Risikostyring
Beskrivelse
Risikoanalysen (TRA) gir ikke et tilstrekkelig tidsriktig risikobilde som er representativt for prosjekteringsunderlaget. Den gir ikke et nyansert og helhetlig bilde av risikoen og har mangler i forhold til å gi beslutningstøtte relatert til de prosesser prosjektet står ovenfor.
Resultatene i risikoanalysen viser at flere hovedsikkerhetsfunksjoner foreløpig ikke møter kravene.
Begrunnelse
Den foreliggende Totalrisikoanalysen (TRA) /4/ møter ikke den målsetning som er satt for analysen, den er primært rettet mot å beregne risikonivået på Gina Krog på et høyt nivå og dekker bare i begrenset grad øvrige målsetninger for analysen mhp beslutningsstøtte gjennom detaljengineeringfasen.
Dagens versjon av hovedrapporten i TRA er basert på HAZID fra mai 2013 /6/ og i samtaler ble det informert om at det ikke var planer om å oppdatere denne. TRA har mangler og gir ikke et tidsriktig risikobilde som er representativt for prosjekteringsunderlaget. Eksempel på dette er:
- Barrier er ikke beskrevet i rapporten
- I kapittel 1.2 beskrives hensikten med å gi "Input to Design Accidental Loads (DAL)", den beskriver kun "Dimensjoning Accidental Load" og gir ikke føringer på når design laster og dimensjonerende laster skal benyttes. Vedleggene beskriver dette noe mer, men er ikke tydelig i hvordan det skal tolkes.
- I kapittel 1.2 beskrives det at analysen skal gi beslutningsstøtte til "Design of systems and equipment". I analysen er det ikke gitt støtte til å designe sikkerhetssystemer eller hjelpesystemer
Regelverket har krav til risikostyring og risikovurdering. NORSOK Z-013 utgjør forskriftenes normative referanse og danner dermed et minimumsnivå. Z-013 setter blant annet i kapittel 5.6.2 krav slik at analysene kan bidra til at beslutninger skal kunne tas på best mulig opplyst grunnlag, det vil si at kunnskapsstyrken i analysens forskjellige deler tydelig formidles til beslutningstakere og eksponert personell.
Statoil informerte om at TRA for øyeblikket ikke oppfyller alle kravene i Z-013, kapittel 5.6.2, og at neste revisjon i april vil inkludere dette.
Et eksempel angående Z-013 kapittel 5.6.2 er hvis Statoils ALARP-vurdering baserer seg på utsagn som "Main load carrying capacity in Compressor module is uncertain" fra TRA'en. Da kan man vanskelig argumentere direkte med at kost-nytte-analyse gir godt nok beslutningsunderlag. Det vil si at man må ta hensyn til usikkerheten når man tar beslutningene, noe som det ikke er lagt opp til en systematikk for i GL0139 /22/.
Et annet eksempel angående Z-013 kapittel 5.6.2 er antagelser og forutsetninger /5/ til risikoanalysen (vedlegg TN-2 dokument). Denne er under revisjon og er ikke oppdatert eller validert. TRA'ens antakelsesvedlegg kapittel 1.1 er ikke behandlet systematisk og er kun beskrevet basert på
- Signifikansen endringer har på risikoreduksjon, og
- Usikkerheten av antakelsene.
Et tredje eksempel angående Z-013 kapittel 5.6.2 er at riskomatrisene som ble benyttet, viste seg ikke ha funksjonalitet som inkluderte å systematisk behandle usikkerhet/ kunnskapsstyrken. Videre hadde matrisene fargekoder på "nedsiderisiko". På "oppsiderisiko" benyttet man derimot nyanser av blått. Ptil observerer at slike fargekoder i "nedsiderisiko" kan gi en utfordring i henhold til Styringsforskriftens § 17 krav om nyansert risikobilde, ettersom slike farger kan oppfattes som sterke forskjeller i risikonivå mens forskjellene ikke nødvendigvis er så åpenbare.
