dokumentasjon og i intervju kom det fram at det var feil med brannvannsforsyningen i en periode i forbindelse med hendelsen. Vi registrerer at det i granskingsrapporten til Statoil er beskrevet at det ikke var brannvannsforsyning i ca en time. En brannpumpe gikk tom for kjølevæske og måtte stoppes.

Hjemmel

• Innretningsforskriften § 36 - Brannvannforsyning

  (sist endret: 01.01.2021)

  , jf. forskrift for produksjon og hjelpesystemer (1980) punkt 12.2.4., 12.2.6. og 12.4.3. under kapittel 12 om brannslokking

• Styringsforskriften § 5 - Barrierer

  (sist endret: 01.01.2015)

Utilstrekkelig kapasitet på eksplosjonsvegg mellom produksjonsområdet og boreområdet

Beskrivelse

Området mellom produksjon og boring er ikke utformet slik at konsekvenser for eksplosjon er tilstrekkelig ivaretatt.

Begrunnelse

En antenning av gasskyen, identifisert i Statoils eksplosjonsanalyse, ville ført til overskridelse av designtrykk mot mudmodul i boreområdet. Veggen mellom modul M40 og M50 er ikke designet for å tåle eksplosjonstrykket fra den aktuelle gasskyen i hendelsen.

Hjemmel

• Innretningsforskriften § 7 - Hovedsikkerhetsfunksjoner

  (sist endret: 01.01.2023)

  jf produksjons- og hjelpesystemer på produksjonsanlegg mv (1980) punkt  2.6.1 under kapittel 2.6. om arrangering av de enkelte områder.