TRAITEMENT DES ALARMES en commande des procédés Problématiques et enjeux de la gestion des alarmes Une approche du standard ANSI/ISA-18.2 Conférencier : Nicolas LE NY ISA France past president et president EVERDYN Standards Certification Education & Training Auteur de la présentation : Michel CHANDEVAU Senior Member ISA, ISA France Leader Techniques nouvelles de diagnostic et de traitement des alarmes Publishing Conferences & Exhibits Techniques nouvelles de diagnostic et de traitement des alarmes Paris 21 Juin 2011 Marseille 19 mai 2011
La conduite automatique des procédés: maîtrise de la performance des systèmes de commande et des systèmes d alarmes des unités Unité de raffinage Une salle de contrôle
Problématiques de la gestion des alarmes en commande des procédés The iceberg of alarm management (B. Hollifield /PAS ) ( Doc ISA Books) Gestion des alarmes: réflexions d experts «Alarm management is a long journey. not a destination!!» Todd Stauffer Exida/ISA 18 Committee «Alarm management :STOP DESIGNING FOR FAILURE» E.Habibi& B.Hollifield/ ISA /Intech Nov 2007. «Our plant operators need HELP» Dr J. Alford /PhD Intech/ISA/2009
Nécessité d un système d alarmes et d un standard d alarmes en commande des procédés industriels Importance des enjeux : techniques, économiques (pertes financières), environnementaux et sécuritaires (accidents/pertes humaines ), l opérateur étant l intervenant ultime et déterminant. Utilisation d une automatisation intégrée des procédés (SNCC, SCADA, PLC, PC Industriels) aux fonctionnalités multiples: régulation, optimisation, supervision:surveillance avec gestion des alarmes (SNCC/SIS ) (Alarmes procédé/alarmes Sécurité) Flexibilité des systèmes de commande et d alarmes : facilite la multiplication des alarmes (Configuration /programmation aisée) et aussi la multiplication des problèmes! La solution : Adopter une méthodologie avec des «critères» de rationalisation (via un standard d alarmes) par rapport aux «besoins» (Analyse procédé/hazop/lopa) et spécifications des alarmes requises (ASRS). Evaluer ce qui peut être fait et ce qui doit être fait sur les alarmes
Accidents catastrophes / explosions en raffinerie (Milford Haven (UK)- Texas City(USA)- Buncefield (UK) Conséquences d une conduite d unités défectueuse (sûreté) 42% des accidents ont pour origine le Facteur Humain (NIST*) La mauvaise exploitation des systèmes d alarmes est une cause principale mais les erreurs de conception et de réalisation peuvent les favoriser ( Excès d Alarmes interfaces HIM mal définis )
Enjeux financiers : pertes financières aux USA (doc ASM)
Systèmes de contrôle commande et systèmes d alarmes : architecture des systèmes
Objectifs d un système de commande et d alarmes en conduite des procédés ASSURER LA MAÎTRISE DYNAMIQUE DES PROCEDES Comment? Utilisation des fonctionnalités des systèmes de commande et d alarmes (SNCC, SCADA, PLCs, PC industriels) hiérarchisées et parfaitement adaptées : REGULATION des variables soumises à consignes (régulation PID classique, régulation avancée à base de modèles (algorithmes de commande prédictive) (Cas de commandes multi entrées multi sorties / MIMO), OPTIMISATION des objectifs de production (qualité, rendement, énergie ) avec prise en compte des contraintes (critères spécifiques), SUPERVISION du procédé, SURVEILLANCE (monitoring) des variables contrôlées, observées (indicateurs de performance ) dans les limites attribuées (avec signaux d Alerte / Alarmes) en cas de dérives, dépassement des seuils, vitesse d évolution excessive, dysfonctionnements/ anomalies, incidents liés au matériel ou au procédé (outils d analyse statistique / Six Sigma..) affectant la production ou la sécurité. AIDE à la DECISION (pour les opérateurs)/diagnostics (à partir de modèles / études R. ISERMAN / PATTON, méthodes internes ou externes de diagnostics (détection de défauts, FDI (Fault Détection & Isolation ).) ou autres stratégies (estimateurs, SPC, MSPC,réseaux neuronaux, logique floue, concept de platitude). Analyse d alarmes (DMAIC -ECW ). Aide à la maintenance.