Oppfølgingsregisteret (PAR) ble presentert og viser status på utestående aksjoner fra HAZID, TRA, HAZOP etc. Det ble for eksempel vist til at av 68 funn i HAZID er kun18 kvittert ut. Av funn i sikkerhetsstudier i TRA er ingen av de 25 funnene lukket. Vi ser på dette som uheldig da det kan være viktige sikkerhetsmessige forhold som kommer for sent inn i design prosessen. Det ble opplyst at en nå har iverksatt tiltak for å fremskynde behandlingen av utestående aksjoner og funn.
Det kan være utfordrende, å ha et oppdatert risikobildet, dersom det ikke er risikoanalytisk ekspertise i engineeringteamet. Risikoanalyse ekspertise er lokalisert i Norge og er dermed ikke tett integrert i prosjektet. Løpende risikovurderinger, videreutvikling av løsninger og endringer som kan påvirke risikobildet blir vanskeligere enn om de var lokalisert i Kuala Lumpur. Vi registrerer at EPCH kontrakten /21/ stiller krav til at risikoanalyse ekspertise skal være plassert i kontraktørs kontor.
Hjemmel
System for barrierestyring
Beskrivelse
Mangler ved system og prosess for styring av barrierer.
Begrunnelse
Prosjektets intensjoner for barrierestyring er gode og er basert på de generelle krav som er satt i selskapets styrende dokument TR1055 /15/. Det er vår vurdering at system for styring av barrierer slik det er beskrevet og nedfelt i kontrakt med DSME/AEI, ikke fungerer som forutsatt. Dette begrunnes i følgende observasjoner:
- Formål, struktur og innhold i sikkerhetsstrategi /8/, ytelsesstandarder /10/ og underliggende prinsipper, spesifikasjoner og retningslinjer er ikke tilstrekkelig synliggjort og kjent i prosjektet.
- Det er mangelfull samordning, konkretisering, presisjon og konsistens i og mellom styrende dokumenter som skal legges til grunn for utforming, ferdigstilling, uttesting og bruk av barrierer, slik at barrierenes funksjon blir ivaretatt gjennom hele innretningens levetid.
- Det er utfordringer knyttet til det å kunne utforme nevnte dokumenter på en formålstjenlig og entydig måte, og slik at de medvirker til å gi alle involverte en felles forståelse av grunnlaget for kravene til de enkelte barrierene, sammenhengen mellom risiko- og farevurderinger og ytelseskravene til barrierene.
- Det er ikke synliggjort og sporbart hvordan resultater og anbefalinger fra risikoanalyser og -vurderinger blir behandlet, implementert og verifisert i design. ( jamfør 5.2.1 ovenfor)
- En Gina Krog spesifikk sikkerhetsstrategi ble presentert, men denne oppfyller ikke de forventninger til innhold eller kvalitet som beskrevet i ISO 13702. Sikkerhetsstrategien skal beskrive resultatet av risikoanalyse og -vurderingsprosessen og de beslutninger som er tatt mht. behov for og rollen til risikoreduserende tiltak (bl.a. barrierer), slik at de er tilgjengelige for de som er involvert.
- Sikkerhetsstrategien omfatter ikke situasjonen når den oppjekkbare riggen ligger integrert med Gina Krog plattformen og ivaretar således ikke faresituasjonene og de barrierer som vil være aktuelle i denne driftsformen.
- Antallet områder som er dekket i strategien er begrenset og vi stiller spørsmål ved om dette er optimalt ut fra formålet. Det kan være variasjoner mht. faresituasjoner og tilhørende krav for områdene som ikke dekkes ved dagens områdeinndeling.
