Point chaud détecté dans une usine chimique - La référence du retour d'expérience sur accidents technologiques

Dans la nuit, lors d’une ronde dans une usine chimique, des points chauds accompagnés d’une forte odeur de brûlé sont détectés près d’un oxydateur thermique (RTO). Celui-ci avait été mis en chauffe dans la journée, puis mis en attente une fois la température de consigne atteinte (1 050 °C). En effet, le basculement en mode traitement ne se fait pas en raison d’un problème de régulation de pression dans le réseau de collecte des COV. Les opérateurs remarquent la présence de points rouge sur la structure du RTO et actionnent le bouton d’arrêt d’urgence de l’équipement. La température dans la chambre principale a dépassé 1 500 °C. Aucune sécurité n’a coupé le gaz sur le brûleur. Le lendemain, l’équipement est mis en refroidissement forcé. Lors de son expertise, le fabricant constate que l’intérieur de la chambre de chauffe (composé de céramique) ainsi que les sondes de températures sont à remplacer.

Un défaut sur le logiciel de l’automate de supervision est relevé. Lors de la remise en chauffe de l’équipement, l’automate de conduite quitte le mode attente sans basculer sur un autre mode de fonctionnement. La perte de contrôle du système de régulation de température du RTO entraîne alors un dépassement des conditions limites de température ainsi qu’une surchauffe importante des équipements. Lors de l’évènement, le programme s’est retrouvé dans un mode inconnu et les sécurités liées aux modes de fonctionnement du RTO n’ont pas fonctionné.

Le site faisant l’objet d’une mise en demeure de respecter les valeurs limites de rejet avec un délai arrivant à échéance, l’exploitant a testé les sécurités critiques mais pas l’ensemble des combinaisons possibles ni celles de l’accident (mode inconnu). Les nombreuses sécurités étaient fonctionnelles à l’issue des tests, mais n’ont pas fonctionné dans les circonstances particulières de l’accident. En parallèle, la sécurité indépendante de température haute spécifique au brûleur présentait un défaut de fonctionnement non identifié lors des tests, car celle-ci était masquée par le programme du RTO.

A la suite de l’accident, l’exploitant rédige des protocoles de test détaillés concernant le brûleur. Une matrice représentant les 1000 transitions possibles de l’automate d’un mode de fonctionnement à un autre est construite. L’exploitant simule plusieurs défauts afin de vérifier le fonctionnement des actions prévues pour les 68 transitions critiques mises en évidence. Il met en place 15 asservissements indépendants des modes, activant notamment la coupure d’arrivée du gaz.

L’analyse de l’accident met en avant des erreurs de maîtrise technique de la part de l’installateur de l’oxydateur et du prestataire ayant fourni le brûleur piloté.