Mangler med barrierestyringen
Beskrivelse
Det var flere mangler med strategier og prinsipper for barrierenes funksjon.
Begrunnelse
a)TR1055 versjon 10 og sikkerhetsstrategien
TR1055 kapittel 2.8 om Documentation har krav til oppdaterte sårbarhetsvurderinger (overlevelsesvurderinger). Vi kan ikke se at sikkerhetsstrategien viser til overlevelsesvurderinger.
TR1055 har for åpen drenering (PS 5) krav i ST-542 at tanker som inneholder brennbare væsker skal ha en kant som samler opp eventuelle lekkasjer. Vi observerte under befaringen på Sleipner A at testseparatoren ikke hadde dette. Tilsvarende har PS4 krav om at brønnsikringsventilen (BSV/DHSV) skal stenge ved bekreftet gassdeteksjon i brønnhodeområde. Vi har fått bekreftet at BSV kun stenger på bekreftet branndeteksjon.
b)TIMP
TIMP er et system som benyttes for å gi en oversikt over tilstanden (for eksempel godhet og svekkelser), til de ulike sikkerhetssystemene på innretningen. Systemet blir benyttet som beslutningsstøtte for prioritering av utbedringer av systemene. I evaluering av systemene benyttes karakterskalaen fra B til F der D har betydelige mangler. Måltallet for SLT har det siste året ligget på 4 «D’er», men i den siste evalueringen i mai 2021 hadde antall «D’er» steget til 7. For SLT har måltallet vært 3, i 2020 var de over måltallet, men lå i 2021 på 3 «D’er». Vi ser flere svekkelser har vært kjent over lang tid uten å være utbedret, se eksempler nedenfor.
Eksempler på mangler med oppfølging av systemer:
i. Hindre lekkasjer (PS 1)
Svekkelse på PS1 knyttet til dreneringsanlegget (spredning av hydrokarboner) er knyttet til funn i TTS for 2014 og er ikke fullført. I befaringen og informasjon offshore ser vi at mye er gjort i selve modulene og at restjobben i hovedsak nå er knyttet til det som er under nedre dekk og drenering i skaftene.
ii. Uakseptable brudd (PS 8 og PS 10)
Resultater fra TTS og TIMP-vurderinger viser at det er usikkerhet knyttet til om det er tilstrekkelig beskyttelse for å hindre uakseptable brudd i en brannsituasjon. Denne usikkerheten ble avdekket i TTS-funn i 2014. Det er ikke gjennomført analyser for å avdekke om det er behov for raskere trykkavlastning eller mer passiv brannbeskyttelse.
iii. Prosessikkerhet (PS12), se avvik 5.1.2
iv. Vedlikehold av branndører (PS10), se avvik 5.1.3
v. Alarmsystem og HMI (PS22), se også avvik 5.1.5
Equinor har i TR1055 beskrevet krav i ST-1047, EN 62682 and EEMUA 191 should be used as basis for design of alarm functions. I referanselisten A.2 Internal Equinor references er det vist til TR1494 for PS22. Vi er i intervjuer informert om at krav i TR1494 ikke benyttes på Sleipner og ingen DISP er opprettet på at anlegget ikke følger TR1494. Dokumentet Addendum to ver 9: Performance standards for safety systems and barriers – Sleipner app A Specific requirements for measuring performance/condition monitoring of safety beskriver relevante PS’er fra 1 til PS20, men ikke PS 22 og PS23.
Oversikt over stående alarmer i en 8-ukers periode fra april til juni viser stor variasjon i antall stående alarmer på SLA - fra ca. 10 til 120 alarmer, mens på SLT var det stabilt med ca. 150 stående alarmer i perioden. En FV-analyse av alarmer på SLA, utført 11.6 og over en periode på 14 dager, viste følgende oversikt:
Pri 1: 0
Pri 2: 7 (mål: maks 2, krav: maks 5)
Pri 3: 56 (mål: maks 5, krav: maks 10)
Pri 4: 15 (mål: maks 20, krav: maks 80)
Mål og krav er oppgitt med referanse til TR1494, for nivå 2 og 3 alarmer viste oversikten at maks kravet ikke var nådd.
Alarmraten ble tilsvarende målt til 1,1 alarmer i en periode på 10 minutter, som er lavere enn måltallet.
c) A10 og Technical Condition Report – feildata
A10 ble tidligere benyttet for å få en oversikt over feilrate på sikkerhetskritisk utstyr. Denne erstattes nå av Technical Condition Report (TCR). Vi er informert om at A10-rapporten fremdeles er tilgjengelig for bruk som en del av en manuell gjennomgang for de tilfellene der TCR-indikatoren ikke er ferdigstilt eller mangler test-data.
