System for barrierestyring
Beskrivelse
Det er ingen klar sammenheng mellom risikoanalyser og strategi og videre til spesifikke ytelseskrav til barriereelementer.
Begrunnelse
På bakgrunn av oversendte dokumenter og gjennomførte møter har Ptil vurdert om Balder møter kravene i styringsforskriften § 5 der det det framkommer at operatøren skal fastsette de strategiene og prinsippene som skal legges til grunn for utforming, bruk og vedlikehold av barrierer, slik at barrierens funksjon blir ivaretatt gjennom hele innretningens levetid. Det skal være kjent hvilke barrierer som er etablert og hvilken funksjon de skal ivareta, samt hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendig for at den enkelte barriere skal være effektiv.
I veiledningen fremkommer det at strategiene og prinsippene bør utformes slik at de medvirker til å gi alle involverte en felles forståelse av grunnlaget for kravene til de enkelte barrierene, deriblant hvilken sammenheng det er mellom risiko- og farevurderinger og kravene til barrierer.
Vi vil understreke at ordet strategi har en spesiell betydning når det brukes i barrieresammenheng. Basert på NS-EN ISO 13702 har Ptil i notatet «Prinsipper for barrierestyring i petroleumsvirksomheten» definert ordet barrierestrategi på følgende måte: «Resultatet av prosess som med utgangspunkt i risikobildet beskriver og avklarer hvilke barrierefunksjoner og barriereelementer som skal implementeres for å redusere risiko».
ExxonMobil har ikke utarbeidet et eget barrierestrategidokument, men baserer seg på at «Operations Integrity Managment System» (OIMS) med tilhørende systemer og beskrivelser angir barrierestrategien. Vår vurdering er at OIMS ikke i tilstrekkelig grad viser en synlig og klar overgang fra risikoanalyser, via barrierestrategi og videre til spesifikke ytelseskrav til barriereelementer.
ExxonMobil har selv identifisert dette som en utfordring og er i forbindelse med pågående oppdatering av totalrisikoanalyse (TRA) for Ringhorne i ferd med å utvikle barrierediagram som bedre skal synliggjøre koblingene mellom elementene i barrierstyringssystemet. Videre plan er å utvikle barrierediagram for Balder i forbindelse med oppdatering av TRA i 2. halvår 2015.
Et konkret eksempel på mangelfull barrierestrategi er hvilke vurderinger som ligger til grunn for design av passiv brannbeskyttelse, ref. kapittel 5.2.4.
Det er utarbeidet innretningsspesifikke ytelsesstandarder for Balder. ExxonMobil har selv identifisert behov for oppdatering av ytelsesstandardene og har definert dette som et fokusområde for 2015. Ytelseskrav må være spesifikke for at de skal kunne verifiseres.
Gjennom stikkprøver av ytelsesstandardene observerte vi både lite spesifikke krav og utdatert informasjon:
- I ytelsesstandarden for «Topside-struktur» (4.8) er et av kravene «opprettholde strukturell integritet» med følgende veiledning: «Degraderingen av en gitt hovedstruktur bør ikke være mer enn til minimum akseptabel designgrense»
- Ytelsesstandarden for «Hydrokarbon stigerør og rørledninger» (4.3) omtaler SSIV-er og at «stigerør er lokalisert innenfor jacketstrukturen». Balder har hverken SSIV eller jacketstruktur.
- Ytelsesstandarden for «Stasjonært anlegg for brannbekjempelse» (4.21) inneholder krav til sprinkelsystemet. Sprinklersystemet på Balder er tatt ut av drift.
Stikkprøver i vedlikeholdssystemet (SAP) viste at ytelseskrav i varierende grad er implementert og vi observerte også eksempel på ytelse ikke ble registrert selv om det var spesifisert i vedlikeholdsprosedyre:
- Ytelsesstandarden for «Stasjonært anlegg for brannbekjempelse» (4.21) angir 30 sekund som responstid for deluge. Ifølge SAP (WO: 21452349 Tag: NOBA-813-ADV-301) er kravet «…the specified time period, usually 10-20 sec.”
