Automatisme Securite F&G-ESD.pdf

INSTRUMENTATION AUTOMATISME SÉCURITÉ : F&G / ESD

MANUEL DE FORMATION Cours EXP-SI100 Révision 0

Formation Exploitation Instrumentation Automatisme Sécurité : F&G / ESD

INSTRUMENTATION AUTOMATISME SÉCURITÉ : F&G / ESD Sommaire 1. OBJECTIFS .....................................................................................................................8 2. INTRODUCTION – LOGIQUE DE SECURITE ................................................................9 3. DÉTECTION DU FEU ET DU GAZ................................................................................12 3.1. GÉNÉRALITÉS .......................................................................................................12 3.1.1. Définition .........................................................................................................12 3.1.2. Emplacements concernés ...............................................................................12 3.1.3. Fonctions de base ...........................................................................................12 3.1.3.1. Détection ....................................................................................................13 3.1.3.2. Commande (Traitement) : ..........................................................................14 3.1.3.3. Action .........................................................................................................15 3.1.4. Architecture d’un système F&G.......................................................................16 3.2. DETECTION INCENDIE .........................................................................................16 3.2.1. Principes généraux..........................................................................................16 3.2.2. Détecteurs de fumée .......................................................................................18 3.2.2.1. Ioniques......................................................................................................18 3.2.2.2. Détecteurs optiques (ou photoélectriques).................................................20 3.2.2.3. Avertissement rapide de présence de fumée (anticipation) .......................21 3.2.2.4. Points complémentaires concernant les détecteurs de fumée ...................22 3.2.3. Détecteurs de flamme .....................................................................................24 3.2.3.1. Détection des flammes...............................................................................24 3.2.3.2. Détecteurs d’U.V. .......................................................................................26 3.2.3.3. Détecteurs d’I.R. ........................................................................................27 3.2.3.4. Détecteurs d’U.V. et d’I.R...........................................................................28 3.2.3.5. Autres types de détecteurs de flammes .....................................................28 3.2.3.6. Choix des détecteurs de flammes ..............................................................29 3.2.4. Détecteurs de chaleur .....................................................................................31 3.2.4.1. Sprinkler sous eau .....................................................................................31 3.2.4.2. Fusible thermique (spot).............................................................................31 3.2.4.3. Fusibles thermiques (linéaires) ou boucle fusible.......................................32 3.2.4.4. Sprinkler sous air .......................................................................................33 3.2.4.5. Détecteur de chaleur fixe ou thermostatique..............................................36 3.2.4.6. Détecteur de vitesse d’élévation de la température ou thermodynamique .36 3.2.4.7. Détecteurs de vitesse compensée .............................................................37 3.2.4.8. Installation des détecteurs de chaleur :......................................................38 3.2.5. Déclencheurs manuels d’alarme .....................................................................39 3.2.6. Sélection générale des détecteurs de chaleur.................................................40 3.3. DETECTION DES GAZ...........................................................................................41 3.3.1. Aperçu – Généralités.......................................................................................41 3.3.2. Détecteurs de gaz inflammables .....................................................................44 3.3.2.1. Détecteurs du type lit catalytique ...............................................................44 3.3.2.2. Détecteurs du type optique ou à absorption d’IR (en général) ...................45 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 2 de 254


3.3.2.3. Détecteurs du type optique ou à absorption d’IR (par point) ......................46 3.3.2.4. Type optique ou à absorption des IR (à trajectoire linéaire ou ouverte) .....49 3.3.2.5. Sélection des détecteurs de gaz inflammables ..........................................51 3.3.3. Détecteurs de gaz toxiques ou de manque d’oxygène ....................................51 3.3.3.1. Technologie des semi-conducteurs............................................................51 3.3.3.2. Réaction électrochimique : .........................................................................52 3.3.4. Emplacement des capteurs de gaz .................................................................52 3.3.4.1. Type d’emplacement ..................................................................................53 3.3.4.2. Pour les gaz inflammables .........................................................................53 3.3.4.3. Pour les gaz toxiques .................................................................................54 3.3.4.4. Emplacements recommandés pour les détecteurs de gaz inflammables...54 3.4. SURVEILLANCE EN BOUCLE ...............................................................................56 3.4.1. Surveillance en boucle fermée ........................................................................56 3.4.2. Surveillance en boucle ouverte .......................................................................56 4. SYSTEMES D’EXTINCTION .........................................................................................59 4.1. Feu et extinction ......................................................................................................59 4.1.1. Effets des produits d’extinction........................................................................59 4.2. PRODUITS D’EXTINCTION POUR ESPACES FERMES.......................................60 4.2.1. Halons .............................................................................................................60 4.2.2. Dioxyde de carbone ........................................................................................62 4.2.3. Inergen ............................................................................................................63 4.2.4. Utilisation des différents gaz inertes ................................................................64 4.3. PRODUITS D’EXTINCTION POUR ESPACES OUVERTS ....................................67 4.3.1. Eau ..................................................................................................................67 4.3.2. Mousse............................................................................................................69 4.3.3. Berceau « déluge » .........................................................................................69 4.3.3.1. Vanne de régulation « déluge » .................................................................71 4.3.3.2. Systèmes « déluge » à mousse / eau ........................................................76 4.3.3.3. Normes Total concernant les vannes « déluge » .......................................77 4.3.4. Pompes à incendie ..........................................................................................79 4.3.4.1. Normes Total pour les pompes à incendie .................................................79 4.4. CLAPETS COUPE-FEU..........................................................................................83 5. LOGIQUE FEU & GAZ...................................................................................................84 5.1. SYSTEME DE VOTE ET DE COMMANDE.............................................................85 5.1.1. Installations concernées par le vote ................................................................85 5.1.2. Détection .........................................................................................................85 5.1.3. Actions.............................................................................................................89 5.1.4. Matrice des causes et effets............................................................................91 5.1.5. Blocage ...........................................................................................................92 5.2. EXEMPLES DE COMMANDE LOGIQUE ...............................................................93 5.2.1. Dans un espace intérieur ventilé .....................................................................93 5.2.1.1. Application à la protection contre le feu .....................................................93 5.2.1.2. Application à la protection contre les gaz ...................................................94 5.2.2. Dans un espace extérieur................................................................................94 5.2.2.1. Application à la protection contre le feu .....................................................94 5.2.2.2. Application aux gaz ....................................................................................95 5.3. ALERTE A L’ATTENTION DU PERSONNEL..........................................................96 5.3.1. Système PAGA ...............................................................................................96 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 3 de 254


5.3.1.1. Généralités.................................................................................................96 5.3.1.2. Exigences en matière de sécurité ..............................................................96 5.3.1.3. Exigences fonctionnelles............................................................................96 5.3.2. Alarmes visuelles ............................................................................................97 5.3.3. Installations non occupées en temps normal...................................................98 5.4. FONCTIONS LOGIQUES STANDARD...................................................................99 5.4.1. Détecteur de gaz par point – GD.....................................................................99 5.4.1.1. Fonctions - GD ...........................................................................................99 5.4.1.2. Représentation et animation (Interface homme/machine)- GD ................100 5.4.2. Détecteur de gaz à trajectoire ouverte – GDB...............................................103 5.4.2.1. Fonctions - GDB.......................................................................................103 5.4.2.2. Représentation et animation (Interface homme/machine) - GDB.............104 5.4.3. Détecteur de flamme – RD ............................................................................106 5.4.3.1. Fonctions - RD .........................................................................................106 5.4.3.2. Représentation et animation (Interface homme/machine) - RD ...............107 5.4.4. Détecteur de chaleur et de fumée – RDH & RDS..........................................109 5.4.4.1. Fonctions – RDH & RDS .........................................................................109 5.4.4.2. Représentation et animation (Interface homme/machine) – RDH & RDS 110 5.4.5. Système « déluge » – DELUGE ....................................................................112 5.4.5.1. Fonctions – « Déluge » ............................................................................112 5.4.5.2. Ordre d’activation .....................................................................................114 5.4.5.3. Ordre de test ............................................................................................115 5.4.5.4. Comportement fonctionnel standard ........................................................115 5.4.5.5. Représentation et animation (interface homme/machine) – « Déluge »...116 5.4.6. Système d’extinction du feu – Fire Ext ..........................................................121 5.4.6.1. Fonctions et interface – Fire Ext...............................................................121 5.4.6.2. Gestion du mode et des ordres – Fire Ext................................................121 5.4.6.3. Règles de calcul des données internes....................................................122 5.4.6.4. Représentation et animation (HMI) – Fire Ext ..........................................123 5.4.7. Logiques de vote – 2ooN – 2oo3...................................................................126 5.4.7.1. Fonctions – 2ooN – 2oo3 .........................................................................126 5.4.7.2. Représentation et animation (HMI) – Logique de vote – 2ooN.................127 5.4.8. Clapet coupe-feu ...........................................................................................128 5.4.8.1. Fonctions..................................................................................................128 5.4.8.2. Représentation (interface homme/machine) – Clapet coupe-feu .............131 6. GÉNÉRALITÉS SUR LE SYSTÈME ESD ...................................................................135 6.1. TECHNOLOGIE DU SYSTÈME ESD....................................................................135 6.1.1. Raison d’être d’un système de sécurité.........................................................135 6.1.2. Principaux éléments d’un système de sécurité..............................................136 6.1.3. Différentes technologies ................................................................................137 6.1.3.1. Technologie mécanique ...........................................................................137 6.1.3.2. Technologie fluidique ...............................................................................137 6.1.3.3. Technologie électrique / d’instrumentation ...............................................138 6.1.4. Technologie des dispositifs utilisés sur site ...................................................141 6.1.4.1. Contacteurs discrets ................................................................................141 6.1.4.2. Contacteurs électroniques........................................................................141 6.1.4.3. Contrôleur pneumatique marche-arrêt avec capteur intégré ....................142 6.1.4.4. Émetteurs classiques ...............................................................................142 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 4 de 254


6.1.4.5. Émetteurs intelligents ...............................................................................142 6.1.4.6. Émetteurs de sécurité ..............................................................................143 6.1.4.7. Éléments finals.........................................................................................143 6.2. LES DIFFERENTS NIVEAUX D’ARRET...............................................................144 6.2.1. Définition des niveaux d’arrêt ........................................................................144 6.2.2. Différences entre installations à terre / offshore ............................................145 6.2.2.1. ESD-0 ......................................................................................................145 6.2.2.2. Dépressurisation d’urgence (EDP)...........................................................147 6.2.2.3. Coupure de l’alimentation.........................................................................147 6.2.3. ESD-0 (arrêt total) .........................................................................................147 6.2.3.1. Causes de la mise en œuvre de l’ESD-0 .................................................147 6.2.3.2. Actions de l’ESD 0 ...................................................................................148 6.2.4. ESD-1 (arrêt d’urgence de la zone de feu) ....................................................149 6.2.4.1. Causes de la mise en œuvre de l’ESD 1 .................................................149 6.2.4.2. Actions de l’ESD 1 ...................................................................................150 6.2.5. SD-2 (arrêt de l’unité) ....................................................................................151 6.2.5.1. Causes de la mise en œuvre de l’SD 2 ....................................................151 6.2.5.2. Actions de l’SD 2......................................................................................151 6.2.6. SD-3 (arrêt des équipements) .......................................................................152 6.2.6.1. Causes de la mise en œuvre de l’SD 3 ....................................................152 6.2.6.2. Actions du SD 3 .......................................................................................153 7. VANNES ESD / SD......................................................................................................155 7.1. DISPOSITIFS D’ARRET .......................................................................................155 7.1.1. Définition des vannes de sécurité..................................................................155 7.1.1.1. Têtes de puits..........................................................................................155 7.1.1.2. Traitement ................................................................................................155 7.1.2. Temps de réponse ........................................................................................157 7.1.3. Actionneurs ...................................................................................................157 7.1.4. Dérivation des ESDV.....................................................................................157 7.1.5. Boutons-poussoirs.........................................................................................159 7.1.6. Exigences fonctionnelles ...............................................................................160 7.2. EMPLACEMENTS ET PROTECTION PHYSIQUE ...............................................161 7.2.1. Emplacements à terre ...................................................................................161 7.2.2. Emplacements offshore.................................................................................161 7.2.3. Actionneurs ...................................................................................................161 7.2.4. Connexions et corps des ESDV ....................................................................161 7.2.5. Taux de fuite interne des ESDV ....................................................................162 7.2.6. Bunkers pour ESDV ......................................................................................162 7.3. ISOLEMENT PAR ESDV ET SDV.........................................................................163 7.3.1. Isolement des zones de feu (interconnexions) ..............................................163 7.3.2. Isolement des limites de batterie ...................................................................163 7.4. EXIGENCES FONCTIONNELLES SUPPLEMENTAIRES ....................................164 7.4.1. Etat de sécurité .............................................................................................164 7.4.2. Télémétrie .....................................................................................................165 7.4.3. Indication de position.....................................................................................165 7.4.4. Moyens d’essais et de maintenance .............................................................165 7.4.5. Fiabilité des sources d’alimentation...............................................................166 7.4.6. Capacités de redémarrage ............................................................................166 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 5 de 254


7.4.7. Système EDP - Protection et exigences supplémentaires.............................166 7.5. FONCTIONS STANDARD DES VANNES DE SECURITE ...................................167 7.5.1. Vanne d’arrêt de sécurité – SDV (Safety Shut-Down Valve) .........................167 7.5.1.1. Description des interfaces - SDV .............................................................167 7.5.1.2. Ordres et mode opérateur - SDV .............................................................168 7.5.1.3. Définition des statuts................................................................................170 7.5.1.4. Représentation et description de l’animation (Interface homme / machine) SDV.......................................................................................................................172 7.5.2. Vanne d’arrêt d’urgence – ESDV (Emergency Shut-Down Valve) ................176 7.5.2.1. Description des interfaces - ESDV ...........................................................176 7.5.2.2. Ordres de l’opérateur (mode opérateur) - ESDV......................................178 7.5.2.3. Définition des statuts - ESDV ...................................................................178 7.5.2.4. Représentation et description de l’animation (Interface homme / machine) ESDV ....................................................................................................................180 7.5.3. Vanne de purge – BDV (Blow Down Valve) ..................................................184 7.5.3.1. Description des interfaces - BDV .............................................................184 7.5.3.2. Ordres et mode opérateur - BDV .............................................................186 7.5.3.3. Définition des statuts - BDV .....................................................................186 7.5.3.4. Représentation et animation (interface homme/machine) - BDV .............188 8. LOGIQUE SD ..............................................................................................................192 8.1. TECHNOLOGIE DE LA LOGIQUE........................................................................192 8.1.1. Technologie électronique programmable ......................................................192 8.1.2. Redondance ..................................................................................................193 8.1.2.1. Antagonisme sécurité vs. disponibilité .....................................................194 8.1.2.2. Architecture 1oo2 .....................................................................................195 8.1.2.3. Architecture 2oo2 .....................................................................................196 8.1.2.4. Architecture 2oo3 .....................................................................................197 8.1.2.5. Système tolérant aux défauts...................................................................198 8.1.3. Triconex.........................................................................................................198 8.2. ALARMES .............................................................................................................199 8.2.1. Introduction....................................................................................................199 8.2.2. Nombre d’alarmes .........................................................................................200 8.2.3. Liste des alarmes ..........................................................................................200 8.2.4. Hiérarchie des alarmes..................................................................................200 8.2.5. Mémorisation de la première alarme .............................................................201 8.2.6. Masquage des alarmes .................................................................................201 8.3. GESTION DES ALARMES ET DES EVENEMENTS ............................................202 8.3.1. Niveaux des alarmes et des événements......................................................202 8.3.2. Gestion de l’acquittement des alarmes..........................................................203 8.3.3. Événements et valeurs ..................................................................................203 8.3.4. Blocage maintenance ....................................................................................204 8.3.4.1. Généralités...............................................................................................204 8.3.4.2. Instrument de traitement ..........................................................................204 8.3.4.3. Instrument de sécurité..............................................................................204 8.3.5. Blocage du démarrage ..................................................................................204 8.3.6. Ordres de maintenance .................................................................................205 8.3.6.1. Tests des équipements spécifiques .........................................................205 8.3.6.2. Déclenchement de l’entrée maintenance .................................................205 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 6 de 254


8.3.7. Isolement de la barre de sécurité ..................................................................205 8.4. FONCTIONS STANDARD DE LA BARRE DE SECURITE...................................206 8.4.1. Fonctions / interfaces ....................................................................................206 8.4.1.1. Schéma des fonctions ..............................................................................206 8.4.1.2. Liste des fonctions principales .................................................................207 8.4.1.3. Description des interfaces ........................................................................208 8.4.2. Définition des statuts .....................................................................................209 8.4.2.1. Entrées de la barre...................................................................................209 8.4.2.2. Initiateur verrouillé....................................................................................209 8.4.2.3. Initiateur « premier levé ».........................................................................209 8.4.2.4. Statuts de la barre de sécurité .................................................................209 8.4.2.5. Barre de sécurité au statut « isolée ».......................................................210 8.4.2.6. Statut « prête pour réinitialisation »..........................................................210 8.4.3. Fonction blocage maintenance......................................................................210 8.4.4. Ordre de réinitialisation barre ........................................................................211 8.4.5. Fonction blocage du démarrage (optionnelle) ...............................................211 8.4.5.1. Ordre blocage démarrage ........................................................................211 8.4.5.2. Utilisation du blocage du démarrage........................................................212 8.4.6. Sorties de barre.............................................................................................213 8.4.7. Représentation et description de l’animation (HMI) – Barre de sécurité........214 8.5. SYSTEME D’ULTIME SECOURS .........................................................................219 9. APPLICATION - EXEMPLE .........................................................................................222 9.1. LOGIGRAMME ET MATRICE ...............................................................................222 9.2. BARRE DE SECURITE ET P&ID ..........................................................................226 10. SYSTEMES SD - DIVERS.........................................................................................241 10.1. ANNONCIATEUR................................................................................................241 10.2. ENREGISTREUR D’HEURE DES EVENEMENTS OU ENREGISTREUR DE SEQUENCE DES EVENEMENTS ...............................................................................242 10.3. NIVEAU D’INTEGRITE DE SECURITE (SIL : SAFETY INTEGRITY LEVEL).....244 10.3.1. Définitions....................................................................................................244 10.3.2. Objectif ........................................................................................................245 10.3.3. Détermination du SIL...................................................................................245 10.4. CLAPET DE SURPRESSION .............................................................................246 11. GLOSSAIRE ..............................................................................................................249 12. FIGURES...................................................................................................................250 13. TABLES .....................................................................................................................253

Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 7 de 254


1. OBJECTIFS A la fin de ce cours, le participant doit être capable de : Nommer les différents types de détecteurs de feu et de gaz Interpréter les technologies des détecteurs de feu et de gaz Exposer les principes utilisés dans la gestion de la logique du système F&G Nommer les différents principes et technologies utilisés dans la lutte contre les incendies Interpréter l’affichage logique des systèmes F&G Définir les fonctions et technologies du système d’arrêt (SD) Différentier, exposer les principes des différents niveaux d’arrêt Exposer le rôle et la différence des vannes d’arrêt Expliquer le principe des barres de sécurité Interpréter l’affichage du suivi de l’arrêt


Page 8 de 254


2. INTRODUCTION – LOGIQUE DE SECURITE Sur nos sites, l’installation et la commande des équipements de traitement sont gérées par un « concept de sécurité ». La fonction de la discipline d’instrumentation est le « contrôle » de la sécurité des procédés qui s’appuie (principalement) sur deux systèmes : Le système Feu et Gaz L’ESD, système d’arrêt d’urgence Ce sont deux systèmes logiques différents, mais complémentaires et non dissociables sur aucun de nos sites. Nota : sur site, alors que le système ESD couvre les emplacements Sécurité des Procédés, le système Feu et Gaz couvre également les « autres emplacements » tels que : la zone vie, les zones récréation, logement…. etc. Ces deux systèmes sont surveillés par des PLC spécifiques, autonomes, non dépendants d’autres logiques (autres PLC et commandes DCS / PCS). Le but ici n’est pas de présenter le PLC lui-même (du système F&G ou ESD), mais tout PLC ayant (fondamentalement) la même conception. D’autres cours couvrent ce sujet ( (EXP-MN-SI080 pour la logique programmable, SI090 pour la logique des procédés) Nous verrons ici la philosophie générale des systèmes F&G / ESD, ainsi que le matériel installé, en ayant présente à l’esprit la maintenance des équipements pour un technicien en instrumentation. Nous verrons toutefois le principe du PLC TMR (système de redondance à modules triplés) – le « Triconex », qui est un nom de marque de la Société Invensys. Les éléments qui vont être vus dans le détail sont résumés dans la figure « Architecture générale des systèmes F&G + ESD sur un site » Ces éléments (sujets) sont : Pour le système F&G : Détecteurs (gaz, fumée, chaleur, flamme) Principes de base de la logique de sécurité F&G Pompes à incendie et système d’eau pour lutte contre l’incendie (« Déluge », sprinklers, collecteur d’eau en boucle, vannes d’eau pour lutte contre l’incendie,….) Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 9 de 254


Systèmes d’extinction aux gaz inertes (Inergen, CO2, Halon) Clapets coupe-feu Système d’alarme F&G Pour le système ESD : Les différents niveaux d’arrêt Barres de sécurité Principes de base de la logique ESD et de la logique TMR Les vannes SD (SDV, ESDV, BDV,…) Interface systèmes F&G / ESD Triplicated or Duplex PLC

F&G Inputs Manual Call Points Smoke detectors Gas Detectors

F&G

Heat Detectors

Processor

Flame detectors

(for F&G Equipment)

Other parameters (T, P,…etc

F&G inputs to each SD level ESD Inputs Level 0 From process

F&G Alarms Fire Dampers Fire Pumps Jockey Pumps Extinction systems Deluge systems …etc… TMR = Triplicated Modular Redundant

(x) Level 1

ESD

(xx) Level 2 (xxx) Level 3

Water & Foam Water Valves Water Guns CO2 / Inergen Halon Sprinklers …etc…

Processor (for Process)

Specific orders to F&G (Fire dampers as ex.) ESD inputs are either from DCS (Digital Control System), from PCS, (Process Control System), from PSS (Process Safety System), from Packages, from F&G Logic, from manual ESD call points

SDV’s ESDV’s ROV’s BDV’s Process PLC’s …etc… For WHPT’s DHSV = SCSSV = ESDV MV = SSV = ESDV WV = SDV

Figure 1 : Architecture générale des systèmes F&G + ESD sur un site Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 10 de 254


Références : Des documents de spécifications générales Total ont été utilisés pour cette présentation ; une partie de ces documents est reproduite ici. Cependant, ces documents doivent être consultés en complément d’information ; il s’agit (comme références) des documents suivants : GS EP INS 134 : Conception et alimentation du système de commande et de sécurité intégré GS EP INS 135 : Exigences en matière de sécurité cybernétique pour la conception et l’alimentation de l’ICSS et des systèmes de « packages » GS EP INS 150 : Méthode de conception pour les normes de configuration de systèmes GS EP INS 198 : Sécurité et fonctions standards du système feu et gaz GS EP SAF 261 : Arrêt d’urgence et dépressurisation d’urgence GS EP SAF 312 : Lignes directrices pour la sélection et l’installation des systèmes de détection du feu et des gaz GS EP SAF 321 : Stations de pompes à incendie et collecteur principal d’eau pour lutte contre l’incendie GS EP SAF 322 : Systèmes fixes d’eau pour lutte contre l’incendie GS EP SAF 371 : Installations de commande d’urgence Nota : le présent document ne va pas à l’encontre de la Sécurité (ni du Département Sécurité) ; il est axé sur l’instrumentation des systèmes de sécurité et sa maintenance (ainsi que la compréhension de ces systèmes). Glossaire : Veuillez vous reporter à la fin de ce document, au chapitre « Glossaire ».


Page 11 de 254


3. DÉTECTION DU FEU ET DU GAZ 3.1. GÉNÉRALITÉS 3.1.1. Définition Système conçu pour prévenir aussi tôt que possible des incidents suivants et en indiquer l’emplacement : fuite de gaz inflammable. fuite de gaz toxique ou faible niveau d’oxygène. feu ou combustion. et pour déclencher la mise en œuvre d’un moyen d’extinction et mettre l’établissement en configuration de sécurité, avec l’interfaçage (et l’assistance …) du système ESD.

3.1.2. Emplacements concernés Tous les lieux d’un site sont concernés par le système. La protection est différente (ou « adaptée ») selon l’emplacement ou la zone spécifique : Bureau : risque d’incendie « classique ». Local technique: risque d’incendie d’origine électrique. Procédé : feu et fuites de gaz. Lieu confiné : feu, gaz toxique et faible niveau d’oxygène.

3.1.3. Fonctions de base Les équipements de détection, de commande (traitement) et d’action constituent les trois caractéristiques principales du système F&G. Les signaux des capteurs sont centralisés (dirigés) vers le système logique qui identifie, analyse et active les équipements afin que les actions spécifiques opportunes soient mises en œuvre. Afin d’augmenter la fiabilité, toutes les alimentations électriques doivent être connectées à des sources disponibles en permanence (batteries, alimentations non interruptibles), toute Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 12 de 254


la logique doit être assumée par des processeurs redondants. Toutefois, dans certaines configurations de détection spécifiques, toutes les alimentations, y compris les batteries et les alimentations non interruptibles, doivent être à l’arrêt et isolées.

3.1.3.1. Détection Fumée, chaleur, flamme, gaz toxiques et inflammables, MCP (déclencheur manuel d’alarme), … Détection rapide : Un « instant » est suffisant pour qu’un incendie (ou une explosion) causant d’importants dégâts se produise. Par conséquent, la détection doit se faire aussi rapidement que possible. Gaz inflammables ou explosifs : La présence d’un gaz inflammable doit être détectée immédiatement, ceci afin de sécuriser le(les) zone(s) concernée(s) et de lancer l’action qui s’impose pour éliminer le risque d’explosion. Des points de détection déterminés (avec plusieurs niveaux d’alarme) sont fixés bien en dessous de la limite d’explosivité, ceci afin de permettre un temps de « réaction » et d’éviter le point critique. Gaz toxiques : Il s’agit là d’une détection critique. La sécurité du personnel est la priorité numéro un, mais de toutes façons, la présence d’un gaz toxique signifie qu’il y a un « problème » du type fuite, obturation, fonctionnement défectueux, pièces endommagées, etc.… Localisation facile : Une détection rapide n’est pas suffisante ; la connaissance de l’origine exacte du « défaut » permet une réaction plus facile et mieux adaptée, et de gagner un temps précieux pour l’intervention et l’action (si nécessaire). C’est pour cette raison que les sites sont délimités en zones ; ces mêmes zones sont fonction des conditions de traitement, du fonctionnement du site. La signalisation est définie en conséquence.


Page 13 de 254


3.1.3.2. Commande (Traitement) : Cela est effectué par un système spécifique fourni par le fabricant (tableaux feu et gaz) et/ou des PLC (complémentaires) insensibles aux défaillances, reliés au système ESD et au DCS. Ce (s) système(s) de traitement ont les fonctions suivantes : Contrôler l’intégrité des lignes de détection (détection d’un circuit ouvert, de fils rompus) Déclencher les alarmes (sonores, visuelles), l’évacuation. Interconnexion avec le PAGA (Public Address and General Alarm : annonce vocale et alarme générale) (si nécessaire) Déterminer au sein de leur logique les actions à mettre en œuvre Interfacer avec les autres processeurs (système ESD, DCS, PLC de traitement,…) Autoriser le blocage et la dérivation pour les tests et la maintenance Dérivation / blocage : Il s sont conçus pour les tests, les commandes de séquences, les interventions de maintenance dans lesquelles les logiques automatiques restent en ligne. Aucune dérivation / aucun blocage ne peut être effectué sans qu’une demande de travail (spécifique) ait été émise Une procédure d’opération doit couvrir l’utilisation d’une dérivation / d’un blocage Toute dérivation / tout blocage doit être contrôlé par des opérateurs de traitement ainsi que des techniciens de maintenance Toute dérivation / tout blocage doit aboutir à une alarme spécifique, qui elle-même ne pourra pas être bloquée (alarme permanente sur écran ou tableau d’alarme) Ils doivent être supprimés, ramenés aux conditions « normales » une fois l’intervention terminée. Aucune dérivation / aucun blocage ne doit être maintenu « en permanence », sauf quand les conditions de traitement ont changé, et cela doit être approuvé par une procédure écrite ou un document d’autorisation écrit


Page 14 de 254


3.1.3.3. Action La détection et la commande logique doivent déclencher un démarrage automatique (pompes à incendie) et/ou une activation automatique (vannes, électrovannes) des équipements de lutte contre l’incendie. Les actions peuvent être résumées ainsi : Alarmes sonores, visuelles Message par annonce vocale (PAGA) – ordre d’évacuation ou autres messages Equipements d’extinction/de lutte contre l’incendie automatiquement connectés Signaux au DCS, à l’ESD et automatismes de traitement pour des initiatives de conditions de sécurité. Informations à l’équipe de lutte contre l’incendie Sur ce, les fonctions de « sortie » (même chose que pour la détection et la commande) et, pour augmenter la fiabilité, toutes les alimentations, doivent être connectées à des sources disponibles en permanence (batteries, alimentations non interruptibles)


Page 15 de 254


3.1.4. Architecture d’un système F&G Voir la figure : « exemple d’architecture d’une distribution F&G ”

Gas Detectors

ESD System

Flame detectors Heat Detectors Smoke detectors Manual Call Points

Fire Water Pumps

F&G

Power Supply (UPS)

Processor Control System

Inergen CO2 Halon

Audible Alarms PAGA

Sprinklers Deluge network

Figure 2 : Exemple d’architecture d’une distribution F&G

3.2. DETECTION INCENDIE 3.2.1. Principes généraux Fonction de la détection incendie: Déclenchement du processus d’arrêt, mise en œuvre des équipements de lutte contre l’incendie, activation des systèmes d’extinction. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 16 de 254


Types de détecteurs d’incendie : De fumée : Ioniques (ionisation par points) Optiques (points) A avertissement rapide ou anticipation (zones) De flamme : UV et IR, indépendants ou associés CCTV (Télévision en circuit fermé) De chaleur : Ampoule Fusible thermique (par points et par zones) Thermostatiques Thermodynamiques Types de détecteurs en fonction de la progression du feu Détails chronologiques : Phase 1 : détecteurs de fumée ioniques

pour gaz de combustion invisible

Phase 2 : détecteurs de fumée optiques

pour fumée visible

Phase 3 : détecteurs de flamme

pour rayonnements d’IR / UV

Phase 4 : détecteurs thermiques (chaleur)

pour chaleur produite par le feu

La courbe montre qu’une augmentation du délai d’extinction (même légère) a pour conséquence une forte augmentation des dégâts. Par conséquent, la détection doit avoir lieu avant l’embrasement, pendant les phases 2 et 3.


Page 17 de 254


Figure 3 : Courbe de la progression du feu

3.2.2. Détecteurs de fumée 3.2.2.1. Ioniques Un radio-isotope (Americium 241) crée entre deux électrodes un faible courant d’ionisation (quelques pico ampères ou 10 -12 A). Dès que de la fumée passe entre les électrodes, la résistance augmente (les molécules de fumée sont 1000 fois plus lourdes que les molécules d’air) et le courant diminue. Deux cellules sont utilisées : Une cellule pour la mesure, Une cellule comme référence de modification des conditions de mesure (pression atmosphérique, température ambiante). L’utilisation de sources radioactives devra être conforme aux réglementations locales (radiation de type alpha < 100 μC). Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 18 de 254


Fonction du tirage (voir ci-après) dû à la différence entre la température intérieure et la température extérieure (appel d’air limité à # 7 m/s). Nettoyage périodique tous les 6 mois. Très grande fiabilité par rapport aux défauts parasites, aucun vote (en théorie) n’est nécessaire pour confirmer la détection. LE DETECTEUR IONIQUE opère en ionisant les molécules d’air (sphères roses et bleues) avec des particules alpha provenant d’un matériau radioactif, l’americium 241 (lignes rouges). Les ions deviennent alors porteurs d’un faible courant entre deux électrodes (en haut). Des particules de fumée (sphères marron) s’attachent aux ions (en bas), réduisant ainsi le courant et déclenchant une alarme.

Pas de fumée I1 est à la valeur maximale C’est la chambre de référence ou chambre de mesure sans fumée

Chambre de mesure avec fumée I2 < I1

Plus de courant I2 est faible, plus il y a de fumée Table 1 : Principe du détecteur de fumée ionique Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 19 de 254


3.2.2.2. Détecteurs optiques (ou photoélectriques) Principe basé sur la visualisation des rayons de lumières en présence de particules (effet Tyndall).

Figure 4 : Principe du détecteur de fumée optique (modèle Cerberus / Siemens) Une LED (source de lumière) et une cellule photosensible (récepteur de lumière) sont installées à l’intérieur d’une enceinte. Dans des conditions normales, la lumière émise n’atteint pas la cellule réceptrice. La source de lumière, l’arrête-lumière et les récepteurs de lumière sont disposés de telle sorte que la lumière émise par la source ne puisse pas atteindre directement le récepteur. Quand de la fumée entre, la lumière est dispersée et atteint la cellule qui émet alors un signal électrique. Une autre cellule contrôle la LED. Ces détecteurs sont généralement utilisés sur des équipements électriques et associés à des détecteurs ioniques (double confirmation). Fonction du tirage (vitesse de la fumée < 10 m/s) Mettre un matériau composé dans la gaine de câble/fil. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 20 de 254


3.2.2.3. Avertissement rapide de présence de fumée (anticipation) Un réseau de tuyaux de petit diamètre percés de trous, situés en des emplacements difficiles à atteindre, est connecté à un système d’aspiration qui achemine la fumée vers un détecteur « VESDA / HSSD ». C’est un système de type HSSS (High Sensitivity Smoke Detection : détection de fumée à haute sensibilité) qui utilise un détecteur laser et une installation de conduits pour les espaces fermés. Le système HSSD peut également être appelé VESDA (Very Early Smoke Detection Array) : réseau de détection très rapide de fumée). Le principe de détection utilisé par le système HSSD est connu comme « dispersement de la lumière vers l’avant », dans lequel le rayon laser est diffracté d’un petit angle par les particules de fumée. Le système est très sensible et peut détecter des niveaux de « fumée » bien avant qu’ils ne soient visibles à l’œil nu ou même perçus par des détecteurs de fumée classiques. Le système HSSD fonctionne en aspirant de l’air en permanence dans un réseau de tuyauteries à l’aide d’un ventilateur très efficace. Un échantillon de cet air passe par un filtre à double étage.

Figure 5 : Principe du détecteur de fumée à alerte rapide Le premier étage retire la poussière et les saletés de l’échantillon d’air avant de le laisser entrer dans la chambre de détection laser pour la détection de fumée. Le deuxième étage (ultra fin) a la seule fonction de fournir un approvisionnement supplémentaire d’air propre afin de maintenir les surfaces optiques à l’intérieur du détecteur exemptes de contamination et d’assurer un étalonnage stable et une longue vie du détecteur. Temps de réponse plus rapide pour les incendies cellulosiques et d’origine électrique. Ils ne peuvent être efficaces que dans les locaux propres et demandent des soins particuliers pour leur fonctionnement et leur maintenance. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 21 de 254


Figure 6 : Installation générale d’un détecteur de fumée à alerte rapide

3.2.2.4. Points complémentaires concernant les détecteurs de fumée Les détecteurs de fumée ne doivent pas être utilisés en espace ouvert La détection requiert (en général) une logique de vote de 2 2 détecteurs installés au même endroit/emplacement/zone doivent être activés en même temps pour confirmer la détection. Tirage : Les détecteurs de fumée sont connectés par des câbles qui passent généralement par des gaines (sauf bien sûr dans le cas des détecteurs sans fils…). De l’air peut être aspiré dans la gaine ou en être expulsé sous l’effet du tirage. Cela peut être évité en obstruant le passage de l’air. Voir la figure qui propose 2 solutions : matériau composé dans la gaine électrique ou plaque d’« isolation » entre le détecteur et son support. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 22 de 254


Figure 7 : Effet du tirage Installation de détecteurs de fumée : Ou distances à respecter

Espace ouvert ou ayant une ventilation suffisante Espace fermé et/ou emplacement n’ayant pas une ventilation suffisante

Surface maxi. couverte par un détecteur

Distance maxi. entre 2 détecteurs

Distance maxi. à partir d’une obstruction verticale

Hauteur maxi. au-dessus de la zone de détection

Sans objet

Sans objet

Sans objet

Sans objet

8m

3m (0,5 m minimum)

7,5 m

30m² pour le plancher 20 m² pour le plafond

Table 2 : Installation de détecteurs de fumée


Page 23 de 254


3.2.3. Détecteurs de flamme 3.2.3.1. Détection des flammes Elle est effectuée par des détecteurs d’UV et d’IR qui détectent les rayonnements IR (0,8 à 1 000 μm) émis à la base des flammes et les rayonnements d’UV (0,1 à 0,4 μm) émis dans la partie haute des flammes.

Figure 8 : Spectre montrant la bande de détection des UV et des IR Chaque flamme a sa longueur d’onde d’émission particulière qui dépend du combustible.

Figure 9 : Radiations émises par une flamme Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 24 de 254


Commentaires sur la figure « Radiations émises par une flamme » : Courbe 1 : combustibles sans molécules de carbone – ammoniac et hydrogène – radiations d’UV principalement Courbe 2 : combustibles sans molécules de carbone - soufre, phosphore, chlore, magnésium, titane – UV et radiations visibles principalement Courbe 3 : combustibles avec molécules de carbone – hydrocarbures, cellulose, ….. – UV, radiations visibles et IR Les radiations IR sont mesurées par un capteur pyroélectrique et les radiations d’UV sont mesurées par un capteur à phototube.

Figure 10 : Type de détection des UV et des IR Les types de détecteurs utilisés sont les détecteurs : d’UV d’IR d’UV confirmés IR d’IR confirmés IR ou doubles IR d’IR / IR / IR : triples ou multi IR Vidéo Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 25 de 254


Le choix dépend des types de médias inflammables Champ de vision horizontal # 90° (IR) et # 140° (UV + IR) Distance type du capteur à la flamme : 15 m pour une superficie de 0,1 m² (de détection) Les détecteurs ne doivent tenir compte que de la fréquence caractéristique de la radiation de flamme (2 à 20 Hz) et doivent annuler l’effet des autres radiations (soleil, éclairs, arc de soudure, fluctuations de l’éclairage). Un test optique automatique doit être effectué pour vérifier les interférences. Les mesures des IF sont affectées par l’eau et les mesures des UV (également pour la TV) sont affectées par la fumée épaisse quand la distance est > 5 m (distance maxi. # 20m). Vibrations : les vibrations d’une source mobile chaude peuvent générer des IR ; un détecteur proche de cette source (mobile) pourrait détecter des IR « parasites ». Pour empêcher un déclenchement intempestif, toute détection doit durer au moins 10 s. avant le signal de déclenchement effectif. Plage de température étroite (- 40 à 70 °C). Ces détecteurs conviennent aux espaces intérieurs et extérieurs (dans 80% des cas les détecteurs UV + IR sont utilisés en extérieur). Temps de réponse # 1s. (IR) et # 0,1s. (UV+IR). Ces détecteurs doivent être utilisés avec une logique de vote intégrée. Nota : le type à trajectoire ouverte peut être utilisé pour la détection de fumée. distance de 10 à 100 m la trajectoire optique doit être réglée avec le rayon laser

3.2.3.2. Détecteurs d’U.V. Les détecteurs d’ultraviolets sont conçus pour détecter les rayonnements ultraviolets provenant d’un feu. Les détecteurs d’ultraviolets sont sensibles à la plupart des feux, entre autres à ceux d’hydrocarbures, métaux, soufre, hydrogène, hydrazine et ammoniac. Le soudage à l’arc, les arcs électriques, les éclairs, les rayons X (utilisés dans les tests non destructifs des métaux) ainsi que les matériaux radioactifs peuvent produire des niveaux capables d’activer un système de détection d’UV et de provoquer des fausses alarmes. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 26 de 254


La présence de gaz et de vapeurs absorbeurs d’UV atténuera la radiation ultraviolette du feu, et affectera négativement la capacité du détecteur à « voir » une flamme. La présence d’un brouillard d’huile dans l’air ou d’une pellicule d’huile sur le verre du détecteur aura le même effet.

