Risikostyring i Equinor
Beskrivelse
Den ansvarlige har ikke valgt tekniske, operasjonelle og organisatoriske løsninger som reduserer sannsynligheten for at det oppstår skade, feil og fare- og ulykkessituasjoner. Det var manglende risikostyring og forståelse for el-sikkerhet i anlegget og mangler med håndtering av beredskapen.
Begrunnelse
Risikostyring i Equinor er en omfattende prosess med mange arbeidsprosesser, den er gjerne illustrert med figuren nedenfor, se også våre kommentarer til denne i vår tilsynsrapport - tilsynet med Equinors risiko- og barrierestyring, vår referanse 2020/796.
I granskingen har vi sett at risikostyring og forståelse for el-sikkerhet har mangler:
- MIS-risk oversikt synliggjorde og hadde tiltak med «skifte 6 kV tavler og installere lysbuevern på 440 V og 13,8 kV», men inkluderte ikke VSDS-tavlen eller 600V boretavle (NN-101A) i Archer sitt ansvarsområde, se kapittel 6. Tilsvarende er Equinor sin avviksbehandling ikke etablert for boretavlene der Archer har vedlikeholdsansvar, se avvik 9.6
- Det var manglende beskyttelse mot termiske virkninger i det elektriske anlegget, se avvik 9.
- Tekniske svakheter i anlegget, se kapittel 3.
- Oppfølging av integriteten på det tekniske anlegget, se kapittel 5 om beslutningsprosesser og informasjonsoverføring.
- Planlegging av arbeidet, se avvik 8. Studie som ble utført for å kartlegge lysbuenivå i anlegget ble ikke formidlet og presentert på en måte som sikrer at relevante brukere fikk den nødvendige informasjonen for å kunne planlegge og utføre aktivitetene på en sikker måte.
Granskingen viser at en god håndtering av beredskapen er avhengig av gode tekniske barriereelementer som kan identifisere tilstander, redusere muligheter for at feil, fare- og ulykkessituasjoner utvikler seg og begrenser mulig skade og ulempe. Operasjonelle og organisatoriske barriereelementer vil i tillegg være viktige for å kunne begrense skade og ulempe.
Granskingen viser mangel med risikostyring knyttet til beredskapshåndteringen, se avvik 9.11 og avvik på barrierestyring med mangler med strategier og prinsipper for barrierenes funksjon:
- Deteksjon, gass ble trolig feil detektert (usikkerhet rundt gassdeteksjon i M15), se kapitel 11.
- Bekreftet gass i M15 førte ikke til full tennkildeutkobling, sikkerhetsstrategien for Statfjord B beskriver heller ikke denne strategien.
- Beredskapsorganisasjonen koblet ikke ut alle tennkildene manuelt (men dette var beskrevet som et operasjonelt barriereelement i sikkerhetsstrategien for PS6 tennkildekontroll).
- Skadested ble etablert like ved M15 der hvor det noen minutter senere ble detektert gass.
Søk og redningslag gikk inn i et rom hvor det var detektert gass, og ikke alle tennkilder var koblet ut.
Hjemmel
Barrierestyring
Beskrivelse
Det var mangler med strategier og prinsipper for barrierenes funksjon.
Begrunnelse
a) Mangler med beskrivelse av risikoforhold i Sikkerhetsstrategi
Barrierestrategien (sikkerhetsstrategien) beskriver resultat av analysene, vurderinger og de påfølgende beslutninger som er tatt med hensyn til behov for risikoreduserende tiltak. I Sikkerhetsstrategien for Statfjord B, kap 5.3.6 om PS6 tennkildekontroll, er det en god og omfattende beskrivelse av strategien med utkobling av tennkilder. Eksempelvis er det for tennkilder gruppe 2 - lokalisert i mekanisk ventilerte uklassifiserte områder/rom beskrevet: Dersom gass er til stede i slike rom, er sannsynligheten stor for at den har kommet inn via et ventilasjonsinntak. Situasjonen er da alvorlig, slik at en må koble ut potensielle tennkilder i disse rommene. Rom som har dører, luker eller sluser mot eller i nærheten av klassifiserte områder har gassdeteksjon installert i rommet. System for utkobling av potensielle tennkilder i slike rom må derfor eksistere, enten ved selektiv utkobling eller initiering av ESD E ved bekreftet gassdeteksjon.
