Manglende oversikt over blokkerte sikkerhetsfunksjoner
Beskrivelse
Det er ikke tilgjengelig status for blokkerte sikkerhetsfunksjoner i det sentrale kontrollrommets brukergrensesnitt. Det er ikke sikret at status for sikkerhetssystemer ved overbroing og utkopling er kjent for relevant personell til enhver tid.
Begrunnelse
Blokkeringsfunksjon med visning i brukergrensesnitt var ikke ferdig installert og fungerende. Sikkerhetsfunksjoner som var programmert ut av funksjon (forcet) var tilgjengelige for kontrollroms operatører i form av en «laskeliste» i en perm, og via sharepoint dokument i kontrollrom. Under intervjuer fremkom det at de fleste blokkeringer som ble gjort i systemet enten var av langvarig karakter (flere dager / uker) eller mindre enn 12 timer (ett skift). I nåværende operasjonelle fase med pågående boring, avhenger en i stor grad av kontrollromsoperatørenes evne til å fremlegge relevant status i forbindelse med skiftavløsning, samt å huske en liste over langvarige og kortvarige utkoblinger på en korrekt måte. Samtidig skal operatørene ta høyde for et omfattende aktivitetsnivå i forbindelse med pågående commissioning i sin vurdering av forhold som påvirker sikkerheten på innretningen inkludert mulige fare og ulykkessituasjoner. Samlet med observasjoner beskrevet i avvik 5.1.2 og 5.1.3 kan vi ikke se at det er tilrettelagt for at kontrollromsoperatører kan inneha nødvendige oversikt og kontroll over status på sikkerhetssystemene med tanke på forsvarlig drift.
Hjemmel
Mangelfull utforming av alarmsystemet i kontrollrommet
Beskrivelse
Alarmsystemet på Martin Linge er ikke utformet slik at alarmer som gis kan oppfattes og behandles i løpet av den tiden som kreves for sikker betjening av utstyr, anlegg og prosesser.
Begrunnelse
Alarmpresentasjonen i SAS-systemet på Martin Linge har ikke en entydig og klar anvisning av alarmers kritikalitet og prosesstilhørighet. Mange alarmtekster er ikke i samsvar med aksjonene og alarmprioritering er ikke gjennomført konsekvent. Selskapet har gjennomført en alarmrasjonalisering for å oppdatere alarmene, men dette er fortsatt ikke implementert på innretningen.
Equinor sine interne krav sier at alarm systemet skal være i henhold til YA-711, EEMUA 191 og ISA 18.2 (NO-HLD-00-ELDO-000012). Innretningsforskriften § 34a viser også til bl.a. EEMUA 191 som anbefalt norm for oppfyllelse av regelverkskravet til utforming av alarmsystemer. Standardene sier at alarmer skal bli vist i alarmlisten på skjerm innen 2 sekunder fra alarmen har blitt aktivert. Det er enkelte alarmer som bruker mer enn 2 sekunder før de blir presentert for operatør. I tillegg er det enkelte signaler som stenger ned sikkerhetssystemene uten at operatør får noen alarm på det (ref. avvik i kap. 5.1.7).
Det er enkelte alarmer som blir automatisk akseptert av systemet når status går tilbake til normal, uten av operatør har gjort noen aksjon. Dette er ikke i henhold til interne krav (YA-711, kap. 2.7).
I henhold til selskapets alarmfilosofi dokument for Martin Linge er det enkelte operasjonelle krav til alarmhåndteringen som selskapet ikke møter:
- Alarm Performance systemet skal bli vurdert i både design og commissioning for å sikre at systemet er brukbart og effektivt i både normal og kritisk tilstand. Systemet skal systematisk bli vurdert for å sikre at systemet er godt vedlikeholdt. Dette systemet er fortsatt ikke tatt i bruk.
- Alarm Management Record skal være et levende dokument som skal brukes til:
- Alarm konfigurering (ved endring av alarmer eller ved implementering av nye alarmer)
- Brukes som underlag til MOC prosesser
- Trening og tilbakemelding fra operatører
- Vurdering av alarm monitorering og effektivitet
Dette systemet er fortsatt ikke tatt i bruk.
