Manglende oversikt over barriereytelse og oppfølging av sikkerhetsfunksjoner
Beskrivelse
Aker BP har ikke sikret at de til enhver tid er kjent med hvilke barrierefunksjoner som er svekket. Aker BP har ikke sikret at ytelseskrav til sikkerhetsfunksjonene på innretningen er fulgt opp og verifisert i henhold til antagelser som er lagt til grunn ved design.
Begrunnelse
Vi er ikke gjort kjent med at Aker BP har foretatt en systematisk innsamling, evaluering og anvendelse av feildata på Ula som verifiserer og sikrer at ytelseskrav (integriteten) til sikkerhetsfunksjonene i drift, samsvarer med ytelseskravene som ble lagt til grunn ved design. Selskapet kunne ikke redegjøre for hvordan feildata fra disse kategoriene ble fulgt opp internt og om integriteten som ligger til grunn, blir møtt.
Gjennom oppstartsmøte og intervju er vi informert om at Aker BP ønsker å starte en prosess, hvor disse dataene tas i bruk, for å verifisere godheten til antagelsene som ble lagt til grunn for integriteten til sikkerhetsfunksjonene. Vi har ikke blitt forelagt informasjon som viser at denne prosessen er påbegynt.
Observasjoner:
- Gjennom intervjuer og samtaler har organisasjonen i liten grad kunnet redegjøre for hvordan feildata fra sikkerhetssystemer i drift blir fulgt opp internt og om integriteten som ligger til grunn, blir møtt.
- NOROG 070 (veiledning) har som formål å forenkle og operasjonalisere standardene IEC 61508/61511. Denne veiledningen og disse standardene er lagt til grunn for design av sikkerhetssystemene på Ula. Kapittel 10 omhandler bl.a. overvåkning og verifikasjon av SIS ytelse. Gjennom intervju og samtaler, både på land og offshore, har vi ikke blitt presentert informasjon som viser at organisasjonen har et aktivt forhold til denne prosessen.
- Aker BP dokumentet «53-000273 Attachment 13 – Maintenance and test concept for On/Off valves», kapittel 2.2.5, fremhever viktigheten av å evaluere kritisk utstyrsfeil i drift og verifikasjon av feilrater opp mot design antagelser. Gjennom intervju og samtaler, både på land og offshore, har vi ikke blitt presentert informasjon som viser at organisasjonen har et aktivt forhold til disse kravene.
- Aker BP sender hvert år inn data til RNNP. Dette er data fra gjennomførte tester og annen kjøring/aktivering av kritisk utstyr. I 2021 og 2022 var feilratene for seksjonaliserings- og trykkavlastningsventiler høye. Feilratene som ble rapportert inn var langt høyere enn antagelsene som ble lagt til grunn for funksjonene ved design. Organisasjonen har ikke kunnet vise til at den høye feilraten har startet en intern prosess for videre oppfølging. De høye feilratene var i liten grad kjent både på land og offshore.
Hjemmel
Mangelfull klassifisering av logikktesting for brann- og gass system
Beskrivelse
Aker BP har ikke klassifisert logikktesting av brann og gass systemet med hensyn til konsekvensene for sikkerhet av potensielle funksjonsfeil.
Begrunnelse
Aker BP tester brann og gass detektorer frem til brann- og gass kontroller på innretningen, men har flyttet funksjonstesting av logikk til land. Ved stikkprøvekontroll i vedlikeholdssystemet ble det observert at logikktesting ikke var definert som en sikkerhetskritisk aktivitet. Logikken er også en del av funksjonen og må sees i sammenheng med etablerte funksjonskrav. En logikktest vil kunne avdekke systematiske feil, som tidligere ikke er fanget opp gjennom commissioning- og modifikasjonstesting.
Logikktesten for 2023 er i henhold til vedlikeholdssystemet fortsatt ikke ferdig utført. Ferdigstillesdato for denne testen var under tilsynet overskredet med mer enn 7 måneder. Logikktesting har også krav til testintervall som skal etterleves.
Hjemmel
Manglende alarmer ved tap av overtrykk i rom
Beskrivelse
Manglende alarmer i kontrollrommet som har betydning for sikkerheten.
Begrunnelse
Vi utførte tester ved å simulere tap av overtrykk i rom på plattformen Ula-P. Testene ble gjennomført for P01 og P02. Testen ble gjennomført ved at dør ble holdt oppe i flere minutter uten at alarm ble aktivert i kontrollrommet (skulle vært aktivert etter 30 sek). Da den første testen feilet ble en tilsvarende test utført i et annet rom ved overtrykk. Denne testen ga heller ingen alarm i kontrollrom.
Da dette er prioritet 1 alarmer har selskapet definert det som kritisk at kontrollromsoperatørene får denne informasjonen og agerer deretter.
Hjemmel
Manglende oversikt over utkoblede sikkerhetssystemer
Beskrivelse
Status for alle utkoblede sikkerhetssystemer var ikke kjent for relevant personell og kunne ikke redegjøres for.
Begrunnelse
Under verifikasjon av blokkeringslogg i kontrollrommet observerte vi at flere blokkeringer/utkoblinger var opptil 5 år gamle og manglet informasjon om grunnen til at de var blokkert/utkoblet. Operatørene kunne ikke redegjøre for disse eldre utkoblingene. Det var ikke etablert en systematisk tilnærming for gjennomgang av gamle blokkeringer/ utkoblinger.
Hjemmel