Système instrumenté de sécurité (SIS) :

systèmes PSS, ESD, HIPPS, EDP

Contrôle de procédé et SNCC

M1_FR 112_Safety Instrumented System (SIS)_REV.A

Système instrumenté de sécurité (SIS)

 Présentation des systèmes instrumentés de sécurité
Réservoirs de stockage du pétrole brut
Imaginez… une installation sans SIS...
Salle de contrôle
LAH : alarme de
niveau élevé
Transmetteur de niveau Le niveau du
L réservoir continue de
T monter malgré
l'intervention de
l'opérateur du
tableau.
Le système de
contrôle de procédé
Alarme de niveau du OK, la vanne de (PCS) a échoué pour
réservoir très élevé sécurité est fermée une raison encore
inconnue
L'opérateur décide de
fermer la vanne de sécurité
et va sur le site pour vérifier
 L'opérateur a remarqué une défaillance du système PCS (système de

©
contrôle de procédé)

2015 - IFP Training

• Les actions de sécurité manuelles dépendent de la décision de l'opérateur

Système instrumenté de sécurité (SIS) 3

 Présentation des systèmes instrumentés de sécurité
Réservoirs de stockage du pétrole brut
...et une installation avec systèmes SIS
Salle de contrôle LAH : alarme de
niveau élevé
Le niveau du réservoir
Transmetteur de niveau continue de monter
LT malgré l'intervention
1 de l'opérateur du
LT
2
tableau.
Le système de contrôle
de procédé (PCS) a
échoué pour une
raison encore
Un autre transmetteur de niveau (LT) inconnue
dédié à la « fonction sécurité » est
Alarme de
connecté au système PSS
Système niveau du
Le système PSS lance des actions d'arrêt réservoir très
automatiques de sécurité : fermeture élevé
du système
de la vanne de sécurité (SDV)
PSS
Le système PSS renvoie également

©
des données à la salle de contrôle.

2015 - IFP Training

 Les composants de sécurité (LT, PSS, SDV) connectés ensembles
constituent une boucle de sécurité

Système instrumenté de sécurité (SIS) 4

 Présentation des systèmes instrumentés de sécurité

 Objectif des systèmes SIS

• Réduire les risques d'exploitation dus aux événements inattendus :
− limiter les fuites en fermant automatiquement les vannes de sécurité
− supprimer les sources d'inflammation en éteignant les sources électriques
− réduire les substances inflammables stockées par dépressurisation
d'urgence
 Protéger le personnel et les installations
 Fonctionnement du système SIS
• rapide, après avoir fourni aux opérateurs les alarmes correspondantes
• séquence automatique : aucune action de l'opérateur nécessaire pendant
l'exécution de la séquence de logique de sécurité
 Mais attention !
• les systèmes de sécurité ne suppriment pas tous les risques (par exemple
les points chauds)
• Les modes de fonctionnement dégradés ou les opérations simultanées ne

©
peuvent pas toujours être couverts par des systèmes instrumentés de

2015 - IFP Training

sécurité

Système instrumenté de sécurité (SIS) 5

 Boucle de sécurité

©
2015 - IFP Training
Système instrumenté de sécurité (SIS) 6
 Boucle de sécurité
Terrain Salle technique Salle de
Carte d'entrée contrôle
PCS
LI, LAH

Carte d'entrée

LT
2 PSS
LSHH
LT Air
1 d'instrumentation Signal de
Carte de sortie fermeture
Panneau
à la vanne
de
SDV
contrôle
local

SOLVEUR LOGIQUE
Une boucle de sécurité est composée d'un

©
capteur/transmetteur connecté à un solveur logique

2015 - IFP Training

dédié qui lance l'action de sécurité sur un organe de
SDV commande finale, la plupart du temps une vanne de
sécurité.
Système instrumenté de sécurité (SIS)
Alimentation en pétrole brut 7
 Boucle de sécurité

SOLVEURS ORGANES
CAPTEURS
LOGIQUES DE COMMANDE
Boucle de sécurité

 CAPTEURS :
• Instruments spécifiques dédiés à la mesure de pression, niveau, débit, température,
position, vitesse, vibrations, concentration de gaz, détection d'incendie, chaleur, etc.
 SOLVEUR LOGIQUE :
• Composant dédié capable de convertir les signaux provenant des capteurs de sécurité et
de comparer leur valeur avec des seuils préconfigurés (très élevés, très bas).
• Également capable d'exécuter des séquences préconfigurées et d'activer les organes de
commande finale via un logiciel complet.
 ORGANES DE COMMANDE :
• vannes de sécurité, équipements électriques, disjoncteurs, pompes anti-incendie,
systèmes d'extinction, sirènes, feux clignotants, etc.