Hjemmel
Mangelfull utforming av betjeningsinnretning og menneske-maskin-grensesnitt
Beskrivelse
Betjeningsinnretningers- og skjermbilders menneske maskin grensesnittet på Martin Linge A er ikke utformet slik at det enkelt og hurtig kan mottas nødvendig informasjon og utføres nødvendige aksjoner. Informasjonen som presenteres, er for flere scenario ikke lett forståelig. Informasjonssystemet fremstår ikke dimensjonert med tanke på å kunne gi en tilstrekkelig oversikt i normale- og kritiske situasjoner.
Begrunnelse
Skjermbilder og skjermaktiverte funksjoner fremstår uferdige, mindre enhetlig og ikke oversiktsfremmende for systemer som er satt i drift.
Presentasjon av brannområder og detektorplassering er ikke ferdigstilt for flere områder. I samtaler og gjennom observasjoner i kontrollrom fremkom det flere eksempler på dette. Eksempelvis ved røykdeteksjon i heis vil oversiktsbildet for boligkvarter indikere deteksjon i hele boligkvarter. Da en detektor i teknisk rom tilknyttet matkvern i byssa ble utløst, indikerte også dette deteksjon i hele boligkvarteret.
Gjennomgående for systemet, ikke begrenset til eksemplene, må kontrollromsoperatør gjennomgå områdebilder etter eliminasjonsprinsippet for å stadfeste nøyaktig område/etasje for deteksjon. Navigeringsløsningen mellom område og etasjebilder i systemet er ikke utformet slik at dette kan gjøres på en hurtig og effektiv måte. Konsekvensen av dette er at kontrollromsoperatøren kan mangle nødvendig detaljinformasjon i sine beslutningsprosesser i forbindelse med feil-, fare- og ulykkessituasjoner. Eksempelvis at kontrollromsoperatøren ikke hurtig kan avgjøre om innvendig eller utvendig rømningsvei skal benyttes.
Verktøy for historisk visning av prosessdata er utformet slik at den åpnes som et eget programlag over det ordinære skjermbildet. Majoriteten av bakenforliggende skjermbilder kan ikke åpnes på flere skjermer samtidig. Dersom ett skjermbilde som er tildekket av skjermbilde for historisk visning av data forsøkes åpnet på en annen skjerm, responderer ikke systemet på denne forespørselen. Operatør får ikke tilbakemelding om årsaken til at skjermbildet ikke kan åpnes. I perioden tilsynet ble utført fungerte ikke historisk visning av prosessdata, men ble muntlig bekreftet å fungere ved avreise.
Aksjoner som utføres av operatør for å aktivere og deaktivere funksjoner og sekvenser er ikke konsistent utformet. Eksempelvis ble det observert at for å reaktivere funksjoner, som operatør tidligere har deaktivert, er forventet operatør aksjon at deaktiveringen deaktiveres – snarere enn at funksjonen aktiveres. For andre funksjoner aksepteres derimot aktiveringskommando. Ifølge operatørene i kontrollrommet er en avhengig av å kjenne til hvilke sekvenser og aktiveringsfunksjoner som må betjenes ulikt, da dette ikke kommer frem av skjermbildene.
Gjennomgående tar skjermbilder lengre tid å åpne enn hva som er lagt til grunn i selskapets interne krav, og i standard selskapet viser til i sine interne krav. I samtaler og i observasjoner gjort i tilsynet fremkommer det videre at skjermbilder fryser periodisk. Videre er det mange bilder med feilkonfigurasjoner som fører til feilmeldinger operatør må kvittere ut før en kan navigere videre. Skjermsystemets oppdateringsfrekvens for bilder er satt til 1 sekund. I utførelsen av skjermsystemet er det ikke tatt høyde for syklus, kommunikasjon og responstid i underliggende sikkerhets og kontrollsystemer. Dette medfører at ytelsen for systemet under ett ikke oppfyller selskapets interne krav eller standarden Norsok I-002 selskapet viser til i sine interne krav.
