Revisjonsrapport Rapport Rapporttittel Rapport etter tilsyn med instrumenterte sikkerhetssystemer Gullfaks A Aktivitetsnummer 001050024 Gradering Offentlig Unntatt offentlighet Begrenset Fortrolig Strengt fortrolig Involverte Hovedgruppe Oppgaveleder T-1 Asbjørn Ueland Deltakere i revisjonslaget Bård Johnsen, Espen Landro og Asbjørn Ueland 9.10.2012 Dato 1 Innledning Petroleumstilsynet gjennomførte tilsyn med Statoil 11-13. september 2012. Oppgaven var knyttet til Statoil sin drift av de instrumenterte sikkerhetssystemene på Gullfaks A med fokus på hvordan uavhengigheten mellom de forskjellige sikkerhetssystemene var ivaretatt. Tilsynsaktiviteten ble gjennomført i form av oppstartsmøte og arbeidsmøter med relevant personell fra Statoil. 2 Bakgrunn Barrierer er en av Ptil sine fire hovedprioriteringer. Erfaring viser at aktørene i varierende grad har implementert regelverkets krav til barrierer. Robustgjøring av barrierer i de ulike faser i et anleggs livssyklus har utviklet seg i forskjellig retning og har forskjellig modenhet. Svikt og svekkelser i et eller flere barriereelementers ytelse er en gjennomgående årsaksfaktor ved hendelser. Dette krever større oppmerksomhet og tettere oppfølging både fra aktørene og myndighetene for å sikre kontinuerlig forbedring. Uavhengighet i sikkerhetssystemene er viktig for å sikre nødvendig robusthet og at enkeltfeil ikke medfører svekkelser eller tap av barrierer. 3 Mål Formålet med tilsynsaktiviteten var å følge opp hvordan Statoil sikrer at de instrumenterte sikkerhetssystemene på Gullfaks A møter relevante myndighetskrav, anerkjente standarder og retningslinjer samt selskapets egne krav og prinsipper. I tilsynet ble det lagt vekt på at Statoil som organisasjon og de enkelte som har definerte roller knyttet til de instrumenterte sikkerhetssystemene har forståelse for hvilke utfordringer systemene på Gullfaks A innretningen har i forhold til regelverkskrav knyttet til uavhengighet
2 og relevante tiltak for å håndtere disse. Uavhengighet i sikkerhetssystemene er viktig for å sikre at enkeltfeil ikke medfører svekkelser eller tap av barrierer. Samtidig innebærer integrasjon av de ulike delene i sikkerhets- og kontrollsystemene mange operative fordeler, det muliggjør enklere og sikrere drift og gir muligheter for bedre vedlikeholdsstyring og oppfølging. I tilsynet ble følgende tema gjennomgått: Operasjon, testing og overvåkning av nødavstengningsventiler sett i lys av integrasjon av sikkerhets- og kontroll-systemene. Automatiske funksjoner for undertrykking av nedstengningsfunksjoner. Sekvensstyring som inkluderer nødavstengningsventiler. Krafttilførsel og distribusjon i systemene Nettverkstopologi Systemforståelse Applikasjonsforståelse Sikring av kompetanse 4 Resultat Tilsynsaktiviteten ble gjennomført i henhold til plan og var godt tilrettelagt. Våre observasjoner er gjort på grunnlag av mottatte dokumenter, presentasjonene som ble fremlagt og forhold som ble avklart i arbeidsmøtene. I tilsynsaktiviteten identifiserte vi ett avvik knyttet til at prosessikringssystemet ikke opererer uavhengig av andre systemer. Videre identifiserte vi følgende forbedringspunkter: - Kompetansestyring - Forebyggende vedlikehold av instrumenterte sikkerhetssystemer - Teknisk driftsdokumentasjon 5 Observasjoner Ptils observasjoner deles generelt i to kategorier: Avvik: Knyttes til de observasjonene hvor vi mener å påvise brudd på regelverket. Forbedringspunkt: Knyttes til observasjoner hvor vi ser mangler, men ikke har nok opplysninger til å kunne påvise brudd på regelverket. 5.1 Avvik 5.1.1 Prosessikringssystemet Avvik: Prosessikringssystemet opereres ikke uavhengig av andre systemer.
