Overtrykksbeskyttelse
Beskrivelse
Det var mangler knyttet til å etablere krav for å sikre to uavhengige nivå for overtrykksbeskyttelse av utstyr i forbindelse med modifikasjoner eller nye anleggsdeler.
Det var mangler knyttet til kjennskap til etablerte barrierefunksjoner og til gjennomføring av aktiviteter for å sikre at etablerte barrierer for overtrykksbeskyttelse er tilstrekkelig for eksisterende anlegg.
Begrunnelse
I substituttet til TR2237 som gjelder for modifikasjoner og nye anleggsdeler er det beskrevet at overtrykksbeskyttelsen minimum skal inkludere sikkerhetsventil (PSV) men i tillegg skal det gjennomføres en strukturert gjennomgang eksempelvis Layer of Protection Analysis (LOPA) for å identifisere behov for ytterligere risikoreduksjon. Dette kravet møter ikke dagens minimumskrav i regelverket (TOF) for overtrykksbeskyttelse om to uavhengige barrierer og uavhengighet mellom kontrollsystem og sikkerhetssystem. Kravet om to uavhengige barrierer er et minimumskrav. Det har ikke vært unntaksbehandling knyttet til dette. Se også avvik 5.1.5 om akseptkriterier.
For øvrige anleggsdeler som ikke omfattes av substituttet er det ikke etablert noen oversikt over hvilke krav som gjelder for de ulike anleggsdelene. Fra vurderingene ved opprettelsen av substituttet er det anbefalt å gjennomføre hazop for alle eksisterende anleggsdeler for å avdekke mulige designsvakheter. Det ble ikke opprette aktivitet på tiltaksplanen for dette. Det er åpne aksjoner fra tiltaksplanen knyttet til vurdering av instrumenterte funksjoner og kapasitet på sikkerhetsventiler, og det er derfor ikke dokumentert at overtrykksbeskyttelsen er ivaretatt for alle scenarier. Se også avvik 5.1.3, 5.1.4 og 5.1.5.
Hjemmel
Overfyllingsvern
Beskrivelse
Det var mangler knyttet til å følge opp midlertidige barrierefunksjoner for overfyllingsvern for å sikre at sviktmodi som er under utvikling eller har inntrådt blir identifisert og korrigert.
Begrunnelse
I substitutt til TR2237 er det definert krav til overfyllingsvern for tanker. Overfyllingsvernet skal være automatisk og uavhengig av kontrollsystemet. For dette kravet ble det etablert aktiviteter i tiltaksplanen for å korrigere mangler også på eksisterende anlegg.
Med referanse til avvik 5.1.4 så er det fortsatt mangler knyttet til overfyllingsvern på lagertanker. Som et kompenserende tiltak er det installert midlertidige løsninger for overfyllingsvern via kontrollsystemet på enkelte tanker. En gjennomgang i system for vedlikeholdsstyring viste at disse funksjonene ikke var identifisert som sikkerhetskritiske, og det var ikke etablert krav til lukketid for ventilene, kun at de gikk til stengt posisjon. TAG som ikke er definert som sikkerhetskritiske blir ikke fulgt opp som en barrieresvekkelse ved feil. Test av ventiler ble implementert i 2022 med 48 mnd testintervall. Det har derfor kun vært gjennomført én test. Bransjestandard for test av prosessikringsventiler er årlig test. I gjennomgått eksempel har den midlertidige løsningen vært i drift i ca seks år. Der det er etablert midlertidige løsninger er det ikke opprettet dispensasjon og/ eller notifikasjon i vedlikeholdssystemet som sikrer videre utbedring til permanent løsning.
Hjemmel
Manglende oversikt over prosessikkerhetsfunksjoner
Beskrivelse
Deler av styrende dokumenter, deriblant tekniske driftsdokumenter, foreligger ikke i oppdatert versjon eller er formidlet slik at alle barrierefunksjoner er beskrevet.