Innretningens betjeningspanel for PAGA anlegg i kontrollrom offshore er utformet og plassert slik at det lett kan feilopereres. Hver betjeningsknapp har to brytere for A og B system. Åpningen i beskyttelsesglass for fingerbetjening av knapper er begrenset. Dersom operatør feilaktig utløser en av to brytere, er operatøren avhengig av å benytte en gjenstand (som en penn) for å også aktivere motsvarende bryter, uten å deaktivere allerede satt bryter. Det er videre ikke noe annen enkel mulighet for å kansellere feilaktig gitt kommando.
Hjemmel
Mangelfull håndtering av software onshore/offshore
Beskrivelse
Mangelfull etterlevelse av arbeidsprosessbeskrivelser i håndtering av endringer i software på utstyr i drift og commissioning.
Begrunnelse
Equinor har valgt å benytte prosedyren SWCR istedenfor PM06 som prosedyre for endringer av software. Dette er avviksbehandlet i Equinor og har gitt et godkjent internt avvik på bruk av SWCR ut 2021.
Det foregår både commissioning og drift av Martin Linge, og de fleste endringene som blir utført i kontroll systemene blir utført av personell på land. For at driftspersonell skal ha tillitt til endringer som blir implementert på systemene, som allerede er i drift på Martin Linge, er det nødvendig at disse blir nødvendig og grundig verifisert.
Det har blitt implementert flere endringer uten at kontrollromsoperatørene er klar over endringer og feilimplementeringer:
- Software er mangelfullt testet før implementering, som forårsaker feil på utstyr som er overtatt av drift organisasjonen.
- Funksjoner som tidligere var implementert er borte etter oppgradering av software hvilket kan medføre usikkerhet hos kontrollromsoperatør
- Endringer som er utført av commissioning teamet offshore er borte når ny software versjon kommer fra onshore teamet, noe som igjen kan føre til usikkerhet hos kontrollromsoperatør.
Hjemmel
Mangelfull oppfølging av interne krav til sikkerhetssystemer
Beskrivelse
Mangelfull oppfylling av fastsatte krav til ytelse for sikkerhetsfunksjonene. Det er ikke klart hvordan aktøren sikrer at brann og gass systemet er utformet robust, er i stand til å motstå de lastene det kan bli utsatt for under drift, samt at det til enhver tid kan oppdage, hindre og begrense at unormale tilstander utvikler seg til fare- og ulykkessituasjoner.
Begrunnelse
I interne krav til ytelse for integrerte kontrollsystemer og sikkerhetssystemer er krav til maksimal syklustid for kontrollere i sikkerhetssystemer 250ms (NO-HLD-10-TPSH-661000 rev.5.0 – 4.4 punkt 5). Det er også definert krav til ledig prosessorkapasitet, 25% for prosesskontrollsystemene og 50% for sikkerhetssystemene. (NO-HLD-10-TPSH-661000 rev.5.0 – 4.5 punkt 4.)
På tidspunktet for gjennomføring av revisjon ble syklustid for brann- og gassnode 2 presentert å være 247ms – med ledig prosessor kapasitet på 30%.
Gjennom samtaler kom det frem at ved implementering av blokkeringsfunksjonalitet som beskrevet i avvik 5.1.1 vil lasten på aktuelle prosessor og programsyklustid øke til over 75%. I en rapport (550330-ORI-I-RA-0001 2020.08.14 rev 01) utarbeidet av en leverandør i forbindelse med blokkeringsfunksjonaliteten fremkommer det at lasten på noden, før implementering av blokkeringsfunksjonalitet, vurderes som svært høy og at det er lang syklustid. Last og syklustid drives opp av ulike løsnings- og programvalg som er gjort rede for i rapporten fra Origo. Rapporten anbefaler videre ulike tiltak for å adressere utfordringene. Disse er så langt vi kan se ikke tatt til følge i prosjektet.
I samtaler kom det videre frem at en ikke kan vise til erfaring fra tilsvarende systemer som kjører på tilsvarende lastnivå.
