System for barrierestyring
Beskrivelse
Det er ingen klar sammenheng mellom risikoanalyser og strategi og videre til spesifikke ytelseskrav til barriereelementer. Det er videre mangelfull samordning, konsistens, sporbarhet og presisjon i og mellom flere av dokumentene som utgjør grunnlaget for barrierestyringssystemet.
Begrunnelse
Ptil har vurdert ut fra oversendte dokumenter om Alvheim møter kravene i styringsforskriften § 5 der det det framkommer at operatøren skal fastsette de strategiene og prinsippene som skal legges til grunn for utforming, bruk og vedlikehold av barrierer, slik at barrierens funksjon blir ivaretatt gjennom hele innretningens levetid. Det skal være kjent hvilke barrierer som er etablert og hvilken funksjon de skal ivareta, samt hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendig for at den enkelte barriere skal være effektiv.
I veiledningen framkommer at strategiene og prinsippene bør utformes slik at de medvirker til å gi alle involverte en felles forståelse av grunnlaget for kravene til de enkelte barrierene, deriblant hvilken sammenheng det er mellom risiko- og farevurderinger og kravene om og til barrierer.
Som nevnt i kapittel 4 er vårt inntrykk at det for Alvheim er god oppfølging av barrierer i drift når det gjelder identifiserte mangler/svekkelser og utestående vedlikehold av barrierer.
Nedenfor følger våre observasjoner og vurderinger når det gjelder mangler ved systemet for barrierestyring:
- Vi har ikke blitt forelagt en beskrivelse av styringssystemet for Alvheim som inkluderer beskrivelse av, og oversikt over, systemet for risiko- og barrierestyring. Sammenhengen mellom de ulike elementene i barrierstyringen for Alvheim er derfor uklar.
- Når det gjelder sikkerhetsstrategi er det ikke klart hvilket dokument som beskriver en oppdatert strategi for barrierene på Alvheim. Både "Alvheim FPSO Safety Barriers" og "Fire, Explosion, Escape and Rescue Strategy Alvheim FPSO (FEERS)" inneholder elementer av dette uten at noen av dem i tilstrekkelig grad møter kravene i styringsforskriften § 5:
- Det er ulik inndeling i barrierefunksjoner i "FEERS" og "Safety Barriers", og det er ikke klart hva som er sammenhengen mellom disse dokumentene.
- "FEERS"-dokumentet framstår som et prosjektdokument som ikke inneholder endelige konklusjoner om hvordan barrierene er utformet og krav til disse. Dokumentet har tydelig fokus på design og er ikke tilpasset for oppfølging i drift. Dokumentet er heller ikke gitt ut som "as-built" og siste revisjon er datert 2007.
- "Safety barriers" er heller ikke utgitt som "as-built" og inneholder formuleringer som:
- 7.1:"It is expected that the required performance for the safety functions is detailed out throughout the project…."
- BS 5.3.8: "CO2 to be replaced by Inergen mid 2010"
- Hverken "FEERS" eller "Safety Barriers" er områdespesifikke.
- I FEERS er det gitt sårbarhetskrav mot brannscenarioer for blant annet nedstengingssystemer, mens dette ikke er nevnt for fakkelsystemet.Det er ikke en klar sammenheng mellom risiko- og farevurderinger og strategi:
-
- Identifisering av potensielle fare- og ulykkessituasjoner må gjennomføres tilstrekkelig detaljert for at man skal kunne identifisere alle situasjoner som det enkelte barriereelement kan ha en rolle i å håndtere. I Alvheim QRA (kapittel 5) står det at fareidentifikasjonen ble gjennomført pr system/område, men fare- og ulykkessituasjoner er ikke uttømmende definert per område i hverken QRA eller i "Alvheim Area Risk Summary". I sistnevnte dokument er riktignok de viktigste faremomentene beskrevet per område. Imidlertid mangler områder som for eksempel kontrollrom, brannpumperom, nødgeneratorrom osv.
- Hverken "FEERS" eller "Safety barriers" er basert på siste versjon av "Alvheim QRA". QRA er utgitt i 2013, mens "FEERS" og "Safety barriers" er sist oppdatert i henholdsvis 2007 og 2010.
- Hverken "FEERS" eller "Safety barriers" inkluderer alle identifiserte potensielle fare- og ulykkessituasjoner, og det er derfor uklart hvordan det er dokumentert at det på Alvheim er etablert de nødvendige barrierer for å håndtere det spesifikke risikobildet.
-
- Når det gjelder spesifikke ytelseskrav har vi gjort følgende observasjoner:
- Både "Engineering performance standards" for ulike systemer og vedlegg B til "Alvheim FPSO Safety Barriers" inneholder ytelseskrav. I tillegg ble blant annet følgende dokumenter presentert som ytelsesstandarder:
- Safety requirements specification (SRS) for Alvheim FPSO
- Alvheim Critical Valves Leak Test Procedure
- Alvheim Instrumented Over Pressure Protection System (VISOP) – Yearly Functional Test
- Det er uklart hvilke dokumenter som skal gi en total og oppdatert oversikt over gjeldende ytelseskrav.