Begrunnelse
Basert på dokumentasjon vi har mottatt i tilsynet samt informasjon mottatt gjennom presentasjoner og intervju ser vi at det er mangler med dokumentasjonen knyttet til prosessikkerhet. Informasjon er delvis tilgjengelig via diverse underlagsdokumenter, men det er utfordrende å få en oversikt over hvilke funksjoner som inngår i en barrierefunksjon samt hvilke forutsetninger som ligger til grunn for fastsettelse av ytelseskrav for de etablerte barrierefunksjonene. Midlertidige løsninger og andre løsninger som er implementert i kontrollsystemet er ikke definert som sikkerhetskritiske.
- Det var ingen systematisk oversikt som dokumenterer hva som inngår i løsning av for overtrykksbeskyttelse for de komponentene som har hatt en vurdering av behov for ytterligere beskyttelse utover PSV. Eventuelle transmittere og alarmer fra kontrollsystemet som inngår i den totale løsningen for overtrykksbeskyttelse blir ikke definert som sikkerhetskritiske.
- I substitutt til TR2237 er det etablert krav til operasjonelle barriereelementer for de enkelte ytelsessstandardene. For ytelsestandarden for prosessikkerhet (PS12) er det definert krav som skal kompensere for manglende automatiske funksjoner for overtrykksbeskyttelse og overfyllingsvern. Beskrivelsene i substitutt til TR2237 er generelle, eksempelvis er det beskrevet forventet aksjon ved høyalarm på nivå på tanker som ikke har automatisk overfyllingsvern, men det er ingen oversikt over hvilke tanker det gjelder. Det var ikke kjent for operatørene hvilke tanker som manglet overfyllingsvern.
- Det er ingen oppdatert fakkelrapport som dokumenterer design og forutsetninger for fakkelsystemet
Hjemmel
Avviksbehandling
Beskrivelse
Det er mangler ved korrigering av avvik og manglende kompenserende tiltak
Begrunnelse
Equinor har gjennom sine egne verifikasjoner TTS og TIMP samt ved opprettelsen av substitutt til TR2237 avdekket avvik. Det er ulike typer avvik som er avdekket. Avvikene omfatter konkrete mangler, usikkerhet knyttet til kapasitet på etablerte barrierefunksjoner samt til dokumentasjon av definerte barrierefunksjoner.
Noen av avvikene har vært kjent i lang tid. Det er totalt 19 åpne funn fra tidligere TTS verifikasjoner hvor de eldste er fra 2003. Det er etablert aktiviteter i tiltaksplanen for å korrigere avvik, men flere aktiviteter har blitt utsatt flere ganger, og for enkelte avvik er det ikke vurdert behov for kompenserende tiltak.
For noen identifiserte avvik knyttet til overfyllingsvern er det etablert midlertidige løsninger. Det er ikke etablert dispensasjoner for disse, og vi ble informert om i tilsynet at notifikasjoner for permanent utbedring av midlertidige løsninger ikke er etablert. Det er også identifisert mangler knyttet til om ytelseskrav til identifiserte barrierefunksjoner (PSV’er) ivaretar alle relevante scenarier. Eksempler på dette er hvorvidt sugeside av kompressorer og pumper er tilstrekkelig beskyttet for tilbakestrømning fra nedstrøms segment med høyere trykk. Det er også avdekket mulige utfordringer med trykkoppbygging oppstrøms PSV pga avstand mellom spec. skifte og plassering av PSV.
Under tilsynet ble vi informert at avdeling for teknisk integritet har vært underbemannet i en periode og manglende prosessressurser har vært årsak til at lukking av avvik er blitt utsatt eller at kompenserende tiltak ikke har vært identifisert, se kapittel 6.2
Eksempler på funn som har vært åpne i lang tid:
Overfyllingsvern på tanker:
Det har vært funn på at lagertanker har vært driftet med mangelfullt og midlertidig overfyllingsvern, og dette burde vært gjenstand for en avvikshåndtering i forhold til krav i S-TR-2237.
