Transcript Seveso III

IPS workshop 2014
Seveso III
Nya krav på säkerhetsrapport
Blenda Weibull
IPS
IPS workshop 2014
1
INTRESSENTFÖRENINGEN FÖR PROCESSÄKERHET
Allmänt



Seveso III träder i kraft 1 juni 2015
Statlig utredning för att implementera i
svensk lagstiftning pågår – klar 1 april 2014
Viktigaste skillnaderna:



Implementering av CLP – klassificering av
kemikalier
Förbättrade informationsmöjligheter för
allmänheten
Striktare krav på inspektionsmyndigheterna
IPS
2
IPS workshop 2014
INTRESSENTFÖRENINGEN FÖR PROCESSÄKERHET
1
IPS workshop 2014
Nya krav på säkerhetsrapporten

Förtydligande/utvidgning av dominoeffekter



Bästa praxis


Andra verksamheter, ej Seveso
Driftorsaker - yttre orsaker – naturliga orsaker
”Beskrivning av processerna, särskilt förfaringssätten varvid i
förekommande fall hänsyn tas till uppgifter som finns att tillgå om
bästa praxis”
Tidigare olyckor

”En granskning av tidigare olyckor och tillbud med samma ämnen
och processer, överväganden om lärdomar från dessa och en
uttrycklig hänvisning till specifika åtgärder som har vidtagits för
att förebygga sådana olyckor”
IPS
3
IPS workshop 2014
INTRESSENTFÖRENINGEN FÖR PROCESSÄKERHET
Fördelar med det nya kravet om
tidigare olyckor



Stödjer öppenhet om olyckor och lärdomar
Stödjer utveckling av verktyg för
informationsutbyte
Stödjer lärandeprocessen från olyckor
IPS
4
IPS workshop 2014
INTRESSENTFÖRENINGEN FÖR PROCESSÄKERHET
2
IPS workshop 2014
”Tidigare olyckor med samma
ämnen och processer”


Både egna och ”andras” olyckor
Egna åtgärder
Några funderingar:
 Hur långtgående, hur detaljerat?
 Hur skaffa kunskap?
Behov av samverkan via branschorganisationer,
licensgivare etc.
IPS
5
IPS workshop 2014
INTRESSENTFÖRENINGEN FÖR PROCESSÄKERHET
Att hitta information
eMars:

EU-databas för rapporterbara incidenter enligt Sevesolagstiftningen
https://emars.jrc.ec.europa.eu/

MAHB: informationssida EU/Seveso http://ipsc.jrc.ec.europa.eu/?id=503
ARIA: fransk databas för industriolyckor, en hel del även på engelska

http://www.aria.developpement-durable.gouv.fr

ZEMA: tysk databas för rapporterbara incidenter enligt tysk Sevesolagstiftning,
endast tyska http://www.infosis.uba.de/index.php/de/zema/index.html


årssammanställningar: http://www.umweltbundesamt.de/publikationen (sök på ZEMA)
JST:japansk databas på engelska, detaljerad, till och med 2005
http://www.sozogaku.com/fkd/en/
IPS
6
IPS workshop 2014
INTRESSENTFÖRENINGEN FÖR PROCESSÄKERHET
3
IPS workshop 2014
Att hitta information

CSB: amerikanska haverikommissionen för kemikalieolyckor www.csb.gov

Hint: Nyhetsdatabas över nyligen inträffade olyckor, ej uppdaterad sedan juli
2013 http://www.saunalahti.fi/ility/

WOAD: offshore-industrins databas, administreras av DNV, avgift

HSE: nyare stora olycksutredningar i Storbrittanien
http://www.hse.gov.uk/comah/investigation-reports.htm

IChemE: äldre stora olycksutredningar I Storbrittanien
http://www.icheme.org/resources/safety_centre/products/hse_accident_reports.aspx