- Ytelsesstandardene (PS-ene) /10/ som er utviklet for prosjektet er generelle og generiske tilsvarende TR1055 og i liten grad innretningsspesifikke. Det er ikke noen klar målsetning for hvordan de spesifikke ytelseskravene for Gina Krog skal beskrives for å være et nyttig verktøy både i prosjekteringsfasen og senere som grunnlag for ferdigstillelse, uttesting, drift og vedlikehold.
- Vi fikk inntrykk av at GL-0114 Safety critical failures /19/, ble anvendt som en ytelsesstandard for utvalgte barriereelementer. Dette er ikke i samsvar med formålet med denne retningslinjen. GL-0114 er en generisk retningslinje for testing, overvåking og rapportering av sikkerhetskritiske feil på utvalgte barriereelementer på Statoils innretninger i drift og representerer nødvendigvis ikke Gina Krog spesifikke ytelseskrav
Hjemmel
Brannskiller
Beskrivelse
Prosjektet kunne på dette tidspunkt ikke dokumentere at brannskillene kan motstå de dimensjonerende brannlastene.
Begrunnelse
Regelverket krever at rom som har viktige funksjoner og viktig utstyr, samt rom med høy brannrisiko, skal være atskilt fra omgivelsene med brannskiller som har brannklasse tilsvarende den branntype og de dimensjonerende brann- og eksplosjonslastene de vil være eksponert for.
Det fremsto som uklart under tilsynet hva som er definert som eksponert side for noen brannvegger. Dette er nødvendig for å angi på hvilken side av vegger brannisolasjonen skal påføres og hvor isolasjon av HVAC kanaler skal påføres ifb. brannspjell. Dette gjaldt eksempelvis nødgeneratorrommet.
Hjemmel
Seksjonering og trykkavlastning
Beskrivelse
Det kunne ikke demonstreres hva som var brukt som akseptkriterier for segmentering av prosessen og at brudd på utstyr og rør ikke ville påvirke de aktuelle brannlastene i områdene.
Begrunnelse
Kravet til å isolere og seksjonere brannområdene på innretningen innebærer blant annet at det skal installeres et tilstrekkelig antall seksjoneringsventiler i prosessanlegget for å sikre at eventuell brannbelastning ved lekkasje i ethvert segment ikke medfører mulighet for en ukontrollert spredning og/eller eskalering i området hvor lekkasjen har inntruffet slik at brannlasten øker utover det som området kan motstå.
For 3. trinnseparatoren er det lagt inn en 5 minutters tidsforsinkelse før trykkavlastning aktiveres. Det må dokumenteres at trykkavlastningsventilen (BDV) og tilhørende kontrollutrustning fortsatt kan fungere som tiltenkt etter en brannpåvirkning i denne perioden, for eksempel om aktuatorfjæra (spring to open) har tilstrekkelig styrke til å åpne ventilen etter en brannpåvirkning i 5 minutter.
Hjemmel
Tennkildekontroll og ATEX
Beskrivelse
Manglende kartlegging og dokumentasjon av potensielle og aktive elektriske og ikke- elektriske tennkilder med tilhørende risikovurderinger og beskyttelsestiltak.
Begrunnelse
Prosjektet refererer blant annet til standardene EN 1127-1 og EN 13463-1 for tennkildekontroll. Begge disse standardene krever at det gjennomføres en kartlegging av potensielle og aktive tennkilder, inklusive risikovurderinger og beskyttelsestiltak.
Vi identifiserte flere forhold spesielt knyttet til ikke-elektrisk utstyr, som indikerer at etterlevelse av krav til ATEX kan bli en utfordring:
- Så langt er det ikke gjennomført en systematisk kartlegging av potensielle og aktive tennkilder som omfattes av ATEX direktivet. Utbyggingsprosjektet kan på dette tidspunkt ikke dokumentere hvordan ATEX kravene til systemer og utstyr for bruk i eksplosjonsfarlig område skal etterleves. Erfaringsmessig gjelder dette spesielt for ikke-elektrisk (mekanisk) utstyr.
