Mangelfullt HMI- og alarmsystem
Beskrivelse
Skjermbasert utstyr og kontroll- og overvåkingssystem var ikke utformet slik at faren for feilhandlinger av betydning for sikkerheten, ble redusert. Informasjonsgivere var ikke utformet slik at kontrollromsoperatørene enkelt og hurtig kunne motta nødvendig informasjon og utføre nødvendige aksjoner under både normale og kritiske situasjoner. Alarmsystemet var ikke utformet slik at alarmene kunne oppfattes og behandles på den tiden som kreves for sikker betjening av utstyr, anlegg og prosesser.
Begrunnelse
Gjennom intervjuer og befaring i kontrollrommet på Åsgard B observerte vi flere svekkelser i utformingen av menneske-maskin-grensesnitt. Eksempler på forhold av betydning for operatørens situasjonsforståelse og sikker jobbutførelse var:
- I HMI var det en funksjon der man kunne legge på “Gule lapper” og konvolutter over skjermbildene. Disse ble brukt for å gi utfyllende informasjon om blant annet feil og svekkelser som operatøren måtte være bevisst på. Lappene kunne plasseres hvor som helst, inkludert over annen viktig informasjon. Det var ingen prosess for å systematisk fjerne gule lapper fra skjermbildene dersom de ikke lenger var relevante, noe som førte til visuell støy og forstyrrelser. Under befaringen fant vi eksempler på gule lapper som var over 10 år gamle.
- Kontrastforhold mellom bakgrunnsfarger og tekst på skjermbilder og alarmbanner var flere steder utformet slik at teksten var vanskelig å se. Det var ikke konsistent bruk av fargepallett i skjermsystemet. Vi observerte tilfeller av at samme farge indikerte ulik status eller system. Manglende konsistens ved bruk av farger gir økt fare for misforståelser, feilhandlinger og medfører redusert situasjonsforståelse.
- Hardkodede tekstfelter i HMI var verken systematisk eller enhetlig utformet, verken med hensyn til plassering eller innhold. Flere steder var det hardkodede instruksjoner og referanser til notifikasjoner i HMI. Det ble også observert bruk av måleenheter som gir liten forståelse for operatøren, slik som for eksempel at nivået på sanddeteksjon ble vist med måleverdi i MilliVolt.
- Under stikkprøver i HMI ble det observert at et betydelig antall dynamiske verdier og statiske tekstfelter lå delvis over hverandre, slik at både verdier, tekst og gamle hardkodede elementer tidvis var skjult bak rammer med bakgrunnsfarge. Dette var tilfelle på flere ulike bilder. Vi ble forklart at dette problemet sannsynligvis var blitt forsterket, og i liten grad kvalitetssikret, da bildene ble konvertert fra 4:3 til 16:9-format.
- Alarmtekstene var ikke enhetlig utformet. De inneholdt mange forkortelser og en blanding av engelske og norske ord, og enkelte alarmer var vanskelig for operatørene å forstå.
Funn fra selskapets egen nåanalyse (2021) viste at HMI i kontrollrommet på Åsgard B ikke var utformet slik at operatører enkelt kunne få et oversiktsbilde, spesielt i kritiske situasjoner. Eksempler på identifiserte svekkelser i HMI som selskapet selv hadde identifisert i analysen var:
- Brønn- og prosessbildene henger ikke sammen på en slik måte at operatøren kan følge hele prosessen på en oversiktlig måte.
- Oversiktsbildene er ikke standardisert, men bruker noe ulike grafiske symboler og ulike farger.
- Det er ikke brukt farger som fremhever avvik. Operatørens oppmerksomhet blir lett trukket mot fargerike symboler uten spesiell operasjonell verdi.
Analysen fremhevet også at utbedring av HMI vil være et viktig tiltak for å redusere arbeidsbelastningen for operatørene i kontrollrommet. Arbeidsbelastning hadde vært en aktuell problemstilling på innretningen over lengre tid. Vi ble fortalt at problemstillingene knyttet til HMI var kjent for ledelsen.
Vi ble informert om at dagens storskjermbilder ikke var utviklet i henhold til interne styrende dokumenter (TR3039). Forbedringene som var gjort, omfattet selve skjermflaten, men ikke innholdet eller informasjonen som ble vist på skjermen.
