Revisjonsrapport Rapport Rapporttittel Aktivitetsnummer Rapport etter tilsyn med barrierestyring på Sleipner A, T og R 001046006 Gradering Offentlig Unntatt offentlighet Begrenset Fortrolig Strengt fortrolig Involverte Hovedgruppe Oppgaveleder T-1 Statoil Eivind Sande Deltakere i revisjonslaget Geir Erik Frafjord, Espen Landro og Eivind Sande 10.6.2011 Dato 1 Innledning Petroleumstilsynet (Ptil) gjennomførte i perioden 21.3 8.4.2011 tilsyn med Sleipner A, T og R innretningene. I tilsynet ble det fulgt opp hvordan Statoil ivaretar og sikrer etterlevelse av krav til styring av barrierer. Tilsynsaktiviteten ble gjennomført i form av møter og samtaler med personell i driftsorganisasjonen på Forus den 21.3, 5.4 og 8.4.2011. Offshoredelen av tilsynet ble gjennomført i perioden 23.3 25.3.2011. Oppgaven var knyttet til temaet barrierestyring med fokus på system for barrierestyring og oversikt. 2 Bakgrunn Sleipnerfeltene består av Sleipner Vest (gassfelt) og Sleipner Øst (gasskondensatfelt) og ligger i den midtre delen av Nordsjøen. Sleipner Øst ble satt i drift i 1993 og Sleipner Vest i 1996. En av Ptil sine hovedprioriteringer i 2011 er knyttet til oppfølging av barrierer. I dette ligger det at operatøren skal ha etablert barrierer, sette ytelseskrav til disse og ha oppfølging av disse i et livsløpsperspektiv. Sikkerhetskritiske barrierer skal ivaretas på en helhetlig og konsistent måte slik at risiko for storulykker reduseres så langt som mulig. En barriere kan betraktes som en funksjon som forhindrer eller påvirker et konkret hendelsesforløp i en tilsiktet retning ved å begrense skader og/eller tap. Med funksjon menes barrierens oppgave eller rolle eksempler: hindre lekkasje, hindre spredning. 3 Mål Målsetningen med tilsynsaktiviteten er å vurdere Statoils planlegging, gjennomføring og oppfølging av virksomheten på Sleipner i forhold til relevante krav i regelverket. Kravene i forskrift om styring og opplysningsplikt i petroleumsvirksomheten og på enkelte landanlegg (styringsforskriften), forskrift om utforming og utrustning av innretninger med mer i petroleumsvirksomheten (innretningsforskriften) og forskrift om utføring av aktiviteter i petroleumsvirksomheten (aktivitetsforskriften) er lagt til grunn for tilsynet.
2 4 Resultat En av Ptils hovedprioriteringer er ivaretakelse av barrierer. Vi er gjennom vårt arbeid kjent med at aktørene i varierende grad har implementert krav i regelverket om barrierer i henhold til intensjonen. Svikt og svekkelser i et eller flere barriereelementers ytelse er en gjennomgående årsaksfaktor ved hendelser. Strategi og prosesser for robustgjøring av barrierer i de ulike faser i et anleggs livssyklus har utviklet seg i forskjellig retning og har forskjellig modenhet. Vi ser behov for å synliggjøre fellesnevnere og komplementære egenskaper mellom barriereelementenes tilstand og ytelse, drifts- og vedlikeholdsstyring og risikostyring. Industrien skal kunne beskrive og implementere arbeidsprosesser, og enkeltelementene i disse prosessene, for barrierestyring i et livsløpsperspektiv gjennom å: beskrive og synliggjøre sammenhengen mellom risiko- og farevurderingene, behov for barrierer og barrierenes rolle på det enkelte område (strategier) identifisere, beskrive og implementere ytelsesstandarder for definerte barrierer og risikopåvirkende faktorer identifisere forhold som kan redusere barrierenes ytelse over tid (endring av bruksbetingelser, degraderingsmekanismer, aldring, hendelser mm), etablere indikatorer for overvåking av funksjon og ytelse og prosesser for robustgjøring av barrierefunksjon og ytelse for å håndtere disse forhold kontinuerlig forbedre barrierene og systemet for barrierestyring Dette tilsynet har avdekket 6 avvik og 8 forbedringspunkter relatert til Statoils styring av barrierer på Sleipner. 5 Observasjoner Ptils observasjoner deles generelt i to kategorier: Avvik: Knyttes til de observasjonene hvor vi mener å påvise brudd på regelverket. Forbedringspunkt: Knyttes til observasjoner hvor vi ser mangler, men ikke har nok opplysninger til å kunne påvise brudd på regelverket.
3 5.1 Avvik 5.1.1 Mangelfull testing av sikkerhetskritiske ventiler Avvik: Det ble påvist mangelfull testing av sikkerhetskritiske ventiler. Det fremkom ved gjennomgang av dokumenter at Sleipners akseptkriterier for intern lekkasjerate av sikkerhetskritiske ventiler i kategori 1B 1) tar utgangspunkt i at trykkavlastning er gjennomført. For å forenkle utarbeidelse av testprogram av disse ventiler er det for Sleipner regnet ut ekvivalente lekkasjerater under operasjonstrykk. Rapporten hvor ekvivalente lekkasjerater og tilhørende operasjonstrykk fremkommer er datert 7. september 2007. (Rapport nr. 80.207.064/R1). Et annet operasjonstrykk enn det som fremkommer i denne rapporten vil gi en annen ekvivalent lekkasjerate. Dette forholdet er ikke fulgt opp når operasjonstrykket på Sleipner er blitt endret. Videre fremkommer det i FV rutine at Sleipner mener det er akseptabelt å teste mot ekvivalent lekkasjerate med oppstrøms trykk av ventilen ned til 80 % av operasjonstrykket. På forespørsel kunne selskapet ikke beskrive sitt beslutningsgrunnlag for å akseptere testing ned til 80 % av operasjonstrykk. Det er vår vurdering at dette forholdet kombinert med manglende endringsstyring når operasjonstrykket er redusert, i praksis medfører at sikkerhetskritiske ventiler ikke testes og sammenlignes mot de etablerte akseptkriterier for intern lekkasjerate. FV rutine viser avrunding til 2.0 kg/s istedenfor 1.6 kg/s som fremkommer som akseptkriterium ved operasjonstrykk for 20-EV 039 (ref. Rapport nr. 80.207.064/R1). Det ble opplyst at dette var en skrivefeil i FV en, og at forholdet vil bli korrigert. 1) Ventil i kategori 1B er definert som ventil som inngår i segmenteringen av prosessen og svikt/feilfunksjon av ventilen vil kunne føde en brann ut over den dimensjonerende brannlasten (varigheten) i området. Trykkavlastning av berørte segment vil redusere drivtrykket og dermed lekkasjen. Lekkasjen vil imidlertid kunne opprettholdes av hydrostatisk trykk. Aktivitetsforskriften 47 om vedlikeholdsprogram der det fremkommer at det i vedlikeholdsprogram skal det inngå aktiviteter for overvåking av ytelse og teknisk tilstand, som sikrer at feilmodi som er under utvikling eller har inntrådt, blir identifisert og korrigert. Styringsforskriften 5 om barrierer der det fremkommer at det skal være kjent hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendige for at den enkelte barrieren skal være effektiv. Det skal være kjent hvilke barrierer som er ute av funksjon eller er svekket.
