• Maison
  • Actualités
  • Test de vérification SIL 2 de la protection contre la surpression : HIMA HIMatrix F35 et Woodward ProTech TPS

Test de vérification SIL 2 de la protection contre la surpression : HIMA HIMatrix F35 et Woodward ProTech TPS

Overpressure Protection SIL 2 Proof Test: HIMA HIMatrix F35 and Woodward ProTech TPS

Pourquoi les tests de preuve de surpression SIF échouent aux audits

La protection contre la surpression est la fonction instrumentée de sécurité (SIF) la plus courante dans les usines de procédés. Pourtant, elle génère le plus grand nombre de constats d’audit. Les ingénieurs testent le transmetteur de pression mais omettent la vérification du relais de sortie du solveur logique. Ils enregistrent le temps de déplacement du PST mais pas la force d’ouverture. Ils réalisent le test en 45 minutes mais laissent trois éléments non documentés. Les auditeurs rejettent le rapport comme incomplet.

Cet article couvre le test de preuve complet pour une configuration de transmetteurs de pression deux-sur-trois (2oo3) alimentant un solveur logique HIMA HIMatrix F35, avec une comparaison au système de protection contre la survitesse Woodward ProTech TPS. Les deux systèmes visent un SIL 2 avec un PFDmoy entre 1×10⁻³ et 1×10⁻².

Commencez par confirmer l’hypothèse de couverture du test de preuve (PTC) utilisée dans le calcul SIL initial. La plupart des calculs SIL supposent 90 % de PTC pour un test de preuve complet. Un test partiel (PST uniquement, sans course complète de la vanne) atteint seulement 50 à 60 % de PTC. Une hypothèse de 90 % de PTC avec une PTC réelle de 60 % fait passer une fonction SIL 2 à SIL 1 — une non-conformité avec des implications légales.

Procédure de test de preuve du solveur logique HIMA HIMatrix F35

Le HIMatrix F35 utilise une architecture E/S TMR (Triple Modular Redundant). Chaque canal AI lit indépendamment et vote en interne. Le test de preuve vérifie les trois voies de signal, pas seulement un canal. Le module analogique F3 AIO 8/4 01 gère les entrées du transmetteur de pression.

  • Étape 1 : Activez le mode Test de Preuve HIMatrix SILworx via la station d’ingénierie SILworx (version 6.4 ou ultérieure). Naviguez vers Système → Sécurité → Gestionnaire de Test de Preuve. Définissez l’ID SIF pour la fonction de surpression ciblée.
  • Étape 2 : Injectez un signal de test de 4,00 mA (représentant 0 % de la plage = 0 barg) à chaque borne d’entrée canal AI à l’aide d’un calibrateur de boucle Fluke 707. Vérifiez que HIMatrix lit 0,0 barg ±0,2 % sur les trois canaux via le Moniteur en ligne SILworx.
  • Étape 3 : Augmentez le signal injecté à 20,0 mA (100 % de la plage = pression pleine échelle). Vérifiez que HIMatrix lit pleine échelle ±0,2 % sur les trois canaux.
  • Étape 4 : Injectez un signal de déclenchement à 21,0 mA (105 % de la plage — simulant un transmetteur haut-haut). Confirmez que la logique HIMatrix produit une commande de sortie de sécurité (SO) en moins de 200 ms conformément à l’exigence SRS.
  • Étape 5 : Vérifiez la sortie du canal DO au solénoïde de la vanne ESD. Mesurez la tension à la borne du solénoïde : confirmez 0 VCC dans les 250 ms suivant l’activation SO. Enregistrez l’horodatage dans le journal d’événements SILworx.
  • Étape 6 : Testez l’auto-diagnostic HIMatrix. Forcez la défaillance d’un canal AI unique (déconnectez l’entrée du canal 1). Vérifiez que HIMatrix déclenche une alarme « Défaut diagnostic canal 1 » mais NE déclenche PAS la SIF (vote 2oo3 dégradé en 1oo2 — comportement correct). Reconnectez et vérifiez la restauration du canal 1.
  • Étape 7 : Testez la fonction de contournement. Activez le contournement de maintenance via le Gestionnaire de Contournement SILworx. Vérifiez que HIMatrix envoie une alarme « SIF contournée » au DCS via le registre Modbus TCP 40010 bit 3. Le contournement s’annule automatiquement après 8 heures (configurable via P_BYPASS_TIMEOUT).

Enregistrez tous les horodatages, valeurs mesurées et résultats réussite/échec dans le formulaire de rapport de test de preuve. La clause 16.2.5 de la norme IEC 61511 exige : date du test, identité du testeur, méthode de test, temps de réponse mesuré, comparaison à l’exigence SRS, et signature. Le module F3 DIO 16/8 01 gère les sorties numériques commandant les solénoïdes des vannes ESD.

Test de course partielle et vérification de course complète de la vanne ESD

La vanne ESD est l’élément le plus sujet aux défaillances dans une SIF de surpression. Les fuites au siège de vanne et les défaillances du ressort d’actionneur sont indétectables sans test de course physique. Le test de course partielle (PST) détecte 50 à 70 % des défaillances dangereuses non détectées. Le test de course complète (FST) détecte plus de 90 %.