Lastfire: http://www.lastfire.co.uk/ databas för tankbränder, endast för medlemmar
IPS
7
IPS workshop 2014
INTRESSENTFÖRENINGEN FÖR PROCESSÄKERHET
4
29.01.2014
E.ON Värme Sverige AB
Turbinhaveri Åbyverket den 6 oktober 2012
IPS workshop 140128
Jonas Elliot, Underhållsingenjör E.ON Värme
E.ON Värme
Ett 40-tal fjärrvärmenät från
Malmö i söder till Vilhelmina i norr
g
Stefan Håkansson, VD E.ON Värme
1
29.01.2014
Bakgrund
Projekt ”Bio70” E.ON Värme Sverige AB
Åbyverket, Örebro:
 70 MW biobränsle FB Panna (Andritz)
 24 MWe /46 MWv mottrycksturbin(TGMKanis)
 Varvtal 6800 rpm / 1500 rpm
 Ångdata: 140 bar / 540oC
 Planerat övertagande 12/12 2012
3
Åbyverket 2012 – efter ombyggnaden
Ånga Fjärrkyl
a
Fjärrvärme
20+20
MW
Elpanna 1
VP1
Elpanna 2
VP2
G4
G3
El
Elpanna 3
El
105 MW
24 MW
KM
10+10+20
MW
RGK
30 MW
RGK
16 MW
BIO70
70 MW
Biobränsle
ÅP4
290 MW
Olja
ÅP5
170 MW
HVP1
140 MW
Biobränsle
Olja
När ÅP4+ÅP5 körs samtidigt mot turbin kan
max 200 MWv och 100 MW el produceras
2
29.01.2014
Varm driftsättning av turbin G4 den 6/10 2012 resulterar
i turbinhaveri och stora skador på Åbyverket





Leveratören TGM driftsätter turbinen 6 oktober.
Turbinen går under normaldrift under dagen med låga vibrationer
Kl 15.30 påbörjas test av turbinens övervarvsskydd.
Under detta prov förlorar driftsättarna kontrollen över turbinen
På några sekunder totalhavererar turbinen (”explosionen”). Lösa
delar slungas ut från området mellan turbin och växellåda.
Aggregatets huvudmatningsledning för smörjolja slås sönder och den
utströmmande oljan antänds. TGM driftsättningsledare stoppar
turbinens elektriska smörjoljepumpar.
 Kontrollrumspersonalen agerar snabbt och tar Åbyverket ur drift till
säkert läge innan de evakuerar kontrollrummet.
 …men branden pågår nästan 6 timmar
5
Följdeffekter av haveriet då det kunde överblickas
 Inga fysiska personskador
 Turbinhallstaket allvarligt skadat
 Åbyverket i stort sett ur drift
 1028 kablar (kraft- och signalkabel)
skadade
 Direkt högre produktionskostnader
eftersom ÅP5 och G3 påverkades.
Försening av övertagandet av nya
panna P6 med ca 3 mån.
 Återställningsarbetet var
komplicerat och innehöll flera
riskmoment. Ofta moment 22
 Fokus på ”Safety First” har varit
ledstjärna och säkrat att återställningsarbeten kunnat ske utan
personskador
6
3
29.01.2014
Intervjuer och ögonvittnesskildringar
 Maskinen varvar plötsligt hastigt upp
 Inom några sekunder åtföljt av kraftigt ljud
 Explosion och flammor slår upp från området mellan turbin och generator
 Ett smattrande ljud hörs vid två tillfällen, troligen strax före explosionen (inte
helt säker turordning då flera vittnen påpekade att det ju skedde väldigt
snabbt)
 En våldsam eldsvåda i turbinhallen
 Evakuering av byggnaden
7
Sekvensen för varma prov den 6/10 2012
Turbinhaveri
Turbine speed
9000
15:54:10
8000
7000
speed [rpm]
Generator provning
Upprull
ning
6000
5000
4000
Övervarvsprov
3000
Baxning
2000
1000
16:30:00
16:00:00
15:30:00
15:00:00
14:30:00
14:00:00
13:30:00
13:00:00
12:30:00
12:00:00
11:30:00
0
Time [s]
8
4
29.01.2014
Händelselistor – utdrag av noterbara händelser