4 5.1.2 Identifisering og oppfølging av barriereelementer Avvik: Mangelfull identifisering og oppfølging av barriereelementer. a) Viktig forutsetning i rapport for utvelgelse av sikkerhetskritiske ventiler er ikke i samsvar med designløsninger implementert på Sleipner. Fra rapport nr. 80.207.064/R1 som Sleipner legger til grunn for å definere og angi kriterier for testing av sikkerhetskritiske ventiler fremkommer: Behov for tetthet av avstengningsventiler må sees i sammenheng med den dimensjonerende brannlasten i området samt de volumer av hydrokarboner som avstengningsventilen segregerer. Dersom funksjonen av ventilen er nødvendig for å unngå at dimensjonerende brannlast overskrides, vil ventilen måtte klassifiseres som kritisk. Den dimensjonerende brannlasten er den maksimale belastningen området kan tåle uten at brannen sprer seg. Videre i rapport nr. 80.207.064/R1 fremkommer med referanse til Sleipner DAL-spec at hovedbærestruktur på SLA skal tåle en standard 2 timers hydrokarbonbrann (jet brann 30 min 250 kw/m2 med påfølgende 90 min. hydrokarbonbrann, 200 kw/m2). I DAL-spec fremkommer i kap. 2.4.4: The maximum acceptable steel temperature is set to 400 0 C for load bearing structures after 2 hour fire exposure. Structural steel in areas with a high fire potential shall be fireproofed (D22, M24 and C0T of the MSF). Ut fra dette kan en etter vår vurdering avlede at det ikke er all hovedbærestruktur på Sleipner A som er passiv brannbeskyttet fra designfasen. Eksempelvis har ikke modulene M22 og M23 PBB på bærestruktur. Rapport 80.207.064/R1 kan imidlertid etter vår vurdering tolkes dit hen at det er en forutsetning for resultatene (i.e utvelgelse av sikkerhetskritiske ventiler) at all bærestruktur er dimensjonert for å opprettholde integriteten i minimum 2 timer for de relevante brannscenariene. b) Det kan tilsynelatende se ut som om Sleipner trekker konklusjoner basert på argumentasjon som ikke er i samsvar med den metodikk for utvelgelse av sikkerhetskritiske ventiler en har lagt til grunn. I rapport nr. 80.207.064/R1 har en konkludert med at 20XV225 og 20XV226 ikke trenger lekkasjetestet fordi frekvens for intern eskalering er lavere enn akseptkriteriet på 1x10-4. I den samme rapporten fremkommer at dersom funksjon av ventilen er nødvendig for å unngå at dimensjonerende brannlast overskrides, vil ventilen måtte klassifiseres som kritisk. Den dimensjonerende brannlasten er den maksimale brannbelastningen et område kan tåle uten at brannen sprer seg. Dette betyr at metodikken baseres på konsekvens ved eventuell intern lekkasje i ventil, noe som er i samsvar med krav i Norsok S-001. Ptil mener at ventiler som vil være sikkerhetskritiske basert på konsekvensvurdering ikke bør utelates fra lekkasjetesting basert på vurdering av frekvens for intern eskalering og en argumentasjon om at PBB er fjernet fra rørføring i området. Dersom PBB er fjernet vil
5 brannmotstand reduseres, og medføre økt behov for nødavstengningsfunksjon som kan bidra til redusert brannstørrelse og -varighet. Sleipners argumentasjon tilknyttet 20XV225 og 20XV226 bidrar dermed nødvendigvis ikke til å sikre tilstrekkelig robuste løsninger. c) Metoden for utvelgelse av sikkerhetskritiske ventiler er kun gjennomført med hensyn til brann. Evaluering og kategorisering av ventiler i forbindelse med håndtering av gasslekkasjer mangler. ESD-ventiler kan også ha en rolle for å redusere lekkasjevolum og risiko ved HClekkasjer. Styringsforskriften 5 om barrierer der det fremkommer at det skal være kjent hvilke barrierer som er etablert og hvilken funksjon de skal ivareta, samt hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendige for at den enkelte barrieren skal være effektiv. I veiledningen fremkommer at ytelse kan blant annet være kapasitet, pålitelighet, tilgjengelighet, effektivitet, evne til å motstå laster, integritet og robusthet. Styringsforskriften 11 Beslutningsgrunnlag og beslutningskriterier der det fremkommer at før det treffes beslutninger skal den ansvarlige sikre at problemstillinger som angår helse, miljø og sikkerhet, er allsidig og tilstrekkelig belyst. Beslutningskriteriene skal være basert på de fastsatte målene, strategiene og kravene for helse, miljø og sikkerhet og foreligge i forkant av beslutninger. Det skal sikres nødvendig samordning av beslutninger på ulike nivå og ulike områder slik at det ikke oppstår utilsiktede effekter. Forutsetninger som legges til grunn for en beslutning, skal uttrykkes slik at de kan følges opp. Aktivitetsforskriften 25 Bruk av innretninger der det fremkommer at bruk av innretninger og deler av disse skal være i henhold til krav som er fastsatt i og i medhold av helse-, miljø- og sikkerhetslovgivningen og eventuelle tilleggsbegrensninger som følger av fabrikasjon, installering og ferdigstilling. Bruken skal til enhver tid være i samsvar med innretningens tekniske tilstand og de forutsetningene for bruk som er lagt til grunn i analysene. Statoil krav i TR1055, PS 4.4.2- ESD final elements der det fremkommer:. a shutdown valve shall be categorised as an ESD valve if the consequence of valve failure is that a possible fire will exceed the dimensioning fire load for the area in question, or the valve is critical for handling possible gas leakage.
