Petroleumstilsynet (Ptil) gjennomførte i tidsrommet 4.-18.3.14 tilsyn med Marathons oppfølging av tekniske og operasjonelle barrierer for produksjonsskipet Alvheim FPSO.
Målsettingen med oppgaven var å vurdere om Alvheim opereres i henhold til regelverket med spesiell vekt på tekniske og operasjonelle barrierer.
Det ble identifisert avvik knyttet til:
Videre ble det identifisert et forbedringspunkt knyttet til
Det er ingen klar sammenheng mellom risikoanalyser og strategi og videre til spesifikke ytelseskrav til barriereelementer. Det er videre mangelfull samordning, konsistens, sporbarhet og presisjon i og mellom flere av dokumentene som utgjør grunnlaget for barrierestyringssystemet.
Ptil har vurdert ut fra oversendte dokumenter om Alvheim møter kravene i styringsforskriften § 5 der det det framkommer at operatøren skal fastsette de strategiene og prinsippene som skal legges til grunn for utforming, bruk og vedlikehold av barrierer, slik at barrierens funksjon blir ivaretatt gjennom hele innretningens levetid. Det skal være kjent hvilke barrierer som er etablert og hvilken funksjon de skal ivareta, samt hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendig for at den enkelte barriere skal være effektiv.
I veiledningen framkommer at strategiene og prinsippene bør utformes slik at de medvirker til å gi alle involverte en felles forståelse av grunnlaget for kravene til de enkelte barrierene, deriblant hvilken sammenheng det er mellom risiko- og farevurderinger og kravene om og til barrierer.
Som nevnt i kapittel 4 er vårt inntrykk at det for Alvheim er god oppfølging av barrierer i drift når det gjelder identifiserte mangler/svekkelser og utestående vedlikehold av barrierer.
Nedenfor følger våre observasjoner og vurderinger når det gjelder mangler ved systemet for barrierestyring:
Det ble avdekket en prosessikringsventil som ikke testes i henhold krav. Lukketid for ventiler i nedstengningssystemet (PSD) er ikke tilstrekkelig dokumentert.
Testintervall:
Tester av sikkerhetskritiske komponenter registreres som notifikasjoner i vedlikeholdsprogrammet. Utgangspunkt for design er årlig testfrekvens dersom ikke annet er spesifisert. Det ble forklart i møter at testfrekvens på sikkerhetskritiske instrument og ventiler i forhold til å møte definerte SIL krav er dokumentert i Safety requirements specification (SRS) for Alvheim FPSO.
I SRS tabell 5.2 er det definert en rekke sikkerhetsfunksjoner som ikke møter definert SIL krav til funksjonen med mindre testintervall reduseres. SRS er utgitt "as built" og er ikke oppdatert i etterkant av opprinnelig utgivelse med dokumentasjon som tilsier at testintervall kan økes.
Det ble foretatt en sjekk på to av sikkerhetsfunksjonene som er identifisert med følgende testbehov:
20-PH-022 (overtrykk 2.trinns Separator) – definert test intervall <1200 timer for å møte krav
24-PH-146 (overtrykk Glycol Flash Drum)- definert test intervall <4380 timer for å møte krav
Informasjon i vedlikeholdssystemet viste testintervall på to ganger pr år for disse funksjonene. For 20-PH-022 er det ikke samsvar mellom krav i SRS og testintervallet i vedlikeholds-systemet.
Test av ESD ventiler er beskrevet i følgende prosedyre: 3203-O-MPC-I-DS-00-0005. Ventiler som har både ESD og PSD funksjoner er i testprosedyren beskrevet med årlig testintervall og er da ikke i samsvar med SRS.
Lukketid:
Prosessikringen skal utformes med to uavhengige sikringsnivåer for beskyttelse av utstyr. Responstid på systemet er viktig i forhold til om primærbarrieren fungerer som en selvstendig barriere. I forbindelse med VISOP systemet for beskyttelse av innløpsseparatorer er det satt krav til lukketid på ventiler. For øvrige ventiler med PSD funksjon ble det oppgitt i møte at det er benyttet lukketid på 2 sekunder per tomme. Det er imidlertid ikke dokumentert om dette er tilstrekkelig for å ivareta prosessikringen.
Det er manglende passiv brannbeskyttelse på rørstøtter for fakkelsystemet og dokumentasjonen er mangelfull.
I forbindelse med verifikasjonene i anlegget ble det observert manglende passiv brannbeskyttelse på rørstøtter til rør i fakkelsystemet (linjenummer :VF-43L0220).
Strategi for bruk av passiv brannbeskyttelse (PBB) er uklar og er spredd på flere dokumenter. Ytelsesstandard på passiv brannbeskyttelse sier at det skal være PBB på rørstøttene i fakkelsystemet dersom det er behov for det, men dokumentasjonen som viser det reelle behovet mangler. Ref. også punkt 5.2.2.
Innretningsforskriften 3. september 2001 § 28 om passiv brannbeskyttelse
Risikoanalysen inneholder ikke nødvendige vurderinger av følsomhet og usikkerhet.
Innretningens barrierer dimensjoneres blant annet basert på det etablerte risikobildet. En robust risikoanalyse med vurderinger av usikkerhet og følsomhet er en nødvendig del av grunnlaget for en forsvarlig barrierestyring.