Fel i varvtalsmätning (som framgick av loggar i ABB 800xA)
Ökning av ångflöde, hög laständringshastighet
Höga vibrationer turbinlager högtryckssidan
“Bladet skydd” – begränsningslogik i ingrepp
Bortfall av vibrationsmätning på turbinens lågtryckssida och växelns
högvarvssida.
Höga vibrationer växel lågvarvssida och på båda generatorsidorna
Automatisk turbintripp, oklart vilken orsak
Lågt oljetryck
Nödstopp turbin aktiverat
Bortfall av lägesindikator snabbstängningsventil
Bortfall vibrationsgivare växel lågvarvssida
Manuellt stopp av AC and DC oljepumpar
9
Varvtalsmätning och övervarvsskydd “DOPS” (Digital Over
Speed Protection)
Emergency
stop
Pressure
exhaust #1
DOPS
DCS trips
+24 VDC
Hydraulic
module
10
5
29.01.2014
Grundorsaken – Felaktig anslutning av DOPS
11
Grundorsak – fel kabelanslutning övervarvskydd DOPS
• Efterföljande tester visar att DOPS enheten I sig
fungerar korrekt
• DOPS övervarvskydd kan inte trippa turbinen
eftersom
• Skyddet återställdes inte före upprullning
• Fel kabelanslutning på alla tre kanalerna
12
6
29.01.2014
Slutsatser DOPS övervarvskydd
 Efterföljande tester i ställverksrummet bekräftar en felfri funktion för den
levererade DOPS utrustningen. Testprocedurernas riktighet har bekräftats
av tillverkaren EPRO.
 DOPS måste ha stått i trippläge redan då maskinen rullades upp för första
gången med ånga. Detta indikeras av gula LED på utrustningens panel.
 Därmed kunde inte övervarvskyddet överhuvudtaget tillföra någon aktiv
funktion, skyddet var i praktiken deaktiverat redan vid starten av turbinen.
 DOPS har en funktion där högsta uppmätta varvtal lagras tills skyddet
återställs. Dessa avlästes till:
 kanal A:
11.284 rpm
 kanal B:
11.281 rpm
 kanal C:
11.277 rpm
13
Bidragende haveriorsak
Resultat – Felaktig varvtalsvisning i styrsystemet
Speed channel 1
Speed channel 3
Test xA800 - DP840 Input card
Speed channel 2
7800
7900
8000
12:45:02
7700
7600
7500
12:44:38
set point
7400
8000,0
12:44:14
9000,0
8100
7000,0
6000,0
rpm
5000,0
4000,0
3000,0
2000,0
1000,0
12:45:50
12:45:26
12:43:50
12:43:26
12:43:02
12:42:38
12:42:14
12:41:50
0,0
Time [s]




