Mangler ved oppfølging av alarmsystem
Beskrivelse
Equinor hadde ikke sikret at alarmer i Martin Linge A SKR kunne oppfattes og behandles innen den tiden som kreves for sikker betjening av utstyr, anlegg og prosesser.
Equinor hadde ikke sikret at alarmdata for stående alarmer ble samlet inn og brukt til å overvåke og kontrollere tekniske og operasjonelle forhold i henhold til sine egne krav i TR1494
Begrunnelse
I forkant av oppstartsmøtet ble det informert om at tilsynet også ville omfatte hvordan aktøren hadde håndtert oppfølging av alarmsystem i etterkant av tidligere påviste avvik og pålegg gitt for alarmsystemet i driftstilsyn elektro, prosessikkerhet og SAS gjennomført på Martin Linge A i 2022. Vi fikk oversendt historikk for siste år knyttet til alarmrate, stående alarmer og alarmrate i alarmsituasjoner.
Equinor informerte i den forbindelse om at de jobbet med et system for å kunne telle antall stående alarmer. Som en følge av dette kunne de ikke, på tidspunktet for tilsynet, fremlegge korrekte tall for stående alarmer. Det ble opplyst at systemet skulle ferdigstilles for Martin Linge i løpet av andre kvartal inneværende år. Dette innebar at tallene som Equinor hadde oppgitt i driftstilsynet i 2022 var uriktige.
Vi fikk i tilsynet tall på stående alarmer som var tatt ut på et bestemt tidspunkt, og ikke over en definert periode. Antall prioritet 2 alarmer viste at disse lå utenfor selskapets egne krav. For alarmrate viste oversikten at de var bedre enn egne krav. Omfanget av stående alarmer gjør det krevende å forstå og håndtere avvik og faresituasjoner som oppstår. I en faresituasjon viser oversendte tall at Martin Linge i sju av de siste tolv månedene har overskredet egne krav om maksimalt 10 alarmer pr 10-minuttersperiode for prioritet 2 alarmer. Se også våre kommentarer i kapittel 4.2 vedrørende oppfølging av tidligere påviste avvik.
Hjemmel
Mangler ved varsling eller melding av hendelser
Beskrivelse
Mangler ved system for melding av fare- og ulykkessituasjoner til Havtil.
Begrunnelse
Ved presentasjon av hendelser i tilsynet ble vi informert om flere alvorlige svekkelser av flammedetektorer som hadde sviktet over en periode på to år i 2023 og 2024 (24 i 2024 og 13 i 2024). Denne situasjonen med feil på flammedetektorer og svekkelse på systemet for deteksjon av brann, ble ikke varslet eller meldt til oss. I forbindelse med rapportering til RNNP ble vi imidlertid informert om 14 svekkelser på flammedetektorene i 2023.
Vi ble i tilsynet informert om at slike feil på flammedetektorene ikke automatisk ble varslet i kontrollrommet, men ble identifisert ved oppgang i felt ved å se på indikatorlys på flammedetektor eller ved testing gjennom FV program. Ved feil på flammedetektor ville denne ikke detektert branntilløp eller brann.
Det ble iverksatt flere tiltak for å bedre påliteligheten, et av tiltakene var å sendes detektorene til leverandør for oppgradering, ca 60 detektorer ble skiftet hvert år.
Hjemmel
Mangler ved prosedyrer
Beskrivelse
Equinor hadde ikke sikret at prosedyrene som er gjeldende for etablering og setting av isolasjonsplaner var blitt utformet og brukt på en slik måte at de oppfylte sine tiltenkte funksjoner.
Begrunnelse
I befaringen om bord på innretningen gikk vi opp en aktiv isolasjonsplan (ICC) for klargjøring av juletreet (XMT) på brønnhode A-8 for demontering og fjerning. Isolasjonsplanen viste at det var satt dobbel blokk, i form av to stengte manuelle kuleventiler, som barrierer mellom XMT og Brent-høytrykksmanifold, mens avblødningsventilen mellom blokkventilene var indikert åpen til friluft.
Isolasjonsplanen viste dermed ikke at det var etablert og sikret dobbel barriere mot hydrokarbonlekkasje til området ved isoleringspunktet.