Figure 11 : Exemples détecteurs UV: Det-Tronics et General Monitors (utilisations sur site)

3.2.3.3. Détecteurs d’I.R. Les détecteurs d’I.R. réagissent aux feux avec flammes qui émettent de la lumière dans la portion infrarouge du spectre. Les détecteurs d’I.R. sont sensibles à la plupart des feux d’hydrocarbures (liquides, gazeux et solides). Les feux tels que ceux de métaux, d’ammoniac, d’hydrogène et de soufre n’émettent pas des quantités importantes de radiations IR et ils sont donc hors de portée de la plupart des détecteurs d’IR. Les détecteurs d’I.R. ne réagissent pas aux arcs de soudure, aux radiations nucléaires ni aux rayons X. Un autre avantage est que, à la différence des détecteurs d’UV, les détecteurs d’IR peuvent « voir » à travers la fumée.

Figure 12 : Exemples détecteurs IR : Det-Tronics et General Monitors Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 27 de 254


3.2.3.4. Détecteurs d’U.V. et d’I.R. Un détecteur de flamme ultraviolette/infrarouge consiste en un capteur d’UV et un capteur d’IR couplés de façon à constituer une seule unité. Les deux capteurs opèrent individuellement comme décrit dans les sections UV et IR, mais une circuiterie supplémentaire traite les signaux des deux capteurs. Une alarme incendie ne se déclenche que quand les deux capteurs détectent un feu. Le résultat est qu’un système UV/UR a une meilleure capacité de rejet des fausses alarmes que l’un ou l’autre détecteur individuellement. Etant donné que le détecteur UV/IR réunit deux types de capteurs, il est sujet aux limitations des deux.

X5200 DET-TRONICS

FL3100 GENERAL MONITORS

Figure 13 : Exemples de détecteurs d’UV / IR : Det-Tronics et General Monitors Capteur d’UV : Le capteur d’UV réagit aux radiations à énergie élevée, et détecte les radiations provenant de sources telles que le feu, la soudure à l’arc, les rayons X, et les rayons gamma. Capteur d’IR : Le capteur d’IR réagit aux radiations IR, et détecte les radiations provenant du feu et de sources de radiation à chaleur oscillante. Microprocesseur : Le microprocesseur traite les lectures du capteur d’UV ainsi que du capteur d’IR. Quand le capteur d’UV et le capteur d’IR détectent tous les deux en même temps la présence d’une flamme, le microprocesseur (intégré) génère un signal d’alarme.

3.2.3.5. Autres types de détecteurs de flammes Détection de flamme IR/IR Les détecteurs de flammes IR doubles (IR/IR) comparent les signaux de seuil de deux plages infrarouges. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 28 de 254


Détection de flamme IR/IR/IR Les détecteurs de flammes IR triples comparent trois bandes de longueur d’ondes spécifiques dans la région spectrale IR et le rapport entre chacune d’entre elles et les deux autres afin de pouvoir détecter les flammes de manière fiable et de réduire les fausses alarmes. Vidéo Pour la détection vidéo, on peut utiliser un système de télévision à circuit fermé ou une webcam (longueur d’onde entre 0,4 et 0,7 µm). Comme les êtres humains, la caméra peut être aveuglée par la fumée ou le brouillard.

3.2.3.6. Choix des détecteurs de flammes Choix en fonction du combustible Type UV IR Emplacement : - intérieur Oui Oui - extérieur Non Non Gaz non carbonés Hydrogène & ammoniac Oui Non Liquides & solides non carbonés Sulfure, phosphore, … Oui Non Métaux Oui Non Solides carbonés (4) (3) Charbon (4) (2) Hydrate de carbone (3) (4) Cellulose (bois, papier, carton, …) Hydrocarbures de C1 à C5 & alcool - dans l’atmosphère (5) (2) - dans un lieu encombré (4) (2) - dans un espace confiné (5) (3) Hydrocarbures de C6 à C11, solvants & peinture (3) (5) - dans l’atmosphère (4) (3) - dans un lieu encombré (5) (2) - dans un espace confiné Hydrocarbures >= C12, bois, papier & plastiques - dans l’atmosphère (3) (4) - dans un lieu encombré (2) (5) - dans un espace confiné (2) (5) (1) Très médiocre - (2) Médiocre - (3) Moyen - (4) Bon - (5) Excellent

UV/IR

Multi IR

Oui Oui

Oui Oui

Non

(1)

Non Non

(1) (1)

(3) (2) (5)

(5) (5) (4)

(5) (4) (4)

(3) (3) (4)

(5) (4) (3)

(3) (3) (4)

(3) (2) (2)

(4) (5) (5)

Table 3 : Choix d’un détecteur de flamme en fonction du combustible


Page 29 de 254


Evaluation des avantages et des inconvénients de différentes applications avec différents types de détecteurs de flammes Type de détecteur

Avantages

Vitesse élevée Sensibilité modérée Infrarouge IR Auto-test manuel par la vitre Coût unitaire modéré

Vitesse la plus élevée Ultraviolet UV

Sensibilité la plus élevée Auto-test automatique Coût unitaire modéré Vitesse modérée

Détecteur double IR & IR

Inconvénients

Applications

Affecté par les températures Sujet aux fausses alarmes du fait du nombre très élevé de sources IR dans un environnement industriel Pas d’auto-test automatique

Intérieur Conduites d’air Chars d’assaut Incendies classes A&B

Sujet aux fausses alarmes provenant d’un petit nombre de sources identifiables

Extérieur

Aveuglé par la fumée épaisse

Incendies classes A, B, D

Plage de température de fonctionnement limitée

Extérieur

Intérieur

Intérieur

Sensibilité modérée Auto-test limité Faible taux de fausses alarmes

Coût unitaire élevé

Incendies classes A, B

Vitesse élevée Extérieur

Sensibilité élevée Détecteur double IR & UV

Faible taux de fausses alarmes

La fumée épaisse réduit la plage Coût unitaire élevé

Large plage de température

Intérieur Incendies classes A, B, D

Auto-test automatique

Table 4 : Évaluation pour le choix des détecteurs de flammes


Page 30 de 254


3.2.4. Détecteurs de chaleur 3.2.4.1. Sprinkler sous eau Il fait partie du système d’eau, du collecteur d’eau en boucle avec toutefois un principe de détection du feu. C’est une des conceptions les plus simples. Figure 14 : Principe du sprinkler (sous eau) Une tuyauterie contenant de l’eau est munie de plusieurs têtes de sprinklers. Les têtes de sprinklers sont fabriquées comme le montre la figure. Le principe est basé sur l’éclatement d’une ampoule quand le fluide qu’elle contient se dilate. Le clapet du sprinkler s’ouvre, libérant immédiatement l’eau contenue dans la tuyauterie et le système de contrôle de la pression de cette même tuyauterie déclenchera l’action logique voulue (démarrage de la pompe à incendie).

3.2.4.2. Fusible thermique (spot) Principe fondé sur la fusion d’un élément fusible pressurisé à l’air pour instruments (plage de température de 79°C à 96°C) Une basse pression est utilisée pour déclencher l’action.

Figure 15 : Principe des fusibles thermiques sur la ligne de détection de l’air Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 31 de 254


3.2.4.3. Fusibles thermiques (linéaires) ou boucle fusible Ce système consiste en des tuyaux fusibles remplis d’air pour instruments et connectés à un PSLL ou à un système de libération d’eau. Les détecteurs de chaleur de la boucle fusible comptent sur la fusion de l’élément de détection pour déclencher une alarme ou activer un système de suppression de l’incendie.

Figure 16 : Exemple de boucle fusible dans des conditions normales Cet élément fusible peut être fabriqué à partir de différents matériaux ; on peut citer parmi les plus communs le plastique, le plomb ou le verre. Le principe de base est celui d’un dispositif pneumatique/mécanique comme celui illustré par la figure. Dans cet exemple, la boucle fusible est un morceau de tuyau en plastique obturé à une extrémité. L’autre extrémité du tuyau est connectée à la vanne d’eau et reçoit de l’air provenant de l’alimentation d’air via un clapet réducteur

Figure 17: Exemple de boucle fusible en situation d’incendie Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 32 de 254


La vanne d’eau est munie d’un ressort et elle s’ouvre si la pression d’air devient insuffisante. En fonctionnement normal, l’air entre dans le tuyau via le clapet réducteur, pressurise le tuyau ; cette pression agit également sur la vanne d’eau, neutralisant la force du ressort et maintenant ainsi la vanne d’eau fermée. Si un incendie se produit, une portion du tube en plastique fondra et il en résultera une chute de la pression d’air. La pression n’agira plus pour contrer la force du ressort de la vanne d’eau et la vanne s’ouvrira et le feu sera arrosé d’eau. La vanne d’eau peut être pilotée par l’intermédiaire d’un manocontacteur et d’une logique comme dans l’exemple précédent.

3.2.4.4. Sprinkler sous air Une conception alternative qui peut utiliser une pression d’eau plus élevée est celle du système sous air. Le fonctionnement de ce système est très similaire à celui de la boucle fusible à tuyau en plastique (fusibles thermiques) décrit précédemment. Dans des conditions normales, le tuyau est rempli d’air, et mis à niveau à partir d’une alimentation d’air par l’intermédiaire d’un clapet réducteur. L’alimentation d’air en continu compense toute fuite éventuelle qui se produirait au niveau des têtes des sprinklers. Quand l’élément(les éléments) du (des) tête(s) de sprinkler(s) fond(ent), la pression de l’air dans le tuyau chute rapidement. Cela a pour effet de faire descendre le manocontacteur en dessous du point de commutation. Cela déclenche l’alarme incendie et le système logique ouvre alors la vanne (principale concernée) du collecteur d’eau pour lutte contre l’incendie. L’eau s’écoule du sprinkler dont l’élément fusible a fondu.


Page 33 de 254


Figure 18 : Principe des sprinklers sous air – un tuyau pour la détection et pour l’action


Page 34 de 254


Espacement des fusibles thermiques : Ci-dessous, recommandations standards pour l’installation des fusibles thermiques (boucle fusible) sur site Groupe Tête de puits

Composants Tête de puits Collecteur

Disposition des fusibles thermiques (1) Trois pour chaque tête de puits (2) Un tous les 3 m de longueur de collecteur (2)

Nombre mini. de fusibles 3 2

Cuves sous pression Cuves verticales

Un tous les 3 m de diamètre, jusqu’à 5 maxi.

1

Cuves horizontales Processus

Diamètre < 1,2 m Diamètre > 1,2 m Échangeurs thermiques (à calandre) Pompes

Un tous les 1,5 m de longueur Deux tous les 1 - 5 m de longueur sur deux rangées // Un à chaque extrémité de l’échangeur thermique

Alternatives

Un au-dessus de la garniture de bielle

Centrifuges

Un au-dessus de chaque presse-étoupe

2 4 2

Compresseurs Machines

Alternatifs

Un pour chaque cylindre (3)

Centrifuges

Un au-dessus de chaque carter

Moteurs Un au-dessus de chaque carburateur ou de chaque clapet d’injection de carburant Diesel Un pour la pompe d’alimentation des injecteurs (3) Un pour chaque solénoïde de carburant, valve de Turbines régulation et pompe de prise de force (3) (1) : Quand des fusibles thermiques linéaires ou d’autres systèmes quelconques de détecteurs d’incendie sont utilisés à la place des fusibles thermiques, ils doivent assurer au moins les mêmes fonctions. (2) : Non applicable aux têtes de puits ou collecteurs subaquatiques. Allumage par étincelle

(3) : Ou couverture équivalente. (4) : Pour les cuves verticales, la distance maximale entre le fusible thermique et la jupe est de 0,3 m le long de chaque anneau.

Table 5 : Espacement des fusibles thermiques sur site


Page 35 de 254


3.2.4.5. Détecteur de chaleur fixe ou thermostatique Il mesure la température ambiante et se déclenche quand une valeur seuil réglée entre 40 °C et 250 °C est atteinte.

Figure 19 : Détecteur de chaleur thermostatique

3.2.4.6. Détecteur de vitesse d’élévation de la température ou thermodynamique Il mesure la température ambiante et se déclenche quand une vitesse d’élévation de la température réglée entre 1 °C / mn et 20°C / mn est atteinte.

Figure 20 : Détecteur de vitesse d’élévation de la température Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 36 de 254


Le détecteur de vitesse d’élévation de la température est conçu pour détecter un incendie alors que la température augmente, mais il a également une limite supérieure fixe à laquelle il donne l’alarme si le taux d’élévation de la température a été trop lent pour qu’il se déclenche avant. Les détecteurs thermostatiques et de vitesse d’élévation de la température sont utilisés dans les établissements de faible volume, associés à d’autres détecteurs.

3.2.4.7. Détecteurs de vitesse compensée Un détecteur de vitesse compensée est sensible aussi bien à l’élévation de la température qu’à la température fixe. Cela offre un avantage unique, aussi bien par rapport au détecteur de température fixe qu’au détecteur de vitesse d’élévation de la température, car seule l’unité de détection d’incendie (Detect-a-fire) détecte avec précision la température de l’air ambiant, quelle que soit la vitesse d’accroissement du feu. Le système s’active précisément au point de danger prédéterminé. Les détecteurs de température fixe doivent avoir atteint la température d’alarme pour fonctionner, et par conséquent, un délai désastreux peut se produire dans le cas d’un incendie qui se propage rapidement. Les détecteurs de vitesse d’élévation de la température, par contre, sont déclenchés par la vitesse d’élévation de la température ambiante et sont sujets aux fausses alarmes provoquées par des hausses de température transitoires et inoffensives telles que l’arrivée brutale d’air chaud provenant de l’échappement de turbines. Le « secret » de la sensibilité de l’unité est dans la conception. L’enveloppe extérieure est fabriquée en alliage à expansion rapide, qui s’allonge quand elle chauffe et rapproche les contacts internes l’un de l’autre. Les contrefiches internes sont fabriquées en alliage à coefficient d’expansion plus faible et exercent une force qui s’oppose à celle de l’enveloppe extérieure. Un feu à propagation lente chauffe l’enveloppe et les contrefiches en même temps. L’enveloppe extérieure s’allonge et rapproche les contacts l’un de l’autre tandis que l’enveloppe intérieure s’allonge plus lentement et s’oppose ainsi de manière effective à la force de compression de l’enveloppe extérieure. Une fois que la chaleur a atteint un niveau suffisant, l’enveloppe intérieure s’allonge suffisamment pour permettre aux contacts de se fermer. Un temps plus long est nécessaire pour que la chaleur atteigne l’élément intérieur. Cela empêche la fermeture des contacts tant que le dispositif tout entier n’a pas atteint son niveau de température nominal. Cependant, quand la vitesse d’augmentation de la température est élevée, il faut moins de temps à la chaleur pour qu’elle atteigne l’élément interne. La rapidité d’expansion de l’enveloppe extérieure est telle que l’enveloppe intérieure est comprimée et que les contacts se ferment. Plus la propagation du feu est rapide, plus l’unité de détection du feu (Detect-a-fire) agit rapidement. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 37 de 254


Figure 21 : Détecteur de chaleur avec compensation de la vitesse Une arrivée d’air chaud transitoire dilate l’enveloppe, mais pas suffisamment pour déclencher l’unité. En ignorant une présence d’air chaud transitoire, l’unité élimine pour ainsi dire les fausses alarmes qui sont fréquentes dans le cas des systèmes de détection de la vitesse d’élévation de la température.

3.2.4.8. Installation des détecteurs de chaleur : Ou distances / surfaces à respecter.

Espace ouvert ou ayant ventilation suffisante Espace fermé et/ou emplacement n’ayant pas une ventilation suffisante

Surface maxi. couverte par un détecteur

Distance maxi. entre 2 détecteurs

Distance maxi. à partir d’une obstruction verticale

Hauteur maxi. au-dessus de la zone de détection

15 m²

5m

2,5 m

4,5 m

6m

3m (0,5 m minimum)

5m

20 m² 20 m² pour le plafond

Table 6 : Installation des détecteurs de chaleur Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 38 de 254


3.2.5. Déclencheurs manuels d’alarme On ne peut pas vraiment classer ces dispositifs comme « détecteurs », ni comme « actionneurs », (bien qu’ils soient actionnés manuellement…), mais ils font partie de la détection des incendies, effectuée par une action de l’homme. Ils permettent au personnel qui observe un feu de déclencher une alarme incendie. Un certain nombre de « vitres à briser », ou de « déclencheurs manuels d’alarmes » ou encore de « boutons d’alarme incendie » sont « judicieusement dispersés » sur le site, ceci afin de couvrir toutes les zones. A ne pas confondre avec les boutons-poussoirs ESD ; le déclencheur manuel d’alarme doit (normalement) être rouge, étant donné que sur site, le rouge est réservé pour tout ce qui a à voir avec le feu. A confirmer sur votre site !! En tout cas, c’est le genre de bouton-poussoir que les gens sur site, les opérateurs / techniciens sur site, n’ont pas envie de faire fonctionner (il en va de même des boutonspoussoirs ESD). Je n’ai jamais eu l’occasion d’actionner ce genre de dispositif sur un site, mais je me suis toujours dit que je le ferais si je devais me trouver en présence d’un feu … Personne ne vous en voudra de déclencher une alarme ou de disperser un gaz inerte ou de l’eau quand un feu se déclare ! C’est (légèrement) différent pour l’ESD, car on s’attend toujours à la question d’investigation : « Qui a actionné l’arrêt ? Pourquoi l’avez-vous fait ? » Etc.?

Vitre à briser ou bouton-poussoir avec fonctions spécifiques - Attention aux couleurs !

Type ATEX

Figure 22 : Exemples de déclencheurs manuels d’alarme Tout déclencheur manuel d’alarme, lorsqu’il est actionné, active une alarme dans la salle de contrôle centrale et : Déclenche habituellement le démarrage d’une pompe d’incendie et une alarme PAGA Déclenche l’activation manuelle d’une alarme incendie dans un bâtiment Dans certains lieux de procédés, provoque l’activation du système « déluge » Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 39 de 254


Fournit la même alarme et la même séquence d’arrêt que si le processus avait été déclenché par une boucle / un fusible thermique Vitre à briser : Changement de l’état des contacts quand la vitre est brisée. Bouton-poussoir : Pneumatique ou électrique, l’état des contacts change par activation manuelle.

3.2.6. Sélection générale des détecteurs de chaleur La table qui suit est un résumé succinct des différents types de détecteurs de chaleur et des endroits où les installer (basée sur API RP 14J) Groupe

Equipements principaux

Type à utiliser

Tête de puits

Têtes de puits, buses, collecteurs

Fusible thermique ou UV/IR ou IR3

Procédés sans flammes

Stockage HC Procédés avec flammes

Machines

Logements

Collecteurs, séparateurs, stations de comptage de gaz, trappes de racleurs, échangeurs thermiques, stations de traitement de l’eau, pompes, compresseurs Réservoirs de stockage, réservoirs de séparation eau/pétrole, réservoirs de puisards Epurateurs à flammes, rebouilleurs de glycol Générateurs, moteurs, turbines – équipements de grande valeur dans enceintes - équipements de peu de valeur dans enceintes – équipements en espaces ouverts Tous les équipements non pétroliers commandés par moteurs électriques (compresseurs d’air, ventilateurs, pompe à eau de refroidissement ...)

Fusible thermique ou UV/IR ou IR3 (recommandé)

UV/IR ou IR3 UV/IR ou IR3 UV/IR + Vitesse d’élévation de la température. Vitesse d’élévation de la température. Fusible thermique ou UV/IR ou IR3 Enceinte uniquement : ioniques et / ou à vitesse d’élévation de la température

Zone vie

Ioniques ou optiques + à vitesse d’élévation de la température sur points chauds uniquement

Services

Enceinte uniquement : ioniques

Salle de contrôle centrale

Ioniques

Locaux techniques

Ioniques

Ateliers

Ioniques ou optiques + thermostatiques

+ MCP dans tous les emplacements

Table 7 : Sélection générale des détecteurs de chaleur Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 40 de 254


3.3. DETECTION DES GAZ 3.3.1. Aperçu – Généralités Les détecteurs de gaz servent à détecter les situations qui ne correspondent pas aux paramètres de fonctionnement normal et à déclencher une alarme. Les détecteurs de gaz préviennent d’une situation dangereuse afin que des mesures puissent être prises pour éviter la mise en danger du personnel ou l’endommagement des biens. Risque d’explosion :

Figure 23 : Risque d’explosion / de combustion des gaz Pour qu’un gaz s’enflamme, il faut une source d’inflammation, le plus souvent une étincelle, une flamme ou une surface chaude. Pour que l’inflammation ait lieu, il faut un mélange explosif. Cela signifie que la concentration de gaz ou de vapeur dans l’air doit être d’un niveau tel que le « combustible » et l’oxygène puissent réagir chimiquement. La puissance de l’explosion dépend du « combustible » et de sa concentration dans l’atmosphère. Toutes les concentrations de gaz ou de vapeur inflammable dans l’air ne brûlent pas ou n’explosent pas. La limite inférieure d’explosivité (LIE) est la plus faible concentration de « combustible » dans l’air qui brûlera et pour la plupart des gaz et des vapeurs inflammables, elle est inférieure à 5% par volume. Il existe donc un risque élevé d’explosion même quand des concentrations relativement faibles de gaz ou de vapeur s’échappent dans l’atmosphère. Voir les cours sur les emplacements dangereux : SI160 et SE190. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 41 de 254


Risque de toxicité : Le danger est que des êtres humains respirent directement un gaz dangereux. Le gaz bien connu est le H2S pour lequel même une faible concentration dans l’air est fatale si on l’inhale. 1 PPM

Détectable par son odeur caractéristique d’œuf pourri

5 PPM

Ne pas s’en remettre à son odorat – Commencement d’irritation des yeux

10 PPM

CMA (Concentration Maximale Admissible) Le temps d’exposition doit être < 15 mn

100 PPM

Destruction immédiate de l’odorat

Table 8 : Toxicité du sulfure d’hydrogène Entrée dans une enceinte confinée

Gaz

Entrée sans appareil respiratoire

Entrée avec appareil respiratoire

Entrée non autorisée – purger et refaire le test

H2S

< 1 ppm

1 à 15

> 15

CO

< 1 ppm

1 à 250

> 250

Table 9 : Concentration maximale de gaz toxique (ppm) pour permettre une entrée dans une enceinte confinée L’entrée dans une enceinte confinée est autorisée quand la concentration d’oxygène (O2) est de 21%, ce qui correspond à son taux dans l’air. Fixation des seuils d’alarme lorsqu’on mesure le niveau d’O2 : Niveau inférieur 19% Niveau supérieur 23% Structures concernées par la détection des gaz : Les détecteurs de gaz sont installés dans toute structure où il existe un risque de fuite ou d’accumulation de gaz inflammable ou toxique et un risque de manque d’oxygène. Ils sont communément utilisés : dans les installations automatisées (sans personnel), pour déclencher les actions ESD pertinentes Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 42 de 254


dans les installations dans lesquelles se trouve du personnel en permanence, pour donner l’alarme et/ou déclencher les actions ESD pertinentes Différents types de capteurs de gaz Les détecteurs de gaz tiennent compte des deux types de risque (explosion et toxicité) et leur technologie est adaptée en conséquence. Gaz inflammables : catalytiques (détection locale) optiques ou d’IR (détection locale) optiques ou d’IR (détection de trajectoire à rayons, linéaire ou ouverte) Gaz toxique H2S ou manque d’O2 : . technologie des semi-conducteurs réaction électrochimique Principaux gaz toxiques et inflammables

Unités

Densité (air = 1)

Concentration Maxi. Admissible (PPM)

LIE (vol. %)

NH3

PPM

0,59

50

15,0

Butane

C4H10

%LIE

2,05

1000

1,8

Chlore

Cl2

PPM

2,45

0,5

-

Éthylène

C2H4

% LIE

0,97

-

2,7

Monoxyde de carbone

CO

PPM

0,97

30

12,5

Méthane

CH4

% LIE

0,55

-

5,0

Dioxyde de soufre

SO2

PPM

2,26

2

-

Sulfure d’hydrogène

H2S

PPM

1,19

10

4,0

Dioxyde d’azote

NO2

PPM

1,59

5

-

Produit

Formule chimique

Ammoniac

Table 10 : L.I.E. et ppm pour les principaux gaz toxiques et inflammables


Page 43 de 254


3.3.2. Détecteurs de gaz inflammables 3.3.2.1. Détecteurs du type lit catalytique Un gaz inflammable ne s’enflamme que quand il atteint sa T.A.I (Température d’autoinflammation), mais en présence d’un catalyseur, la valeur de ce point d’inflammation peut diminuer. L’élément capteur est constitué d’un fil de platine revêtu d’un oxyde métallique agissant comme catalyseur. Le principe est basé sur la réaction catalytique qui se produit sur l’élément capteur chauffé. L’oxydation catalytique fera monter la température du capteur et modifiera sa résistance électrique. La modification de la résistance est liée à la concentration de gaz dans l’air. Un second capteur sans activité catalytique est utilisé pour éliminer l’effet des conditions ambiantes (P, T, humidité, …).

Figure 24 : Principe du détecteur de gaz inflammable – type lit catalytique Les valeurs des seuils sont en % de la LIE. Cette technologie assure une fiabilité très élevée contre les défauts transitoires ; aucun vote n’est nécessaire pour confirmer la détection.


Page 44 de 254


Caractéristiques : Non spécifiques à des gaz particuliers (CH4, H2, ...) Temps de réponse moyen : environ 20 sec. Large plage de température (- 55 à 200 °C) Durée de vie (# 5 ans) Les atmosphères industrielle et offshore peuvent diminuer leur sensibilité Une exposition aux produits siliconés ou aux composés sulfuriques ou choriques (H2S, CL2) peut rendre le catalyseur inopérant Risque d’obstruction de l’entrée du capteur (poussière), Ils sont affectés par certains gaz ininflammables (CO2 si concentration > 6 %) Si concentration > LSE (limite supérieure d’explosivité), pas de combustion La concentration en O2 doit être > 10% Difficiles à utiliser dans les lieux ventés C’est le capteur le plus utilisé Il est utilisé sur les détecteurs mobiles ou fixes pour la plupart des gaz hydrocarbures. Il est généralement étalonné avec du gaz méthane, un facteur de correction étant utilisé pour les autres gaz.

3.3.2.2. Détecteurs du type optique ou à absorption d’IR (en général) La détection des gaz combustibles en ayant recours à la technologie de l’infrarouge est basée sur l’absorption de longueurs d’ondes infrarouges spécifiques (typiquement 3,3 µm) par les hydrocarbures. Chaque gaz hydrocarbure a un pic d’absorption à une longueur d’onde spécifique. Au fur et à mesure que la concentration de l’hydrocarbure augmente, l’absorption de lumière infrarouge augmente également. Figure 25 : Plage IR dans le spectre Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 45 de 254


Cette technique nécessite l’utilisation d’une bande de « référence » dans le spectre infrarouge, en conjonction avec la bande « échantillon », pour compenser la variation de la force des signaux provoquée par des facteurs extérieurs tels que l’humidité, la condensation et la poussière. En l’absence de gaz, les forces des signaux échantillons et de référence mesurées par le récepteur infrarouge sont équilibrées. Une fois que des hydrocarbures sont introduits dans la trajectoire du dispositif de surveillance des gaz à infrarouges, le signal spécifique de l’hydrocarbure est absorbé. La différence entre les forces des signaux échantillons et de référence est directement proportionnelle à la concentration d’hydrocarbures présents dans la trajectoire.

Figure 26 : Le détecteur de gaz IR fait le rapport entre l’échantillon et la référence Quand le gaz passe par le capteur : - La longueur d’onde du gaz est absorbée - La longueur d’onde de référence n’est pas absorbée

3.3.2.3. Détecteurs du type optique ou à absorption d’IR (par point) Principe tel qu’il est expliqué ci-dessus, avec la spécificité décrite ci-après. Un rayon de lumière est projeté d’une source vers un réflecteur à l’intérieur du logement du détecteur. Le réflecteur renvoie la lumière à une paire de capteurs. L’un des capteurs est désigné comme référence, et il est sensible aux longueurs d’ondes qui ne sont pas affectées par la présence de gaz combustible. Le second capteur est le capteur actif. Le rapport entre le capteur actif et le capteur de référence sert à calculer la concentration de gaz. Le détecteur donne alors une alarme signalant un problème lorsque la source de lumière est perdue. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 46 de 254


Le détecteur de gaz par point a une capacité limitée, et, pour pouvoir rechercher la présence de gaz sur des zones étendues, un très grand nombre de détecteurs est nécessaire. Pour cette raison, les détecteurs de gaz à infrarouge par point sont installés dans des emplacements spécifiques où le gaz est susceptible de s’accumuler. Détails

Figure 27 : Détail du détecteur de type optique à absorption d’IR par point 1. Source IR : La source IR projette un rayon IR à travers la cellule à gaz perméable. 2. Glaces transparentes IR (2) : Les glaces transparentes IR permettent au rayon IR de traverser la cellule de gaz imperméable. 3. Cellule de gaz perméable : La cellule de gaz perméable fournit au rayon IR un endroit par lequel traverser l’air ambiant. Les gaz d’hydrocarbures inflammables se diffusent dans la cellule de gaz perméable avec l’air ambiant.


Page 47 de 254


4. Séparateur de faisceau optique : Le séparateur de faisceau optique divise le rayon IR entre le détecteur de signaux de référence et le détecteur de signaux de mesure, après que le rayon IR soit passé par la cellule de gaz imperméable. 5. Filtres optiques (2) : Les filtres optiques séparent les rayons IR au fur et à mesure qu’ils entrent dans les détecteurs de signaux de mesure et de signaux de référence. Les filtres optiques garantissent que les longueurs d’ondes IR de mesure entrent dans le détecteur de signaux de mesure et que les longueurs d’onde IR de référence entrent dans le détecteur de signaux de référence. 6. Détecteur de signaux de référence : Le détecteur de signaux de référence mesure les longueurs d’ondes IR provenant des sources IR qui ne sont pas affectées par la présence de gaz d’hydrocarbures. 7. Détecteur de signaux de mesure : Le détecteur de signaux de mesure mesure les longueurs d’ondes IR provenant des sources IR qui sont affectées par la présence de gaz d’hydrocarbures. 8. Electronique de traitement des signaux : L’électronique de traitement des signaux calcule la concentration de gaz en comparant les relevés d’IR du détecteur de signaux de mesure aux relevés d’IR du détecteur de signaux de référence. Caractéristiques : Valeurs seuils (certaines PPM à 100 % de la LIE) Résistance aux gaz toxiques (CL2, H2S) Temps de réponse plus court (environ 5 sec.) Période plus longue entre les tests Admettent une concentration > LSE Coût et poids plus élevés (que dans le cas du type catalytique) Précision et sensibilité moindres On doit éviter de les utiliser en extérieur (salissure de la lentille et du miroir) Ne conviennent pas si humidité > 90% ni pour H2 Plage de température étroite (- 20 °C à 45 °C) Alternative aux capteurs catalytiques en atmosphères toxiques


Page 48 de 254


3.3.2.4. Type optique ou à absorption des IR (à trajectoire linéaire ou ouverte) Même principe que pour les détecteurs de gaz IR par point, mais l’émetteur et le récepteur sont situés jusqu’à 200 mètres l’un de l’autre. Ils préviennent très rapidement d’une fuite de gaz en permettant la couverture complète du périmètre d’un lieu de traitement avec seulement 4 détecteurs (il faudrait davantage de détecteurs de gaz par point). Pour les courtes distances (< 80 m), l’émetteur et le récepteur sont à l’intérieur de la même enceinte et on utilise un réflecteur. Les obstructions de la ligne de trajectoire font blocage et annulent la fonction de l’instrument – p. ex. les tours roulantes. Permettent de lire les % LIE ou les ppm La mesure est fonction de la concentration et de la longueur de trajectoire entre l’émetteur et le récepteur Dans la pratique, la longueur est limitée par les conditions atmosphériques (soleil, humidité, pluie, neige, …). Sont affectés par les vibrations et cela nécessite un contrôle périodique de l’alignement Plage de température étroite (- 30 à 60 °C) Complètent les capteurs locaux à la limite de la zone de feu Bien adaptés aux emplacements non encombrés (gros nuages à faible concentration) Les gaz qui n’absorbent pas l’énergie IR (tels que l’hydrogène) ne sont pas détectables Ne sont pas très efficaces pour les applications à gaz multiples La source IR ne peut pas être remplacée par l’utilisateur et doit être renvoyée en usine pour réparation / remplacement Figure de la trajectoire ouverte optique : commentaires Voir figure « Type à trajectoire ouverte à absorption des points optiques IR. 1. Emetteur : L’émetteur projette un rayon IR qui parcourt la zone sous surveillance et envoie ce rayon au récepteur. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 49 de 254


Tandis que le rayon IR parcourt la zone sous surveillance, le gaz d’hydrocarbure absorbe certaines longueurs d’ondes IR, alors que d’autres longueurs d’ondes IR ne sont pas absorbées. 2. Récepteur : Le récepteur reçoit le rayon IR et détecte si l’absorption des rayons IR par les hydrocarbures a eu lieu. Dans le récepteur, le rayon IR passe alternativement par deux filtres d’interface à bande étroite : un filtre de longueur d’onde active et un filtre de longueur d’onde de référence. Le rapport entre la longueur d’onde de référence et la longueur d’onde active est calculé pour donner la quantité totale de gaz sur la trajectoire du rayon. Un relais d’alarme est activé quand la concentration de gaz présente sur la trajectoire dépasse une limite fixée.

Figure 28 : Type à trajectoire ouverte à absorption des points optiques IR


Page 50 de 254


3.3.2.5. Sélection des détecteurs de gaz inflammables Catalytiques en atmosphère avoisinante non toxique IR en atmosphère toxique (locaux ou trajectoire ouverte) à la limite de la zone En théorie, on devrait se baser sur la Limite Inférieure d’Explosivité (LIE) du gaz qui risque le plus de s’échapper. Dans la pratique, à l’exception de la détection du H2 dans les locaux à batteries, et dans notre industrie pétrolière, le gaz que l’on a le plus de chances de détecter est le CH4

3.3.3. Détecteurs de gaz toxiques ou de manque d’oxygène Basés soit sur : la technologie des semi-conducteurs, soit sur la réaction électrochimique Consacrés à la détection d’un gaz particulier (l’utilisation la plus fréquente est pour le H2S) Fonctions capteur de gaz Interchangeables (CO, H2, SO2, CL2, NH3, NO, NO2,…)

3.3.3.1. Technologie des semi-conducteurs Etant donné que l’on se base sur le fait que le semiconducteur absorbera préférentiellement le gaz que l’on veut détecter, la résistance de sa surface est réduite selon un taux proportionnel à la concentration. Figure 29 : Principe du détecteur de gaz toxique à semi-conducteur Comporte un élément de régulation de la température pour réduire l’humidité et les effets de la température ambiante Non affecté par des fortes concentrations de CH4 et H2 Affecté par la poussière et par certains gaz (NO, NO2), et les concentrations d’O2 (pas de détection si C < 6%) Doit être contrôlé tous les mois Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 51 de 254


3.3.3.2. Réaction électrochimique : Système comportant trois électrodes à l’intérieur d’un électrolyte solide une électrode de mesure sur laquelle le gaz dépose des électrons proportionnellement à sa concentration une électrode de référence sur laquelle le potentiel est réglé en fonction du gaz à détecter une électrode de retour sur laquelle l’amplificateur réagit par injection d’un courant pour rétablir l’équilibre potentiel ; ce courant est fonction de la concentration du gaz Figure 30 : Principe du détecteur de gaz toxique électrochimique Caractéristiques Valeur de seuil exprimée en PPM Haute précision : +/- 1% Convient pour mesurer le niveau d’O2 dans des enceintes confinées et lors de l’inertage Temps de réponse (0,5 à 2 mn) Requiert une régulation de la température ambiante Vie utile (environ 2 ans ; cela dépend de l’électrolyte)

3.3.4. Emplacement des capteurs de gaz Ou recommandations pour la disposition des détecteurs de gaz Les détecteurs de gaz alimentés électriquement et installés dans des Emplacements Dangereux doivent respecter le marquage et la certification indiqués par les directives ATEX95. Voir cours EXP-MN-SI160 et SE190. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 52 de 254


3.3.4.1. Type d’emplacement En un point spécifique : Quand une source de fuite de gaz (éventuelle) est bien définie Sur une Zone / un Emplacement : Quand on ne peut pas déterminer la source de la fuite de gaz Un détecteur peut contrôler une superficie de 50 à 100 m² Sur une trajectoire ouverte : Cela permet le contrôle des limites d’une installation / d’un site afin de pouvoir vérifier le passage (éventuel) d’un nuage de gaz. Pas d’information détaillée sur l’emplacement exact, ni sur le moment de la fuite de gaz.

3.3.4.2. Pour les gaz inflammables Type d’emplacement : Espace fermé : la probabilité de détecter une fuite de gaz est élevée. Espace semi-confiné ou ouvert : la probabilité doit être évaluée avant de placer les capteurs. Type de source : A proximité des sources combustibles : réponse plus rapide A proximité des sources d’inflammation (Chaleur, flamme) : donne une protection mieux adaptée contre le risque d’explosion Densité des gaz : PM>31 : plus lourds que l’air, on devra porter son attention sur les puits, les puisards et les emplacements bas PM<27 : plus légers que l’air, penser aux points d’accumulation de gaz formés par les structures de support en acier Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 53 de 254


27
3.3.4.3. Pour les gaz toxiques Type de risque : Risque négligeable (< 1 ppm) : pas de détection Risque faible (< 5 ppm) : détecteurs permanents Risque élevé (< 10 ppm ): détecteurs permanents, détecteurs et masques personnels Risque inacceptable (> 10 ppm) : détecteurs permanents, zones d’accès restreint et masques permanents Type d’emplacement : Espace ouvert : le long de la trajectoire de l’effluent chargé d’H2S, autour des brides/rebords des équipements utilisés pour retirer l’H2S du gaz Emplacement d’accès restreint : principaux accès (débarcadère, hélideck, principaux escaliers,...), issues de secours et trajet d’évacuation (zones de rassemblement, zones d’embarquement,...), arrivées d’air aux établissements

3.3.4.4. Emplacements recommandés pour les détecteurs de gaz inflammables A l’intérieur des emplacements d’accès restreint

En dehors des emplacements d’accès restreint

HVAC

Oui

Non

Turbines à gaz, moteurs à gaz ou Diesel

Oui

Non

Appareils de chauffage à flammes

Oui

Non

Emplacement sur site Arrivées d’air :


Page 54 de 254


A l’intérieur des emplacements d’accès restreint

En dehors des emplacements d’accès restreint

Salle de contrôle centrale

Oui (1)

Non

Salles techniques

Oui (1)

Non

Oui

Non

Oui

Oui

Oui (2)

Oui (2)

Bâtiment analyseurs

Oui

Oui

Laboratoire

Oui

Oui

Oui

N/A

Oui (2)

Oui (2)

Oui

S/O

Oui

S/O

Oui

S/O

Oui

Oui

Tuyauteries de dégazage étanches

Oui

S/O

Hélideck et débarcadères bateaux

Oui

Non

Autres accès principaux et voies de trafic routier

Oui

Non

Emplacement sur site Locaux contenant des équipements électriques :

Ateliers et logements Espaces fermés contenant une source combustible : Enceintes de turbines à gaz ou de moteurs à gaz Local des batteries

Emplacements abrités (partiellement fermés) : Grosse concentration de vannes, brides et raccords dans un espace réduit (têtes de puits encombrées, gaz HP, collecteurs de gaz, station de comptage, …) En dehors et autour des unités d’électrochlorinage Fosses, tranchées dans des emplacements dangereux Espaces ouverts : Autour des équipements rotatifs tels que les compresseurs de gaz ou les pompes transférant du gaz liquéfié ou des hydrocarbures liquides ayant une t > point d’inflammabilité Dans les tranchées et sur les bras de chargement de gaz liquide (LNG ou LPG) Ecoulements d’eau de refroidissement dans les installations pour LNG

(1) Placés dans la salle, dans le sas et dans le conduit d’arrivée HVAC (2) Hydrogène

Table 11 : Emplacements recommandés pour l’installation des détecteurs de gaz inflammables


Page 55 de 254


3.4. SURVEILLANCE EN BOUCLE Le système Feu et Gaz doit identifier les détecteurs défectueux et les défauts sur une ligne en cas de court-circuit, de circuit ouvert ou de défaut de terre et donner un avertissement. Cela concerne les détecteurs câblés (naturellement). Cependant, les détecteurs sans fils sont aussi surveillés par le « système central » qui donne une alarme quand une communication avec un détecteur « adressé » a été perdue pendant un certain temps (prédéterminé).

