Mangelfull avviksbehandling
Beskrivelse
Manglende registrering, oppfølging og korrigering av identifiserte avvik fra krav i HMS-regelverket
Begrunnelse
Styringsforskriften § 22 om avviksbehandling stiller krav til hvordan identifiserte avvik skal håndteres. Ved identifisering av avvik som ikke er av en slik alvorlighetsgrad at de betinger umiddelbar nedstenging eller stans av aktivitet, skal avviket korrigeres, årsakene klarlegges og tiltak settes i verk for å hindre at avviket oppstår igjen. Inntil avviket er korrigert, skal det settes i verk kompenserende tiltak for å opprettholde et forsvarlig HMS-nivå.
I Equinor er det DISP-prosessen som skal ivareta identifikasjon, godkjenning og oppfølging av både midlertidige og permanente avvik. Dette gjelder både avvik fra interne krav, men også fra myndighetskrav. Dersom svekkelsen er avdekket ved for eksempel en TTS-gjennomgang, vil observasjonen i noen tilfeller bli fulgt opp og utbedret uten at det utarbeides en DISP for forholdet, eller det utarbeides en DISP som bidrar til å lukke det aktuelle funnet identifisert i TTS.
Vi observerer at:
- Det ble i TTS i 2016 for PS 8 identifisert at brannintegriteten til rør og tanker var uavklart. Basert på utførte beregninger er det gjennomført modifikasjoner for å sikre raskere trykkavlastning av segment som gikk raskt til brudd. Modifikasjonene omfattet blant annet fjerning av tidsforsinkelse ved initiering av trykkavlastning, samt utskifting til større orifice. Åsgard A har likevel ikke en oppdatert og samlet oversikt over effekten av de tiltak som er gjort, og en kjenner derfor ikke til hvordan risikoen for brudd er i de forskjellige deler av anlegget. Denne kunnskapen må være på plass for å kunne optimalisere fakkelsystemet ytterligere og for å kunne vite hvilke segmenter som trenger passiv brannbeskyttelse.
- En gjennomgang av åpne TTS punkt viser at det for PS 8 er funn som har stått åpne lenge og som har blitt gjenåpnet etter tidligere lukking. Dette er punkt som er gjeldende for dagens design uavhengig av løsning for uakseptable brudd. Kompenserende tiltak er ikke etablert. Dette gjelder følgende punkt:
- TTS punkt knyttet til manglende lavtemperatur-alarm som sikrer at man starter trykkavlastning i tide ved en stans i anlegget. Det er gjennomført beregninger som viser at trykkavlastning med starttemperatur lik minimum omgivelsestemperatur kan resultere i temperatur lavere enn minimum design temperatur for enkelte segment (opprinnelig identifisert i 2010, gjenåpnet i 2016).
- TTS punkt knyttet til strålingsverdier som overskrider tillatte grenser. Det er uklart i hvilken grad endring av tidsforsinkelse vil påvirke dette funnet (opprinnelig identifisert i 2005, gjenåpnet i 2016).
- Manglende registrering og oversikt over status for identifiserte avvik funnet i interne elektrotilsyn. Equinor hadde ikke status over avvik og svekkelser som var avdekket etter interne elektrotilsyn. Vi fikk tilbakemelding om at det er en plan om at dette fremover skal følges opp ved hjelp av verktøyet MIS for risikostyring.
Hjemmel
Mangler ved beslutningsgrunnlag og beslutningskriterier
Beskrivelse
Manglende allsidig belysning av problemstillinger som angår helse, miljø og sikkerhet før beslutninger tas.
Begrunnelse
Behandlingen av permanent dispensasjoner for utkobling av NDB/Radiofyr og LIR- rom uten sluse som direkte grenser til prosessområde (sone 2), belyser ikke problemstillinger rundt relevante myndighetskrav. For eksempel manglende alarm til permanent bemannet kontrollrom ved tap av overtrykk og krav til å fjerne mulige tennkilder ved nedstenging og automatisk ved gassdeteksjon. Behandlingen beskriver heller ikke kompenserende tiltak.
Hjemmel
Mangler ved nødkraftsystem
Beskrivelse
Nødkraftsystemet hadde ikke færrest mulig automatiske utkoblingsfunksjoner for å sikre kontinuerlig drift når systemet er i nøddrift.
Begrunnelse
Nødtavlen var blitt modifisert ved at det var blitt installert lysbuevern. Denne modifikasjonen øker personsikkerheten for personell som skal operere brytere i tavlen, men har som konsekvens at hele nødtavlen vil bli utkoblet ved deteksjon av lysbue.
Videre var selektiv utkobling av UPS kurser ikke dokumentert i de analysene som vi fikk oversendt.
Hjemmel
Manglende tennkildekontroll
Beskrivelse
Manglende tekniske, operasjonelle og organisatoriske tiltak for å redusere faren for antennelse så langt som mulig.
Begrunnelse
- Vi observerte flere transportable slamsugere ute i prosessområde, disse manglet jordledning, det er en forutsetning for sikker bruk i eksplosjonsfarlig område at disse jordes før bruk. Det var også manglende kjennskap til dette kravet, og manglende opplæring innenfor Ex problematikk for brukere av slikt utstyr.
- Portabelt utstyr som slamsugere hadde ikke eget unik id eller tag, man kunne dermed ikke dokumentere at nødvendig vedlikehold eller oppfølging var utført.
- Eksplosjonsbeskyttet utstyr manglet tilfredsstillende merking, Ex merkeskilt var uleselig på noe utstyr, blant annet flere koblingsbokser.
- Det var ikke utført kartlegging av mulige tennkilde om bord på Åsgard A, I veiledning til innretningsforskriften §10A. viser vi til NS-EN 1127-1, som inkluderer flere slike mulige tennkilder.