Objectifs des alarmes en commande de procédés : Alerter, informer, guider Les systèmes d alarmes constituent, avec la «réponse» des opérateurs, une 1 ère barrière de prévention /protection pour maintenir en sécurité une unité ou un procédé. Un système d alarmes «bien conçu» (Interface HIM /DCS performant) avec filtrage dynamique (alarmes intelligentes, conditionnelles ) évitant les alarmes de nuisance (phénomènes d avalanche) associé à l action «avisée» et «responsable» de/ des opérateurs permettra : De maintenir le procédé (l unité) dans une zone d opération «sûre». De corriger des situations pouvant devenir potentiellement dangereuses. D identifier les écarts par rapport aux conditions d opération désirée (consignes), limites /seuils pouvant conduire à une situation à risques (critique),à l arrêt des unités de production ou à une dégradation de la qualité des produits (perte financière.) D appréhender plus facilement des conditions de «procédés complexes» pouvant conduire à des situations dangereuses (amélioration du facteur de risques ( RRF) : Diagnostics /aides à l opération/décision)
Zones de fonctionnement du procédé en boucle fermée (régulation) ou boucle ouverte (action manuelle ) D après Bill Hollifield / ISA Member /PAS (Ref «Alarm Management for Process Control»)
Barrières de protection (Prévention-Protection) Réduction des risques (Analyses LOPA / SIL ) Les alarmes en prévention En commande de procédés Réduction des risques concept ALARP & facteur RRF Doc ISA /T.Stauffer
Principes fondamentaux des alarmes Les préceptes Chaque alarme doit ALERTER, INFORMER, GUIDER l opérateur. Toute alarme doit être utile et édifiante pour l opérateur(priorités indiquées). Chaque alarme doit obtenir une réponse spécifique (aucun doute ne doit exister sur la (les) causes /éléments initiateurs. Le temps de traitement des alarmes doit être «réaliste» pour que l opérateur puisse apporter en toute circonstance la meilleure réponse possible (Influence du facteur humain (PFD ) et du temps de réponse). Nota: Pour une maitrise optimale du procédé le traitement des alarmes doit être géré par l opération (Concept OOAM /Operations owned alarm management) ISA/ Intech Sept 2008 «Sergeant at Alarm». «Humans :The Last Interlock» (By Dick Hill (ARC / 2009) «Human factors & Alarm Management in Control Room» (Dr Craig Harvey Université de Louisiane - USA).»
Modes de traitement des alarmes (rôle de l opérateur dans la gestion d alarmes) Actions du système (régulation) et action manuelle de l opérateur Traitement d alarmes (3 phases) (détection,diagnostic, application solution) Doc B.Hollifield/PAS
Temps de réponse de l opérateur (influence facteur Humain/ PFD ) Temps de réponse de l opérateur et temps réponse procédé Temps de réponse aux alarmes (Standard ANSI/ISA 18-2 )
Finalité d un standard d alarmes Le standard ISA-18.2 Assurer un fonctionnement optimal des Alarmes (sans nuisances) Permettre une évaluation quantitative de leur performance. Un standard d alarmes permet de définir, à travers une méthodologie, des objectifs à atteindre, des moyens à mettre en œuvre pour les réaliser, comment les appliquer et comment vérifier qu ils sont performants. Les 3 phases : Analyse, réalisation, vérification sont inclus dans un modèle de «cycle de vie» s appliquant aux systèmes de sécurité (SIS) en sécurité fonctionnelle et aux systèmes d alarmes. Il implique un certain formalisme (normalisation) utilisant des critères axés sur la performance (mesurée/estimée ) se traduisant, dans le cadre d un standard d alarmes, par: Une philosophie «explicite» sur les alarmes et sur les modalités d applications. Une rationalisation sur la mise en œuvre des alarmes selon une méthodologie stricte, avec prise en compte d indicateurs clés (KPI)(Taux moyen d alarmes, pourcentage du temps en «overload», pourcentage d alarmes HS, de nuisances...) L application d un tel standard axé sur la performance constitue un apport significatif à la sûreté de fonctionnement des procédés pilotés (Réduction des fausses alarmes, filtrage, suppression de phénomènes d avalanche) facilitant et sécurisant ainsi la tâche de conduite des opérateurs.
