DIRECTION LOGISTIQUE DGRM

STANDARD STD-LOG 048

Révision : 00
AUTOMATISME Date : 29/12/08
Page 1 sur 8

Rév. Date Rédaction Approbation Objet de la révision

0 29/12/08 X SUCHER P GUERARD Creation

Domaine d’application
Transports primaires
Etablissements industriels X
Transports Routiers
Progrès et Performance
Gestion des compétences et Formation

SUMMARY

1 Objectif
2 Domaine d’application
3 Documentation de référence
4 Autres documents applicables
5 Définitions
6 Domaine
6-1 Domaine à l’intérieur de la pyramide CIM
6-2 Domaine pour l’automatisme
7 Exigences fonctionnelles et système
7-1 Exigences fonctionnelles
7-1-1 Disponibilité et Fiabilité
7-1-1-1 Fiabilité
7-1-1-2 Disponibilité
7-1-2 Capacité temps réel
7-1-3 Sécurité
7-1-4 Situation en mode dégradé du système:
7-1-5 Intégrité de données et/ou sûreté de date augmentée
7-1-6 flexibilité du système
7-1-7 Adaptabilité du système
7-1-8 Modularité du système
7-1-9 Indépendance des fabricants de sous-systèmes
7-1-10 Mesure
7-1-11Sureté
7-1-11-1 Contrôle d’accès et identification
7-1-11-2 Système anti-fraude
7-2 Exigences du système pour les données
7-2-1 Basé sur des standards du marché
7-2-2 Evolutif
8 Description fonctionnelle
8-1 Basée sur décomposition fonctionnelle de terminal
8-2 Méthode pour analyse fonctionnelle.
8-3Documentation
9 Maintenance

1/8
 DIRECTION LOGISTIQUE DGRM

STANDARD STD-LOG 048

Révision : 00
AUTOMATISME Date : 29/12/08
Page 2 sur 8

1 Objectif
Fournir un guide line pour la conception de l'automatisation et de la supervision d’un dépôt couvrant
processus et les aspects de sécurité, les objectifs de fonctionnalité, l'architecture et la maintenance Ce
standard sera complété par les spécifications techniques qui seront publiées par le Département RII vers la
fin de 2009, jusqu'à cette date ce standard doit être considéré comme une recommandation

2 Domaine d’application
Dépôts d’hydrocarbures liquides en Europe avec une capacité de stockage supérieure à 20000 m3 et les
gares routières de raffinerie opérés par les Directions Logistiques du MKE

3 Documentation de référence
Dans le but d’élaborer ce standard les documents suivants ont été consultés
- ISA 88
- NF EN 61512
- NF EN 61131
- Manufacturers Documentation (M+F, Siemens, )

4 Autres documents applicables

STD-LOG-031 : gestion des alarmes
STD-LOG-011 : criticité

5 Définitions

TAS : Terminal Automation System

DAS : Depot automation systems
ERP: Enterprise Resource Planning
DCS: Distributed Control System (SNCC)
PLC: Programmable Logic Controller
HMI: Human Machine Interface
SIL: Safety Integrity Level
MTBF: Mean Time between Failures
MTTR: Mean Time to Repair
ODBC: Open Database Connectivity
SQL: Standard Query language (programming language for databases)
EIPS Equipements importants pour la sécurité
SCM: Safety Critical Measures
MIPS Mesures importantes pour la sécurité (Safety Critical Measures)

2/8
 DIRECTION LOGISTIQUE DGRM

STANDARD STD-LOG 048

Révision : 00
AUTOMATISME Date : 29/12/08
Page 3 sur 8

6 Domaine
6-1 Domaine à l’intérieur de la pyramide CIM
En référence à l’architecture ISA CIM, l'automatisation couverte dans ce standard comprend:
Le niveau 2 et son interface ascendante avec le niveau 3 et son interface descendante avec le niveau 1.
Le niveau 1 et son interface descendante avec instruments et son interface ascendante avec le niveau 2 du
système de supervision du site