©
2015 - IFP Training
 Les composants de la BOUCLE DE SÉCURITÉ sont certifiés comme étant compatibles
avec le NIVEAU D'INTÉGRITÉ DE SÉCURITÉ (SIL - SAFETY INTEGRITY LEVEL) de la
boucle

Système instrumenté de sécurité (SIS) 8

 Intégrité de sécurité

©
2015 - IFP Training
Système instrumenté de sécurité (SIS) 9
 Intégrité de sécurité

 Définition de l'intégrité de sécurité :

• Probabilité d'une fonction instrumentée de sécurité de fonctionner
correctement sur demande
• Par exemple, la probabilité pour une boucle de sécurité de niveau de
fermer les vannes SDV correspondantes lorsque le seuil LSHH est
atteint

 Niveau d'intégrité de sécurité (SIL)

• C'est un nombre allant de 1 à 4
• Il représente l'ordre de grandeur de réduction de risque obtenu par la
fonction instrumentée de sécurité pour rendre le risque acceptable
• Plus le niveau SIL d'une boucle de sécurité est élevé :
 plus l'impact d'une défaillance d'une boucle de sécurité est important

©
 plus le taux de défaillance acceptable est faible

2015 - IFP Training

• SIL 4 est le plus haut niveau de sécurité et SIL 1 le plus bas

Système instrumenté de sécurité (SIS) 10

 Intégrité de sécurité
Principes de base du risque

RISQUE = Probabilité x Conséquences

• Probabilité réduite ou conséquences réduites  risque réduit

Probabilité de
FRÉQUENCE Fréquence de
D'ACCIDENT = défaillance à la x la demande
• Probabilité de défaillancedemande (PFD)
à la demande (PFD) réduite ou demande réduite 
moins d'accidents

 Les chiffres de niveau SIL correspondent à la probabilité visée de défaillance

©
2015 - IFP Training
à la demande d'une boucle de sécurité pour réduire le risque à un niveau
acceptable

Système instrumenté de sécurité (SIS) 11

 Intégrité de sécurité

 Un système instrumenté de sécurité n'est pas un simple composant.

C'est un assemblage complexe de plusieurs composants et
d'attributs opérationnels, principalement :
• matériel, logiciel, cartes d'entrée/sortie, redondance, alimentations,
etc.
• instruments et actionneurs sur site associés
• attributs opérationnels tels que la construction, tests d’acceptation en
usine (FAT), règles d'inspection et de maintenance, fréquence et
qualité des procédures de test, rapports de test, etc.

 Le niveau global d'intégrité de sécurité (SIL) du système SIS est égal

au niveau SIL de la liaison la plus faible
 Les composants de la boucle de sécurité (transmetteurs, solveurs

©
logiques, actionneurs) doivent être compatibles avec la valeur SIL de

2015 - IFP Training

la boucle de sécurité

Système instrumenté de sécurité (SIS) 12

 Intégrité de sécurité
Fiabilité, disponibilité
 Les systèmes de sécurité fonctionnent à la demande (PSHH, LSLL,
etc.)
 Comment augmenter la fiabilité ou réduire la probabilité de
défaillance à la demande (PFD) ?
• En sélectionnant un composant avec un taux de défaillance faible (par an)
• En réduisant l'intervalle de test (par an)

 Disponibilité
• Définition : proportion, par rapport à une durée totale, de la durée durant
laquelle un composant, un équipement ou un système fonctionne de la
manière souhaitée
• Une disponibilité élevée est exigée  Redondance
équipement/instruments
• Une mesure de compensation équivalente doit être définie en cas

©
2015 - IFP Training
d'indisponibilité.