6 5.1.3 Mangelfullt brannskille i brannpumperom Avvik: Det er påvist manglende brannskille i brannpumperom Ptil observerte at låsesylindre til dører inn til alle fire brannpumperom på Sleipner A er blitt fjernet. Det ble konstatert betydelig luftgjennomstrømning (trekk) ved dørkarm selv om branndør var i lukket posisjon. Manglende låsesylindre medfører således at dørene ikke tetter tilstrekkelig til å hindre spredning av flammer og røyk i spesifisert tidsrom som er 60 minutter for et brannskille av klasse A. Ved eventuell brannsituasjon inne i brannpumperom vil det utløses vanntåke med nitrogen som drivgass. Sammen med brannlaster kan dette medføre trykkforhold i rommet som vil kunne bidra til å åpne branndørene. Brannpumperommene på Sleipner har vanntåkeanlegg for å kunne slukke eventuell intern brann. Vanntåkeanlegg er egnet til slukking i lukkede rom hvor det kan forventes rask brannutvikling og hvor lufttilførselen er begrenset og kontrollert. Manglende låsesylindre til dører utgjør også et usikkerhetsmoment mht virkning av vanntåkeanlegget. Styringsforskriften 5 om barrierer der det fremkommer at det skal være kjent hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendige for at den enkelte barrieren skal være effektiv. Det skal være kjent hvilke barrierer som er ute av funksjon eller er svekket. Innretningsforskriften 30 om brannskiller der det fremkommer at rom som har viktige funksjoner og viktig utstyr, samt rom med høy brannrisiko, skal være atskilt fra omgivelsene med brannskiller som har brannklasse tilsvarende den branntype og de dimensjonerende brann- og eksplosjonslastene de vil være eksponert for. Gjennomføringer skal ikke svekke brannskillene. Dører i brannskiller skal være selvlukkende. I veiledningen fremkommer at brannskiller i rom for brannpumpesystemer bør oppfylle brannklasse A-60. I Innretningsforskriften 3 om definisjoner fremkommer at et brannskille av klasse A skal hindre spredning av flammer og røyk i minst én time av normert brannprøve. 5.1.4 Evakueringsmulighet fra Sleipner T og R Avvik: Personellet på Sleipner T- og R kan ikke evakueres raskt og effektivt i alle fare- og ulykkessituasjoner. Ptil har fått opplyst under samtaler at livbåten på Sleipner T bare vil ha dedikert livbåtmannskap dersom bemanningen på SLT blir på 40 personer eller mer. I kap. 16.3 i TR1055 Tillegg for Sleipner fremkommer at dersom det vil bli aktuelt med bemanning på 40 personer eller mer på SLT, vil Statoil vurdere behov for bruk av oversiktstavle eller livbåtmannskap på SLT livbåt.
7 Samtidig har det kommet frem at DFU s både på SLT og SLA kan medføre tap av broen mellom SLT og SLA som rømningsvei. Det eneste alternativet for personell på SLT kan da være bruk av redningsstrømpe med flåter. For at redningsstrømpe med flåter skal kunne være effektive som sjøveis evakuering må utstyret trygt kunne benyttes ved de værforhold som er gjeldende. (Både entrings- og fremdriftsaspektet må sikres). Det er ikke dokumentert at redningsstrømpe med flåter kan benyttes ved alle værsituasjoner som kan foreligge ved DFU som samtidig hindrer at personell på Sleipner T kan rømme via bro til hovedmønstringsområdet og livbåter på Sleipner A. Problemstillingen er også aktuell for SLR. Statoil har ikke innført noen operasjonelle bølge- og værbegrensninger for bruk av flåter på Sleipner. Aktivitetsforskriften 77 om håndtering av fare- og ulykkessituasjoner der det fremkommer at den ansvarlige skal sikre at nødvendige tiltak blir satt i verk så raskt som mulig ved fare- og ulykkessituasjoner slik at personellet på innretningen kan evakueres raskt og effektivt til enhver tid, jf. også innretningsforskriften 44. 5.1.5 Oppfølgning av forutsetninger lagt til grunn i risikoanalyser Avvik: Manglende system for oppfølging av forutsetninger i risikoanalyser. Det fremkom gjennom samtaler med relevant personell at Sleipner ikke har etablert system/rutine for oppfølgning av omfang av varmtarbeid (antall timer i året). I områderisikokart er imidlertid omfang av varmt arbeid pekt på som en viktig forutsetning i risikoanalysen. Uten å registrere faktisk omfang kan vi ikke se at selskapet har grunnlag for å vurdere om forutsetningen i risikoanalysen etterleves. Ptil vil påpeke at i TTS gjennomgang i 2006 fremkommer samme funn som prioritet 1 observasjon i PS 15 Id. No. M1.1. Aktivitetsforskriften 25 om bruk av innretninger der det fremkommer at bruken skal til enhver tid være i samsvar med innretningens tekniske tilstand og de forutsetningene for bruk som er lagt til grunn i analysene, jf. styringsforskriften kapittel V.
8 5.1.6 Strategi for barrierer og ytelseskrav for barriereelementer Avvik: Det er påvist uklar sammenheng mellom risikoanalyser og strategi og videre til spesifikke ytelseskrav til barriereelementer. I brevet hvor Ptil varslet om tilsyn med Sleipner A, T og R, ble det bedt om at Statoil oversendt dokumentasjon som blant annet beskriver følgende: Strategiene og prinsippene som er lagt til grunn for utforming, bruk og vedlikehold av barrierer. (Forankret i spesifikt risikobilde for Sleipner). Tilhørende ytelsesstandarder/krav Ptil har i denne sammenheng mottatt følgende dokumenter fra Statoil: TR1055 Performance Standards for Safety systems and Barriers Offshore TR1055 Tillegg for Sleipner TR1030 Filosofi og prinsipper for sikkerhetssystemene på Sleipnerfeltet GL0114 Safety critical failures Ptil har vurdert om overnevnte dokumenter i tilstrekkelig grad medfører at Sleipner fullt ut møter kravet i styringsforskriften 5 der det fremkommer at operatøren eller den som står for driften av en innretning eller et landanlegg, skal fastsette de strategiene og prinsippene som skal legges til grunn for utforming, bruk og vedlikehold av barrierer, slik at barrierenes funksjon blir ivaretatt gjennom hele innretningens eller landanleggets levetid. Det skal være kjent hvilke barrierer som er etablert og hvilken funksjon de skal ivareta, samt hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendige for at den enkelte barrieren skal være effektiv. I veiledningen fremkommer at strategiene og prinsippene bør utformes slik at de medvirker til å gi alle involverte en felles forståelse av grunnlaget for kravene til de enkelte barrierene, deriblant hvilken sammenheng det er mellom risiko- og farevurderinger og kravene om og til barrierer. Nedenfor følger Ptils observasjoner og vurderinger tilknyttet de fire overnente dokumenter som Statoil mener inneholder strategiene og prinsippene som er lagt til grunn for utforming, bruk og vedlikehold av barrierer på Sleipner og tilhørende ytelsesstandarder/krav. TR1055 Performance Standards for Safety systems and Barriers Offshore TR 1055 (Performance Standards for Safety systems and Barriers Offshore) inneholder Statoils generelle og overordnede krav til barrierer. Innledningsvis i TR 1055 står: Where regulation requirements are stricter than this document, the regulations shall take preference. I TR 1055 fremkommer følgende figur og forklaring i kapittel 2.1:
9 Sitat fra TR1055: The Safety Strategy shall be developed in accordance with recognized principles for HSE management systems, e.g. guidelines provided by ISO, OGP or API. The Safety Strategy is the outcome of a systematic identification and evaluation of the hazards and effects which may arise on the actual installation and will define the need for, and role of, the risk reducing measures and safety systems. The Safety Strategy shall outline the design principles for layout, arrangement and the selection of which safety barriers and systems to go into the design, ensuring a consistent and robust design that will be the basis for a safe operation of the installation. Operational aspects shall be addressed in the Safety Strategy, which then should serve as an input to the development of the operational procedures. The Safety Strategy shall reflect installation specific conditions, e.g. environment and climate, competence of staff, cultural elements, infrastructure such as transport, telecommunications and health care, availability of supplies of water and electricity, etc. Emergency preparedness aspects shall also be covered by the Safety Strategy. The principles applied in ISO 13702 and ISO 17776 is considered applicable. Detail requirements to the various safety systems shall be covered by specifications established for each particular system. The principles of the Safety Strategy shall be governing for the development of the performance standards and specifications. (Understrekning av actual installation og installation specific condition er foretatt av Ptil). Når det gjelder ytelseskrav og ytelsesstandarder fremkommer følgende i TR 1055; On the basis of the generic performance standards described herein there shall be developed specific performance standards for each installation. The specific performance standards and their performance requirements should be derived from the generic performance standards and safety strategy to reflect country and local rules and regulations and local practise differences. For existing installations see chapter 1.2. The safety performance standards shall form the basis for safety system elements performance which should be sustained and verified through the lifecycle of the installation. The specific safety performance standards shall ensure that barriers, safety systems or safety functions: Is suitable and fully effective for the type hazard identified Has sufficient capacity for the duration of the hazard or the required time to provide evacuation of the installation Has sufficient availability to match the frequency of the initiating event Has adequate response time to fulfil its role Is suitable for all operating conditions
10 TR 1055 kapittel 1.2 omhandler hvordan dokumentet skal brukes i Statoil: This document describes the principles and requirements for the development of the safety design of offshore installations for production and treatment of oil and gas, topside and subsea. The document also applies to larger modification projects (e.g. upgrading or expansion of existing installation, tie-in of other fields). For existing installations, identified non-conformities between original design requirements and requirements within TR1055 shall be treated as potential risk reducing measures and included in the ALARP process. (The ALARP process is further described in chapter 2.2). Identified non-conformities shall be documented in dispensation system. The development of a facility specific safety strategy, including facility specific performance standards for safety systems, shall be approved in the dispensation system and be warranted in this document. Ptils vurdering av TR1055 Kravene som TR1055 stiller for nye innretninger eller ved større modifikasjoner er i hovedsak i samsvar med krav i regelverket og føringer i veiledningen til regelverket. Sleipner feltet består imidlertid av eksisterende innretninger. Det er Ptils forståelse av dokumentet at en for eksisterende innretninger skal betrakte eventuelle gap mellom opprinnelig design og ytelseskravene i TR1055 som potensielle risikoreduserende tiltak, og at disse skal vurderes videre i ALARP prosess. I Statoil gjennomføres såkalte TTS-gjennomganger for å avklare eventuelle gap mellom opprinnelig (originalt) design og kravene i TR1055. For Sleipner er det gjennomført mange forbedringstiltak basert på TTS-prosessen. Det er også positivt at Statoil gjennomfører intern unntaksbehandling for å vurdere om det kan godtas at den enkelte installasjon ikke møter kravene i TR 1055. TTS-gjennomganger og overnevnte bruk av TR 1055 er etter Ptils vurdering viktig for å sikre kontinuerlig forbedring, men vi ser ikke at dette ivaretar forskriftskravene om at spesifikke strategier og ytelseskrav også skal være etablert for eksisterende installasjoner. Og at dette igjen skal være forankret i en systematisk identifikasjon og evaluering av fare- og ulykkessituasjoner på den aktuelle installasjonen. Imidlertid må bruken av TR 1055 også sees i sammenheng med innhold i andre dokumenter som er styrende for Sleipner se under. TR1055 Tillegg for Sleipner Formålet med dokumentet fremkommer i kap. 1.1. Sentralt formål er oppgitt å være: Dokumentet skal gi en oversikt over sikkerhetsfilosofi (grunnleggende kriterier og prinsipper) som gjelder for alle sikkerhetsbarrierene på Sleipnerfeltet Dette dokumentet må videre sees i sammenheng med krav i øvrige styrende dokumentasjon. Det er kun krav, filosofier og prinsipper som gjelder spesielt for Sleipner feltet som er beskrevet i dette dokumentet, for øvrige krav vises det til TR1055. For filosofi og prinsipper for instrumenterte sikkerhetssystemer, vises til Filosofi og prinsipper for sikkerhetssystemene på Sleipnerfeltet (TR1030), men de enkelte instrumenterte sikkerhetsbarrierene er angitt i dette dokumentet for å få en samlet oversikt over alle sikkerhetsbarrierene. På sikt planlegges det at TR1030 skal inkluderes i dette dokumentet. Krav, filosofier og prinsipper i dette dokumentet skal sammen med annen styrende dokumentasjon samt relevante forskrifter og standarder, anvendes for drift, vedlikehold og modifikasjoner av sikkerhetsbarrierene på Sleipner feltet.