IBM

d i g i t a l
d i g i t a l d i g i t a l

3/8
 DIRECTION LOGISTIQUE DGRM

STANDARD STD-LOG 048

Révision : 00
AUTOMATISME Date : 29/12/08
Page 4 sur 8

6-2 Domaine pour l’automatisme

Selon les exigences en termes de dimensions de processus, dimensions de site, exigences d'opérations,
exigences (de sécurité etc. le niveau et les domaines

L'automatisation inclut :
Processus : la déchargement de produit, la réception de produit, le chargement de produit, le mélange et
l’additivation, la gestion de réservoir, le transfert de produit
Sécurité
Domaine off site : Equipements de défense contre l’incendie
Sûreté : trafic et contrôle d'accès

7 Exigences fonctionnelles et système

7-1 Exigences fonctionnelles
7-1-1 Disponibilité et Fiabilité
7-1-1-1 Fiabilité
MTBF > 6 Mois MTTR < 24 h
7-1-1-2 Disponibilité
Le niveau de redondance et quels systèmes doivent être redondants doivent être déterminés en fonction de
l’analyse de risques du dépôt.
Tous les types de redondance doivent être examinés (l'UC, l'Alimentation électrique, IO Card …)
Pour augmenter la disponibilité en cas d'e panne, certains équipements pourront être sur des cartes IO
différentes (c'est-à-dire par exemple les vannes d’entrée sur une carte et les vannes de sortie sur une autre
carte)
Une attention particulière doit être apportée à tous les systèmes qui contrôlent des MIPS ou des fonctions de
SCM ou EIPS.

7-1-2 Capacité temps réel

Dans la mesure où les actions et le flux de données des niveau 0 et niveau 1 sont des opérations critiques
en terme de temps, un traitement en temps réel de toutes les données et actions devra être assurée. On
devra garantir un temps de réponse de moins de 1 s pour les données du niveau 1 au niveau 0.
Le temps de réponse entre le niveau 2 et le niveau 1 est moins critique en terme de temps mais un temps de
réponse moyen de 5 s devrait être réalisé, avec un maximum de 10 s.
Pour les actions très critiques en temps (au niveau 0), le contrôle de ces actions est traité des sous-
systèmes et ne passe pas un autre niveau de système. Par exemple Arrêts d’Urgence

7-1-3 Sécurité
Le système devra être capable de répondre à des objectifs élevés de sécurité et des procédures de sécurité
et devra assurer des opérations sûres.
Le traitement d'alarme et des procédures de fermeture sont un point très important.
Le PLC'S de sécurité pourra faire partie du système TAS ou être un système séparé dédié à la sécurité.
Quand le système de sécurité est un système séparé alors il doit y avoir une interface entre les deux
systèmes pour les réactions du statut et des alarmes (la direction des réactions sont du système de sécurité
au système TAS avec une priorité ont accès/ordre)
Si quelques actionneurs doivent être gérés par PLC de sécurité et le système TAS par la même voie, seul le
PLC de sécurité pourrai gérer les actionneurs et le système TAS doit communiquer avec PLC de sécurité
(c'est-à-dire par exemple les vannes de pieds de réservoirs)
Si le TAS et le PLC de sécurité sont séparés et gèrent un actionneur par deux voies différentes, les ordres
du PLC de sécurité doivent toujours avoir la priorité pour gérer l’actionneur.
Si le système TAS et le PLC de la Sécurité sont confondus, les séquences de la sécurité doivent toujours
avoir la priorité.

4/8
 DIRECTION LOGISTIQUE DGRM

STANDARD STD-LOG 048

Révision : 00
AUTOMATISME Date : 29/12/08
Page 5 sur 8

A titre d’exemple des architectures types sont indiquées ci-dessous

Cas 1 : s’applique principalement aux installations existantes avec un PLC non obsolète

Niveau Alarme systeme 1 systeme 2

(LSHH) Etc,,,
P1 Incendie (HC detection)

Visuel et Report d'alarme avec priorité 1

sonore HMI safety
PLC de sécurité

fail safe actuators

Visuel et
communication entre les PLC'S de sécurité et de process
sonore

Niveau HMI Process

P2-P3

PLC Process

Actionneurs pour process normal

TAS

HMI = Interface Homme-Machine

Cas 2: S’applique principalement aux installations nouvelles ou aux installations existantes avec un PLC
obsolète