I oppgangen i felt så vi derimot at det var montert en slange mot et ventiltre på avblødningsventilen, utrustet med et digitalt manometer for overvåking av potensiell trykkoppbygging i rommet mellom blokkventilene, og at den praktiske gjennomføringen dermed hadde de nødvendige barrierene på plass. Tilsvarende isolering for MEG-injeksjon til brønnhodet var markert opp på isolasjonsplanen helt likt som ved manifolden, mens i dette tilfellet var avblødningsventilen faktisk åpen til friluft.
Avviket underbygges også med andre observasjoner relatert til ICC-en:
- I den aktuelle ICC-en var det besluttet å sikre enkelte ventiler mot utilsiktet eller feiloperering med fysisk sikring. I en annen ICC, som var satt i samme område, og hvor ventilene hadde helt identisk plassering som i den aktuelle ICC-en, var det ikke benyttet fysisk sikring.
- Det var brukt «car seal»-strips for å sikre at ventiler som inngår i ICC-en ikke blir utilsiktet eller feiloperert. Grønn «car seal»-strips (CSO) var i noen tilfeller brukt for å sikre ventil i stengt posisjon. Prosedyren var heller ikke tydelig på dette punktet.
Basert på observasjonene fra denne ICC-en, samt oversendte prosedyrer fra ARIS, vurderer vi at prosedyrene som er relevante for planlegging og setting av isolasjonsplaner ikke er utformet på en måte som sikrer entydig og konsekvent praksis. Dette medfører økt risiko i både planlegging og gjennomføring av arbeidet.
Hjemmel
Mangler ved etablering og oppfølging av sikkerhetsfunksjoner
Beskrivelse
Equinor hadde i disse tilfellene ikke sikret at vedlikeholdsprogrammet inneholdt aktiviteter for overvåking av ytelse og teknisk tilstand, som i tilstrekkelig grad sikret at sviktmodi som er under utvikling eller har inntrådt, blir identifisert og korrigert.
Begrunnelse
Avviket begrunnes med følgende forhold:
- Dokumentasjon på gjennomførte solenoide-tester:
Vi observerte tilfeller av at gjennomførte tester av NAS-ventiler som har både NAS- og PAS-solenoide hadde mangelfull rapportering av resultat fra test av solenoide. Det var ikke dokumentert hvilken solenoide som var testet, eller om bare én, eller begge, solenoidene ble testet. Dette var heller ikke gjort i tilfeller hvor reelle ventiloperasjoner (f.eks. ved utstyrstripp) krediteres som gjennomførte tester.
- SRS/testprogram ivaretar ikke enkelte forutsetninger fra LOPA:
Forutsetninger fra Layer of Protection Analysis (LOPA) var ikke reflektert korrekt i Safety Requirements Specification (SRS), hvilket innebærer at tilhørende komponenter ikke følges opp slik de skal. Eksempelvis gjelder dette for instrumentert sikkerhetsfunksjon (SIF 20.05) for beskyttelse mot gas blowby fra 1. trinns separator til 2. trinns separator. Denne funksjonen var allokert Safety Integrity Level (SIL) 2 i LOPA, mens den faktiske implementeringen reflekterte SIL 1.
- Målsetting for responstid for sikkerhetsfunksjon 70.03:
Innretningsforskriften § 34 sier at prosessikringen skal utformes med to uavhengige sikringsnivåer for beskyttelse av utstyr. Med dette menes at barrierene skal være like gode, og oppnå det samme resultatet, selv om den ene barrieren feiler. Responstiden for den aktuelle sikkerhetsfunksjonen, hvis formål er å unngå overtrykking av brenngasscrubber, er beregnet med hensyn til testtrykket for scrubberen, og ikke maksimalt tillatt akkumulert trykk (MAAP) slik som ytelsen til PSV-en er spesifisert til. Primærbarrieren vil derfor ikke oppnå samme effekt som sekundærbarrieren i dette tilfellet.
Equinors tekniske krav (TR3500), åpner for å overstige MAAP i tilfeller hvor segmentet er utstyrt med en PSV og hvor det ikke er gjennomførbart («feasible») å imøtekomme responstidskravet når beregnet ut ifra MAAP. TR-en eksemplifiserer med scenarioene «choke collapse» og «inadvertent valve opening». Vi anerkjenner at det i enkelte, særskilte scenarioer, ikke er praktisk mulig å oppnå en responstid kort nok til å imøtekomme MAAP for den instrumenterte sikkerhetsfunksjonen. Basert på informasjon gitt i tilsynet, kan vi imidlertid ikke se at denne SIF-en tilhører kategorien «særskilt scenario», eller at det ikke er gjennomførbart («feasible») å oppnå tilstrekkelig rask responstid til å stenge ventilen innen trykket når MAAP.
