Revisjonsrapport Rapport Rapporttittel Aktivitetsnummer Rapport etter tilsyn med instrumenterte sikkerhetssystemer Gjøa 027153021 Gradering Offentlig Unntatt offentlighet Begrenset Fortrolig Strengt fortrolig Involverte Hovedgruppe Oppgaveleder T-2 Asbjørn Ueland Deltakere i revisjonslaget Jorun Bjørvik, Torleif Husebø, Espen Landro, Liv Ranveig Nilsen Rundell og Asbjørn Ueland Dato 1. Innledning Petroleumstilsynet gjennomførte tilsyn med GDF Suez 4.-6. september 2013. Oppgaven var knyttet til GDF Suez sin oppfølging av de instrumenterte sikkerhetssystemene på Gjøa med fokus på hvordan uavhengigheten mellom de forskjellige sikkerhetssystemene ble ivaretatt. Tilsynsaktiviteten ble gjennomført i form av oppstartsmøte og arbeidsmøter med relevant personell fra drift-organisasjonen til GDF Suez. 2. Bakgrunn Barrierer er en av Ptil sine fire hovedprioriteringer. Erfaring viser at aktørene i varierende grad har implementert regelverkets krav til barrierer. Robustgjøring av barrierer i de ulike faser i et anleggs livssyklus har utviklet seg i forskjellig retning og har forskjellig modenhet. Svikt og svekkelser i et eller flere barriereelementers ytelse er en gjennomgående årsaksfaktor ved hendelser. Dette krever større oppmerksomhet og tettere oppfølging både fra aktørene og myndighetene for å sikre kontinuerlig forbedring. Uavhengighet i sikkerhetssystemene er viktig for å sikre nødvendig robusthet og at enkeltfeil ikke medfører svekkelser eller tap av barrierer. 3. Mål Formålet med tilsynsaktiviteten var å følge opp hvordan GDF Suez sikrer at de instrumenterte sikkerhetssystemene på Gjøa møter relevante myndighetskrav, anerkjente standarder og retningslinjer samt selskapets egne krav og prinsipper. I tilsynet ble det lagt vekt på at GDF Suez som organisasjon og de enkelte som har definerte roller knyttet til de instrumenterte sikkerhetssystemene har forståelse for hvilke utfordringer
2 systemene på GDF Suez innretningen har i forhold til regelverkskrav knyttet til uavhengighet og relevante tiltak for å håndtere disse. Uavhengighet i sikkerhetssystemene er viktig for å sikre at enkeltfeil ikke medfører svekkelser eller tap av barrierer. Samtidig innebærer integrasjon av de ulike delene i sikkerhets- og kontrollsystemene mange operative fordeler, det muliggjør enklere og sikrere drift og gir muligheter for bedre vedlikeholdsstyring og oppfølging. I tilsynet ble følgende tema gjennomgått: Automatiske funksjoner for undertrykking av nedstengningsfunksjoner. Sekvensstyring som inkluderer ventiler styrt av sikkerhetssystemene. Operasjon, testing og overvåkning av sikkerhetskritiske ventiler sett i lys av integrasjon av sikkerhets- og kontroll-systemene. Krafttilførsel og distribusjon i systemene Nettverkstopologi Systemforståelse Applikasjonsforståelse Sikring av kompetanse i drift 4. Resultat Tilsynsaktiviteten ble gjennomført i henhold til plan og var godt tilrettelagt. Våre observasjoner er gjort på grunnlag av mottatte dokumenter, presentasjonene som ble fremlagt og forhold som ble avklart i arbeidsmøtene. I tilsynsaktiviteten identifiserte vi to avvik i forhold til: Avvik godkjent i prosjekt Manglende kompetansekrav til arbeid på sikkerhetssystemer Rapporten inneholder i tillegg tre punkter hvor det er potensial for forbedringer. 5. Observasjoner Ptils observasjoner deles generelt i to kategorier: Avvik: Knyttes til de observasjonene hvor vi mener å påvise brudd på regelverket. Knyttes til observasjoner hvor vi ser mangler, men ikke har nok opplysninger til å kunne påvise brudd på regelverket.
3 5.1. Avvik 5.1.1. Avvik godkjent i prosjekt Avvik: Det er gitt interne avvik fra krav i regelverket. I prosjektfasen er det gitt interne avvik fra krav til uavhengighet i sikkerhetssystemene og krav om å ikke ha funksjoner i nødavstengningssystemet som ikke er relatert nødavstengningen. Nedstengningssignaler fra brann og gass-systemet og fra nødavstengningssystemet blir sendt over felles nettverk. Denne funksjonen har høy integritet men innebærer at sikkerhetsfunksjonene er avhengig av at felles nettverk fungerer. Nødavstengningssystemet inneholder forriglingsfunksjoner for innløpsventilene. Dette er ikke en nødavstengningsfunksjon. Behovet for avvikene er referert i systemdokumentasjonen og er håndtert i prosjektorganisasjonen og av utbygger. Det er imidlertid ikke dokumentert at det er gjort noen avklaring med Petroleumstilsynet knyttet til disse forholdene. Innretningsforskriften 33 om nødavstengningssystem Styringsforskriften 22 om avviksbehandling Rammeforskriften 70 om unntak 5.1.2. Kompetansekrav til arbeid på sikkerhetssystemer Avvik: Det var ikke sikret tilstrekkelig kompetanse for betjening av sikkerhetssystem Det var ikke etablert krav til kompetanse for personell som foretok utkoblinger av sikkerhetsfunksjoner på system med SIL-klassifisering. Vi ble gjort kjent med at nødvendig kursing pågikk, men det var ikke etablert krav om at personell i kontrollrommet skulle ha denne opplæringen. Aktivitetsforskriften 21 om kompetanse. 5.2. Forbedringspunkter 5.2.1. Manglende oppdatering av styrende dokumenter Ytelsesstandardene for anlegget reflekterer ikke valgt design og ESD hierarki tegning er kun utgitt i design fasen og ikke utgitt as built..