3.4.1. Surveillance en boucle fermée Chaque élément a sa propre adresse sur la boucle. L’analyse du temps de balayage définit de façon précise l’emplacement de l’élément en situation d’alarme ou de défaut Une même boucle peut couvrir plusieurs emplacements Pour augmenter la fiabilité, le balayage a lieu dans les deux sens Les courts-circuits et les circuits ouverts sont identifiés comme défauts et n’affectent pas le fonctionnement normal

Figure 31 : Surveillance en boucle fermée

3.4.2. Surveillance en boucle ouverte Détecteurs numériques : Pour les détecteurs numériques, la détection s’effectue en mesurant la consommation de courant dans une résistance en extrémité de ligne. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 56 de 254


Figure 32 : Surveillance en boucle ouverte pour les détecteurs numériques Chaque boucle est dédiée à un emplacement connu et il est difficile d’identifier un détecteur (il est nécessaire de contrôler tout l’emplacement pour localiser l’alarme) En situation normale, le courant est égal à une valeur connue (ex : 4mA) En cas d’alarme, la résistance du détecteur descend à environ 1kΩ ; le courant de boucle augmente En cas de court-circuit, le courant de boucle atteint une valeur maximale (ex 25 mA) En cas de circuit ouvert, le courant de boucle chute à zéro Détecteurs analogiques :

Figure 33 : Surveillance en boucle ouverte pour les détecteurs analogiques Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 57 de 254


Pour les détecteurs analogiques, la détection s’effectue en mesurant le courant total. Un seul détecteur par boucle. Exemple de protocole : voir figure « Surveillance en boucle ouverte pour les détecteurs analogiques » Statut normal : i = i0 entre 4 et 20 mA Statut d’alarme : i = i1 > i0 mais la valeur du courant est bien en dessous de celle du statut court-circuit car limitée par la résistance en série avec le contact Court-circuit : i = i2 (A la valeur maximale, le module d’entrée peut produire 25 à 30 mA) Circuit ouvert i = 0 Défaut interne (de la partie analogique) : le courant i est en dessous de 4 mA (1 à 3 mA)


Page 58 de 254


4. SYSTEMES D’EXTINCTION 4.1. Feu et extinction 4.1.1. Effets des produits d’extinction Nous voyons ici les produits qui sont automatiquement gérés par le système Feu et Gaz (nous laissons les extincteurs au département Sécurité …). Produit d’extinction

Eau

Mousse

Inergen / CO2

Halons

Fonction

Supprimer la chaleur

Retirer le combustible de l’oxygène

Diluer concentration d’oxygène

Mettre fin à la réaction en chaîne

Table 12 : Produits d’extinction gérés par le système Feu et Gaz Autre présentation des effets des produits d’extinction : Nota : Le halon est de moins en moins utilisé (Directives de Kyoto) mais toujours présent sur quelques sites

Water

Foam

CO2

Halons

Inergen

Decreasing fuel temperature under its flash point

Reducing O2 level under the level necessary for combustion

Chemical effect directly on progress of combustion

Cooling effect

Smothering effect

Anti catalytic effect

Primary effect Secondary effect Figure 34 : Effets des produits d’extinction Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 59 de 254


Classes de feux et de produits d’extinction : Ou utilisation des extincteurs appropriés en fonction du type de feu Classe de feu selon la norme NF S 60 100

Produits d’extinction

Classe A Matériau solide : bois, PVC,...

Eau, dioxyde de carbone

Classe B Liquide : hydrocarbure, alcool,...

Mousse, dioxyde de carbone, halons, inergen

Classe C Gaz : méthane, propane,...

Dioxyde de carbone, halons, inergen

Classe D Métal : aluminium, magnésium, sodium,...

Isoler le métal de l’air

Table 13 : Classes de feux et de produits d’extinction

4.2. PRODUITS D’EXTINCTION POUR ESPACES FERMES 4.2.1. Halons Agissent sur la flamme pour interrompre la chaîne de combustion. Voir nota du paragraphe précédent, le halon n’est plus utilisé. Halon 1301 : Trifluorobromométhane : Cf3 Br Stocké dans des bouteilles pressurisées à l’azote (20 à 40 bar) Chaque bouteille est munie d’un système de pesage automatique pour détecter les fuites Alarme sonore et visuelle avant déclenchement (10 à 60 sec.) Temps de décharge inférieur à 10 sec. ; effet très rapide sur le feu Utilisé dans les lieux occupés ou non occupés (salle de contrôle centrale et local technique) Halon 1211 : Difluoro-bromo-chlorométhane : Cf2 Cl Br


Page 60 de 254


Utilisé uniquement dans les lieux non occupés (contenu toxique quand concentration >5%) Arrête un feu à faible concentration : 5% (halon 1211) & 7% (halon 1301) On peu l’utiliser sur les feux de solides, de liquides et de gaz Non-conducteur d’électricité Pas d’action chimique sur la plupart des matériaux communs Crée de petites charges électrostatiques : les fixations/accessoires seront mis à la terre Utilisation réglementée par le protocole de Montréal depuis 1987 : produit des sousproduits toxiques et corrosifs (acides halogénés, p. ex. gaz phosgène) Effets du halon en fonction de la concentration et du temps d’exposition :

Figure 35 : Effets du halon Effets du halon sur la composition de l’air : Gaz dans l’air

Azote

Oxygène

Avant déclenchement

79%

21%

Après déclenchement avec 5% de halon

75%

20%

Halon

5%

L’atmosphère est encore respirable en présence de halon – mais il ne vaut mieux pas essayer….

Table 14 : Effets du halon sur la composition de l’air Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 61 de 254


4.2.2. Dioxyde de carbone Il agit en diminuant la teneur en oxygène de l’air (<14%) et il a un effet refroidissant du fait de la dilatation du gaz (dépressurisation). Stocké en : phase gazeuse (57 bar et température ambiante) pour les petits volumes. phase liquide (20 bar et 18°C) pour les gros volumes. Caractéristiques et recommandations : Un système de pesage automatique doit être installé pour détecter la fuite Alarme sonore et visuelle avant le déclenchement : au moins 30 sec. pour permettre au personnel d’évacuer l’établissement Toutes les installations d’HVAC doivent cesser de fonctionner automatiquement dès que l’alarme est déclenchée Le gaz carbonique est mortel Une forte concentration (40 à 50%) est nécessaire pour arrêter un feu La durée optimale de l’aspersion en espace fermé est de 1 mn et elle ne doit en aucun cas dépasser 2 mn Une ventilation est nécessaire pour purifier le lieu suite à une décharge Provoque une forte baisse de température Condensation possible (risque de court-circuit) Crée des charges électrostatiques (toutes les fixations/accessoires doivent être mis à la terre) Non-conducteur d’électricité Bon marché Utilisé normalement dans les lieux non occupés et sur les feux de substances liquides Utilisé en remplacement des halons


Page 62 de 254


Effets du dioxyde de carbone sur la composition de l’air : Gaz dans l’air

Azote

Oxygène

Avant déclenchement

79%

21%

Avec 50% de CO2

39,5%

10,5%

CO2

50%

Atmosphère mortelle après déclenchement.

Table 15 : Effets du dioxyde de carbone sur la composition de l’air

4.2.3. Inergen Agit en abaissant la teneur en oxygène à moins de 15%, et en augmentant le niveau de dioxyde de carbone de 2 à 4,5%. L’inergen est un mélange de 3 gaz : 52% d’azote (gaz d’inertage non toxique) 40% d’argon (gaz d’inertage non toxique) 8% de dioxyde de carbone Caractéristiques : La densité du mélange est proche de celle de l’air Stocké en bouteilles dans sa phase gazeuse : 150 bar Gaz non toxique (sous-produits non toxiques) Crée moins de charges électrostatiques que les halons et le C02 Non-conducteur d’électricité Coût élevé Utilisé uniquement en espaces fermés sur les feux de substances solides, liquides et gazeuses Utilisé en remplacement des halons


Page 63 de 254


4.2.4. Utilisation des différents gaz inertes Caractéristiques principales des produits d’extinction gazeux Gaz inertes

Halon

Inergen

Dioxyde de carbone

Effets secondaires

Sous-produits toxiques et corrosifs : acides halogénés (p. ex. : gaz phosgène)

Aucun effet sur les matériaux

Gaz mortel – Condensation possible provoquant des courts-circuits

Temps de rétention du gaz

S’échappe rapidement d’un local non étanche

Pratiquement la même densité que l’air : longue durée de rétention

Plus dense que l’air : longue durée de rétention

Visibilité

Brouillard blanc pendant les trente premières secondes

Gaz invisible

Formation de brouillard blanc: pendant 5 à 10 mn

Table 16 : Caractéristiques principales des gaz inertes d’extinction Système d’extinction type au halon, au dioxyde de carbone et à l’Inergen :

Figure 36 : Représentation schématique type d’un système d’extinction au gaz inerte Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 64 de 254

Formation Exploitation Instrumentation Automatisme Sécurité : F&G / ESD 1 2 3 4 5 6 7 8 9 10 11 12. 13

Système de commande (tableau spécifique ou automate programmable) Détecteurs de feu (nombre “x” de boucles) Bouteilles (CO2 ou inergen ou halon) Système de déclenchement (manuel, électrique, pneumatique) Buses de pulvérisation Système de pesage ou PSL pour détection des fuites Alarme sonore (klaxon) Tableau d’alarme visuelle (décharge d’extinction, entrée interdite) Déclencheur manuel d’alarme (MAC) Clapets anti-retour Alarme sonore (sirène pneumatique) Réseau de distribution Emission vers le DCS (protocole modbus) – RS 232C, protocole modbus ou autre système

Description du berceau de Halon / Inergen / CO2 : Même procédure quel que soit le type de gaz inerte libéré. Figure 37 : Exemple de berceau / bouteilles gaz inerte Mode de libération du gaz : A distance du système Feu et Gaz en automatique ou au moyen d’un bouton manuel dans la salle de contrôle centrale Libération locale au moyen d’une manette mécanique ou en brisant une glace (MAC: déclencheur manuel d’alarme) Un PSH est habituellement monté à la sortie de la bouteille pour confirmer la libération effective du gaz. L’inergen (ou le CO2, le halon) peut être libéré pneumatiquement (des bouteilles d’inergen / de CO2) à l’aide d’une pression d’azote (et d’une bouteille d’azote), la libération du gaz étant activée par une électrovanne sous tension située sur le circuit d’azote. Figure 38 : Libération du gaz par électrovannes Dans le cas des « packages » (turbines, compresseurs, etc.), les berceaux d’inergen (ou de CO2) ont deux racks de bouteilles, le PRINCIPAL et celui de RESERVE Un sélecteur à distance et/ou un sélecteur local permettent de Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 65 de 254


mettre l’un ou l’autre en service (le second étant généralement mis en mode secours (« automatique »)). Ceci permet de disposer en permanence d’un groupe de bouteilles tandis que le second est en test/maintenance ou en phase d’échange/de remplissage après activation. On ne doit pas démarrer une turbine si le groupe d’extinction est indisponible … Figure 39 : Toujours 2 racks de bouteilles, quels que soient leur taille et leur nombre Pour la protection d’un local technique : Il est possible d’installer un tableau local à l’entrée pour sélectionner le mode local ou à distance pour désactiver la libération automatique du gaz quand du personnel travaille à l’intérieur. Une même sélection est possible dans la salle de contrôle centrale avec un renvoi du statut. L’avertissement sonore et les libérations de gaz manuelle et locale sont encore disponibles. Exemple schématique d’une protection CO2

Figure 40 : Schéma - application locale Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 66 de 254


4.3. PRODUITS D’EXTINCTION POUR ESPACES OUVERTS 4.3.1. Eau Agit en abaissant la température du foyer de l’incendie et en créant une atmosphère sursaturée qui réduit la teneur en oxygène. Différents systèmes sont utilisés : Systèmes Déluge : projettent une vaporisation d’eau sur toute la surface de la zone Rideaux d’eau : isolent la zone délimitée de la zone affectée par l’incendie Fusibles thermiques : détectent immédiatement l’origine d’un feu et agissent rapidement pour éteindre le feu en projetant de l’eau sous pression déclenchée par un système automatique indépendant avec un PSLL

Figure 41 : Exemple de distribution d’eau pour lutte contre l’incendie


Page 67 de 254


Caractéristiques : Produit non toxique et neutre (salée dans le cas de l’offshore) Ne pas l’utiliser sur les appareils électriques sous tension Utilisée en extérieur sur les feux de substances liquides et solides, sur les grandes structures Gestion de l’eau pour lutte contre l’incendie : Les tuyauteries d’eau pour lutte contre l’incendie (collecteur d’eau pour lutte contre l’incendie) doivent être maintenues sous pression par une « pompe jockey ». Au moins deux pompes jockey sont présentes sur un site (une de service et une de secours). Un système d’eau pour lutte contre l’incendie comportant des pompes électriques et Diesel assure l’approvisionnement en eau pendant l’extinction. Une séquence automatique « F&G » met en marche les pompes principales, Diesel ou électriques. Elle est commandée par l’intermédiaire du tableau logique F&G qui veille à ce que cette condition de démarrage puisse être lancée dans de nombreuses configurations logiques. Plus simplement, la(les) pompe(s) à incendie principale(s) se met(mettent) en marche à la suite de l’activation d’un PSLL sur le collecteur d’eau pour lutte contre l’incendie Les pompes à incendie (principales) ne peuvent être arrêtées que par action manuelle Sur site, il y a systématiquement une ou plusieurs pompes à incendie Diesel capables de fournir suffisamment d’eau pour tout le site en cas d’incendie. La ou les pompes à incendie électriques sont complémentaires et peuvent être utilisées (naturellement) quand l’alimentation électrique est encore présente, ce qui n’est pas toujours le cas en cas d’incendie Des tests de fonctionnement périodiques doivent être effectués. Généralement une fois par semaine sur nos sites – ne vous contentez pas d’une mise en marche et d’un arrêt S.V.P. ! Laissez le moteur (Diesel surtout mais électrique également) fonctionner au moins 30 mn ou mieux encore, une heure.


Page 68 de 254


4.3.2. Mousse Agit en formant un écran entre la matière combustible et l’oxygène de l’air On obtient des mousses à foisonnement en introduisant une certaine quantité d’air dans un composé constitué d’un mélange d’eau et de mousse (protéines) Produit non toxique et neutre Ne pas l’utiliser sur les appareils électriques sous tension

Figure 42 : Exemple de « package » berceau de réservoir de mousse avec décharge double pour moniteurs d’hélideck / tuyauterie souple et zone de stockage carburant. Utilisée normalement en extérieur sur les incendies de liquides gras et sur les réservoirs de stockage

4.3.3. Berceau « déluge » Type

Photo

Caractéristiques Filtre d’entrée

Berceau à système « déluge » unique


Dérivation interne Test/drain à écoulement intégral

Utilisation

Installations où il est nécessaire d’installer le berceau de vannes adjacent à la zone protégée.

Page 69 de 254


Système « déluge » multiple Doseur de mousse à écoulement constant

Berceau « déluge » multivanne

Dérivation interne Test/drain à écoulement intégral

Pour utilisation dans des installations compactes telles que les plateformes offshore, où la distance entre les zones protégées est limitée.

Système « déluge » multiple Doseur de mousse à pression équilibrée Berceau à vannes « déluge » avec réservoir de mousse intégré

Pompe à mousse commandée par eau Dérivation externe Test / drain à écoulement réduit

La mousse peut être fournie pressurisée à partir d’une unité centrale de distribution de mousse ou provenir du réservoir de mousse intégré au berceau

Réservoir de mousse intégré Le mélange de la mousse dans l’eau peut être effectué au moyen de doseurs de mousse à pression équilibrée, d’inducteurs de mousse, de vannes à mousse à écoulement constant, ou de pompes doseuses de mousse commandées par eau.

Table 17 : Différents types de berceaux « déluge » Comme nous l’avons vu dans les deux paragraphes précédents, de l’eau, ou de l’eau + de la mousse sont libérées par l’intermédiaire d’un berceau qui comporte au moins une vanne de commande / sortie ! Personnellement, je me souviens de ces (*!@?) vannes « déluge » qui fuyaient toujours ou bien se bloquaient et ne voulaient pas s’ouvrir quand il le fallait ! J’espère que maintenant, sur site, il y a eu des progrès dans la qualité de ce type de matériel… Où utiliser les systèmes « déluge » Les systèmes « déluge » tirent leur nom du « déluge » d’eau qu’ils produisent quand ils sont activés. Le système « déluge » le plus basique est constitué de seulement trois parties : Vanne de régulation « déluge » (voir plus bas) Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 70 de 254


Tuyauteries de distribution Gicleurs « déluge » (sprinklers). Le système « déluge » est normalement considéré comme le principal système de lutte contre l’incendie d’une installation offshore et il procure deux formes très importantes de protection : extinction du feu (des flammes) et refroidissement. Des agents moussants peuvent être ajoutés à l’eau, comme le AFFF (Aqueous Film Forming Foam : mousse formant un film aqueux), qui est très efficaces contre les feux de nappes d’hydrocarbures (= pétrole, essence, etc.). Le refroidissement sert à protéger les éléments structuraux et les équipements des radiations de chaleur produites par un feu continu, en vue d’éviter des dégâts majeurs et la propagation de l’incendie. Les gicleurs « déluge » sont espacés régulièrement au-dessus de la zone de « plancher » qu’ils protègent (c.-à-d. noyage total), et installés sur le réseau de tuyauteries de distribution qui à son tour est alimenté par la bouche d’incendie principale via la vanne de régulation « déluge ». Alternativement, les gicleurs peuvent être positionnés autour d’équipements spécifiques (c.-à-d. une protection locale) tels que des transformateurs, des cuves sous pression ou des vannes / brides, afin d’obtenir une protection dédiée. Feux d’hydrocarbures

Feux de substances gazeuses

Zone de tête de puits Plateforme de forage Zones de traitement Installations de stockage et tuyauteries

Feux de matières solides Stockage chimique

Zone de tête de puits Plateforme de forage Zones de traitement

NB : Les produits chimiques qui réagissent avec l’eau et produisent des gaz inflammables ou même des flammes proprement dites doivent être protégés par d’autres moyens.

Table 18 : Utilisation des systèmes « déluge »

4.3.3.1. Vanne de régulation « déluge » Nous donnons quelques détails sur le fonctionnement d’un type de système « déluge » qui s’est (réellement) avéré être opérationnel sur des installations pétrolières offshore (et à terre).


Page 71 de 254


Figure 43 : Vanne de régulation « déluge » Inbal La vanne de régulation « déluge » Inbal fonctionne de la façon suivante : Position

Description La pression d’eau amont est dirigée vers la chambre de contrôle (formée entre le manchon de caoutchouc et le logement de la vanne), via le clapet pilote « déluge ». Le manchon en caoutchouc est comprimé et enserre fermement le disque de la vanne ; la vanne de régulation « déluge » se ferme.

La vanne de régulation « déluge » est ouverte par le blocage de la pression d’eau amont et le relâchement simultané de la pression d’eau dans la chambre de contrôle, sous l’action du clapet pilote « déluge ».

La régulation de la pression est obtenue par une diminution partielle de la pression de l’eau dans la chambre de contrôle qui fait que la vanne de régulation « déluge » est maintenue dans une position semi-ouverte. Cela est obtenu par l’installation d’un clapet pilote de régulation de pression qui détecte la pression aval et ajuste la pression de l’eau dans la chambre de contrôle en fonction de la pression de réglage.

Table 19 : Les différentes positions de fonctionnement de la vanne de régulation « déluge »


Page 72 de 254


Mise en marche / à l’arrêt de la vanne de régulation « déluge » : La mise en marche / à l’arrêt peut se faire de deux façons : Par l’intermédiaire d’un clapet pilote 3 voies pneumatique commandé par une électrovanne 3/2 voies (P&ID sur la figure) Par un système à eau utilisant une électrovanne 3/2 voies à action directe, résistante à l’eau de mer (P&ID non représenté). Voir les schémas et le P&ID pour les détails.

Figure 44 : Commande de la mise en marche/mise à l’arrêt de la vanne de régulation « déluge » par électrovanne


Page 73 de 254


Vanne de régulation « déluge » avec commande/régulation aval : La régulation de la pression est facilitée par l’installation d’un clapet pilote de régulation de pression en plus du dispositif de mise en marche/arrêt décrit plus haut. Il est toutefois avantageux d’utiliser un clapet pilote de régulation de pression combinant la fonction marche/arrêt, tel que le clapet pilote « déluge » fonctionnant à l’air.

Figure 45 : Vanne de régulation « déluge » avec commande/régulation aval Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 74 de 254


Vanne « déluge » avec maintien de la pression d’entrée Le maintien de la pression est facilité par l’installation d’un clapet pilote de maintien de la pression, en plus du dispositif de régulation de la pression & marche/arrêt (ci-dessus). L’un des clapets pilotes contrôle la pression d’entrée, et l’autre clapet pilote régule la pression de sortie à la valeur préréglée comme décrit plus haut. Un maintien de la pression peut être nécessaire pour limiter les à-coups de pression dans le système d’eau pour lutte contre l’incendie provoqués par l’activation d’une ou de plusieurs grosses vannes de régulation « déluge ». Si plusieurs systèmes « déluge » ou autres gros consommateurs d’eau pour lutte contre l’incendie se mettent à fonctionner simultanément, et avant que la ou les pompes à incendie n’aient eu le temps de fonctionner à plein régime, ou avec une seule pompe en marche, il est possible que la pression ne puisse pas être maintenue et qu’elle chute avant que l’autre pompe, ou les autres pompes, ne démarrent.

Position « soussatisfaite » La pression du système chute avant la valeur de réglage. Le clapet pilote se ferme pour augmenter la pression de la chambre de contrôle de la vanne « déluge ».

Position « satisfaite »

Position « sursatisfaite »

La pression du système est exactement à la valeur préréglée.

La pression du système dépasse la valeur de réglage.

Le clapet pilote libère exactement le même débit que celui qui est introduit par l’orifice.

La vanne « déluge » se ferme pour augmenter la pression amont.

La vanne « déluge » reste dans une position de régulation stable.

Le clapet pilote s’ouvre plus grand pour diminuer la pression de la chambre de contrôle de la vanne « déluge ». La vanne « déluge » s’ouvre encore plus et la pression amont diminue.

Figure 46 : Vanne « déluge » avec maintien de la pression d’entrée Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 75 de 254


4.3.3.2. Systèmes « déluge » à mousse / eau La capacité d’un système « déluge » peut être accrue par l’addition d’un agent moussant à l’eau. La mousse est utilisée pour : Éteindre les feux de nappe de liquides hydrocarbures inflammables Permettre l’extinction de l’éthanol & méthanol (et autres solvants polaires solubles dans l’eau) Empêcher les retours de flammes sur les feux de nappe en circonscrivant la surface liquide. Le concentré de mousse est injecté dans l’eau au moyen : d’un dispositif de « dosage » tel qu’un doseur à pression équilibrée, d’un dispositif à débit constant ou d’un injecteur. On utilise le doseur à pression équilibrée et le dispositif à débit constant quand le concentré d’AFFF provient d’un stockage de mousse central et d’une station de pompage. L’AFFF est distribué via un système de « canalisation bouclée », qui est acheminé vers tous les utilisateurs de mousse. Quand il est désirable d’utiliser un stockage de mousse décentralisé, on peut utiliser un injecteur alimenté à partir d’un réservoir de mousse local. Le réservoir de mousse est intégré dans l’enceinte « déluge » afin de réduire les coûts, l’espace et le poids. L’injecteur de mousse est un système simple et il ne nécessite pas d’alimentation externe. Son utilisation nécessite toutefois qu’une pression d’eau plus élevée soit envoyée dans le système « déluge », étant donné que la perte de pression lors du passage par l’injecteur est plutôt élevée (= environ 35% de la pression d’entrée totale du système). Alternativement, on peut utiliser une pompe à mousse locale, commandée électriquement ou par la pression de l’eau, associée soit à un doseur à pression équilibrée, soit à un dispositif à débit constant. Voir les P&ID ci-après pour les détails.


Page 76 de 254


Doseur à pression équilibrée

Injecteur

Pompe à mousse entraînée par eau

Pompe doseuse de mousse en ligne

Figure 47 : Différents principes d’addition de mousse dans l’eau du système « déluge » En ce qui concerne la partie aval des matériels du système « déluge » (canons à eau, canons à eau/mousse, etc.), veuillez vous reporter aux cours sur la Sécurité et à l’entraînement à la lutte contre l’incendie avec ses applications sur sites.

4.3.3.3. Normes Total concernant les vannes « déluge » Veuillez vous reporter à la spécification Total GS EP SAF 322A « Systèmes fixes d’eau pour lutte contre l’incendie », dernière révision (au moment de l’édition de ce Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 77 de 254


document) , Octobre 2005, pour de plus amples informations sur les systèmes « déluge », ainsi que sur les systèmes de sprinklers, moniteurs et bouches d’incendie. Extrait de GS EP SAF 322A - § 3.5.2. Vannes « déluge » La vanne « déluge » est une vanne automatique spécifique à ouverture rapide activée par la pression de l’eau pour lutte contre l’incendie. Aucun recours à une intervention extérieure ne doit être nécessaire pour maintenir la vanne fermée : seule la pression du collecteur principal d’eau pour lutte contre l’incendie est acceptable pour cette fonction. La vanne « déluge » doit être de préférence de conception « rectiligne » afin d’éviter les éventuelles obstructions lors du fonctionnement. Le diamètre maximal d’une vanne « déluge » sera de 8’’ (200 mm) et la chute de pression maximale au débit nominal sera inférieure à 0,7 bar. Les vannes « déluge » doivent être d’un type homologué par un organisme international pour être intégrées à un système « déluge ». Figure 48 : Schéma d’une vanne « déluge » selon GS La réinitialisation de la vanne doit toujours être effectuée localement et manuellement. Des moyens doivent être prévus pour permettre de tester la vanne « déluge » sans avoir à évacuer l’eau par les tuyauteries et les gicleurs. L’ouverture des vannes « déluge » doit se faire par : Facultativement (selon le CONCEPT DE SECURITE), le système de détection feu et gaz Obligatoirement, la commande à distance et une commande manuelle locale. Figure 49 : Schéma type d’une vanne « déluge » (appendice 1 de GS EP SAF 322A)


Page 78 de 254


4.3.4. Pompes à incendie Sur site, leur maintenance est généralement assurée par l’équipe d’électriciens ; cependant, on fait appel au technicien instruments pour les interventions sur les systèmes d’instrumentation en ce qui concerne les vibrations, les contrôles de niveau (fosse d’évacuation des eaux), les commutateurs pression et température, etc. Les pompes à incendie (Diesel et électriques) sont comme toutes les autres pompes, et pour un système F&G, cela se résume à une commande de démarrage / arrêt (manuelle) et à un contrôle de disponibilité. Les commandes d’alarme et de déclenchement des pompes à incendie sont sur un tableau spécifique, le système F&G donnant un ordre de dérivation pour toutes les alarmes dès qu’une situation d’incendie nécessitant le fonctionnement de ces pompes se présente. Un seul déclenchement est maintenu opérationnel pour les pompes à incendie Diesel (DWP), la survitesse du moteur. C’est une politique de « marche ou crève » pour les pompes à incendie.

4.3.4.1. Normes Total pour les pompes à incendie Veuillez vous reporter à la spécification Total GS EP SAF 321 « Stations de pompes à incendie et collecteur principal d’eau pour lutte contre l’incendie », dernière révision (au moment de l’édition de ce document), octobre 2005 pour de plus amples informations sur le « Système de pompes à incendie » ainsi que sur les systèmes de distribution d’eau pour lutte contre l’incendie. La documentation suivante est extraite de la spécification GS EP SAF 321 - § 4.6. Fonctionnement Modes de fonctionnement- § 4.6.1 Quatre modes de fonctionnement seront rendus disponibles au moyen d’un sélecteur de mode : automatique, manuel, test, arrêt Séquence de démarrage - § 4.6.2 La séquence de démarrage est conçue pour atteindre deux objectifs (i) démarrer les pompes aussi rapidement que possible (ii) éviter que deux pompes démarrent simultanément. La séquence décrite ci-dessous est une séquence type pour un arrangement 3 X 50 % avec des pompes d’eau pour lutte contre l’incendie entraînées par un moteur Diesel, et elle n’est active que s’il n’y a pas de détection de gaz dans le voisinage de la canalisation d’air de la pompe ou dans le local des pompes. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 79 de 254


L’ordre de démarrage est acheminé vers la pompe sélectionnée pour démarrer la première (pompe n°1). Le système de commande activera le démarreur électrique principal selon un cycle de « tentative de démarrage » d’1,5 mn comprenant trois tentatives (15 secondes de tentative de lancement suivies de 15 secondes de refroidissement, valeurs qui peuvent varier selon l’équipement installé). Dès que le cycle est terminé, ou dès que la pompe n° 1 fonctionne, selon le cas qui se présente en premier, le signal qui lance le cycle de démarrage sur le démarreur électrique principal sera envoyé à la pompe n° 2, à moins que la pression du collecteur principal d’eau pour lutte contre l’incendie ne soit remontée à sa valeur normale entre-temps. Le signal de démarrage sera envoyé à la pompe n° 3 (souvent appelée « pompe de secours ») si, après un certain temps, la pompe n° 1 ou la pompe n° 2 n’a pas pu démarrer. La pompe n° 3 passera également par un cycle de « tentative de démarrage » d’1,5 minute pour commencer le cycle, en utilisant son démarreur électrique primaire. Ce signal est annulé si la pression du collecteur principal d’eau pour lutte contre l’incendie redevient normale avant que le cycle ne commence. Une fois que toutes les pompes sont passées par leur premier cycle de démarrage, et si la pression d’eau dans le collecteur principal est toujours en dessous de la valeur de réglage, alors la séquence est répétée dans son intégralité pour les pompes qui n’ont pas encore démarré. Si la demande en eau pour lutte contre l’incendie augmente après que la station de pompage ait démarré et atteint un premier statut de fonctionnement régulier, du fait, par exemple, qu’une autre vanne « déluge » se soit ouverte ou que des moniteurs aient été activés pour augmenter la capacité de lutte contre l’incendie, et si cette demande ne peut être satisfaite par les pompes en fonctionnement, alors, la séquence sera répétée dans son intégralité, à partir du commencement, sauf pour la pompe ou les pompes déjà en fonctionnement. Voir le schéma logique de la figure « Schéma type du circuit d’eau pour lutte contre l’incendie » (Appendice 1 de GS). Une fois que chaque pompe aura fait l’objet de 6 tentatives de lancement, le système de démarrage automatique sera désactivé et les tentatives supplémentaires de démarrage se feront manuellement à partir du tableau de commande locale des pompes. L’utilisation du démarreur de secours (pneumatique ou hydraulique) sera uniquement manuelle et locale. Indications du statut et des alarmes - § 4.6.3 Se reporter aux spécifications mécaniques de la SOCIETE. Pompe jockey - § 4.6.4 Quand on dispose de deux pompes jockey, la pompe jockey de secours démarre automatiquement en cas d’arrêt de la première. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 80 de 254


La pression de la pompe jockey est assurée par une PCV (vanne de régulation de pression) qui évacue par-dessus bord (offshore) ou recycle vers le réservoir d’eau pour lutte contre l’incendie (à terre). Les orifices réduits très sensibles à l’érosion sont à éviter.

Figure 50 : Schéma type du circuit d’eau pour lutte contre l’incendie Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 81 de 254


Remarque personnelle sur cette « spécification » (de GS 321 §4.6.) sur les orifices réduits « à éviter » pour l’évacuation par dessus bord par les PCV. Sur tous les sites Total sur lesquels j’ai travaillé (mais pas avec les autres Sociétés…..), j’ai été témoin de problèmes avec les PCV d’évacuation par-dessus bord (d’eau pour lutte contre l’incendie ou autres arrivées d’eau) qui présentaient toujours des problèmes de cavitation ! Ceci n’était pas dû à une mauvaise conception de la vanne (calcul du Cv) mais simplement à une disposition illogique / mauvaise des tuyauteries… Dans la conception de base (Total), la vanne d’évacuation par-dessus bord perd de la pression du collecteur vers la pression atmosphérique (supposément), mais en fait, la pression chute sous pression atmosphérique, l’aspiration ayant lieu en aval. Ce « vide » crée des turbulences et il est à l’origine de la cavitation et de la destruction rapide du corps de la vanne et du siège / clapet de la vanne. Sur site, généralement, l’équipe des opérateurs / de maintenance (pas l’équipe en charge du projet…) essaie de corriger ce phénomène de destruction en installant un orifice aval qui crée une chute de pression de l’eau vers l’eau (et non pas de l’eau vers l’air, ce qui est source de cavitation). L’orifice est rapidement détruit, c’est un fait, mais au moins, la vanne garde son intégrité et l’orifice peut être facilement remplacé…. Il existe une autre « possibilité » pour résoudre ce problème : installer un « col de cygne », ou siphon, de grande taille…. Je me suis peut-être (toujours) trouvé sur le mauvais site ; peut-être est-ce que maintenant, dans les nouvelles conceptions, ce problème récurrent a été résolu.... mais dans les cas où le « col de cygne » a été installé, il n’y a plus eu de problèmes avec les PCV d’évacuation par-dessus bord.

NO !!

Fire water main ring Overboard PCV

YES !!

Signal NO ! Fire water main ring Overboard PCV Alternate solution

Fire water main ring Overboard PCV Drain

Figure 51 : Le « problème de la PCV d’évacuation par-dessus bord Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 82 de 254


4.4. CLAPETS COUPE-FEU Ce ne sont pas exactement des produits d’extinction…. Mais dans les espaces fermés, ils ont la même efficacité que les produits de lutte contre l’incendie par la fermeture des entrées et/ou des sorties d’air. Les clapets coupe-feu sont conçus pour être intégrés dans les systèmes de canalisations qui pénètrent dans les murs, les planchers ou les cloisons en acier, dans les entrées / sorties d’air … Chaque clapet coupe-feu est normalement muni d’un actionneur pneumatique ou électrique (à sécurité intégrée) Certains clapets coupe-feu sont seulement « manuels », étant munis d’un ressort, et ils sont actionnés à la suite de la fusion d’un fusible thermique.

Avec actionneur électrique Ex

Avec actionneur électrique Ex

Avec actionneur pneumatique

Avec actionneur électrique

Avec actionneur électrique

Figure 52 : Quelques exemples de clapets coupe-feu


Page 83 de 254


5. LOGIQUE FEU & GAZ Cela se fait à l’intérieur du tableau F&G, dans l’automate programmable spécifique. Voir le chapitre ESD pour avoir des informations sur l’automate « Triconex » qui est utilisé dans le système d’arrêt (et pourrait être utilisé pour le F&G, mais en général c’est un système duplex ou même un automate programmable unique) et le cours consacré aux automates programmables.

Figure 53 : Tableau de commande F&G et logique de sécurité en général Il existe au moins un point commun pour tous les tableaux F&G et systèmes à entrées / sorties, à savoir qu’ils sont tous alimentés par des batteries, soit par un jeu de batteries avec chargeur incorporé, soit à partir d’un système indépendant ASC (alimentation sans coupure) (avec courant continu et / ou alternatif selon les besoins). Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 84 de 254


Des récepteurs de sortie doivent être connectés afin de procurer une sécurité intégrée, dans la mesure où le concept de sécurité restera « logique ». Pour les gaz inertes par exemple, les électrovannes doivent être alimentées pour libérer l’agent d’extinction. Ce n’est pas directement une condition de sécurité intégrée, mais dans ce cas, deux électrovannes sont installées dans le même conduit, câblées en parallèle. Cela évite le vidage « inattendu » des bouteilles de gaz inerte… causé par une erreur de manipulation.

5.1. SYSTEME DE VOTE ET DE COMMANDE C’est la logique utilisée dans le système de détection du feu et des gaz pour éviter les détections / actions intempestives. Selon le type de logique de vote, la détection devra être confirmée (ou non) par d’autres détecteurs, la logique tenant compte également du statut défaut des détecteurs et de leurs lignes.

5.1.1. Installations concernées par le vote La logique de vote et les actions correspondantes dépendent : De la détection (gaz ou feu) Du lieu Des règles de sécurité qui s’appliquent dans l’établissement. Les conditions nécessaires pour activer la séquence de lutte contre l’incendie sont données par la matrice « causes et effets ».

5.1.2. Détection Logique 1oo1 : un détecteur (activé) dans une zone lance l’action.

FD1

Action

FD2

SD1

Zone 2

Action

Action

SD2

Alarm

Alarm

Alarm Zone 1

Action

Zone 3

Alarm Zone 4

Figure 54 : Logique de vote 1oo1


Page 85 de 254


Il y a un seul détecteur ou une seule boucle (groupe de détecteurs numériques en série) pour couvrir un point ou une zone Cas typique : pour les détecteurs catalytiques et les détecteurs de gaz toxiques (alarme et déclenchement), groupe des déclencheurs manuels d’alarme (alarme uniquement) Logique 1oon : un détecteur (activé) parmi “n” détecteurs dans une zone lance l’action. Le déclenchement d’un détecteur ou d’une boucle lance l’action définie dans la matrice « causes et effets » de la zone de feu Fiabilité la plus grande à la demande Système présentant le plus grand nombre de risques de déclenchements intempestifs en fonctionnement

Zone « x »

Figure 55 : Logique de vote 1oon Logique inhérente aux : fusibles thermiques, systèmes de détection rapide de la fumée, déclencheurs manuels d’alarme Le système UV+IR ou IR triple associé à une logique de vote intégrée (2oo2 ou 2oo3) est considéré comme logique 1oon.

FD1 FD2 Action

≥

SD1 SD2

(OR)

Alarm

FDx « n » inputs

Logique 2oo2 : 2 détecteurs (activés et généralement du même type) dans le même emplacement (proches l’un de l’autre dans une zone) sont nécessaires pour lancer l’action.

Spot Zone

Alarm

FD1

&

Spot Zone

&

Action

(AND)

Alarm

FD2

Alarm

SD1 (AND) SD2

Action Alarm

Figure 56 : Logique de vote 2oo2 Élimine la plupart des déclenchements intempestifs en fonctionnement, mais réduit la fiabilité à la demande. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 86 de 254


Chaque point sans exception sera muni de 2 détecteurs dédiés peu espacés (moins de 0,5 m) ou une boucle sera divisée en 2 boucles. L’activation d’une détection sur deux provoquera généralement une seule alarme. La coïncidence de deux détections sur deux conduira à un ordre de déclenchement. Recommandée pour la détection du feu sans logique intégrée dans : les espaces fermés les espaces semi-confinés les espaces ouverts Exemple de logique de vote 2oo2 : La condition de défaut est considérée comme équivalente à une détection (quand l’autre détecteur est activé) Détecteur 1

OK

Détection

Détecteur 2

Défaut

Actions

OK

CLAIR

ALARME

INDICATION DE DEFAUT

Détection

ALARME

ACTION

ACTION

Défaut


ACTION

2 INDICATIONS DE DEFAUT

Table 20 : Exemple de logique de vote 2oo2 Logique 2oo3 : 3 détecteurs (généralement du même type) sont installés dans le même emplacement (proches l’un de l’autre dans une zone), deux détecteurs (activés) sont nécessaires pour lancer l’action.