Det er mangelfull overfyllingsbeskyttelse på tanker med volatilt innhold. Dette ble identifisert som et avvik i 2014 med anbefalt frist for lukking innen 2018 (Decision Memo Upgrading Strategy of Technical Barriers at Statoil Mongstad (SM-0000-P-RE-068, 2015).
Etablering av overfyllingsvern på tanker på ytre anlegg ble igjen identifisert i tiltaksplan i 2020 med frist for lukking 4Q 2021 (Tiltaksplan for oppgradering av Tekniske sikkerhetsbarrierer ved Equinor Mongstad (SM-0000-P-RE-068, rev D, 2020).
Mangelfull overfyllingsbeskyttelse og manglende verifisering av tilstrekkelig set-punkt/responstid for prosessikkerhets-funksjoner er videre identifisert i TTS 2023. Live tiltaksplan/TIMP lukkeplan inneholder frist for lukking av aksjon 4Q 2025.
Manglende sikring mot væskeslag i LDF caverne pumper:
Tiltaksplan i 2020 identifiserte behov for å utbedre trykkslag ved oppstart av LDF (nafta) caverne pumpene for å forbedre prosessikkerhet og redusere HC lekkasje, med frist for lukking av aksjon 3Q 2021.
Dispensasjonen som ble etablert etter naftalekkasjen på Mongstad under lasting til tankskip 11.-12.02.2018 (DISP 159880) med midlertidig kompenserende driftstiltak ble godkjent under forutsetning at en permanent løsning måtte utarbeides og være på plass så snart som mulig. Løsningen for å forhindre væskeslag er installasjon av frekvensomformere som benyttes ved oppstart av pumpene. Live tiltaksplan/TIMP lukkeplan viser frist for lukking av aksjon først 3Q 2023, over 5 år etter naftalekkasjen.
Usikkerhet knyttet til PSV kapasitet og pålitelighet:
Tiltaksplan 2020, TTS 2023 og TIMP har identifisert manglende barrierer og risiko for at PSVer ikke fungerer når de skal med resultat av overtrykking i anlegget. I tillegg er det identifisert risiko for overtrykking av rørsegment før PSV for systemer med stort differansetrykk og spec skifte ved kontrollventil.
Live tiltaksplan/TIMP lukkeplan viser at tiltak er initiert med frist for lukking slutten av 2023-2Q 2024, men funnene ble identifisert flere år tilbake uten at det er gjennomført vurderinger om behov for flere beskyttelseslag.
Usikkerhet knyttet til fakkelkapasitet:
Fakkelrapporten for Mongstad er fra 2014 og er ikke oppdatert etter endringer gjort i anlegget de siste årene, og rapporten er ikke i henhold til selskapskrav. Tiltaksplan i 2020 har identifisert funn knyttet til usikkerhet rundt fakkelkapasitet og anbefalt en verifikasjon av fakkelmodellen. TTS 2023 og TIMP identifiserer igjen behov for å oppdatere fakkelmodell og tiltak for å øke påliteligheten av fakkelsystemet.
Under tilsynet registrerte vi også funn fra tiltaksplan 2020, TTS 2023 og TIMP som går mot manglende dokumentasjon og usikkerhet knyttet til sikkerhetsfunksjoner. Eksempelvis systematisk gjennomgang av alle initiatorer og gjennomgang av kontrollventiler med PSD funksjon. Disse funnene er ikke blitt prioritert og vil ihht. Live plan muligens starte i 2025. Et annet eksempel er fakkelsystemet der det er usikkerhet knyttet til dokumentasjon i forhold til fakkelkapasitet. Konsekvensen av å ikke prioritere disse aksjonene er at anlegget driftes videre med usikkerhet knyttet til om sikkerhetsfunksjoner ivaretar tiltenkt funksjon.
Hjemmel
Akseptkriterier for overtrykking
Beskrivelse
Akseptkriteriene Equinor legger til grunn for etablering av barrierene for prosessikring bidrar ikke til tilstrekkelig reduksjon av risiko.