Regelverket har krav til risikostyring og risikovurdering, deriblant vurderinger av usikkerhet og følsomhet. NORSOK Z-013 utgjør blant annet forskriftenes normative referanse og danner dermed et minimumsnivå. Z-013 setter blant annet i kapittel 5.6.2 krav til analysene slik at beslutninger skal kunne tas på best mulig opplyst grunnlag, det vil si at kunnskapsstyrken (usikkerheten) i analysens forskjellige deler tydelig formidles til beslutningstakere og eksponert personell. Risikoanalysen for Alvheim oppfyller ikke helheten i disse kravene. Vi har tatt utgangspunkt i Alvheim QRA, men kravene gjelder alle risikoanalyser.
Vi har observert følgende når det gjelder vurdering av usikkerhet, antakelser, forutsetninger og sensitivitetsanalyser i Alvheim QRA:
QRA informerer ikke systematisk om mulige begrensninger i modellene, eller eventuelle uenigheter mellom eksperter.
Basert på informasjonen vi mottok i tilsynet er det uklart om det er installert tilstrekkelig antall nødavstengningsventiler i prosessanlegget for å begrense brannbelastningen slik at prosessbranner ikke kan eskalere ut av brannområdet.
Vi ble forklart i tilsynet at oljeutløpet på 3. part og 1. trinn separator har nødavstengningsventil på grunn av at denne linjen går ut av brannområdet, ned på tankdekk, for så å gå inn i brannområdet igjen. Det er derfor installert to nødavstengningsventiler på linjen, før den går ut av brannområdet og der den kommer inn igjen. Vannutløpet på separatorene er ikke seksjonalisert med nødavstengningsventil på grunn av at disse linjene ikke går ut av brannområdet. I dette tilfellet må derfor begge separatorene ses på som et stort hydrokarbonsegment som brannområdet må tåle at slippes ut og brenner opp. QRA vedlegg B definerer 1. trinn og 3. part separator som ulike segment. Dersom dette er en gjennomført filosofi kan det være flere nødavstengningsventiler som mangler i anlegget. Nødavstengningsventilenes rolle er blant annet å dele opp hydrokarbonsegmentene for å begrense brannbelastningen som kan oppstå i et brannområde.
Regelverket krever at innretningen skal kunne motstå at hydrokarbonene fra segmentene avgrenset av nødavstengningsventiler lekker ut med mest ugunstig lekkasjerate og brenner opp uten at det resulterer i at brannen eskalerer ut av brannområdet. Dersom brann fra lekkasje fra et segment kan resultere i spredning innen brannområdet, dvs lekkasje fra ytterligere segment, må også dette tas hensyn til. De valgte designlastene må være tilstrekkelige for å motstå disse senarioene. I "Design Accidental Load" spesifikasjonen og i møte 18.3 ble kom det frem at vurderingene av konsekvenser ved brann gjøres frem til innretningen skal være evakuert. Dersom brannsimuleringene og vurderingene av konsekvensen avsluttes på dette tidspunkt vil en ikke ha dokumentasjon på endelig konsekvens av brannene som kan oppstå, for eksempel om det vil kunne resultere i uakseptable brudd i trykktanker og/eller eskalering ut av brannområdet og tap av innretningen, med påfølgende konsekvens for miljøet. Se også forbedringspunkt 5.2.2.
Det er ikke dokumentert at design av passiv brannbeskyttelse på alle rørsegment og utstyr er tilstrekkelig vurdert.
Det er avdekket mangler på vurderinger for behov for passiv brannbeskyttelse i opprinnelig design dokumentasjon for Alvheim og det er derfor igangsatt en studie som skal dokumentere behovet for passiv brannbeskyttelse på rør og utstyr. De fleste tanker har passiv brannbeskyttelse i dag og usikkerheten skyldes i stor grad om alle rørsegment er tilstrekkelig vurdert.
Studien tar utgangspunkt i metodikk beskrevet i Scandpower guideline og er dokumentert i følgende rapport: Alvheim Blowdown Passive Fire Protection, studierapporten er pr nå i status R: Issued for review comment. Kommentarene nedenfor relaterer seg i hovedsak til metodikk og resultater i denne rapporten.
Innløpsseparatorer:
Det ble informert om i møtet at Alvheim Blowdown Passive Fire protection rapporten vil, når den er fullført, dokumentere behovene for passiv brannbeskyttelse på rør og utstyr uavhengig av hvor det er faktisk er installert pr i dag. Slik rapporten foreligger nå er det ulik konklusjon på Alvheim innløpsseparator og 3. parts innløpsseparator noe som ser ut til å skyldes marginalt ulike startbetingelser i beregningene. Det er uklart om det i tilstrekkelig grad er tatt hensyn til usikkerhet i vurderingene med tanke på at alle felt kan knyttes opp mot begge separatorene. Vi fikk opplyst i møte at Marathon var enig i at konklusjonen burde være lik for begge trykktankene og at dokumentet ikke var ment å være dokumentasjon for å fjerne brannbeskyttelse. Dersom dette tas med i rapporten vil det sikre at denne informasjonen ikke går tapt.
Kjøleeffekt fra brannbekjempelsesutstyr:
Under vurdering av behov for passivbrannbeskyttelse på rør tas det kredit for kjøleeffekt av brannvann. Dette er ikke ihht regelverkskrav.
Varighet i forhold til bruddberegninger:
Vurderinger i forhold til behov for passiv brannbeskyttelse er basert på at uakseptable brudd ikke skal inntreffe i løpet av 30 minutt som er oppgitt tid for evakuering. Dette er ikke ihht regelverkskrav i forhold til at brudd ikke skal inntreffe før trykkavlastning er gjennomført.