- "Engineering performance standards" for system 71 brannvann og system 75 passiv brannbeskyttelse har tydelig fokus på design og ikke drift. Begge dokumentene er utgitt som "as-built", men er ikke oppdatert siden desember 2007.
- PS for system 71, 5.7 20.2.4 0-3 oppgir at "Nozzles for area coverage on fully open process and drilling areas are of the high velocity types". Gjennom presentasjoner og samtaler i tilsynet fikk vi opplyst at på grunn av problemer med marin groing ble HV dysene byttet ut med dyser med større åpning i 2013.
- Flere av ytelseskravene er generelle, lite spesifikke og lite sporbare. For eksempel system 75, 3.6.2:
- "PFP is applied to all relevant structures, based on a case-by-case evaluation"
- "Regarding structures and pipe support for critical systems such as flare piping, a limited number of the total pipe supports will be protected as required". (ref. avvik i kapittel 5.1.3 )
- FEERS oppgir følgende i kap. 12.1: "The objective of the active fire protection systems is to: …. Reduce explosion loads where relevant". Det er ikke spesifikke ytelseskrav om hvor det er relevant å bruke brannvann til å redusere eksplosjonslaster i hverken PS for system 71 eller "Safety Barriers"-dokumentet.
- "Safety Barriers"-dokumentet oppgir 30 sekund lukketid for PSD- og ESD-ventiler, mens dokumentet "PM test og kalibreringsdata ESD valve" oppgir andre lukketider.
- Som punktene over indikerer er det behov for å oppdatere mye av dokumentasjonen som inngår i barrierestyringen. I tillegg ble følgende dokumenter oversendt oss som "draft"-versjoner:
- Function Safety Management Alvheim Area
- Safety Requirement Specification Alvheim Are
- Begrepene "design accidental load" og "dimensioning accidental load" er ikke brukt i henhold til definisjonene i NORSOK Z-013.
- I "Design Accidental Load Specification", FEERS og PS for system 75 er forkortelsen DAL benyttet for "Design Accidental Load" ikke "Dimensioning Accidental Load" slik som i NORSOK Z-013.
- I både FEERS, PS for system 75 og QRA er vårt inntrykk at man bruker begrepene "design loads" og "dimensioning loads" om hverandre, eksempelvis:
- FEERS
- 6: "Using passive fire protection on critical structures and equipment to withstand the dimensioning fire loads".
- PS system 75,
- 3.2.1: Hovedbrannskiller skal motstå "dimensioning accidental load", men oppgir samtidig "design fire loads"
- 3.3.2:
- "PFP is applied to all primary load-bearing structures within areas with dimensioning fire loads "
- "This analysis do hence document that the structure can withstand the dimensioning fire with unprotected top flanges and no deluge water."
- QRA:
- 2.7: "DAL - Dimensioning/Design Accidental Load"
Hjemmel
Mangler ved prosessikringssystemet
Beskrivelse
Det ble avdekket en prosessikringsventil som ikke testes i henhold krav. Lukketid for ventiler i nedstengningssystemet (PSD) er ikke tilstrekkelig dokumentert.
Begrunnelse
Testintervall:
Tester av sikkerhetskritiske komponenter registreres som notifikasjoner i vedlikeholdsprogrammet. Utgangspunkt for design er årlig testfrekvens dersom ikke annet er spesifisert. Det ble forklart i møter at testfrekvens på sikkerhetskritiske instrument og ventiler i forhold til å møte definerte SIL krav er dokumentert i Safety requirements specification (SRS) for Alvheim FPSO.
I SRS tabell 5.2 er det definert en rekke sikkerhetsfunksjoner som ikke møter definert SIL krav til funksjonen med mindre testintervall reduseres. SRS er utgitt "as built" og er ikke oppdatert i etterkant av opprinnelig utgivelse med dokumentasjon som tilsier at testintervall kan økes.
Det ble foretatt en sjekk på to av sikkerhetsfunksjonene som er identifisert med følgende testbehov:
20-PH-022 (overtrykk 2.trinns Separator) – definert test intervall <1200 timer for å møte krav
24-PH-146 (overtrykk Glycol Flash Drum)- definert test intervall <4380 timer for å møte krav
Informasjon i vedlikeholdssystemet viste testintervall på to ganger pr år for disse funksjonene. For 20-PH-022 er det ikke samsvar mellom krav i SRS og testintervallet i vedlikeholds-systemet.
Test av ESD ventiler er beskrevet i følgende prosedyre: 3203-O-MPC-I-DS-00-0005. Ventiler som har både ESD og PSD funksjoner er i testprosedyren beskrevet med årlig testintervall og er da ikke i samsvar med SRS.