I TCR-rapporten for Sleipner er det ingen feil eller tester på brannmonitor, passiv brannbeskyttelse og branndører. Under befaring på Sleipner A observerte vi en branndør som ikke stengte og en annen dør som ikke kunne åpnes uten at det ble brukt stor kraft. Vedlikeholdsdata for branndører i SAP viste at det var flere feil på branndører.
Equinor har i sitt «Ende til ende»-prosjekt endret på intervall på konsept for branndører, se kapittel 5.2.4.
I tilsynet ble det etterspurt hvordan korrosjonsfunn som en barrieresvekkelse synliggjøres i A10 eller TCR. Vi ble informert om at det ikke er noen indikator for dette slik at svekkelser rapportertes på indikator TI-OTHS (Other Issues – Safety). Det kan dermed være utfordrende å holde oversikt over korrosjonstrend over tid. Vi har i tilsynet ikke fulgt opp dette videre.
d) Ytelsespåvirkende faktorer
Ytelsespåvirkende faktorer som arbeidsbelastning/arbeidstid, robusthet i bemanning, endringer i organisering i kontrollrom, roller, menneske-maskin-grensesnitt, ergonomi, alarmrater, trening og øvelser som har betydning for korrekt arbeidsutførelse var ikke tilstrekkelig kartlagt eller vurdert i forbindelse med operasjonelle barrierelementer (OBE). Se avvik 5.1.5 og 5.1.6
e) Operasjonelle barriereelementer, se avvik 5.1.4
Hjemmel
Prosessikring
Beskrivelse
Det var ikke dokumentert at prosessanlegget på Sleipner A og T ivaretar kravet om to uavhengige sikringsnivåer mot overtrykk. Det var mangelfull oppfølging av ytelseskrav, og forutsetninger som sikrer at sviktmodi som er under utvikling eller har inntrådt blir identifisert og korrigert.
Begrunnelse
Prosessikring skal utformes med to uavhengige sikringsnivåer for beskyttelse av utstyr. Krav til responstid for primærbarriere må defineres for å sikre at dette er et uavhengig sikringsnivå. På Sleipner er det identifisert krav til oppfølging av responstid for PSD-funksjoner. Vurderinger knyttet til om etablerte responstider er tilstrekkelig for å ivareta funksjonen er ikke gjennomført.
På SLT og SLA er ytelseskravet til kapasitet for enkelte PSV’er basert på at tilbakeslagsventiler begrenser strømning fra nedstrøms segment med høyere trykk. En forutsetning i intern dispensasjon for denne løsningen er årlig lekkasjetest for disse tilbakeslagsventilene for å sikre at lekkasjeraten ikke overstiger installert PSV-kapasitet. Gjennomgang i SAP viste at vedlikeholdsprogram er etablert, men at årlig test ikke er gjennomført for alle relevante ventiler.
Hjemmel
Mangelfullt vedlikehold av branndører
Beskrivelse
Sviktmodi som kan utgjøre en sikkerhetsrisiko var ikke tilstrekkelig systematisk forebygget ved hjelp av et vedlikeholdsprogram.
Begrunnelse
Det var for noen branndører ikke et forebyggende vedlikeholdsprogram som ivaretar branndørene. I befaring på Sleipner A ble det observert en dør som ikke lukket og en dør som satt fast.
I intervju av personell som kjenner funksjonen til branndørene fremgår det at det var feil på mange (ca 40) branndører, og en branndør måtte repareres på stedet. Det kom også fram at feil på branndører ikke rapporteres inn riktig i vedlikeholdssystemet.
Det har tidligere (før juni 2021) ikke blitt gitt tilbakemelding om feil på branndører i vedlikeholdssystemet på TAG, og hver dør har da ikke god historikk. I Technical Condition Report for Sleipner er det ingen feil eller tester på branndører. Vedlikeholdsdata for branndører i SAP viste at det var flere feil på branndører.
Equinor har i sitt «Ende til ende»-prosjekt endret på intervall på konsept for branndører, fra 4 til 12 måneder for pneumatiske dører og fra 6 til 24 måneder for manuelle dører, se også kapittel 5.2.4. Innføringen på Sleipner er likevel utsatt for å få rett historikk til å kunne sette rett FV-intervall.
I dokumenter mottatt etter oppsummeringsmøtet har vi mottatt TIMP-vurderingen for branndører for juli 2021. For SLA var det testet 31 luftstyrte branndører i juni uten feil. Disse er registrert på TAG og inkludert nå i Technical Condition Report. På SLT var det tilsvarende testet 15 luftstyrte dører uten feil.