Spot Zone FD1

&

FD2

1 &3

2 &3

&

Action

(AND) FD3

1 &2 Action

(AND) Alarm

&

Alarm Action

(AND) Alarm

Figure 57 : Logique de vote 2oo3 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 87 de 254


La condition de défaut pourrait être considérée comme équivalente à une détection dans certains cas, mais en général non étant donné que le 3ème détecteur est là pour « confirmer » la détection. Élimine la plupart des déclenchements intempestifs et procure une bonne fiabilité à la demande. Chaque point sans exception sera muni de 3 détecteurs dédiés peu espacés (moins de 0,5 m) ou une boucle sera divisée en 3 boucles. Système cher et son utilisation sera limitée à des applications spécifiques : présence de gaz inflammables où l’on cherche à limiter le nombre de déclenchements intempestifs active le niveau le plus élevé d’ESD en cas de détection de gaz inflammables dans la salle de contrôle centrale ou le local technique (ESD0) Exemple de logique de vote 2oo3 (matrice) : Détecteur 3

Détecteur 1

OK

Détecteur 2

Détection

Défaut

ACTIONS

OK

OK

CLAIR

ALARME


OK

Détection

ALARME

ACTION

ALARME

OK

Défaut


DEFAUT + ALARME

Détection

OK

ALARME

ACTION

Détection

Détection

ACTION

ACTION

Détection

Défaut

DEFAUTS + ALARME

ACTION

Défaut

OK


DEFAUT + ALARME

Défaut

Détection

DEFAUT + ALARME

ACTION

Défaut

Défaut

2 INDICATIONS DE DEFAUT

2 DEFAUTS + ALARME

2 INDICATIONS DE DEFAUT DEFAUT + ALARME ACTION 2 DEFAUTS + ALARME 2 INDICATIONS DE DEFAUT 2 DEFAUTS + ALARME 3 INDICATIONS DE DEFAUT

Table 21 : Exemple de logique de vote 2oo3 Logique 2oon : 2 détecteurs sur "n” activés dans la même zone / le même emplacement lancent l’action. Ce peuvent être des détecteurs du même type ou de types différents (un détecteur de fumée + un détecteur de chaleur). Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 88 de 254


Les détecteurs sont dispersés sur la zone à protéger ; la détection est alors du type zone. Logique utilisée pour la protection d’unités complètes : Enceintes de turbines à gaz (UV+IR et vitesse d’élévation de la température) Dans le cas où une logique 2 sur n associe les deux types de détecteurs ou deux détecteurs du même type, elle arrête la turbine et active la libération du CO2 ou du brouillard d’eau Local technique (détecteurs ioniques et thermostatiques) Dans le cas où une logique 2 sur n associe les deux types de détecteurs ou deux détecteurs du même type, elle arrête la ventilation, ferme les clapets coupe-feu et active la libération du CO2

FD1 FD1 FDx SD1 SDx Etc, UV, IR, MAC,…

≥

&

(OR)

&

&

&

(AND)

(AND)

(AND)

(AND)

Alarm

Action

Action

Action

Action

Zone « x »

& (AND) Etc, as per « n » logic of 2

Figure 58 : Logique de vote 2oon

5.1.3. Actions Principes généraux : Les actions ESD pertinentes ne seront lancées automatiquement que sur confirmation d’une détection de feu ou de gaz inflammable (vote et/ou chronomètre) Une détection de gaz au niveau de l’entrée de l’HVAC coupera l’HVAC et fermera les clapets coupe-feu Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 89 de 254


Une détection de gaz à l’intérieur d’un espace fermé maintiendra, voire actionnera la ventilation en survitesse pour faciliter l’élimination des gaz La confirmation d’une détection de feu à l’intérieur d’un espace fermé coupera la ventilation et fermera les clapets coupe-feu La confirmation d’une détection de feu en extérieur activera les systèmes de lutte contre l’incendie dans la zone concernée Toute détection de feu devra activer l’appel général pour évacuer tout le personnel de l’emplacement concerné par un code d’alarme sonore. Gaz inflammables Une temporisation pour éviter les déclenchements intempestifs n’est pas nécessaire. Deux étapes sont configurées : Un premier seuil pour donner l’alarme aux opérateurs Un deuxième seuil déclenche les actions ESD pertinentes Gaz toxiques Alarme et éventuellement ordre d’évacuation Pas d’action ESD Fumée Temporisation et / ou vote dans l’emplacement sale ou en présence d’êtres humains Pas d’isolement électrique des équipements concernés dans les locaux techniques Actions typiques : - Coupure de la ventilation - Fermeture des clapets coupe-feu - Libération de CO2 dans le cas d’un système d’extinction automatique


Page 90 de 254


Flammes Après confirmation (temporisation + vote) : Alarme à l’attention des opérateurs Ou déclenchement des actions ESD pertinentes et activation de la lutte contre l’incendie Chaleur Temporisation pour éviter les déclenchements intempestifs des détecteurs thermostatiques Au moment où la valeur seuil est atteinte : Alarme à l’attention des opérateurs Ou déclenchement des actions ESD pertinentes et activation de la lutte contre l’incendie Fusibles thermiques Le temps qu’ils mettent à fondre procure une temporisation suffisante pour éviter les déclenchements intempestifs Ils déclenchent l’action ESD et l’activation de la lutte contre l’incendie

5.1.4. Matrice des causes et effets Ou schéma et matrice des « causes et effets » étant donné qu’il y a deux documents. On la fait maintenant dans le programme modifiable de l’automate programmable F&G, avec de nombreux « programmes » et présentations, mais fondamentalement, elle consiste soit en un tableau et/ou un schéma logique qui utilise principalement les portes « ET », « OU ». Sur papier, on la trouvera sous la forme d’un livret ou d’un plan A1, A0, selon l’importance de l’usine (et l’humeur du concepteur). Dans les deux tables du paragraphe précédent, vous avez un exemple de « petite » matrice ; pour une usine, vous devez multiplier les tables ou ajouter des lignes et des colonnes pour les entrées et sorties multiples (démarrage de la pompe à incendie, libération de gaz inerte, … etc.). Avec les « petits » schémas logiques du paragraphe précédent, vous avez un exemple de « schéma de causes et effets ». A compléter pour une « grosse » usine… Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 91 de 254


5.1.5. Blocage Et il ne s’agit pas des opérations de « désactivation » qui consistent à avoir « en permanence » une liste d’alarmes « agaçantes » ………….. Installations concernées par le blocage : Des étalonnages et des contrôles périodiques du système F&G doivent être effectués. La fonction blocage permet d’effectuer ces tests sans risques. Deux méthodes peuvent être utilisées : Matérielle : des touches de blocage sont installées sur le tableau ou sur les modules d’entrée du système Logicielle : en utilisant le logiciel pour neutraliser les E/.S correspondantes de l’automate programmable. Fonction matérielle : Des touches intégrées sur les unités / tableaux F&G permettent l’isolement, par module, par entrée, et par sortie, selon la conception du constructeur. Le lancement d’un blocage F&G doit envoyer un avertissement à la salle de contrôle centrale. Fonction logicielle : Une visualisation spécifique est utilisée pour contrôler la liste des blocages et la gestion du statut doit être clairement définie, avec les règles de sécurité du site …….. Remarque personnelle Passer la main aux opérateurs du tableau pour bloquer certaines alarmes (F&G) est tout à fait normal, mais quand cela devient une « élimination » ou un « blocage permanent » de détections / d’actions spécifiques, on se trouve dans une situation inacceptable ….. Sur site, un passage en revue et un contrôle réguliers de la gestion des alarmes (et des déclenchements) doivent avoir lieu, et doivent être effectués par un personnel ayant autorité sur les opérateurs. Le blocage de la libération du CO2 (ou de l’Inergen), pour la simple raison de ne pas vouloir remplacer les bouteilles constitue un exemple …, dont j’ai été témoin. La détection Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 92 de 254


se produisait trop souvent pour les opérateurs, mais la détection s’est avérée bien réelle quand j’ai effectué le contrôle. Et ce n’est pas le seul exemple connu…..,, vérifiez simplement la liste ou les listes des alarmes sur les écrans de la salle de contrôle centrale de votre site, vous serez surpris (alarmes F&G et de traitement).

5.2. EXEMPLES DE COMMANDE LOGIQUE 5.2.1. Dans un espace intérieur ventilé Types d’unités : soit Groupe générateur électrique : turbine, armoire électrique, local batteries Groupe compresseur

5.2.1.1. Application à la protection contre le feu Système de détection Détecteurs de fumée + Détecteurs de chaleur + Détecteurs de flamme + Déclencheurs manuels d’alarme Protection et entrée en action a) 1 détecteur de fumée ou, 1 détecteur de chaleur ou, 1 détection de flamme génère : Des alarmes acoustiques et visuelles b) 2 détections simultanées ou, 1 action sur un déclencheur manuel d’alarme génèrent : Des alarmes acoustiques et visuelles La coupure du système HVAC et des équipements électriques La fermeture des portes ignifuges L’entrée en action des unités d’extinction : halon, dioxyde de carbone, inergen Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 93 de 254


5.2.1.2. Application à la protection contre les gaz Système de détection Détecteurs de gaz inflammables Détecteurs de gaz toxiques Protection et entrée en action a) 1 détection de gaz (20 % LIE) génère : Des alarmes acoustiques et visuelles Une augmentation de la ventilation b) 2 détections de gaz (50 % LIE) génèrent : Des alarmes acoustiques et visuelles Une augmentation de la ventilation et l’arrêt de tous les équipements c) 1 détection de gaz (20 % LIE) de la part d’un détecteur monté dans la canalisation d’entrée de l’ HVAC génère : Des alarmes acoustiques et visuelles La coupure du système HVAC

5.2.2. Dans un espace extérieur Types d’unités : soit Groupe de séparateurs de production Groupe de séparateurs de test Groupe de pompage

5.2.2.1. Application à la protection contre le feu Système de détection Détecteurs de chaleur Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 94 de 254


+ Détecteurs de flamme + Déclencheurs manuels d’alarme Protection et entrée en action a) 1 détection de chaleur ou 1 détection de flamme génère : Des alarmes acoustiques et visuelles – cela dépend des règles de sécurité de l’établissement L’arrêt des équipements L’entrée en action des unités d’extinction : mousse, eau b) 2 détections simultanées ou, 1 action sur un déclencheur manuel d’alarme génèrent : Des alarmes acoustiques et visuelles

5.2.2.2. Application aux gaz Système de détection Détecteurs de gaz inflammables + Détecteurs de gaz toxiques + Déclencheurs manuels d’alarme Protection et entrée en action a) 1 détection de gaz (20% LIE) génère : Des alarmes acoustiques et visuelles b) 1 détection de gaz (50% LIE) génère : Des alarmes acoustiques et visuelles L’arrêt de tous les équipements c) 1 action sur un déclencheur manuel d’alarme génère : Des alarmes acoustiques et visuelles Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 95 de 254


5.3. ALERTE A L’ATTENTION DU PERSONNEL Ce système est géré par la logique F&G. La documentation qui suit est extraite de la spécification GS EP SAF 371, chapitre 7. Reportez-vous à cette spécification pour informations complémentaires et voyez également dans le chapitre suivant (logique SD) le paragraphe traitant des « alarmes ».

5.3.1. Système PAGA 5.3.1.1. Généralités Un système d’annonce vocale et d’alarme générale PAGA (Public Address and General Alarm) intégré et totalement dupliqué devra être prévu afin de permettre d’effectuer des annonces verbales intelligibles en tous les points de l’installation où du personnel pourra être présent pendant le fonctionnement normal et d’émettre des signaux d’alarme sonores en tous les points de l’installation. Des balises clignotantes complèteront les signaux d’alarme sonores dans les emplacements bruyants de l’installation, sauf dans les zones d’habitation et de bureaux. Le PA (système d’annonce sonore) ne doit pas être utilisé exagérément pour la communication entre les personnes au sein de l’installation et il devra donc être conçu en conséquence. Le téléphone et les radios UHF/VHF sont la solution préférée pour les communications de routine.

5.3.1.2. Exigences en matière de sécurité Le système PAGA devra rester actif dans n’importe quelle situation d’urgence et son fonctionnement continu ne devra pas créer de risques supplémentaires. Les équipements PAGA situés à l’intérieur de l’emplacement d’accès restreint devront être adaptés à un fonctionnement en emplacements dangereux de zone 1. Une solution possible est de placer les haut-parleurs PAGA qui sont adaptés à une utilisation en zone 1 dans l’emplacement d’accès restreint et l’amplificateur dans le local le plus sûr (local radio ou poste d’évacuation). Les équipements principaux devront être alimentés par des systèmes de batteries de secours indépendants ayant une autonomie d’une heure en pleine charge, de telle sorte qu’ils resteront opérationnels pendant au moins 0,5 heure en pleine charge et pendant 1,5 heure à 20% de la charge.

5.3.1.3. Exigences fonctionnelles Le système d’annonce sonore devra avoir une puissance compatible avec le niveau de bruit ambiant à l’extérieur aussi bien qu’à l’intérieur. L’alarme générale devra être perceptible dans toute la zone affectée, y compris les chambres à coucher. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 96 de 254


Seuls quatre types de signaux devront être émis par le système PAGA : Vocaux : Utilisés pour les informations de service générales, les alertes « homme à la mer », les instructions d’abandonner l’installation et pour confirmer les instructions de se préparer à abandonner l’installation PAPA: (Prepare to Abandon Platform Alarm : « Préparez-vous à abandonner la plateforme ») ton continu émis par le système d’alarme générale (GA) indiquant au personnel qu’il doit se rendre sur les lieux de rassemblement et attendre des instructions ultérieures GPA: (General Platform Alarm : alarme de plateforme générale) ton intermittent émis par le système GA et activé en cas de détection de feu ou de gaz ou de tout autre incident justifiant cette alarme selon les scénarios ERP (ERP : Emergency Response plan : plan d’intervention d’urgence) TGA : (Toxic Gas Alarm : alerte au gaz toxique) ton double émis par le système GA et activé en cas de détection de gaz toxique. Toute sophistication plus poussée des signaux sonores serait une source de confusion et est donc interdite. Les indications données ci-dessus peuvent être résumées par la table qui suit. Sous-système impliqué

GA

PA

Situation d’urgence

Nom du signal

Caractéristiques du ton

Détection F&G

GPA

Intermittent (1)

Nuage de gaz toxique

TGA

Ton double

Autre urgence Evacuation vers le lieu de rassemblement (préparation à l’abandon de l’installation) Evacuation

GPA

Intermittent (1)

PAPA

Continu + message parlé

Homme à la mer

Message parlé Message parlé

(1) : Ces deux signaux doivent être identiques.

Table 22 : Messages et alarmes PAGA

5.3.2. Alarmes visuelles En complément du système PAGA, des alarmes visuelles doivent être prévues à l’extérieur dans les endroits bruyants, le long des voies de passage principales et à l’intérieur des pièces d’habitation publiques, des bureaux, des ateliers et des entrepôts. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 97 de 254


Les alarmes visuelles doivent être activées en parallèle avec les signaux sonores GPA ou PAPA et se limiter à : Des balises à feu clignotant jaune en cas de détection de feu ou de gaz inflammable Des balises à feu clignotant rouge en cas de détection de gaz toxique.

5.3.3. Installations non occupées en temps normal Prenant en compte le fait que seul du personnel compétent, ou du personnel supervisé de près par du personnel compétent, a la charge des installations qui ne sont pas occupées en temps normal, et à moins que des réglementations applicables localement n’imposent d’autres mesures, les exigences minimales en ce qui concerne les systèmes d’alerte du personnel seront les suivantes : L’alerte vers/à partir des installations principales sera envoyée par l’intermédiaire des moyens de communication normaux (radio, téléphone, etc.) utilisés localement pour les activités de routine quotidiennes, avec au moins une liaison avec la batterie de téléphones directs faisant partie des moyens de commande d’urgence (Voir GS 371). L’installation sera équipée d’un système GA minimal capable d’émettre un signal GPA et un signal TGA, si nécessaire ; le PA n’est pas obligatoire. Les moyens d’évacuation, s’ils existent, correspondront aux règles communes. (Voir GS 371)


Page 98 de 254


5.4. FONCTIONS LOGIQUES STANDARD Pour les différents appareils F&G. Informations venant de la spécification GS EP INS 198

5.4.1. Détecteur de gaz par point – GD 5.4.1.1. Fonctions - GD En général (interface) OUTPUTS

INTPUTS

Gas concentration valve Fault detector

Analogue input

alm

Calibration status Maintenance input Trip command

Dirty optic status (for IR detector)

GD Standard 1st threshold detection

alm

2nd threshold detection

alm

Saturated status

alm

alm = Alarm

Figure 59 : Fonctions générales / description d’un GD Description de l’interface de champ Les caractéristiques des signaux d’entrée peuvent être définies comme ci-dessous. Les valeurs données ici sont des valeurs standard typiques utilisées sur les sites pour une boucle de 4-20 mA. A vérifier sur les fiches techniques du fournisseur. Signal = 0 mA : détecteur défectueux 1,5 mA : détecteur en mode étalonnage Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 99 de 254


2 mA : statut « optique sale » (uniquement pour le détecteur IR) 4 mA : 0% LIE 20 mA : 100% LIE Signal > 20 mA : détecteur au-dessus de la plage (saturé) Détail des conditions de statut Même remarque que ci-dessus à propos des fiches techniques du fournisseur Données internes

Règles de calcul

Statut

Détection de gaz 1er seuil

Signal > 1er seuil haut (pour alarmes DCS et/ou logique FGS)

ACTIF

Détection de gaz 2nd seuil

Signal > 2nd seuil haut (pour alarmes DCS et/ou logique FGS)

ACTIF

Signal en dessous de 2,3 mA Détection de défaut

Ou ordre de déclenchement entrée maintenance = ACTIF

ACTIF

(pour alarme DCS et/ou logique FGS) Statut étalonnage

Signal entre 1 et 1,7 mA (pour animation DCS uniquement)

ACTIF

Statut « optique sale »

Signal entre 1,75 et 2,3 mA (pour détecteur IR) (pour animation DCS uniquement)

ACTIF

Statut « saturé »

Signal > seuil de plage (20 mA) (pour alarme DCS uniquement)

ACTIF

Table 23 : Détail des conditions de statut d’un GD

5.4.1.2. Représentation et animation (Interface homme/machine)- GD Evénements à enregistrer Détection de gaz 1er seuil Détection de gaz 2nd seuil Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 100 de 254


Détection de défaut Statut « saturé » Ordre de déclenchement de l’entrée de maintenance Statut « optique sale » (pour détecteur IR) Statut étalonnage Valeurs analogiques à enregistrer Valeur de la concentration de gaz (% LIE) Gestion des alarmes Détection de gaz 1er seuil Détection de gaz 2nd seuil Détection de défaut Statut « saturé » Ces 4 conditions sont classées priorité de niveau 3. Affichage de contrôle GD xxxx = nom de marqueur du détecteur (noir/caché) H

= gaz 1er seuil (rouge + clignotant)

HH

= gaz 2nd seuil (rouge + clignotant)

SAT

= statut « saturé » (rouge + clignotant)

OPT

= statut « optique sale » (rouge)

CA

= statut étalonnage (jaune)

Figure 60 : Schéma d’animation sur site avec symboles des détecteurs La description qui suit donne des exemples de représentations. Toutefois, elles peuvent être amendées selon les caractéristiques du DCS. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 101 de 254


Données internes

Affichage

Symbole

Cadre

Vert

S/O

Rouge clignotant

S/O

Rouge fixe

S/O

Rouge clignotant

S/O

Rouge fixe

S/O

Toutes les alarmes = INACTIVES

Détection de gaz 1er seuil = ACTIVE et non acquittée Détection de gaz 1er seuil = ACTIVE et acquittée Détection de gaz 2nd seuil = ACTIVE et non acquittée Détection de gaz 2nd seuil = ACTIVE et acquittée Statut « saturé » = ACTIF et non acquitté Statut « saturé » = ACTIF et acquitté Alarme saturation = INACTIVE

Rouge fixe

(PLEIN = rouge clignotant) Rouge fixe (PLEIN = rouge fixe)

S/O S/O

(PLEIN = caché)

S/O

Statut optique sale = ACTIF (avec détection de défaut)

(DO = rouge fixe)

Selon fonction standard AIS

Statut optique sale = INACTIF

(DO = caché)

Statut étalonnage = ACTIF (avec détection de défaut) Statut étalonnage = INACTIF

(CA = jaune fixe)


(CA = caché)

Jaune Blocage du résultat de la logique de vote associée

Vert Rouge ou Jaune

Table 24 : Exemple d’affichage de contrôle pour un GD Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 102 de 254


5.4.2. Détecteur de gaz à trajectoire ouverte – GDB 5.4.2.1. Fonctions - GDB En général (interface) OUTPUTS

INTPUTS

Gas concentration valve Analogue input

Fault detector

alm

Calibration status Maintenance input Trip command

“Beam block status

GDB Standard 1st threshold detection

alm

2nd threshold detection

alm

Saturated status

alm

alm = Alarm

Figure 61 : Fonctions générales / description d’un GDB Description de l’interface de champ : même chose que pour le GD Détail des conditions de statut (Même remarque que ci-dessus à propos des fiches techniques du fournisseur) Données internes

Règles de calcul

Statut

Détection de gaz 1er seuil

Signal > 1er seuil (pour alarmes DCS et/ou logique FGS)

ACTIF

Détection de gaz 2nd seuil Détection de défaut

Signal > 2nd seuil (pour alarmes DCS et/ou logique FGS) Signal en dessous de 2,3 mA, ou ordre de déclenchement entrée maintenance = ACTIF (pour alarmes DCS et/ou logique FGS)

ACTIF ACTIF

Statut étalonnage

Signal entre 1 et 1,7 mA (pour animation DCS uniquement)

ACTIF

Statut « faisceau bloqué »

Signal entre 1,75 et 2,3 mA (pour animation DCS uniquement)

ACTIF

Table 25 : Détail des conditions de statut pour le GDB Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 103 de 254


5.4.2.2. Représentation et animation (Interface homme/machine) - GDB Evénements à enregistrer Détection de gaz 1er seuil Détection de gaz 2nd seuil Détection de défaut Statut « saturé » Ordre de déclenchement de l’entrée de maintenance Statut « faisceau bloqué » Statut étalonnage Valeurs analogiques à enregistrer Valeur de la concentration de gaz (LIE.m) Gestion des alarmes Détection de gaz 1er seuil Détection de gaz 2nd seuil Détection de défaut Statut « saturé » Ces 4 conditions sont classées priorité de niveau 3. Affichage de contrôle GDB xxxx = nom de marqueur du détecteur (noir/caché) H = gaz 1er seuil (rouge + clignotant) HH = gaz 2nd seuil (rouge + clignotant) SAT = statut « saturé » (rouge + clignotant) OPT = statut « faisceau bloqué » (rouge) CA = statut étalonnage (jaune)

Figure 62 : Schéma d’animation sur site avec symboles des détecteurs La description qui suit donne des exemples de représentations. Toutefois, elles peuvent être amendées selon les caractéristiques du DCS. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 104 de 254


Données internes

Affichage

Symbole

Cadre

Vert

S/O

Rouge clignotant

S/O

Rouge fixe

S/O

Rouge clignotant

S/O

Rouge fixe

S/O

Toutes les alarmes = INACTIVES Détection de gaz 1er seuil = ACTIVE et non acquittée Détection de gaz 1er seuil = ACTIVE et acquittée Détection de gaz 2nd seuil = ACTIVE et non acquittée Détection de gaz 2nd seuil = ACTIVE et acquittée Statut « saturé » = ACTIF et non acquitté Statut « saturé » = ACTIF et acquitté Alarme saturation = INACTIVE

Rouge fixe

(PLEIN = rouge clignotant) Rouge fixe (PLEIN = rouge fixe)

(PLEIN = caché)

Statut faisceau bloqué = ACTIF (avec détection de défaut)

(OPT = rouge fixe)

Statut faisceau bloqué = INACTIF

(OPT = caché)

Statut étalonnage = ACTIF (avec détection de défaut)

(CA = jaune fixe)

Statut étalonnage = INACTIIF

(CA = caché)

Blocage du résultat de la logique de vote associée

S/O S/O S/O


Vert Rouge ou Jaune


Jaune

Table 26 : Exemple d’affichage de contrôle pour un GDB Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 105 de 254


5.4.3. Détecteur de flamme – RD 5.4.3.1. Fonctions - RD Description de l’interface de champ Les caractéristiques des signaux d’entrée peuvent être définies comme ci-dessous. Les valeurs données ici sont des valeurs standard typiques utilisées sur les sites pour une boucle de 4-20 mA. A vérifier sur les fiches techniques du fournisseur. < 2 mA

Détection d’un circuit ouvert

= 2 mA

Optique sale

4 mA

Statut sain

16 mA

Détection de flamme (instantanée)

20 mA

Détection confirmée (avec ajustement de la temporisation)

> 20 mA

Détection de court-circuit

En général (interface) OUTPUTS

INTPUTS

Analogue input Maintenance input

Flame detection (alarm)

alm

Fault status

alm

RD Confirmed detection Standard Function Dirty optic status

alm alm

Trip command alm = Alarm

Figure 63 : Fonctions générales / description d’un RD Détail des conditions de statut Valeurs données comme exemples et selon un fournisseur spécifique ; à confirmer pour le matériel installé sur votre site


Page 106 de 254


Statut

Conditions

Statut alarme (détecteur de flamme)

Actif si signal > 14 mA (Détection de flamme)

Statut détection confirmée

Actif si signal > 18 mA (Détection de flamme confirmée)

Statut défaut

Défaut si signal inférieur à 2 mA ou supérieur à 21 mA

Table 27: Détail des conditions de statut pour un RD

5.4.3.2. Représentation et animation (Interface homme/machine) - RD Événements à enregistrer Statut alarme (détection de flamme) Détection de flamme confirmée Statut défaut (circuit ouvert ou court-circuit) Ordre de déclenchement de l’entrée de maintenance Gestion des alarmes Détection de flamme Détection de flamme confirmée Statut défaut Ces 3 conditions sont classées priorité de niveau 3 Affichage de contrôle Description de l’affichage

Texte

Cadre

Statut normal

Bleu fixe

S/O

Statut détection confirmée non acquitté

Rouge clignotant

S/O


Affichage

Page 107 de 254


Statut détection confirmée acquitté

Rouge fixe

S/O

Statut défaut

Bleu fixe

Rouge fixe

Défaut de communication ou du système

Blanc

Magenta

Table 28 : Affichage de contrôle pour un RD Les événements qui aboutissent à ces affichages peuvent ne pas être mutuellement exclusifs. Par conséquent, l’ordre de précédence sur l’affichage, du plus important au moins important, sera : magenta, blanc, bleu, jaune. Animation spécifique Description de l’affichage Statut normal

Statut alarme (détection de flamme)

Affichage

Symbole

Cadre

Vert

S/O

Rouge clignotant

S/O

Rouge fixe

S/O

OPT = rouge clignotant

S/O

OPT = rouge fixe

S/O

(avant acquittement) Statut alarme (détection de flamme) (après acquittement) Optique sale (avant acquittement) Optique sale (après acquittement)


Page 108 de 254


Détection confirmée

Rouge fixe

(avant acquittement)

HH = rouge clignotant

Détection confirmée

Rouge fixe

(après acquittement)

HH = rouge fixe

Statut défaut (avant acquittement)

Statut défaut (après acquittement)


S/O

S/O

Vert

Rouge clignotant

Vert

Rouge fixe

Vert, rouge ou jaune

Jaune

Table 29 : Animation spécifique pour un RD

5.4.4. Détecteur de chaleur et de fumée – RDH & RDS 5.4.4.1. Fonctions – RDH & RDS En général (interface) OUTPUTS

INTPUTS

Flame detection (alarm) Analogue input Loop reset command Maintenance input Trip command

Fault status RDH & RDS Standard Loop reset output Function

alm alm

alm = Alarm

Figure 64 : Fonctions générales / description du RDH & RDS Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 109 de 254


Description de l’interface de champ Mêmes remarques que précédemment à propos des fiches techniques du fournisseur < 2 mA

Détection d’un circuit ouvert

= 4 mA

Signal en condition normale

> 7 mA

Statut détection

Détail des conditions de statut Valeurs données comme exemples et selon un fournisseur spécifique ; à confirmer pour le matériel installé sur votre site Statut Statut détection Statut défaut Sortie de réinitialisation de la boucle

Conditions Actif si signal > 7 mA (pour les alarmes DCS et/ou la logique FGS) Défaut si signal inférieur à 2 mA (pour les alarmes DCS et/ou la logique FGS) Active quand la détection et l’ordre de réinitialisation de la boucle sont actifs en même temps

Table 30 : Détail des conditions de statut pour un RDH & RDS Description des ordres – RDH & RDS Ordre Réinitialisation de la boucle Déclenchement de l’entrée de maintenance

Conditions Active quand il y a signal d’impulsion (de l’interface homme/machine) Mise à un et remise à zéro (à partir de l’interface homme/machine au niveau accès à la maintenance)

Table 31 : Description des ordres pour le RDH & RDS

5.4.4.2. Représentation et animation (Interface homme/machine) – RDH & RDS Événements à enregistrer Statut détection Statut invalide Ordre de déclenchement de l’entrée de maintenance Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 110 de 254


Ordre de réinitialisation de la boucle Gestion des alarmes Alarme de détection Alarme de défaut Ces 2 conditions sont classées priorité de niveau 3 Affichage de contrôle : RDSxxxx pour le détecteur de fumée – RDHxxxx pour le détecteur de chaleur Description de l’affichage

Affichage

Texte

Cadre

Statut normal

Bleu fixe

S/O

Statut alarme non acquitté

Rouge clignotant

S/O

Statut alarme acquitté

Rouge fixe

Statut défaut

Rouge

Rouge

Blanc

Magenta

Défaut communication ou système

S/O

Table 32 : Affichage de contrôle pour un RDH & RDS Animation spécifique –RDH & RDS Description de l’affichage

Statut normal


Affichage

Symbole

Cadre

Vert

S/O

Page 111 de 254


Statut défaut Rouge clignotant

S/O

Rouge fixe

S/O

Vert

Rouge clignotant

Vert

Rouge fixe

Vert, rouge ou jaune

Jaune fixe

(avant acquittement) Statut défaut (après acquittement) Statut défaut (avant acquittement) Statut défaut (après acquittement)


Table 33 : Animation spécifique pour un RDH & RDS

5.4.5. Système « déluge » – DELUGE 5.4.5.1. Fonctions – « Déluge » En général (interface) La figure de ce paragraphe est présentée comme une application générale (et selon la spécification GS EP INS 198), mais cependant, on doit la considérer comme application générale d’un fabricant spécifique pour les sites Total. La terminologie, les graphiques, l’affichage, l’animation pourraient être différents avec une autre technologie …. (et un autre fabricant).


Page 112 de 254

Formation Exploitation Instrumentation Automatisme Sécurité : F&G / ESD OUTPUTS

alm = Alarm

INTPUTS

Opt = Optional

AIS or voting logic Water curtain start RPT1 – fusible plug loop for deluge

Deluge activation command valve Release status Automatic request of activation Release reset command

Foam operating command status DELUGE Foam valve open

Test command of activation Opt

alm

Release discrepancy

Opt Opt Opt alm

Foam discrepancy

Close command of foam valve alm

Fault status

DELUGE

Deluge activation counter Opt

Foam activation counter

Lamp test of local F&G panel

Deluge solenoid valve (RY1)

RPT2 (All water)

Command DO

Open limit switch of foam valve

Opt

Foam solenoid valve (RY3) Command DO Deluge release (DO) (lamps on F&G local panel)

Figure 65 : Fonctions générales / description d’un système « déluge » Description de l’interface de champ Cette fonction standard traite directement ses entrées et ses sorties de champ, à l’exception de l’entrée RPT1 qui utilisera la fonction standard AIS, étant donné qu’elle est aussi traitée par la logique ESD. La logique de l’électrovanne RY1 (DO pourvue d’un moyen de surveillance de la ligne de sortie) sera comme suit : 1 = Ouverte pour le système « déluge » avec ou sans mousse Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 113 de 254


0 = Ouverte pour le rideau d’eau La logique de l’électrovanne RY3 (DO pourvue d’un moyen de surveillance de la ligne de sortie) sera comme suit : 1 = Ouverte pour le système « déluge » avec mousse Indication locale sur le tableau de la matrice F&G : 1 = Libération. Les entrées spécifiques sont : RPT2 (pression d’eau en aval de la vanne « déluge ») qui sert à confirmer la libération de l’eau < 8 mA = NORMALE Contacteur de fin de course RZH de la vanne de mousse 1 = Ouvert.

5.4.5.2. Ordre d’activation Vanne « déluge » L’ordre d’ouverture de la vanne « déluge » est activé par la basse pression de la boucle fusible. RPT1 (boucle fusible) sert à activer automatiquement le « déluge » (avec la valeur du seuil : < 8 mA = Lancer « déluge »). La fonction standard AIS traitera cette condition. L’ordre de fermeture de la vanne « déluge » est activé uniquement par l’opérateur (ordre de réinitialisation de la libération à partir de l’interface homme/machine). Vanne du rideau d’eau L’ordre d’ouverture de la vanne du rideau d’eau est activé par la logique de vote de la détection de gaz de l’emplacement protégé (selon le projet « feu et gaz » et la matrice des causes et effets). L’ordre de fermeture de la vanne du rideau d’eau est activé uniquement par l’opérateur (ordre de réinitialisation de la libération à partir de l’interface homme/machine).


Page 114 de 254


Vanne de mousse (option) L’ordre d’ouverture de la vanne de mousse est activé quand l’ordre d’ouverture de la vanne « déluge » est activé. L’ordre de fermeture de la vanne de mousse est activé uniquement par l’opérateur (ordre à partir de l’interface homme/machine).

5.4.5.3. Ordre de test Pour chaque système « DELUGE », une cible dédiée apparaissant sur l’écran de représentation géographique des zones de détection de feu donnera accès à la fonction test. Cet accès se fera au niveau accès maintenance. Une double confirmation (traitée au niveau de l’interface homme/machine) est nécessaire pour s’assurer que l’opérateur est pleinement conscient qu’un test va être effectué. Cet ordre de test activera l’ordre d’ouverture de la vanne « déluge ».

5.4.5.4. Comportement fonctionnel standard Statut de l’ordre de manœuvre Vanne « déluge »/rideau d’eau : Le statut de l’ordre « déluge » résulte de l’ordre d’ouverture/fermeture ou de l’ordre de test du système « déluge ». Vanne de mousse (option) : Le statut de l’ordre « mousse » résulte de l’ordre d’ouverture/fermeture ou de l’ordre de test du système « mousse ». Statut Statut libération « déluge » : Actif quand haute pression RPT2 > 8 mA. Statut mousse ouverte (optionnel) : Actif quand le contacteur de fin de course ouverture est actif. Statut divergence « déluge » : Divergence entre le statut de l’ordre « déluge » et le statut du seuil RPT2 après une temporisation. Statut divergence « mousse » (optionnel) : Divergence entre le statut de l’ordre « mousse » et le contacteur de fin de course ouverture de la vanne de mousse après une temporisation.


Page 115 de 254


Statut défaut : Faute matérielle concernant les cartes DI/DO ou signal AI (RTP2) défectueux. Compteur d’activations Cette fonction sera traitée au niveau DCS. Elle rapporte le nombre de changements de statut de l’ordre d’activation (de fermeture à ouverture) depuis le dernier ordre de réinitialisation.

5.4.5.5. Représentation et animation (interface homme/machine) – « Déluge » Evénements à enregistrer Ordre de test Validation de test Ordre d’ouverture et de fermeture de la vanne de mousse (optionnel) Statut de l’ordre « déluge » Statut divergence « déluge » Statut de l’ordre « mousse » (optionnel) Statut divergence « mousse » (optionnel) Statut défaut Valeurs analogiques à enregistrer Compteur d’activations « déluge » (doivent être enregistrées par le DCS) Compteur d’activations mousse (doivent être enregistrées par le DCS) Gestion des alarmes Alarme de divergence libération Alarme de divergence mousse (optionnel) Alarme basse pression boucle fusible Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 116 de 254


Alarme défaut Ces 4 conditions sont classées priorité de niveau 3. Affichage de contrôle En règle générale, tous les signaux d’alarme sont clignotants avant l’acquittement. Affichage « déluge » avec mousse :

Figure 66 : Affichage de contrôle pour « déluge » avec mousse

N°

Description de l’affichage Activation « déluge » =

NON ACTIF

Ordre d’activation « déluge » = ACTIF

Affichage

Couleur

SYSTEME « DELUGE »

Blanc


Bleu


Bleu fixe


Rouge

1 Statut libération =

ACTIF

Divergence libération = ACTIVE Sert de zone cible à la réinitialisation de l’ordre de libération

2

Détection de la boucle fusible =

ACTIVE

BOUCLE FUSIBLE

Rouge

Détection de la boucle fusible = (sauf pour le rideau d’eau)

NORMALE

BOUCLE FUSIBLE

Bleu


Page 117 de 254


N°

Description de l’affichage

Affichage

Couleur

Mousse =

ACTIVE

MOUSSE

Magenta (clignotant)

Vanne de mousse =

OUVERTE

MOUSSE

Magenta

Vanne de mousse =

FERMEE

MOUSSE

Blanc

Divergence vanne de ACTIVE mousse = Sert de zone cible à l’ordre de fermeture/ouverture mousse

MOUSSE

Rouge

3

Défaut = ACTIF

Rouge

Défaut = NON ACTIF

Caché

Ordre de test « déluge » = NON ACTIF

Blanc

Ordre de test « déluge » = ACTIF Sert de zone cible à l’ordre de test

Jaune (clignotant)

BOUTON-POUSSOIR = NON ACTIF

Bleu

BOUTON-POUSSOIR = ACTIF

Rouge

4

5

6

Table 34 : Table d’animation des données du système « déluge » avec mousse Affichage « déluge » sans mousse :

Figure 67 : Affichage de contrôle pour « déluge » sans mousse


Page 118 de 254


N°


Affichage

Couleur


Blanc



Bleu

Statut libération =


Bleu fixe


Rouge

Activation « déluge » =

NON ACTIVE

1 ACTIF

Divergence de libération = ACTIVE Sert de zone cible à la réinitialisation de l’ordre de libération

2

Détection de la boucle fusible =

ACTIVE

BOUCLE FUSIBLE

Rouge

Détection de la boucle fusible = (sauf pour le rideau d’eau)

NORMALE

BOUCLE FUSIBLE

Bleu

BOUTON-POUSSOIR = NON ACTIF

Bleu

BOUTON-POUSSOIR = ACTIF

Rouge

Défaut = ACTIF

Rouge

Défaut = NON ACTIF

Caché


Blanc


Jaune (clignotant)

3

4

5

Table 35 : Table d’animation des données pour le système « déluge » sans mousse


Page 119 de 254


Affichage du rideau d’eau: Figure 68 : Affichage de contrôle du rideau d’eau

N°


Affichage

Couleur

RIDEAU D’EAU

Blanc


RIDEAU D’EAU

Bleu

Statut libération =

RIDEAU D’EAU

Bleu fixe

RIDEAU D’EAU

Rouge

Activation « déluge » =

NON ACTIVE

1 ACTIF

Divergence de libération = ACTIVE Sert de zone cible à la réinitialisation de l’ordre de libération Détection de gaz =

ACTIVE

DETECTION DE GAZ

Rouge

Détection de gaz =

NORMALE

DETECTION DE GAZ

Bleu

2

Défaut = ACTIF

Rouge

Défaut = NON ACTIF

Caché


Blanc


Jaune (clignotant)

3

4

Table 36 : Table d’animation des données pour le rideau d’eau


Page 120 de 254


5.4.6. Système d’extinction du feu – Fire Ext 5.4.6.1. Fonctions et interface – Fire Ext OUTPUTS

alm = Alarm

INTPUTS

Release reset command Test activation command

One loop fault

alm

Extinguishing command

alm

Klaxon Extinguishing activation Local manual activation

Fire Ext Standard

Extinguishing mode Inert gas release status

Flashing lights (x2)

alm

Extinguishing mode status

alm

Inert gas release Main solenoid valve Test status

Figure 69 : Fonctions générales / description du système d’extinction du feu

5.4.6.2. Gestion du mode et des ordres – Fire Ext Ordre de test Chaque logique de système d’extinction au gaz inerte dispose d’un moyen de test au niveau accès à la maintenance. Cet ordre de test active l’ordre d’extinction quel que soit le mode sélectionné (auto ou manuel). Des zones d’écran dédiées situées sur la représentation géographique de la simulation de détection de feu donnent accès à l’ordre de test. Une double confirmation (traitée au niveau interface homme/machine) est nécessaire pour s’assurer que l’opérateur est totalement conscient qu’un test va être effectué. La séquence complète sera lancée : Activation d’une lumière clignotante et d’un klaxon Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 121 de 254


Activation de l’électrovanne (mais pas d’alarme générale). Ordre d’activation manuel local Chaque local est équipé de commandes d’activation manuelles locales. Elles serviront à activer l’ordre d’extinction, quel que soit le mode sélectionné (auto ou manuel). Ordre de réinitialisation de la libération Cet ordre de réinitialisation, au niveau de l’accès maintenance, sert à réinitialiser l’ordre d’extinction (une fois que l’ordre d’activation de l’extinction est retourné à un statut sain). L’activation de l’ordre de réinitialisation signifie que le local a retrouvé son statut de sécurité. Mode extinction Un sélecteur auto/manuel est installé à l’entrée principale du local. Il permet la sélection de la libération automatique du gaz inerte par la logique du système F&G.