4 Ytelsesstandardene ble utarbeidet i prosjektet og ble i 2007 utgitt for implementering. To år etter produksjonsstart ble de gitt ut i as built -utgave. Denne utgaven reflekterer ikke hvilke valg som er gjort som følge av vurderinger i forhold til design av anlegget. Eksempler: PS-3, ytelsesstandard for gassdeteksjonssystem, spesifiserer at det er krav om at designprinsipper for gassdeteksjon skal etableres i forhold til relevant gasskarakteristikk og at batterirom skal ha H 2 -deteksjon dersom det kan bli farlige konsentrasjoner. I ytelsesstandarden for gassdeteksjon så vel som for branndeteksjon spesifisert prinsipper for hvordan voting -regler skal endres når detektorer feiler. Disse reglene er ikke implementert i systemene. PS-12, beskriver både car seal system og forriglingssystem for PSV. Burde beskrevet det valgte systemet Styringsforskriften 5 om barrierer og Aktivitetsforskriften 20 om oppstart og drift av innretninger. 5.2.2. Oppfølging av designforutsetninger til sikkerhetssystemene Det var ikke etablert rutiner ved modifikasjonsarbeid som sikrer at 24V-systemene for feltutstyr for sikkerhetssystemene beholder funksjon ved enkeltfeil. I design av sikkerhetssystemene på Gjøa var det etablert strømforsyning med nødvendig redundans, også for strømforsyningen til feltutstyr. I forbindelse med mindre modifikasjoner ble det ikke fulgt opp at denne redundansen ble ivaretatt og det er heller ikke etablert noe vedlikeholdsprogram som verifiserer at strømforsyningen forblir robust mot enkeltfeil. Styringsforskriften 5 om barrierer og Innretningsforskriften 5 om utforming av innretninger. 5.2.3. Oppfølging av risikoreduksjonsberegninger Validiteten i SIL nivåene etter en periode i drift ble ikke vurdert. I design av Gjøa ble det systematisk benyttet IEC 61508 / 61511 og det ble etablert SIL-nivå for en rekke beskyttelsesfunksjoner (equipment under control - EUC). Den risikoreduserende effekten som oppnås ved å allokere SIL nivåer for EUC avhenger av en rekke forutsetninger, som for eksempel behovsrate (demand rate) på systemnivå og forutsetninger fra risikoanalysene på et mer overordnet nivå. GDF Suez bekrefter at det ikke var utført eller planlagt en systematisk gjennomgang for å vurdere validiteten av forutsetningene som i stor grad ble etablert i tidlig fase av prosjektet.
5 Rammeforskriften 11 om prinsipper for risikoreduksjon og Styringsforskriften 5 om barrierer. 6. Deltakere fra Petroleumstilsynet Jorun Bjørvik, prosessintegritet Torleif Husebø, prosessintegritet Espen Landro, prosessintegritet Liv Ranveig Nilsen Rundell, prosessintegritet og Asbjørn Ueland, prosessintegritet, oppgaveleder 7. Dokumenter Følgende dokumenter ble benyttet under planlegging av aktiviteten: Organisasjonskart for Gjøa innretningen og relatert personell i landorganisasjonen GDF_NO-#178688-v1-Org charts Operations_per_16_07_2013 Operasjons- / driftshåndbok for sikkerhets- og kontroll-systemene GDF_NO-#180173-v1-C097-AKG-J-RA-7901 GDF_NO-#178643-v1-SO_bok_System_79_ESD_rev2 GDF_NO-#178644-v1-SO_bok_System_87_PAS-PKS-systemer_rev2 Spesifikk ytelsesstandard for sikkerhets- og kontroll-systemene GDF_NO-#179875-v3-Utvalg_av_PERFORMANCE_STANDARDS Kompetansekrav for personell som arbeider med sikkerhetssystemene GDF_NO-#179883-v1- Copy_of_the_Competence_Matrix_(95805)_for_offshore_and_offshore_EIT Nettverkstopologi GDF_NO-#179884-v1-SAS_Nettverkstopologi Nedstengningslogikk GDF_NO-#179879-v1-ESD_hirearki_for_Gjøa Vedlegg A Oversikt over intervjuet personell.