I TIMP-rapporten for juli var det påpekt at en branndør (som ikke var en del av vedlikeholdstesten) ikke holdt brannklassen på SLA.
GL0114 som beskriver krav til rapportering av sikkerhetskritiske feil, beskriver for branndører i kapittel 3.10 at feil/trender skal benyttes til oppfølging av disse. Det er ikke gjort.
Hjemmel
Manglende trening og verifisering av ytelseskrav for operasjonelle- og organisatoriske barriereelementer
Beskrivelse
Det var mangelfull trening og verifisering av ytelseskrav på identifiserte operasjonelle og organisatoriske barriereelementer. Dette gjelder de sikkerhetskritiske oppgavene som driftsoperatører skal utføre.
Begrunnelse
Sikkerhetsstrategien ble oppdatert med krav til operasjonelle barriereelementer (OBE’er) i 2019, etter kartlegging av hvilke operasjonelle- og organisatoriske barriereelementer som må være til stede for å håndtere spesifikke hendelser som kan skje på Sleipner.
Det er utarbeidet underlag for trening på hendelsesscenarioer som er relevant for Sleipner, og det er startet opp med trening på disse hendelsesscenarioene for å øve på definerte OBE’er. Vi observerte en trening som var knyttet til bortfall av HMI. I treningen leste en av deltakerne opp scenariet som ble etterfulgt av diskusjon relatert til et handlingsmønster, som var erfart tidligere med bortfall av HMI/ «svarte skjermer» på Sleipner. Det var satt et ytelseskrav til å håndtere denne hendelsen innen 30 minutter. Gruppen som trente var enige om at 30 minutter var noe lang tid. Ytelsespåvirkende forhold ble ikke diskutert, og var ikke slik vi oppfatter det en del av treningsscenariet. Dette til tross at det er flere forhold som viser at HMI-forholdene ikke er optimale, se avvik 5.1.5.
De plattforminterne verifikasjonene (PIV) var startet opp for operasjonelle barriereelementer. Equinor rapporterte i sin Audit report 14-20 Safety & operational excellence om PIV19 for operasjonelle barrierer. Rapporten kommentert at gjennomgang har vært gjennomført på to skift. Dokumentasjonen tyder på at gjennomgangen har vært generell og uklar med hensyn på faktisk verifisering av spesifikke operasjonelle forutsetninger/barriereelement for Sleipner. I tilsynet ble vi opplyst at arbeidet med PIV’ene og verifisering av ytelseskrav for operasjonelle barrierer startet opp i forbindelse med tilsynet.
I OBE arbeidsdokument var det identifisert få ytelsespåvirkende faktorer.
Vernetjenesten om bord under tilsynet oppga at de var lite kjent med utarbeidelsen av hendelsesscenarioene.
Hjemmel
Mangelfull kartlegging og analyser av arbeidsmiljø, herunder analyser av arbeidsbelastning
Beskrivelse
Det var ikke gjennomført nødvendige kartlegginger og analyser som sikrer et forsvarlig arbeidsmiljø og reduserer risikoen for feil-, fare- og ulykkessituasjoner.
Begrunnelse
Potensiell helse- og sikkerhetsrisiko som følge av høy arbeidsbelastning, sykefravær, gjennomførte og pågående omorganisering på Sleipner, var ikke tilstrekkelig kartlagt og analysert.
- På forespørsel om analyser har vi mottatt informasjon om interne møtevirksomhet hvor arbeidstidsbelastning diskuteres
- Tilgjengelig data fra måleparametre/indikatorer (KPI) og arbeidstidsregistreringer viser overtid og utvidet oppholdstid utover egne måltall over flere år
- Vi ble informert om at sykefraværet på Sleipner har vært høyt over flere år
- Vi kan ikke se at Equinor på en systematisk måte bruker data om arbeidstid, overtid, utvidet opphold og sykefravær i kartlegginger og analyser for å ivareta helse, miljø og sikkerhet
- I Equinors årlige spørreskjemaundersøkelse GPS inngår enkelte variabler/spørsmål som ber personell vurdere egen arbeidsbelastning. En slik egenvurdering alene kan ikke danne et beslutningsgrunnlag for den totale arbeidsbelastning
- Ut over GPS har vi ikke funnet aktiviteter gjennomført av Equinor som i tilstrekkelig grad overvåket arbeidsbelastningen for personell slik at helseskadelig eksponering og uheldige fysiske og psykiske belastninger unngås for den enkelte arbeidstakeren, og at sannsynligheten for feilhandlinger som kan føre til fare- og ulykkessituasjoner reduseres.