Niveau Alarme systeme 1( systeme 2 (

LSHH) Etc,,,
P1 Incendie HC detection)

Visuel et HMI safety

sonnore and normal
process

Actionneur fail-safe et process

PLC Process et Sécurité
Visuel et
sonore

Niveau
P2-P3

TAS
HMI = Interface Homme-Machine

Des sous-systèmes peuvent avoir un niveau SIL, en fonction de l’analyse de risques du dépôt

5/8
 DIRECTION LOGISTIQUE DGRM

STANDARD STD-LOG 048

Révision : 00
AUTOMATISME Date : 29/12/08
Page 6 sur 8

7-1-4 Situation en mode dégradé du système

Le système doit capable de fonctionner selon les modes de fonctionnement suivants:
- Mode automatique : intégration des niveaux différents
- Mode dégradé : perte d'intégration des niveaux différents

La situation en mode dégradée est acceptée en cas de panne de communications et/ou du système TAS,
mais a minima les données relatives au chargement ne doivent pas être perdues.
Un contrat adéquat doit être mis en place pour réduire au minimum le temps de situation en mode dégradé.

7-1-5 Intégrité de données et/ou sûreté de date augmentée

Quelques données doivent traçables et sécurisées

--- Pour des de sécurité : en particulier les alarmes et l’enregistrement des événements
--- Pour obligation légale : données de métrologie et de douane.
--- Pour raisons statutaires : les données relatives aux quantités traitées pour expéditeurs différents.

Les enregistrements de ces données doivent être garantis sur un dispositif situé au niveau 2 qui permet en
accès en temps réel.
Un login spécifique personnel et un contrôle de niveau d'accès doivent être mis en place pour l'accès à ces
données. Tous les dispositifs de données de la machine de supervision doivent être condamnés (le CD, le
DVD, USB)
Autant que possible le PLC de sécurité et le TAS doivent être synchronisés périodiquement avec tous les
ordinateurs (le serveur et la supervision)
Le réseau industriel et le réseau de bureautique doivent être physiquement séparés et/ou doivent respecter
le standard de systèmes d'information du Groupe.

7-1-6 flexibilité du système

La flexibilité est le résultat de la modularité et l'adaptabilité
La flexibilité est plus facile à atteindre lorsque le système est construit selon des normes d'industrie ouvertes
comme des systèmes de communication ouverts et le matériel.

7-1-7 Adaptabilité du système

Pouvoir gérer des dépôts de tailles différentes
Pouvoir gérer des fonctionnalités d'un ensemble limité à l’intégralité du dépôt

7-1-8 Modularité du système

La modularité signifie que le système a été conçu d'une telle façon qu'il peut être construit point par point en
intégrant des modules supplémentaires
La structure modulaire du système TAS signifie qu'il est à la fois fortement flexible et adaptable : Il peut être
fondé des composants individuels pour répondre aux exigences actuelles et futures et à la taille du dépôt
Cela signifie que l'automatisation du dépôt peut être effectuée étape par étape et quand nécessaire. Cela
doit être un système cohérent grandissant en fonction des besoins, mais pas des PLC individuels
communiquant ensemble.
Le système fait sur mesure consistant en des composants standards conduit à un excellent ratio
coût/bénéfice.
Et parce que c'est un système ouvert, il est éminemment approprié pour répondre à toutes les demandes et
événements futurs. Le niveau technique et la maîtrise de composants TAS sont caractérisés par leur haut
niveau de qualité.

6/8
 DIRECTION LOGISTIQUE DGRM

STANDARD STD-LOG 048

Révision : 00
AUTOMATISME Date : 29/12/08
Page 7 sur 8

7-1-9 Indépendance des fabricants de sous-systèmes

Indépendance de n'importe quels fabricants et interchangeabilité de n'importe quels composants
compatibles.
Le TAS devra être interconnectable :
Au niveau 2 avec les ERP.
Au niveau 1 avec les produits finis les plus communs de sous-systèmes

7-1-10 Mesure
Quelques modules sont sous contrôle de la métrologie (par exemple le chargement vrac, la réception de
produit, la mesure de niveau). Les modules et/ou le tout TAS le système sont soumis aux approbations par
la métrologie. Les procédures d'approbation et les exigences peuvent différer du pays au pays et sont
décidés localement.