5.4.6.3. Règles de calcul des données internes Ordre d’extinction Cette donnée interne peut passer de l’un à l’autre des deux statuts suivants : LANCE NORMAL. Pour chaque système de gaz inerte, l’ordre d’extinction est LANCE quand l’une des trois conditions suivantes est activée : Ordre de test Ordre manuel local Activation de l’extinction = ACTIVE et mode extinction = AUTO. Quand la commande de réinitialisation de la libération est actionnée, l’ordre d’extinction retourne au statut NORMAL, si les trois conditions citées précédemment sont déjà retournées au statut NORMAL. Alarmes pour l’opérateur Pour chaque système de gaz inerte, il y a deux animations spécifiques à l’usage des opérateurs : Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 122 de 254


1 - Animation locale (à l’intérieur et à l’extérieur de l’emplacement protégé) : Klaxon (à l’intérieur), quand l’ordre d’extinction est LANCE ou que le gaz inerte libéré est ACTIF Lumières clignotantes (à l’intérieur et à l’extérieur), quand l’ordre d’extinction est LANCE ou que le GAZ INERTE libéré est ACTIF Mode d’extinction (à l’extérieur), selon la position du sélecteur local Gaz inerte libéré (à l’extérieur) 2 – Animation de la salle de contrôle centrale (consoles d’interface homme/machine) : Ordre d’extinction Mode extinction, selon la position du sélecteur local Gaz inerte libéré Un défaut de boucle, sur défaut de ligne surveillée ou défaillance de l’une des boucles d’E/S gérées par le système de gaz inertes Ordre d’activation du test. Sur ordre de réinitialisation de la libération, l’alarme de libération de gaz inerte retourne au statut NORMAL si le statut libération du gaz inerte est NORMAL. Activation de l’électrovanne Quand l’ordre d’extinction est LANCE, l’électrovanne de libération (sortie de ligne surveillée) est activée après une temporisation spécifique (généralement 30 sec.) afin de permettre aux opérateurs du site d’évacuer l’emplacement protégé.

5.4.6.4. Représentation et animation (HMI) – Fire Ext Événements à enregistrer Ordre de test Validation de test Ordre d’activation manuel local Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 123 de 254


Position locale Gaz inerte libéré Mode extinction Ordre d’extinction Défaut de boucle. Gestion des alarmes Ordre de test Ordre manuel local Ordre d’extinction Gaz inerte libéré Alarme de défaut de boucle Ces 5 conditions sont classées priorité de niveau 3. Affichage de contrôle

Figure 70 : Affichage de contrôle du système d’extinction de feu


Page 124 de 254


N°


Affichage

Couleur

Ordre d’extinction = LANCE

SEQUENCE EXTINCTION. AU GAZ INERTE ACTIVEE

Rouge

Ordre d’extinction = NORMAL Sert de zone cible pour réinitialiser l’ordre de libération

SEQUENCE EXTINCTION AU GAZ INERTE ACTIVEE

Bleu

Ordre de test = LIBERATION (ordre de mise à 1 et de remise à zéro) Autre

TEST

Jaune (clignotant)

Autre Sert de zone cible à l’ordre de test

TEST

Bleu

Feu confirmé = ACTIF (selon logique de vote 2ooN pour animation)

FEU CONFIRME

Rouge

Feu confirmé = NORMAL

FEU CONFIRME

Bleu

Ordre manuel local = LIBERATION

HSXXXX

Rouge

Ordre manuel local = NORMAL

HSXXXX

Bleu

Mode extinction = MANU

LOCAL

Rouge

Mode extinction = AUTO

A DISTANCE

Vert

GAZ INERTE libéré = ACTIF

LIBERATION GAZ INERTE

Rouge

GAZ INERTE libéré = NORMAL

LIBERATION GAZ INERTE

Bleu

1

2

3

4

5

6

Défaut de boucle = ACTIF

Rouge

Défaut de boucle = NORMAL

Caché

7

Table 37 : Table d’animation des données pour le système d’extinction du feu


Page 125 de 254


5.4.7. Logiques de vote – 2ooN – 2oo3 5.4.7.1. Fonctions – 2ooN – 2oo3 Règles de calcul des données internes Données internes

Règles de calcul

Statut

Détecteurs 2ooN en ALARME Détection confirmée

ou détecteurs N -1 en DEFAUT et le dernier en ALARME

ACTIF

ou tous les détecteurs en DEFAUT Panne partielle (seulement pour les alarmes opérateurs)

Détecteurs 1ooN en DEFAUT

ACTIF

Panne totale

Tous les détecteurs en DEFAUT

ACTIF

Table 38 : Règles de calcul des données internes – Logique de vote En général (interface) OUTPUTS

INTPUTS

alm = Alarm

Confirmed detection

1st detector in ALARM

alm

1st detector FAULT Partial failure 2nd detector in ALARM 2nd detector FAULT

2ooN

Total failure

alm

Confirmed detection

alm

Standard

Nth detector in ALARM Nth detector FAULT

Input 1 Input 2 Input 3

2oo3

Partial failure

Standard Total failure

alm

Figure 71 : Fonctions générales / description du système de vote 2oon – 2oo3 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 126 de 254


5.4.7.2. Représentation et animation (HMI) – Logique de vote – 2ooN Événements à enregistrer Détection confirmée Panne totale Entrée individuelle dans alarme (uniquement quand la logique de vote est utilisée avec des entrées numériques) Gestion des alarmes Détection confirmée Alarme de panne totale Entrée individuelle dans alarme Ces 3 conditions sont classées priorité de niveau 3. Affichage de contrôle Données internes

Affichage

Texte (entrée barre de sécurité)

Cadre

Détection confirmée = INACTIVE

Nom du marqueur

Bleu fixe

S/O

Détection confirmée = ACTIVE Alarme non acquittée

Rouge clignotant

S/O

Détection confirmée = ACTIVE Alarme acquittée

Rouge fixe

S/O

Panne partielle = ACTIVE

Comme cidessus

Rouge fixe (cadre interne)

Panne totale = ACTIVE

Comme cidessus

(cadre interne) Rouge clignotant avant acquittement Rouge fixe après acquittement

Défaut de communication = ACTIF

Bleu

Magenta (cadre externe)

Table 39 : Animation spécifique de logique de vote Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 127 de 254


Les noms des marqueurs seront les suivants : Détection gaz confirmée ⇒ GSH xxxx (1er niveau), GSHH xxxx (second niveau) Détection de feu confirmée ⇒ RSHH xxxx (fumée), RHHH xxxx (chaleur) Détection de seuil de sécurité (AIS) ⇒ PSHH xxxx (pression), etc. Exemple d’utilisation de la matrice F&G (pour information) (Selon fonction standard du système d’extinction du feu) Système d’extinction au gaz inerte Libération à partir de l’interface homme/machine Nom du local protégé

MAN

LIBERATION LOCALE Gaz inerte LIBERE

Table 40 : Exemple d’utilisation de la matrice de sécurité en détection F&G

5.4.8. Clapet coupe-feu 5.4.8.1. Fonctions Description spécifique des interfaces de champ Les interfaces de champ correspondantes sont : RVY (DO) : ordre de manœuvre de l’électrovanne : 0 = Fermée RVH (DI) : détecteur de fin de course d’ouverture :

1 = Ouverte

RVL (DI) : détecteur de fin de course de fermeture : 1 = Fermée Ces marqueurs sont donnés pour information, mais ils seront conformes aux spécifications du projet. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 128 de 254


En général (interface) OUTPUTS

INTPUTS

Safety Bar Standard Function

alm = Alarm Status (open/closed)

Safety trip

Discrepancy status

Operating command Status Status (open/closed) alm

Standard Discrepancy Status function

Maintenance inhibit command

alm

Fault status Fire Damper

Open limit switch (DI)

Maintenance inhibit status

Solenoid valve operating command (DO)

Closed limit switch (DI)

Figure 72 : Fonctions générales / description d’un clapet coupe-feu Blocage de la maintenance Disponible au niveau de l’accès à la maintenance. Quand le blocage de la maintenance est actif : Les contacteurs de fin de course ne sont plus pris en compte dans la gestion du statut ouvert/fermé interne La divergence n’est plus active La partie commandée (le corps de vanne) est rouge fixe si la vanne est ouverte et les contacteurs de fin de course fermeture ont le même statut ; autrement, le statut ouvert ou fermé sera visualisé comme défini ci-après.


Page 129 de 254


Le statut blocage maintenance est actif quand l’ordre de blocage de la maintenance est actif. Statut de l’ordre de manœuvre Le statut de l’ordre de manœuvre est sur : « Ouvert » quand la barre de sécurité concernée n’a pas été déclenchée « Fermé » sur activation du déclenchement de sécurité associé Ordre de manœuvre du clapet coupe-feu (DO) Même chose que pour le statut d’opération. Statut « ouvert » Le statut « ouvert » de l’IHM est actif si le contacteur de fin de course ouverture est actif et que le contacteur de fin de course fermeture n’est pas actif. Le statut « ouvert » (données internes) est actif si : (Statut de l’ordre de manœuvre = « Ouvert ») et (Contacteur de fin de course ouverture actif et contacteur de fin de course fermeture non actif) ou (Statut de l’ordre de manœuvre = « Ouvert ») et statut de blocage de maintenance actif. Statut « fermé » Le statut « fermé » de l’IHM est actif si le contacteur de fin de course ouverture n’est pas actif et que le contacteur de fin de course fermeture est actif. Le statut « fermé » (données internes) est actif si : (Statut ordre de manœuvre = « Fermé ») et (Contacteur de fin de course ouverture non actif et contacteur de fin de course fermeture actif) ou (Statut ordre de manœuvre = « Fermé ») et statut blocage de maintenance actif.


Page 130 de 254


Statut divergence Il indique une divergence entre le statut de l’ordre et le statut des contacteurs de fin de course, après une temporisation (chronomètre de la manœuvre en cours). Le statut divergence n’est pas actif quand : Les statuts « fermé »/« ouvert » sont actifs Le statut « manœuvre en cours » est actif Le statut « blocage de la maintenance » est actif. Statut manœuvre en cours Actif pendant le décompte du chronomètre de la « manœuvre en cours ». Le chronomètre de la manœuvre en cours n’est activé que sur changement du statut de l’ordre de manœuvre. Statut défaut Indique un défaut matériel concernant les cartes d’E/S associées (entrées/sorties de champ).

5.4.8.2. Représentation (interface homme/machine) – Clapet coupe-feu Événements à enregistrer Ordre de blocage de la maintenance Statut de l’ordre de manœuvre Statut divergence Statut défaut Gestion des alarmes Statut divergence actif et statut ordre de manœuvre de fermeture Statut divergence actif et statut ordre de manœuvre d’ouverture Statut défaut Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 131 de 254


Ces 3 conditions sont classées priorité de niveau 3. Affichage de contrôle (Animation des symboles) La description qui suit donne des exemples de représentations. Toutefois, elles peuvent être amendées selon les caractéristiques du DCS. Figure 73 : Représentation d’un clapet coupe-feu L’étiquette d’instrument xxxx du clapet coupe-feu apparaît à la demande de l’opérateur (touche programmable). L’étiquette d’instrument xxxx du clapet coupe-feu sert de zone cible à l’ordre de blocage de la maintenance. Symbole

Nom du marqueur sur l’affichage barre de sécurité

Clapet coupe-feu fermé ou défaut communication ou défaut système

Blanc Blanc

Blanc

Ordre d’ouverture mais clapet coupe-feu fermé

Blanc Couleur fluide

Blanc

Ouverture du clapet coupe-feu en cours

Couleur fluide Couleur fluide clignotante

Blanc

Clapet coupe-feu ouvert

Couleur fluide Couleur fluide

Bleu

Ordre de fermeture mais clapet coupe-feu ouvert

Couleur fluide Blanc

Bleu

Fermeture du clapet coupe-feu en cours

Couleur fluide clignotante Blanc

Bleu

Divergence clapet coupe-feu quand il se ferme avant l’acquittement (*)

Rouge clignotant Blanc

Rouge clignotant



Affichage

Page 132 de 254



Affichage

Symbole

Nom du marqueur sur l’affichage barre de sécurité

Blanc Rouge

Rouge

Rouge clignotant Couleur fluide

Rouge clignotant

Rouge Couleur fluide

Rouge

Divergence clapet coupe-feu quand il se ferme après l’acquittement Ou les contacteurs de fin de course ouverture et fermeture ont le même statut et le statut blocage maintenance est actif (*)

Divergence clapet coupe-feu quand il s’ouvre avant l’acquittement (*)

Divergence clapet coupe-feu quand il s’ouvre après l’acquittement Ou les contacteurs de fin de course ouverture et fermeture ont le même statut et le statut blocage maintenance est actif

Table 41 : Table d’animation des données pour les symboles du clapet coupe-feu


Page 133 de 254


Affichage de commande (Animation du cadre) Description de l’affichage

Affichage

Cadres

Statut normal

Déclenchement de sécurité

Cadre externe : Blanc

Blocage maintenance

Cadre externe : Jaune

Défaut (et blocage maintenance)

Cadre interne : Rouge clignotant avant acquittement Rouge fixe après acquittement


Cadre externe : Magenta

Table 42 : Table d’animation des données du cadre du clapet coupe-feu Les événements qui aboutissent à ces affichages peuvent ne pas être mutuellement exclusifs. Par conséquent, l’ordre de précédence sur l’affichage, du plus important au moins important, sera : magenta, blanc, jaune.


Page 134 de 254


6. GÉNÉRALITÉS SUR LE SYSTÈME ESD 6.1. TECHNOLOGIE DU SYSTÈME ESD 6.1.1. Raison d’être d’un système de sécurité Un système de sécurité a les fonctions suivantes : Sécurité du personnel Protection de l’environnement Protection des procédés Il détecte les événements à risques et agit pour annuler ou réduire leurs effets : Fuite d’hydrocarbures ou de produits toxiques Incendie Explosion due à une surpression lors d’un procédé

Fire & Gas system

Plant Safety systems

1. Personnel Protection

2. Material Protection

Process protection

Vent Blowdown

Isolation

Alarms

Relief Valves

SWG – MCC

Deluge

Blowdown Valves

Shutdown Valves

Inert gases

Control Valves

Control Valves

Figure 74 : Schéma général et raison d’être d’un système de sécurité de centrale


Page 135 de 254


6.1.2. Principaux éléments d’un système de sécurité Dispositifs d’entrée Capteurs : ils génèrent des signaux binaires qui dépendent de l’état de variables de traitement Dispositifs de sortie Éléments finals : ils agissent comme éléments de « marche-arrêt » pour que le procédé s’effectue dans des conditions de sécurité Résolveur logique Il exécute la logique d’application et pilote les sorties en fonction de l’état des entrées Il agit comme interface pour : les E/S (Entrées / Sorties) les opérateurs de traitement la maintenance & les essais fonctionnels périodiques en utilisant les moyens de dérivation la communication avec les autres systèmes

Figure 75 : Principaux éléments d’un système de sécurité Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 136 de 254


6.1.3. Différentes technologies Voir figure « Différentes technologies des systèmes de sécurité ».

6.1.3.1. Technologie mécanique Elle comprend : PSE, TSE, PSV, TSV, FSV… etc. Ces équipements constituent la protection ultime du traitement et opèrent sans alimentation extérieure. Leur utilisation dépend des réglementations locales. Technology of Safety System Fluidic Technology

Mechanical Technology

Hydraulic systems

Check Valves

Pneumatic systems

Relief Valves Rupture Disc

And interfacing, converters between the different technologies

Electrical Technology

Wired System

Electromechanical relays Solenoid Valves

Instrument Technology

Programmed System PLC Solid state gates

Figure 76 : Différentes technologies pour les systèmes de sécurité

6.1.3.2. Technologie fluidique Elle comprend les systèmes pneumatiques et hydrauliques. On l’utilise quand il est difficile d’obtenir de l’énergie électrique (ex : systèmes de sécurité sur les têtes de puits). Obtenue par des « pilotes » connectés ensemble pour effectuer des fonctions binaires élémentaires (ET, OU, NON, mémoire…) installées à l’intérieur de l’armoire locale (WHSC). Très grande fiabilité qui dépend de la qualité du fluide : Air (propre et sec) Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 137 de 254


Gaz (sans paraffine ni condensat) Pétrole (filtré et à viscosité constante)

6.1.3.3. Technologie électrique / d’instrumentation Obtenue par câblage de différents relais ou portes Relais électromécaniques sûrs et immunisés contre la plupart des EMI/RFI pas de forme de communication la plupart des systèmes n’incorporent pas de dérivations les DWG doivent être mis à jour utilisés pour de très petites applications (<15 I/O) Portes de circuits intégrés offrent une forme de communication comportent généralement des moyens de test les DWG doivent aussi être mis à jour Flexibilité limitée et coût élevé Structure

Figure 77 : Structure générale d’un système ESD Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 138 de 254


Fonctionnement système « fail-set » (déclenchement après mise sous tension) Entrées : Sorties : Exemple :

contact ouvert en mode de fonctionnement normal hors tension en mode de fonctionnement normal

Figure 78 : Fonctionnement à sécurité intégrée – déclenchement après mise sous tension Fonctionnement à sécurité intégrée (déclenchement après mise hors tension) Entrées : Sorties : Exemple :

contact fermé en mode de fonctionnement normal sous tension en mode de fonctionnement normal

Figure 79 : Fonctionnement à sécurité intégrée – déclenchement après mise hors tension Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 139 de 254


Légende pour les deux figures du système à sécurité intégrée PBI : Input bypass (dérivation d’entrée) IR : Input relay (relais d’entrée) F1A / F1B : Input fuses (fusibles d’entrée) LDR : Line cut-off detection (détection de coupure de ligne) L1 : Input status (statut de l’entrée) L2 : Input bypass status (statut de la dérivation d’entrée) L5 : Line cut-off alarm (alarme de coupure de ligne) PBO : Output bypass (dérivation de sortie) OR : Output relay (relais de sortie) S : Solenoid valve actuator (actionneur d’électrovanne) F2A / F2B : Output fuses (fusibles de sortie) L3: Output status (statut de la sortie) L4 : Output bypass status (statut de la dérivation de sortie)

Comportement du traitement Ou différence entre « fail-set » et sécurité intégrée en cas de « problème ». Condition

Circuit ouvert ou manque de tension Entrées : pas d’action

Fail-set Sorties : pas d’action Entrées : action Sécurité intégrée Sorties : action

Court-circuit Entrées : action Sorties : pas d’action

Entrées: pas d’action Sorties : action

Table 43 : Comportement du traitement en conditions de « fail-set » et de sécurité intégrée Défaut ayant le plus de chances de se produire : circuit ouvert ou manque de tension Sécurité intégrée :

système sûr en cas de panne, mais possibilité de déclenchement intempestif Choix typique pour niveaux 1, 2, et 3

« Fail-set » :

évite les déclenchements intempestifs Choix typique pour niveau 0, et systèmes F&G

Un système conçu pour diagnostiquer (ou surveiller) les courts-circuits et les circuits ouverts doit être installé dans le câblage de champ pour améliorer la fiabilité globale. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 140 de 254


6.1.4. Technologie des dispositifs utilisés sur site Principe général : La plupart des systèmes ESD sont conçus à sécurité intégrée : les contacts des détecteurs sont fermés et sous tension en fonctionnement normal les signaux des émetteurs se déclenchent en cas de panne les contacts du résolveur logique sont normalement fermés les vannes se mettent en configuration de sécurité en cas de coupure de courant les moteurs électriques s’arrêtent Des commentaires et des conseils sur l’utilisation des différents types de dispositifs de site sont donnés ci-après.

6.1.4.1. Contacteurs discrets Faible fiabilité (les contacts doivent être hermétiquement scellés pour fournir une plus grande fiabilité) Pièces mobiles qui peuvent s’user ou se corroder Composants produisant des étincelles Durée de vie limitée du contacteur Pas d’affichage des valeurs ni du statut Ne fournissent aucune forme de diagnostic Simples et faciles à comprendre Aucun appareil d’alimentation n’est nécessaire Signal marche-arrêt Faible coût

6.1.4.2. Contacteurs électroniques Version à semi-conducteurs du contacteur traditionnel Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 141 de 254


Affichage de la variable de traitement, des valeurs seuils et du statut du contacteur Tests avec options rendant le système indéréglable Plusieurs réglages Une version analogique 4-20 mA existe également Coût supplémentaire

6.1.4.3. Contrôleur pneumatique marche-arrêt avec capteur intégré Valeur de déclenchement du traitement = contrôleur SP Le signal de sortie est envoyé à un PS (préréglé) Fiabilité améliorée Il peut être facilement testé en ligne (à partir d’un SP) Indication locale de la variable de traitement

6.1.4.4. Émetteurs classiques Bonne fiabilité et bonne précision Indicateur de champ disponible Un émetteur simple peut remplacer plusieurs contacteurs Comparaison du signal avec les indications de traitement (autre émetteur en régulation de traitement) Tendent à avoir un mode de panne indéterminé Coût plus élevé que les contacteurs

6.1.4.5. Émetteurs intelligents Meilleure précision et nombre de plages plus élevé Excellente stabilité (dérivation à long terme négligeable) Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 142 de 254


Meilleurs diagnostics (Cd jusqu’à 85 %) Mode panne prévisible Possibilités d’étalonnage de maintenance à distance Il est facile de changer les paramètres et de laisser l’émetteur en mode test ou de le forcer en mode sortie Standardisation médiocre entre les interfaces de communication intelligentes

6.1.4.6. Émetteurs de sécurité Fabriqués et certifiés spécialement pour des applications de sécurité Ils sont plus robustes et offrent davantage de redondance et de possibilités de diagnostics que les émetteurs intelligents classiques

6.1.4.7. Éléments finals Ils comprennent les électrovannes, les vannes à déclenchement et les démarreurs de moteurs. Ce sont eux qui ont généralement le taux de pannes le plus élevé Il est important d’utiliser des électrovannes à usage industriel de qualité pour éviter de brûler l’enroulement. Lors du choix de la vanne à déclenchement, on doit prendre en considération la vitesse d’ouverture/fermeture, le ΔP à la fermeture, les fuites, le matériau, la résistance au feu, les coupures d’alimentation, la nécessité de disposer d’un transmetteur de position ou d’un contacteur de fin de course. Les actionneurs doivent : rester dans leur état d’interverrouillage après un déclenchement jusqu’à ce qu’ils soient réinitialisés manuellement n’être réinitialisés que si les initiateurs de déclenchement ont repris leur position normale de fonctionnement Il existe des positionneurs intelligents pour les vannes à déclenchement permettant d’obtenir des diagnostics (alimentation, statut du positionnement…) Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 143 de 254


6.2. LES DIFFERENTS NIVEAUX D’ARRET 6.2.1. Définition des niveaux d’arrêt La pratique courante au sein de la SOCIETE est de définir un maximum de quatre niveaux d’arrêt typiques de gravité décroissante, numérotés de 0 à 3 et affectant : toutes les installations à l’intérieur d’un seul emplacement d’accès restreint (niveau 0) = ESD-0 une zone de feu donnée à l’intérieur de l’installation (niveau 1) = ESD-1 une unité donnée à l’intérieur d’une zone de feu donnée (niveau 2) = SD-2 un équipement individuel ou un « package » à l’intérieur d’une unité donnée (niveau 3) = SD-3 On appellera les niveaux 0 et 1 niveaux ESD car ils correspondent soit à une détection de feu et de gaz dans un environnement non confiné (ce qui représente une situation susceptible d’empirer), soit à une action d’urgence manuelle.

Accidental situation Abnormal and hazardous conditions ESD 0 Deviation Normal operation

ESD 1 SD 2 / SD 3

Figure 80 : Schéma du fonctionnement du système d’arrêt On appellera les niveaux 2 et 3 niveaux SD car ils correspondent soit à un simple incident de traitement, soit à une détection de feu et de gaz sur un espace réduit (suffisamment contenu) qui ne menace pas immédiatement la sécurité de l’installation et du personnel. Le système d’arrêt de sécurité d’une installation, constitué d’un ensemble de boucles et de dispositifs de sécurité, comporte différents sous-systèmes organisés en barrières complémentaires du contrôle du traitement. Pour chaque installation, une logique ESD/SD sera définie et représentée par un schéma logique ESD/SD. Cette logique est basée sur la hiérarchie des niveaux ESD et SD, le niveau N activant le niveau N+1. Le schéma logique ESD/SD illustre la hiérarchie du haut vers le bas des niveaux ESD et SD, avec toutes leurs causes et actions sous forme de schéma de principe de la logique. Chaque niveau est subdivisé en plusieurs barres de sécurité (jusqu’à une barre par équipement). Le nombre de barres de sécurité varie selon le type d’installation, le nombre de zones de feu et leurs emplacements, le nombre d’unités indépendantes dans chaque zone et autres caractéristiques. Chaque cas est spécifique et l’objectif du développement qui suit est de donner des lignes directrices et des exemples simplifiés. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 144 de 254


Il est fait référence aux figures « Schéma général d’une logique ESD / SD type » et « Schéma d’une logique ESD type », avec deux schémas de logiques d’arrêt typiques, représentant respectivement une installation de traitement offshore et une plateforme de tête de puits à colonne montante habitée, avec séparateur de test. Le schéma logique ESD/SD couvrira toutes les structures d’une installation pétrolière. Les causes et actions seront décrites à un niveau fonctionnel.

HS

Gas detection

Abandon

(closed area) ESD 0 Ex: Major gas leak UPS failure ESD 1 Ex: F&G detection FZ1 / zone

F&G detection Electrical S/D

Fire Zone 2 ESDV isolation

FZn

Blowdown Deluge (if needed)

Common process trip SD 2 Process trip Unit 1

Unit 1 process trip

SD 3 Equipment’s trip

Unit n

Equipment’s

Unit n process trip Equipment’s

Figure 81 : Schéma général d’une logique ESD / SD type

6.2.2. Différences entre installations à terre / offshore 6.2.2.1. ESD-0 Le niveau ESD-0 sera applicable aux installations offshore occupées en permanence par du personnel, sauf si les exigences statutaires ne l’imposent pas et qu’une évaluation des risques (basée sur les critères de taille, disposition des lieux et quantité de personnel) démontre que le niveau ESD-0 n’est pas nécessaire. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 145 de 254


Figure 82 : Schéma d’une logique ESD type pour une plateforme de tête de puits Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 146 de 254


Dans tous les autres cas - installations offshore non occupées en permanence par du personnel, ainsi que toutes les installations à terre (quelle que soit leur taille) – le nombre de niveaux d’arrêt peut être limité à trois, en commençant par le niveau ESD-1.

6.2.2.2. Dépressurisation d’urgence (EDP) Dans toutes les installations offshore (occupées en permanence ou non par du personnel), l’EDP (si elle est installée) sera automatique sur activation du niveau ESD-1 (et à fortiori du niveau ESD-0). Cette condition n’est pas obligatoire pour les installations à terre et la stratégie EDP sera traitée en bonne et due forme dans le CONCEPT DE SECURITE.

6.2.2.3. Coupure de l’alimentation La coupure de l’alimentation, y compris des systèmes alimentés par batteries, mais à l’exception des dispositifs de secours (éclairage de secours, aides à la navigation, etc.) et des équipements qui conviennent pour une utilisation dans les emplacements dangereux de zone 1, peut se faire, dans les installations offshore occupées en permanence par du personnel, par l’activation du niveau ESD-0. A terre, cette fonctionnalité n’est pas exigée et elle sera donc compensée par l’utilisation d’un bouton-poussoir spécifique pour chaque zone de feu qui effectuera une coupure totale de courant, ainsi que des commandes (24 V cc), à l’exception éventuellement des pompes de postlubrification, de l’assistance aux machines, etc. et uniquement si ces éléments conviennent pour une utilisation dans des emplacements dangereux de zone 1.

6.2.3. ESD-0 (arrêt total) Il y aura un ESD-0 pour chaque emplacement d’accès restreint. Bien que cela soit très rare, il arrive que deux installations totalement indépendantes, voire plus, soient implantées dans les limites d’un même site, et que chaque installation fonctionne indépendamment avec ses propres sources d’énergie et ses propres commandes, à une distance suffisante de l’autre/des autres ; cela crée plusieurs emplacements d’accès restreint (qui ne se chevauchent pas). Chaque emplacement d’accès restreint a son propre ESD-0 au lieu d’un site ESD-0 commun.

6.2.3.1. Causes de la mise en œuvre de l’ESD-0 Il est lancé manuellement, seulement une fois que la décision volontaire d’évacuer l’installation a été prise par la personne responsable, c.-à-d. le RSES (Responsable Sécurité Environnement de Site). Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 147 de 254


Exceptionnellement, il est lancé automatiquement. Cela est le cas uniquement quand les systèmes ESD et F&G doivent cesser d’être alimentés en énergie du fait de la présence d’une atmosphère inflammable dans le bâtiment où se trouvent ces systèmes (généralement dans la salle de contrôle centrale).

6.2.3.2. Actions de l’ESD 0 ESD-1 de toutes les zones de feu à l’intérieur de l’emplacement d’accès restreint. Arrêt de tous les systèmes de traitement et de services, avec dépressurisation, pour toutes les zones de feu de l’emplacement d’accès restreint. L’ESD-0 n’arrête pas les pompes à incendies entraînées par moteur Diesel si elles ont déjà été mises en marche automatiquement (sélecteur en mode automatique et signal en provenance du système F&G, ou du collecteur principal d’eau PSLL). Il peut être nécessaire de maintenir certaines pompes de postlubrication en service afin d’éviter un endommagement des principaux équipements rotatifs. Pour éviter des pertes financières importantes en cas d’ESD-0, ces équipements peuvent être maintenus en service. Ils seront toutefois mis à l’arrêt au bout d’un temps prédéterminé, correspondant au temps nécessaire pour que la machine s’arrête, et cela sera traité en bonne et due forme dans le CONCEPT DE SECURITE. Arrêt de toutes les sources potentielles de risques et d’inflammation, y compris les charges essentielles et de secours, à l’exception des aides à la navigation (Marine et aviation) et de l’éclairage de secours. L’arrêt de toutes les sources potentielles de risques et d’inflammation se fait sans délai. Arrêt après un temps prédéterminé (ne dépassant normalement pas une heure) des communications critiques au sein de l’installation (annonces vocales) et avec l’extérieur (radio, satellite). Alarme sonore et signaux visuels afin que le personnel se rassemble et se prépare à évacuer les lieux. Tous les équipements et leurs systèmes d’alimentation associés restant opérationnels à la suite d’un ESD- 0 devront être certifiés pour une utilisation dans les emplacements dangereux de Zone 1 et devront avoir leur propre alimentation sans coupure (UPS) dédiée.


Page 148 de 254


6.2.4. ESD-1 (arrêt d’urgence de la zone de feu) Il y a un ESD-1 pour chaque zone de feu à l’intérieur de l’emplacement d’accès restreint et c’est le niveau d’arrêt le plus élevé qui permette la présence de personnel sur le site. Etant donné que la détection du feu et du gaz aboutit à des actions différentes, le niveau ESD-1 devra encore être subdivisé en ESD-1/F pour le cas particulier du feu et ESD-1/G pour le cas particulier de la détection de gaz, et la zone de feu générique ESD-1 subséquente.

6.2.4.1. Causes de la mise en œuvre de l’ESD 1 ESD-0 à l’intérieur de l’emplacement d’accès restreint. Lancement manuel au moyen d’un bouton-poussoir (à la suite d’une situation catastrophique, probable ou réelle). Un signal provenant du système F&G de l’installation : (1) (2) •

Détection de gaz inflammable à l’extérieur (ou dans un espace qui n’est pas totalement fermé), dans la zone de feu,

•

Détection de gaz aux entrées HVAC des locaux techniques situés dans la zone de feu,

•

Détection de gaz aux entrées d’air d’équipements à flammes, se trouvant dans la zone de feu,

•

Détection de feu à l’extérieur, dans la zone de feu.

Une détection de feu dans un local technique ne conduit pas à un ESD-1, étant donné que la lutte locale contre l’incendie et l’isolement du système HVAC sont à la charge du système F&G. Une détection de feu dans un local électrique ne conduit pas à un ESD-1, sauf dans les établissements commandés à distance ou qui ne sont pas occupés en permanence par du personnel, où l’intervention n’est pas possible rapidement. Détection de la perte inévitable d’une servitude essentielle à la sécurité de l’installation : •

Gaz de purge de torche FSLL ou PSLL,

•

Basse tension UPS (perte de l’alimentation des systèmes ESD et F&G),

•

Autres pannes de servitudes, conseillées par une étude spéciale.


Page 149 de 254


6.2.4.2. Actions de l’ESD 1 SD-2 de toutes les unités, des systèmes de traitement et de services, à l’intérieur de la zone de feu Fermeture de toutes les ESDV ; les tuyauteries d’alimentation de carburant (sauf de Diesel) des équipements à flammes seront donc munies d’une ESDV. Fermeture de la SCSSV (Surface Controlled Subsurface Safety Valve) des puits situés dans la zone de feu. (1) Arrêt de l’alimentation principale (et de la génération d’électricité si elle est située dans la zone de feu) (isolement électrique), et donc arrêt de tous les moteurs électriques situés dans la zone de feu. Arrêt des gros moteurs électriques (redondants avec l’arrêt de l’alimentation principale). Considérant que les servitudes essentielles conviennent pour un fonctionnement dans les emplacements dangereux de Zone 1, l’arrêt des servitudes non essentielles avec une temporisation, le cas échéant, peut être acceptable. Sur confirmation d’une détection de feu et/ou de gaz, dépressurisation d’urgence automatique (EDP) pour les installations offshore, et optionnelle à terre. Ouverture de toutes les BDV (Blow-Down Valves : vannes de purge) dans la zone de feu avec une temporisation préréglée (de 30 sec. à 1 mn.). Si la dépressurisation n’est pas lancée automatiquement avec l’ ESD-1/F et/ou l’ESD-1/G, un bouton-poussoir situé dans la salle de contrôle centrale permet de lancer l’ ESD-1/F et/ou l’ESD-1/G et ouvre toutes les BDV avec une temporisation préréglée. Lancement du SD-2 des installations d’hydrocarbures situées en dehors de la zone de feu ESD-1, qui envoient les hydrocarbures à la zone de feu ESD-1. En cas de détection de gaz, arrêt de toutes les sources potentielles de risques et d’inflammation (à l’exception des pompes à incendie en fonctionnement, voir nota (1) au paragraphe précédent) dans la zone de feu, à l’exception des commandes et des équipements de secours ou vitaux des systèmes individuels à batteries et des équipements pouvant fonctionner en Zone 1. En cas de détection de feu, activation de la lutte contre le feu dans la zone de feu. Alarme sonore et signaux visuels afin que le personnel évacue la zone de feu et se rassemble. (1) : Les SSV (Surface Safety Valves : vannes de sécurité de surface) des puits sont fermées au niveau SD-3 (via le niveau SD-2) et les SCSSV et SSV sont considérées comme ESDV. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 150 de 254


6.2.5. SD-2 (arrêt de l’unité) Il y a un SD-2 pour chaque unité fonctionnelle individuelle. Il n’y a pas de signal d’entrée F&G au niveau SD-2. Le système F&G lance soit l’ESD-1 (détection à l’extérieur), soit l’SD-3 (spécifique à un équipement ou un « package »).

6.2.5.1. Causes de la mise en œuvre de l’SD 2 ESD-1 de la zone de feu à laquelle appartient l’unité. ESD-1 d’une autre zone de feu de laquelle la zone de feu de l’unité concernée reçoit des hydrocarbures. Lancement manuel au moyen d’un bouton-poussoir (à la suite d’une défaillance d’unité probable ou réelle). Défaut de traitement ou panne nécessitant l’arrêt automatique de l’unité et qui aurait inévitablement entraîné un arrêt complet de l’unité de production/traitement par effet de cascade. Détection de la perte inévitable d’une servitude essentielle à la production/au traitement de l’unité : •

LSHH dans le ou les fûts KO de la torche connectés à l’unité,

•

air pour instruments PSLL,

•

Détection d’une fuite (PSLL, LSLL, etc.) dans les systèmes de traitement étudiés au cas par cas,

•

Très basse tension de l’alimentation principale,

•

Perte de l’alimentation normale.

6.2.5.2. Actions de l’SD 2 SD-3 de tous les équipements à l’intérieur de l’unité (systèmes de traitement ou de servitude) SD-3 de tous les équipements de traitement et de production d’hydrocarbures à l’intérieur de l’unité, fermeture des SDV associées et arrêt des moteurs électriques associés. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 151 de 254


Afin d’éviter les arrêts en cascade, arrêt de certaines installations de traitement de produits non hydrocarbures directement liées à la production/au traitement, mais qui ne sont pas nécessaires quand la production/le traitement sont arrêtés (p. ex. injection chimique dans le flot des hydrocarbures produits/traités). Envoi d’un signal (p. ex. par télémétrie) pour fermer les vannes d’étranglement commandées à distance des puits en dehors de la zone de feu SD-2, qui envoient des hydrocarbures à la zone de feu concernée. Fermeture éventuelle des ESDV situées aux limites de batterie d’un train de traitement ou d’une plateforme de traitement (zone de feu). Bien que les ESDV à la limite de batterie de l’installation (c.-à-d. les ESDV de la canalisation import/export) constituent l’ultime barrière de sécurité de l’installation et ne se ferment qu’en cas d’ESD-1, elles se fermeront en cas de détection de fuite PSLL de leurs canalisations respectives. Il est permis d’effectuer une dépressurisation d’urgence manuelle si la situation de l’unité concernée le justifie.

6.2.6. SD-3 (arrêt des équipements) Il y a un SD-3 pour chaque équipement de traitement ou de servitude appartenant à une unité. L’objectif d’un arrêt SD-3 est de mettre les équipements en configuration de sécurité et de donner à l’opérateur la possibilité d’éviter l’escalade jusqu’à un niveau d’arrêt plus élevé (SD-2 ou ESD-1). Dans les cas où la détection de feu et de gaz entraîneront des actions spécifiques et différentes, le niveau SD-3 d’un équipement sera encore subdivisé en SD-3/F pour le cas particulier du feu et SD-3/G pour le cas particulier de la détection du gaz, et l’équipement SD-3 générique subséquent. La logique SD-3 est traitée principalement par le système PSS (équipements de traitement), mais dans certains cas par le système ESD (équipements de servitude).

6.2.6.1. Causes de la mise en œuvre de l’SD 3 SD-2 de l’unité. Lancement manuel au moyen d’un bouton-poussoir (à la suite d’une panne d’équipement probable ou réelle). Pour les moteurs primaires et les machines, lancement manuel (bouton-poussoir) à partir d’un tableau local. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 152 de 254


Déclenchement d’un paramètre d’exploitation de traitement ou de servitude (excursion en dehors des limites d’exploitation). Détection de feu ou de gaz à l’intérieur d’une enceinte d’équipements sans flammes. Pour les équipements à flammes, un signal provenant du système F&G de l’installation. La détection de gaz ou de feu à l’intérieur de l’enceinte de l’équipement à flammes (p. ex. moteur ou turbine à gaz) déclenchera un SD-3 du «package » d’équipements à flammes et fermera les ESDV de l’alimentation en carburant du « package ». Pour ce dernier, le signal de détection de feu et de gaz sera également traité par le système F&G de l’installation, qui enverra un signal au système ESD. La lutte contre l’incendie et les isolements associés (des entrées d’air, échappements et équipements électriques) à l’intérieur d’un « package » d’équipements à flammes seront normalement pris en charge par le système F&G interne du « package ».

6.2.6.2. Actions du SD 3 Fermeture ou ouverture des SDV (à des fins de déviation) par l’intermédiaire du système PSS. Fermeture de certaines ESDV spécifiques (p. ex., alimentation en carburant des « packages ») par l’intermédiaire du système ESD. Fermeture des SSV (Surface Safety Valves : vannes de sécurité de surface) des puits situés à l’intérieur de la zone de feu. Les SCSSV (Surface Controlled Subsurface Safety Valves : vannes de sécurité sous surface commandées de la surface) des puits sont fermées au niveau ESD-1 et les SCSSV et SSV sont considérées comme ESDV. Arrêt des moteurs. Lancement de l’arrêt des « packages », p. ex. du « package » de compression. Arrêt d’un équipement de production ou de servitude, avec soit (le cas échéant) dépressurisation automatique ou (si nécessaire), le déverrouillage d’un verrou « dépressurisation autorisée » permettant la dépressurisation d’urgence manuelle. En cas de détection de gaz à l’intérieur d’une enceinte (gaz provenant d’une source interne), arrêt de toutes les sources potentielles de risques et d’inflammation dans l’enceinte (y compris des charges essentielles), sauf des équipements de Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 153 de 254


secours ou vitaux des systèmes à batteries individuels et des équipements pouvant fonctionner en Zone 1. En cas de détection de feu à l’intérieur d’une enceinte, activation des moyens de lutte contre l’incendie dans l’enceinte renfermant les équipements et fermeture des clapets coupe-feu (le cas échéant).


Page 154 de 254


7. VANNES ESD / SD La technologie des vannes est le sujet d’un autre cours (EXP-MN-SI040) et de cours pour opérateurs (EQ050 & EQ020) ; nous voyons ici uniquement la commande logique de ces vannes dans un système de commande d’urgence. Référence GS EP SAF 261.

