Korrigering av tidligere avvik
Beskrivelse
Avvik var ikke blitt korrigert og nødvendige kompenserende tiltak var ikke iverksatt
Begrunnelse
Selskapet hadde ikke korrigert alle tidligere påviste avvik som beskrevet til Ptil, jf. kapittel 4.2.
Gjennomgang av avviksbehandling og risikovurdering, knyttet til avvik om manglende dokumentasjon av selektivitet i UPS anlegg, viste at denne var mangelfull. Dette var eksempelvis med hensyn til vurdering av redundante UPS forsyninger til forbrukere og faren for fellesfeil som gir utkoblinger i begge UPS anleggene. Det er vår vurdering at manglende selektiv utkobling tilsvarer en sikkerhetskritisk svekkelse. Selskapets vurdering av risiko knyttet til en slik tilstand var satt til “lav”. Et hendelsesforløp hvor en enkelt feil vil kunne sette flere sikkerhetskritiske forbrukere ut av drift, vil kunne ha stor påvirkning på konsekvens. Videre er det vår vurdering at sannsynlighet var satt for lavt ift. Alteras egne definisjoner og premisser. I tillegg var forhold knyttet til TN-nett mangelfullt vurdert. Selskapets vurdering var at forholdet ikke var relevant da innretningens nødkraftsystem utelukkende var IT-nett. Vår befaring på innretningen viste imidlertid at innretningen hadde delvis TN-nett nødkraftdistribusjon. Dette var også anvist i enlinjeskjema. Som en følge av disse manglene var ikke nødvendige kompenserende tiltak iverksatt.
Hjemmel
Ventilasjonssystemene
Beskrivelse
Ventilasjonssystemene var ikke arrangert og/eller fulgt opp slik at røyk fra branner kan kontrolleres, og slik at helsefarlige og brennbare gasser ikke kan trenge inn i innelukkede uklassifiserte områder. Alarmer for ventilasjonssystemene i kontrollsystemet var ikke håndtert slik at de kan oppfattes og behandles på den tiden som kreves for sikker betjening av utstyr og anlegg.
Begrunnelse
- Det ble gjennomført en test knyttet til tap av overtrykk i overtrykksområde (PCM) lokalisert direkte ved klassifisert område. Rommet var utstyrt med distribusjonsanlegg og hadde på den ene siden en dør ut til naturlig ventilert område. Det er vår vurdering at svekkelsen var av sikkerhetskritisk art. Aktuelt personell reagerte ikke selv om svekkelsen ga aktiv alarm (prioritet 3.) Det ble forklart at det var såpass mange alarmer knyttet til dette systemet at det var vanskelig å vurdere kritikaliteten og behovet for aksjoner. Vi fikk videre forklart at alarmer knyttet til dette systemet typisk ble kvittert ut uten videre aksjoner.
- Vi fikk forklart og observerte at alarmbelastning for kontrollromsoperatører for ventilasjonssystemene var lite tilfredsstillende. I løpet av en natt, når vi var om bord, hadde det kommet inn rundt 350 alarmer knyttet til dette systemet. Alarmbelastningen medførte mangelfull aksjonering på slike alarmer, jf. bokstav a.
- Alarmer knyttet til ventilasjonssystemene var satt med laveste prioritet. Det er vår vurdering at flere alarmer knyttet til dette systemet utgjør sikkerhetskritiske svekkelser som krever hurtig og effektiv håndtering. Dette gjaldt eksempelvis alarm knyttet til forhold beskrevet over, jf. bokstav a.
- Det ble registrert manglende rutiner for håndtering av overtrykksområder på innretninge Dører og luftsluser ble brukt på en slik måte at barrierens integritet forholdsvis hyppig ble svekket.
- Deler av boligmodulen (TR) var ikke utstyr med overvåkning av overtrykk. Dette medførte at deler av TR kunne tape sin sikkerhetsfunksjon mot inntrengning av hydrokarboner uten at dette ville bli identifisert.
- Flere dører til overtrykksområder åpnet ikke inn i området med høyest trykk, slik at overtrykket bidro til god tetning. Samtidig ble det registrert dør med svekket integritet som åpnet utover, og hvor overtrykket bidro til økt svekkelse.
- Luftsluser var ikke utstyrt med varsling/indikasjon eller tilsvarende i slusene for å indikere når en eller begge dørene var i åpen posisjon.
- Dører til områder/rom med overtrykk eller undertrykk var ikke anført med merkeskilt som informerte om overtrykket/undertrykket og håndtering av dører knyttet til området/rommet.