Den nødvendige lukketiden for PAS-ventilen for å imøtekomme MAAP er 3,75 sekunder med dagens betingelser. Tilsvarende for testtrykk er 7,75 sekunder. Testresultater for denne ventilen viser gangtider på 3 sekunder de siste 4 funksjonstestene. Det er ikke fremlagt begrunnelse for hvorfor det ikke er ansett som gjennomførbart («feasible») å endre målsettingen for funksjonen, annet enn at marginen mellom faktisk gangtid og kravet da blir liten, og at det da fryktes gjentakende notifikasjonsregistreringer på bakgrunn av dette.
Hjemmel
Mangler ved kartlegging av ikke-elektriske tennkilder
Beskrivelse
Equinor hadde ikke foretatt en systematisk kartlegging av potensielle ikke-elektriske tennkilder på Askepott som kan ha betydning for risiko på Martin Linge.
Begrunnelse
I tilsynet bad vi om Equinor sin kartlegging av potensielle ikke-elektriske tennkilder på Askepott som kan ha betydning for risiko Martin Linge. Equinor bekreftet at en slik kartlegging ikke var blitt utført.
Hjemmel
Mangler ved brannvannsystemet
Beskrivelse
Brannvannsystemet på Martin Linge A var ikke utformet slik at brannbekjempelse til enhver tid kan foregå hurtig og effektivt.
Begrunnelse
Det fremkom av dokumentasjon at responstid på maksimum 30 sekunder for vann til ytterste dyse blir ikke møtt i flere områder. Dette gjelder to delugeskider i W10/W20, der målt responstid overstiger 30 sekunder
Det er etablert en intern DISP på forholdene. Vi vurderer dette som et myndighetsavvik.
På tilsynets tidspunkt var det også satt opp et stillas rundt brønn A-20 på W10 som blokkerte flere delugedyser uten at det var iverksatt kompenserende tiltak. Det kunne heller ikke dokumenteres at dette forholdet var risikovurdert.
Hjemmel
Mangler med oppfølging av vedlikeholdsprogrammet til anlegg for brannbekjempelse
Beskrivelse
Equinor har ikke sikret at alle aktiviteter fastsatt i sitt program for funksjonstesting av brannpumpesystemet ble gjennomført.
Begrunnelse
Equinor har etablert et program for funksjonstesting av anlegg for brannbekjempelse på Martin Linge A som utføres hver 4. uke. I programmet inngår det at brannpumpesystemet skal testkjøres i minimum 2 timer. Det fremgår av vedlikeholdshistorikken knyttet til kjøring av de fire brannpumpene at de fra 1.1.2024 med noen unntak, ikke ble kjørt i to timer.
Det er også i tidligere tilsyn erfart at brannpumpene ikke er blitt kjørt i minimum to timer i samsvar med fastsatte interne krav. Det vises i denne sammenheng til tilsyn gjennomført på Aasta Hansteen og Åsgard A, jf. referanser 32 og 33.
Hjemmel
Mangler ved passiv brannbeskyttelse
Beskrivelse
Det var mangler ved den passive brannbeskyttelsen på 2. og 3. trinns separatorene, samt på Closed Drain tank. Utførte analyser ga ikke nødvendig grunnlag for å beslutte om tekniske tiltak skulle iverksettes.
Begrunnelse
Under befaring i felt ble det observert at det manglet passiv brannbeskyttelse på flere flenser og rørstusser på 2. og 3. trinns separatorene og Closed Drain tank. Vi har fått opplyst at det per i dag ikke er entydig avklart om uisolerte flenser og stusser skal ha passiv brannbeskyttelse for å være i samsvar med forutsetninger i analysene som foreligger. Vi viser til trykkavlastingsrapport og teknisk notat for PFP for Vessel and Piping PFP Criteria. Behov for passiv brannbeskyttelse på overgangene skulle vurderes nærmere for å fastslå korrekt utførelse.
Hjemmel