I kontrollrom M15 var det to gassdetektorer uten at disse var beskrevet i områdespesifikk beskrivelse (kap 5.4.4. i sikkerhetsstrategien) . I «Cause and Effect» diagram for M15 er det kun delvisutkobling av tennkilder i rommet.
b) Mangler ved oppfølging av operasjonelle og organisatorisk barriereelementer
I granskingen er det avdekket at beredskapsledelsen hadde lite kjennskap til tennkildeisolering med nødavstengingsnivået ESD E og D, se kapittel 7.3 og 7.4. I Sikkerhetsstrategien, kap 5.3.6 om PS6 tennkildekontroll, er ESD E og D beskrevet som operasjonelle barriereelement (OBE). Det var ikke trening på disse OBE’ene.
c) Manglende robusthet i lufttilførsel til delugeventil i boring
Delugeventil i boring var koblet til arbeidsluft. De andre delugeventilene i brannvannsystemet på Statfjord B var koblet til instrumentluft og ble ikke utløst under hendelsen.
Hjemmel
Manglende kompetanse og opplæring
Beskrivelse
Archer hadde ikke sikret at personellet hadde den kompetansen som var nødvendig for å kunne utføre aktivitetene i henhold til helse-, miljø- og sikkerhetslovgivningen, inkludert håndtering av fare- og ulykkessituasjoner.
Begrunnelse
Mekaniker som bidro i arbeidet med å bytte bryter hadde ikke fått nødvendig opplæring. Vedkommende var ikke elektrofagarbeider eller hadde nødvendig og påkrevd opplæring for å kunne bistå med arbeid i elektriske anlegg.
Områdeansvarlig i tavlerommet hadde ikke opplæring i håndtering av brann i tavlerom.
Hjemmel
Vedlikeholdsarbeid foregikk på natt
Beskrivelse
Vedlikeholdsarbeidet foregikk på natt selv om det ikke var nødvendig for å opprettholde produksjonen eller aktiviteter direkte knyttet til bore- og brønnoperasjoner.
Begrunnelse
Utskiftning av bryter ble gjennomført på nattskift, ulykken skjedde kl 02:30.
Gjennomføring av jobben var ikke tidskritisk grunnet stans i boring. Det foregikk produksjon på Statfjord B da hendelsen inntraff. Gjennomføringen av arbeidet på natt er ikke i overenstemmelse med vilkårene for når nattarbeid er tillatt.
Hjemmel
Mangelfull informasjonsdeling og bruk av informasjonssystemer
Beskrivelse
Mangler ved informasjonsformidling for å kunne planlegge og utføre aktivitetene på en forsvarlig måte. Det var ikke etablert informasjons- og kommunikasjonssystemer som ivaretok behovet for innhenting, bearbeiding og formidling av data og informasjon internt på innretningen eller eksternt.
Begrunnelse
- Gjennom intervjuer fremkom det at kritisk informasjon ble formidlet via e-post til felles postkasser uten oppfølging om informasjonen var mottatt, forstått og ivaretatt av mottagerne.
- Sikkerhetskritisk informasjon ble ikke loggført eller formidlet gjennom etablerte rapporteringssystemer/avvikssystemer.
Hjemmel
Equinor har ikke påsett at Archer etterlever krav gitt i HMS-lovgivingen
Beskrivelse
Equinor har ikke påsett at Archer etterlever krav som er gitt i helse-, miljø og sikkerhetslovgivingen.
Begrunnelse
Equinor som ansvarlig for Statfjord B skal følge opp alle elementer i eget og andre deltageres styringssystem og se til at det fungerer etter hensikten og at kravene i helse-, miljø og sikkerhetslovgivingen er etterlevd. Oppfølgingen skal bidra til å identifisere tekniske, operasjonelle og organisatoriske svakheter, feil og mangler.
Eksempler på mangelfull oppfølging er:
- Det ble opprettet et internt avvik gyldig for tavler der Equinor er vedlikeholdsansvarlig (disp 181758). Det ble ikke etablert tilsvarende internt avvik for boretavler der Archer er vedlikeholdsansvarlig. Avviket angår tavler med hendelsesenergi over 8 cal/cm, slike tavler finnes både i boring og produksjon.
- Archer sin vedlikeholdsutførelse avviker fra Equinor sin praksis på elektrisk utstyr, og det er heller ikke noe samkjøring av FV-programmene mellom Equinor og Archer. Det fremkom ikke i granskingen at det var utført tiltak som sikrer att Equinor har tilstrekkelig oppfølging av Archer sitt vedlikeholdsarbeid (ref. kapitel 6.7).
