Manglende testing av instrumenterte sikkerhetsfunksjoner
Beskrivelse
Selskapet hadde ikke sikret at sviktmodi for instrumenterte sikkerhetsfunksjoner som var under utvikling eller hadde inntrådt, ble systematisk identifisert og korrigert.
Begrunnelse
På Goliat FPSO er standarden IEC 61511 lagt til grunn for design av instrumenterte sikkerhetssystemer og det utføres testing av initierende elementer og slutt elementer i henhold til intervall beskrevet i “SIL Safety Requirements Specification” (229A-HHI-S-RA-0081).
Selskapet kunne ikke vise til at det var utført overlappende testing av instrumenterte sikkerhetsfunksjoner for å avdekke evt. systematiske feil i applikasjoner (logic solver).
Selskapet kunne ikke vise til at det var utført fullskala testing av nødavstengningssystemet med aktivering av feltutstyr og verifikasjon i felt. Det var utført hierarki tester isolert til applikasjon (sist i 2022).
Selskapet kunne ikke vise til at det var gjort en systematisk gjennomgang av applikasjonsendringer (logic solver), som underlag og vurdering av behov for overlappende segment testing. På Goliat var det gjort en vurdering hvor et 6 årlig test intervall var tilstrekkelig for all applikasjonstesting. Dette tallet baserte seg på påliteligheten til logic solver, som tar høyde for tilfeldige hardware feil. I vurderingen var det ikke tatt høyde for systematiske feil eller manglende diagnostikk for applikasjoner.
I mangel av systematisk gjennomgang av applikasjonsendringer og fullskala testing av nødavstegningssystemet med aktivering av feltutstyr og verifikasjon i felt, kan vi ikke se at selskapet er kjent med ytelsen til de instrumenterte sikkerhetsfunksjonene om bord på Goliat FPSO. Dette gjelder instrumenterte sikkerhetsfunksjoner hvor applikasjoner og feltutstyr har vært gjenstand for modifikasjoner siden oppstart i 2016.
Observasjoner:
- I dokumentet “SIL Safety Requirements Specification (229A-HHI-S-RA-0081)” er test intervall for applikasjoner satt til 72 måneder. Vi har ikke blitt forelagt dokumentasjon som underbygger intervallet, utover pålitelighetstallet til komponentene som inngår i logic solver. Selskapet kunne ikke vise til at det var gjort en systematisk gjennomgang av applikasjonsendringer, som underlag og vurdering av behov for overlappende testing av funksjoner.
- I dokumentet “Five-yearly SIS integrity evaluation of Goliat for the period 2016-2021, (kap 4.1.1)” utført av SAFETEC, er følgende beskrevet
«It must be noted that the test interval for PLC was increased to 6 years, this is further discussed in observation O-14. This change was not based on the estimated failure rate for PLCs, and the change was a result of internal discussion of O-14. Several SIFs are now non-compliant due to the extended test interval.»
Status & Follow up er satt til “Closed” for observasjon O-14.
- 6 årlig logikk testing var ikke fullstendig utført (Synergi 79531).
- Selskapet har i lengre tid vært kjent med mangelfull testing av applikasjoner for instrumenterte sikkerhetsfunksjoner (Synergi 29682, opprettet i 2020).
- Siste ytelsesstandard (PS) evaluering for ESD (PS 6) identifiserte manglende vedlikeholdsprogram for proof test av sikkerhetskritisk F&G/PSD/ESD logikk
“We do not have any procedure or PM program for proof test of safety critical logic, even if it's stated in SRS we have it and it has a 6 years interval”.
- Selskapet kunne ikke vise til at det etter oppstart i 2016 hadde vært utført en fullskala ESD test som inkluderte aktivering av feltutstyr med verifikasjon i felt.
- Selskapet hadde ikke sikret at logikktesting av sikkerhetskritiske funksjoner var klassifisert med hensyn til konsekvensene av funksjonsfeil (B-tag), ref. avvik 5.1.2.
Hjemmel
Manglende klassifisering av logikktesting for instrumenterte sikkerhetsfunksjoner
Beskrivelse
Selskapet hadde ikke sikret at logikktesting for sikkerhetsfunksjoner var klassifisert med hensyn til konsekvensene av funksjonsfeil.
Begrunnelse
Alle elementer som inngår i en instrumentert sikkerhetsfunksjon, er å anse som sikkerhetskritiske for at funksjonen skal kunne utføre sin tiltenkte oppgave, og skal klassifiseres med hensyn til konsekvensene for funksjonsfeil. Klassifiseringen skal legges til grunn ved valg av vedlikeholdsaktiviteter og -frekvens.