Alarmsystemene, i samspill med SKR (sentralt kontrollrom) operatørene som opererer dem, utgjør viktige barriereelementer i deteksjon og håndtering av feil-, fare- og ulykkessituasjoner.
- Vi ble gjort oppmerksomme på flere utfordringer i SKR, både når det gjelder skjermer (HMI), avstand til skjermer, tilgjengelighet, alarmer, ergonomi og luftkvalitet. På forespørsel om hvilke vurderinger som var gjort for arbeidsbelastning på kontrollrom, har vi mottatt WEHRA-vurderinger som er gjennomført i 2016. Vi kan ikke se ut ifra mottatt WEHRA vurderinger at det har vært gjennomført en helhetlig kartlegging eller analyse av arbeidsbelastning for kontrollrom. I oppsummeringsmøte ble vi informert om at ny kartlegging av kontrollrom var planlagt.
- Det har siden 2013 vært planlagt å installere en større skjerm i SKR. Dette var planlagt gjennomført i 2021, men det var enda ikke gjennomført. I SKR har det over tid blitt ettermontert flere mindre skjermer. I tillegg ble vi informert om at det også er planlagt ytterligere modifikasjon ved installering av en mindre ny skjerm i SKR. Utformingen av SKR skal gi operatørene den nødvendige støtte under normal drift, ved forstyrrelser og ved hendelser. Equinor kunne ikke dokumentere at det forelå en total vurdering av hvordan valg av nåværende løsning, endringene underveis hadde eller ville påvirke arbeidsmiljø og total arbeidsbelastning for SKR-operatørene.
- For SKR-operatører hadde det vært en endring i rotasjonsordning. Tidligere gav vaktordningen rom for rotasjon mellom utearbeid og kontrollrom. Kompetansebehov har medført at SKR-operatørene nå kun jobber i kontrollrom. Fra intervju kom det fram at dette gav en endring i arbeidsbelastning og ergonomiske utfordringer
- På forespørsel har vi mottatt interne retningslinje GL 0603 som beskriver foretrukne HF (Human Factors)-analyser for Equinor. Vi har ikke mottatt informasjon som tilsier at den er benyttet på Sleipner eller at andre oppgaveanalyse for å vurdere hvorvidt paneloperatører har en akseptabel arbeidsbelastning under normal operasjon, og ved hendelser er gjennomført
Hjemmel
Mangelfull styring av arbeidstid
Beskrivelse
Det var mangelfull styring og oppfølging av arbeidstid for utførende personell med barrierefunksjon på Sleipner.
Begrunnelse
Både under intervju og ved gjennomgang av timelister (2019 - 2021), ble det blant utførende personell med barrierefunksjoner avdekket en rekke tilfeller hvor arbeid utover 12 timer ble gjennomført gjentatte dager i strekk, uten at kravet til arbeidsfrie perioder og kompenserende hvile ble ivaretatt.
En arbeidstaker som har hatt mindre enn 11 timers sammenhengende hvile skal ha tilsvarende antall timer kompensert umiddelbart etter arbeidsperioden. Den arbeidsfrie perioden kan reduseres til 8 timer dersom arbeidstakerne sikres tilsvarende kompenserende hvileperioder eller, der dette ikke er mulig, annet passende vern. I slike tilfeller må en vurdere hvorvidt arbeidstakerne sikres reell mulighet for restitusjon og hvile i oppholdsperioden.
Ledende personell oppga i intervju at alt arbeid utover 12 timer ble godkjent av leder, og at de ble forsøkt fordelt blant de ansatte, men at dette ikke alltid lot seg gjøre for alle typer stillinger. Antall timer registrert hos den enkelte i systemet SAP ble ikke brukt i vurderingen av om den enkelte arbeidet i henhold til arbeidsmiljøbestemmelsene. Vurdering av den enkeltes arbeidsbelastning ble gjort av den enkeltes linjeleder i samråd med arbeidstakeren, uten at en brukte tilgjengelige data om den reelle arbeidstiden for den enkelte. Ledende personell oppgav at dersom den enkelte hadde behov for hvile etter en lang vakt, kunne dette la seg gjennomføre. Slik kompenserende hvile ble ikke dokumentert, og en hadde heller ikke beskrevet dette eller andre kompenserende tiltak i styrende dokumenter. Arbeidsgiver har et ansvar for å sikre at arbeidstakerne sikres nødvendig restitusjon og hvile.
