4.2.1 La mise en service des sécurités instrumentales
Réalisation d’une inspection lors de la mise en service
310. L’entreprise dispose-t-elle d’une procédure qui prescrit que lors de la mise en service d’une sécurité instrumentale nouvelle ou modifiée, il faut contrôler si elle répond entièrement aux spécifications prescrites?
311. A-t-on rédigé pour chaque sécurité instrumentale une instruction pour contrôler si elle répondait entièrement aux spécifications prescrites?
312. Les résultats de ces contrôles ont-ils été enregistrés?
Le standard IEC61511 attache beaucoup d’importance à la validation de la sécurité après la réalisation technique de cette dernière.
L’objectif de la validation est d’assurer à l’aide de tests et d’inspections que la sécurité fonctionne conformément aux spécifications.
L’inspection d’une sécurité instrumentale lors de la mise en service est beaucoup plus étendue que le test périodique. Lors du test périodique, on peut en principe se limiter aux aspects de la boucle soumis à une usure ou qui peuvent faire l’objet de modifications incontrôlées (à savoir toutes les fonctionnalités réalisées dans le système DCS). Lors des
tests à la mise en service, on doit aussi toutefois s’orienter pour détecter d’éventuelles fautes de programmation et de construction.
Le standard IEC 61511 prescrit qu’après des modifications à la logique de la sécurité instrumentale, la fonctionnalité toute entière doit être testée dans son ensemble.
Inspection après entretien ou réparations
313. Existe-t-il une procédure qui prescrit qu’après un entretien ou des réparations à une sécurité instrumentale, la sécurité doit être testée partiellement ou dans son
ensemble?
314. Lorsqu’une vanne est démontée pour révision et entretien, teste-t-on après
remontage de la vanne si cette dernière fonctionne correctement conformément aux spécifications de la sécurité instrumentale (comportement à l’enclenchement, position de sécurité, retards éventuels, etc)?
En fonction de l’étendue de l’entretien ou des réparations, il doit être déterminé si la sécurité instrumentale doit être testée dans son ensemble ou seulement une partie déterminée.
Des vannes qui ont été révisées, doivent à nouveau être testées. Des fautes potentielles pouvant survenir avec des vannes, sont: position de sécurité inversée, les câbles du signal de conduite mal ou pas connectés, idem pour les câbles de l’indication en retour de la position de la vanne,....
Lien des mesures avec l’installation de procédé
315. Existe-t-il un système pour assurer que les éléments de mesure isolés de l’installation pendant des travaux, sont à nouveau reliés à l’installation après la fin des travaux?
Certains éléments de mesure peuvent être séparés de l’installation de procédé au moyen de vannes manuelles.
Exemple typique: contacteur de niveau avec tube de niveau. Si l’on n’ouvre pas les vannes vers le tube de niveau, la sécurité ne fonctionnera plus et cela ne sera pas remarqué. Ceci est un argument supplémentaire pour utiliser des mesures analogiques qui alors peuvent être comparées en continu avec les mesures normales de contrôle (qui, par définition, doivent être en ordre pour pouvoir démarrer).
Dans beaucoup d’entreprises, il est convenu que seul le personnel de production peut manipuler ces vannes. Le personnel de production est dans ce cas responsable pour remettre ces éléments de mesure en liaison avec l’installation après que le personnel d’entretien y ait effectué des travaux. Avant de démarrer l’installation, la bonne position de telles vannes devrait être contrôlée à l’aide d’une liste de contrôle.
4.2.2 L’exécution d’inspections et de réparations
Planification et exécution des inspections à temps
316. Peut-on montrer un aperçu des inspections les plus récentes réalisées sur les sécurités instrumentales?
317. L’entreprise peut-elle montrer le planning des inspections qui sont prévues dans un futur proche?
318. Existe-t-il une méthode pour le suivi par le management supérieur de l’exécution à temps des inspections?
319. Peut-on montrer un aperçu des inspections qui n’ont pas été réalisées à temps?
320. Le dépassement de la date limite de l’inspection a-t-il seulement lieu suite à une autorisation explicite du management supérieur?
Les inspections doivent être planifiées à temps afin de garantir que leur préparation et leur exécution ne dépassent pas la date limite d’exécution. Lors de la planification des inspections, il faut tenir compte du planning des arrêts.