Etter tilsyn med elektriske anlegg og teknisk sikkerhet på Grane i 2017, gav Petroleumstilsynet ett forbedringspunkt til Statoil/Equinor vedrørende manglende opplæring av mekaniker som assistere ved arbeid i og drift av elektriske anlegg. Svaret den gang var at praksis skulle endres til at personell som bistår med arbeid i elektriske anlegg enten skal være en elektrofagarbeider eller ha nødvendig dokumentert opplæring.
Hjemmel
Mangler i vedlikeholdsprogram og forbedring av vedlikeholdsarbeidet
Beskrivelse
Archer har ikke ivaretatt sitt ansvar for at sikre at vedlikeholdet er i henhold til HMS kravene. Vedlikeholdsprogram er mangelfullt med hensyn til aktiviteter for overvåking av ytelse og teknisk tilstand, som sikrer at sviktmodi under utvikling eller som har inntrådt blir identifisert og korrigert
Begrunnelse
Granskingen viser at Archers vedlikeholdssystem og vedlikeholdsoppfølging er mangelfull med hensyn til:
- Teknisk kvartalsrapport fra Archer inkluderte ikke informasjon om det elektriske anlegget.
- Archer kunne ikke forklare hvordan en bruker vedlikeholdsdata til forbedringsarbeid. Et system for å analysere og følge opp vedlikeholdseffektivitet var også manglende.
- Gjennom intervju kom det frem at Archer ikke har tilstrekkelig oversikt over svekkelser/avvik. Godkjente avvik var ikke del av Archer sin rapportering og Archer hadde ikke et eget avviksregister.
- Archer kunne ikke legge frem Feilmodie analyse for valg av vedlikeholdsaktiviteter.
- Status på teknisk tilstand og eventuelle svakheter var ikke inkludert i vedlikeholdsprogrammet.
- En sjekk av FV-programmet for “06 MND FV ELEKTRO AUS VERKTØY KONTROLL” er utilstrekkelig beskrevet. Programmet sier ikke noe om hvordan sjekk skal utføres, ei heller hva som er akseptkriteriet som FV-programmer skal beskrive.
Hjemmel
Mangler ved lysbuestudie og formidling av nødvendig informasjon
Beskrivelse
Studie som ble utført for å kartlegge lysbuenivå i anlegget på Statfjord B ble ikke utarbeidet i forhold til valgt metode. Studien, og resultatet fra denne, ble ikke formidlet og presentert på en måte som sikrer at relevante brukere har den nødvendige informasjonen for å kunne planlegge og utføre aktivitetene på en sikker måte.
Begrunnelse
Retningslinje for spesifisering og utføring av lysbueberegninger i henhold til anvendt metode ble utgitt i 2014. Denne definerer anbefalt minimum ved utføring av detaljert lysbuestudie basert på IEEE 1584™. Lysbuestudie utført av Equinor dekket ikke alt utstyr hvor man sannsynligvis vil utføre vedlikehold eller inspeksjon under spenning. Det var heller ikke innhentet relevant informasjon om det spesifikke anlegget fra bruker av anlegget (Archer).
Resultatet fra lysbuestudien ble formidlet til relevant personell via e-postadresse tilhørende stillinger om bord. Det kunne ikke dokumenteres at relevant personell på alle skift har mottatt og lest denne informasjonen. Informasjonen som ble formidlet vedrørende resultatet av studien manglet viktig informasjon vedrørende betingelser, forutsetninger og avgrensinger lagt til grunn for lysbuestudien. Lysbuemerking av VSDS tavle var misvisende og forespeilet ikke hendelsesenergien for aktuelt sted.
Roller og ansvar i prosessen ved utarbeiding av lysbuestudien og formidling av resultatet fra denne var uklart.
Hjemmel
Manglende beskyttelse mot termiske virkninger
Beskrivelse
Den ansvarlige har ikke valgt tekniske løsninger som reduserer sannsynligheten for at det oppstår skade, feil, fare- og ulykkessituasjoner. Det var manglende beskyttelse mot termiske virkninger i det elektriske anlegget.
Begrunnelse
Ved lysbuehendelsen i VSDS tavle NU 19802 gikk det 2-3 sekunder før oppstrøms vern koblet ut strømforsyningen til tavlen. Dette vernet er plassert i 13.8 kV hovedtavle, og forsynte opprinnelig en enkelt trafo. I forbindelse med oppgradering av boreanlegget i 2009 ble dette endret til at avgangen nå forsyner to transformatorer parallelt.