I interne krav til ytelse for kommunikasjon og responstid mellom kontroll- og sikkerhetssystemer er kravet 500ms maksimal responstid for kommunikasjon mellom sikkerhetssystemer (NO-HLD-10-TPSH-661000 rev.5.0 – 4.4 punkt 7) og 1 sekund for kommunikasjon opp til brukergrensesnitt (punkt 2 og 8). Det er ikke klart hvordan Equinor sikrer at dette kravet oppfylles. I rapport (550330-ORI-I-RA-0001 2020.08.14 rev 01, 5.2.5) fremkommer det at oppdateringstiden fra et signal sendes fra/til brukergrensesnitt ligger på om lag 4 sekunder. Observasjoner gjort i kontrollrom under tilsynet ga ikke grunn til å betvile dette.
Hjemmel
Manglende oppfølging av forbedringer i vedlikeholdssystemet
Beskrivelse
Equinor har ikke tilstrekkelig sikret oppfølging av forbedringer i vedlikeholdssystemet slik at innretningen eller deler av denne holdes ved like i alle faser av levetiden.
Begrunnelse
M5 prosessen i SAP blir benyttet for å legge inn forslag til forbedringer av vedlikeholdsrutiner samt generelle forbedringer og endringer i SAP.
M5 prosessen eies av landorganisasjonen som skal behandle og implementere endringene i SAP, slik at man oppnår kontinuerlig forbedring og sikker drift av anlegget. Offshore personell har tidligere initiert M5`er, men har fått beskjed om å ikke initiere flere M5 aksjoner. I henhold til informasjon mottatt under tilsynet blir ikke M5`er fulgt opp på grunn av mangel på kapasitet.
Hjemmel
Pålitelig deteksjon av gass
Beskrivelse
Innretningens brann- og gassdeteksjonssystem sikrer ikke pålitelig deteksjon av gasslekkasjer.
Begrunnelse
Det har forekommet flere nedstenginger fra F&G systemet p.g.a. upålitelige signaler på looper for gassensorene. Korte signaler/pulser inn til F&G gjør at systemet stenger ned sporadisk uten deteksjon av gass. Dette har så langt skjedd med tre ulike typer gassensorer uten at rotårsak er identifisert. Dette gjør at deteksjon av gasslekkasjer fremstår som upålitelige.
Det ble videre i samtale informert om at punktgassdetektor av typen General Monitor IR400 har hatt feil som ikke ble detektert i gassdeteksjonssystemet. Dette er å betrakte som en udetektert, farlig feil da detektoren ikke fungerte under test og således nok heller ikke ville agert korrekt ved en reell hendelse. Det er usikkert hvor lenge detektoren hadde vært i denne tilstanden.
Det ble ikke forevist noen plan eller systematisk tilnærming for å finne rotårsak til hvorfor IR400 feiler.
Hjemmel
Manglende kompenserende tiltak for sikkerhetskritiske transmittere som ikke er låst for fjernkonfigurasjon
Beskrivelse
Det er ikke fastsatt nødvendige kompenserende tiltak for å sikre at innstillinger i sikkerhetskritiske instrumenter ikke endres.
Begrunnelse
Alle transmittere som er HART kompatible er på Martin Linge er koblet til Emerson Asset Management System (AMS). Dette gjelder også sikkerhetskritisk instrumentering med både ESD/PSD/F&G funksjon. Ingen transmittere er låst i felt, noe som innebærer at endring av kritiske parametere kan utføres via fjerntilgang.
Equinor kunne ikke redegjøre for kompenserende tiltak, og forholdet var heller ikke identifisert som et internt avvik.
Hjemmel
Mangelfull lampetest på CAP panel i lokalt kontrollrom
Beskrivelse
Lampetest på CAP panel i lokalt kontrollrom er ikke utformet slik at det enkelt og hurtig kan gi nødvendig informasjon.
Begrunnelse
Ikke alle lampene på CAP lar seg teste med “lampetest” knappen på CAP panelet i lokalt kontrollrom. Noen lamper må aktiveres fra andre lokale paneler for at lampene på CAP skal kunne testes. Noen av lampene kan bare testes ved at tilkoplet utstyr i felt aktiveres/startes.
Equinor har i sin avviksbehandling (CQ-OFSH-I-275) ikke korrigert feilen eller identifisert korrigerende tiltak for å kompensere for svakheten. Avviksbehandlingen gir kun en teknisk forklaring på hvorfor systemet ikke fungerer.
Lampetest funksjon på CAP panel som står i kontrollrom land fungerer etter intensjonen.
Hjemmel