A l’examen de l’aperçu des inspections réalisées, il doit apparaître que les intervalles maximaux entre les inspections ne sont pas dépassés. Si cela arrive quand même, il faut en faire la demande bien à l’avance au management supérieur. Cette demande comprend les informations suivantes:
• les conséquences potentielles d’un report
• l’argumentation du report
• la description de la façon dont les risques sont maintenus sous contrôle malgré le report
• la nouvelle date d’exécution.
Le dépassement de la date limite de l’inspection ne peut seulement avoir lieu qu’après une autorisation explicite du management supérieur.
Rapportage des inspections
321. Peut-on montrer un rapport pour chaque inspection?
322. Le rapport d’inspection mentionne-t-il le code d’identification de la sécurité inspectée?
323. Le rapport d’inspection mentionne-t-il les résultats des mesures et les observations?
Le rapport d’inspection mentionne:
• l’identification de la sécurité instrumentale qui a été contrôlée
• les contrôles réalisés
• les résultats de ces contrôles.
Une bonne pratique est de donner immédiatement après l’inspection un feedback aux responsables de production concernés.
Si à l’issue de l’inspection il ressort que la sécurité instrumentale ne satisfait plus aux exigences prédéfinies, il faut prendre immédiatement des mesures alternatives pour maintenir un même niveau de sécurité. On ne peut pas attendre le rapport officiel.
Exécution correcte des réparations
324. Après chaque réparation, la fonctionnalité de la sécurité instrumentale est-elle testée?
325. La réalisation de ce test a-t-elle été enregistrée?
326. Y a-t-il une procédure qui prescrit le test des sécurités instrumentales après réparations?
Après une intervention sur un composant d’une sécurité instrumentale, il y a un risque élevé d’avoir une faute dans le système. C’est pourquoi, après chaque intervention, il faut à nouveau refaire un contrôle complet de la sécurité, similaire au contrôle lors de la mise en service.
4.2.3 Façon d’agir pour des mesures non actives
Limitation de l’accès aux sécurités instrumentales
327. Si des boutons-poussoirs ou des contacteurs existent pour ponter la sécurité
instrumentale (ou sa mesure), ces contacteurs sont-ils verrouillés à l’aide d’une clé?
328. Si les sécurités instrumentales peuvent être débranchées via le système de contrôle (via un lien en série avec le système de sécurité), l’accès à ces fonctions dans le système de controle est-il protégé au moyen d’un code ou d’une clé?
329. A-t-on testé pour toutes les sécurités instrumentales les moyens de by-passer les sécurités instrumentales (contacteurs, boutons-poussoirs, lien en série avec le DCS)?
330. L’accès à la clé qui permet les modifications du logiciel dans le programme du PLC de sécurité est-il contrôlé?
Les contacteurs ou les boutons-poussoirs pour ponter des mesures sont appelés “Process Override Switches”.
Certaines installations sont équipées de ce que l’on appelle des “MOS” (Maintenance Override Switches) permettant de mettre la mesure hors service si le composant nécessite un entretien ou une réparation. Un MOS est donc en principe manipulé par le personnel d’entretien.
Cela peut se passer de 3 manières différentes:
• dans l’armoire ESD avec un interrupteur par instrument
• dans le système DCS
• en salle de contrôle avec des interrupteurs à câblage fixe « hard wired ».
En l’absence de ces MOS, le pontage se fera le plus souvent en ajoutant des câbles dans la boîte à bornes. A chaque fois se présente le risque que le pontage ne soit pas enlevé ou trop tard.
Différentes mesures matérielles sont possibles pour éviter le pontage incontrôlé. Si le pontage a lieu via l’armoire ESD, l’emploi d’une clef est nécessaire pour permettre de rendre actif le pontage par mesure. Si le pontage a lieu via le DCS, on peut également travailler avec une clef ou un code. Ces clefs ne peuvent naturellement pas être présentes en permanence sur l’armoire ESD ou sur le système DCS.
Le TÜV (un institut international de certification) prescrit que si le pontage se fait via le DCS, il doit toujours exister un contacteur à câblage fixe « hard wired » (ou une autre méthode) permettant d’annuler tous les pontages.
Chaque PLC de sécurité dispose d’une clef indispensable pour pouvoir effectuer des modifications de software ou pour les pontages (“forçage de signaux”). Ce n’est pas la même clef que celle pour le déverrouillage des MOS. Cette clef ne peut pas être laissée sur le système, sinon cette forme de protection n’aurait naturellement qu’une faible valeur ajoutée.