Réglez la course PST à 15 % de la course totale pour une vanne normalement ouverte à sécurité intégrée. Une course inférieure à 10 % ne détecte pas les défaillances de tige collante. Une course supérieure à 20 % risque de perturber le procédé en fonctionnement.

  • Étape 1 : Confirmez que le procédé peut tolérer une fermeture de vanne de 15 %. Coordonnez avec les opérations. Émettez un permis de test.
  • Étape 2 : Lancez le PST depuis la face avant du DCS. Enregistrez l’heure de début dans le journal d’événements SILworx.
  • Étape 3 : Surveillez le retour de course de la vanne (4–20 mA depuis le positionneur). Vérifiez que la course de 15 % est atteinte en moins de 5 secondes. La vanne doit revenir à 100 % ouverte dans les 10 secondes après la fin du PST.
  • Étape 4 : Enregistrez la pression d’alimentation PST à l’actionneur (minimum 5,5 barg pour un actionneur à ressort de rappel). Des valeurs inférieures à 5,0 barg indiquent une vidange de l’accumulateur ou une dérive du régulateur d’alimentation.
  • Étape 5 : Pour le FST (fenêtre d’arrêt uniquement), désexcitez complètement le solénoïde de déclenchement. Vérifiez la fermeture complète en moins de 3 secondes selon l’exigence SRS. Mesurez la fuite au siège par la méthode de chute de pression en amont. Une fuite supérieure à 0,1 % du débit nominal Cv échoue au test.

Contrôlez la résistance de la bobine du solénoïde à chaque test de preuve. Une bobine standard 24 VCC affiche 30–70 ohms à 20 °C. Des valeurs hors de cette plage indiquent une dégradation de la bobine. Remplacez les bobines de solénoïde tous les 10 ans au plus tard, indépendamment des résultats électriques.

Comparaison Woodward ProTech TPS : survitesse comme analogue de surpression

Woodward ProTech TPS (Triple Proximity Switch) protège les turbines à gaz contre les événements de survitesse. L’architecture reflète la SIF de surpression : trois capteurs alimentent un relais de vote 2oo3. Le système Woodward 8200-205 Protection contre la survitesse deux-sur-trois implémente la même logique de vote.

Le ProTech TPS accepte des capteurs de proximité magnétiques (MPU) avec une sortie nominale de 0,5–50 Vrms sur la plage de vitesse. Réglez le seuil de déclenchement de survitesse à 110 % de la vitesse nominale. Le seuil est stocké dans une EEPROM non volatile. Documentez la valeur du seuil et la version du firmware dans le rapport de test de preuve.

  • Injectez un signal de vitesse simulé depuis un testeur de vitesse Woodward ProTech à chaque entrée MPU. Augmentez la fréquence à 110 % de la vitesse nominale équivalente (par exemple, 1200 Hz pour une machine à 3000 tr/min avec une roue à 24 dents).
  • Vérifiez que la sortie du relais chute en moins de 50 ms (spécification du temps de réponse).
  • Testez les trois canaux MPU indépendamment. Vérifiez la logique 2oo3 : un seul canal au-dessus du seuil produit une alarme mais pas de déclenchement. Deux canaux au-dessus du seuil produisent un déclenchement.
  • Enregistrez l’état du contact du relais (contact NF s’ouvre au déclenchement) avec un multimètre numérique pendant le test.

La durée de vie des contacts de sortie du relais ProTech TPS est de 100 000 opérations. Contrôlez le compteur d’opérations (Menu → Diagnostics → Compteur relais). Remplacez les modules relais à 80 000 opérations de manière proactive. Une défaillance de relais dans un système 2oo3 dégrade le vote en 1oo2 et modifie significativement le PFDmoy.

Recalcul du PFDmoy et documentation d’audit

Après chaque test de preuve, mettez à jour le calcul du PFDmoy. Cette étape est obligatoire selon la clause 16.2.5 de la norme IEC 61511 mais est la plus souvent omise sur le terrain.

Utilisez la formule simplifiée IEC 61511 pour une configuration de capteurs 2oo3 :

PFDmoy (2oo3) = λDU² × Ti²

où λDU = taux de défaillance dangereuse non détectée par heure (par exemple, 5×10⁻⁸ /h pour un transmetteur de pression Rosemount 3051) et Ti = intervalle de test de preuve en heures. Pour un intervalle de 12 mois (8 760 heures) : PFDmoy = (5×10⁻⁸)² × (8760)² = 1,9×10⁻⁷. Ajoutez le PFDmoy du solveur logique HIMatrix F35 (environ 3×10⁻⁵) et celui de la vanne ESD (environ 1×10⁻³ pour une vanne testée en course complète). PFDmoy total de la SIF ≈ 1,03×10⁻³ — limite du SIL 2.

Si un test de preuve révèle une couverture inférieure à 90 %, ou si le PST de la vanne échoue et que le FST est différé, recalculer avec le facteur de couverture réduit. Un PFDmoy supérieur à 1×10⁻² nécessite une action corrective immédiate et une notification à l’autorité de sécurité des procédés.