- Under tilsynet fikk vi flere tilbakemeldinger på at man gjennom ulike prosesser innenfor vedlikeholdsstyring har mistet relevant informasjon om vedlikeholdsintervall og beskrivelse av jobber som man hadde opparbeidet seg over mange års drift. Denne kunnskapen var ikke lenger reflektert i vedlikeholdsaktivitetene, som var erstattet med mer generisk tekst og intervaller. Dette var også gjeldende for Ex jobber. Man kunne ikke dokumentere at resultat fra tidligere inspeksjoner (eller likt utstyr) på Åsgard A var tatt med i inspeksjonsstrategien for Ex utstyr på Åsgard A.
Hjemmel
Mangler ved vedlikeholdsprogram for nødavstengningssystemet
Beskrivelse
Vedlikeholdsprogrammet inneholder ikke aktiviteter for overvåking av ytelse og teknisk tilstand, som skal sikre at sviktmodi som er under utvikling eller har inntrådt, blir identifisert og korrigert. Selskapet kunne heller ikke dokumentere anleggets eller utstyrets funksjon i situasjoner der funksjonen utløses eller tas i bruk.
Begrunnelse
Vedlikeholdsprogram for nødavstengningssystemet inneholdt ikke rutiner som innebærer at systemet verifiseres i henhold til IEC 61508 og NOG070 eller på annen måte sikrer at funksjoner prøves i henhold til regelverket.
Nødavstengningssystemet (NAS) på Åsgard A er basert på tradisjonelt design før innføring av SIL krav ihht. IEC61508/61511. Vedlikeholdsprogram inneholdt ikke aktiviteter som sikrer at alle deler av sikkerhetsfunksjonen til nødavstengningssystemet prøves minst en gang i året. For eksempel inkluderer det ikke utstyr og logikk som er nødvendig for å eliminere tennkilder.
Hjemmel
Manglende oppdatering av dokumentasjon
Beskrivelse
Mangelfull oppdatering av styrende dokumentasjon og tekniske driftsdokumenter.
Begrunnelse
Eksempler på observasjoner knyttet til manglende oppdatering:
- Det finnes ikke en oppdatert fakkelrapport som dokumenterer design case og forutsetninger for fakkelsystemet og definerte overtrykksscenarier slik det er i dag. Kapasiteter og krav til fakkelsystemet er beskrevet i flere fakkelrapporter og studierapporter utarbeidet i ulike prosjekt. Det fremkommer ikke klart av dokumentasjonen hva som er gjeldende status.
- Åsgard A ble opprinnelig bygget ut med bruk av metanol som hydratinhibitor. Under tilsynet ble vi informert om dette først ble endret til bruk av etanol før dagens løsning med bruk av MEG ble innført. Deler av driftsdokumentasjonen er ikke oppdatert til å reflektere denne endringen.
- Passive Fire Protection Specification
- Black-start prosedyren som vi fikk oversendt og som var registrert i styringssystemet var ikke lik den som var opphengt i tavlerom. Vi fikk opplyst at prosedyren som var opphengt i tavlerom var den som ble benyttet ved treninger. Denne var ikke registrert i styringssystemet.
Hjemmel
Overtrykkssikring
Beskrivelse
Manglende oppfølging av definerte ytelseskrav for overtrykksbeskyttelse. Mangler ved selskapets etablering av operasjonelle barrierer for overtrykkssikring av innløpsarrangement. Driftsprosedyrene var ikke utformet slik at de ivaretar alle element knyttet til valgt løsning.
Begrunnelse
Vi har mottatt dokumentasjon knyttet til overtrykksbeskyttelse av innløpsarrangement og forutsetninger fra flere dispensasjoner knyttet til overtrykksbeskyttelse. Nedenfor er mangler identifisert i tilsynet beskrevet:
- Overtrykkssikring av innløpsarrangement ved feilåpning / choke kollaps er basert på en kombinasjon av å begrense trykk i rørledning før oppstart samt forriglinger som skal sikre rekkefølge på ventilåpning. Løsningen gir ingen beskrivelse av operasjonelle tiltak dersom nedstengning på havbunnen har feilet og trykket er høyere enn definert maksimum trykk før oppstart. Forriglingene vil ikke hindre en åpning av ventilene med trykk over angitt maksimum trykk. Operasjonsprosedyrene inneholdt ingen beskrivelse av nødvendige tiltak. Oppdaterte prosedyrer er nødvendig for at kontrollromsoperatørene skal inneha den nødvendige kjennskap til anlegget og de forutsetninger som ligger til grunn.
- Det er godkjent en dispensasjon knyttet til antall tilbakeslagsventiler i serie for beskyttelse mot overtrykk av segment på sugeside av kompressorer. Godkjenningen er basert på blant annet forutsetning om testefrekvens. Basert på mottatt informasjon ser det ikke ut til at forventet testfrekvens er ivaretatt for alle nevnte tilbakeslagsventiler.
- I designdokumentasjon referert til i sikkerhetsstrategien er det oppgitt gangtidskrav til HIPPS ventiler på 2s. Gjennomgang i SAP for utvalgte HIPPS ventiler viser at de blir målt mot et gangtidskrav på 10s. Resultater fra tester de siste årene viser reell gangtid høyere enn 2s for noen ventiler.
- I forbindelse med tilknytning av Trestakk ble det gjennomført vurderinger knyttet til krefter på rør for feilåpning og chokekollaps. Ulike scenarier ble simulert og hovedkonklusjonen er at med PAHH på 142 bara på havbunnen så vil alle scenarier være OK så lenge åpningstid på EV er minimum 10 minutt. Basert på informasjon mottatt i tilsynet så er det ingen oppfølging knyttet til minimum åpningstid på ventilen.
Hjemmel