7.1. DISPOSITIFS D’ARRET 7.1.1. Définition des vannes de sécurité 7.1.1.1. Têtes de puits DHSV : Down-Hole Safety Valves (vannes de sécurité disposées en profondeur) Ces vannes (même chose que SCSSV) seront considérées comme ESDV. SSV : Surface Safety Valves (vannes de sécurité de surface) Ces vannes (même chose que vannes générales supérieures automatiques (MV : automatic upper master valves) seront considérées comme ESDV. Les SSV fermeront toujours avant les SCSSV afin d’éviter les différentiels de pression dans les SCSSV. WV : Wing Valves (vannes latérales) On utilisera des vannes latérales automatiques. Elles seront considérées comme SDV. Les WV fermeront toujours avant les SSV afin d’éviter les différentiels de pression dans les SSV. Les WV peuvent être commandées à distance si leur circuit de commande est muni d’une électrovanne indépendante des circuits de déclenchement de sécurité. La réouverture à distance des WV par télémétrie n’est autorisée que si le puits concerné a été fermé volontairement, et en l’absence de défauts (F&G ou PSHH/PSLL). Les vannes Gas-lift (de remontée de gaz) ou vannes d’isolement de réinjection de gaz sont considérées comme SDV. Chokes (vannes) : Les vannes d’étranglement, même motorisées, ne peuvent pas être considérées comme des vannes de sécurité, ni ESDV, ni SDV. Voir la figure « Conception de tête de puits typique »

7.1.1.2. Traitement ESDV : Emergency Shut-Down Valve (vanne d’arrêt d’urgence) Les vannes de déclenchement combustible principales alimentant les appareils de chauffage et/ou les machines à flammes seront considérées comme ESDV, bien qu’elles ne soient pas installées à la limite de la zone de feu. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 155 de 254


BDV : Blow-Down Valve (vanne de purge) SDV : Shut-Down Valve (vanne d’arrêt).

Figure 83 : Conception de tête de puits typique Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 156 de 254


Les autres vannes de marche/arrêt motorisées (XV) et les vannes manuelles (HV) ne peuvent pas être considérées comme vannes de sécurité, ni ESDV, ni SDV. Il est possible qu’une ESDV ou une SDV soit commandée simultanément par le système ESD et par le système PSS. Dans ce cas, deux électrovannes seront montées en série, l’une connectée au système ESD par du fil électrique dédié, l’autre connectée au système PSS. Les vannes de commande d’une unité de traitement peuvent être utilisées exceptionnellement comme BDV dans des « packages » ou comme SDV (jamais comme ESDV), sur la base de petits inventaires en amont, c.-à-d. moins de 5 m3 d’hydrocarbure liquide ou PV < 100 bar/m3 pour le gaz. Les vannes de commande utilisées comme BDV dans les « packages » ou comme SDV seront munies d’une électrovanne connectée au système PSS, et seront ainsi indépendantes de la boucle de commande (système PCS). Afin d’améliorer la fiabilité à la demande, les ESDV, les SDV et les BDV connectées à leur système PSS ou ESD peuvent être munies d’une deuxième électrovanne montée en série, les deux électrovannes étant ainsi maintenues sous tension par le même câble.

7.1.2. Temps de réponse Les vannes de sécurité devront agir en moins de 15 secondes (10 secondes pour les SSV et les WV) une fois que leur mécanisme de déclenchement aura été activé, avec une exception possible pour les grosses vannes (Ø ≥ 20”). La durée totale de la séquence d’arrêt devra être inférieure à 45 secondes, entre la confirmation de la situation de fonctionnement anormal et/ou l’action sur les boutonspoussoirs, et la mise en action des éléments finals.

7.1.3. Actionneurs Les actionneurs devront être soit à ressort, soit pneumatiques/hydrauliques à double action. Les actionneurs entraînés par moteur électrique ne seront pas autorisés pour les valves de sécurités, qu’il s’agisse d’ESDV ou de SDV. Pour déterminer les dimensions des actionneurs et pour les accumulateurs (pneumatiques ou hydrauliques), il est fait référence à la spécification GS EP INS 137.

7.1.4. Dérivation des ESDV On considérera deux cas : les ESDV à la limite de batterie de l’installation et les ESDV aux interconnexions entre les zones de feu ; voir figure « Solutions typiques de dérivation des ESDV ». Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 157 de 254


Les dérivations autour des ESDV situées à la limite de batterie sont interdites. De plus, il ne devra y avoir aucun point faible (points de piquage, joints d’isolement) sur la partie externe des ESDV situées à la limite de batterie. L’utilisation d’une vanne spéciale permettant une repressurisation lente par le corps même de la vanne (p. ex. une vanne à bille) est interdite. L’égalisation de pression autour des ESDV peut être obtenue comme suit : •

En installant une dérivation autour d’une vanne de blocage adjacente actionnée manuellement et/ou :

•

En identifiant une petite tuyauterie avec des vannes manuelles pour effectuer la repressurisation (p. ex. à partir d’un séparateur de test, d’une canalisation principale, etc.). Toutes les précautions devront être prises pour éviter que la canalisation de repressurisation soit en fait une dérivation de l’ESDV. La canalisation de repressurisation devra toujours être munie de sa propre ESDV qui se fermera quand l’ESDV principale se fermera.

Les dérivations autour des ESDV qui relient des zones de feu sont autorisées à condition qu’elles soient munies de leurs propres ESDV qui devront se fermer quand l’ESDV principale aura reçu l’ordre de se fermer.

Figure 84 : Solutions typiques de dérivation des ESDV


Page 158 de 254


7.1.5. Boutons-poussoirs Les boutons-poussoirs seront installés comme suit : Emplacement

Plateforme offshore

Derrick de forage ou WO

Centre de commande d’urgence

ESD-0

ESD-0 (1)

Points de rassemblement/ refuges provisoires

ESD-0

ESD-0 ESD-1 SD-2

Console foreur Salle de contrôle centrale (SDC) Tableaux locaux d’unités (3) Extérieur

Installation à terre

ESD-0 (2) ESD-1 SD-2 SD-3 SD-2 SD-3

ESD-1 SD-2 SD-3

ESD-1 SD-2 SD-3

SD-2 SD-3

SD-2 SD-3

ESD-1 (4)

ESD-1 (4)

Table 44 : Installation des boutons-poussoirs ESD sur sites (1) Concerne l’arrêt du derrick de forage à un niveau ESD-0 (pas de niveau ESD-0 sur une plateforme de tête de puits) – Dossier SIMOPS pour définir les actions pertinentes (2) Boutons-poussoirs dans la SDC uniquement pour les installations éloignées commandées à partir de la SDC (3) Panneau extérieur à proximité de l’équipement ou de l’unité (4) Des boutons-poussoirs ESD-1 peuvent être installés à l’extérieur en des lieux appropriés, si les réglementations spécifiques du site l’imposent (non fondamental) Les boutons-poussoirs devront être situés en des lieux appropriés, identifiés et illuminés par l’éclairage de base. Ils devront être protégés physiquement contre les activations intempestives et munis d’un outil de déblocage spécifique pour être remis dans leur position normale. Dans les cas où l’activation d’un bouton-poussoir d’arrêt déclenchera un signal « EDP autorisée », le bouton-poussoir EDP correspondant devra être situé à proximité.


Page 159 de 254


7.1.6. Exigences fonctionnelles

SDC = Salle de contrôle centrale

Têtes de puits

Traitement

DHSV

SSV

WV

ESDV

BDV

SDV

Réinitialisation locale à la suite de ESD-0 ou ESD-1

oui

oui

oui (1)

oui

oui (2)

non

Ouverture à partir de la SDC

non

non

non (1)

non

oui (5)

(3)

Fermeture à partir de la SDC

oui

oui

oui

oui

non

(3)

oui

oui

oui

oui

oui

oui

oui

oui

oui

oui

oui

oui

non

non

non

oui (4)

non

oui (4)

oui

oui

oui

oui (4)

oui

oui (4)

Commande locale d’ouverture/fermeture Affichage du statut « ouvert »/ « fermé » dans la SDC Structures pour tests de course partielle Structures pour tests des signaux ESD

Table 45 : Exigences fonctionnelles pour les vannes d’arrêt (1) : Sauf si la WV a été fermée volontairement à partir de la SDC (2) : Une réinitialisation automatique à la suite de la réinitialisation du niveau ESD peut être envisagée à partir de la SDC (3) : Selon les exigences Traitement et opérations sur site (4) : Recommandé pour les ESDV et SDV qui ne peuvent être testées lors des arrêts programmés des équipements (5) : Interverrouillage avec le signal « EDP autorisée »


Page 160 de 254


7.2. EMPLACEMENTS ET PROTECTION PHYSIQUE Toute vanne utilisée comme ESDV devra être certifiée incombustible conformément à la spécification GS EP PVV 142.

7.2.1. Emplacements à terre Les ESDV devront, par défaut, être situées à au moins 15 mètres des équipements de la zone de feu à laquelle elles appartiennent. Si cela n’est pas possible, d’autres vannes (d’isolement, de blocage au point d’arrivée à terre) ainsi que des tuyauteries en amont comprenant les ESDV d’arrivée, ou en aval comprenant les ESDV de départ devront être protégées contre les feux et explosions (pour plus de détails sur les feux et les explosions se référer à la GS EP SAF 253 et pour plus de détails sur les PFP, se référer à la GS EP SAF 337.)

7.2.2. Emplacements offshore Les ESDV seront placées à la limite de la zone de feu à protéger. Pour une meilleure protection des colonnes montantes, il est recommandé que les ESDV d’arrivée et de départ soient placées à la hauteur la plus faible possible. Les vannes et tuyauteries doivent être protégées contre les radiations et les surpressions selon les mêmes principes que pour les installations à terre.

7.2.3. Actionneurs Les actionneurs doivent avoir le même niveau de protection contre le feu ou les explosions que les vannes elles-mêmes. Des précautions spécifiques supplémentaires seront prises pour protéger l’actionneur et le tableau de commande local de l’ESDV, de telle sorte que leur température de surface ne dépasse pas 70 °C.

7.2.4. Connexions et corps des ESDV Les ESDV d’isolement en limite de batterie (voir paragraphe 7.3.2) seront soudées ou connectées en réseau en étoile à la canalisation sans points faibles (p. ex. points de piquage, joints d’isolation), en amont pour les ESDV d’arrivée et en aval pour les ESDV de départ. L’utilisation d’ESDV connectées par brides à la canalisation et/ou ayant un corps bridé sera soumise à une étude spécifique (l’intégrité de l’ESDV est démontrée selon la Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 161 de 254


spécification GS EP SAF 253, en cas de défaillance majeure de l’installation) et à l’approbation formelle de la SOCIETE (demande de dérogation). Cela peut alors entraîner des mesures de compensation, telles que la protection contre les explosions ou les chutes d’objets, une protection passive contre le feu renforcée (corps de vanne, actionneur et brides) et des joints plats renforcés. (Les RTJ sont largement préférés, même sur les tuyauteries basse pression).

7.2.5. Taux de fuite interne des ESDV Les critères de tolérance pour les vannes de puits, c.-à-d. les SCSSV et les SSV, sont définis par la spécification API RP 14B. Une ESDV sera considérée apte à des fonctions de sécurité si son taux de fuite interne ne dépasse pas : Pour les gaz, exprimé en Sm3/h, trois (3) fois son diamètre nominal exprimé en pouces, Pour les liquides, exprimé en litres/h, quarante (40) fois son diamètre nominal exprimé en pouces. Ces critères correspondent au débit maximal qui ne générerait pas de feu de jet même si la rupture de tuyauterie la plus défavorable (pas forcément la plus importante) se produisait, en aval de l’ESDV. Ils sont conformes aux recommandations de la spécification API Std 598 pour les ESDV de tuyauteries d’écoulement.

7.2.6. Bunkers pour ESDV L’installation des ESDV sous terre est autorisée, à condition qu’elles soient correctement repérées, identifiées et protégées contre les risques de la circulation et que leurs actionneurs soient accessibles d’une façon normale. Les ESDV devront alors être installées dans des bunkers en béton, à condition que l’accès au bunker soit contrôlé de façon adéquate et considéré comme une entrée dans un espace confiné (impliquant autorisation de travail, tests de l’atmosphère, etc.).


Page 162 de 254


7.3. ISOLEMENT PAR ESDV ET SDV Le nombre de vannes d’isolement (ESDV4, SDV4) pour chaque flux entrant dans une zone de feu ou en sortant sera calculé de telle sorte que le risque (probabilité x conséquences) que la quantité de fluide passant par l’installation, en cas d’incident majeur dans cette installation (feu, explosion) sera acceptable par rapport aux critères d’acceptation des risques de la SOCIETE. Ces besoins en dispositifs d’isolement peuvent être déterminés soit par une analyse de risques quantifiée (QRA : Quantified Risk Analysis), soit par une étude d’évaluation générale du niveau d’intégrité de sécurité (SIL : Safety Integrated Level). Par défaut, si l’on n’effectue pas de QRA ni de SIL, on installe en principe 2 ESDV ou 1 ESDV + 1 SDV, mais on tient compte des exceptions citées ci-après. (Voir dernier chapitre, développement du « SIL »).

7.3.1. Isolement des zones de feu (interconnexions) A terre : 1 ESDV. Voir paragraphe 7.2.1 et GS EP SAF 253 pour l’emplacement de l’ESDV. Offshore : 1 ESDV. Voir paragraphe 7.2.2 et GS EP SAF 253 pour l’emplacement de l’ESDV.

7.3.2. Isolement des limites de batterie Dans ce contexte, une canalisation inter-sites est une canalisation reliant des installations d’une SOCIETE contrôlées par la même SDC, tandis qu’une canalisation d’import/export est une canalisation reliant une installation d’une SOCIETE et une installation appartenant à un tiers. A terre : •

Canalisation inter-sites ayant une pression d’exploitation normale < 70 barg : 1 ESDV.

•

Canalisation inter-sites ayant une pression d’exploitation normale ≥ 70 barg : 2 ESDV ou 1 ESDV + 1 SDV (1), si l’SDV est suffisamment proche de l’ESDV (2).

•

Canalisation d’export/import : 2 ESDV ou 1 ESDV + 1 SDV (1), si l’SDV est suffisamment proche de l’ESDV (2) (3).


Page 163 de 254


Offshore •

Canalisation inter-sites (p. ex. ligne principale) partant d’une plateforme qui n’est pas occupée en permanence par du personnel, ou arrivant à cette plateforme (p. ex. plateforme de tête de puits ou à colonne montante) : 1 ESDV.

•

Canalisation inter-sites partant d’une plateforme occupée en permanence par du personnel, ou arrivant à cette plateforme : 2 ESDV ou 1 ESDV + 1 SDV (1) si l’SDV est suffisamment proche de l’ESDV (2).

•

Canalisation d’export/import partant d’une plateforme qui n’est pas occupée en permanence par du personnel, ou arrivant à cette plateforme : 2 ESDV ou 1 ESDV + 1 SDV (1) si l’SDV est suffisamment proche de l’ESDV (2).

•

Canalisation d’export/import partant d’une plateforme occupée en permanence par du personnel, ou arrivant à cette plateforme (p.ex. plateforme de production (intégrée)) : 2 ESDV

(1) : Quand une SDV est utilisée pour ce service, ce ne peut être une vanne de régulation, même si elle est munie d’un solénoïde spécial conformément au paragraphe 7.1.1. (2) : On a recours à l’évaluation des risques pour décider si la tuyauterie entre l’ESDV et l’SDV est suffisamment courte et/ou suffisamment protégée contre les risques pour permettre cette alternative. (3) : A moins qu’une protection renforcée ne soit nécessaire (p. ex. risques affectant la sécurité, glissements de terrain, tremblements de terre, etc.) ou que les contraintes environnementales ne soient sévères.

7.4. EXIGENCES FONCTIONNELLES SUPPLEMENTAIRES 7.4.1. Etat de sécurité Les composants du système de sécurité doivent être conçus pour être normalement sous tension, et toute défaillance d’au moins un composant doit mettre l’actionneur commandé en position de sécurité. Les ESDV doivent fermer en cas de panne tandis que les BDV doivent s’ouvrir en cas de panne. Une exception est faite pour les composants des systèmes ESD et F&G qui ne peuvent être à sécurité intégrée. Dans ce cas, l’intégrité de la boucle d’E/S devra être contrôlée en permanence. Cette exigence s’applique spécialement aux signaux allant des détecteurs au tableau F&G, au signal d’ordre d’ouverture de la vanne « déluge », au signal d’ordre de libération du CO2 et au blocage du démarrage de la pompe à incendie par la détection de gaz ou par entrée en action du ESD-0. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 164 de 254


7.4.2. Télémétrie Du fait d’un manque de fiabilité, les signaux transmis par télémétrie ne peuvent être considérés comme un moyen sûr d’effectuer les actions ESD. Les installations à distance devront par conséquent toujours comporter un système ESD local (indépendant du système ESD principal) capable d’effectuer les actions voulues dans le cas d’un fonctionnement anormal provoqué soit par un incident local, soit par un arrêt de l’installation principale. Si la liaison télémétrique est coupée (problèmes atmosphériques, parasites, panne du récepteur, etc.), une alarme est visualisée dans la SDC, mais aucune mesure supplémentaire (p. ex. forçage des sorties de l’installation à distance à leur position de sécurité) ne sera prise, sauf indication contraire de la PHILOSOPHIE D’EXPLOITATION.

7.4.3. Indication de position Toutes les ESDV, SDV et BDV devront comporter une indication de position. Des indicateurs de position ouverte et de position fermée devront être prévus. Les indicateurs de position devront être clairement visibles des allées avoisinantes. La position de la vanne devra être indiquée dans la SDC conformément à l’exigence citée au paragraphe 7.1.6.

7.4.4. Moyens d’essais et de maintenance Il est fait référence aux spécifications GS EP INS 196 et GS EP INS 198 pour les essais, les blocages et les dérivations. (Voir chapitre suivant). Chaque système d’arrêt devra comporter des moyens d’essais du système complet, conformément aux réglementations locales ou aux exigences de la PHILOSOPHIE D’EXPLOITATION. A ce propos, il est fortement conseillé de disposer d’un moyen de tests de course partielle pour les ESDV afin de limiter les baisses de production, comme indiqué au paragraphe 7.1.6. Chaque boucle d’arrêt devra comporter des moyens de blocage ou de dérivation pour tester la boucle en simulant la condition de fonctionnement anormal du détecteur et vérifier que l’actionneur lance l’action voulue, sans qu’il y ait un arrêt réel des équipements qu’il protège. Le système d’arrêt devra être adaptable afin de pouvoir subir des modifications mineures (p. ex. des modifications des valeurs de déclenchement) de la part du personnel habilité. Au demeurant, la possibilité de changer les points de réglage, les valeurs de déclenchement ou de modifier la logique d’arrêt sera restreinte, et fera l’objet d’une traçabilité, avec documents de suivi. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 165 de 254


7.4.5. Fiabilité des sources d’alimentation Une alimentation de 24 V cc sera fournie par deux sources indépendantes : Alimentation normale par le tableau des charges essentielles Batteries tampons dédiées à l’ESD et au F&G ayant une autonomie d’au moins une heure. Afin que la fiabilité de l’alimentation réponde aux exigences du consommateur, les dispositions suivantes devront être prises : 2 x 100% : chargeurs de batteries, inverseur statique et câbles électriques 2 x 50% : jeu de batteries.

7.4.6. Capacités de redémarrage Certaines entrées allant vers les systèmes d’arrêt (comme les LSLL de très bas niveau, les PSLL à très basse pression, etc.) doivent être rendues temporairement inopérantes afin de permettre le redémarrage de l’installation à la suite d’un arrêt. Pour les systèmes d’arrêt basés sur la technologie PLC, ces blocages peuvent se faire soit par commutation, temporisation ou encore par interverrouillage avec les phases de la séquence de redémarrage. Pour les autres systèmes d’arrêt (relais hydrauliques, pneumatiques, classiques ou toute combinaison de ces systèmes), le nombre de blocages sera maintenu au minimum, étant donné que la plupart des interventions de routine doivent être effectuées sans désactiver les actions de sécurité ayant la plus haute priorité. Le statut et le nombre de ces blocages devront être clairement affichés et visibles d’un coup d’œil. Toutefois, quand cela sera faisable, on devra choisir de préférence des composants qui rétabliront automatiquement leur fonctionnalité quand les conditions de fonctionnement normal seront réapparues.

7.4.7. Système EDP - Protection et exigences supplémentaires Les exigences qui prévalent pour les systèmes ESD s’appliqueront également aux systèmes EDP. Les BDV suivront les mêmes principes que les ESDV : Temps de réponse (voir paragraphe 7.1.2) Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 166 de 254


Protection des actionneurs (voir paragraphe 7.2.3) Etat de sécurité (voir paragraphe 7.4.1) Position indication (voir paragraphe 7.4.3) Moyens d’essais et de maintenance (voir paragraphe 7.4.4)

7.5. FONCTIONS STANDARD DES VANNES DE SECURITE 7.5.1. Vanne d’arrêt de sécurité – SDV (Safety Shut-Down Valve) 7.5.1.1. Description des interfaces - SDV Description spécifique des interfaces de champ Les interfaces de champ correspondantes sont : SY (DO) : ordre de manœuvre de l’électrovanne : 0 = Fermée SZH (DI) : contacteur de fin de course ouverture : 1 = Ouverte SZL (DI) : contacteur de fin de course fermeture : 1 = Fermée Option : SPSL (DI) : dérivation locale de l’électrovanne: 0 = Active On doit faire spécialement attention quand le tableau de commande SDV comporte deux électrovannes, l’une actionnée par le PSS et l’autre par le PCS. Il est préférable de gérer la fonction divergence dans le PCS, ce qui nécessite de relier les contacteurs de fin de course au PCS par des fils électriques et de transmettre le statut de l’ordre du PSS au PCS (il sera tenu compte du temps de communication).


Page 167 de 254


Description générale INTPUTS

OUTPUTS

opt = Option Safety Bar Standard Function


Safety trip

Open authorisation command Or open command Close command (if required) Close command (in test mode) (opt)

Discrepancy status


Discrepancy Status Operation in progress status Fault status

alm

Completed test command Standard Maintenance inhibit status (opt) function Solenoid valve test mode Maintenance inhibit status (opt) command SDV Solenoid valve Test completed status (opt) Operation counter (opt)

Solenoid valve Local bypass (opt)

Solenoid valve operating

Open limit switch (DI)

command (DO)

Closed limit switch (DI)

Figure 85 : Fonctions générales / description des interfaces de la SDV

7.5.1.2. Ordres et mode opérateur - SDV Ordre d’autorisation d’ouverture ou ordre d’ouverture : L’ordre d’autorisation d’ouverture ou l’ordre d’ouverture, selon les spécifications du projet, est à la disposition de l’opérateur à partir de l’écran de commande traitement quand :


Page 168 de 254


Le déclenchement de sécurité concerné n’est pas actif (barre de sécurité concernée non déclenchée) et Statut de l’ordre de manœuvre = « Fermé ». Ordre de fermeture : De la même façon, l’ordre de fermeture peut être nécessaire. Il sera à la disposition de l’opérateur à partir de l’écran de commande traitement quand le statut de l’ordre de manœuvre sera = « Ouvert ». Blocage maintenance Disponible à partir du niveau d’accès à la maintenance. Quand le blocage maintenance est actif : Les contacteurs de fin de course ne sont plus pris en compte dans la gestion du statut ouvert/fermé interne La divergence n’est plus active La pièce commandée (corps de vanne) est rouge fixe si les contacteurs de fin de course ouverture et fermeture ont le même statut ; sinon, le statut « ouvert », « fermé » ou « manœuvre en cours » sera affiché comme défini ci-dessous. Le statut blocage maintenance est actif quand l’ordre de blocage de la maintenance est actif. Test de l’électrovanne : Ce test est conçu pour être effectué quand la vanne est en position ouverte. La dérivation locale de l’électrovanne maintiendra la vanne dans sa position ouverte, quel que soit le statut de l’ordre du solénoïde PSS. La fonction sécurité aura toujours la priorité sur la fonction test et fera passer la sortie à la position fermée si nécessaire. Un affichage spécifique indiquera que le test a été arrêté pour des raisons de sécurité, et l’opérateur local devra faire repasser la dérivation à son mode de fonctionnement normal, afin de permettre à la vanne de prendre sa position de sécurité. Quand la dérivation locale de l’électrovanne (SPSL) est détectée, le mode test est alors activé. L’ordre de fermeture est à la disposition de l’opérateur quand le mode test est actif et que le déclenchement de sécurité n’est pas actif. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 169 de 254


Sur activation de l’ordre de fermeture par l’opérateur, un chronomètre réglable (quelques secondes) est lancé ; une fois le temps imparti écoulé, l’ordre d’ouverture est rétabli et le test terminé. L’opérateur local fera alors repasser la dérivation à sa position normale. L’opérateur de la salle de contrôle centrale entrera le statut du test effectué, à des fins d’enregistrement, comme réussi si l’opérateur local a constaté que l’électrovanne était hors tension, sinon, il l’enregistrera comme test ayant échoué.

7.5.1.3. Définition des statuts Statut de l’ordre de manœuvre : Le statut de l’ordre de manœuvre est sur : Ouvert quand la barre de sécurité concernée n’a pas été déclenchée et l’ordre d’autorisation d’ouverture ou l’ordre d’ouverture ou (l’ordre de test d’ouverture et le mode test) sont actifs Le statut de l’ordre de manœuvre est sur : Fermé sur activation de la barre de sécurité associée qui a été déclenchée ou de l’ordre de test de fermeture et du mode test ou de l’ordre opérateur de fermeture (selon les spécifications du projet). Ordre de manœuvre de l’électrovanne (DO) : Même chose que pour le statut de l’ordre de manœuvre. Statut ouvert : Le statut ouvert de l’interface homme/machine est actif si le contacteur de fin de course ouverture est actif et que le contacteur de fin de course fermeture n’est pas actif. Le statut ouvert (données internes) est actif si : (Statut de l’ordre de manœuvre = « Ouvert ») et (Contacteur de fin de course ouverture actif et contacteur de fin de course fermeture non actif) ou (Statut de l’ordre de manœuvre = « Ouvert ») et statut blocage maintenance actif. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 170 de 254


Statut « fermé » : Le statut fermé de l’interface homme/machine est actif si le contacteur de fin de course ouverture n’est pas actif et que le contacteur de fin de course fermeture est actif. Le statut fermé (données internes) est actif si : (Statut de l’ordre de manœuvre = « Fermé ») et (Contacteur de fin de course ouverture non actif et contacteur de fin de course fermeture actif) ou (Statut de l’ordre de manœuvre = « Fermé ») et statut blocage maintenance actif. Statut divergence : Il indique une divergence entre l’ordre de manœuvre et le statut des contacteurs de fin de course, après une temporisation (chronomètre de la manœuvre en cours). Le statut divergence n’est pas actif quand : Le statut fermé interne est actif ou Statut de l’ordre de manœuvre = « Ouvert » et le contacteur de fin de course fermeture est actif, tant que celui-ci n’a pas bougé (seulement quand l’ordre d’autorisation d’ouverture s’applique) ou Le statut ouvert interne est actif (seulement quand l’ordre d’autorisation d’ouverture s’applique) ou Le statut manœuvre en cours est actif ou Le statut blocage maintenance est actif. En mode test et à la suite d’un ordre de fermeture opérateur, la divergence ne sera plus active. Statut manœuvre en cours : Le chronomètre « manœuvre en cours » est activé : Quand il y a passage du statut de l’ordre de manœuvre de « ouvert » à « fermé » ou Quand le contacteur de fin de course fermeture passe d’actif à inactif alors que le statut de l’ordre de manœuvre = autorisation d’ouverture (seulement quand l’ordre d’autorisation d’ouverture s’applique) ou Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 171 de 254


Quand le statut de l’ordre de manœuvre passe de « fermé » à « ouvert » (seulement quand l’ordre d’ouverture s’applique). Statut défaut : Indique un défaut matériel concernant des cartes d’E/S associées (entrées/sorties de champ). Compteur d’opérations : Indique le nombre de changements du statut de l’ordre de manœuvre (de « fermé » à « ouvert ») quand ils ne sont pas provoqués par le test de l’électrovanne. La remise à zéro du compteur est effectuée manuellement par l’opérateur à partir de l’interface homme/machine (une fenêtre qui apparaît (« pop-up ») au niveau de l’accès à la maintenance. Notez que cette fonction de contrôle peut être mise en œuvre dans le serveur de données de traitement au moyen d’un outil de supervision, selon les spécifications du projet.

7.5.1.4. Représentation et description de l’animation (Interface homme / machine) - SDV Événements à enregistrer Ordre de blocage maintenance Mode test Résultat du test effectué Statut de l’ordre de manœuvre Statut divergence Statut défaut Valeurs analogiques à enregistrer Compteur d’opérations


Page 172 de 254


Gestion des alarmes Statut divergence Statut défaut Ces deux conditions sont classées priorité de niveau 2 Affichage de contrôle : symbole SDV Figure 86 : Représentation d’une SDV (vanne d’arrêt) Détails : L’identification d’instrument SDV xxxx et le symbole T de couleur bleue apparaissent à la demande de l’opérateur (touche de fonction programmable). L’identification d’instrument SDV xxxx sert de zone cible à l’ordre de blocage maintenance. Un symbole représentant une main (entièrement jaune) apparaît à côté de la vanne quand les ordres d’autorisation d’ouverture (ou les ordres d’ouverture ou de fermeture) sont à la disposition de l’opérateur. Le symbole T de couleur bleue sert de zone cible pour les ordres de test et pour l’entrée du statut de test par le clavier. Affichage de contrôle : Animation du symbole (partie ordre et partie commandée)


Vanne fermée ou Défaut communication ou système

Affichage

Symbole

Blanc Blanc

Nom du marqueur sur l’affichage de la barre de sécurité Blanc

Ordre d’ouverture mais Vanne fermée

Fluide Blanc

Blanc

Ouverture de la vanne en cours

Fluide Fluide clignotant

Blanc


Page 173 de 254



Vanne ouverte

Ordre de fermeture mais Vanne ouverte

Affichage

Symbole

Nom du marqueur sur l’affichage de la barre de sécurité

Fluide Fluide

Bleu

Blanc Fluide

Bleu

Fermeture de la vanne en cours

Blanc Fluide clignotant

Bleu

Divergence vanne en cas de fermeture avant acquittement (*)

Blanc Rouge clignotant

Rouge clignotant

Divergence vanne en cas de fermeture après acquittement ou les contacteurs de fin de course ouverture et fermeture ont le même statut et le statut blocage maintenance est actif (*)

Blanc Rouge

Rouge

Divergence vanne en cas d’ouverture avant acquittement (*)

Fluide Rouge clignotant

Rouge clignotant

Divergence vanne en cas d’ouverture après acquittement ou les contacteurs de fin de course ouverture et fermeture ont le même statut et le statut blocage maintenance est actif (*)

Fluide Rouge

Rouge

(*) : Vanne en position indéterminée après temporisation

Table 46 : Table d’animation des données pour le symbole SDV


Page 174 de 254


Affichage de contrôle (Animation du cadre) Description de l’affichage

Affichage

Cadres

Statut normal

Déclenchement sécurité

Cadre externe : blanc

Blocage de la maintenance

Cadre externe : jaune

Mode test de l’électrovanne

Cadre externe : bleu

Cadre interne : Défaut (et blocage maintenance)

Rouge clignotant avant acquittement Rouge fixe après acquittement


Cadre externe : magenta

Table 47 : Table d’animation des données pour le cadre SDV Les événements qui aboutissent à ces affichages de cadres peuvent ne pas être mutuellement exclusifs. Par conséquent, l’ordre de précédence sur l’affichage, du plus important au moins important, sera : magenta, blanc, bleu, jaune.


Page 175 de 254


7.5.2. Vanne d’arrêt d’urgence – ESDV (Emergency Shut-Down Valve) 7.5.2.1. Description des interfaces - ESDV Description spécifique des interfaces de champ Les interfaces de champ correspondantes sont : ESY (DO) : ordre de manœuvre de l’électrovanne : 0 = Fermée ESZH (DI) : contacteur de fin de course ouverture: 1 = Ouverte ESZL (DI) : contacteur de fin de course fermeture : 1 = Fermée ESHS2 (DI) : réinitialisation locale : 1 = Active (impulsion) Option : ESPSL (DI) : dérivation locale de l’électrovanne : 0 = Active On doit faire spécialement attention quand le tableau de commande ESDV comporte deux électrovannes, l’une actionnée par le PSS et l’autre par le PCS. Il est préférable de gérer la fonction divergence dans le PSS, ce qui nécessite de relier les contacteurs de fin de course au PSS par des fils électriques et de transmettre le statut de l’ordre du PCS au PSS (il sera tenu compte du temps de communication).


Page 176 de 254



OUTPUTS



Safety trip

Discrepancy status

Local reset Status Open authorisation command Or open command Close command (if required) Close command (in test mode) (opt)


Discrepancy Status Operation in progress status

alm

Fault status

Completed test command Standard Maintenance inhibit status (opt) function Solenoid valve test mode Maintenance inhibit status (opt) command ESDV Solenoid valve Test completed status (opt) Operation counter (opt)

Solenoid valve Local bypass (opt) Local reset

Solenoid valve operating command (DO)

Open limit switch (DI) Closed limit switch (DI)

Figure 87 : Fonctions générales / description des interfaces de l’ESDV


Page 177 de 254


7.5.2.2. Ordres de l’opérateur (mode opérateur) - ESDV Ordre d’autorisation d’ouverture ou ordre d’ouverture : même chose que pour la SDV Ordre de fermeture : même chose que pour la SDV Blocage maintenance : même chose que pour la SDV Test de l’électrovanne : même chose que pour la SDV Remplacer PSS par ESD et SPSL par ESPSL

7.5.2.3. Définition des statuts - ESDV Statut réinitialisation locale : Ce statut sera mis en fonction sur détection de l’impulsion provenant du bouton-poussoir de réinitialisation locale et réinitialisé sur activation de l’ordre de fermeture en dehors du mode test. Statut de l’ordre de manœuvre : Le statut de l’ordre de manœuvre est sur : Ouvert quand la barre de sécurité concernée n’a pas été déclenchée et la réinitialisation locale est active l’ordre d’autorisation d’ouverture ou l’ordre d’ouverture ou (l’ordre de test d’ouverture et le mode test) sont actifs Le statut de l’ordre de manœuvre est sur : Fermé sur activation de la barre de sécurité associée qui a été déclenchée ou de l’ordre de test de fermeture et du mode test ou de l’ordre opérateur de fermeture (selon les spécifications du projet). Ordre de manœuvre de l’électrovanne (DO): Même chose que pour le statut de l’ordre de manœuvre.


Page 178 de 254


Statut ouvert : même chose que pour les SDV Le statut ouvert de l’interface homme/machine est actif si le contacteur de fin de course ouverture est actif et que le contacteur de fin de course fermeture n’est pas actif. Le Statut ouvert (données internes) est actif si : (Statut ordre de manœuvre = « Ouvert ») et (Contacteur de fin de course ouverture actif et contacteur de fin de course fermeture non actif) ou (Statut de l’ordre de manœuvre = « Ouvert ») et statut blocage maintenance actif. Statut fermé : même chose que pour SDV Le statut fermé de l’interface homme/machine est actif si le contacteur de fin de course ouverture n’est pas actif et que le contacteur de fin de course fermeture est actif. Le Statut fermé (données internes) est actif si : (Statut de l’ordre de manœuvre = « Fermé ») et (Contacteur de fin de course ouverture non actif et contacteur de fin de course fermeture actif) ou (Statut de l’ordre de manœuvre = « Fermé ») et statut blocage maintenance actif. Statut divergence: même chose que pour SDV Il indique une divergence entre l’ordre de manœuvre et le statut des contacteurs de fin de course, après une temporisation (chronomètre de la manœuvre en cours). Le statut divergence n’est pas actif quand : Le statut fermé interne est actif ou Statut de l’ordre de manœuvre = « Ouvert » et le contacteur de fin de course fermeture est actif, tant que celui-ci n’a pas bougé (seulement quand l’ordre d’autorisation d’ouverture s’applique) ou Le statut ouvert interne est actif (seulement quand l’ordre d’autorisation d’ouverture s’applique) ou Le statut manœuvre en cours est actif ou Le statut blocage maintenance est actif. En mode test et à la suite d’un ordre de fermeture opérateur, la divergence ne sera plus active. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 179 de 254


Statut manœuvre en cours : même chose que pour SDV Actif pendant le décompte du chronomètre « manœuvre en cours ». Le chronomètre « manœuvre en cours » est activé : Quand il y a passage du statut de l’ordre de manœuvre de « ouvert » à « fermé » ou Quand le contacteur de fin de course fermeture passe d’actif à inactif alors que le statut de l’ordre de manœuvre = autorisation d’ouverture (seulement quand l’ordre d’autorisation d’ouverture s’applique) ou Quand le statut de l’ordre de manœuvre passe de « fermé » à « ouvert » (seulement quand l’ordre d’ouverture s’applique). Statut défaut : même chose que pour SDV Indique un défaut matériel concernant des cartes d’E/S associées (entrées/sorties de champ). Compteur d’opérations : même chose que pour les SDV

7.5.2.4. Représentation et description de l’animation (Interface homme / machine) - ESDV Événements à enregistrer Ordre de blocage maintenance Réinitialisation locale Mode test Résultat du test effectué Statut de l’ordre de manœuvre Statut divergence Statut défaut


Page 180 de 254


Valeurs analogiques à enregistrer Compteur d’opérations Gestion des alarmes Statut divergence : classé priorité de niveau 1 Statut défaut : classé priorité de niveau 3 Affichage de contrôle : symbole SDV Figure 88 : Représentation d’une ESDV (vanne d’arrêt d’urgence) Détails : L’identification d’instrument SDV xxxx et le symbole T de couleur bleue apparaissent à la demande de l’opérateur (touche de fonction programmable). L’identification d’instrument ESDV xxxx sert de zone cible à l’ordre de blocage maintenance. Un symbole représentant une main (entièrement jaune) apparaît à côté de la vanne quand les ordres d’autorisation d’ouverture (ou les ordres d’ouverture ou de fermeture) sont à la disposition de l’opérateur. Le symbole T de couleur bleue sert de zone cible pour les ordres de test et pour l’entrée du statut de test par le clavier. Affichage de contrôle : Animation du symbole (ordre et pièce commandée)



Ordre d’ouverture mais Vanne fermée Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Affichage

Symbole

Blanc Blanc

Fluide Blanc

Nom du marqueur sur l’affichage de la barre de sécurité Blanc

Blanc

Page 181 de 254


Symbole




Blanc

Vanne ouverte

Fluide Fluide

Bleu

Blanc Fluide

Bleu



Bleu

Divergence de la vanne en cas de fermeture avant acquittement (*)

Blanc Rouge clignotant

Rouge clignotant

Divergence de la vanne en cas de fermeture après acquittement ou les contacteurs de fin de course ouverture et fermeture ont le même statut et le statut blocage maintenance est actif (*)

Blanc Rouge

Rouge

Divergence de la vanne en cas d’ouverture avant acquittement (*)


Rouge clignotant

Divergence de la vanne en cas d’ouverture après acquittement ou les contacteurs de fin de course ouverture et fermeture ont le même statut et le statut blocage maintenance est actif (*)

Fluide Rouge

Rouge



Affichage


Table 48 : Table d’animation des données pour le symbole ESDV


Page 182 de 254



Affichage

Cadres

Statut normal







Cadre interne: Défaut (et blocage maintenance)




Table 49 : Table d’animation des données pour le cadre ESDV Les événements qui aboutissent à ces affichages de cadres peuvent ne pas être mutuellement exclusifs. Par conséquent, l’ordre de précédence sur l’affichage, du plus important au moins important, sera : magenta, blanc, bleu, jaune.


Page 183 de 254


7.5.3. Vanne de purge – BDV (Blow Down Valve) 7.5.3.1. Description des interfaces - BDV Description spécifique des interfaces de champ Les interfaces de champ correspondantes sont : BY (DO) : ordre de manœuvre de l’électrovanne : 1 = Fermée BZH (DI) : contacteur de fin de course ouverture : 1 = Ouverte BZL (DI) : contacteur de fin de course fermeture : 1 = Fermée Option : BPSL (DI) : dérivation locale de l’électrovanne : 0 = Active BHS2 (DI) : réinitialisation (à partir de tableau local ou salle de contrôle centrale) : 1 = Active (impulsion) BHS3 (DI) : bouton-poussoir d’interruption dans salle de contrôle centrale : 1 = Active (impulsion) Ce bouton-poussoir d’interruption sera contrôlé en ligne et son statut sera présenté à partir de la fonction DI_LM Standard. Si les spécifications du projet exigent la possibilité de supprimer l’interruption de la dépressurisation, après son activation, on utilisera un interrupteur au lieu d’un boutonpoussoir afin d’éviter toute confusion.


