Défaillance d'un automate programmable
Foothills Pipe Lines Ltd.
Station de décompression/recompression
BP Canada Energy Company
Installation de traitement des liquides du gaz naturel d'Empress
Près d'Empress (Alberta)
Le Bureau de la sécurité des transports du Canada (BST) a enquêté sur cet événement dans le but de promouvoir la sécurité des transports. Le Bureau n’est pas habilité à attribuer ni à déterminer les responsabilités civiles ou pénales. Le présent rapport n’est pas créé pour être utilisé dans le contexte d’une procédure judiciaire, disciplinaire ou autre. Voir Propriété et utilisation du contenu.
Résumé
Le 18 octobre 2005 à 8 h 29, heure normale des Rocheuses, un automate programmable est tombé en panne à la station de décompression/recompression de la Foothills Pipe Lines Ltd. qui appartient à la TransCanada et fait partie des installations de traitement des liquides du gaz naturel de la BP Canada Energy Company situées près d'Empress (Alberta). La défaillance de l'automate programmable a occasionné un début de surpression dans le recompresseur « A ». À 8 h 41, une rupture s'est produite dans un bout de canalisation d'un diamètre nominal de 2 pouces de la conduite de mise en pression située en amont du recompresseur « A », ce qui a causé la libération d'une quantité négligeable de gaz naturel. L'opérateur de la salle de contrôle a alors immédiatement commandé un arrêt d'urgence de l'installation. Cet arrêt d'urgence a occasionné la libération dans l'atmosphère d'environ 23 x 103 mètres cubes de gaz ainsi que le brûlage à la torche d'environ 11 x 103 mètres cubes de gaz. Le moteur du recompresseur « A » a continué de tourner pendant encore 20 minutes, après quoi une explosion s'est produite dans la partie centrale du moteur. Le moteur a continué de tourner jusqu'à ce qu'on l'arrête manuellement à 9 h 11. Personne n'a été blessé.
Renseignements de base
La station de décompression/recompression de la Foothills Pipe Lines Ltd., faisant partie des installations de traitement des liquides du gaz naturel (LGN) de la BP Canada Energy Company (BP Canada) situées à Empress, appartient à TransCanada, mais elle est exploitée au nom de cette dernière par BP Canada. La station de décompression/recompression sert à réduire la pression du gaz à haute pression qui est acheminé dans le pipeline de la zone 6 de la TransCanada Foothills, pour conditionner ce gaz en fonction des pressions et températures de service des installations d'extraction de LGN qui sont aménagées dans le secteur d'Empress. Par la suite, le gaz résiduaire des stations nos 2 et 5 de l'installation de traitement des LGN de BP Canada, située à Empress, passe par la station de décompression/recompression, qui ramène sa pression à celle du pipeline et réinjecte le gaz dans le pipeline de la zone 6 de la TransCanada Foothills. La station de décompression/recompression transmet par inforoute des données destinées au système d'acquisition et de contrôle des données (SCADA) de TransCanada. Les données en question sont transmises à titre indicatif seulement. Le système SCADA de TransCanada ne peut contrôler aucune des fonctions de la station de décompression/recompression.
À 8 h 29, heure normale des RocheusesNote de bas de page 1, il y a eu une interruption de la communication des données entre l'automate programmable (AP) « A » de la station de décompression/recompression et la salle de contrôle de l'installation de traitement des LGN de BP Canada (la salle de contrôle), située à Empress. À ce moment, les opérateurs de la salle de contrôle ont capté une alarme indiquant une erreur d'appareillage ou de communication (en anglais « Device box or communication error ») et toute une série d'autres alarmes, et ils ont remarqué que la plupart des communications avec la station de décompression/recompression avaient cessé. Les opérateurs de la salle de contrôle ont communiqué par radio avec les opérateurs externes pour les aviser de se rendre à la station de décompression/recompression afin de trouver l'origine des messages incohérents qui s'affichaient sur les écrans de salle de contrôle. Même si les vannes d'alimentation et de sortie de la station de décompression/recompression ne montraient aucune indication d'ouverture ou de fermeture, les données sur la pression en provenance de la station montraient que les vannes s'étaient fermées, de sorte que l'opérateur de la salle de contrôle a cru que la panne de communication avait déclenché un arrêt d'urgence de l'installation.
À 8 h 41, tandis que l'opérateur externe approchait de la station de décompression/recompression, la conduite de mise en pression, ayant un diamètre nominal (NPS) de 2 pouces et située en amont du recompresseur « A », s'est rompue à la hauteur du raccord entre le collecteur d'aspiration, d'un diamètre nominal de 24 pouces, et une vanne de contrôle. Ce raccord était surmonté de pièces lourdes et avait un goulot de faible diamètre à la hauteur du raccord soudé (weldolet) ainsi qu'un dispositif de commande de la vanne monté horizontalement par rapport à la conduite. L'opérateur externe a communiqué par radio avec l'opérateur de la salle de contrôle qui a immédiatement commandé l'arrêt d'urgence de la station.