Varvtal mäts av tre givare som får pulser av ett tandhjul .
Vid 7500 varv/min. började kontrollsystemet misstolka varvtalet.
Missaräknar pulser
varvtal mot noll
ABB förklarar att den ursprungligen använda filtertiden var olämplig
för den aktuella tillämpningen.
 Efter ändring av ”Filter time”, från 100 till 10 µs, på
pulsingångskortet kunde korrekt funktion verifieras
14
7
29.01.2014
Process data - sammanställning
Speed probe 1
Speed probe 3
Speed probe 2
Steam pressure wheel chamber
Turbine speed / steam pressure
10 sek
9000,0
90
SSV closed
80
7000,0
70
6000,0
60
5000,0
50
40
4000,0
28 kg/s
3000,0
30
live steam flow
boiler
2000,0
20
Steam pressure [bar]
Speed [rpm]
7646
7486
8000,0
8086
10
1000,0
0
15:54:20
15:54:17
15:54:14
15:54:11
15:54:08
15:54:05
15:54:02
15:53:59
15:53:56
15:53:53
15:53:50
0,0
Time [s]
15
Öppning av turbinen i Nürnberg, 21/1 2013
Ledskenor steg 27
Turbinskovlar steg
27
Skovlar steg 28
16
8
29.01.2014
Inspektion av turbinen i Nürnberg, 21/1 2013
Labyrintkant synlig på
skadad skovelring
Labyrintkant bortslipad på
samma skovelringen
 Hård iskärning !
17
Materialundersökningar – Turbinaxel
Karakteristiskt brott vid övervarvsskada
1
Segt laminärt brott
(LCF)
2
Sprött brott
3
Hålkäl enligt
ritning:
R = 2.5 mm
3
18
9
29.01.2014
ÅF : Slutsatser 1/2
• DOPS var inte aktivt på grund av två orsaker
• Trippläget återställdes ej
• Fel utgång från DOPS ansluten till säkerhetskedjan
• DOPS funktionen testades uppenbarligen aldrig som det
föreskrivs i TGM:s driftsättningsinstruktion
• Parametersättning för 800xA ingångskorten var felaktig vilket
orsakade fel i varvtalsöverföringen som i systemet tolkades
som snabbt minskande varvtal och resulterade i mycket hastigt
ångpådrag och varvtalsökning
• Design av rotoraxel är acceptabel men kan förbättras.
• Tillverkningen av turbinaxeln behöver kontrolleras
• Förbättringar i turbinens styrsystem behövs på mjukvarusidan,
speciellt avseende utcheckning o provning.
• Generellt måste driftsättningsrutinerna förbättras.
ÅF: Slutsatser 2/2
• Med en korrekt inkopplad DOPS funktion är det troligt att felet
som fanns i parametersättningen för DP840 ingångskortet
aldrig upptäckts eftersom DOPS hade trippat turbinen före
eller samtidigt som felet i signalbehandlingen uppstår.
• Rent teoretiskt är det heller inte troligt att haveriet inträffat om
felet i varvtalsmätning i styrsystemet inte funnits. Detta
baseras på antagandet att driftsättningspersonalen insett att
det var något fel i DOPS funktionen i tid och i ett scenario med
långsam och kontrollerad varvtalssökning och då varvtalet
passerar trippgränsen 7.476 rpm med marginal följaktligen
manuellt (nödstopp) stoppat maskinen och felsökt.
• Det var alltså kombinationen av dessa två fel som möjliggjorde
turbinhaveriet
10
29.01.2014
En ny G4 - ”Mark 2” – är på plats
 Levereras till Åbyverket i början av december 2013. Driftsättning o fasning
under mars 2014.
 Tillägg till ursprungligt kontrakt
 Mekaniskt övervarvskydd kompletterar det digitala skyddet.
 Utökning av driftsättningsrutinerna med en inledande ”SAT 0” som
beställaren bevittnar. Striktare ”sign-off” i driftsättningsfasen.
 Splitterskydd över höghastighetskopplingen
 Förbättringar i turbinregulatorns logik
 Ändrad layout för oljeledningar på turbinfundamentet
 Utökad kontrollplan
 Smärre modifieringar av infästning av axiallager.
 Dimsläcksystem Ultra Fog runt turbinen
 Varvtalsmätning även på lågvarvssidan
21
11
2014-01-29
Propanutsläpp via
kaustiktank
6G-3– 6C-5
Ventil som öppnades av misstag
1
2014-01-29
6G-3
FU 1306 propanutsläpp teknisk del
2
2014-01-29
31F-20
Händelseförloppet
3
2014-01-29
Händelseförlopp
• Pump 6G-3 Propan tvätt med lut har havererat och
ställs av för underhållsarbete
• Prover på butan håller inte kvalitén
• Skiftet tror att det är låg nivå i lutbehållaren och fyller
på
• Nivån bevakas endast med synglas ”svårt att se nivån”
• Behållaren blir full och man får lut med sig med