Page 184 de 254



OUTPUTS


alm = Alarm

Safety trip

Status (open/closed)

Interrupt push-button in CCR DI_LM (opt)

Discrepancy status

Reset Status Interrupt Status Operating command Status Status (open/closed) alm

Discrepancy Status Open command (in test mode) (opt)

Operation in progress status

Standard Fault status Completed test command function Maintenance inhibit status (opt)

Maintenance inhibit command

BDV

alm

Solenoid valve test mode status (opt) Solenoid valve Test completed status (opt) Operation counter (opt)

Solenoid valve Local bypass (opt)

Solenoid valve operating

Local reset

command (DO)

Open limit switch (DI) Closed limit switch (DI)

Figure 89 : Fonctions générales / description des interfaces de la BDV


Page 185 de 254


7.5.3.2. Ordres et mode opérateur - BDV Blocage maintenance : même chose que pour SDV Test de l’électrovanne : même chose que pour SDV Remplacer PSS par ESD et SPSL par BPSL

7.5.3.3. Définition des statuts - BDV Statut réinitialisation : Ce statut sera mis en fonction sur détection de l’impulsion provenant du bouton-poussoir de réinitialisation et réinitialisé sur activation de l’ordre d’ouverture en dehors du mode test. Statut interruption : Ce statut sera mis en fonction sur détection du bouton-poussoir contrôlé en ligne, par l’intermédiaire de la fonction DI_LM Standard, et réinitialisé sur désactivation du déclenchement de sécurité. Statut de l’ordre de manœuvre : Le statut de l’ordre de manœuvre est sur : Fermé quand le statut interruption est actif, ou la désactivation du déclenchement de sécurité et le statut réinitialisation (le cas échéant) sont actifs, ou l’ordre de test de fermeture et le mode test sont actifs Le statut de l’ordre de manœuvre est sur : Ouvert sur activation du déclenchement de sécurité ou de l’ordre de test d’ouverture lorsqu’on est en mode test Ordre de manœuvre de l’électrovanne (DO) : Même chose que pour le statut de l’ordre de manœuvre. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 186 de 254


Statut ouvert: Le statut ouvert de l’interface homme/machine est actif si le contacteur de fin de course ouverture est actif et que le contacteur de fin de course fermeture n’est pas actif. Le Statut ouvert (données internes) est actif si: (Statut de l’ordre de manœuvre = « Ouvert ») et (Contacteur de fin de course ouverture actif et contacteur de fin de course fermeture non actif) ou (Statut de l’ordre de manœuvre = « Ouvert ») et statut blocage maintenance actif. Statut fermé : Le statut fermé de l’interface homme/machine est actif si le contacteur de fin de course ouverture n’est pas actif et que le contacteur de fin de course fermeture est actif. Le Statut fermé (données internes) est actif si : (Statut ordre de manœuvre = « Fermé ») et (Contacteur de fin de course ouverture non actif et contacteur de fin de course fermeture actif) ou (Statut ordre de manœuvre = « Fermé ») et statut blocage maintenance actif. Statut divergence : Il indique une divergence entre l’ordre de manœuvre et le statut des contacteurs de fin de course, après une temporisation (chronomètre de la manœuvre en cours). Le statut divergence n’est pas actif quand : Le statut fermé interne est actif ou Le statut manœuvre en cours est actif ou Le statut blocage maintenance est actif. En mode test et à la suite d’un ordre de fermeture opérateur, la divergence ne sera plus active. Statut manœuvre en cours : Actif pendant le décompte du chronomètre de la « manœuvre en cours ».


Page 187 de 254


Le chronomètre de la « manœuvre en cours » est activé sur changement du statut de l’ordre de manœuvre. Statut défaut : Indique un défaut matériel concernant les cartes d’E/S associées (entrées/sorties de champ). Compteur d’opérations : même chose que pour SDV

7.5.3.4. Représentation et animation (interface homme/machine) - BDV Événements à enregistrer Ordre de blocage de la maintenance Mode test Résultat du test effectué Statut de l’ordre de manœuvre Interrupteur bouton-poussoir d’interruption Statut repos Statut divergence Statut défaut Valeurs analogiques à enregistrer Compteur d’opérations Gestion des alarmes Statut divergence : classé priorité de niveau 1 Statut défaut : classé priorité de niveau 3


Page 188 de 254


Affichage de contrôle : symbole BDV Figure 90 : Représentation d’une BDV (vanne de purge) Détails : L’identification d’instrument BDV xxxx et le symbole T de couleur bleue apparaissent à la demande de l’opérateur (touche de fonction programmable). L’identification d’instrument BDV xxxx sert de zone cible à l’ordre de blocage maintenance. Un symbole représentant une main (entièrement jaune) apparaît à côté de la vanne quand les ordres d’ouverture ou de fermeture sont à la disposition de l’opérateur (ordres selon spécifications du projet). Le symbole T de couleur bleue sert de zone cible pour les ordres de test et pour l’entrée du statut de test par le clavier. Affichage de contrôle : Animation du symbole (partie ordre et partie commandée)

Symbole



Blanc Blanc

Blanc

Ordre d’ouverture mais Vanne fermée

Fluide Blanc

Blanc



Blanc


Vanne ouverte


Affichage

Fluide Fluide

Bleu

Page 189 de 254




Affichage

Symbole


Blanche Fluide

Bleu



Bleu

Divergence vanne en cas de fermeture avant acquittement (*)

White Rouge clignotant

Rouge clignotant

Divergence vanne en cas de fermeture après acquittement ou les contacteurs de fin de course ouverture et fermeture ont le même statut et le statut blocage maintenance est actif (*)

White Rouge

Rouge

Divergence vanne en cas d’ouverture avant acquittement (*)


Rouge clignotant

Divergence vanne en cas d’ouverture après acquittement ou les contacteurs de fin de course ouverture et fermeture ont le même statut et le statut blocage maintenance est actif (*)

Fluide Rouge

Rouge


Table 50 : Table d’animation des données pour le symbole BDV


Page 190 de 254



Affichage

Cadres

Statut normal







Cadre interne : Défaut (et blocage maintenance)




Table 51 : Table d’animation des données pour le cadre BDV


Page 191 de 254


8. LOGIQUE SD 8.1. TECHNOLOGIE DE LA LOGIQUE 8.1.1. Technologie électronique programmable Structure

Figure 91 : Structure de la technologie électronique programmable Cette description est basée sur l’utilisation de PLC (automates programmable) (utilisés uniquement pour le résolveur logique ; les dispositifs d’entrées & sorties sont identiques à ceux de la technologie électrique / des instruments du paragraphe 6.1.3.3) Éléments principaux : modules d’E/S, CPU avec mémoire et Interface de communication Grande capacité de traitement, et le volume ne dépend pas de cette capacité. Le processeur ESD est généralement relié, via un réseau, à d’autres processeurs (F&G, DCS, HVAC, automatisme industriel,…) pour le calcul logique, mais les actions d’arrêt, de purge, de dépressurisation…, dans leur intégrité, sont uniquement contrôlées par ce même processeur ESD. La fiabilité dépend de : Matériel : les pannes individuelles peuvent avoir un impact majeur ; c’est pourquoi les PLC sont conçus avec des redondances (doubles ou triples, voir le paragraphe « triconex » ci-après). Logiciel : le nombre d’erreurs peut varier entre une toutes les trente lignes et une toutes les mille lignes (sur le schéma à contacts), du moins au moment du Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 192 de 254


démarrage. Mais même après plusieurs années d’opérations, l’arrêt « mystérieux » que l’on ne peut pas expliquer trouve une « bonne » explication avec les « bogues » et les « erreurs logicielles »… L’opérateur ou le technicien de maintenance n’admet pas sa « faute », c’est un fait et une erreur humaine « que l’on doit accepter »….

8.1.2. Redondance Elle dépend de l’exigence SIL, du taux de déclenchements intempestifs et de la fréquence des tests. Capteurs : 1oo2 ; un seul capteur est nécessaire pour le déclenchement ; plus sûr que le système 1oo1, mais le nombre de déclenchements « pour rien » est doublé. 2oo3 ; deux capteurs sont nécessaires au déclenchement ; on utilise ce système si l’indisponibilité est réduite. Éléments finals : 1oo2 ; un seul élément est nécessaire pour le déclenchement ; plus sûr que le système 1oo1, mais le nombre de déclenchements « pour rien » est doublé. 2oo2 ; les deux éléments sont nécessaires pour le déclenchement ; réduit la probabilité des déclenchements pour rien, mais ce système est deux fois plus sujet aux pannes dangereuses dues aux défauts non détectés. Les capteurs devraient être connectés au traitement en utilisant différents branchements et des alimentations séparées. Une alarme de divergence devrait être prévue pour indiquer la panne d’un seul capteur. Notas : Chaque E/S de champ devrait comporter un fusible ou le courant devrait être limité Les câbles et les JB associés à l’intérieur du même système devraient être séparés La séparation des tensions devrait être mise en œuvre au niveau du SIS La Fondation Fieldbus déclare que les bus de champ ne doivent pas être envisagés pour l’ESD


Page 193 de 254


Les alarmes de température sont obligatoires sur toutes les entrées T/C (thermocouples) Le réglage de la valeur de déclenchement est entre 30 et 70 % de la portée de l’émetteur Les mesures de tête sont à éviter Les alimentations devraient être redondantes et avoir des sources différentes (p. ex. l’une d’elle ou les deux devraient provenir d’UPS (alimentations sans interruption))

8.1.2.1. Antagonisme sécurité vs. disponibilité

Figure 92 : Principes simple et en série Principe du système simple Le contact doit être ouvert pour arrêter le processus Dans le cas d’une ouverture intempestive : le procédé est indisponible Dans le cas d’une fermeture intempestive : la sécurité n’est pas assumée Principe du système double (système en série) Plus grande sécurité : ce n’est qu’après la fermeture intempestive de deux contacts que la sécurité n’est plus assumée Disponibilité moindre : le procédé est indisponible après l’ouverture intempestive d’un seul contact Principe du système double (système en parallèle) Moindre sécurité : la sécurité n’est pas assumée après la fermeture intempestive d’un seul contact Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 194 de 254


Plus grande disponibilité : ce n’est qu’après l’ouverture intempestive de deux contacts que le procédé est indisponible Figure 93 : Principe du système double

Principe du système de vote (systèmes série et parallèle) Plus grande sécurité : ce n’est qu’après la fermeture intempestive de deux contacts que la sécurité n’est plus assumée Plus grande disponibilité : ce n’est qu’après l’ouverture intempestive de deux contacts que le procédé est indisponible Figure 94 : Principe du système de vote

8.1.2.2. Architecture 1oo2 Uns seule des deux chaînes est nécessaire pour générer un arrêt.

Figure 95 : Logique de vote - Architecture 1oo2 Processeur double et E/S doubles Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 195 de 254


Une fonction « chien de garde » de diagnostic associée à chaque processeur Les sorties sont câblées en série afin d’améliorer l’intégrité de la sécurité (n’importe quelle chaîne peut ouvrir le circuit et mettre l’actionneur en position de sécurité) Cette architecture procure un degré de sécurité élevé et une faible disponibilité, étant donné que le processus est arrêté si l’une ou l’autre des chaînes a un défaut (taux de déclenchements intempestifs typique > une fois par an)

8.1.2.3. Architecture 2oo2 Les deux chaînes redondantes sont nécessaires pour générer un arrêt Processeurs doubles et E/S doubles Une fonction « chien de garde » de diagnostic associée à chaque processeur Les sorties sont câblées en parallèle afin de réduire le nombre de déclenchements intempestifs (il faut que les deux chaînes soient activées ensemble pour ouvrir le circuit et mettre l’actionneur en position de sécurité) Cette architecture procure un taux de déclenchements intempestifs moins élevé et une plus grande disponibilité, mais l’intégrité de la sécurité est beaucoup plus faible et oblige à effectuer des tests fréquemment (intervalle de test typique < une fois par an)

Figure 96 : Logique de vote - Architecture 2oo2 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 196 de 254


8.1.2.4. Architecture 2oo3 Deux des trois chaînes redondantes sont nécessaires pour générer un arrêt Trois chaînes totalement indépendantes comportant un processeur et les cartes d’E/S associées La communication entre les processeurs se fait par un bus afin d’obtenir un vote sur les entrées avant l’exécution du PGM (programme)

Figure 97 : Logique de vote - Architecture 2oo3 Les sorties sont votées sur les cartes de sortie Les sorties du système 2oo3 doivent être simultanément activées pour ouvrir le circuit et mettre l’actionneur en position de sécurité Cette architecture procure une intégrité de sécurité et une disponibilité très élevées en réduisant le nombre de déclenchements intempestifs (typiquement < une fois tous les cent ans)


Page 197 de 254


8.1.2.5. Système tolérant aux défauts Objectif Capable de détecter les erreurs fixes ou passagères et d’effectuer des actions correctives sur panne de l’un quelconque de ses éléments tout en continuant à maintenir les conditions de commande. Ces fonctions sont obtenues au moyen de matériel redondant et par l’utilisation d’une configuration de vote.

8.1.3. Triconex Ceci est le « matériel » (nom de marque de la Société Invensys) communément utilisé sur sites. Figure 98 : Processeur Triconex Il comporte trois modules de traitement principaux reliés individuellement à des tronçons triplés et qui exécutent le PGM (programme) en parallèle. Si l’un des modules de traitement est défectueux, une alarme le signalera et ses fonctions seront reprises par les deux autres. Le remplacement en ligne du module en panne résoudra le problème sans avoir à arrêter le processus et le système se reconfigurera et récupérera sa fonctionnalité intégrale. Certains modules d’E/S sont doublés afin d’assurer un système de secours ; chaque module est programmé de sorte à pouvoir effectuer le PGM consécutivement, sur une base horaire, ce qui permet d’avoir une réserve en ligne (système de remplacement immédiat). En cas de panne d’un module, ce système de réserve en ligne passera automatiquement la main au module de secours et, simultanément, diagnostiquera et signalera tout défaut.


Page 198 de 254


Figure 99 : Architecture générale du Triconex Nota : comme cela a déjà été dit plus haut, l’objectif ici n’est pas de faire un cours sur les PLC (automates programmables). N’hésitez pas à demander un cours spécifique sur le PLC Triconex (matériel, logiciel, logique de vote, configuration,…) si cela vous est nécessaire.

8.2. ALARMES Référence GS EP SAF 371

8.2.1. Introduction Le contrôle et la limitation du nombre d’indications d’alarmes présentées aux opérateurs de la salle de contrôle centrale constituent un facteur important pour assurer un fonctionnement efficace et sûr de l’installation, car la multiplication des alarmes est une cause potentielle d’accident. Par conséquent, les alarmes devront être triées et divisées en deux catégories : Nouvelles alarmes : indication qu’un événement anormal vient de se produire Alarmes rémanentes : indication qu’une condition anormale persiste. La sélection des alarmes qui doivent être retransmises à la salle de contrôle centrale et la façon dont elles seront groupées devront satisfaire aux exigences de la PHILOSOPHIE DE FONCTIONNEMENT, et en particulier à celles qui définissent les opérations qui doivent être contrôlées à partir de la salle de contrôle centrale et celles qui doivent être gérées localement ou dans un local technique dédié.


Page 199 de 254


8.2.2. Nombre d’alarmes Le nombre d’alarmes non nécessaires devra être réduit par une conception adéquate et on devra tenir compte des recommandations suivantes : Bonne conception du mode de traitement ; éviter tout spécialement les alarmes inutiles lors de la préparation des P&ID. Les alarmes inutiles lors du traitement, qui n’apparaissent pas sur les P&ID, ne doivent pas entrer dans la conception du PCS (Process Control System : système de contrôle des procédés) : cas spécifique des alarmes intégrées pour chaque transmetteur Regroupement des alarmes (spécialement pour les « packages ») Non répétition de l’affichage des alarmes PSS, ESD et PCS (conformément au principe d’indépendance).

8.2.3. Liste des alarmes Idéalement, la liste des alarmes devrait être celle des P&ID. Toutefois, ce principe de base peut s’avérer inenvisageable pour les grands projets étant donné que les P&ID sont normalement finalisés avant la fin de la phase d’étude (de base) préliminaire, à un moment où toutes les informations importantes ne sont pas encore finalisées, et parfois pas encore disponibles. Par conséquent, il peut s’avérer nécessaire de produire et de mette à jour une liste d’alarmes séparée, contenant toutes celles qui sont montrées sur les P&ID, plus toutes celles qui apparaissent à la phase d’étude (détaillée) du projet. Lors de l’établissent de la liste d’alarmes et de ses révisions ultérieures, on devra apporter une attention particulière aux alarmes intégrées et à l’intégration des « packages » : La valeur opérationnelle des alarmes intégrées qui ne figurent pas sur les P&ID doit être évaluée. Les alarmes intégrées inutiles ne doivent pas être connectées au PCS. Les FOURNISSEURS de « packages » devront fournir leurs listes d’alarmes selon les mêmes principes que pour les listes de traitement principales.

8.2.4. Hiérarchie des alarmes La hiérarchie des alarmes devra être indiquée par un code couleur et par un système sonore de tons. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 200 de 254


On pourrait avoir comme type de hiérarchie : Cas général •

Alarmes susceptibles de conduire à un SD automatique à brève échéance

•

Alarmes ne nécessitant pas une action corrective immédiate.

« Packages » •

Alarmes communes

•

Alarmes détaillées.

Détection F&G •

Alarme commune par zone

•

Alarme individuelle par détecteur.

8.2.5. Mémorisation de la première alarme La mémorisation de la première alarme est obligatoire pour toutes les entrées ESD-0 et ESD-1 et pour les entrées SD-2 indiquant une perte de contenu (LSLL, PSLL, FSHH, etc.). La mémorisation de la liste d’alarmes est recommandée pour toutes les autres entrées SD-2 (qui ne sont pas des indications de perte de contenu) et pour les entrées SD-3. Toutefois, ce n’est pas obligatoire car cela pourrait s’avérer coûteux pour des gros systèmes pour lesquels le temps de balayage doit être très court.

8.2.6. Masquage des alarmes Le système de contrôle devra être pourvu de moyens permettant de masquer les alarmes inutiles provenant des équipements à l’arrêt ou en veille. La possibilité de masquer les alarmes devra être incorporée au DCS et devra être une fonction standard prévue dans le projet. Le masquage des alarmes sera actif si l’équipement n’est pas en cours d’utilisation (signal du DCS) et si le masquage des alarmes a été validé (signal de l’opérateur). Un verrouillage sera prévu pour empêcher le redémarrage de l’équipement alors que le masquage des alarmes n’a pas été supprimé.


Page 201 de 254


8.3. GESTION DES ALARMES ET DES EVENEMENTS Référence GS EP INS 150

8.3.1. Niveaux des alarmes et des événements Les alarmes décrites ci-après sont celles qui sont associées au traitement. Les alarmes et les statuts du système de fonctions standard, tels que redondance, panne, panne du module d’E/S, système, etc., ont leurs propres systèmes de gestion. Les alarmes et les événements sont classés selon quatre niveaux. Ces niveaux de priorité sont définis selon la source de l’alarme et son degré d’urgence : Niveau 0 : indique que cet événement sera seulement enregistré sur le DCS sans alarme Niveau 1 : indique que cet événement est une alarme liée au contrôle du traitement et donc émise par le PCS (système de contrôle des procédés) ou par les tableaux de contrôle des « packages » Niveau 2 : indique que cet événement est une alarme liée à la sécurité du système et donc émise par le PSS (Process Safety System : système de sécurité des procédés) ou par les tableaux de contrôle des « packages » Niveau 3 : indique que cet événement est une alarme liée aux fonctions de sécurité d’urgence et donc émise par le système ESD (système d’arrêt d’urgence) ou par les systèmes de sécurité feu et gaz (le système feu et gaz principal ou le système feu et gaz « package », dans le cas des turbogénérateurs par exemple). Le niveau est spécifié individuellement pour chaque alarme de chaque fonction standard. Toutes les informations concernant les alarmes seront horodatées et enregistrées. L’opérateur pourra y avoir accès soit par ordre chronologique d’apparition, par niveau de priorité ou selon d’autres critères définis par l’intermédiaire de l’interface homme/machine. Ces listes d’alarmes seront imprimées à la demande de l’opérateur. Aucune impression automatique des alarmes n’est requise.


Page 202 de 254


8.3.2. Gestion de l’acquittement des alarmes Chaque alarme reste active jusqu’à ce qu’elle soit acquittée et que les conditions d’alarme aient disparu. Cela s’applique aussi bien à l’affichage qu’au contrôle automatique. Chaque alarme fonctionne comme l’illustre la figure « Gestion de l’acquittement des alarmes ».

Figure 100 : Gestion de l’acquittement des alarmes L’acquittement sur une vue de traitement entraîne l’acquittement individuel de toutes les alarmes actives de la même vue de traitement. De plus, l’acquittement des alarmes entraîne l’acquittement de la même alarme sur toutes les vues et sur l’en-tête où l’alarme est présente. Généralement, aucun acquittement d’alarme n’est possible à partir d’une liste d’alarmes, sauf en accès maintenance. Tout changement du niveau de priorité d’une alarme automatique ou masquage de cette alarme se fera comme défini dans l’analyse fonctionnelle du projet spécifique : p. ex., une alarme PALL à la sortie d’une pompe ne sera active que si la pompe est en fonctionnement. Dans ce cas, le blocage du démarrage sera activé par le redémarrage de la pompe.

8.3.3. Événements et valeurs Les événements et les valeurs à enregistrer sont définis individuellement dans chaque fonction standard. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 203 de 254


8.3.4. Blocage maintenance 8.3.4.1. Généralités Niveau d’accès : MAINTENANCE. Les conséquences du blocage maintenance sont spécifiées individuellement dans chaque fonction standard. Le blocage maintenance est classé comme alarme/événement de niveau 0. Un rapport et un affichage dédié seront générés périodiquement, et à la demande de l’opérateur, montrant tous les blocages courants, y compris ceux des « packages ».

8.3.4.2. Instrument de traitement Le blocage maintenance des émetteurs de traitement (PCS) entraîne le blocage de tous les seuils correspondants. Par conséquent, un seul ordre est nécessaire.

8.3.4.3. Instrument de sécurité L’activation du blocage de la maintenance invalide la logique de sécurité correspondant à cette entrée. Quand plusieurs seuils sont utilisés dans le schéma de la logique de sécurité, chaque seuil devra être bloqué individuellement.

8.3.5. Blocage du démarrage Niveau d’accès : OPERATEUR ou automatique. L’objectif de cet ordre est de permettre le blocage temporaire de certaines entrées en ALARME, afin d’invalider la logique de sécurité et de réinitialiser la barre de sécurité associée (p. ex. : seuil de sécurité pression basse à la sortie de la pompe). La fonction blocage du démarrage est décrite en détail dans la fonction standard de la barre de sécurité (ci-après).


Page 204 de 254


8.3.6. Ordres de maintenance Un rapport et un affichage dédié seront générés périodiquement, et à la demande de l’opérateur, montrant tous les isolements, déclenchements de l’entrée de maintenance et ordres de test courants.

8.3.6.1. Tests des équipements spécifiques Niveau d’accès : Maintenance Il existera un ordre de commande pour tester les équipements spécifiques (p. ex. les berceaux d’extinction du feu, les vannes de sécurité, les circuits de commande des vannes « déluge »). Les détails sont donnés dans chaque fonction standard. (Voir les chapitres précédents)

8.3.6.2. Déclenchement de l’entrée maintenance Niveau d’accès : Maintenance Cette fonction sera mise en œuvre pour tous les détecteurs utilisés dans la logique de vote (p. ex. détecteurs de gaz). L’objectif est de maintenir l’intégrité de la fonction sécurité lorsque l’on travaille sur un détecteur (pour étalonnage par exemple). Quand le déclenchement de l’entrée de maintenance sera actif pour un détecteur, l’entrée correspondante de la logique de vote sera forcée au statut défaut, de telle sorte que la logique ne traitera que les détecteurs sains.

8.3.7. Isolement de la barre de sécurité Niveau d’accès : Ingénieur Un moyen d’isolement existera pour chaque fonction de la barre de sécurité. Celui-ci sera utilisé principalement comme outil de mise en service. Cette fonctionnalité sera aussi examinée pour assister aux tests et à la vérification des modifications de logiciel, qui peuvent être nécessaires au cours de la vie des équipements. Cette fonction devrait être supprimée à la fin de cette étape.


Page 205 de 254


8.4. FONCTIONS STANDARD DE LA BARRE DE SECURITE 8.4.1. Fonctions / interfaces 8.4.1.1. Schéma des fonctions

Figure 101 : Schéma des fonctions générales d’une barre de sécurité


Page 206 de 254


8.4.1.2. Liste des fonctions principales Pour les entrées de la barre : Gestion du blocage maintenance Gestion du blocage démarrage (optionnel) Gestion du verrouillage des initiateurs de déclenchement Gestion de la première alarme à se manifester. Pour la barre elle-même : Gestion du déclencheur de barre Moyen d’isolement. Pour les sorties de la barre : Gestion du chronomètre de sortie (option)


Page 207 de 254


8.4.1.3. Description des interfaces INTPUTS

OUTPUTS

opt = Option alm = Alarm

opt

Start-up inhibit command Bar reset command Isolating command

Status (open/closed) Bar reset & start-up Discrepancy status Inhibit Start-up inhibit status commands

Loop fault

opt

Safety threshold - trip initiator Maintenance inhibit command Inhibit timer

opt

Stabilisation delay Inhibit timer initiator

Higher safety bar trip

opt

Latched trip initiator 1 Bar input First-up initiator 1 1 Individual start-up inhibit status (specific Inhibit timer countdown trip value Initiator) Maintenance inhibit Status

Bar input n (higher First-up initiator n Safety Maintenance inhibit status Bar trip)

alm opt opt

alm

Individual safety trip 1 Bar outputs 1 to p

Individual safety trip p

Safety bar Standard Function

Figure 102 : Fonctions générales / Description des interfaces de la barre de sécurité


Page 208 de 254


8.4.2. Définition des statuts 8.4.2.1. Entrées de la barre Chaque entrée de barre est un initiateur de déclenchement. Deux types d’initiateurs de déclenchement sont utilisés dans la logique de la barre de sécurité : Les initiateurs qui se rapportent à un seuil de sécurité ou au défaut de boucle correspondant (selon exigences du projet) Les initiateurs qui se rapportent à une barre de sécurité supérieure. Chaque entrée de barre peut prendre les deux statuts suivants : DECLENCHEMENT ou NORMAL.

8.4.2.2. Initiateur verrouillé Après la fonction blocage du démarrage (optionnelle), chaque initiateur de déclenchement spécifique est individuellement verrouillé : VERROUILLE : quand l’initiateur spécifique se lève en condition de DECLENCHEMENT (et qu’il n’est pas en blocage maintenance ou traitement) DEVERROUILLE : après un ordre de réinitialisation de la barre, si l’initiateur spécifique est NORMAL (ou en blocage maintenance ou traitement).

8.4.2.3. Initiateur « premier levé » Un traitement spécifique est nécessaire pour piéger l’initiateur de déclenchement « premier levé » de chaque barre de sécurité. Ce traitement se fera individuellement, pour chaque entrée de barre, sauf pour la barre de sécurité amont. L’initiateur « premier levé » comporte une alarme, mais l’acquittement correspondant est effectué automatiquement afin d’éviter toute action de l’opérateur sur la simulation de sécurité.

8.4.2.4. Statuts de la barre de sécurité Une barre de sécurité peut prendre les statuts suivants : DECLENCHEE : quand au moins un initiateur spécifique est VERROUILLE ou qu’un initiateur de déclenchement d’une barre de sécurité supérieure est en DECLENCHEMENT Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 209 de 254


NON DECLENCHEE : quand tous les initiateurs sont DEVERROUILLES et que tous les initiateurs de déclenchement de la barre supérieure sont en position NORMALE ISOLEE : quand l’ordre d’isolement est actif.

8.4.2.5. Barre de sécurité au statut « isolée » L’opérateur a la main sur l’ordre d’isolement au niveau accès méthodes. Cette fonction DEVRA être supprimée après la mise en service, y compris la mise en service d’extensions/modifications. Une barre de sécurité peut être (DECLENCHEE ou NON DECLENCHEE) et ISOLEE. Quand une barre de sécurité a le statut « isolée », son utilisation sera tout à fait la même (y compris pour la fonction réinitialisation), mais ses sorties ne verrouilleront plus les moteurs électriques, les vannes, etc., qui resteront à leur statut antérieur (d’avant l’activation de l’ordre d’isolement), ainsi que les initiateurs pour les barres de niveau bas.

8.4.2.6. Statut « prête pour réinitialisation » Ce statut est actif quand la barre est DECLENCHEE. La barre peut être réinitialisée quand tous les initiateurs de déclenchement spécifiques ont disparu (après acquittement) ou ont été bloqués.

8.4.3. Fonction blocage maintenance Chaque initiateur peut être bloqué par les opérateurs de maintenance à partir des consoles d’interface hommes/machines. Cette fonction interdit à la barre de sécurité de se déclencher si l’initiateur de déclenchement correspondant est dans la condition DECLENCHEMENT. Le statut de l’entrée de la barre de sécurité devra toujours être affiché. L’ordre de blocage maintenance est disponible à partir de l’affichage de l’initiateur verrouillé correspondant. Il est possible de mettre le blocage maintenance sur une entrée de barre de sécurité même quand l’alarme correspondante de l’initiateur de déclenchement n’est pas acquittée, ce qui permet de réinitialiser la barre. La fonction blocage maintenance n’est pas mise en œuvre pour les défauts spécifiques émis par l’ordre venant de l’interface homme/machine. Une fonction blocage maintenance sera aussi mise en œuvre pour les initiateurs des barres de niveau haut, qui sont transmis par une DI ou par la détection confirmée d’une logique 2oo3. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 210 de 254


8.4.4. Ordre de réinitialisation barre Toutes les barres de sécurité doivent avoir un ordre de réinitialisation dédié. Cet ordre sera accessible à l’opérateur à partir des consoles d’interface homme/machine si le statut « prête pour réinitialisation » est actif. Cela permettra de déverrouiller tous les initiateurs verrouillés, et par conséquent, de réinitialiser la barre de sécurité. La confirmation que la barre de sécurité est disponible pour une réinitialisation est indiquée par l’animation du statut « prête pour réinitialisation ». Quand un initiateur de barre de sécurité supérieure retourne à NORMAL, la barre de sécurité associée retourne à la condition NON DECLENCHEE, sans que l’intervention d’un opérateur soit nécessaire (en présumant qu’il n’y ait pas d’autres initiateurs de déclenchement verrouillés).

8.4.5. Fonction blocage du démarrage (optionnelle) 8.4.5.1. Ordre blocage démarrage L’objectif de cet ordre est de permettre le blocage temporaire de certaines entrées de barre spécifiques qui sont dans la condition DECLENCHEMENT afin de pouvoir effectuer la réinitialisation de la barre de sécurité associée (p. ex. : initiateurs du seuil de sécurité pression basse, etc.). Il y a au maximum un ordre de blocage du démarrage par barre. Le blocage se fait normalement automatiquement sur les entrées de barres qui sont en condition DECLENCHEMENT, au moment où l’ordre de blocage démarrage est activé. Le blocage de démarrage d’une entrée de barre qui a été activé sera désactivé si le défaut de boucle correspondant se produit ou quand la barre de sécurité correspondante sera remise à son état NON DECLENCHEE. Le blocage de démarrage d’une entrée de barre n’est pas activé si l’alarme correspondant à cette entrée n’a pas été acquittée. Pour certaines entrées de barre, comme par exemple une PSL associée à un arrêt pompe, après que l’alarme ait été masquée, le blocage de démarrage individuel sera mis en fonction automatiquement par un événement extérieur (p. ex., pompe arrêtée, etc.).


Page 211 de 254


8.4.5.2. Utilisation du blocage du démarrage Quand l’ordre de blocage du démarrage est activé, tous les initiateurs spécifiques ayant le statut DECLENCHEMENT (et se rapportant à la fonction blocage du démarrage) sont BLOQUES.

L’opérateur peut alors utiliser l’ordre de réinitialisation de la barre de sécurité.

Après la réinitialisation de la barre de sécurité, les chronomètres de blocage sont lancés individuellement par la réinitialisation de la barre de sécurité, ou par des actions spécifiques (p. ex. vanne ouverte, pompe démarrée, seuil de traitement, etc.).

Deux cas sont alors possibles : L’initiateur spécifique est toujours sur DECLENCHEMENT à la fin du temps du chronomètre de blocage. L’initiateur n’est plus BLOQUE, il est alors VERROUILLE à nouveau tandis que la barre de sécurité est à nouveau DECLENCHEE. L’initiateur spécifique retourne à NORMAL pendant le décompte du chronomètre. Le chronomètre de blocage n’est réinitialisé que si l’initiateur reste NORMAL (statut du seuil) pendant une période de stabilisation, ce qui évite les pannes furtives. La barre de sécurité DECLENCHE pendant les conditions de traitement transitoires. Après la réinitialisation du chronomètre de blocage, l’initiateur spécifique n’est plus BLOQUE (veuillez vous reporter aux schémas qui suivent).


Page 212 de 254


Figure 103 : Utilisation du blocage du démarrage

8.4.6. Sorties de barre Gestion des sorties de barre (optionnel) : Chaque sortie de barre correspond à un ordre de déclenchement de sécurité individuel qui peut être utilisé par la logique de sécurité interne ou envoyé directement à l’équipement. Quand la fonction chronomètre de sortie n’est pas utilisée, l’ordre de déclenchement de sécurité individuel suit immédiatement le statut de la barre de sécurité associée (DECLENCHEE → DECLENCHEMENT et NON DECLENCHEE → NORMALE). Toutefois, quand on utilise le chronomètre, l’ordre de déclenchement de sécurité individuel n’est exécuté qu’après une temporisation individuelle spécifique.


Page 213 de 254


8.4.7. Représentation et description de l’animation (HMI) – Barre de sécurité Événements à enregistrer Ordre de blocage maintenance Ordre de blocage démarrage Ordre de réinitialisation de la barre Statut de l’initiateur « premier levé » Statut de la barre de sécurité. Organisation générale des symboles graphiques de la barre de sécurité

Figure 104 : Organisation générale des symboles de la barre de sécurité


Page 214 de 254


Description de l’animation des entrées de la barre de sécurité : N°


Affichage

Couleur

Initiateur de la barre de sécurité supérieure = DECLENCHEMENT

1

Rouge

(statut de la barre de sécurité supérieure = DECLENCHEE) Initiateur de la barre de sécurité supérieure = NORMAL Bleu

(statut de la barre de sécurité supérieure = NON DECLENCHEE)

2

Initiateur spécifique : L’animation associée à chaque entrée de la barre (ySzxxxx) est décrite de façon détaillée dans la norme de l’AIS. Cette animation sert de zone cible pour appeler un affichage de traitement. Statut blocage démarrage individuel = BLOQUE

3

4

Jaune

Le décompte du chronomètre de blocage devra être affiché, sinon, la valeur préréglée du chronomètre s’affiche à la demande de l’opérateur. L’affichage de la valeur du chronomètre sert de zone cible pour accéder à la fenêtre de sélection de la valeur préréglée.

Caché

Initiateur de déclenchement verrouillé = VERROUILLE

Rouge

Initiateur de déclenchement verrouillé = DEVERROUILLE

Bleu

(sert de zone cible pour l’ordre de blocage maintenance) Texte = AFFICHE 5

(affiché uniquement à la demande de l’opérateur) Texte = CACHÉ


Identification de l’équipement

Blanc

p. ex. nom d’un récipient

Caché

Page 215 de 254


N°


Affichage

Couleur

Initiateur « premier levé » = PREMIER

Rouge

Autres

Caché

6

Table 52 : Table d’animation des données pour les entrées de la barre de sécurité Description des statuts et de l’animation des ordres de la barre de sécurité : N°


Affichage

Couleur

Statut de l’ordre de blocage du démarrage 7

(sert de zone cible pour l’ordre de blocage du démarrage)

Jaune

Statut de la barre de sécurité = DECLENCHEE (sert de zone cible pour l’ordre de réinitialisation de la barre)

8

Rouge

Statut de la barre de sécurité = PRETE POUR REINITIALISATION

Le nom de la barre est en bleu

Statut de la barre de sécurité = NON DECLENCHEE

Bleu

Statut de la barre de sécurité = ISOLEE (la cible dédiée à l’ordre d’isolement sera située à côté du nom de la barre, au niveau accès aux méthodes ; l’accès aux fonctions sera supprimé et désactivé après la mise en service).

Animation du nom de la barre comme ci-dessus plus cadre externe

Statut de la barre de sécurité = DECLENCHEE

Rouge


Bleu

9

Table 53 : Table d’animation des données pour statuts et ordres de la barre de sécurité Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 216 de 254


Description de l’animation des sorties de la barre de sécurité : N°


Affichage

Couleur

Statut de la barre de sécurité = DECLENCHEE

Rouge


Bleu

10

Ordre de déclenchement de sécurité individuel 11

Statut mode de test Statut blocage Statut défaut

12

Pour les animations de cadres, se reporter aux fonctions standard individuelles (p.ex. SDV, BDV)

Texte = AFFICHE (s’affiche uniquement à la demande de l’opérateur)

Identification de l’équipement

Blanc

Texte = CACHE

Par exemple, nom de récipient

Caché Rouge

Temporisation pour sortie = ECOULEE Temporisation pour sortie = NON UTILISEE ou EN COURS 13

14

Le décompte du chronomètre doit être affiché, sinon, la valeur préréglée du chronomètre est affichée en permanence. (L’affichage du chronomètre sert de zone cible pour accéder à la fenêtre de sélection de la valeur prédéfinie)

Statut des vannes, moteurs électriques, etc.

Bleu

Pour animation marqueurs, se reporter aux fonctions standard individuelles

Statut de la barre de sécurité de niveau inférieur = DECLENCHEE

Rouge

Statut de la barre de sécurité de niveau inférieur = NON DECLENCHEE

Bleu

15

Table 54 : Table d’animation des données pour les sorties de la barre de sécurité Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 217 de 254


Quand une barre de sécurité a le statut « isolée », ses sorties ne verrouilleront plus les moteurs électriques, les vannes, etc., qui resteront à leur statut antérieur (d’avant l’activation de l’ordre d’isolement), ainsi que les initiateurs pour les barres de niveau inférieur, illustrés par les animations 11, 14 et 15. Les animations 10 et 13 seront telles qu’elles sont décrites plus haut. Animations suite à défauts communication ou système : Les entrées de barres (initiateurs) et les sorties de barres (sauf les liens entre les barres de sécurité) s’affichent en blanc (animations concernées : 2 et 14). Le statut des barres de sécurité, les flèches d’entrée et les flèches de sortie complètes s’affichent en bleu (condition normale) et en rouge. Animations concernées : 1, 4, 8, 9, 10, 13, 15.


Page 218 de 254


8.5. SYSTEME D’ULTIME SECOURS Un système USS (d’ultime secours) n’est pas obligatoire, mais c’est un système en option dans le cas où les systèmes ESD et F&G seuls ne suffiraient pas en termes de fiabilité, c.à-d. d’exigences du PFD. Il procure un moyen hautement fiable de fermer les ESDV, d’ouvrir les BDV et de garantir une coupure totale de l’électricité. Le système USS contourne le traitement logique ESD et F&G normal, c.-à-d. les résolveurs logiques et leurs modules d’entrée/sortie associés. Le système USS ne duplique pas le système ESD ou F&G, il prend le relais et exécute certaines actions ESD0 et ESD-1 essentielles lancées par ces systèmes, sur activation manuelle. L’architecture du système USS par rapport au système ESD/F&G est illustrée dans la figure « Système USS type avec architecture des systèmes ESD / F&G ». Le système USS est transparent à l’utilisateur ; les mêmes boutons que pour l’ESD sont utilisés pour l’USS, et par conséquent, il n’y aura pas de boutons-poussoirs ESD-0 et ESD-1 dédiés à la fonction USS. Dans la pratique, le signal provenant d’un nombre limité de boutons-poussoirs ESD-0 ou ESD-1 sera acheminé vers l’ESD/F&G pour recevoir le traitement approprié et également vers l’USS. Le signal de bouton-poussoir sortant atteint d’abord l’ESD/F&G pour permettre à ces systèmes d’effectuer l’arrêt de façon ordonnée, et ensuite l’USS après une temporisation adéquate. Les boutons-poussoirs ESD-0 et ESD-1 seront reliés par fil électrique, via un chronomètre, à un résolveur logique non programmable (composants à semi-conducteurs, relais classiques) ainsi qu’à des disjoncteurs qui coupent l’alimentation 24 Vcc des solénoïdes des ESDV et des BDV (des solénoïdes supplémentaires dédiés au système USS ne sont pas nécessaires). Les actions suivantes seront reprises par le système USS : Fermeture/ouverture de toutes les ESDV / BDV appartenant à la zone (ou aux zones) de feu concernée(s) Isolement électrique (1) en amont de la zone (ou des zones) de feu concernée(s), à l’exception des systèmes alimentés par des batteries (commande, post-lubrification d’urgence, etc.) Blocage du démarrage du générateur essentiel, le cas échéant et si cela est justifié Déclenchement, arrêt ou isolement de tous les équipements susceptibles de constituer une source d’inflammation (2) dans la zone de feu concernée (moteurs à gaz ou Diesel, turbines à gaz, appareils de chauffage à flammes, etc.), sauf les pompes à incendie entraînées par moteurs Diesel (3).