Même si les vannes d'isolement entre la station de décompression/recompression et l'installation no 2 étaient configurées pour se fermer au moment de l'arrêt d'urgence, elles ne se sont pas fermées comme prévu. L'opérateur de la salle de contrôle a donc transmis un signal de fermeture à chaque vanne à partir des écrans de la salle de contrôle. L'opérateur de la salle de contrôle a alors remarqué que le recompresseur « A » semblait être encore alimenté. Après l'arrêt d'urgence, l'opérateur de la salle de contrôle a continué de surveiller et de dépressuriser l'installation et de vérifier si elle était bien isolée. À 8 h 56, une explosion s'est produite dans la partie centrale du moteur du recompresseur « A ». Le moteur a continué de tourner après l'explosion, jusqu'à ce qu'on actionne, à 9 h 11, un interrupteur d'arrêt manuel situé dans la salle de contrôle.
L'examen de l'AP « A » a révélé que sa défaillance avait été causée par une défectuosité d'une carte processeur. Au moment de la défaillance de l'AP « A », les signaux de sortie de celui-ci ont été désactivés. Certains des appareils du recompresseur « A » qui étaient contrôlés par l'AP « A » et dont l'arrêt était déclenché par un signal non activé, comprenaient les pompes de lubrification principales et auxiliaires, les robinets de purge/clapets régulateurs et les robinets d'admission et de refoulement. Le moteur du recompresseur « A », quant à lui, ne pouvait s'arrêter qu'après avoir reçu un signal activé, de sorte qu'il a continué de tourner jusqu'à ce que le personnel sur place l'arrête manuellement. Tous les dispositifs de protection de l'unité, dont les dispositifs de déclenchement en cas de fortes vibrations, de basse pression d'huile de graissage, de surpression et de température excessive des compresseurs et des boîtes d'engrenages, n'ont pas fonctionné du fait que l'AP « A » avait envoyé un signal non activé. L'examen de l'AP « A » a aussi révélé que le signal de fermeture d'urgence des vannes d'isolement entre la station de décompression/recompression et la station no 2 était relié en série à l'inforoute par l'intermédiaire de l'AP.
Quand la vanne de refoulement du recompresseur « A » s'est fermée, le compresseur a commencé à fonctionner en surpression. Détectant l'arrêt du débit, le contrôleur de surpression a ouvert le robinet de recirculation, ce qui n'a pas empêché la pression de continuer d'augmenter. Durant cet événement de surpression, la conduite de mise en pression de 2 pouces s'est brisée entre le collecteur d'aspiration d'un diamètre nominal de 24 pouces et une vanne de contrôle. Après avoir étudié le rapport de l'examen métallurgique du raccord défectueux, le laboratoire technique du BST s'est dit d'accord avec les constatations voulant que la rupture ait été causée par une fatigue oligocyclique due à une forte sollicitation périodique, et que cette sollicitation ait probablement coïncidé avec les fortes contraintes de vibration associées à la surpression.
L'examen du recompresseur « A » et du moteur a révélé que : le système de lubrification était le même pour le compresseur, la boîte d'engrenages et le moteur; les roulements du compresseur avaient été défaillants; les joints étanches du compresseur avaient été endommagés; l'isolant des pièces du bobinage du stator s'était dégradé; des décharges partielles s'étaient produites aux endroits où l'isolant était dégradé; à ces endroits, l'isolant avait été endommagé encore davantage par l'exposition aux décharges partielles; une explosion s'était produite dans la partie centrale du moteur, à la suite de laquelle des pièces du carter du moteur avaient heurté le plafond et l'intérieur du bâtiment.
En avril 2002, une fuite de gaz s'est produite dans la conduite de mise en pression, ayant un diamètre nominal de 2 pouces, entre le collecteur d'aspiration d'un diamètre nominal de 24 pouces et une vanne de contrôle du recompresseur « B ». Ce raccord était du même modèle que celui qui s'est rompu le 18 octobre 2005. La fuite d'avril 2002 est survenue pendant que du gaz s'échappait par le robinet de contrôle situé entre la station de décompression/recompression et l'orifice d'admission de la station no 2. Le robinet de contrôle s'était ouvert après une panne d'alimentation des systèmes de contrôle de la station de décompression/recompression et de la station no 2.
Après avoir analysé les événements entourant la fuite d'avril 2002, BP Canada a déterminé que la panne d'alimentation avait résulté de l'application de méthodes de travail inopportunes pendant le montage d'appareils électriques à l'installation de traitement des LGN de BP Canada, à Empress. L'analyse métallurgique du raccord défectueux a révélé que la défaillance avait résulté d'une fissuration due à une fatigue oligocyclique consécutive à une forte sollicitation périodique. Le rapport de l'analyse métallurgique ajoutait que la fissuration était probablement liée à une période pendant laquelle la conduite avait subi des contraintes de flexion d'une amplitude inusitée, combinée à la présence de pattes de support lâches. BP Canada a déterminé que les fortes vibrations étaient attribuables à l'évacuation de gaz par la vanne de contrôle.
