Styring av risiko ved oppstart av produksjon etter nødavstengning (Gul ESD)
Beskrivelse
Ved produksjonsoppstart etter nødavstengning ved Gul ESD sikres det ikke i tilstrekkelig grad at viktige bidragsytere til risiko holdes under kontroll, både enkeltvis og samlet.
Begrunnelse
Plattformledelsen beslutter å starte opp produksjonen uten at forutsetningene for oppstart og drift er tilstrekkelig sjekket ut og bekreftet oppfylt. Det iverksettes ikke noen tiltak for å håndtere situasjonsspesifikke risikopåvirkende faktorer som vanskelige arbeidsforhold, høy arbeidsbelastning og utilstrekkelig hvile for kontrollromsoperatørene. Dette er faktorer som må sees i sammenheng med kjente utfordringer knyttet til rammebetingelser og bemanning i sentralt kontrollrom på Eldfisk FTP.
Granskningen avdekket følgende forhold, som samlet sett underbygger avviket:
- Menneskelige faktorer, (ref. kap. 6.2)
o Krav til arbeidsfrie perioder er ikke overholdt (ref. avvik Feil! Fant ikke referansekilden.)
o Belastende arbeidsforhold i kontrollrommet
- Økt arbeidsomfang for kontrollromsoperatører. Assistanse ytes til normaliseringen på Embla. Det skjer i parallell med egen produksjonsoppstart.
- Rammebetingelser i kontrollrommet (ref. kap. 6.4.2.3) i kombinasjon med menneskelige faktorer og generelle oppstartsprosedyrer (ref. kap. 6.4.2.2)
- Anlegg, systemer og utstyr ble ikke sikkerhetsmessig klarert og systematisk sjekket ut som gassfrie før beslutning om produksjonsoppstart og introduksjon av tennkilder, jamfør avvik 7.1.3
Hjemmel
Arbeidsfrie perioder
Beskrivelse
Rammeforskriftens krav til arbeidsfrie perioder er ikke overholdt i forbindelse med oppstart etter nødavstengning.
Begrunnelse
Arbeidstaker skal ha en sammenhengende arbeidsfri periode på minst 11 timer i løpet av ett døgn. Den arbeidsfrie perioden skal plasseres mellom to hovedarbeidsperioder. Den arbeidsfrie perioden kan reduseres til 8 timer dersom arbeidstakerne sikres tilsvarende kompenserende hvileperioder eller, der dette ikke er mulig, annet passende vern.
Det fremkom under granskningen at personell med beredskapsfunksjoner i SKR i perioden med beredskapssituasjon og normalisering, har vært utsatt for høy arbeidsbelastning, arbeid utover normalt skift og med begrenset mulighet for hvile. Ordningen med svingskift som i seg selv medfører mindre hviletid og flere skiftoverleveringer, bidrar også til å forsterke behovet for kompenserende hviletid i denne sammenheng (ref. 6.2).
Arbeidet med normalisering og oppstart etter Gul ESD gjennomføres imidlertid uten endringer i planlagt skiftordning og uten kompenserende hviletid. På dette tidspunkt er man ikke lenger i en situasjon hvor det kan fravikes fra arbeidstidsbestemmelsene, jf AML § 10-12, tredje ledd. Personell på nattskift med beredskapsfunksjoner mobiliserte klokken 09:30 og fram til situasjonen ble avklart ca. 15:30. (ref. 6.2). Personellet startet så sitt vanlige skift igjen klokken 19:00 på kvelden som var et svingskift med varighet fram til klokka 03:00. Mulig hviletid for dette personellet mellom start av to skift var begrenset til periodene 07:00 til 09:30 og 15:30 til 19:00.
Den samlede belastningen for personellet vurderer vi heller ikke å være i samsvar med AML § 10-2, første ledd.
Hjemmel
Sikkerhetsmessig klarering ved produksjonsoppstart
Beskrivelse
Mangelfull sikkerhetsmessig klarering av forutsetningene for oppstart av produksjonen etter nødavstengningen.
Begrunnelse
Det besluttes å igangsette arbeid med å starte opp igjen produksjon uten at det på en systematisk måte er verifisert at innretningene er gassfrie og at potensielle tennkilder er under kontroll i henhold til prosedyre for oppstart etter Gul ESD /14/.
Hjemmel
Prosedyrer
Beskrivelse
Mangelfull etterlevelse av prosedyrer for håndtering av Gul ESD.