Les possibilités pour by-passer une sécurité instrumentale doivent être testées lors de la mise en service d’une nouvelle sécurité ou lors d’une modification sur une sécurité existante. Pour des sécurités instrumentales pour lesquelles un tel test n’a pas été réalisé dans le passé (ou n’a pas été enregistré), les services d’inspection s’attendent à ce que la logique de fonctionnement complète soit encore testée.
Signalisation aux opérateurs des sécurités (ou mesures) pontées
331. Rend-on clairement visibles aux opérateurs dans la salle de contrôle quelles sécurités instrumentales ont été pontées?
332. Rend-on clairement visibles aux opérateurs dans la salle de contrôle quelles mesures ont été pontées?
Des sécurités instrumentales pontées individuellement peuvent par exemple être rendues visibles pour les opérateurs via un panneau donnant une vue d’ensemble sur lequel les boucles déconnectées apparaissent. Une alternative est une signalisation par installation ou par partie d’installation.
L’utilisation de MOS se doit d’être également visualisée de façon à ce que l’on ait toujours un aperçu (visuel) clair des mesures hors service.
Tuyauterie de by-pass de la vanne
333. Les vannes situées sur des éventuels “by-pass” de vannes commandées à distance qui font partie d’une sécurité instrumentale, sont-elles scellées en position fermée?
334. La position fermée de ces vannes est-elle contrôlée périodiquement?
335. L’ouverture d’une telle vanne de by-pass est-elle soumise à une procédure?
Une telle tuyauterie de by-pass peut par exemple être utilisée pour tester la vanne (la fermer) sans avoir d’impact sur la production. En circonstances normales, cette tuyauterie de by-pass ne peut naturellement jamais rester ouverte.
Manipulation locale
336. Dans le cas où des vannes, qui sont manœuvrées par une sécurité instrumentale, peuvent être commandées localement (via un interrupteur), le signal de la sécurité a-t-il priorité sur le signal qui est donné en local?
337. Dans le cas où une commande locale d’un solénoide d’une vanne (qui fait partie d’une sécurité instrumentale) est possible, l’entreprise a-t-elle pris des mesures pour éviter un usage incontrôlé de cette possibilité?
Dans certains cas, un interrupteur est prévu au niveau de la vanne pour commander la vanne sur place. Cela se présente surtout avec des vannes appelées MOV’s (“motor operated valves” ou vannes avec moteur électrique). Cette commande locale ne peut pas neutraliser la fonction de sécurité. C’est pourquoi le signal de la sécurité doit avoir priorité sur le signal local. Cela doit ressortir du schéma logique de la sécurité.
Certaines vannes électromagnétiques prévoient un “manual override” qui permet de commander les vannes localement. Cette disposition n’est pas à conseiller pour les vannes dans des applications de sécurité.
Procédure pour les sécurités instrumentales non actives
338. Existe-t-il une procédure pour la mise hors service d’une sécurité instrumentale (dans son ensemble ou en partie)?
339. Cette procédure prévoit-elle la détermination des mesures alternatives?
340. Cette procédure prévoit-elle des mesures pour éviter que les mesures ne restent hors service de manière incontrôlée pendant une longue période?
Lorsqu’une sécurité instrumentale est mise hors service, on diminue le niveau de sécurité de l’installation. C’est pourquoi il est nécessaire d’évaluer formellement si l’installation peut être maintenue en service. Si l’on décide de maintenir en service l’installation, on doit
déterminer sous quelles conditions cela peut se faire et combien de temps cette situation temporaire peut persister.
Un défaut à une sécurité instrumentale a le même effet sur le niveau de sécurité que la mise hors service d’une mesure fonctionnant correctement. Si le défaut ne peut pas être réparé immédiatement, il faut suivre la même méthode de travail que lors de la mise hors service d’une sécurité.
Il est recommandé de travailler, aussi bien pour une mise hors service planifiée d’une sécurité instrumentale que pour une mesure défectueuse, avec un formulaire sur lequel les champs suivants sont prévus:
• date de la mise hors service
• durée maximale de la mise hors service
• raisons de la mise hors service
• mesures alternatives temporaires
• approbation par une personne compétente.
Signalisation des composants des sécurités instrumentales
341. Les composants d’une sécurité instrumentale sont-ils marqués sur place comme critiques pour la sécurité?
Un tel marquage a pour principal objectif d’éviter des travaux non contrôlés sur des composants de sécurités instrumentales.