Guides et recommandations en matière d alarmes (Best practices ) Doc : TIPS Users/ Conference Houston 2008
Guides, recommandations, standards : ce que les documents doivent traiter Qu est ce qu une alarme (définitions ) Etablissement d une rationalisation Priorités des alarmes Masquage des alarmes et règles de suppression Exigences du pilotage du système d alarmes Gestion des modifications Exigences en matière d Audit: Voir : Abnormal Situation Management Consortium) www.asmconsortium.com EEMUA (Engineering Equipments Material Users) www.eemua.org HSE (Health Safety Executive) www.hse.org
Performance des systèmes d alarmes (comparatif Guide EEMUA & Eléments Industriels) Comparatif Quantitatif des alarmes INTECH/Sep 2005 Keeping peace /R. Tanner Temps de réponse limites selon criticité des alarmes Doc ISA / Todd Stauffer
Gestion des alarmes par l opérateur Les limites du possible? Quantification/limites des alarmes Evolution des alarmes Doc Intech (Sept 2009) (Doc B. Hollifield (PAS) / 2010)
Le modèle de cycle de vie des alarmes Doc NOVA Chemicals /Honeywell Rapport TD0009
Le standard ANSI/ISA-18.2-2009 Historique 1955 : création d un comité ISA (Instrument alarm interlocks) 1965 : ISA RP 18-1 Spécifications & guides pour annonciateurs d alarmes 1979 : Standard ISA 18.1-1979 Annunciator Sequences and Specifications (Révisé en 2004) 2003 : Lancement des travaux sur le standard ISA-18.2 développé au sein du comité ISA SP18 (devenu ISA 18) (Management of alarm systems in the Process Industries ) 2009 (17 avril ) : Standard ISA18-2 adopté par le comité ISA18 2009 (23 Juin) : Approbation par l ANSI du Standard ANSI/ISA18.2 qui devient l ANSI/ISA-18.2-2009 Nota: le comité ISA18 comprend 7 groupes de travail (WG)
Le comité ISA18 : les sept groupe de travail Le 1er groupe est chargé de la révision du standard ISA18.1 Les 6 autres groupes (WG) élaborent des rapports techniques (TR) dans les domaines d alarmes suivants: WG1 ( Alarm Philosophy) WG2 ( Alarm Identification & rationalisation ) WG 3 ( Basic alarm system ) WG4 (Enhanced/Advanced alarm methods ) WG5 ( Monitoring, assessment & audit ) WG 6 ( Alarm design for batch & discrete process )
Le standard ANSI/ISA-18.2 : à qui est destiné le standard? Le standard ANSI/ISA-18.2-2009 est destiné aux personnes et aux organisations qui : Fabriquent et mettent en œuvre des systèmes d alarmes embarqués. Développent ou implémentent des logiciels associés Conçoivent ou installent des systèmes d alarmes Exploitent ou maintiennent des systèmes d alarmes Effectuent des audits ou évaluent la performance des systèmes d alarmes.
Le standard ANSI/ ISA-18.2 Caractéristiques du Standard Le Standard ANSI/ISA-18.2 comprend 2 parties : Une Introduction au standard (Clauses 1 à 5 ) Une partie principale (Clauses 6 à 18) présentant les exigences normatives ou des recommandations. Le Standard ANSI/ISA-18.2 fournit un cadre normatif pour la conception, l implémentation, le suivi du fonctionnement du système d alarmes, la finalité étant de s assurer de sa performance ( indicateurs KPI). Il s appuie sur une philosophie qui explicite les objectifs et les moyens pour les atteindre, avec des définitions (terminologie) relatives aux alarmes.