3 Under tilsynet ble vi vist eksempler på logikk som ble benyttet i sammenkoblingen mellom prosesskontrollsystemet og prosessikringssystemet. Det ble vist til styrende dokumentasjon for alarmsystemer for Gullfaks (TR1494) som inneholder logikk som benyttes ved undertrykking av alarm- og trippfunksjoner og sekvensstyring i kompressortoget. I dette dokumentet er det ikke gjort rede for hvorfor denne løsningen sikrer at sammenkoblingen ikke kan gi negative følger i sikringssystemet ved feil i kontrollsystemet eller hvilke begrensninger som gjelder for bruk av løsningen. I den styrende dokumentasjonen for automasjonssystemene (TR3034) er det ikke spesifisert hvordan slike operativt nødvendige funksjoner skal realiseres. Styringsforskriften 5 om barrierer. Innretningsforskriften 34 om prosessikringssystem. Innretningsforskriften 82 nr 2, jamfør krav i «Forskrift om sikkerhets- og kommunikasjonssystemer på innretninger i petroleumsvirksomheten», fastsatt av Oljedirektoratet 7.2.1992, 5 om ikrafttredelsesbestemmelse mv og 19 om prosessikringssystem. 5.2 Forbedringspunkter 5.2.1 Kompetansestyring Forbedringspunkt: Ingeniørstaben sin fagkompetanse inngikk ikke i det etablerte kompetansestyringsverktøyet som skal bidra til å sikre at også ingeniørene på lik linje med fagpersonell, til enhver tid er i stand til å utføre aktivitetene i henhold til helse-, miljø- og sikkerhetslovgivningen. Vi ble vist hvordan verktøyet People@Statoil ga oversikt over kompetansebehov, utestående opplæring og kompetansegap. Imidlertid kunne ikke verktøyet skille mellom individuelle krav og gruppekrav. Dette innebærer at visning av gap ikke nødvendigvis innebærer manglende kompetanse og gir da ikke noen god indikasjon for kompetansestyring. Videre fikk vi opplyst at People@Statoil ikke ble benyttet for kompetansekatalogen for ingeniørene relatert til kontroll- og sikkerhetssystemene. Her var kompetansekartleggingen dokumentert i et excel-dokument. Denne kartleggingen var gjennomført som en del av etableringen av MFO-organisasjonen i 2009. I tillegg til den kompetansebyggingen som avtales mellom den enkelte og overordnede ble det i 2011 etablert planer om et kompetanseløft for denne gruppen bl.a. for å sikre tilstrekkelig kompetanse knyttet til drift av Windowsmiljøet og serverparken. Vi ble fortalt at kompetanseløftet foreløpig ikke var vedtatt. Aktivitetsforskriften 21 om kompetanse
4 5.2.2 Forebyggende vedlikehold av instrumenterte sikkerhetssystemer Forbedringspunkt: Mangler ved systematisk oppfølging og forebyggende vedlikehold av instrumenterte sikkerhetssystemer. Det ble under samtaler og gjennomgang av styrende dokumenter avdekket mangler knyttet til systematisk oppfølging og forebyggende vedlikehold som skal bidra til å opprettholde ytelsen til instrumenterte sikkerhetssystemer. Eksempelvis mangler knyttet til systematisk oppfølging av: a) elektrisk kraftforsyning (24 DC) og endringer i effektforbruk for å hindre overbelasting og uønsket bortfall av strøm til systemene b) interne kraftforsyninger (batterier) c) romtemperatur og kjølebehov som følge av avgitt varme fra systemer og utstyr Vi ble informert om at forhold knyttet til ytelse følges opp i sammenheng med installasjon av nytt utstyr og ved større modifikasjoner, men blir ikke systematisk ivaretatt ved mindre endringer eller forebyggende vedlikehold. Videre fikk vi opplyst at det pågår arbeid med å etablere standardiserte vedlikeholdskonsept for instrumenterte sikkerhetssystemer på konsernnivå og at disse blant annet vil ivareta nevnte forhold. Aktivitetsforskriften 45 om vedlikehold Styringsforskriften 5 om barrierer 5.2.3 Teknisk driftsdokumentasjon Forbedringspunkt: Teknisk driftsdokumentasjon skal foreligge i oppdatert versjon og være kjent av driftspersonellet Under tilsynet ble det gjort rede for hvordan de forskjellige systemene som ivaretok sekundær prosessikring var koblet sammen med kontrollsystemet. Det ble også gjort rede for at enkelte ventiler innehar flere sikkerhetsfunksjoner avhengig av driftsmodus. Det var god systemforståelse hos enkeltpersoner, men det fremkom ikke om disse tekniske løsningene er tilstrekkelig dokumentert og gjort kjent for driftspersonellet. Aktivitetsforskriften 20 om oppstart og drift av innretninger
5 6 Andre kommentarer Det har vært betydelige modifikasjoner og endringer i driftsmodus på Gullfaks A siden oppstarten i 1986, men kravet til lukketiden på ESD ventiler synes å være basert på opprinnelig design. 7 Deltakere fra Petroleumstilsynet Bård Johnsen (fra fagområdet prosessintegritet, elektro) Espen Landro (fra fagområdet prosessintegritet, prosess) Asbjørn Ueland (fra fagområdet prosessintegritet, instrumenterte sikkerhetssystemer, oppgaveleder) 8 Dokumenter Følgende dokumenter ble benyttet under planlegging og gjennomføringen av aktiviteten: 1 Organisasjonskart 2 Drift og modifikasjon av SAS 3.1 TR1055 Performance Standards for Safety Systems and Barriers 3.2 TR3034 Safety and Automation System 3.3 TR3138 Testing and inspection of safety instrumentet systems including safety related valves 3.4 GL0114 Sikkerhetskritisk feil 3.5 TR1494 Alarm system 3.6 TR1494 Addendum to Gullfaks 3.7 TR1366 Tekniske krav Brann og Gass deteksjon Gullfaks 3.8 GFX-1-S-SP-002 SPESIFIKASJON FOR NØDAVSTEGNING (NAS) OG PROSESSAVSTEGNING (PAS) FOR GULLFAKS A, B OG C 3.9 TR1575 PROSS spesifikasjon for Gullfaks 3.10 TR1212 substitutt for Gullfaks 4 Kompetansetansestyring_tilsyn 5.1 Nettverksdiagram for Prosess, PAS 5.2 Nettverksdiagram for Sikkerhetssystemer 5.3 Nettverksdiagram sjøkabel 5.4 Topologitegning klient server nett 5.5 Single line UPS 5.6 Operation procedure UPS 6.1 NAS Hierarki tegningsoversikt 6.2 NAS Hierarki Følgende dokumenter ble mottatt under tilsynet: SO0610 Testing av nødavstengnings- og trykkavlastningsventiler på Gullfaks
6 Oversikt over åpne TTS-funn Opplæringsplan (generelle kurs) for en gruppe nyansatte i MFO Vedlegg A Oversikt over intervjuet personell.