For Goliat FPSO hadde selskapet ikke sikret at logikktesting av sikkerhetskritiske funksjoner var klassifisert med hensyn til konsekvensene av funksjonsfeil (B-tag). Dette gjør det mulig å flytte på vedlikeholdsaktiviteter. Dette synliggjøres ikke i barrierepanelet.
Hjemmel
Manglende bruk av tilgjengelig data ved PS evaluering
Beskrivelse
Selskapet hadde ikke sikret at alle data som var av betydning hadde blitt samlet inn, bearbeidet og brukt til å utarbeide status på ytelsesstandardene.
Begrunnelse
Vår Energi har en to stegs prosess for å evaluere status på ytelsesstandardene sine. Dette ble utført 4 ganger i året. I første steg gjennomfører disipliningeniørene et Integrity Program (IP) for å vurdere status på sitt system. Vurderingen av disse systemene blir brukt som underlag for å evaluere status på hver enkel ytelsesstandard (PS). Gjennom tilsynet ble det identifisert flere mangler i prosessen ved at tilgjengelige data ikke ble brukt under PS evalueringen:
- Dataunderlag ble hentet fra Synergi og notifikasjoner i SAP. Dette var en manuell jobb som kan medføre at relevant informasjon ikke ble identifisert og inkludert fra dette underlaget.
- Ved hver IP evaluering begynte prosessen ved at de startet helt på nytt, slik at informasjon fra tidligere gjennomganger ikke nødvendigvis ble tatt med som underlag selv om det fortsatt var relevant.
- Informasjon vedrørende høy alarmbelastning inngikk ikke i noen PS vurderinger, og denne svekkelsen kom ikke frem i evalueringen.
- Vi så eksempler på at høye feilrater på enkelt komponenter (blow down ventiler, H2 detektor), ikke ble underlag for PS vurdering. Siden feilrater bare ble innhentet årlig ble denne informasjonen bare underlag for 1 av 4 gjennomganger hvert år, og vesentlig informasjon vil mangle for de 3 andre vurderingene.
- Ingen verifikasjonsperiode etter at feil/mangler var korrigert. Det gjør at man kan gå til bedre karakter umiddelbart etter at problemet er korrigert.
- Gjennomgående var karakterene for PS’ene bedre enn for IP’ene, selv om det er informasjon fra IP’ene som var underlaget for PS vurderingene. Noe av bakgrunnen var at det er utvalgte deler av et system (IP) som tas med i PS evalueringen og ikke en til en forhold mellom IP og PS.
- Det er enkeltfunn fra IP’er som ikke ble linket opp mot en PS og som gjør at disse svekkelsene ikke ble underlag for PS evaluering. Et eksempel på dette var svekkelser innen cyber security. Dette burde vært underlag for de forskjellige kontrollsystemene, men en av grunnen til at dette ikke blir fanget opp er at cyber ikke har en egen etablert PS.
- Svekkelser i en IP som påvirker flere PS’er inkluderes ikke i alle PS’ene. Et eksempel er manglende logikktest, som var identifisert som en svekkelse i PS 6, men som ikke var inkludert for for PS 5, PS 8 og PS 9.
- Ingen medvirkning fra sentrale roller offshore som har nærhet til anlegget.
Det var ingen systematisk deling eller gjennomgang av informasjon av PS status og årlig Goliat Barrier Performance Report med ansatte offshore.
Hjemmel
Manglende oppfølging av alarmhåndteringssystemene
Beskrivelse
Vår Energi hadde ikke sikret at alarmer kan oppfattes og behandles på den tiden som kreves for sikker betjening av utstyr, anlegg og prosesser.
Begrunnelse
Vår Energi har gjennom flere år jobbet med å redusere mengden alarmer for kontrollromsoperatørene på Goliat. De har hatt et internt avvik for forholdet siden januar 2021 og har årlig forlenget den interne dispensasjonen for dette. Selskapet hadde klart å redusere mengden nye alarmer, men mengden stående alarmer i kontrollrommet var høyere enn egne interne krav. Mengden stående alarmer har ikke blitt vesentlig redusert siden januar 2021 (snittet i 2021 var ca. 250, mens det nå er ca. 200 og kravet er 50). Det var spesielt mange prioritet 3 alarmer som til enhver tid stod i alarmlisten og som gjorde det utfordrende for operatørene å ha oversikt over alle alarmene.
Under hendelser forekommer det ofte et stort antall alarmer som gjør det uoversiktlig og utfordrende å identifisere opphav. Det ble registrert ca 1600 alarmer ved ESD 1 nedstengning våren 2024.
Hjemmel