Filosofi for brannintegritet til fakkelsystemet
Beskrivelse
Filosofi for brannintegritet til fakkelsystemet aksepterer brudd i fakkelsystemet før trykkavlasting av trykktanker i prosessanlegget er gjennomført
Begrunnelse
I tilsynet ble vi informert om at filosofi for integritet til fakkelsystemet aksepterer brudd i fakkelrør så lenge personellet har evakuert og trykket i prosesstankene er lavere enn 6.9 barg eller 50% av design trykk dersom dette er lavere enn 6.9 barg:
"The flare/closed drain piping and KO drum integrity shall be maintained for sufficient time to allow all personnel to evacuate to an adjacent platform and allow blowdown of all systems to 6.9 barg or 50% of design pressure, whichever is lower."
Uakseptable brudd for prosesstanker er definert i Johan Sverdrups «Blowdown and segmentaion philosphy» til å være 4,5 barg. Det vil si at det ikke aksepteres brudd i trykktanker før trykket er redusert til 4,5 barg (trykkavlastning gjennomført).
Filosofien for fakkelsystemet aksepterer med andre ord brudd i fakkelsystemet før trykkavlastning er gjennomført.
Andre designhensyn for fakkelsystemet som f. eks. akustisk utmatting gjør at fakkesystemet på P1 ikke går til brudd i en brannsituasjon. P1 har med andre ord et robust design av fakkel med tanke på brannmotstand selv om filosofien åpner for å akseptere brudd i fakkelsystemet før trykktankene er trykkavlastet. Designfilosofien for brannmotstand er imidlertid ikke i henhold til regelverkets krav om at fakkelsystemet skal være intakt til trykkavlastning er gjennomført.
Hjemmel
Beregning av testintervall for instrumenterte prosessikringsfunksjoner
Beskrivelse
Det er uklart om testintervallene som er beregnet for instrumenterte prosessikringsfunksjoner (SIF) er konservative.
Begrunnelse
Prosjektet har valgt å benytte en forenklet "Layer of protection method" (LOPA) for å bestemme krav til pålitelighet (SIL-nivå) for SIF.
Ved bruk av LOPA metoden identifiserer en alle hendelser som SIF skal beskytte mot og det antas en frekvens for hver av hendelsene. For hver hendelse vurderer en også hvilke andre beskyttelseslag (protection layer) som er inkludert i designet for å beskytte mot hendelsen. Til sammen gir dette en frekvens for hvor ofte SIF må aktives for å beskytte mot hver av de identifiserte hendelsene. Legger en sammen denne frekvensen for hver av hendelsene vil en få total frekvens for SIF (dvs hvor mange ganger det er behov for SIF per år).
Den forenklede LOPA, som Equinors styrende dokumenter angir, tar ikke hensyn til alle hendelsene som gir behov for SIF, kun den med høyest frekvens. Resultatet av dette er at dersom det er to hendelser som har omtrent samme frekvens vil beregning av testintervallet for SIF gi dobbelt så langt testintervall, i forhold til at en tar hensyn til begge hendelsene.
Generelt ser vi at LOPA resultatene gir lavere krav til pålitelighet (SIL) enn NOROG retningslinje «070 Guidelines for the Application of IEC 61508 and IEC 61511 in the petroleum activities on the continental shelf». Equinor opplyste i tilsynet at resultatene likevel vil bli konservative på grunn av at det er valgt konservative frekvenser for de ulike hendelsene.
Den forenklede LOPA metoden gjør det vanskelig å få oversikt over om SIL nivå som beregnes for SIF er konservative.
Equinors styrende dokument GL 2041 anbefaler at akseptkriteriet for overtrykking settes til 10-5 per år dersom det er potensial for at en trykktank kan overtrykkes over test trykk. Akseptkriteriet for overtrykking av innløpsseparator er i SIL analysen satt til 10-4 selv om det er potensial for overtrykking over testtrykk for denne trykktanken.
Hjemmel