Hjemmel
Brannbekjempelse
Beskrivelse
Feil og mangler ved utstyr for brannbekjempelse og manglende utforming av anlegget slik at brannbekjempelse til enhver tid kan foregå hurtig. Manglende automatiske aksjoner ved gassdeteksjon for å begrense konsekvensen av gasslekkasje.
Begrunnelse
- Ved test av brannvann på helikopterdekk åpnet ikke delugeventil (72-XV-4567) ved første forsøk.
- På helikopterdekk ble det observert at CO2-apparat plassert ved dekket var større enn 10 kg.
- Tilstrekkelig brannpumpekapasitet for største dimensjonerende brannscenario (største brannområde + største tilstøtende området) var ikke dokumentert. For å oppnå tilstrekkelig brannpumpekapasitet i dette scenarioet, er vi informert om at pumpekurven må utnyttes. Simuleringer utført for største dimensjonerende brannscenario, indikerte at trykket i spredenettet for turretområdet var under angitt trykk.
- Det er implementert automatisk utløsning av fastmonterte anlegg for brannbekjempelse på bekreftet gassdeteksjon, da dette kan medføre lavere eksplosjonstrykk. Imidlertid er det implementert løsninger som nødvendigvis ikke gir en hurtig utløsning av brannvann, eksempelvis:
- Brannpumpene starter først på bekreftet gassdeteksjon.
- Brannvann løses først ut ved samtidig bekreftet gassdeteksjon i to tilstøtende brannområder.
- Det er manuell trykkavlastning på bekreftet gassdeteksjon, noe som medfører økt sannsynlighet for antennbar gassky.
Brannvann har kun en effekt på eksplosjonstrykk når den har blitt aktivert før gassky antennes. Filosofi brukt på Knarr vil ikke gi en hurtig utløsning av brannvann.
Hjemmel
Passiv brannbeskyttelse
Beskrivelse
Manglende ivaretakelse av krav til passiv brannbeskyttelse og nødvendig kompetanse til å ivareta barrierens funksjon.
Begrunnelse
Under befaring observerte vi følgende eksempler på svekkelser:
- Brannkasser med åpning der kabelgate var lagt gjennom brannkasse (43EV003) og manglende tildekking rundt kontrollinje til stigerørsventil (gassløft).
- Formstøpte gjennomføringer i brannvegg til prosessområdet hadde manglende fyllmasse og staver stakk ut av gjennomføringene.
- Branndør fra møterom ut til livbåtene var ikke selvlukkende pga. degradering og overtrykk i boligmodulen.
- Skader på epoxybelegg, der partier manglet på struktur/brannskille.
- Åpninger/oppsprukken brannbeskyttelse tilhørende krybbe til debutiniser (20VW-007).
- Et parti med isolasjon manglet på brannskille i rom for høyspenningsanlegg.
Vi ble under tilsynet informert om at ved svekkelser i passiv brannbeskyttelse, f.eks avisolering av en ventil, kan ventilen være avisolert over lengre tid uten at kompenserende tiltak blir iverksatt. Hvis flere ventiler med passiv brannbeskyttelse avisoleres i ett brannområde, har det blitt gjennomført en ORA (operational risk assessment).
Altera gjennomførte selv inspeksjon/vedlikehold av passiv brannbeskyttelse. Det var utarbeidet et kurs som omhandler temaet, men kurset ga ingen innføring i de ulike systemene for passiv brannbeskyttelse som er installert.
Hjemmel
Sikkerhetssystemer
Beskrivelse
Den ansvarlige har ikke på forhånd fastsatt tilstrekkelige tiltak og begrensninger som er nødvendige for å opprettholde sikkerhetssystemers barrierefunksjon ved utkopling eller annen svekkelse.
Begrunnelse
I dokumentet “Aksjonsplan ved redusert brannvann” er det beskrevet at tilstrekkelig brannpumpekapasitet til å dekke største dimensjonerende scenario oppnås med to operative brannpumper. Vi ble under tilsynet informert om at for å oppnå tilstrekkelig brannpumpekapasitet for dette scenarioet, må tre brannpumper være operative og pumpekurven må utnyttes.
Ved tre brannpumper ute av drift var kompenserende tiltak å vurdere å stoppe produksjonen.
Hjemmel
Vurdering av brannmotstand
Beskrivelse
Den ansvarlige har ikke sikret at ny kunnskap om brannlaster, tiltak og data er tilstrekkelig belyst, og nødvendig beslutningsgrunnlag for å ivareta sikkerheten er dermed mangelfullt.