- I testprosedyre for deluge er det definert at blant annet responstid (også trykk, blokkerte dyser etc.) skal registreres, men for WO 21452349 er kun trykk registrert.
- I ytelsesstandarden «Antennelsesforhindring» (4.14) er det definert at lukketid for spjeld ikke skal overstige 6 sekund. I SAP er dette kravet ikke inkludert i prosedyre og heller ikke registrert i vedlikeholdshistorikk.
Hjemmel
Sikring av ventiler
Beskrivelse
Det er mangler i filosofien for sikring av ventiler i prosessikrings- og nødavstengningssystemet.
Begrunnelse
P&ID angir hvilke ventiler som skal sikres i korrekt posisjon og angitt som LO/LC (locked open/locked closed) og CSO/CSC (car seal open/car seal closed). Vi fikk opplyst at det gjøres 3-månedlig sjekk av ventiler for å sjekke korrekt posisjon i henhold til lister basert på informasjonen på P&ID. Ved sjekk i felt og på P&ID ser vi at kravene til sikring ikke omfatter alle ventiler i prosessikrings- og nødavstengningssystemet:
- Trykktransmitteren for PAHH 075 på 1st Stage Separator kan isoleres fra separatoren med to ventiler på linjen fra separatoren. Disse er tegnet inn på P&IDen: én 2" ventil (920-146) og én ¾" ventil (920/940). Det er kun 2" ventilen som er merket CSO. Det er ingen krav til sikring av den andre ventilen som også kan sette PAHH ut av funksjon dersom den settes i feil posisjon.
- Nivåtransmitter LAHH 1001 på HP Flare K.O. Drum skal stenge ned prosessanlegget ved høyt væskenivå i tanken ved å aktivere nødavstengningssystemet. Transmitteren er koblet via to 1 ½" ventiler. Disse var sikret og merket CSO i felt, men det er ikke tatt med krav til sikring på P&ID.
- Nødavstengningsventilene for stigerørene holdes åpne av en hydraulikksylinder. Det er installert en isoleringsventil på hydraulikksylinderen som kan isolere hydraulikklinjen til sylinderen. Dersom denne settes i stengt posisjon vil ikke nødavstengningsventilen stenge ved aktivering av nødavstengningssystemet. Denne er ikke tatt med på P&ID og ventilen var ikke sikret i korrekt posisjon.
- Instrumenter som trykktransmittere er typisk koblet til prosessanlegget via instrumentventiler. Disse er ikke tegnet inn på P&ID. Dette er vanlig praksis, men på grunn av at sjekklistene er basert på LO/LC på P&ID er disse ventilene ikke tatt med i lister over ventiler som skal sjekkes eller sikret på annen måte i korrekt posisjon.
Hjemmel
Akseptkriterier og risikoanalyse
Beskrivelse
Akseptkriterier og presentasjon av frekvens for bortfall av hovedsikkerhetsfunksjoner er mangelfull. Eksplosjonsstudie er ikke oppdatert siden 1998.
Begrunnelse
Regelverket krever at det skal settes akseptkriterier og at det skal utføres risikoanalyser som gir et nyansert og mest mulig helhetlig bilde av risikoen forbundet med virksomheten.
Ifølge totalrisikoanlysen (97-3352, rev.05), kap. 3 har ikke ExxonMobil definert akseptkriterier for bortfall av andre hovedsikkerhetsfunksjoner enn rømning og evakuering. I kap. 8.1.2 blir årlig frekvens for tap av rømningstunell presentert, men resterende evakueringsveier er ikke nevnt.
I totalrisikoanlysen kap. 1.4.4 påpekte DNV i 2010 at eksplosjonsstudien er fra 1998 og at erfaring viser at dagens oppdaterte modeller resulterer i høyere trykk. Basert på dette anbefaler DNV at eksplosjonsstudien blir oppdatert. Ifølge ExxonMobil vil dette bli vurdert i forbindelse med oppdatering av totalrisikoanalysen i 2. halvår 2015.
Hjemmel