11 Dokumentet skal også beskrive og dokumentere permanente unntak fra krav i TR1055. Formålet er å beskrive spesifikke filosofier og generelle prinsipper som skal ligge til grunn for design og funksjon av følgende sikkerhetsbarrierer på Sleipner feltet: o PS1- Hindre lekkasjer o PS2- Naturlig ventilasjon og HVAC o PS5- Åpen drenering o PS8- Trykkavlastning o PS9 -Aktiv brannbekjempelse o PS10- Passiv brannbeskyttelse o PS11- Nødkraft- og belysning o PS13- PA, alarm og nødkommunikasjon o PS14- Rømning og evakuering o PS15- Layout/eksplosjonsbarrierer o PS16- Offshore kraner o PS17- Brønnbarrierer o PS19- Kollisjonsbarriere o PS20- Strukturintegritet Ptils vurdering av TR1055 Tillegg for Sleipner Ptil har hatt som delmål gjennom tilsynet å avklare om det på Sleipner feltet er en god og synlig sammenheng mellom risikoanalyser og strategi og videre til spesifikke ytelseskrav til barriereelementer. Det Sleipner spesifikke tillegget til TR1055 er sentralt i denne sammenheng. Vår vurdering er at dokumentet beskriver både en del spesifikke filosofier samt angir viktige generelle prinsipper som skal ligge til grunn for design og funksjon av sentrale sikkerhetsbarrierer på Sleipner feltet. Dokumentet angir også en del spesifikke ytelseskrav. På flere områder er det imidlertid ingen tydelig konkretisering av hva de spesifikke filosofier og generelle prinsipper faktisk har resultert i av spesifikke ytelseskrav. Nedenfor gis det noen konkrete eksempler på forhold hvor Ptil ikke kan se tilstrekkelig sammenheng mellom risikoanalyser, strategi, spesifikke ytelseskrav til barriereelementer og dokumentasjon på at ytelseskravet er møtt: Ptil anmerkninger/kommentarer til TR1055 Tillegg for Sleipner Det fremkommer ikke i dokumentet hvilke områder som skal klassifiseres som lavrisiko. Det gis heller ikke referanse(r) til studie(r)/vurdering(er) som ligger til grunn for klassifisering av brannrisiko. Det fremkommer ikke hvordan tidsforsinkelse påvirker responstiden til brannvannssystemet. Tidsforsinkelser skal ikke hindre at brannvann leveres til den mest fjerntliggende dyse innen 30 sekunder. Ptil har vurdert modulene M22 og M23. I disse modulene er det ikke PBB på hovedbærestruktur. Ptil har gjennom intervjuer og mottatt dokumentasjonen ikke fått klarhet i hvorfor det ikke er behov for PBB på hovedbærestruktur i Referanse (hvis relevant) Kap. 4.3.6. Mekaniske ventilasjonsanlegg skal utformes for å kontrollere røykspredning i rom med lav brannrisiko Kap. 11.3.1. For å redusere væskeslag startes pumpene tidsforsinket. Kap.12.2. I DAL spesifikasjonene for Sleipner feltet er det nærmere beskrivelse av krav til
12 Ptil anmerkninger/kommentarer til TR1055 Tillegg for Sleipner M22 og M23. Hvis Statoil har dokumentasjon som viser at det ikke er nødvendig med PBB for å sikre strukturintegritet i disse moduler ved dimensjonerende brannscenarier, ville det etter vår vurdering vært naturlig at konklusjoner bl.a ble beskrevet i strategidokument som skal være bindeleddet mellom risikovurderinger og spesifikke ytelseskrav. Fra DAL-spec fremkommer at det er etablert krav til PBB på enkelte beholdere og krybber i M22 og M23. Det er videre etablert omfattende krav til PBB for utvalgte rør, rørstøtter og oppheng i de tilfeller dette er installert etter år 2000. Fra dette kan det trekkes konklusjon på at det er dimensjonerende brannlaster i modulene som også vil kunne eksponere ubeskyttet hovedbærestruktur. I områderisikokart for M22 og M23 fremkommer videre at brannfrekvens er henholdsvis høy og middels. Frekvens for brann og eksplosjon som medfører at hendelsen sprer seg til et annet prosessegment i området er oppgitt til henholdsvis høy og middels. Felles for begge modulene er at ventilasjonen er relativt lav. Dette vil kunne medføre ventilasjonskontrollerte branner og høy varmefluks. Oppsummert er det for oss uklart hvilke gjeldende analyser som konkluderer med at det ikke er behov for PBB på hovedbærestruktur i M22 og M23. Det er stilt krav til at ventil, aktuator, akkumulator og kontrolltubing skal bli vurdert mht behov for brannisolering. Brannkravet er tilpasset de aktuelle brannlaster og funksjon/virkemåte for utstyret. Ptil har fått opplyst fra Statoil at alle sikkerhetskritiske ventiler skal ha tilstrekkelig brannmotstand også av aktiveringssystem slik at overnevnte krav møtes. Vi har under tilsynet fått opplyst at status på dette området ikke er tilstrekkelig kjent, og at Sleipner allerede har iverksatt en kartlegging av alle definerte sikkerhetskritiske ventiler med tilhørende aktiveringssystem på SLA, R, T og B for å verifisere at de har tilstrekkelig brannmotstand. TR1055-Tillegg for Sleipner har ingen beskrivelse/krav i kap. 17 (Layout/Eksplosjonsbarrierer) vedrørende eksplosjonsmotstand av sikkerhetskritisk utstyr eller kritiske HC-rør. Dette er imidlertid omtalt i Design Accidental Load Specification (Dok. Nr. C007-C-S-SD-115) hvor følgende fremkommer: Original pipe work was designed for a static overpressure of 0.15 barg from an explosion. Samtidig indikerer DAL spec og TTS observasjon tilknyttet PS15 i 2006 at eksplosjonslaster i enkelte moduler er høyere enn lagt til grunn for opprinnelig design. I tabell 2 i DAL spesifikasjon fremkommer at dimensjonerende drag last for nye rørføringer skal være mellom 0.25 og 0.3 barg avhengig av område. Ptil har i mottatt dokumentasjon ikke fått avklart hvorvidt alle opprinnelige rørføringer som trykkavlastningssystemet er avhengig av, er tilstrekkelig dokumentert mht eksplosjonsmotstand for tilsvarende ulykkeslaster. I den grad slik Referanse (hvis relevant) brannlaster og brannbeskyttelse av ulikt utstyr (bl.a. rør, ventiler, struktur og brannskiller) på de ulike plattformene. Kap. 12.6...Basert på analyser har hele eller deler av hovedog sekundærstruktur påført brannbeskyttelse Kap. 12.8. Ventiler, aktuator, akkumulator og kontrolltubing Kap. 17 Layout/Eksplosjons barrierer