Begrunnelse
Forskning på hydrokarbonbranner har vist at reell brannlast (varmefluks) er høyere enn det tidligere standarder og testmetoder har angitt. I revisjon 5 av NORSOK S-001 Technical safety er brannlast økt for pølbrann og gjennomsnittlig global brannlast for jetbrann (lekkasjerate < 2 kg/s) sammenliknet med tidligere S-001 revisjoner.
Vi er informert om at eksisterende Knarr-fasiliteter er designet i henhold til tidligere revisjon av S-001, og vi kan ikke se at det er planlagt verifikasjonsaktiviteter for å vurdere hvilken betydning og konsekvens økt brannlast har for innretningen.
Eksempel er rapporten “Knarr Verification of PFP” som var beslutningsgrunnlag for å fjerne passiv brannbeskyttelse på utstyr og rør. Brannlaster brukt i analysen var 150 kW/m2 for pølbrann og 0 kW/m2 for gjennomsnittlig global brannlast ved jetbrann (lekkasjerate < 2 kg/s). I tillegg var det i rapporten angitt anbefalte tiltak som ikke var implementert og forutsetninger i analysen var feil. For eksempel gjaldt dette automatisk trykkavlastning på bekreftet gassdeteksjon, scenario med pølbrann var vurdert som ikke relevant med begrunnelse i generell erfaringsdata og avvik i forhold til rørlengder/-volum i analyse og det som er installert. Hvis andre antagelser hadde vært brukt i analysen, vil omfanget av fjerning vært mindre (ref. presentasjonen “Knarr PFP”).
Vi ble under tilsynet informert om at vurdering av verste prosessbrann inkluderer varmelaster i henhold til NORSOK S-001 rev.5.
Hjemmel
Oversikt over status for sikkerhetssystemer – knivlogg/laskelogg
Beskrivelse
Status på overbroing/utkopling av sikkerhetsfunksjoner var ikke kjent for relevant personell til enhver tid
Begrunnelse
Selskapet hadde ikke en etablert oversikt over overbroing, lasking eller utkopling i felt (eksempelvis laskelogg/knivlogg eller tilsvarende). Ved befaring i felt ble det registrert flere utkoplinger av signalkretser ved utkobling av kniv i rekkeklemmer. Det ble samtidig også bekreftet av relevant personell at status for kniver (eventuelt lasker) ikke var enkelt tilgjengelig eller kjent.
Hjemmel
Elektriske anlegg og installasjoner
Beskrivelse
Feil og mangler ved teknisk tilstand/integritet til elektriske anlegg, installasjoner og utstyr.
Begrunnelse
- Høyspenning- og lavspenning distribusjonsanlegg hadde degradert kapslingsgrad som følge av manglende bolter og defekte låseanordninger for lavspenning starterskuffer.
- Rom for høyspenningsanlegg manglet tilfredsstillende anordning (f.eks. panikkbeslag) for åpning av en dør innenfra ved hjelp av kne, albue eller annen kroppsdel av en person som går, kryper eller åler. Det ble også registrert innadslående dører for slike rom.
- Degradert isolasjonsmåler tilhørende UPS anlegg.
- Flere kuttede/frakoblede kabler hengende løst i felt som ikke var terminerte, enkelte kabelinstallasjoner som hadde skader i isolasjon og ukonvensjonell kabelforlegning i et av propellområdene.
- Flere løse og ikke terminerte ledninger for “jord” i distribusjonsanlegg.
- Det kunne ikke vises til at AC batteribrytere som var benyttet til DC kretser var vurdert og funnet egnet til å identifisere og isolere feilmodi, som potensielt kan oppstå i aktuelle forankoblet batteri DC kretser.
- Støvansamling i distribusjonspanel.
- Nettverkskabinett var overfylt og hadde degradert kapslingsgrad da døren ikke kunne lukkes.
- Enkelte defekte anleggsdeler som instrument knyttet til inntaksspjeld, distribusjonsanlegg tester for isolasjonsmåler og nettuttak.
- Midlertidig oppkobling/kraftforsyning til utstyr (lysarmatur) av permanent behov. Benyttet skøytekabel hadde heller ikke “årets farge” slik selskapets krav tilsa.
Hjemmel
Arbeid i og drift av elektriske anlegg
Beskrivelse
Mangler ved selskapets iverksettelse av nødvendige tiltak for å unngå fare- og ulykkessituasjoner knyttet til arbeid i og drift av elektriske anlegg.
Begrunnelse
- Manglende tiltak og etterlevelse av tiltak for ivaretakelse av lysbuesikkerhet:
- Personell på innretningen praktiserte ikke bruk av verneutstyr i samsvar med identifiserte PPE-nivå på elektrisk utstyr, hvor identifisert potensiell lysbueenergi hadde nivå som overgikk PPE-2.
