Mangelfull oversikt over blokkerte sikkerhetsfunksjoner
Beskrivelse
Det var ikke tilgjengelig status for alle blokkerte sikkerhetsfunksjoner i det sentrale kontrollrommets brukergrensesnitt. Det var ikke sikret at status for alle sikkerhetssystemer ved overbroing og utkopling var kjent for relevant personell til enhver tid.
Begrunnelse
Kontrollrommet er delt inn i 4 paneler, hvor kontrollromsoperatør(er) har ansvar for hvert sitt system/område.
Det er mulig å sette blokkeringer fra både ABB- og HIMA-systemet. De blokkeringene som settes fra ABB synliggjøres i HMI-en på panelene. Hvis det skal settes blokkeringer fra HIMA må dette gjøres av SAS-teknikere på en egen engineeringstasjon, fra et eget dedikert rom utenfor kontrollrom. Overføring av status fra HIMA til ABB-HMI er avhengig av hvor disse blokkeringene settes i HIMA-logikken. Hvis signalene forces manuelt på IO vil ikke statusen bli synlig i kontrollrom, hverken i HMI eller på CAP.
Det er heller ikke mulig å fjerne disse blokkeringene fra kontrollrom. Hvis det er behov for å fjerne disse blokkeringene, ut over dagtid, må SAS-teknikere kontaktes på vakttelefon og fysisk møte opp.
Selv om enkelte blokkeringer ikke vises på HMI-systemet, fantes det rutiner for å registrere dette i en laskelogg. Denne laskeloggen hadde mange aktive aksjoner og da vi var i kontrollrommet bestod denne av 90 registreringer. Flere av disse var 2-3 år gamle. Det gjorde det vanskelig å få oversikt over alle laskene som var aktive. Laskeloggen var felles for alle operatørene, så operatørene så også alle laskene for de panelene de ikke jobbet på.
I tillegg til laskeloggen fantes det også blokkeringslogg for ABB-systemet. Da vi var i kontrollrommet bestod denne loggen av 20 sider, noe som gjorde det vanskelig for operatørene å ha oversikt over alle blokkeringene. Vi ble i etterkant av tilsynet informert om at loggen kan filtreres slik at bare blokkeringer vises, men det var lite kjennskap og bruk av dette i kontrollrommet. Det var også flere av disse som var 5 år gamle. Det lå eventer i blokkeringsloggen som ikke er å betrakte som blokkeringer og som bidrar til det høye antallet. Det var heller ikke rutiner for jevnlig opprydding av loggen. Loggen er felles for alle panelene slik at den inneholder eventer som ikke er relevant for den enkelte operatør.
Hjemmel
Mangelfull etterlevelse av interne krav
Beskrivelse
Equinor hadde ikke sikret at interne krav fra sikkerhetsstrategien ble etterlevd og fulgt opp.
Begrunnelse
Dokumentet «Sikkerhetsstrategi for Hammerfest LNG, TR2237» setter krav til å oppfylle relevante myndighetskrav samt gjeldende interne og eksterne standarder. Når nytt regelverk og tilhørende standarder og interne krav utgis sier sikkerhetsstrategien at endringer skal vurderes opp mot fortsatt forsvarlig drift etter ALARP-prinsippet. Dersom positiv ALARP-vurdering blir nye krav gjeldende og endringer eller modifisering må planlegges og implementeres.
Hammerfest LNG hadde etablert en intern permanent dispensasjon knyttet til kombinert ESD/PSD-ventil hvor det ikke var separate aktiveringssignaler og solenoider. Selskapet kunne ikke vise til at det var gjort en ALARP, eller andre analyser som erstatning, etter at Havindustritilsynet (Petroleumstilsynet) tok over og nytt regelverk ble gjort gjeldende. Gjennom intervjuer kom det frem at organisasjonen var generelt lite kjent med bruk av ALARP, slik det var vektlagt i sikkerhetsstrategien.
Under tilsynet ble det også identifisert andre avvik fra gjeldende regelverk hvor det ikke var utført en ALARP eller tilsvarende analyser.
Hjemmel
Mangelfull oppfølgning av antagelser lagt til grunn og oppnådde resultater
Beskrivelse
Equinor hadde ikke sikret at antagelser som var satt til ytelse og teknisk tilstand ble møtt i de oppnådde resultatene.
Begrunnelse
Technical Condition Report for Hammerfest LNG 2024 viste at utstyrsgrupper innen PS 3, 4, 8 og 12 hadde en feilrate som lå over antagelser som er lagt til grunn for integriteten til elementene. Testing viste at feilraten var høyere for både transmittere og ventiler. For at sikkerhetsfunksjoner skal møte forventede ytelse, må elementene som inngår i funksjonen understøtte dette.