Begrunnelse
Det fremkom at det er utformet prosedyrer, men vi observerte følgende eksempler på mangelfull etterlevelse:
- CoPSAS har etablert aksjonsplan for totalt bortfall av strøm (DFU 16), men denne ble ikke benyttet i innledende fase etter at Gul ESD inntraff. Det fremkom under intervjuene at det innledningsvis var uklarheter knyttet til mønstring. De fleste mønstret, men noe fagpersonell som oppfattet at hendelsen skyldtes teknisk svikt valgte å ikke mønstre, men møtte opp i kontrollrommet på Eldfisk FTP.
- Etterlevelse av prosedyre for oppstart etter Gul ESD /14/ var mangelfull, jamfør 7.1.3
Hjemmel
Robusthet mot enkeltfeil og svikt i sikkerhetssystemer
Beskrivelse
Sikkerhetssystem på innretningen er utformet slik at svikt i en komponent kan gi uakseptable konsekvenser.
Begrunnelse
Granskningen avdekket følgende eksempler på systemløsninger som avviker fra nevnte krav:
- I ESD-systemet i nytt lokalt utstyrsrom på Eldfisk A (ref. figur 4) er begge nedstengningssignalene til batteribryterne for UPSene til:
o sikkerhetssystemer koblet til samme single digitale utgangskort i ESD-noden. Feil eller svikt i utgangskortet vil resultere i utkobling av batteriforsyning til UPSene og totalt bortfall av strøm.
o telekommunikasjonssystemene koblet til samme single digitale utgangskort i ESD-noden. Feil eller svikt i utgangskortet vil resultere i utkobling av batteriforsyning til UPSene og utfall av deler av telekommunikasjonssystemene på Eldfisk A og FTP.
- PA-systemet i TER Eldfisk A ble satt ut av funksjon som følge av at en enkel 6 A sikring for batterilader røk under annonsering av viktig PA-melding kort tid etter nødavstengningen.
Hjemmel
Verifisering av designkrav til sikkerhetssystemene før oppstart og drift
Beskrivelse
Mangelfull verifisering av designkrav til sikkerhetssystemene under prosjektering og ferdigstillelse.
Begrunnelse
Granskningen avdekket at enkeltfeil i sikkerhetssystemene kunne gi uakseptable konsekvenser jamfør avvik 7.1.4. Systemene ble tatt i bruk uten at dette ble avdekket i kvalitetssikringsprosesser.
Hjemmel
Manglende uavhengighet mellom kontroll- og nedstengningsfunksjon for nivåmåling
Beskrivelse
Prosessikringssystemet er ikke uavhengig av reguleringsfunksjonen for nivåmåling i oljesumpen på Eldfisk FTP.
Begrunnelse
Sensorer og ventiler som inngår i prosessikringssystemet skal være uavhengig av og i tillegg til reguleringsfunksjonen. Nivåmålere for kontrollfunksjon og nedstengningsfunksjon på oljesumpen er ikke adskilt, men henger på samme kolonne.
Hjemmel
Barrierestyring, risikovurderinger og analyser i forbindelse med modifikasjoner
Beskrivelse
Modifikasjoner av prosessystemer er implementert og idriftsatt uten at det er gjennomført tilstrekkelige risikovurderinger og analyser, herunder modifikasjonens påvirkning på barrierer.
Begrunnelse
Den ansvarlige skal sikre at det utføres risikovurderinger/analyser, som gir det nødvendige beslutningsgrunnlaget for å ivareta helse, miljø og sikkerhet. Det skal settes kriterier for utføring av nye analyser og/eller oppdatering av eksisterende analyser i forhold til endringer i betingelsene, forutsetningene, kunnskap og avgrensningene som enkeltvis eller samlet påvirker risikoen forbundet med virksomheten.
Det er utført tekniske modifikasjoner på sikkerhetskritiske systemer uten at det er gjennomført nødvendige risikovurderinger og analyser. Påvirkningen på eksisterende barriereelementer som en konsekvens av modifikasjonen, er ikke dokumentert.