- Strategien for tennkildekontroll for eksempelvis kompressorhuset til “Gas Injection Compressor” var på dette tidspunkt ikke tilstrekkelig entydig i forhold til hvordan ATEX krav og anerkjente standarder skal etterleves. Eksempelvis filosofi for styring av ventilasjonssystem, bruk av over- versus undertrykk, nedstengningslogikk og beskyttelse av utstyr.
- Vi ble informert om at nødgeneratoren er luftkjølt. Arrangement tegninger viste at kjøleenheten var planlagt plassert ca. 8,5 meter fra klassifisert område (sone 2) og dermed eksponert for hendelser som følge av gasslekkasje og/eller brann. Under tilsynet fikk vi opplyst at kjøleenheten flyttes slik at avstanden til klassifisert område blir ca. 25 meter. Kjøleenheten har en viktig funksjon i en nødsituasjon og det må sikres at både elektrisk og ikke-elektrisk utstyr tilfredsstiller ATEX-krav.
- Vi fikk opplyst at det skal benyttes FRP dekksrister ("grating") i enkelte områder på innretningen, men ikke i rømningsveier. FRP dekksrister kan være en potensiell tennkilde (statisk elektrisitet) og omfattes av ATEX-direktivet. Det skal derfor foreligge dokumentasjon på at det spesifikke produktet tilfredsstiller testkravet i EN13463-1 "Non-electrical equipment for potentially explosive atmospheres - Basic method and requirements", kapittel 9.
Hjemmel
Sårbarhetsanalyse
Beskrivelse
Mangler med sårbarhetsanalysen.
Begrunnelse
Sårbarhetsanalyse for nødsystemene (ESSA) er utarbeidet og ble presentert. Analysen er ikke tilstrekkelig spesifikk og inneholder en rekke generelle krav, forutsetninger og antakelser.
Sårbarhetsanalysen dekker kun noen spesifiserte ulykkeshendelser og inkluderer ikke avhengigheter og effekter av eventuelle feil i tilknyttede systemer som sikkerhetsfunksjonene er avhengig av.
Hjemmel
Brannmotstand til dekksrister
Beskrivelse
Det kunne ikke på det nåværende tidspunkt fremlegges dokumentasjon av brannegenskapene til dekksrister i komposittmaterialer.
Begrunnelse
For dekksrister i komposittmateriale (FRP/GRP) skal det kunne fremlegges testdokumentasjon i form av sertifikater mht. ristenes brannmotstand (hydrokarbon brann). Det skal foreligge dokumentasjon på brannegenskapene til produktet som tilfredsstiller ISO 1716:1973 (brennbarhet) og ISO 5660-1:1993 (røykutvikling) eller tilsvarende anerkjente standarder. I dette tilfellet må bæreevnen etter en hydrokarbonbrann være testet og dokumentert. Jamfør også Norsok S-001, kap. 21.5.1 ‘survivability of escape routes’.
Hjemmel
Klassifisering av eksplosjonsfarlige områder (områdeklassifisering)
Beskrivelse
Mangelfull/uklar klassifisering av eksplosjonsfarlige områder.
Begrunnelse
Områder der det kan forekomme eksplosjonsfarlig atmosfære under normal drift, skal klassifiseres og standarden IEC 61892-7 (IEC 60079-10) bør brukes. Vårt inntrykk var at områdeklassifiseringen for Gina Krog synes i stor grad å være basert på eksemplene gitt i retningslinjen IP 15 og at denne derfor ikke nødvendigvis gjenspeiler Gina Krog spesifikke forhold. I standarden IEC 61892-7 er IP 15 riktignok henvist til som en anerkjent retningslinje, men den vil ikke alltid være formålstjenlig for faste produksjonsinnretninger. Områdeklassifiseringsstegningene for Gina Krog viste derfor enkelte merkelige/urealistiske resultater som bør revurderes, jamfør eksempelvis undersiden av brønnhodeområde og ned til havnivå (sone 1).
Hjemmel