- Personell hadde ikke hatt opplæring i lysbuesikkerhet og bruk av riktig verneutstyr.
- Det var ikke tilgjengelig verneutstyr på innretningen som ivaretok de høyest identifisert potensiell lysbueenergi tilhørende elektrisk utstyr. Det var også begrenset med verneutstyr om bord, slik at det ikke var tilgjengelig egnet verneutstyr i alle relevante rom, jf. punkt 1 over.
- Et distribusjonsanlegg manglet entydig merking av potensiell lysbueenergi.
- Selskapet hadde etablert en egen instruks for ansvarlig for arbeid (“AFA”) rollen. Imidlertid var det ikke implementert systemer/rutiner for godkjenning av personell til å kunne inneha ansvarlig for arbeid (“AFA”) rollen ved arbeid i lavspenningsanlegg på innretningen. Rollens betydning og myndighet fremstod heller ikke tilstrekkelig kjent hos relevant personell. Det fremgikk heller ikke entydig at “E/I supervisor” var den som utpekte rollen slik selskapets elsikkerhetsprosedyre med vedlegg tilsa.
- Det fremgikk at ved arbeid på eller kobling i høyspenningsanlegg skulle rollene “leder for sikkerhet” og eventuelt “leder for kobling” delegeres ved nedtegning på arbeidstillatelse. Vi fikk forklart at for enkelte arbeidsoppgaver, hvor det ikke var benyttet arbeidstillatelse, hadde dette ikke blitt praktisert. Det fremgikk heller ikke entydig at “bemyndiget person elektro (driftsleder)” var den som utpekte rollene for hvert enkelt arbeidsoppdrag, slik selskapets elsikkerhetsprosedyre med vedlegg tilsa. I tillegg var det ikke iverksatt tiltak som sikrer at den som er tillagt funksjonen «leder for sikkerhet» synliggjøres på arbeidsstedet ved arbeid i høyspenningsanlegg.
- Innretningen var utstyrt med distribusjonsanlegg (høyspenningsanlegg) som benytter SF6 gass. Det kunne ikke vises til å være tilgjengelig prosedyrer/rutiner for håndtering av hendelser med SF6 gass lekkasjer.
- Distribusjonsanlegg hadde utdaterte kursfortegnelser.
- Kontrollpaneler som inneholdt fordelinger manglet kursfortegnelse i felt.
- Distribusjonsanlegg hadde ikke entydig merking av kursavganger.
- Det fremkommer i mottatt dokumentasjon at punkt til punkt radiolinkantenner kan ha en relativ høy felt styrke i hovedstråle (over grenseverdier). Denne informasjonen var ikke kjent om bord, og tiltak mot eksponering (eks avsperring) var ikke utført for radiolinkantenner som var plassert utenfor radarmast.
Se også kapittel 4.2 for manglende korrigering av tidligere påviste avvik.
Hjemmel
Henvisning til annet regelverk
Forskrift om utførelse av arbeid, bruk av arbeidsutstyr og tilhørende tekniske krav (FOR-2011-12-06-1357) §16 A
Vedlikeholdsprogram
Beskrivelse
Det manglet aktiviteter for overvåking av ytelser og teknisk tilstand som sikrer at sviktmodi under utvikling eller som har inntrådt blir identifisert og korrigert. Manglende oppfølging av avvik fra interne krav som er av betydning for å oppfylle krav i helse -, miljø- og sikkerhetslovgivningen.
Begrunnelse
- Det var manglende beskrivelse av aktiviteter for overvåking av teknisk tilstand for sikkerhetsutstyr i tavlerom. Dette gjaldt blant annet redningstenger og hjelmer/visir. Det kunne ikke vises til at vedlikeholdet som gjennomføres for aktuelt utstyr var i henhold til leverandørens anbefalinger.
- Det var ikke etablert vedlikeholdsprogram eller annen aktivitet som sikret tilstrekkelig operasjon av brytere som ikke opereres jevnlig. Dette for å identifisere sviktmekanismer som kan føre til at bryteren ikke operere som tiltenkt når den skal.
- Det manglet vedlikeholdsprogram på reservebrytere.
Det var ikke utført risikovurderinger eller avviksbehandling på utgåtte (overdue) jobber på kritisk utstyr/systemer utenom de som har prioritet 1 og kritikalitet 1. Dette omfattet blant annet vedlikehold på utstyr i Ex-utførelse.
Hjemmel