Vi fant følgende:
- Endring av nivåkontroll mellom kondensatbeholdere og samlesumpen:
Dreneringssystemet knyttes til en trykksatt kilde via dreneringslinje fra kondensatbeholder til samlesumpen. Fakkelsystemet har høyere designtrykk enn dreneringssystemet. I 2010 ble det utført endringer på systemet ved at det ble automatisk nivåregulering på kondensatbeholdere. Basert på funn i HAZOP-rapport ble det også implementert nedstengning på lavt nivå som primærbeskyttelse mot gassgjennomslag fra fakkel til dreneringssystemet. Vurdering av sekundærbarriere mot overtrykk som en konsekvens av gassgjennomslag, er ikke dokumentert og det er usikkert om avluftingslinjen på samlesumpen har tilstrekkelig kapasitet i tilfelle gassgjennomslag fra fakkelsystemet.
- Påmontering av plastslange på luftestuss på overløpslinje på samlesumpen:
Under befaring i forbindelse med granskningen kom det fram at det var påmontert en plastslange på luftestuss på overløpslinjen fra samlesumpen til sjøsumpen. Det er usikkert når denne endringen ble utført men den anslås å være gjort for minst 5 – 6 år siden. Årsaken til denne endringen var ikke kjent for de som var tilstede men den ble satt i sammenheng med aksjoner fra gassdetektor GD-10 (se figur 14). Vi fikk opplyst at det ikke finnes underlag som dokumenterer formell endringshåndtering knyttet til modifikasjonen/installasjonen av nevnte slange. Endringen er ikke beskrevet i driftsdokumentasjon (P&ID) og det er usikkert i hvilken grad konsekvenser av endringen er vurdert i forhold til gassdeteksjonsfilosofi og funksjonen på luftestussen. Modifikasjonen har ført til at luftestussen på overløpslinjen ikke fungerer som forutsatt og dette er det ikke kompensert for.
Hjemmel
Oppdatering av dokumentasjon i forbindelse med modifikasjoner
Beskrivelse
Modifikasjoner av prosessystemer er implementert og satt i drift uten oppdatering av driftsdokumentasjon.
Begrunnelse
Det er utført tekniske modifikasjoner på systemer uten at tekniske driftsdokumenter er blitt oppdatert. Eksempler på dette er:
- Tekniske driftsdokumenter for fakkel og drenering er ikke oppdatert til å reflektere automatisk drenering av kondensatbeholdere (utført i 2010) inkludert nytt PSD-nivå for å hindre gassgjennomslag fra fakkel til dreneringssystemet.
- Designrapport for fakkel dekker ikke hele fakkelsystemet og er ikke oppdatert etter 2003.
- Modifikasjon av luftestuss på overløp fra samlesump – påmontert plastslange – er ikke beskrevet i tekniske driftsdokumenter.
Hjemmel
Konsekvensklassifisering av systemer og utstyr
Beskrivelse
Konsekvensklassifisering av utstyr tilknyttet dreneringssystemet gjenspeiler ikke faktisk konsekvens for sikkerheten.
Begrunnelse
Innretningers systemer og utstyr skal klassifiseres med hensyn til konsekvensene av potensielle funksjonsfeil for helse, miljø og sikkerhet. Åpent dreneringssystem skal fungere som en barriere som reduserer risiko for brann, skade på personell og forurensning på en innretning.
Hendelsen viser at utstyr knyttet til det åpne dreneringssystemet også har betydning for å hindre og begrense akutte oljeutslipp til sjø. Gjennomgangen i vedlikeholdssystemet viste at utstyr i dreneringssystemet (listet under) er vurdert å ha lav betydning for sikkerheten:
- Nivåbrytere LS 6530 og LS 6595 i samlesump
- Pumper (F-67-233A/B) i samlesumpen
- Pumpe (F-67-204) i sjøsumpen
Hjemmel
Vedlikeholdsprogram for dreneringssystemet
Beskrivelse
Den ansvarlige sikret ikke at utstyr i dreneringssystemet ble holdt ved like, slik at det var i stand til å utføre sin tiltenkte funksjon.
Begrunnelse
Under hendelsen sviktet utstyr i dreneringssystemet, som kunne ha bidratt til å forhindre eller begrense det akutte oljeutslippet.
Gjennomgang av system for vedlikeholdsstyring og notifikasjoner avdekket mangler. Blant annet hadde ikke nivåbryterne LS 6530 og LS 6595 i samlesumpen definerte funksjonstester i vedlikeholdsprogrammet.
Systemet viste også gjentatte notifikasjoner i forhold til erfarte problemer med nivåmåling og forslag til alternative måleprinsipp med årelang saksbehandlingstid.
Hjemmel