7-1-11Sureté
7-1-11-1 Contrôle d’accès et identification
Contrôle d'accès de site : pour personnel, contacteurs, visiteurs y compris véhicules

Authentification d'utilisateur et chauffeurs et identification des véhicules:

Les véhicules sont identifiés par exemple par des étiquettes RFID, par la reconnaissance d'image vidéo de
la plaque minéralogique du tracteur et de la citerne

Contrôle d'accès de processus : pour le flux produit, en particulier les chauffeurs et les camions
Les chauffeurs sont identifiés par exemple par des badges, des cartes magnétiques codées, systèmes de
reconnaissance d'iris ou d'empreinte digitale,

Contrôle d'accès de système : l'utilisateur est identifié par des badges, des mots de passe etc. …

7-1-11-2 Système anti-fraude

Le système doit a minima satisfaire les exigences de la commande unitaire sécurisées (SUO)

7-2 Exigences du système pour les données

Pour assurer n'importe quelle perte fortuite de données, y compris en cas d'un accident majeur, la
sécurisation des données sera assurée au moyen de :
Systèmes périodiques de secours,
Sauvegarde en temps réel,

La localisation sera en un endroit sûr et différent sur le dépôt ou à l'extérieur des locaux du terminal.

7-2-1 Basé sur des standards du marché

Le TAS sera basé autant que possible sur des standards du marché comme :

- PLC'S et DCS pour le niveau 1

- OPC : OPC permet de combiner n'importe quels éléments de software ou hardware dans un
environnement de commande de processus sans utiliser des drivers spéciaux.
- Systèmes de bus de terrain
- Composants de Réseau
- Basé sur un standard ouverte ODBC environnement de BASE DE DONNÉES DE SQL.
- Générateurs de rapport (Par exemple Business objects, Crystal report, …)
- Fenêtres interface utilisateur graphique.

7/8
 DIRECTION LOGISTIQUE DGRM

STANDARD STD-LOG 048

Révision : 00
AUTOMATISME Date : 29/12/08
Page 8 sur 8

7-2-2 Évolutif
Les systèmes de supervision (le niveau 2) devront être autant que possible indépendants de la plate-forme,
pour que l'évolution de matériel, des systèmes d'exploitation et de logiciel puissent être réalisés facilement et
à un coût minimal et que les mises à jour suivies et régulières été de matériel et le logiciel soient faisables.

8 Description fonctionnelle
8-1 Basée sur décomposition fonctionnelle de terminal :

Le terminal doit être divisé en unités élémentaires pour faire l'analyse fonctionnelle, la liste non exhaustive
suivante pourra être utilisée
--- Réception
--- Stockage
--- Chargement
--- Transfert de réservoir à réservoir
--- Traitement des eaux
--- Installation de récupération des vapeurs
--- Systèmes de Sécurité
--- Contrôle de mouvement de Camion

8-2 Méthode pour analyse fonctionnelle.

Inclure les fonctions décrites ci-dessus et l'interface avec ERP
L'analyse fonctionnelle devra être fondée sur des méthodes standard comme graphcet,

8-3Documentation
Liste Entrées/Sorties (base de données)
Description d'équipements d'automatisation incluant au moins
---CPU
---IO Carte
---Capacité de Mémoires : Installées et disponibles

Documents
Les diagrammes suivants doivent être fournis par les fournisseurs avant le démarrage d’un nouvel
automatisme
--- ·PID as built
--- Schéma électrique et de câblage as built
--- Le diagramme logique tel que Graphcet (ce diagramme logique doit inclure des commentaires et des
explications)
---L'analyse Fonctionnelle avec un extrait utilisable par les opérateurs (Formation à planifier)

9 Maintenance

Le type de maintenance à faire doit être défini selon la criticité LOG-STD-011, c'est-à-dire pour chaque
système il est nécessaire de faire une évaluation de la criticité

8/8