Mangelfull oppfølgning av antagelser lagt til grunn og oppnådde resultater
Beskrivelse
Equinor hadde ikke sikret at antagelser som var satt til ytelse og teknisk tilstand ble møtt i de oppnådde resultatene.
Begrunnelse
Technical Condition Report for Troll A viste at utstyrsgrupper innen PS 4 (NAS) og PS 8 (Trykkavlastning) hadde en feilrate som lå over antagelser som var lagt til grunn for integriteten til elementene. Testing viste at feilraten var høyere for både seksjonaliseringsventiler (ESV) og trykkavlastningsventiler (BDV). For at sikkerhetsfunksjoner skal møte forventede ytelser, må elementene som inngår i funksjonen understøtte dette. Troll A hadde ikke brukt egne feilrater til å justere testintervall for å møte kravene som er satt til funksjonene, med referanse til Equinor sitt eget kravdokument GL0114. Vi mottok i tillegg data for de siste 5 årene, og snittet for alle 5 årene var like høyt som for siste år. Resultatene fra årets test viste at det fortsatt var høye feilrater på både ESV- og BDV-ventiler.
Equinor kunne ikke vise til at de hadde dokumentert egne feilrater for tripp-releer som inngår i sikkerhetsfunksjoner i NAS-systemet, utover det som var lagt til grunn ved desi
Hjemmel
Mangelfull oppfølging av sikkerhetsfunksjoner
Beskrivelse
Equinor hadde ikke sikret at ytelseskrav til sikkerhetsfunksjonene på anlegget var fulgt opp og verifisert i henhold til antagelser som var lagt til grunn ved design.
Begrunnelse
Troll A benytter Equinor sitt styrende dokument TR3138 som underlag for testintervall av NAS systemet. I dokumentet er det vist til at NAS0 skal utføres hvert 4. år, NAS1 utføres hvert 2. år og NAS2 utføres hvert år.
På Troll A har det ikke blitt gjort noen egne vurderinger på om testintervallet understøtter kravene som ligger til grunn.
- Både NAS2 og NAS1 sikrer elektrisk utkobling av tennkilder ved anvendelse av dedikerte tripp-releer. Releene var ikke tagget og det kunne ikke vises til feilrate-data for komponentene på Troll A. Komponentene blir testet med ulikt intervall, uten at intervallet underbygges gjennom egne erfaringsdata.
- Enkelte utstyrskomponenter (ESV og BDV ventiler) hadde en mye høyere feilrate enn antagelser lagt til grunn. Det var ikke gjort justeringer av testintervaller som en konsekvens av dette.
Vi kan ikke se at Equinor etterlever prinsippene gitt i 61511 ved å bruke egne test data som underlag for å justere og understøtte testintervall. Vi har ikke fått noen informasjon om at det ble gjort justering av testintervall for utstyr med høye feilrater, utover de intervallene som er vist til i TR3138.
Hjemmel
Mangelfull applikasjonstesting for NAS-systemet
Beskrivelse
Equinor hadde ikke sikret at testintervallet som benyttes for applikasjonstesting avdekker systematisk feil.
Begrunnelse
På Troll A var standarden IEC 61511 lagt til grunn for design av instrumenterte sikkerhetssystemer. For applikasjonstesting var det satt et 10-årig intervall på Troll A. Dette baserte seg på tall fra ABB og styrende Equinor-dokumenter (10-årlig). Det var planlagt en fullskala applikasjonstesting i 2016, men denne ble ikke gjennomført. Det var ikke gjennomført noen fullskala applikasjonstesting på Troll A siden NAS systemet ble oppgradert til etterlevelse av IEC61511 i 2010/2011.
Deler av applikasjonstestingen ble gjort under NAS-testen, men det var deler som ikke var inkludert eller som var del av årlig NAS-test, eksempelvis signaler fra B&G som aktiverer utganger fra NAS.
Hardwaren til logic solvers, i kombinasjon med en høy grad av diagnose for å avdekke tilfeldige feil, har gode PFD-tall. SIF-applikasjonene som kjører på logic solver baserer seg på arbeidsprosesser, prosedyrer og menneskelig kompetanse med tanke på å avdekke feil. Disse applikasjonene har ikke diagnose for å avdekke systematiske feil.
Vi har ikke fått presentert underlag og vurderinger som understøtter intervallet som benyttes for applikasjonstesting og hvordan integriteten til kontroller hardwaren kan legges til grunn for systematiske feil i applikasjonene. Vi har heller ikke blitt presentert informasjon som viser hvordan selskapet etterlever IEC 61511, kapittel 16 SIS Operation and Maintenance, for systematisk applikasjonstesting.
Hjemmel
Mangelfullt vedlikeholdsprogram for NAS-systemet
Beskrivelse
Vedlikeholdsprogrammet for NAS systemet manglet enkelte aktiviteter for overvåking av ytelse og teknisk tilstand
Begrunnelse
Ved en gjennomgang av Cause&Effect-dokumenter observerte vi at det var effekter som ikke ble testet under den årlige NAS-testen. Disse effektene hadde heller ikke egne vedlikeholdsaktiviteter. Eksempelvis utkobling av tennkilder som ble aktivert fra MEI (Manual Electrical Isolation) knapper i felt. Det fantes testprogram for knappene, men det ble ikke verifisert at de aktuelle effektene ble aktivert. Equinor kunne ikke vise til eget FV program for dette.
Hjemmel
Mangelfull dokumentasjon
Beskrivelse
Dokumentasjonen var ikke holdt vedlike gjennom alle faser av innretningens levetid
Begrunnelse
Gjennomgang av mottatt dokumentasjon viste at deler av dokumentasjonen ikke hadde blitt holdt vedlike eller var mangelfull:
- NAS-hierarki-tegninger avviker fra C&E og HMI skjermbilder. Det er i tillegg manglende representering av NAS nivåer. Vi fikk opplyst at C&E dokumenter benyttes som master.
- Enkelte HMI skjermbilder gjenspeiler ikke C&E. Vi mottok ikke annen dokumentasjon som viste hvordan applikasjonen var implementert.
- Offshore Norge retningslinje 070 viser til at elektrisk tennkilder initieres fra B&G-noden, mens Troll A legger til grunn at det initieres fra ESD node. Flere av NAS funksjonene blir derimot initiert fra B&G noden og det gjorde at både SRS og verifikasjonsrapport (C030-VA-J-SD-015 og C030-VA-S-SD-004) var feil siden B&G noden var utelatt fra funksjonen.
- Sjekklister for verifisering av utkobling av tennkilder nevner vern som skulle trippe for å isolere tennkilder i felt. Vern på listen for forsyning til GPS klokke for tog 1 og 2 (TAG nummer 86-RS4503/4505 (tog 1) og 86-RS4504/4506 (tog 2) skulle løse ut. Det skjedde ikke. Men GPS klokkene ble verifisert isolerte.
- Noen punkter i black start prosedyre var feil eller hadde uoverensstemmelser med merking på utstyr:
- Ved oppstart av UPS nevner prosedyre at «override» knapp skal holdes inne i 10 sekunder. Merking ved knapp siger 15 sekunder.
- For 48 VDC UPS (TAG nummer 86-ER002A/B, 86-ER003A/B) nevner black start prosedyre at «override» knapp skal holdes inne «inntil batterispenning er opp på 53 VDC. Det viste seg at spenningen kunne ikke gå over 49 VDC ved oppstart selv om knapp ble holdt inne over lengere tid.
Hjemmel