Caractéristiques du standard ISA-18.2 (suite) Il constitue un guide permettant d éviter, de prévenir et d éliminer les problèmes les plus courants rencontrés dans la gestion des alarmes. Il fournit une méthodologie pour mesurer, analyser, et évaluer les performances d un système d alarmes (Rapports techniques/tr). Il est organisé autour d un modèle de cycle de vie de la gestion des alarmes, similaire dans son principe au modèle du cycle de vie du standard ANSI/ISA-84 / IEC 61511 relatif à la sécurité fonctionnelle ( Safety Instrumented Systems/SIS ) (Approche holistique)
Modèle du cycle de vie d un système de gestion des alarmes - Organisation fonctionnelle
Le standard ANSI/ISA-18.2 Etude des différentes étapes du cycle de vie Le cycle de vie comprend 10 étapes : à chaque étape codes correspondent des exigences et des recommandations. 1- Philosophie : définitions des alarmes (terminologie) (Rôle, responsabilités, priorités, supervision, évolution et tests ) 2- Identification: détermination des alarmes nécessaires (*). 3- Rationalisation: vérification que les alarmes identifiées (2) répondent bien à la philosophie (1) ( relation avec SIL/ISA-84). 4 - Conception détaillée : création d alarmes ( de base, avancées; conception HIM selon l étape 3 ( relation spécifique SIL/ ISA 84 ). 5- Mise en œuvre : construction,essai, formation et mise en service opérationnelle du systèmes d alarmes. 6- Exploitation : dès que le système est opérationnel. (*) : Voir analyse de risques/hazop/lop /liens avec modèle cycle de vie du standard ISA-84 /(SIS)
Etapes du cycle de vie des alarmes Standard ANSI/ ISA 18-2 (suite ) 7- Maintenance: opération nécessaire au maintien des conditions opérationnelles du système d alarmes. 8- Supervision et évaluation: études et analyses pour vérifier que le systèmes d alarmes répond bien aux objectifs fixés. 9- Gestion des modifications (MOC): gestion de l évolution du système d alarmes. 10- Audit : contrôle périodique du système d alarmes afin de s assurer qu il est toujours opérationnel. Nota: les étapes s enchainent, chaque fin d étape constitue l entrée de l étape suivante.
Liens entre Standards IEC 61511/ANSI/ISA-84 et ANSI/ISA-18.2 Les standards sur la sécurité fonctionnelle (IEC 61508/EC 61511 ANSI/ ISA-84 ) et le standard d alarmes ISA-18.2 utilisent le concept de modèle de cycle de vie pour la conception, la mise en œuvre, l évaluation et la modification d Alarmes(MOC) tout particulièrement pour les alarmes de sécurité (Automates de sécurité : SIS), Les modèles de cycle de vie doivent être rapprochés et cohérents, les sorties de l un (SIS) étant les entrées de l autre (Systèmes d Alarmes). Les alarmes de sécurité sont traitées par les SIS et non par le système de commande (alarmes procédé) Rappel : Les alarmes constituent une 1 ère barrière de prévention/protection dans un concept SIL (Safety Integrated Level) (étude préliminaire des risques: Méthodes HAZOP, LOPA,PHA ) Les alarmes doivent être établies à partir des PID des unités (Process Instrumentation Diagrams) et des ASRS (Alarm Safety Requirement Spécifications) et du document MAD (Master Alarm Database )
Rapprochement entre les cycles de vie des standard ISA-84 (IEC 61511) et ISA-18.2
Apport du standard ANSI/ ISA-18.2 au traitement des Alarmes Types d Alarmes concernées Alarmes de nuisances Alarmes répétitives (Chattering & fleeting alarms) Alarmes persistantes (standing/stale alarms) Alarmes sans réponse Alarmes avec une mauvaise priorité Alarmes redondantes Alarmes de type flooding (avalanche d alarmes) Nota: Se référer au white paper «Application du Standard ISA 18-2 au Système Delta V Emerson»
Indicateurs de performance (KPI) Comparatif Metrics EEMUA/ISA-18.2 Standard ANSI/ ISA-18.2 Guide EEMUA 191
Traitement des alarmes par l opérateur et états des alarmes selon Standard ANSI/18-2 Diagramme de transitions ( Etat des alarmes: Normal, Ack, Unack Indication des seuils d alarmes selon les priorités du procédé Doc (ISA 18-2 )
