Kartlegging av selskapenes oppfølging av nødavstengningssystemet ESD/NAS

I 2021 etablerte vi en sektoravgiftsoppgave om selskapenes oppfølging av nødavstengningssystemet ESD/NAS. Vi sendte i den forbindelse ut spørsmål til selskapene og hentet inn relevant dokumentasjon relatert til nødavstengningssystemet.

Undersøkelsen bekrefter at selskapene har gode systemer og kompetanse til å følge opp nødavstengningssystemet. Det er likevel rom for forbedringer, spesielt med tanke på vedlikehold og verifikasjoner på eldre anlegg, og kompetanse hos kontrollromspersonell.

Vi har allerede tatt erfaringer fra oppgaven inn i våre tilsynsaktiviteter og jobber også med mulige forbedringer i regelverket.

Spørsmål til selskapene

Spørsmålene i oppgaven var relatert til følgende tema:

• Kompetanse og opplæring
• Vedlikehold og verifikasjoner
• Tekniske, operasjonelle og organisatoriske ytelseskrav
• Modifikasjoner, endringer og nyinstallasjoner
• Tiltak og begrensinger ved svekkelser 
• Utfordringer og erfaringer
• Interne tilsyn og revisjoner

Følgende beskriver de viktigste funnene fra tilbakemeldingene:

Kompetanse og opplæring

Kompetansekrav er i hovedsak implementert i system for kompetansestyring knyttet til ulike roller/funksjoner i selskapet.

Flere selskaper manglet kompetansekrav til kontrollroms- og prosessoperatører for nødavstengningssystemet. De fleste har etablert anleggsspesifikke krav til kompetanse for teknisk personell, men for et par selskap fremkom det ikke krav til kompetanse utover fagbrev.

Det er ofte leder, sammen med den enkelte ansatte, som er ansvarlig for å sikre at den enkelte har tilstrekkelig anleggs- og systemkompetanse på nødavstengningssystemet. Det var uklart hvordan man dokumenterer og sikrer at den enkelte har den nødvendige kompetansen for sin rolle (ref. aktivitetsforskriften § 21 om kompetanse).

For relevant personell på land var det få selskaper som hadde formelle krav til anleggsspesifikk kompetanse for nødavstengningssystemet.

Vi ønsker å presisere at dersom man følger NOG 70 og IEC 61580/61511 er det krav til nødvendig kompetanse for personell involvert i drift og vedlikehold av nødavstengningssystemer.

Flere selskaper benytter også i større grad simulator til trening og opplæring av personell for håndtering av feil, fare og ulykkessituasjoner. Når man benytter simulatortrening er det viktig at slik trening og øving er tilstrekkelig realistisk, og således bidrar til å håndtere ulike situasjoner på en effektiv måte (ref. Aktivitetsforskriften §23).

Vedlikehold og verifikasjoner

Det var i noen tilfeller uklart hvordan den ansvarlige etterlever minimumskravene for overvåking av ytelse og teknisk tilstand for nødavstengningssystemet, slik det er beskrevet i aktivitetsforskriften § 47 om vedlikeholdsprogram med tilhørende veiledning (bokstav b).

Dette var mest aktuelt for eldre innretninger, som verken blir verifisert i henhold til sikkerhetsintegritetsnivåene satt i standarden IEC 61508/61511 og norsk olje og gass’ (nå Offshore Norge) retningslinje 070 (NOG 070), at man verifiserte alle deler av sikkerhetsfunksjonen ved en årlig fullskala funksjonsprøve.

NOG 070 beskriver at instrumenterte sikkerhetssystemer fortrinnsvis bør testes som en del av en integrert test, hvor hele funksjonen testes fra ende til ende. Standarden åpner midlertidig for at man kan utføre deltester, for eksempel separate tester av innganger, logikk og utganger.

Dersom man av sikkerhets- eller operasjonelle grunner velger en slik løsning, er det viktig at testene overlapper hverandre, slik at hele sikkerhetsfunksjonen testes og dokumenteres.  Sistnevnte løsning er beskrevet av flere selskaper som en del av deres verifikasjonsaktivitet av nødavstengningssystemet, mens noen selskaper ikke har overlapp. Dette begrunnes med redusert sannsynlighet for utilsiktet aktivering og nedstengning.

Noen selskaper benytter uplanlagte hendelser, der man fikk testet nødavstengningsfunksjoner som en del av deres verifikasjonsaktivitet.

For noen selskaper var det uklart hvilke verifikasjonsaktivteter so er innført for å sikre etterlevelse av egne ytelseskrav til operasjonelle- og organisatoriske barriereelementer.

Utfordringer og erfaringer

Av tilbakemeldingen på hvilke utfordringer og feilårsaker selskapene har med nødavstengningssystemet, kan følgende nevnes:

• Testing av tennkildeisolering er tidkrevende.
• Differensiering av PSD/ESD-ventiler ved test, eksempelvis på lukketid på ventiler.
• Menneskelige feilhandling som for eksempel gjenglemte blokkeringer av sikkerhetsfunksjoner, feilhandlinger ved operasjon og vedlikehold.
• Svikt i teknisk utstyr, herunder feil på ventiler og feil i logikk.
• Manglende tag på kontakter, brytere og vern som skal benyttes til tennkildeisolering.  Dette vanskeliggjør rapportering på utstyrshistorikk og reelle hendelser der bryter tripper, dette kan igjen føre til mer omfattende testing for å verifisere funksjon.
• Feil i design og feil/mangelfull kvalitet på dokumentasjon.
• Kvalitet på dokumentasjon

Tilbakemeldingene knyttet til utfordringer og erfaringer bekrefter i stor grad Petroleumstilsynets erfaringer og funn fra tilsyn og oppfølging av hendelser.