Lukketid:
Prosessikringen skal utformes med to uavhengige sikringsnivåer for beskyttelse av utstyr. Responstid på systemet er viktig i forhold til om primærbarrieren fungerer som en selvstendig barriere. I forbindelse med VISOP systemet for beskyttelse av innløpsseparatorer er det satt krav til lukketid på ventiler. For øvrige ventiler med PSD funksjon ble det oppgitt i møte at det er benyttet lukketid på 2 sekunder per tomme. Det er imidlertid ikke dokumentert om dette er tilstrekkelig for å ivareta prosessikringen.
Hjemmel
Mangelfull passiv brannbeskyttelse
Beskrivelse
Det er manglende passiv brannbeskyttelse på rørstøtter for fakkelsystemet og dokumentasjonen er mangelfull.
Begrunnelse
I forbindelse med verifikasjonene i anlegget ble det observert manglende passiv brannbeskyttelse på rørstøtter til rør i fakkelsystemet (linjenummer :VF-43L0220).
Strategi for bruk av passiv brannbeskyttelse (PBB) er uklar og er spredd på flere dokumenter. Ytelsesstandard på passiv brannbeskyttelse sier at det skal være PBB på rørstøttene i fakkelsystemet dersom det er behov for det, men dokumentasjonen som viser det reelle behovet mangler. Ref. også punkt 5.2.2.
Hjemmel
Henvisning til annet regelverk
Innretningsforskriften 3. september 2001 § 28 om passiv brannbeskyttelse
Mangelfull risikoanalyse (QRA)
Beskrivelse
Risikoanalysen inneholder ikke nødvendige vurderinger av følsomhet og usikkerhet.
Begrunnelse
Innretningens barrierer dimensjoneres blant annet basert på det etablerte risikobildet. En robust risikoanalyse med vurderinger av usikkerhet og følsomhet er en nødvendig del av grunnlaget for en forsvarlig barrierestyring.
Regelverket har krav til risikostyring og risikovurdering, deriblant vurderinger av usikkerhet og følsomhet. NORSOK Z-013 utgjør blant annet forskriftenes normative referanse og danner dermed et minimumsnivå. Z-013 setter blant annet i kapittel 5.6.2 krav til analysene slik at beslutninger skal kunne tas på best mulig opplyst grunnlag, det vil si at kunnskapsstyrken (usikkerheten) i analysens forskjellige deler tydelig formidles til beslutningstakere og eksponert personell. Risikoanalysen for Alvheim oppfyller ikke helheten i disse kravene. Vi har tatt utgangspunkt i Alvheim QRA, men kravene gjelder alle risikoanalyser.
Vi har observert følgende når det gjelder vurdering av usikkerhet, antakelser, forutsetninger og sensitivitetsanalyser i Alvheim QRA:
- Diskusjonen av usikkerhet i kapittel 3.4 inkluderer ikke:
- Hvilket risikoperspektiv som er valgt og effekt og nivå av usikkerhet gitt dette perspektivet. Ettersom usikkerhet tolkes på forskjellige måter avhengig av hvilket risikoperspektiv man velger kan man ikke ha en komplett usikkerhetsvurdering før et risikoperspektiv er valgt.
- Diskusjon av usikkerhetens mulige implikasjoner for analysens hovedresultater.
- Vurdering av "uventede utfall" som resultat av ugyldige antakelser og premisser, eller manglende kunnskap.
- Sensitivitetsvurderingene i kapittel 10 i QRA er kvalitative vurderinger og sier lite om hvilken effekt potensielle endringer vil ha målt mot risikoakseptkriterier. Sensitivitetsanalyser er en del av en helhetsvurdering av hvordan risikoen presenteres. Det bidrar til å oppfylle regelverkets krav om nyansert og helhetlig framstilling av analyse og resultat, og kravet i Z-013 delkapittel 5.6.2.d om et balansert, mange-fasettert og helhetlig risikobilde. Vi minner også om at man ikke nødvendigvis kun bør måle opp mot risikoakseptkriteriene, men at å måle effekten av andre mål på risiko vil kunne gi et mer robust beslutningsgrunnlag. Skal man for eksempel måle effekten av varmt arbeid, kan beskrivelse av endringen i frekvens av antente hydrokarbonlekkasjer bidra til et mer robust beslutningsgrunnlag.
- Omfang av varmt arbeid er ikke oppgitt i vedlegg A "Assumptions".
- Omfang av løfteaktivitet er ikke oppgitt i vedlegg A "Assumptions", nr. O2.
- Det blir ikke foretatt en regelmessig oppfølging av antakelser og forutsetninger for å vurdere gyldigheten av disse utover ved oppdatering av QRA.
- Sentrale begreper som sannsynlighet, frekvens, forventningsverdi og konservativisme er ikke definert og diskutert i QRA.
QRA informerer ikke systematisk om mulige begrensninger i modellene, eller eventuelle uenigheter mellom eksperter.
Hjemmel