Etats des alarmes selon leur priorité représentation sur Console Ecran Présentation des alarmes sur Console écran Indication des états des alarmes selon Standard ANSI/ISA 18-2
Le standard ANSI/ISA-18.2 Une démarche assurance qualité L utilisation du standard d alarmes ANSI/ ISA-18.2 reposant sur un modèle cycle de vie des alarmes s inscrit dans une démarche Assurance Qualité (ISO 9001). Les guides (EEMUA...) établis dans une perspective de performance (production / sécurité ), ont introduit des éléments de mesures ( metrics / benchmarks ) quantifiant la performance de la gestion d alarmes (indicateurs KPI ciblés) influençant directement la conduite des procédés (établissement de critères/limites :taux moyen, maxi d alarmes /h/op, etc. Le standard ISA 18-2 a repris dans les grandes lignes certains Indicateurs du Guide EEMUA 191. «On ne peut évaluer et améliorer la performance que si on peut la mesurer» «If you cannot measure it, you cannot improve it» (Lord Kelvin)
Apport du Standard ANSI/ISA-18.2 à la conduite des procédés Un système d alarmes performant permet: Un contrôle du procédé (régulation), au plus près des points de consignes (optimisation ). Une réduction des arrêts d unités imprévues (déclenchements/trips) en assurant une sûreté optimale du fonctionnement des unités. Une mauvaise gestion d alarmes affecte la performance des opérateurs, leur rend la tâche de conduite plus difficile au niveau de la détection, du diagnostic et de la réponse qu ils pourraient apporter (temps de réponse allongés, risques de confusion et d erreurs)(influence du PFD de l opérateur selon conditions) L application du standard ISA 18-2 permet d éliminer et de prévenir des problèmes d alarmes. Il est probable qu il soit adopté comme une norme du standard IEC (comme l ISA 84 /IEC61508 et IEC 61511)
Guides/recommandations (Best Practices ) et Standard ISA-18.2 (différences conceptuelles) Guides (Best Practices) OSHA (USA) ASM Consortium HSE(UK EEMUA 191 NAMUR. Strictes formulations de recommandations sur ce qu il convient de faire pour obtenir une gestion d alarmes performante Standard ANSI/ISA-18.2 Le standard ISA-18.2 offre des solutions «explicites»: exigences & recommandations pour éliminer les alarmes à problèmes indique comment réaliser une gestion performante à partir du modèle du cycle de vie des alarmes. Est cohérent avec le modèle de sécurité fonctionnelle (SIS)
Systèmes d alarmes et standard ISA-18.2 Conclusions La performance en matière d alarmes et de systèmes d alarmes est une longue «quête» toujours perfectible (retours d expériences ) (symbolique de l iceberg ) Les progrès technologiques sont indispensables à l optimisation des systèmes de commande et d alarmes (aspect matériel, logiciel, HMI inclus) (amélioration de l exploitation des unités de production : Rentabilité/sécurité /aides aux Diagnostics) L impact du facteur humain (rôle «clé» de l opérateur dans la conduite des procédés ), restera toujours «essentiel», mettant en exergue l importance : de la Formation des opérateurs du respect des Procédures de l application stricte des règles issues des Guides et Standard ISA 18.2 des vérifications sur la bonne adéquation entre ce qui a été réalisé et ce qui était prévu ( PID/ SIF )au niveau des alarmes de sécurité et des alarmes de procédé ( relations BCPS/DCS/ SIS via les documents ASRS & du MAD Master Alarm Database ). Tout programme renforçant ces actions ne peut qu améliorer la sûreté de fonctionnement des Installations (Réduction de manière significative des risques de dysfonctionnements et d erreurs humaines) et accroitre les gains de productivité. «Poor performance costs money in lost production & plant damage & weakens a very important line of defense against hazards to people» (ML Bansby & J.Jenkinson )» Merci de votre attention