Det fremkommer i elektrotekniske studier fra oppgraderingsprosjektet at man ved feil i VSDS tavlens innkommer, vil havne i den termiske delen av utløserkurven til forankoblet vern. Dette vil igjen gi forholdsvis lang utkoblingstid og økt fare for skade på personell, utstyr og brann. Det fremkommer ikke i dokumentasjon for tavlen hva kortslutningsholdfastheten er ved varigheter på tre sekunder. Det er således usikkert om tavlen er egnet for de ytelser man har i anlegget.
Det var på ulykkestidspunktet ikke installert lysbuevern i tavlen. Om installert, kunne dette vernet ha koblet fra tavlen på et tidligere tidspunkt og redusert skadeomfanget. Det var pågående arbeid med å installere lysbuevern på andre tavler på Statfjord B. VSDS tavlen var ikke inkludert i dette arbeidet. Forslag om å inkludere denne tavlen var blitt fremmet av personell om bord, men fjernet fra arbeidsomfanget.
Hjemmel
Henvisning til annet regelverk
Innretningsforskriften § 46 om elektriske anlegg (2009) bokstav b, inklusiv veiledning.
Manglende beskyttelse mot avbrudd og tilstrekkelig selektivitet mellom vern ved feil i anlegget
Beskrivelse
Ved endringer i det elektriske anlegget har man ikke sikret selektiv utkobling av feilstrømmer. Man har ikke benyttet egnede vern som sikrer mot feil, fare- og ulykkessituasjoner som følge av blant annet feil i spenningsregulator.
Begrunnelse
Hendelsen i VSDS tavle NU 19802 førte ikke til selektiv utkobling av forbruker som forårsaket feilstrømmen. Feilen førte også til utkobling av generator A og feilmelding på spenningsregulator (AVR) som igjen førte til tap av hovedkraft.
Henvisning til annet regelverk
Innretningsforskriften § 46 om elektriske anlegg (2009) inklusiv veiledning Jf. IEC 61892-2 (2005) 9.4.2.
Mangler ved håndtering av fare- og ulykkessituasjoner
Beskrivelse
Det var ikke satt i verk nødvendige tiltak så raskt som mulig i fare- og ulykkessituasjonen på Statfjord B.
Begrunnelse
Etter kortslutning i tavleskap W11 observerer elektriker natt at det brenner inni tavlen og henter CO2-apparat i naborommet for å forsøke å slukke brannen. Elektriker prøvde å slukke gjennom rist i tavledør, men grunnet liten effekt ble tavledøren åpnet, noe som resulterte i at svart røyk veltet ut. Vedkommende tømte CO2-apparatet i tavlen og forlot rommet. De involverte personene i W11 ble skadet av røyken.
Archer boresjef sendte 10.8.2020 informasjon på e-post til Equinor sin produksjonsleder og boreleder om endring av Archers beredskapsrolle (ARL). Equinor ble bedt om å overta ARL-funksjon på natt i boring sine områder fra 12.8.2020. Denne informasjonen hadde ikke beredskapsorganisasjonen på natt den 18.8.2020 fått, og de prøvde gjentatte ganger uten resultat å få tak i ARL fra boring siden det var røyk i et av Archer sine tavlerom.
I aksjonsplanen for Statfjord B for gasslekkasjer og branner (DFU 1 og 3) skal det vurderes å isolere tennkilder og annonsere skadestedssenter. Det ble ikke gjort. Skadestedssenteret ble opprettet like ved M15 der det etter noen minutter ble detektert gass. Vi kan heller ikke se at sikkerhet for innsatspersonell ble tilstrekkelig vurdert. Dette basert på at gassdeteksjonen skjedde i et rom der ikke alle tennkilder var koblet ut og det var detektert brann i rommet. Det ble informert om dette på plattformen (over PA-anlegget), men denne informasjonen medførte ikke endring av handlingsmønsteret for entring av dette rommet. Søk og redningslaget entret tavlerommet uten at alle tennkildene var koblet ut. For tavlerom W11 ble tennkilder koblet ut etter ca 40 minutter og deretter ble rommet entret.
Generell alarm ble aktivert fra SKR. Den ble slått av igjen etter noen minutter uten at dette ble fulgt opp med informasjon over PA. Dette skapte forvirring hos personell. Archer personellet mønstret ikke i henhold til alarminstruks.
I intervjuer fremkom det at det var utarbeidet en innsatsplan for kontrollrom M15, men ikke for tavlerommet W11 i boring, men en plan for entring av W11 ble gjort før entring.
I granskingen fremkom det at beredskapsorganisasjonen hadde lite kjennskap til tennkildeisolering med nødavstengingsnivåene ESD E og D.
Hjemmel