13 Ptil anmerkninger/kommentarer til TR1055 Tillegg for Sleipner dokumentasjon ikke finnes betyr dette i praksis at opprinnelig trykkavlastningssystem kan være sårbart ved eksponering for de samme ulykkeslaster som Statoil betrakter som dimensjonerende for nytt utstyr. Vi vil her påpeke at kan reduksjon av usikkerhet tilknyttet sårbarhet til trykkavlastningssystemet være ekstra viktig på Sleipner pga den avhengighet som eksisterer mellom barrierene nødavstengning og trykkavlastning. I rapport nr. 80.207.064/R1 (Sleipner A - Kriterier for inspeksjon/testing av sikkerhetskritiske ventiler) fremkommer eksempler på at tilstedeværelse av tilbakeslagsventiler er benyttet i argumentasjon for ikke å definere avstengningsventiler som sikkerhetskritisk i brannsituasjon (eksempelvis note 3,4,7,11,12,27, 37, 48, 81, 82 i vedlegg A). Dersom tilstedeværelse av tilbakeslagsventiler blir en forutsetning for at avstengningsventiler ikke defineres som sikkerhetskritisk, må en etter vår vurdering definere og følge opp ytelseskrav for tilbakeslagsventilene. I mottatte dokumenter har vi ikke klart å identifisere at ytelseskrav for kritiske tilbakeslagsventiler er blitt etablert. Ptil vil her peke på at dokument GL0114 Safety critical failures for PS no, 4 (ESD) indikerer at enkelte tilbakeslagsventiler kan defineres som Sikkerhetskritisk utstyr (SCE), og det er videre definert hva som er sikkerhetskritisk svikt for denne type ventiler. Tilknyttet vurdering av 21EV802 fremkommer at det er antatt at rørføring mellom SLR og SLA ikke er installert med helling ( slope ). (Ref. note 23). Vi kan ikke se at denne antakelsen er blitt overført til et spesifikt ytelseskrav og verifisert. Manuell annulusventil står åpen for å kunne avlese trykk i ringrom. Mellom ventil og manometer benyttes tubing som ikke er passiv brannbeskyttet. All den tid ventilen ikke kan fjernopereres, stilles det spørsmål ved om barrierekonvolutten i praksis er flyttet ut til manometer? I mottatte dokumenter er det ikke redegjort for hvilke risikovurderinger som er gjort for løsningen, og hvilke ytelseskrav som eventuelt er identifisert for å ivareta bl.a. brannmotstand? (Ref. også Norsok D-010 Well barrier elements acceptance tables, kap. 15.12. Table 12 Well Head / Annulus access valve hvor det fremkommer at the housing and valve(s) shall be fire resistant ). I Sleipner pågår det fortløpende vurdering og lukking av funn fra gjennomførte TTS gjennomganger. I mange tilfeller vil disse lukkingsprosesser medføre at en avklarer nødvendige ytelseskrav til barriereelementer på Sleipner. Når disse avklaringer er gjennomført vil en god praksis være at dokumentasjonen som skal vise gjeldende ytelseskrav blir oppdatert. All den tid at dokumentet også skal beskrive og dokumentere permanente unntak fra krav i TR1055 vil dokumentet Referanse (hvis relevant) Generelt forhold vi ikke finner omtalt i Sleipner spesifikt tillegg til TR1055 eller annen mottatt dokumentasjon. Generelt forhold vi ikke finner omtalt i Sleipner spesifikt tillegg til TR1055 eller annen mottatt dokumentasjon Generelt forhold vi ikke finner omtalt i Sleipner spesifikt tillegg til TR1055 eller annen mottatt dokumentasjon. Generelt
14 Ptil anmerkninger/kommentarer til TR1055 Tillegg for Sleipner måtte holdes kontinuerlig oppdatert. Ptil registrerer at Sleipner spesifikt tillegg til TR1055 er datert 14.12.2009. Referanse (hvis relevant) Sleipner spesifikt tillegg til TR1055 refererer til total risiko- og beredskapsanalyse fra 2003 og ulike deloppdateringer av TRABA som følge av større modifikasjoner etter 2004. Ptil kan i liten grad se at Sleipner spesifikt tillegg til TR1055 bidrar til å klargjøre sammenheng mellom gjeldende risikoanalyser og strategi og videre til spesifikke ytelseskrav til barriereelementer. TR1030 Filosofi og prinsipper for sikkerhetssystemene på Sleipnerfeltet Dokumentet skal gi oversikt over den filosofi (grunnleggende kriterier og prinsipper) som er gjort gjeldende for SAS systemene på Sleipner feltet og som anses nødvendig for å ivareta en akseptabel ytelsesstandard for systemene til enhver tid. Hoveddel av dokumentet gir en kortfattet beskrivelse av overordnede krav og prinsipper samt referanse til normgivende dokumentasjon. I appendiksene til dokumentet gis utfyllende informasjon for enkelte krav, prinsipper og praksis. Formålet er å beskrive spesifikke filosofier og generelle prinsipper som skal ligge til grunn for design og funksjon av følgende sikkerhetssystemer på Sleipner feltet: Nødavstengning (ESD) Trykkavlastning Prosessavstengning (PSD) Brann- og gassdeteksjon (B&G) Tennkildeutkobling Ptils vurdering av TR1030 Filosofi og prinsipper for sikkerhetssystemene på Sleipnerfeltet TR1030 inneholder etter vår vurdering mange generelle og gode overordnede kravformuleringer. I noen tilfeller er disse konkretisert og brutt ned til konkrete ytelseskrav som er operasjonalisert og kjent, men vi kan imidlertid ikke se at dette alltid er tilfellet. Nedenfor følger eksempler som etter Ptils vurdering ikke er tilstrekkelig belyst i dokumentet: Ptil har observert at det i rapport nr. 80.207.064/R1 (som Sleipner legger til grunn for å definere og angi kriterier for testing av sikkerhetskritiske ventiler) fremkommer at en viktig forutsetning for vurdering og etablering av akseptkriterier for intern lekkasjerate gjennom nødavstengningsventiler, er at trykkavlastning blir gjennomført. I TR 1055 er kravet til uavhengighet følgende: The ESD safety related functions (SIL classified) shall fulfil their intended role independently of other control - and safety related control systems, i.e. risk reduction measures to be achieved by ESD functions are not adversely affected due to malfunctioning of other interfacing systems. Den avhengighet som det på Sleipner er mellom barrierene nødavstengning og trykkavlastning kan vi ikke se er omtalt eller dekket i TR1030. Ptil kan heller ikke uten videre se at denne avhengigheten møter kravet i TR1055 eller myndighetskravet til nødavstengningssystem (Ref. innretningsforskriften 33) der det fremkommer at nødavstengningssystemet skal kunne utføre tiltenkte funksjoner uavhengig av andre systemer.