Système instrumenté de sécurité (SIS) 13

 Intégrité de sécurité
Fréquence de test
 Effet de l'intervalle de test (T1, T2) sur la fiabilité du système

©
2015 - IFP Training
 Des tests fréquents augmentent la fiabilité du système

Système instrumenté de sécurité (SIS) 14

 Intégrité de sécurité
Test et maintenance
 Le test est obligatoire pour maintenir le niveau SIL d'origine de chaque
fonction de sécurité
 Chaque boucle du système SIS doit être fournie avec des instructions de
test :
• Des procédures claires dans le manuel d'utilisation
• Inhibition, matériel ou logiciel, pour éviter des pertes de production
• Simulation de conditions de fonctionnement anormales
• Vanne de sécurité avec fonctions de course partielle (attention)
 La fréquence des tests peut être imposée par les autorités locales :
Taux de défaillance à la demande pour
• une fois par mois, par trimestre, par an, etc. les composants standard de la boucle
de sécurité
 Les rapports de test et leur archivage sont obligatoires
 La maintenance doit être incluse dans le manuel d'utilisation et gérée
par une équipe expérimentée.

©
2015 - IFP Training
Une faible activité de maintenance peut affecter les
conditions du niveau SIL des composants de sécurité.
Système instrumenté de sécurité (SIS) 15
 Intégrité de sécurité  Disponibilité
Systèmes de redondance et logique majoritaire
 Les boucles de sécurité doivent être fiables
 Redondance des éléments de boucles de sécurité

Alimentation sans
PLC
PLCououcontrôleur simple
contrôleurtriple
double coupure 24 Vcc logique
logique de
de vote
vote
Watch Dog 2oo2
1oo2 (2
2oo3 (1 sur
(2 sur 2)
2)
3)
(surveillance)
Capteur analogique
Module Module
CPU &
entrée sortie

Watch Dog
Logique
(surveillance)
Capteur analogique
sans redondance
Modulee Module Air d'instrumentation
CPU &
ntrée sortie

Watch Dog
(surveillance)
Capteur analogique

©
2015 - IFP Training
Module Module
CPU &
entrée sortie
SOV

Vanne de sécurité
tionnement normal : Les interrupteurs d'arrêt d'urgence sont fermés (FC)

tionnement à l'arrêt : Les interrupteurs d'arrêt d'urgence sont ouverts Normalement active
Système instrumenté de sécurité (SIS) FC 16
 Système SIS : une protection multi-
couches

©
2015 - IFP Training
Système instrumenté de sécurité (SIS) 18
 Systèmes PSS et ESD

 4 niveaux d'arrêt sont généralement mis en œuvre :

• ESD 0 : arrêt complet de l'ensemble de l'installation avant abandon
• ESD 1 : arrêt d'urgence de l'ensemble de l'installation
• SD 2 : arrêt de l'unité (dans une zone de production)
• SD 3 : arrêt d'un équipement ou d'un package individuel (dans 1
unité)

©
2015 - IFP Training
REMARQUE :
-Plusieurs niveaux d'arrêt de procédé (SD) peuvent être configurés en fonction de la taille

de l'installation
Système instrumenté de sécurité (SIS) 21
 Systèmes PSS et ESD
Diagramme de logique de sécurité
OU
 Exemple de diagramme de logique de sécurité
(SLD - Safety Logic Diagram) : A
B C
C = A ou B
ESD 0
ET
ESD 1 A
C
SD 2 B
C = A et B
Tension de batterie UPS
faible
PSHH SD 3
LSHH
FGS
Détection de Fermer ESDV
gaz
Arrêter
confirmée
générateurs
Fermer SDV Fermer SDV
Détection de
électriques Arrêter Arrêter
gaz EDP compresseurs pompes

©
confirmée
FSLL

2015 - IFP Training

Bouton- Ouvrir BDV
poussoir
Démarrer
pompes à eau
Système instrumenté de sécurité (SIS)
anti-incendie 22
 Systèmes PSS et ESD
Vannes de sécurité
 Les vannes sont classées selon dans quelle mesure elles mettent les
installations de production dans un état sécurisé après le déclenchement
d'une commande d'arrêt :

• ESDV (Vanne d'arrêt d'urgence) Couche de protection ESD

− Vanne normalement ouverte (FC) et verrouillée en position fermée : Niveau
ESD
− Déverrouillage et réinitialisation peuvent uniquement être réalisés
manuellement et localement

• SDV (Vanne d’arrêt) Couche de protection PSS

− Vanne normalement ouverte (FC) et verrouillée ou non en position après
fermeture
− Fermeture généralement déclenchée par une défaillance du procédé (LSHH,
LSLL, PSHH, etc.) : Niveau SD

• BDV (Vanne de purge) Couche de protection ESD

©
− Vanne normalement fermée (FO : ouverte en défaillance)