Under intervju gav flere uttrykk for at kravet til hvile var 8 timer, og det virket lite kjent at arbeidstaker som hovedregel skal ha en sammenhengende arbeidsfri periode på minst 11 timer i løpet av ett døgn.
Det er ikke dokumentert at det er gjennomført forsvarlighetsvurderinger for bruk av overtid for utførende personell med barrierefunksjon på Sleipner.
Ledende personell på Sleipner oppga at de ofte arbeidet ut over ordinær arbeidstid. Timelistene gjenspeilet også dette. I intervju kom det frem at det ikke ble gjennomført forsvarlighetsvurderinger av arbeid ut over 12 timer for ledere utover dialog mellom linjeleder og den ansatte. I perioden har det også vært gjennomført en reduksjon i antall D&V (drift og vedlikehold) ledere på Sleipner.
Tilsendte timelister fremstod som uoversiktlig, og det var krevende å få oversikt over arbeidsbelastningen den enkelte utsettes for over tid, gjennom arbeid utover 12 t, manglende kompenserende hvile og arbeid utover 14 dager. Timelistene vi mottok inneholdt også en rekke feil og uklarheter. Et eksempel var at arbeid utover 16 timer ikke var registrert som overtid, dette ble forklart som en SAP teknisk øvelse i forbindelse med skiftendring.
De tilsendte arbeidstidslistene fremstod som vanskelig å følge opp for den ansvarlige, lite egnet til å overvåke/ kontrollere at arbeidstiden var innenfor de rammene som arbeidsmiljøloven fastsetter og lite egnet for tillitsvalgte og myndigheter til å kontrollere om arbeidstidsbestemmelsene overholdes. Vi er i tvil om verktøyene som benyttes var egnet til å overvåke arbeidstid og arbeidsbelastning for å sikre tilstrekkelig bemanning til å kunne ivareta sikkerhet, helse og miljø på Sleipner.
Hjemmel
Mangler med avviksbehandling
Beskrivelse
Det ble identifisert flere mangler ved oppfølging av krav i helse-, miljø- og sikkerhetslovgivningen.
Begrunnelse
Selskapet fikk i 2011 startet en oppdatering av totalrisikoanalysen for Sleipner i forbindelse med produksjon fra Gudrun. Denne ble utgitt i 2012. Enkelte justeringer ble gjort de påfølgende årene, basert på Gina Krog tie-in i 2014 og Utgard tie-in i 2018. Totalrisikoanalysen konkluderer med at frekvensene for tap av hovedsikkerhetsfunksjonene, som følge av storulykker er over akseptkriteriet per år for tap av rømningsveier og tap av struktur.
Andre eksempler på mangler med avviksbehandling var interne revisjoner som observerer utfordringer med oppfølging av tiltak og evaluering av effekt.
- Selskapets internrevisjon i første halvår 2020 «Safety & Operational Excellence 14-20 SLF» observerer behov for forbedring knyttet til å sikre at gjennomførte tiltak har hatt effekt. Dette på bakgrunn av at de samme funnene har blitt gjort tre år på rad innenfor risikoområdet hydrokarbon-lekkasjer. Tiltaket ble lukket 15. oktober 2020 basert på ny plan for Plattformintern verifikasjon (PIV).
- Et annet eksempel var selskapets internrevisjon andre halvår 2018 av etterlevelse relatert til sentralt kontrollrom. Her ble det blant annet observert avvik fra målene definert i TR1494, og at omtrent samme observasjon ble gjort i 2015. Anbefalt tiltak var blant annet å opprette midlertidig DISP der nødvendige tiltak blir identifisert og gjennomført. Men i april 2019 ble det konkludert at TR1494 «har ikke tilbakevirkende kraft» slik at det ikke var behov for DISP, uten at en har operasjonalisert andre ytelseskrav til alarmsystem. Nye TIMP-vurderinger viser at oppfølging av tiltak siden 2015 ikke har ført til nødvendig effekt.
- Et tredje eksempel er selskapets internrevisjon andre halvår 2019 «01-19 HC er leakage prevention». Den reviderte om det arbeides i samsvar med arbeidsprosesser for arbeid på trykksatt system. Revisjonen anbefalte økt ledelsesfokus mot etterlevelse av styringssystemet med spesielt fokus på presisjon og nøyaktighet i arbeidet med utfylling av arbeidstillatelser, og påpekte at dette også ble omtalt i forrige revisjon
Den ansvarliges avviksbehandling har ikke korrigert eller kompensert for avvikene beskrevet i de overnevnte eksemplene.
Hjemmel