15 Kravene til den enkelte varme overflate (som eksosrør/kanaler) som er på Sleipner (Ref kap. 8.7.2) fremkommer ikke. I kapittel 8.4 fremkommer at det er flere rom som er spesielt eksponert for gasslekkasjer og at slike rom bør beskyttes med gassdeteksjon. Disse rom har imidlertid ikke gassdeteksjon. Det fremkommer ikke hvilke ytelseskrav til barriereelementer som er innført for å avbøte problemstillingen, eller hva den nevnte spesialbehandling av rommene går ut på. Det fremkommer at ved bekreftet gasslekkasje eller brann i klassifiserte områder, skal trykkavlastning normalt aktiveres så hurtig som mulig. Det forutsettes at retningslinjen om hurtig trykkavlastning inngår som moment i plattformøvelser (Ref. kap. 4.3). I tilsynet fremkom at det på Sleipner ikke var etablert konkrete ytelseskrav og trening/øvelse tilknyttet manuell trykkavlastning ved hendelser. Det fremkom også at det ikke var tilstrekkelig kjent om bord at trykkavlastning initieres automatisk ved bekreftet branndeteksjon (2 flammedetektorer) i prosessområder Ptil kan ikke se at det fremkommer referanser til analyser, studier, dokumentasjon som klargjør spesifikke ytelseskrav og som viser at fakkelen er designet for å møte de grunnleggende kriterier og prinsipper som gis i kap. 4 om Trykkavlastning. I Sleipner pågår fortløpende vurdering og lukking av funn fra gjennomførte TTS gjennomganger. I mange tilfeller vil disse lukkingsprosesser medføre at en avklarer nødvendige ytelseskrav til barriereelementer på Sleipner. Når disse avklaringer er gjennomført er det viktig at dokumentasjonen som skal vise gjeldende ytelseskrav for sentrale barrierer som F&G, ESD, tennkildekontroll og trykkavlastning blir oppdatert. Ptil registrerer at TR1030 er datert i 2006. TR1030 refererer ikke til Sleipner spesifikt tillegg til TR1055 eller GL0114. Ptil er gjort kjent med at TR1030 nå foreligger i ny versjon som er klar for utgivelse, men at denne ikke er utgitt pga Statoil omlegging til felles hierarki for knytning av tekniske kravdokumenter i selskapet. GL0114 Safety critical failures Formålet med dokumentet er oppgitt som følger: To give guidance on the definition of safety critical failures for selected safety equipment and components. To give guidance on generic availability targets to be used for monitoring and follow up the safety condition of selected equipment and components, as part of normal maintenance and operating activities. To give guidance on testing intervals of safety barriers to comply with the availability targets indicators Ptils vurdering av GL0114 Safety critical failures GL0114 er et etter vår vurdering et dokument som, hvis det etterleves i praksis, vil bidra til en hensiktsmessig oppfølgning av pålitelighet og/eller tilgjengelighet til sikkerhetskritiske elementer. Nedenfor følger imidlertid eksempler som vi for Sleipners del ikke kan se er tilstrekkelig ivaretatt i den dokumentasjon som er oversendt til Ptil ifm tilsynsaktiviteten: I kap 2.2 fremkommer følgende: The Safety Critical Elements (SCE) identified and referred herein do not include all safety related equipment relevant of a facility. The
16 latter shall be subject to inspection, testing and maintenance as part of an overall maintenance program. I den dokumentasjonen som er mottatt fremkommer det etter vår vurdering ikke hvilke andre sikkerhetskritiske elementer som er gjeldende på Sleipner enn de som i GL0114 er definert på generelt grunnlag. Eksempelvis gjelder dette sikkerhetskritiske tilbakeslagsventiler. I Kap. 2.4.2 fremkommer følgende:. all new safety related functions require Safety Integrity Levels (SIL) to be allocated and the PFD estimates to be established in accordance with relevant standards such as IEC 61511. I den dokumentasjonen som er mottatt fremkommer det etter vår vurdering ikke hvilke SIL krav som er etablert til nye sikkerhetsfunksjoner, eksempelvis pga modifikasjonsprosjekter, og hvordan sikkerhetsfunksjoner med SIL krav følges spesifikt opp. Ptil har gjennom samtaler med relevant personell fått opplyst at nytt testintervall for blowdownventiler er planlagt satt til å være 2 årlig. GL0114 tilsier initielt testintervall på 12 måneder, men åpner for lengre intervall basert på vurdering som beskrevet i GL0114 kapittel 2.4. (Testintervall på 12 måneder er i samsvar med veiledning til aktivitetsforskriften som tilsier fullskala funksjonsprøve av alle deler av sikkerhetsfunksjonen minst èn gang i året). Videre har Ptil fått opplyst at Sleipner ikke tester trykkavlastningsventiler med differansetrykk, og fra TTS funn i 2003 fremkommer at dette innebærer usikkerhet med hensyn til avdekking av eventuelle feil. Ptil har bedt om en redegjørelse fra Statoil på hvilket konkret beslutningsunderlag (inkludert resultater fra pålitelighetvurderinger/ analyser) som ligger til grunn for 2 årlig testintervall (funksjonstest) for blowdownventiler. Til dette har Statoil i hovedsak svart: I 2006 ble det gjort en oppsummering av erfaringer fra årlige tester. Vurderingen ble utført som en kvalitativ gjennomgang av testresultater, tilbakemeldinger i SAP og intern vurdering blant gruppen av testdeltakere de siste år. Referanse til endringsmelding i SAP (M5 40574168). Angitt TTS funn i 2003 er relatert til generelle erfaringer i Statoil knyttet til operasjon av tilsvarende type trykkavlastingsventiler (Orbit) som man har på SLT. Sleipner har ikke erfart tilsvarende utfordringer. For testresultater fra de siste årene, henviser vi til vedlagte oversikt som viser oppførselen til ventilene ved hendelser og tester i perioden fra 2008 og frem til i dag. Ved de to angitte hendelsene, testes trykkavlastingsventilene ved normalt differansetrykk. Det må her merkes at Event/alarm loggesystemet ble noe påvirket av ustabilitet og datafeil i perioden desember 2009 til juni 2010. Alle trykkavlastingsventilene på Sleipner kan også åpnes fra kontrollrom via kontrollsystemet. Erfaringer herfra skal også føres inn i observasjonene for de årlige testene. Ptil vil påpeke at GL0114 krever kvantitative vurderinger for å avklare om test intervall kan endres, og at vi ikke kan se at Sleipner har gjennomført dette. Ptil har også observert at en viktig forutsetning for vurdering og etablering av akseptkriterier for intern lekkasjerate gjennom nødavstengningsventiler, er at trykkavlastning blir gjennomført. Med denne avhengighet blir trykkavlastningssystemet ekstra viktig. Oppsummering: Ptil har på bakgrunn av den dokumentasjonen som Statoil har fremlagt (listet under), og gjennom videre avklaringer med selskapet, vurdert hvorvidt Sleipner ivaretar kravet om en klar sammenheng mellom risikoanalyser og strategi og spesifikke ytelseskrav til barriereelementer.
17 TR1055 Performance Standards for Safety systems and Barriers Offshore TR1055 Tillegg for Sleipner TR1030 Filosofi og prinsipper for sikkerhetssystemene på Sleipnerfeltet GL0114 Safety critical failures Basert på de vurderinger vi har gitt til hvert enkelt dokument, kan vi ikke se at regelverkskravet i styringsforskriften 5 er tilstrekkelig ivaretatt. Styringsforskriften 5 om barrierer der det fremkommer at operatøren eller den som står for driften av en innretning eller et landanlegg, skal fastsette de strategiene og prinsippene som skal legges til grunn for utforming, bruk og vedlikehold av barrierer, slik at barrierenes funksjon blir ivaretatt gjennom hele innretningens eller landanleggets levetid. Det skal være kjent hvilke barrierer som er etablert og hvilken funksjon de skal ivareta, samt hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendige for at den enkelte barrieren skal være effektiv.