Begrunnelse
Equinor sitt etablerte krav til overtrykksbeskyttelse for modifikasjoner og nye anleggsdeler på Mongstad er at overtrykksbeskyttelsen minimum skal inkludere sikkerhetsventil (PSV) men i tillegg skal det gjennomføres en strukturert gjennomgang eksempelvis LOPA for å sikre at akseptkriteriet for frekvens for overtrykking ikke overstiges. Se også avvik 5.1.1.
I tilsynet mottok vi kravdokument og LOPA-analyse utført i forbindelse med at det vurderes modifikasjon av kolonne T-1605. T-1605 har et eldre design, og prosessikringen skiller seg fra dagens krav ved at den ikke har to uavhengige barrierer mot overtrykking. Prosessikringen består av sikkerhetsventiler (PSV) og alarm på høyt trykk og høyt differensialtrykk implementert i prosesskontrollsystemet (PCS).
Industrien har etablert et akseptkriterium for overtrykk i prosessanlegg på sokkelen som krever at frekvens for trykk over prosessutstyrets testtrykk skal ha en lavere frekvens enn 10-5. Dette er reflektert i NORSOK-S001, og også i Equinors kravdokument TR 1413. For Mongstad er det ikke etablert et eget akseptkriterium for trykk over testtrykk men et akseptkriterium på 10-4 for brann eller eksplosjon som kan føre til tap av en hovedsikkerhetsfunksjon, ref dokument «TR2370 Risiko toleranse kriterier for MMP PM». Det er ikke klart hva akseptkriteriet for overtrykking er dersom en tilhørende brann ikke fører til tap av en kritisk sikkerhetsfunksjon.
I LOPA-analysen er det benyttet akseptkriterium på 10-4 for en antent lekkasje. Analysen forutsetter lekkasje ved trykk over testtrykk, og inkluderer sannsynligheten for antenning av lekkasjen. Akseptkriteriet for trykk over testtrykk blir derfor svakere enn 10-4, dvs i 10-3 området, avhengig av sannsynligheten for antenning. Dette er lavere enn etablert bransjestandard og ikke i henhold til regelverkets krav om at sikkerhet skal videreutvikles i forhold til den teknologiske utvikling.
I SIL- analysen som utføres for å sette krav til pålitelighet for alarm ved høyt trykk i T-1605 er alarm for høyt differensialtrykk i T-1605 lagt inn som et beskyttelseslag. På grunn av at både alarm for høyt trykk og alarm for høyt differensialtrykk begge er implementert i PCS er ikke alarmene uavhengige, men kan sette ut av funksjon ved felles feil i PCS. Det er ikke korrigert for felles feil i PCS i analysen slik noe som er en av forutsetningene for en LOPA- analyse.
Hjemmel
Tilrettelegging av informasjon
Beskrivelse
Informasjonen som er nødvendig for å kunne planlegge og utføre aktivitetene er i noen tilfeller ikke tilstrekkelig formidlet til kontrollroms- og prosessoperatørene.
Begrunnelse
Gjennom samtalene fikk vi informasjon om at det er mange instrukser som operatørene må gå gjennom og huske på i den daglige driften av anlegget. Dette er kapasitetskrevende og øker faren for at operasjonelle barrierer blir glemt:
- Døgn- og panelinstruks for ytre anlegg er omfattende.
- Det er etablert en operasjonell barriere der kontrollromsoperatørene skal overvåke og ta aksjon under fylling av tanker uten overfyllingsbeskyttelse. Kontrollromsoperatør og uteoperatør er ikke informert om hvilke tanker som har svekkelser i prosessikringssystemet for å hindre overfylling.
- Midlertidige løsninger som benyttes over lang tid er kapasitetskrevende. Grunnet trykkslag ut over designtrykk ved start av nafta caverne pumpe må operatør observere filter i felt for å avdekke eventuell lekkasje.
Hjemmel