HMI-løsningen i kontrollrommet vare identifisert som en utfordring på Åsgard B. Det eksisterende HMI-systemet stammer fra 1990-tallet. Det var ikke etablert en HMI-filosofi for Åsgard B. I analyser og dokumentasjon oversendt, samt gjennom presentasjoner og intervjuer ble det fremhevet at å etablere en HMI-filosofi er nødvendig.
Ved utbygginger skal nytt utstyr leveres i henhold til gjeldende regelverk – også når det inngår som del av eksisterende systemer, slik som HMI-systemet. HMI-bilder som inngår i nye subsea-brønner og andre prosjekter på Åsgard B, skal derfor leveres i tråd med gjeldende krav. Vi ble imidlertid informert om at ny HMI utviklet i prosjekter bygger på eksisterende HMI, for å sikre en enhetlig presentasjon av informasjon til operatørene.
Hjemmel
Mangelfull oppfølging av kontrollrom
Beskrivelse
Equinor hadde ikke registrert og fulgt opp avvik fra krav i helse-, miljø- og sikkerhetslovgivningen, deriblant avvik fra interne krav som var av betydning for å oppfylle krav i helse-, miljø- og sikkerhetslovgivningen.
Begrunnelse
HMI-utfordringer og arbeidsbelastning var identifisert og påpekt i 2021 (Nåanalyse Åsgard B sentralt kontrollrom), men var fortsatt ikke håndtert på det tidspunktet som tilsynet ble gjennomført, ref. Synergi sak #1774032.
Gjennomgang av dokumentasjon (Synergi sak #1774032) og informasjon fra oppstartsmøtet viste mangelfull avviksbehandling og oppfølging av flere tiltak. Eksempler inkluderer:
- Tiltak 10 og 11: Fristene for henholdsvis standardisering av sekvensbilder og rydding/standardisering av SAS-bilder var ikke lukket. Tiltakene ble først utsatt i 2022 og deretter overført til M1 i 2025 – fem år etter at risikoen ble identifisert og tiltakene registrert i Synergi. Vi ble informert om at M1-notifikasjonene som er etablert er av typen modifikasjons-M1, som ofte tar flere år å løse. Den mottatte M1-notifikasjonen fremstår som mangelfull, spesielt med tanke på hvordan tiltaket skal følges opp videre. Offshore-ledelsen påpekte også manglende kvalitet i M1-notifikasjonen.
- Tiltak 12: Tiltaket om alarmtekster ble lukket uten at det var gjennomført en systematisk gjennomgang eller utbedring av utfordringene. Lukking ble begrunnet med at tiltaket var meldt inn som M1 – forenklet SAS. Enkelte alarmtekster har nok blitt oppdatert, men det har ikke vært noen systematisk gjennomgang av alarmtekstene (slik som tiltaket beskriver).
- Tiltak 13: Tiltaket om å redusere alarmer ved driftsforstyrrelser ble lukket uten at det var gjennomført. Synergi-saken (#1774032) inneholder en kommentar om klargjøring av roller og etablering av beste praksis for stående og repeterende alarmer. Imidlertid, adresserte ikke dette direkte behovet for å redusere alarmmengden ved driftsforstyrrelser.
- Tiltak 9: Tiltaket om å utvikle egne storskjermbilder for å gi kontrollromsoperatørene oversikt over prosesser ble lukket uten at skjermbilder var utbedret. Selve storskjermene var byttet ut, men HMI-bildene var ikke oppdatert.
Selskapet kunne ikke vise til at avvik fra interne retningslinjer (Disp) var identifisert eller registrert. Det var heller ikke dokumentert om HMI-løsningen var vurdert opp mot forskriftskrav.
Selskapet uttrykte ambisjoner om å oppgradere kontrollsystemet fra AIM til KCS, noe som på sikt muliggjør forbedring av grensesnittet i kontrollrommet. Likevel vil en slik oppgradering også kreve utvikling av nye skjermbilder. KCS var per i dag ikke installert på Åsgard B. Equinor kunne ikke gi et bekreftende svar på at oppgraderingen var bestemt, eller tidsplan for når oppgraderingen ville finne sted.
Det var ikke gjennomført verifikasjonsaktiviteter i etterkant av HF-analysene (jf. presentasjon fra oppstartsmøtet). Selskapet hadde dermed ikke verifisert at identifiserte risikoer og utfordringer var blitt utbedret.
Hjemmel