18 5.2 Forbedringspunkter 5.2.1 Bruk av passiv brannbeskyttelse i A-60 brannskille Forbedringspunkt: Mulige mangler er påvist ved passiv brannbeskyttelse i brannpumperom og nødgeneratorrom. Under befaringen på Sleipner fremkom at den passive brannbeskyttelsen (PBB) for brannpumperom og nødgeneratorrom er påført på innsiden av brannskillet. A-60 kravet tilknyttet brannbeskyttelsen av sikkerhetskritiske rom er å beskytte rommets funksjon mot hendelser fra utsiden. Det vil derfor etter Ptils vurdering være naturlig at PBB var påført utsiden av brannskillet. En løsning med PBB på den ene siden vil hindre utstråling på baksiden og dermed medføre økt temperatur på ueksponert side. Vi refererer også til følgende som fremkommer i TR 1055 (PS 10): If passive fire protection is used on only one side of a fire division, and that division is exposed from the unprotected side, the PFP will cause the temperature to become much higher than for an unprotected division. This means that PFP on only one side should generally be avoided if there is a fire risk from both sides. Det er ikke avklart om bruk av passiv brannbeskyttelse på innsiden av A-60 skillet vil medføre at brannskillet vil hindre spredning av flammer og røyk i minst én time av normert brannprøve ved brann på utsiden av rommet. Innretningsforskriften 30 om brannskiller der det fremkommer at rom som har viktige funksjoner og viktig utstyr, samt rom med høy brannrisiko, skal være atskilt fra omgivelsene med brannskiller som har brannklasse tilsvarende den branntype og de dimensjonerende brann- og eksplosjonslastene de vil være eksponert for. I veiledningen fremkommer at brannskiller i rom for brannpumpesystemer bør oppfylle brannklasse A-60. I innretningsforskriften 3 om definisjoner fremkommer at et brannskille av klasse A skal hindre spredning av flammer og røyk i minst én time av normert brannprøve. Styringsforskriften 5 om barrierer der det fremkommer at det skal være kjent hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendige for at den enkelte barrieren skal være effektiv. Det skal være kjent hvilke barrierer som er ute av funksjon eller er svekket. 5.2.2 Eksplosjonsmotstand av passiv brannbeskyttelse Forbedringspunkt: Indikasjon på mangelfull passiv brannbeskyttelse. I TTS rapport fra 2005 fremkommer det at passiv brannbeskyttelse av typen Pyrocrete og tørrisolasjon ikke er dokumentert for eksplosjonsmotstand. I det Sleipner spesifikke tillegget til TR 1055 fremkommer det at det er innvilget unntak (nummer 40586) for dette.
19 I samtaler under tilsynet har det kommet frem at denne type passiv brannbeskyttelse er benyttet i prosessområder. Denne brannbeskyttelsen forutsettes å være intakt i vurderinger som gjøres for å definere hvorvidt ventiler i prosessanlegget er sikkerhetskritiske, og dermed skal ha oppfølging som sikkerhetskritisk utstyr, inklusive lekkasjetesting. En brann i prosessområder vil i mange tilfeller kunne være foranlediget av en eksplosjon. Det er vår vurdering at det er usikkerhet knyttet til om denne typen PBB vil fungere i henhold til de forutsetningene som er lagt til grunn, blant annet i forbindelse med klassifisering av sikkerhetskritiske ventiler. Styringsforskriften 5 om barrierer der det fremkommer at det skal være kjent hvilke krav til ytelse som er satt til de tekniske, operasjonelle eller organisatoriske elementene som er nødvendige for at den enkelte barrieren skal være effektiv. Det skal være kjent hvilke barrierer som er ute av funksjon eller er svekket. Styringsforskriften 17 om risikoanalyser og beredskapsanalyser der det fremkommer at den ansvarlige skal utføre risikoanalyser som gir et nyansert og mest mulig helhetlig bilde av risikoen forbundet med virksomheten. Det skal gjøres nødvendige vurderinger av usikkerhet. Styringsforskriften 22 om avviksbehandling der det fremkommer at den ansvarlige skal registrere og følge opp avvik fra krav i helse-, miljø- og sikkerhetslovgivningen, deriblant avvik fra interne krav som er av betydning for å oppfylle krav i helse-, miljø- og sikkerhetslovgivningen. Det skal tas stilling til avvikenes betydning for helse, miljø og sikkerhet enkeltvis og i forhold til andre avvik. 5.2.3 Testing av barriereelementer Forbedringspunkt: Ved funksjonstest av sikkerhetskritiske ventiler blir ikke alltid resultater av første test rapportert i vedlikeholdssystemet. Ved funksjonstest er formålet å avdekke skjulte feil, og resultatet av en funksjonstest inngår i vurdering av en ventils ytelse (sviktrater). Det fremkom gjennom samtaler med relevant personell at det ikke alltid er resultat av første test som rapporteres i vedlikeholdssystemet. Dette vil etter vår vurdering medføre usikkerhet i estimatet av sviktrater.
20 Aktivitetsforskriften 49 om vedlikeholdseffektivitet der det fremkommer at effektiviteten av vedlikeholdet skal evalueres systematisk på grunnlag av registrerte data for ytelse og teknisk tilstand for innretninger eller deler av disse. Evalueringen skal brukes til kontinuerlig forbedring av vedlikeholdsprogrammet. Statoil krav i GL 00114 kap. 2.3.4 der det fremkommer følgende: The objective for testing safety critical equipment is to reveal hidden failure. Therefore only the outcome of the first test shall be reported in SAP. Maintenance or pre-testing is not allowed before the test. The reported results, i.e. hidden failures, are used for calculation of the failure fractions. 5.2.4 Passiv brannbeskyttelse av 26 EV 030 Forbedringspunkt: PBB jakke som skal beskytte 26 EV 030 var ikke riktig montert. Det ble i tilsynet observert at PBB jakke for 26 EV 030 var åpen på undersiden. Aktivitetsforskriften 25 om bruk av innretninger der det fremkommer at bruken skal til enhver tid være i samsvar med innretningens tekniske tilstand og de forutsetningene for bruk som er lagt til grunn i analysene, jf. styringsforskriften kapittel V. Styringsforskriften 5 om barrierer der det fremkommer at den ansvarlige skal sette i verk nødvendige tiltak for å rette opp eller kompensere for manglende eller svekkede barrierer. 5.2.5 Brannpumper ute av drift Forbedringspunkt: Manglende plan for tiltak ved barrieresvekkelse - brannpumper ute av drift. Brannvannscenario på SLT er ikke beskrevet i WR0213 (Sleipner tillegg: Tiltak ved brannpumper ute av drift). Sleipner tillegg ved brannpumper ute av drift diskuterer ikke brannvannsbehovet på SLT ved vurdering av kompenserende tiltak ved pumper ute av drift. Samtidig har SLT har større dimensjonerende brannvannscenario enn SLA og forsynes av de samme brannpumpene. Styringsforskriften 5 om barrierer der det fremkommer at den ansvarlige skal sette i verk nødvendige tiltak for å rette opp eller kompensere for manglende eller svekkede barrierer.