À la suite de cet accident, BP Canada a remplacé le raccord par une conduite de nomenclature 80, a renforcé les pattes de support de façon à limiter les mouvements de la conduite de mise en pression de 2 pouces tout en permettant une certaine dilatation thermique, et a mis en œuvre un programme d'entretien périodique afin de contrôler la sécurité des pattes de support. De plus, BP Canada a pris des mesures pour faire en sorte que les procédures d'installation d'appareils électriques et les inspections consécutives à ces installations soient adéquates, et pour veiller à ce que les intéressés se conforment à ces exigences.
Analyse
Les opérateurs de la salle de contrôle ignoraient que la perte de communications avec l'AP « A » était due à une défectuosité de l'AP et que cette défectuosité rendait aléatoire l'exécution de certaines des fonctions contrôlées par cet AP, dont l'arrêt du moteur du recompresseur « A ».
Le recompresseur « A » a causé une surpression lorsque le signal non activé généré par l'AP « A » défectueux a interrompu l'exécution des fonctions principales du recompresseur « A », mais n'a pas commandé l'arrêt du moteur.
Bien que le contrôleur de surpression ait détecté l'interruption de l'écoulement et ait ouvert le robinet de recirculation, la vanne de purge a bloqué l'écoulement du gaz alors que le compresseur continuait de tourner, causant une surpression continue. Au cours de l'événement de surpression, la tuyauterie de la conduite de mise en pression, d'un diamètre nominal de 2 pouces, située entre le collecteur d'aspiration d'un diamètre nominal de 24 pouces et une vanne de contrôle, n'a pas pu résister aux fortes vibrations générées par la surpression et s'est brisée.
Même si la compagnie avait fait renforcer les pattes de support après l'accident d'avril 2002, les vibrations générées par la surpression ont été trop fortes pour que les pièces puissent y résister.
Comme les pompes de lubrification s'étaient arrêtées, les roulements du compresseur ont fini par manquer de lubrification, ce qui a entraîné des dommages aux joints étanches du compresseur. Par la suite, le gaz a pu atteindre les roulements du moteur en passant par les joints étanches endommagés du compresseur et la tuyauterie du système de lubrification. Une fois que le gaz présent dans le carter du moteur a atteint la limite inférieure d'explosivité, il s'est enflammé au contact des décharges partielles qui se produisaient dans le bobinage du stator aux endroits où l'isolant s'était dégradé.
Faits établis
Faits établis quant aux causes et aux facteurs contributifs
- L'envoi d'un signal non activé par l'automate programmable « A » n'a pas permis un arrêt à sûreté intégrée du recompresseur « A » et du moteur.
- Une surpression s'est produite parce que plusieurs des fonctions principales du recompresseur « A » se sont désactivées alors que le moteur continuait de tourner.
- La tuyauterie de la conduite de mise en pression ayant un diamètre nominal de 2 pouces n'a pas pu résister aux fortes vibrations qui ont été générées pendant l'événement de surpression.
- Les joints étanches du compresseur ayant été endommagés pendant l'événement de surpression, du gaz est passé par les conduites du système de lubrification pour migrer vers le carter du moteur, où il s'est enflammé au contact d'une source d'inflammation.
- Des étincelles se sont formées à cause des décharges partielles qui se produisaient dans le carter du moteur aux endroits où l'isolant du bobinage du stator s'était dégradé.
- L'arrêt d'urgence de la station de décompression/recompression a été compromis en raison de la configuration du signal d'arrêt d'urgence envoyé par l'automate programmable « A » défectueux.
- Les conséquences éventuelles d'une défectuosité d'un automate programmable sur la sécurité du processus d'arrêt d'urgence de la station de décompression/recompression n'étaient pas considérées comme étant préoccupantes.
Mesures de sécurité prises
Après que la BP Canada Energy Company (BP Canada) et TransCanada eurent analysé les événements entourant l'accident d'octobre 2005, TransCanada a apporté plusieurs modifications aux installations de la station de décompression/recompression, et notamment à l'automate programmable (AP), au câblage et à l'agencement des opérations d'arrêt d'urgence, afin de s'assurer qu'une défectuosité de l'AP ne pourra pas compromettre le fonctionnement sûr de l'installation et la fermeture de celle-ci. TransCanada a modifié la canalisation de mise en pression de 2 pouces des recompresseurs « A » et « B », pour faire en sorte qu'elle résiste mieux aux vibrations, tout en gardant une marge de manœuvre en cas de dilatation thermique. De plus, TransCanada a fait installer dans les moteurs « A » et « B » des détecteurs de décharge partielle qui faciliteront la surveillance du gazoduc et permettront de faire des diagnostics plus exacts.
Au début de décembre 2005, le Bureau de la sécurité des transports du Canada (BST) a adressé à l'Office national de l'énergie (ONE) une lettre d'information sur la sécurité dans laquelle le Bureau l'avisait du fait qu'une défaillance d'un AP pourrait compromettre la sécurité intégrée d'une canalisation. À la fin de décembre 2005, l'ONE a fait parvenir un avis de sécurité à toutes les sociétés pétrolières et gazières dont il régit l'exploitation pour les informer des risques qu'une défaillance d'un AP peut entraîner.
Le présent rapport met un terme à l’enquête du Bureau de la sécurité des transports au sujet de cet accident. Le Bureau a autorisé la publication du rapport le .