propanet. Får dränera lutet i ett filter med jämn
tidsintervall
Händelseförlopp
• Pumpen kommer tillbaka från UH och man vill först
tömma nivån till normal nivå.
• Får problem med detta pga. att de behållera man skall
tömma till är fulla
• Avslutar dränering och börjar öppna upp tryck och sug
sida. Av misstag öppnas även fyllningsledningen från
lagringstanken.
• Två operatörer på plats och när pumpen startar
upptäcker en av dem att trycket försvinner och anropar
kontrollrummet. Även kontrollrummet upptäcker detta
genom ett larm.
4
2014-01-29
Händelseförlopp
• Den andra operatören går fram till filtret för att
kontrollera om det kommer vätska från detta filter som
rykts med från tvätten
• Det kommer endast gas, vilket förvånar operatören och
han anropar kontrollrummet om de kan se flödet ut till
lagringstank.
• Kontrollrummet tittar på ett flöde där det står Propan till
lager, men i självaverket är det propan innan tvätt. Det
finns en flödesindikering längre fram som visar 0.
• Operatörerna lämnar platsen och påbörjar ett annat
arbete.
Händelseförlopp
• Tre timmar senare får operatören ett anrop om att
provköra brandvatten pump
• Efter 10 minuter kommer ett nytt anrop om att
ångpannans syrehalt svänger. Operatören cyklar ner
och ser att ”luften dallrar”
• Operatören hämtar en personburen gasmätare samt att
två operatörer följer med.
• Gas detekteras 50 m från ångpannan. Man ser inte var
gasen kommer ifrån? Larm till kontrollrum om
gasutsläpp
5
2014-01-29
Händelseförlopp
• Tre operatörer cyklar runt anläggningen och ser att
gasen kommer från lutlagringstanken. En vattenkanon
startas och riktas mot tanken
Händelseförlopp
• Kontrollrum och operatörerna undersöker vad som går
från/till tanken och stänger alla ventiler i varje bana.
• Gasutsläppet upphör omedelbart efter att man stängt
från LPG anläggningen. Efter en stund kommer
operatören ”som varit med och tagit pumpen i drift” på
att fel ventil har öppnats och stänger den.
• Därefter sker en kontrollerad tömning av tanken på
propan
6
2014-01-29
6G-3
Orsakskategori MTO
•
Människa:= Överfyllning av propantvätt 6C-5 (indirekt orsak eftersom detta
moment är ett som en operatör kanske utför 1 ggr/6 år), öppning av fel ventil
vid pump 6G-3, jobbanalys ej genomförd
•
Teknik: Otäta backventiler, avsaknad av låssystem på ventil för att förhindra
misstag av oavsiktlig öppning av ventil, ingen nivåmätning i 25D-1 och 6C-5
till kontrollrummet, smutsigt och felvisande synglas vid 6C-5 luttvätt, ingen
fast gasdetektor vid väg 10, bristande skyltning/märkning,
•
Organisation: Utbildnings och kompetens, reducerad summa kompetens då
många nya på skift, otydliga regler för hur länge man kan behålla en
kompetens, otydliga regler för hur många anläggningar man kan ha samtidigt
som man skriver arbetstillstånd, oklarheter kring larmning extern och internt,
jobbanalysen efterfrågas inte av skiftledningen
7
2014-01-29
Konsekvenser
• Omfattning och skador:
Inga
• Miljöpåverkan:
Utsläpp av 22 m³ propan
• Ekonomiska konsekvenser:
• Ökade kostnader: 27.000 SEK
• Förlorade intäkter: 65.000 SEK
Rekommenderade åtgärder
• Sällan förekommande arbetsuppgifter skall
alltid föregås med skriftliga jobbanalyser
• Operatörskompetensen skall kontrolleras på
nytt vid frånvaro från utcheckad anläggning
• Arbetstillståndsskrivning och kontroll av
anläggning ses över
• Fasta handledare
8
2014-01-29
Rekommenderade åtgärder
• Se över befintlig analys över bemanning
• Oberoende utcheckning av operatörer av
driftingenjörer
• Sammankalla till möten där skiftchef och
insatsledare möts
Rekommenderade åtgärder
• Nivåmätning på 6C-5, kompletteras med hög
och lågnivålarm.
• Installera låssystem på ventiler på färsk
kaustik till både 6C-5 och 12C-12.
• Underhåll på backflödesventilerna vid stopp.
• Installera TSV:er på ledningarna med färsk
kaustik mot anläggning 6 och 12.
• Installera en fast gasdetektor vid väg 10.
9