2015 - IFP Training

− Peut nécessiter une action manuelle de la salle de contrôle pour son
ouverture : Niveau ESD
− Accompagné en aval par un orifice (RO) pour éviter la surcharge du réseau
de torcharge
Système instrumenté de sécurité (SIS) 29
 Systèmes PSS et ESD
Vannes de sécurité
Gaz vers torchage
BDV 1 SDV 5
SDV 1 Gaz vers
compresseur HP
Séparateur
HP

BDV 2
SDV 6
Gaz vers
SDV 2
compresseur BP
SDV 7 Séparateur
LP
ESDV 1

SDV 8 SDV 3
Pipeline sous-
marin
SDV 4
depuis WHP Injection d'eau

©
2015 - IFP Training
ESDV 2
Chargement du
manifold
Système instrumenté de sécurité (SIS) 30
 Système de protection à haute intégrité
(HIPS - High Integrity Protection System)

©
2015 - IFP Training
Système instrumenté de sécurité (SIS) 31
 Système HIPS
Principe de fonctionnement
 Exemple de conception typique d'installation avec fonction PSS et
soupape de sécurité (pas de système HIPS)
1ère barrière
(instrum) 2ème barrière
mécanique

©
2015 - IFP Training
Les systèmes de surpression conventionnels présentent des inconvénients
tels que le rejet incontrôlé de gaz (inflammable et toxique) dans
Système instrumenté de sécurité (SIS) 32
 Système HIPS
principe de fonctionnement
 Exemple de conception avec système HIPS pour la protection de
pression au-dessus du système PSS :
1ère barrière
(instrum)

2ème barrière
(instrum)

• Fonctions du système HIPS :

©
− stoppe l'arrivée des fluides en excès et les contient dans le système (pas

2015 - IFP Training

de torchage)
− Le système HIPS permet une dépressurisation sécurisée et contrôlée par
les opérateurs
Système instrumenté de sécurité (SIS) 33
 Système HIPS
Description
 Le système HIPS est un système instrumenté de sécurité (SIS) de
pointe conçu pour protéger une section spécifique de
l'installation contre des conditions de fonctionnement dégradées
• par ex., surpression, surchauffe, surdébit, niveaux

 Le système HIPS ne fait pas doublon avec les systèmes PSS ou ESD
mais il fournit :
• une couche supplémentaire indépendante de protection
• une meilleure fiabilité et un temps de réponse plus rapide

 Le système HIPS comprend tous les capteurs, solveurs logiques et

actionneurs qui sont indépendants des systèmes PSS et ESD
• Sauf pour certaines vannes de sécurité (SDV, ESDV) qui peuvent être

©
2015 - IFP Training
utilisées à la fois pour les fonctions de sécurité PSS/ESD et HIPS

Système instrumenté de sécurité (SIS) 34

 Composants du système HIPS
Solveur logique
 Solveur logique dédié Solveur logique de HIPS
complètement indépendant des
autres systèmes de
sécurité/contrôle
 Logique à semi-conducteur
• système programmable non
autorisé

 Quantité limitée
d'entrées/sorties (E/S) du solveur
logique
 Solveur logique dédié pour
chaque sous-unité HIPS
fonctionnelle

©
2015 - IFP Training
Armoire de système HIPS
typique (en salle
technique)
Système instrumenté de sécurité (SIS) 37
 Dépressurisation d'urgence
(EDP - Emergency de-pressurization)

©
2015 - IFP Training
Système instrumenté de sécurité (SIS) 40
 Dépressurisation d'urgence (EDP)
Fonction
 Objectif :
• Réduire le risque de rupture de réservoir/tuyau du fait de la contrainte
thermique durant un incendie
• Réduire le stock d'hydrocarbures qui pourrait alimenter un incendie
• Réduire le rejet de produit inflammable ou toxique en cas de fuite sans
flamme.
 Action :
• Dépressurisation de l'équipement vers le torchage via les vannes de purge
(BDV)
 Équipement concerné :
• Équipement/tuyau qui peut être à la fois isolé(e) (suite à un arrêt d'urgence)
et exposé(e) au feu simultanément, notamment :
− Séparateurs HP/MP, épurateurs de compresseurs
• État cible :
− Pression : 7 barg (ou 50 % de la pression de fonctionnement)
− Temps de dépressurisation : 15 mn ou moins

©
2015 - IFP Training
 Déclenchement de l'EDP : (exemple)
• Offshore : automatique à l'activation de ESD 1
• Onshore : manuel ou automatique, toujours en cas de ESD 1
Système instrumenté de sécurité (SIS) 41