Mangelfull oppfølging av alarmhåndteringssystemene i sentralt kontrollrom
Beskrivelse
Equinor hadde ikke sikret at alarmer i sentralt kontrollrom kunne oppfattes og behandles på den tiden som kreves for sikker betjening av utstyr, anlegg og prosesser.
Begrunnelse
Alarmhåndteringssystemet til SAS systemet var ikke i henhold til Equinor sine egne krav i TR1494. Det var flere stående alarmer enn kravet, spesielt for High alarmer. Intern Dispensasjon hadde blitt utvidet flere ganger siden den ble opprettet i 2023 uten at de hadde klart å lukke avviket. Dispensasjonen var forlenget flere ganger uten at nye tiltak ble opprettet. Det var vanskelig å se hvilke nåværende tiltak som var gjeldende for å lukke dispensasjonen.
Alarmtekster var blanding av norsk og engelsk, men kravet var at alt skulle være på norsk. Det hadde vært slik siden oppstart i 2015 og ble identifisert under TTS gjennomgang i 2016. Dette var fortsatt ikke fikset.
Alarmer fra Havvindsystemet var ikke lagt til mengden alarmer fra SAS systemet. For operatørene ville alarmer fra Hywind Tampen-systemet komme i tillegg til SAS-systemet. Total alarmbelastning for kontrollromsoperatørene ble derfor ikke identifisert.
Enkelte alarmtekster fra havvind fremstod som uklare for operatørene.
Alarmhåndteringssystemet for Hywind Tampen ble fulgt opp av en annen enhet i Equinor enn Valemon-organisasjonen. Kontrollromsoperatørene som var en viktig del av bruken av alarmsystemet, ble ikke involvert i dette arbeidet med å følge opp alarmsystemet til Hywind Tampen.
Hjemmel
Manglende oppdateringer av HMI-systemet i sentralt kontrollrom
Beskrivelse
Equinor hadde ikke oppdatert HMI-skjermbildene slik at informasjonen som ble presentert var korrekt og lett forståelig.
Begrunnelse
Da Heimdal-plattformen ble fjernet ble ikke HMI-skjermbilder og alarmtekster oppdatert slik at informasjon om grensesnitt mot Heimdal på HMI-skjermbildene ble riktig.
Blokkeringer av sikkerhetsfunksjoner som var rettet mot Heimdal lå fortsatt aktive selv om Heimdal var fjernet. Disse blokkeringene hadde blitt permanente og vært aktive i HMI-systemet siden 2023.
Nødvendige endringer av HMI-systemet ble ikke gjort, f.eks. endringer av enkelte sekvenser (p.g.a. mangel på ressurser fra Honeywell og Equinorpersonell som følger opp Honeywell). Det gjorde at operatørene måtte omgå deler av systemet for å kunne operere som ønsket.
Hjemmel
Mangler ved oppfølging av prosessikkerhetsfunksjoner
Beskrivelse
Equinor hadde ikke sikret at aktiviteter for oppfølging av ytelse for overtrykksbeskyttelse av innløpsseparator var tilstrekkelig for å ivareta etablert integritetskrav slik at sviktmodi som var under utvikling ble identifisert.
Equinor hadde ikke vurdert behov for kompensering av barriereelement som var ute av funksjon.
Begrunnelse
Gjennom tilsynet har vi sett på hvordan utvalgte prosessikkerhetsfunksjoner var identifisert, dokumentert og fulgt opp. I tilsynet så vi eksempel på at aktiviteter for å følge opp integritetskrav for overtrykksbeskyttelse av innløpsseparator ikke var tilstrekkelig ivaretatt samt eksempel på sikkerhetsfunksjon som var overbroet i lang tid.
- Det er utarbeidet en Safety Requirement Specification (SRS) for Valemon. Dokumentet angir blant annet krav til test frekvens og responstid for instrumenterte sikkerhetsfunksjoner for å ivareta definert integritetsnivå. Primærbeskyttelsen for ovetrykksbeskyttelse av innløpsseparator er beskrevet i SRS (ID 20.1) og er realisert med en høytrykks tripp via PSD systemet samt nedstengning av relevante ventiler for å stoppe innstrømningen til separatoren. For å oppå tilstrekkelig pålitelighetsnivå på denne funksjonen er det definert et krav til at ventilene testes to ganger i året. Funksjonstest av ventilene inngår i to ulike 12mnd test program noe som medfører at ventilene testes to ganger i året. Vi ser imidlertid at det er noen mangler ved gjennomføringen funksjonstestene for å sikre oppfølging i henhold til SRS. Mottatt testhistorikk fra de to siste årene viser at gjennomføringen av de to ulike test programmene er relativt sammenfallende i tid slik at det kan være opptil 10mnd mellom enkelte tester, og at funksjonskravet (responstid) bare følges i den ene testen (en gang hvert år).
- Sikkerhetsfunksjon (PSLL) for vanninjeksjonssystemet hadde vært overbroet i flere år. Bakgrunnen for overbroingen var endrende driftsforhold (lavere mengde) noe som hadde ført til at operasjonstrykket var nærme trippgrensen og sikkerhetsfunksjonen var overbroet for å hindre uhensiktsmessige hyppige nedstengninger. I forbindelse med overbroingen var det ikke gjort noen vurderinger knyttet til om behovet for funksjonen var endret, endring av set punkt eller behov for kompenserende tiltak.
Hjemmel
Manglende oppdateringer av dokumentasjon
Beskrivelse
Equinor hadde ikke sikret at tekniske driftsdokumenter forelå i oppdatert versjon.
Begrunnelse
I mottatt dokumentasjon så vi mangler i forhold til oppdatering for å reflektere endrede driftsbetingelser samt manglende samsvar mellom ulike dokument:
- Deler av sikkerhetsstrategien reflekterte ikke prosessendringer. Dette gjaldt blant annet:
- Skisse og beskrivelse av hovedprosess
- Operasjonstrykk i separator
- Vi mottok eksempler på permanente DISP’er for PS 12 som ikke var reflektert i sikkerhetsstrategien
- SRS reflekterte ikke beregnet PSD responstid for PAHH innløpsseparator
- Argumentasjon for lukking av TTS-funn knyttet til akustisk utmattelse stemte ikke overens med designbetingelser angitt i fakkelrapport
Hjemmel
Mangelfull responstid for brannvannsystemet
Beskrivelse
Brannvannsystemet på Valemon var ikke utformet slik at brannbekjempelse til enhver tid kan foregå hurtig og effektivt.
Begrunnelse
Krav til responstid på maksimum 30 sekunder for vann til ytterste dyse ble ikke møtt i flere områder. Dette gjaldt følgende områder som hadde målt responstid over 30 sekunder:
- W2 målt 32s
- P1 målt 40s
- P21 målt 33s
Det var etablert en intern DISP på forholdene (DISP 259758). Vi vurderer dette som et myndighetsavvik.
Hjemmel