Mangelfulle fail-safe settinger
Beskrivelse
Vår Energi hadde ikke sikret at sikkerhetssystemene var utformet for å gå til sikker tilstand dersom det oppstod en feil som kunne hindre systemet i å virke.
Begrunnelse
Etter tilsyn med Jotun FPSO i juni 2024 ble det bl.a. gitt følgende aksjonspunkt i referatet fra møtet 4. juni 2024 [1]:
«Nødavstengningssystemet skal utformes slik at det går til eller forblir i en sikker tilstand dersom det oppstår en feil som kan hindre systemet i å virke, jamfør innretningsforskriften § 33, andre ledd. Fail-safe settinger for sikkerhetsfunksjonene er definert i Safety Requirements Specification (SRS), men det fremkommer ikke hvordan internode-signaler (NXO og NXI) sendt over nett identifiseres og gis en forhåndsdefinert fail-safe setting. Ved bortfall av kommunikasjon mellom noder skal respektive signaler gå til denne tilstanden. Det er uklart for oss hvordan dette er tenkt løst og dokumentert.»
Som en respons til aksjonspunktet har Vår Energi utarbeidet et dokument hvor alle internode-signaler (NXO og NXI) for sikkerhetssystemene er identifisert. Vi kan ikke se at signaler fra brann og gass, som initierer aksjoner i nødavstengningssystemet, har fail-safe settinger som vil kunne ta innretningen til sikker tilstand ved bortfall av kommunikasjon. Vi har ikke foretatt en systematisk gjennomgang av listen utover dette.
Når tilsynet ble avholdt var det bare start av brannpumper som var programmert med et aktivt signal ved bortfall av kommunikasjon. Det fremstod ikke som det var gjort en kritikalitetsvurdering av hvert enkelt internode signal og hvordan dette påvirket funksjonen i sin helhet. Vår Energi kunne ikke presentere en overordnet filosofi for fail-safe settinger utover en frys av siste gode signal
Hjemmel
Manglende alternativ til sentralt kontrollrom
Beskrivelse
Rom som er av betydning for bekjempelse av ulykkeshendelser skal være operative inntil innretningen er evakuert. Vår Energi hadde ikke sikret et alternativ for sentralt kontrollrom.
Begrunnelse
Det var etablert et alternativt beredskapssenter i HLO-rom på helikopterdekk, men vi ble under tilsynet fortalt at det ikke var etablert et alternativt operativt sted om bord på Jotun FPSO dersom behovet for evakuering av sentralt kontrollrom (SKR) skulle oppstå.
SKR er et rom som er av betydning for bekjempelse av ulykkeshendelser og funksjonen som rommet besitter må ivaretas inntil innretningen er evakuert.
Det har på norsk sokkel tidligere vært en hendelse hvor kontrollrommet måtte forlates på grunn av røykutvikling. Vår Energi hadde ikke tatt høyde for dette scenarioet, slik at funksjonene som rommet er tiltenkt å dekke kunne opprettholdes inntil innretningen er evakuert.
Hjemmel
Manglende uavhengighet for nødavstengningsfunksjon
Beskrivelse
Vår Energi hadde ikke sikret at nødavstengningsfunksjonen til Subsea Electrical Power unit (EPU) kunne utføres uavhengig av prosessikringssystemet.
Begrunnelse
Under oppsummeringsmøtet bekreftet Vår Energi at det er foretatt en intern avviksbehandling, ref. «JT-DEV-VE-000057, PSD and ESD Relay Set Up in Subsea EPU does not fully align with NORSOK S-001 Requirements of ESD independence».
Denne funksjonen er ikke i henhold til forskriftskrav om at nødavstengningssystemet skal kunne utføre sine tiltenkte funksjoner uavhengighet av andre systemer.
Hjemmel
Mangelfullt startarrangement for drivenheter for brannpumper
Beskrivelse
Dieselmotorer som driver brannpumper, har ikke to uavhengige startarrangement.
Begrunnelse
Under befaringen på innretningen ble det avdekket at startarrangement for dieselmotorene som driver brannpumpene ikke fullt ut oppfyller kravet til uavhengighet. Det er installert to sett med startbatterier med kun en forsyningskabel ut til to startmotorer som er koblet i parallell lokalt på maskinen. Dette oppsettet bekreftes i mottatt dokumentasjon.
Hjemmel