Hammerfest LNG kunne ikke vise til at det var dokumentert egne feilrater for tripp-releer som inngår i sikkerhetsfunksjoner, utover det som var lagt til grunn ved design. Vi fikk opplyst at tripp-releene ikke hadde egne tag.
Technical Condition Report hadde en kolonne som viste tester som av ulike grunner ikke ble gjennomført (NotDone). Det var manglende sporbarhet i hvorfor disse testene ikke hadde blitt gjennomført og om det var behov for en ny test på et senere tidspunkt.
Hjemmel
Mangelfull oppfølging av sikkerhetsfunksjoner
Beskrivelse
Equinor hadde ikke sikret at ytelseskrav til sikkerhetsfunksjonene på anlegget var fulgt opp og verifisert i henhold til antagelser som var lagt til grunn ved design.
Begrunnelse
Vi ble gjort kjent med at Equinor hadde samlet inn feildata, men at de ikke hadde evaluert og anvendt feildata på Hammerfest LNG som verifiserte og sikret at ytelseskrav (integritet) til sikkerhetsfunksjonene i drift, samsvarte med ytelseskravene som var lagt til grunn ved design. Selskapet kunne ikke redegjøre for hvordan feildata fra disse kategoriene ble fulgt opp internt og om integriteten som ligger til grunn ble møtt.
Observasjoner:
- Integriteten til sikkerhetsfunksjonene på HLNG baserer seg i stor grad på generiske data og ikke erfaringsdata fra eget anlegg.
- Gjennom intervjuer og samtaler har organisasjonen i liten grad kunnet redegjøre for hvordan feildata fra sikkerhetssystemer i drift blir fulgt opp internt og om integriteten som ligger til grunn, blir møtt.
- For eksempel var den forrige verifikasjonsrapporten for nødavstengningssystemet fra 2014, og testintervall hadde derfor ikke blitt systematisk justert i denne perioden.
- Det var ikke etablert spesifikke krav til responstid for ESD/PSD-ventiler, da generiske krav var benyttet. Det var ikke dokumentert hvorvidt de generiske kravene ville ivareta PSD-funksjonen.
Hjemmel
Mangelfull synliggjøring av potensielle svekkelser som input til TIMP
Beskrivelse
Equinor hadde ikke sikret at alle relevante data som har betydning for helse, miljø og sikkerhet blir samlet inn, bearbeidet og brukt til å overvåke og kontrollere tekniske, operasjonelle og organisatoriske forhold.
Begrunnelse
Under tilsynet så vi eksempler på elementer som ble utelatt fra TIMP-evalueringene, til tross for at de har innvirkning på den tekniske integriteten. TIMP-evaluering er basert på GL0313, som oppgir at både midlertidige og permanente dispensasjoner skal inkluderes i evalueringen. Vurderingsgrunnlaget blir derfor basert på et mangelfullt helhetsbilde, hvilket kan medfølge at potensielle sikkerhetskritiske svekkelser ikke belyses eller tas til vurdering ved TIMP-ing. Dette gjelder for eksempel for:
- Interne, permanente dispensasjoner; eksempelvis én for kombinerte avstengningsventiler som mottar stengesignal fra både ESD og PSD, men kun er utstyrt med én enkelt solenoide. Dette er fundamentalt sett en barrieresvekkelse, gitt at uavhengighet mellom sikkerhetssystemer ikke er oppnådd for hele funksjonen. Dette avviket hadde blitt unntaksbehandlet internt i Equinor og en permanent dispensasjon var etablert. Til tross for at dette er en iboende svekkelse i sikkerhetssystemene, ble ikke dette tatt til vurdering ved teknisk integritetsevaluering.
- ABB-node (Melody) var ikke dokumentert sertifisert etter IEC 61508, men såkalt «proven in use».
Hjemmel
Mangelfull dokumentasjon
Beskrivelse
Hammerfest LNG hadde ikke etablert tilstrekkelig dokumentasjon for å sikre etterlevelse av krav til oppfølging av funksjonell sikkerhet.
Begrunnelse
Dokumentasjonsgjennomgang viste at funksjonell sikkerhetsdokumentasjon ikke var oppdatert til å reflektere den nåværende operasjonelle fasen og møtte heller ikke selskapets egne krav til innhold:
- Functional Safety Management Plan (FSMP) som foreligger for anlegget stammer fra prosjektfasen, og var ikke oppdatert og tilpasset drift. Det var derfor uklart hvordan livssyklusen til instrumenterte sikkerhetsfunksjoner følges opp og dokumenteres i sin helhet under drift.
- Safety Requirement Specifications (SRS) dokumentene var mangelfulle, og innholdet samsvarte ikke med selskapets egne krav fra TR2041/GL2041. SRS-malen som var brukt, både for eksisterende anlegg og for nye modifikasjoner, satte ikke krav til de identifiserte sikkerhetsfunksjonene.
Hjemmel