Constituez le dossier complet de test de preuve : numéro de révision de la procédure, enregistrements d’étalonnage avant et après pour chaque transmetteur, export du journal d’événements SILworx (PDF), rapports PST et FST de la vanne, feuille de recalcul du PFDmoy, et signatures des testeurs. Conservez les dossiers pendant la durée de vie de la SIF plus au moins 5 ans.

Conclusion et conseils d’action

Les tests de preuve de surpression SIL 2 échouent aux audits pour deux raisons : couverture incomplète de tous les éléments SIF, et absence de recalcul du PFDmoy après le test. Un étalonnage de transmetteur sans vérification de la sortie du solveur logique n’est pas un test de preuve — c’est un étalonnage. Utilisez le Gestionnaire de Test de Preuve HIMatrix SILworx pour imposer une séquence de test structurée et générer un rapport automatique.

Pour la vanne ESD, n’acceptez jamais le PST seul comme substitut au test de preuve complet. Planifiez le FST à chaque arrêt planifié — une fuite au siège de vanne supérieure à 0,1 % du débit nominal Cv est une constatation critique que le PST ne peut détecter. Pour la protection contre la survitesse ProTech TPS, surveillez le compteur d’opérations des contacts relais et remplacez à 80 000 opérations. Maintenez le PFDmoy total de la SIF en dessous de 5×10⁻³ pour conserver une marge de sécurité de 100 % dans les limites SIL 2. Documentez tout — l’équipe d’audit demande d’abord les dossiers, puis le matériel.

Retour au blog
Afficher tout
Articles de blog
Afficher tout
Pneumatic Temperature Transmitter Commissioning and Field Fault Diagnosis
plcdcspro

Mise en service et diagnostic des pannes sur site du transmetteur de température pneumatique

Un guide pratique sur le terrain pour la mise en service des transmetteurs de température pneumatiques, la validation des plages de sortie 3–15 psi, le dépannage de la dérive du bec-flap, et l’intégration des signaux pneumatiques anciens avec Allen-Bradley ControlLogix et Invensys I/A Series.
Pressure Switch Calibration and Setpoint Verification in Safety Instrumented Systems
plcdcspro

Calibration de l'interrupteur de pression et vérification du point de consigne dans les systèmes instrumentés de sécurité

Guide de l’ingénieur terrain pour calibrer les interrupteurs de pression, vérifier les points de consigne de déclenchement et intégrer les résultats des tests de validation avec les contrôleurs ICS Triplex TMR et Woodward ProAct dans les applications pétrolières et gazières.
WirelessHART Network Commissioning and Field Diagnostics
plcdcspro

Mise en service du réseau WirelessHART et diagnostics sur le terrain

WirelessHART (IEC 62734) étend le protocole HART aux réseaux maillés sans fil. Ce guide couvre l’ensemble du processus de mise en service avec Emerson 475 et AMS Device Manager, l’intégration Honeywell Experion PKS Modbus TCP, ainsi que cinq schémas de panne courants dans les applications de raffinerie.
Liste des produits recommandés
KL4510X1-EA1 | Emerson DeltaV | Terminal d'adresse I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal d'adresse I.S. CHARM

Emerson
Bloc de bornes Emerson DeltaV I.S. CHARM Réf. : KL4510X1-DA1
Bloc de bornes Emerson DeltaV I.S. CHARM Réf. : KL4510X1-DA1

Emerson
Module d'alimentation Emerson DeltaV KL1501X1-BA1 CSLS
Module d'alimentation Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | Entrée LS 24 VCC Contact Sec CHARM
KL3003X1-LS1 | Emerson DeltaV | Entrée LS 24 VCC Contact Sec CHARM

Emerson
Module CHARM d'entrée RTD/Résistance Emerson KL3031X1-BA1
Module CHARM d'entrée RTD/Résistance Emerson KL3031X1-BA1

Emerson
Module PLC Micro Série 90 GE Fanuc IC693UAA003
Module PLC Micro Série 90 GE Fanuc IC693UAA003

GE
Module de sortie logique positive GE Fanuc RX3i IC694MDL730 12/24VCC
Module de sortie logique positive GE Fanuc RX3i IC694MDL730 12/24VCC

GE
IC697CMM731 | Module d'interface MAP à large bande GE Fanuc (copie)
IC697CMM731 | Module d'interface MAP à large bande GE Fanuc (copie)

GE
IC697CMM731 | Module d'interface MAP à large bande GE Fanuc
IC697CMM731 | Module d'interface MAP à large bande GE Fanuc

GE
Module contrôleur de bus FIP (FBC) GE Fanuc IC693BEM340
Module contrôleur de bus FIP (FBC) GE Fanuc IC693BEM340

GE
Unité de connexion ABB DSTD 197 8 canaux, 120V 3BSE004726R1(副本)
Unité de connexion ABB DSTD 197 8 canaux, 120V 3BSE004726R1(副本)

ABB
Unité de connexion ABB DSTD 197 8 canaux, 120V 3BSE004726R1
Unité de connexion ABB DSTD 197 8 canaux, 120V 3BSE004726R1

ABB