Page 219 de 254


Les actions suivantes ne seront pas reprises par le système USS : Activation des moyens de lutte contre l’incendie (ouverture de la vanne « déluge », libération du CO2 etc.). Signal de démarrage de la pompe à eau pour lutte contre l’incendie.

Figure 105 : Système USS type avec architecture des systèmes ESD / F&G Nota 1 : entrée = capteurs de champ ou initiateurs Nota 2 : détection de gaz dans conduite d’air de ventilation/combustion des « packages », si nécessaire Nota 3 : les fonctions logiques ESD et F&G peuvent être logées dans le même résolveur logique Nota 4 : chronomètre haute fiabilité Nota 5 : groupés par zone de feu Nota 6 : non repris par USS étant donné que le démarrage manuel est toujours possible Nota 7 : non repris par USS car l’équipement électrique convient aux emplacements dangereux Nota 8 : sauf consommateurs et commandes vitaux


Page 220 de 254


(1) : Le système USS ouvre les disjoncteurs qui alimentent la zone de feu à partir du TGBT principal, mais ne reprend pas l’isolement électrique étant donné que c’est normalement le rôle de l’ESD. (2) : Une étude spécifique est menée lors de la phase d’ingénierie afin de décider quels équipements devront être raccordés à l’USS et quels équipements ne dépendront que de l’ESD/F&G. En règle générale, seuls les équipements non certifiés pour une utilisation dans des emplacements dangereux sont déclenchés par l’USS. (3) : Les pompes à incendie, si elles sont déjà en fonctionnement et que leur sélecteur de mode est sur « automatique », ne sont pas mises à l’arrêt par l’USS lorsqu’il est activé.


Page 221 de 254


9. APPLICATION - EXEMPLE 9.1. LOGIGRAMME ET MATRICE Du « vieux système » …, de l’époque où on n’utilisait pas de DCS, de PLC,… Application à un séparateur de production Moyens nécessaires aux contrôles/ aux tests Moyens de dérivation Ils doivent être utilisés sur chaque E/S, pour tester les capteurs et le résolveur logique et éviter : les perturbations de traitement le blocage de toute la fonction logique la réduction de la durée de test Pour des raisons de sécurité, les boutons-poussoirs ESD n’ont pas de dérivations Documents-clé P&ID Schéma logique Schéma des causes et effets (matrice) Description fonctionnelle Procédure de test


Page 222 de 254


Schéma logique

Figure 106 : Application – Schéma logique P&ID

Figure 107 : Application – P&ID


Page 223 de 254


Chute de pression

Flux inversé de gaz minimal

Flux inversé de pétrole minimal

Arrêt de la pompe de transfert P 100 sur le traitement de pétrole

Organigramme des causes et effets

Fermeture de la vanne d’entrée SDV 100 sur le pétrole brut

Effets

Schéma des causes et effets (Matrice) é

Causes C 100 : séparateur de production HS 100A : bouton-poussoir d’urgence du séparateur LSHH 100 : niveau pétrole très élevé

X

PSHH 100 : pression de gaz très élevée

X

X

LSLL 100 : niveau pétrole très bas HS 100B : bouton-poussoir d’urgence de la pompe

X X

FSV 100A LNG : clapet anti-retour du collecteur FSV 100B : clapet anti-retour traitement pétrole

X X

PSV 100 : clapet surpression

X

PSE 100 : disque de rupture

X

Table 55 : Application – Organigramme des causes et effets Description fonctionnelle Etablissement : GOSP Nom du marqueur

Valeur de déclenchement

PSHH10

20 bar

LSHH 100

80%

Description fonctionnelle pour : SDV 100

Logique de déclenchement

Action du déclenchement Fermeture de SDV 100 (arrêt du débit de pétrole brut)

HS 100A Table 56 : Application – Description fonctionnelle Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 224 de 254


Procédure de test C’est le genre d’opération / de maintenance qui n’est généralement pas le bienvenu sur les sites. On craint toujours qu’il y ait des problèmes avec les vannes de fermeture, cellesci restant dans leur position secours …. Et que l’on ne dise pas que ce n’est pas vrai, j’ai toujours vu la même réaction, que le site soit ancien ou nouveau, que les opérateurs (et les gens de niveau plus élevé) ayant la responsabilité du travail soient vieux ou jeunes … Au moins une fois par an, toutes les vannes de fermeture (et les autres systèmes) doivent être activées, actionnées (ouvertes et fermées). Ce n’est pas quand on a un vrai arrêt qu’on doit s’apercevoir que les vannes « ont des difficultés » à fonctionner… Etablissement : GOSP

Procédure de test pour : SDV 100

Fréquence des tests : annuelle Dangers : Zone 2 (se reporter à la procédure de sécurité concernée) Exigences Personnel : 2 spécialistes maintenance (1 en instrument et 1 en tuyauterie) Equipements : 1 manomètre, 1 multimètre, et une boîte à outils

Procédure de test 1 – Prévenir l’opérateur et obtenir un permis de travail 2 – Activer les interrupteurs de dérivation I101, I102, I103, & O101 sur le tableau de contrôle et s’assurer que les voyants de dérivation s’allument 3 - Isoler PSHH 100 du traitement, ouvrir la vanne de vidange V101 pour vidanger le pétrole dans la tuyauterie d’impulsions 4 – Injecter le signal d’air régulé dans PSHH 100, faire monter la pression à 20 bars, vérifier que le contact s’ouvre 5 – Vérifier que la logique s’est activée et envoyer un ordre pour déclencher la SDV 100 6 Isoler LSHH 100 du traitement, ouvrir la vanne de vidange V102 et mettre la vanne V103 à l’air libre pour vidanger le pétrole dans la chambre 7 – Remplir la chambre LSHH 100 de pétrole jusqu’au niveau seuil ; vérifier que le contact s’ouvre 8 - Vérifier que la logique s’est activée et envoyer un ordre pour déclencher la SDV 100 9 - Activer HS 100A et vérifier que le contact s’ouvre 10 - Vérifier que la logique s’est activée et envoyer un ordre pour déclencher la SDV 100 11 – Vérifier la course partielle de SDV 100 à partir des équipements installés sur son point d’installation 11 – Fermer les vannes de vidange et raccorder PSHH 100 & LSHH 100 au traitement 11 – Désactiver les interrupteurs de dérivation I101, I102, I103 & O101 12 – Prévenir l’opérateur salle de contrôle que l’opération est terminée et rendre permis de travail Fin de la procédure de test Conçu par :

Date :

Contrôlé par :

Date :

Approuvé par :

Date :

Table 57 : Application – Procédure de test Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 225 de 254


9.2. BARRE DE SECURITE ET P&ID Vous trouverez ci-après une application qui vous permettra de discuter du système d’arrêt, mais aussi de passer en revue de nombreux points sur l’instrumentation. Il s’agit de l’usine de compression de gaz d’Obagi qui a trois compresseurs de gaz en série, l’un de 4 à 10 bar, un autre de 10 à 30 bar et le dernier de 30 à 100 bar. Les P&ID et PFD originaux sont presque illisibles, grâce aux couleurs pastel utilisées par le bureau d’études. Même avec une imprimante couleurs, ils restent illisibles. De toutes façons, sur site, les imprimantes couleurs et/ou les photocopieuses couleurs sont des « choses » qui n’existent pas. Les lettres utilisées (sur les plans originaux) sont aussi trop petites… C’est pourquoi j’ai refait une « combinaison » P&ID + PFD + affichage écran pour avoir des documents « réalistes » qui puissent être utilisés avec les stagiaires. Mais bien sûr, les P&ID restent les seuls vrais documents de référence… Ces documents (ci-après) n’ont pas été créés spécifiquement pour ce cours, ils comportent encore quelques erreurs, alors je vous demanderai d’être indulgents …


Page 226 de 254


Figure 108 : Principe général de l’usine de compression d’ Obagi Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 227 de 254


Légende pour les équipements de traitement : KB 562 DS 562 EB 562 EB 563 DS 563 KB 561 DS 561 EB 561 KB 564A KB 564B EB 564A EB 564B DS 564 DS 201 DS 202 DS 362

Compresseur de gaz HP (30 à 100 bar) Épurateur à succion - compresseur HP Refroidisseur d’entrée – compresseur HP Refroidisseur de gaz de décharge - compresseur HP Séparateur de décharge – compresseur HP Compresseur de gaz MP (10 à 30 bar) Épurateur à succion - compresseur MP Refroidisseur d’entrée – compresseur MP Compresseur de gaz BP A (4 to 10 bar) Compresseur de gaz BP B (4 to 10 bar) Refroidisseur de gaz de décharge A – compresseur BP Refroidisseur de gaz de décharge B – compresseur BP Séparateur de décharge – compresseur BP Épurateur à succion – compresseur BP Fût de torche K.O. Soufflet à gaz

Figure 109 : Légende pour l’application Également dessins pour le gaz combustible (BP et HP) avec DS 862 et DS 863

● GLOBE VALVE O

I-O-I

BALL VALVE FULL BORE CHECK VALVE

Imprimez ce qui suit – et essayez de suivre/expliquer le fonctionnement de ce système. C’est un exercice qui peut s’appliquer à d’autres domaines (et à d’autres cours) que « l’arrêt »

●

Instrument Pneumatic transmission Line

BUTTERFLY VALVE Instrument electrical transmission Line

Instrument Pneumatic Supply Regulator Design Process Temperature in normal running condition 45°C


GATE VALVE

Design Process Pressure in normal running condition 30.0 bg

Page 228 de 254


Figure 110 : Application – compresseur BP + Épurateur de sortie (séparateur) Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 229 de 254


Figure 111 : Application – Compresseur BP – huile de lubrification – huile de refroidissement Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 230 de 254


Figure 112 : Application – Compresseur basse pression – Températures et vibrations Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 231 de 254


Figure 113 : Application – Compresseur basse pression – Logique F&G / ESD Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 232 de 254


Figure 114 : Application – Compresseur MP + Epurateur d’entrée Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 233 de 254


Figure 115: Application – Compresseur MP– Logique d’arrêt Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 234 de 254


Figure 116 : Application – Compresseur HP + Epurateur d’entrée Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 235 de 254


Figure 117 : Application – Compresseur HP – Refroidisseur et séparateur de sortie Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 236 de 254


Figure 118 : Application – Compresseur HP – Logique d’arrêt Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 237 de 254


Figure 119 : Application – Berceau de gaz combustible – DS 861 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 238 de 254


Figure 120 : Application – Berceau de gaz combustible – DS 862 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 239 de 254


Figure 121 : Application – Berceau de gaz combustible – Logique d’arrêt Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 240 de 254


10. SYSTEMES SD - DIVERS Ou ce qui ne pouvait pas être « intégré » dans les systèmes F&G et SD typiques de nos installations « modernes »

10.1. ANNONCIATEUR Nous avons encore ce type de dispositif SD dans les vieilles centrales à turbines. Un annonciateur est un système de signalisation, généralement électronique, mais parfois pneumatique, qui donne une alarme sonore et/ou visuelle d’une condition de traitement qui a lieu en dehors de limites définies. La figure qui suit illustre une simple séquence annonciateur.

Figure 122 : Séquence annonciateur Dans la séquence illustrée, la condition de traitement anormale déclenche un contacteur de fin de course, ce qui a pour effet d’activer le système d’annonce avec des alarmes sonores et visuelles. Figure 123 : Annonciateur type (Panalarm) La façon dont l’alarme fonctionne est déterminée par la conception du système. Dans certains cas, l’alarme sonore peut être annulée tandis que l’alarme visuelle restera visible (activée) jusqu’à ce que les conditions de traitement redeviennent normales.


Page 241 de 254


Dans d’autres systèmes, l’opérateur peut arrêter l’alarme et la réinitialiser pour la prochaine condition hors limites. Figure 124 : Séquence d’alarme et d’arrêt Quand des commandes d’arrêt automatique sont utilisées, le séquencement des événements d’alarme est un petit peu plus compliqué qu’un simple système d’alarme. Il faut deux conditions de traitement hors limites pour activer la séquence complète des événements.

10.2. ENREGISTREUR D’HEURE DES EVENEMENTS OU ENREGISTREUR DE SEQUENCE DES EVENEMENTS Aussitôt après un arrêt et partout, (pas seulement sur les sites Total...), les autorités de l’usine (le personnel) arrivent dans la salle de contrôle et se précipitent vers les imprimantes d’alarmes (les imprimantes matérielles). La liste des alarmes et des signaux de déclenchement enregistrés sur le DCS est vue après… Généralement, ils (le personnel) ne demandent même pas ce qu’il s’est passé car la réponse est (encore souvent) : « nous n’en savons rien »… Et c’est (encore une fois souvent) le même résultat : qu’est-ce qui s’est passé en premier ? Qu’est-ce qui a provoqué le déclenchement ? Les alarmes sont là, mais laquelle a été la première et a provoqué le déclenchement ?… Dans certains cas, dans certaines usines (bien conçues), le premier défaut est facile à identifier, mais (trop) souvent, on ne trouve pas la cause réelle du déclenchement et c’est un fléau pour écrire le rapport : la formule « l’installation s’est déclenchée pour une cause inconnue » n’est (jamais) acceptée par la hiérarchie. Je me souviendrai toujours de cette installation de compression qui se déclenchait (de façon aléatoire, de plusieurs fois par jour à une fois par semaine) sans alarme, sans indication ni au DCS, ni au PLC de traitement, ni au PLC d’arrêt. Nous avons d’abord essayé de trouver le défaut à l’aide d’un enregistreur de séquence des événements (qui existait sur site pour les turbines), mais sans succès. Le seul moyen de trouver la cause était d’installer un enregistreur d’heure des événements ayant une résolution d’une milliseconde. Il n’a pas été facile de se procurer cet « outil », qui est finalement arrivé après quelques mois et des discussions sans fins…


Page 242 de 254


Nous avons piégé les sources possibles de déclenchement (avec plusieurs essais étant donné que nous avions un enregistreur à 4 entrées…) pour trouver finalement un PSLL (sur un PLC de traitement) qui s’ouvrait pendant un maximum de 7 ms, suffisamment longtemps pour désexciter un relais électromécanique, mais pas assez longtemps pour que cela puisse être détecté par un balayage d’alarmes effectué par les PLC et le DCS. Trouver la cause d’un déclenchement, même avec le système d’arrêt et d’alarmes le plus sophistiqué, le plus intelligent, est un problème qui se pose sans arrêt sur un site. Ayez un enregistreur d’heure des événements dans votre atelier – vous en aurez besoin ! L’SOE (Sequence of Event Recorder : enregistreur de séquence des événements) est un système autonome intelligent à microprocesseur qui enregistre les événements qui se produisent à distance. L’enregistreur SOE convient particulièrement aux systèmes qui doivent avoir une acquisition chronologique et un enregistrement des lignes de statut précis. On trouve généralement ces lignes dans les centrales, les sous-stations électriques, les usines de traitement et les systèmes à commandes automatisées.

Figure 125 : Enregistreur de séquence des événements (ou d’heure des événements) Le système peut fournir des sorties sur support papier de toutes les données enregistrées à la demande de l’opérateur. Les rapports tels que « alarmes courantes », « historique des événements », « historique des messages » et « légendes » sont générés et imprimés selon les besoins. La fonction consultation d’application permet le tri, par un enregistrement quelconque, ou par une combinaison d’enregistrements en ordre logique, des données stockées. Le système permet ensuite de faire imprimer facilement les données consultées telles qu’elles apparaissent à l’écran par une imprimante de rapports du réseau Naturellement, on vous répondra : « Vous n’avez pas besoin d’enregistreur d’heure des événements, tous les déclenchements, toutes les alarmes sont bien classés avec « l’heure exacte à laquelle ils se sont produits ». C’est le genre de réponse que j’ai eu moi-même, peut-être aurez-vous (maintenant) plus de chance. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 243 de 254


Votre réaction doit être : « Non, cela ne suffit pas. Votre listing dépend du type de balayage, et de l’heure de balayage des PLC. Il me faut une résolution de l’ordre (d’au moins) une milliseconde, et seul un enregistreur d’heure des événements peut donner ce résultat. (Et la prochaine fois, trouvez la raison du déclenchement vous-même… »).

10.3. NIVEAU D’INTEGRITE DE SECURITE (SIL : SAFETY INTEGRITY LEVEL) 10.3.1. Définitions Les nouvelles normes internationales exigent qu’un objectif de niveau d’intégrité de sécurité (SIL) soit attribué au système instrumenté de sécurité (SIS : safety instrumented system) pour tout procédé dans lequel l’analyse des risques du procédé (PHA : process hazards analysis) a déterminé que l’intégrité mécanique du procédé et le contrôle du procédé étaient insuffisants pour réduire les risques potentiels. Le SIS consiste en la mise en œuvre des contrôles mis en place dans le but de supprimer le risque ou de rendre le procédé inoffensif dans le cas d’un incident de procédé. Que signifie SIL ? On doit comprendre que le SIL et la disponibilité sont simplement des représentations statistiques de l’intégrité du SIS quand une demande de procédé est faite. L’acceptation d’un SIS de SIL 1 signifie que le niveau de danger ou de risque économique est suffisamment bas et qu’un SIS ayant 10% de possibilités de panne (90% de disponibilité) est acceptable. Considérons par exemple la mise en place d’un SIS de SIL 1 pour un déclenchement niveau élevé dans un réservoir de liquide La disponibilité de 90% signifierait que, sur un total de dix fois où le niveau atteindrait le point de déclenchement niveau élevé, il y aurait une panne du SIS, et un débordement consécutif du réservoir. Est-ce un risque acceptable ? Une vision qualitative du SIL s’est peu à peu développée ces dernières années au fur et à mesure que le concept du SIL a été adopté dans de nombreuses usines pétrolières et pétrochimiques. Cette vision qualitative peut s’exprimer en termes de l’impact des défaillances du SIS sur le personnel des usines et sur le public ou la communauté. Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 244 de 254


10.3.2. Objectif Définit le niveau de performance requis pour atteindre l’objectif de sécurité du procédé effectué par l’utilisateur (fonction de la probabilité et de la sévérité du risque que comporte le procédé). Plus le SIL est élevé, plus la fonction sécurité du SIS est disponible. La performance est améliorée par : l’addition de systèmes redondants des tests plus fréquents l’utilisation de la détection des défauts par diagnostics l’utilisation de différents capteurs et d’éléments de contrôle finals Les dispositifs de sites sont inclus dans les exigences en matière de performance (les vannes constituent le chaînon faible dans la plupart des systèmes) Une cuve comporte par exemple : une séquence sécurité pression pour empêcher que se produise une surpression suivie d’une explosion avec son niveau de risque ou SIL correspondant une séquence sécurité température pour empêcher une production hors spécifications avec un niveau de risque différent ou un SIL différent Le SIL peut être déterminé pour chaque fonction de sécurité et/ou pour un procédé complet.

10.3.3. Détermination du SIL Norme ANSI/ISA S84.01 Basée sur la corrélation entre le niveau de risque global (SIL) et la performance requise du système de sécurité (A, PFD, ou RRF) Niveau de risque

SIL

A

PFD

RRF

4

> 99,99 %

<0,0001

> 10 000

Élevé

3

99,9 – 99,99 %

0,001 - 0.0001

1 000 - 10 000

Moyen

2

99 99,9 %

0,01 - 0.001

100 - 1 000

Faible

1

90 - 99 %

0,1 – 0,01

10 - 100

Table 58 : Classification du SIL Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 245 de 254


Notas : A (disponibilité de la sécurité) : Fraction de temps pendant laquelle un système de sécurité est capable d’accomplir son service de sécurité spécifique pendant que le procédé est en cours. PFD (Probabilité moyenne de défaillance lors d’une sollicitation) : La probabilité moyenne pour qu’un système tombe en panne lorsqu’il doit répondre à une sollicitation, dans un intervalle de temps spécifié est : PFD moyen = 1 - A RRF (Risk Reduction Factor : facteur de réduction du risque) : C’est l’inverse de la PFD RRF = 1 / PFD SIL 4 n’est pas utilisé dans le procédé. Il sert à représenter d’autres industries comme le transport, l’aérospatiale ou le nucléaire.

10.4. CLAPET DE SURPRESSION Quand ils sont actionnés, cela signifie que le procédé est « perturbé » et que le système d’arrêt est « dépassé » (ou n’a pas fonctionné correctement). C’est pour cela que des PSV et des TSV font partie du système de sécurité, du système d’arrêt en dernier recours quand toutes les autres « choses » ont échoué. Il existe un autre cours opérateurs, EXP-PR-EQ190, consacré aux PSV ; consultez-le SVP. Cependant, nous verrons rapidement ici le principe du PSV (pressure safety valve). Les clapets de surpression empêchent la formation d’une pression excessive qui pourrait provoquer de sérieux accidents. L’élément ouvrant du clapet de surpression que l’on voit à la figure « Clapet de surpression type » est un disque maintenu fermé par un ressort. La tension du ressort est réglable. Le personnel de maintenance / d’étalonnage règle la tension du ressort lors de la pose du clapet.


Page 246 de 254


La valeur de réglage de la pression du clapet de surpression est toujours plus élevée que la pression de fonctionnement normale du système qu’il protège. Elle est toujours plus basse que la pression qui pourrait endommager le système. Figure 126 : Clapet de surpression type Les clapets de surpression empêchent les endommagements des équipements consécutifs à une surpression. Quand la pression du fluide à l’entrée est supérieure à la tension du ressort, le disque du clapet s’élève, ouvrant ainsi le clapet. Par exemple, un clapet de surpression est souvent utilisé pour protéger une pompe ou un compresseur à course positive. Si la pression de refoulement normale est de 50 bar, le clapet de surpression peut être réglé à 60 bar. Si la pression dans la canalisation de refoulement s’élève jusqu’à 60 bar, la pression dépassera alors la tension du ressort de clapet. Le disque du clapet se soulèvera de son siège. Le liquide ou le gaz provoquant la pression élevée s’échappera alors par le clapet comme cela est illustré à la figure suivante.

Figure 127 : Fonctionnement du clapet de surpression Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 247 de 254


Le clapet s’ouvre quand la pression du fluide à l’entrée est plus élevée que la valeur de réglage du clapet de surpression. Une fois que la pression dans la tuyauterie redescend en dessous de 60 bar, le ressort repousse le disque du clapet sur son siège. On utilise les clapets de surpression aussi bien dans les oléoducs que dans les gazoducs. Ces clapets sont aussi installés sur les cuves et les réservoirs de traitement pour les protéger des montées en pression excessives. Et prenez soin de « vos » clapets de surpression dans « votre » usine ; ils constituent la dernière solution quand toutes les autres n’ont pas fonctionné ……

Figure 128 : Clapet de surpression et son symbole en dessin technique


Page 248 de 254


11. GLOSSAIRE AIS CPU CCR DCS DI DO DVT ESD EWS FAT FDS FGS ICSS ISS I/O HMI MCC MTTR PAGA PCS PDCS PDS PFD PFD PLC PSS P&ID’s RSSC SCADA SIL SIS SOE OWS TCP UCP UDP USS VPN

Alarm Interface System : système d’interface d’alarme Central Processor Unit : unité centrale Central Control Room : salle de contrôle centrale Distributed Control System Digital Input : entrée numérique Digital Output : sortie numérique Design Validation Test : test de validation de conception Emergency Shut-Down : arrêt d’urgence Engineering Work Station : station de travail d’ingénierie Factory Acceptance Test : test de réception usine Functional Design Specification : spécification de conception fonctionnelle Fire and Gas System : système feu et gaz Integrated Control and Safety System : système à contrôle et à sécurité intégrés Internet Safety System : système de sécurité Internet Inputs/outputs : entrées/sorties Human Machine Interface : interface homme/machine Motor Control Centre : centre de contrôle des moteurs électriques Mean Time To Repair : moyenne des temps de travaux de réparation Public Address and General Alarm : annonce vocale et alarme générale Process Control System : système de contrôle des procédés Power Distribution Control System Process Data Server : serveur de données de traitement Process Flow Diagram : organigramme de traitement Probability of Failure on Demand : probabilité moyenne de défaillance lors d’une sollicitation Programmable Logic Controller : automate programmable Process Safety System : système de sécurité des procédés Process and Instruments Diagram’s : schémas des procédés et des instruments COMPANY Control System Security Manager (From French Responsable Sécurité Systèmes de Contrôle) Supervisory Control and Data Acquisition : télétransmission Safety Integrity Level : niveau d’intégrité de sécurité Safety Instrumented System : système instrumenté de sécurité Sequence of Events : séquence des événements Operator Work Station : station de travail opérateur Transmission Control Protocol : protocole de contrôle des transmissions Unit Control Panel : tableau de contrôle d’unité User Datagram Protocol : protocole de datagramme utilisateur Ultimate Safety System : système ultime secours Virtual private Network : réseau privé virtuel


Page 249 de 254


12. FIGURES Figure 1 : Architecture générale des systèmes F&G + ESD sur un site.............................10 Figure 2 : Exemple d’architecture d’une distribution F&G .................................................16 Figure 3 : Courbe de la progression du feu........................................................................18 Figure 4 : Principe du détecteur de fumée optique (modèle Cerberus / Siemens).............20 Figure 5 : Principe du détecteur de fumée à alerte rapide .................................................21 Figure 6 : Installation générale d’un détecteur de fumée à alerte rapide ...........................22 Figure 7 : Effet du tirage ....................................................................................................23 Figure 8 : Spectre montrant la bande de détection des UV et des IR ................................24 Figure 9 : Radiations émises par une flamme....................................................................24 Figure 10 : Type de détection des UV et des IR ................................................................25 Figure 11 : Exemples détecteurs UV: Det-Tronics et General Monitors (utilisations sur site) ...................................................................................................................................27 Figure 12 : Exemples détecteurs IR : Det-Tronics et General Monitors .............................27 Figure 13 : Exemples de détecteurs d’UV / IR : Det-Tronics et General Monitors .............28 Figure 14 : Principe du sprinkler (sous eau) ......................................................................31 Figure 15 : Principe des fusibles thermiques sur la ligne de détection de l’air ...................31 Figure 16 : Exemple de boucle fusible dans des conditions normales...............................32 Figure 17: Exemple de boucle fusible en situation d’incendie............................................32 Figure 18 : Principe des sprinklers sous air – un tuyau pour la détection et pour l’action..34 Figure 19 : Détecteur de chaleur thermostatique...............................................................36 Figure 20 : Détecteur de vitesse d’élévation de la température .........................................36 Figure 21 : Détecteur de chaleur avec compensation de la vitesse...................................38 Figure 22 : Exemples de déclencheurs manuels d’alarme ................................................39 Figure 23 : Risque d’explosion / de combustion des gaz ...................................................41 Figure 24 : Principe du détecteur de gaz inflammable – type lit catalytique ......................44 Figure 25 : Plage IR dans le spectre..................................................................................45 Figure 26 : Le détecteur de gaz IR fait le rapport entre l’échantillon et la référence ..........46 Figure 27 : Détail du détecteur de type optique à absorption d’IR par point ......................47 Figure 28 : Type à trajectoire ouverte à absorption des points optiques IR .......................50 Figure 29 : Principe du détecteur de gaz toxique à semi-conducteur ................................51 Figure 30 : Principe du détecteur de gaz toxique électrochimique.....................................52 Figure 31 : Surveillance en boucle fermée.........................................................................56 Figure 32 : Surveillance en boucle ouverte pour les détecteurs numériques.....................57 Figure 33 : Surveillance en boucle ouverte pour les détecteurs analogiques ....................57 Figure 34 : Effets des produits d’extinction ........................................................................59 Figure 35 : Effets du halon.................................................................................................61 Figure 36 : Représentation schématique type d’un système d’extinction au gaz inerte.....64 Figure 37 : Exemple de berceau / bouteilles gaz inerte .....................................................65 Figure 38 : Libération du gaz par électrovannes................................................................65 Figure 39 : Toujours 2 racks de bouteilles, quels que soient leur taille et leur nombre......66 Figure 40 : Schéma - application locale .............................................................................66 Figure 41 : Exemple de distribution d’eau pour lutte contre l’incendie ...............................67 Figure 42 : Exemple de « package » berceau de réservoir de mousse avec décharge double pour moniteurs d’hélideck / tuyauterie souple et zone de stockage carburant. ...................................................................................................................................69 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 250 de 254


Figure 43 : Vanne de régulation « déluge » Inbal ..............................................................72 Figure 44 : Commande de la mise en marche/mise à l’arrêt de la vanne de régulation « déluge » par électrovanne .......................................................................................73 Figure 45 : Vanne de régulation « déluge » avec commande/régulation aval....................74 Figure 46 : Vanne « déluge » avec maintien de la pression d’entrée ................................75 Figure 47 : Différents principes d’addition de mousse dans l’eau du système « déluge » .77 Figure 48 : Schéma d’une vanne « déluge » selon GS......................................................78 Figure 49 : Schéma type d’une vanne « déluge » (appendice 1 de GS EP SAF 322A).....78 Figure 50 : Schéma type du circuit d’eau pour lutte contre l’incendie ................................81 Figure 51 : Le « problème de la PCV d’évacuation par-dessus bord.................................82 Figure 52 : Quelques exemples de clapets coupe-feu.......................................................83 Figure 53 : Tableau de commande F&G et logique de sécurité en général .......................84 Figure 54 : Logique de vote 1oo1 ......................................................................................85 Figure 55 : Logique de vote 1oon ......................................................................................86 Figure 56 : Logique de vote 2oo2 ......................................................................................86 Figure 57 : Logique de vote 2oo3 .....................................................................................87 Figure 58 : Logique de vote 2oon ......................................................................................89 Figure 59 : Fonctions générales / description d’un GD .....................................................99 Figure 60 : Schéma d’animation sur site avec symboles des détecteurs.........................101 Figure 61 : Fonctions générales / description d’un GDB..................................................103 Figure 62 : Schéma d’animation sur site avec symboles des détecteurs.........................104 Figure 63 : Fonctions générales / description d’un RD ....................................................106 Figure 64 : Fonctions générales / description du RDH & RDS.........................................109 Figure 65 : Fonctions générales / description d’un système « déluge » .........................113 Figure 66 : Affichage de contrôle pour « déluge » avec mousse .....................................117 Figure 67 : Affichage de contrôle pour « déluge » sans mousse .....................................118 Figure 68 : Affichage de contrôle du rideau d’eau ...........................................................120 Figure 69 : Fonctions générales / description du système d’extinction du feu ................121 Figure 70 : Affichage de contrôle du système d’extinction de feu ....................................124 Figure 71 : Fonctions générales / description du système de vote 2oon – 2oo3 ..........126 Figure 72 : Fonctions générales / description d’un clapet coupe-feu ...............................129 Figure 73 : Représentation d’un clapet coupe-feu ...........................................................132 Figure 74 : Schéma général et raison d’être d’un système de sécurité de centrale.........135 Figure 75 : Principaux éléments d’un système de sécurité ..............................................136 Figure 76 : Différentes technologies pour les systèmes de sécurité ................................137 Figure 77 : Structure générale d’un système ESD...........................................................138 Figure 78 : Fonctionnement à sécurité intégrée – déclenchement après mise sous tension .................................................................................................................................139 Figure 79 : Fonctionnement à sécurité intégrée – déclenchement après mise hors tension .................................................................................................................................139 Figure 80 : Schéma du fonctionnement du système d’arrêt.............................................144 Figure 81 : Schéma général d’une logique ESD / SD type ..............................................145 Figure 82 : Schéma d’une logique ESD type pour une plateforme de tête de puits.........146 Figure 83 : Conception de tête de puits typique...............................................................156 Figure 84 : Solutions typiques de dérivation des ESDV...................................................158 Figure 85 : Fonctions générales / description des interfaces de la SDV..........................168 Figure 86 : Représentation d’une SDV (vanne d’arrêt) ....................................................173 Figure 87 : Fonctions générales / description des interfaces de l’ESDV..........................177 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 251 de 254


Figure 88 : Représentation d’une ESDV (vanne d’arrêt d’urgence) .................................181 Figure 89 : Fonctions générales / description des interfaces de la BDV..........................185 Figure 90 : Représentation d’une BDV (vanne de purge) ................................................189 Figure 91 : Structure de la technologie électronique programmable................................192 Figure 92 : Principes simple et en série ...........................................................................194 Figure 93 : Principe du système double...........................................................................195 Figure 94 : Principe du système de vote..........................................................................195 Figure 95 : Logique de vote - Architecture 1oo2 ..............................................................195 Figure 96 : Logique de vote - Architecture 2oo2 ..............................................................196 Figure 97 : Logique de vote - Architecture 2oo3 ..............................................................197 Figure 98 : Processeur Triconex......................................................................................198 Figure 99 : Architecture générale du Triconex .................................................................199 Figure 100 : Gestion de l’acquittement des alarmes........................................................203 Figure 101 : Schéma des fonctions générales d’une barre de sécurité ...........................206 Figure 102 : Fonctions générales / Description des interfaces de la barre de sécurité...208 Figure 103 : Utilisation du blocage du démarrage ...........................................................213 Figure 104 : Organisation générale des symboles de la barre de sécurité ......................214 Figure 105 : Système USS type avec architecture des systèmes ESD / F&G .................220 Figure 106 : Application – Schéma logique......................................................................223 Figure 107 : Application – P&ID.......................................................................................223 Figure 108 : Principe général de l’usine de compression d’ Obagi ..................................227 Figure 109 : Légende pour l’application ...........................................................................228 Figure 110 : Application – compresseur BP + Épurateur de sortie (séparateur) ..............229 Figure 111 : Application – Compresseur BP – huile de lubrification – huile de refroidissement .........................................................................................................230 Figure 112 : Application – Compresseur basse pression – Températures et vibrations .231 Figure 113 : Application – Compresseur basse pression – Logique F&G / ESD ............232 Figure 114 : Application – Compresseur MP + Epurateur d’entrée..................................233 Figure 115: Application – Compresseur MP– Logique d’arrêt..........................................234 Figure 116 : Application – Compresseur HP + Epurateur d’entrée ..................................235 Figure 117 : Application – Compresseur HP – Refroidisseur et séparateur de sortie ......236 Figure 118 : Application – Compresseur HP – Logique d’arrêt ........................................237 Figure 119 : Application – Berceau de gaz combustible – DS 861 ..................................238 Figure 120 : Application – Berceau de gaz combustible – DS 862 ..................................239 Figure 121 : Application – Berceau de gaz combustible – Logique d’arrêt ......................240 Figure 122 : Séquence annonciateur...............................................................................241 Figure 123 : Annonciateur type (Panalarm) .....................................................................241 Figure 124 : Séquence d’alarme et d’arrêt.......................................................................242 Figure 125 : Enregistreur de séquence des événements (ou d’heure des événements) .243 Figure 126 : Clapet de surpression type ..........................................................................247 Figure 127 : Fonctionnement du clapet de surpression ...................................................247 Figure 128 : Clapet de surpression et son symbole en dessin technique ........................248


Page 252 de 254


13. TABLES Table 1 : Principe du détecteur de fumée ionique..............................................................19 Table 2 : Installation de détecteurs de fumée ....................................................................23 Table 3 : Choix d’un détecteur de flamme en fonction du combustible..............................29 Table 4 : Évaluation pour le choix des détecteurs de flammes ..........................................30 Table 5 : Espacement des fusibles thermiques sur site.....................................................35 Table 6 : Installation des détecteurs de chaleur.................................................................38 Table 7 : Sélection générale des détecteurs de chaleur ....................................................40 Table 8 : Toxicité du sulfure d’hydrogène ..........................................................................42 Table 9 : Concentration maximale de gaz toxique (ppm) pour permettre une entrée dans une enceinte confinée.................................................................................................42 Table 10 : L.I.E. et ppm pour les principaux gaz toxiques et inflammables........................43 Table 11 : Emplacements recommandés pour l’installation des détecteurs de gaz inflammables ..............................................................................................................55 Table 12 : Produits d’extinction gérés par le système Feu et Gaz .....................................59 Table 13 : Classes de feux et de produits d’extinction.......................................................60 Table 14 : Effets du halon sur la composition de l’air........................................................61 Table 15 : Effets du dioxyde de carbone sur la composition de l’air ..................................63 Table 16 : Caractéristiques principales des gaz inertes d’extinction..................................64 Table 17 : Différents types de berceaux « déluge »...........................................................70 Table 18 : Utilisation des systèmes « déluge »..................................................................71 Table 19 : Les différentes positions de fonctionnement de la vanne de régulation « déluge »...................................................................................................................72 Table 20 : Exemple de logique de vote 2oo2....................................................................87 Table 21 : Exemple de logique de vote 2oo3.....................................................................88 Table 22 : Messages et alarmes PAGA .............................................................................97 Table 23 : Détail des conditions de statut d’un GD ..........................................................100 Table 24 : Exemple d’affichage de contrôle pour un GD..................................................102 Table 25 : Détail des conditions de statut pour le GDB ...................................................103 Table 26 : Exemple d’affichage de contrôle pour un GDB ...............................................105 Table 27: Détail des conditions de statut pour un RD......................................................107 Table 28 : Affichage de contrôle pour un RD ...................................................................108 Table 29 : Animation spécifique pour un RD....................................................................109 Table 30 : Détail des conditions de statut pour un RDH & RDS ......................................110 Table 31 : Description des ordres pour le RDH & RDS....................................................110 Table 32 : Affichage de contrôle pour un RDH & RDS ....................................................111 Table 33 : Animation spécifique pour un RDH & RDS .....................................................112 Table 34 : Table d’animation des données du système « déluge » avec mousse ...........118 Table 35 : Table d’animation des données pour le système « déluge » sans mousse ....119 Table 36 : Table d’animation des données pour le rideau d’eau......................................120 Table 37 : Table d’animation des données pour le système d’extinction du feu ..............125 Table 38 : Règles de calcul des données internes – Logique de vote .............................126 Table 39 : Animation spécifique de logique de vote.........................................................127 Table 40 : Exemple d’utilisation de la matrice de sécurité en détection F&G...................128 Table 41 : Table d’animation des données pour les symboles du clapet coupe-feu ........133 Table 42 : Table d’animation des données du cadre du clapet coupe-feu.......................134 Manuel de formation EXP-SI100-FR Dernière révision : 11/06/2009

Page 253 de 254


Table 43 : Comportement du traitement en conditions de « fail-set » et de sécurité intégrée .................................................................................................................................140 Table 44 : Installation des boutons-poussoirs ESD sur sites ...........................................159 Table 45 : Exigences fonctionnelles pour les vannes d’arrêt ...........................................160 Table 46 : Table d’animation des données pour le symbole SDV....................................174 Table 47 : Table d’animation des données pour le cadre SDV ........................................175 Table 48 : Table d’animation des données pour le symbole ESDV .................................182 Table 49 : Table d’animation des données pour le cadre ESDV......................................183 Table 50 : Table d’animation des données pour le symbole BDV....................................190 Table 51 : Table d’animation des données pour le cadre BDV ........................................191 Table 52 : Table d’animation des données pour les entrées de la barre de sécurité .......216 Table 53 : Table d’animation des données pour statuts et ordres de la barre de sécurité .................................................................................................................................216 Table 54 : Table d’animation des données pour les sorties de la barre de sécurité ........217 Table 55 : Application – Organigramme des causes et effets..........................................224 Table 56 : Application – Description fonctionnelle ...........................................................224 Table 57 : Application – Procédure de test ......................................................................225 Table 58 : Classification du SIL .......................................................................................245


Page 254 de 254

Automatisme Securite F&G-ESD.pdf

Recommend Documents