Que faire quand le pare-feu ne suffit pas à contenir un départ de feu et quand le cloud se matérialise en panache de fumée? Dans cet article, nous allons nous focaliser sur les solutions de protection incendie des data centers qui concentrent un grand nombre de risques de départs de feux.

Ces risques peuvent être causés par l’échauffement d’installations tels que les équipements digitaux, les câbles, les centrales de traitement d’air (CTA) et de façon générale, tous les éléments combustibles alimentés électriquement. Enfin, le développement des batteries lithium-ion notamment pose de réelles difficultés en concentrant une puissance énergétique très importante qui n’a pas toujours été prise en compte dans l’analyse de risque initiale de ces sites.

Pour faire face à ce risque, nous pouvons distinguer deux approches de sécurité incendie :

Comment le compartimentage peut réduire le risque incendie des data centers?

Le niveau le plus large de protection consiste à concevoir la structure du bâtiment de façon à ce qu’elle soit résistante au feu. C’est ce que l’on appelle la protection passive. On cherchera alors à rendre difficile la propagation du feu au sein du bâtiment. On pourra privilégier les constructions en béton qui peuvent facilement atteindre une résistance au feu de 2h.

Une structure bois résiste mieux au feu qu’une structure acier : si l’acier n’est pas combustible, il perd très rapidement sa résistance sous l’effet de la chaleur. De façon schématique, on pourra associer une structure bois à une résistance au feu de 30 min contre seulement 15 pour les constructions métalliques. En revanche, s’il n’est pas maitrisé, il ne reste que des cendres d’un bâtiment bois…

Concevoir des volumes résistants au feu ne suffit pas. Deux vecteurs de propagation en data centers sont particulièrement critiques. Le premier est induit par les systèmes de traitement d’air, le second par les câbles.

Pourquoi une bonne gestion des fumées est indispensable?

Pour évacuer les calories, les locaux serveurs sont largement ventilés et climatisés. En cas de départ de feu, il sera attisé par l’apport d’air frais constant et les fumées risqueront de se répandre par le réseau de gaines. Les fumées sont l’un des vecteurs de propagation les plus courants. Elles sont chaudes et combustibles. Par ailleurs, elles causent des dommages irréversibles aux équipements électroniques par la suie qu’elles déposent. En pratique, il suffira de couper la centrale de traitement d’air en cas de détection incendie et de fermer automatiquement les registres coupe-feu isolant les gaines.

Pour que les suies présentent un risque, il faut qu’elles soient « corrosives », ce qui est le cas de la grande majorité des fumées produites en milieux clos. La corrosivité de ces suies est quasiment dans tous les cas liée à la production d’hydracides au cours de la pyrolyse de matières synthétiques renfermant des molécules chlorées, fluorées ou autres halogénures largement présents dans les gaines des fils électriques. Soumis à la chaleur et au feu, elles libèrent du Chlore sous forme d’acide chlorhydrique. Cet acide est transporté par les particules de suies, elles-mêmes transportées par les mouvements de convection des fumées, pour se déposer à terme sur les équipements électriques.

Sachant que tous les systèmes électriques et électroniques sont composés de métaux divers (notamment au niveau des connectiques dont les plages de contacts sont extrêmement fines), ces derniers, en se corrodant au contact des suies acides, ont toutes les chances de présenter un jour ou l’autre des désordres de contact, des défauts d’isolement, et donc des défauts de fonctionnement.

Comment limiter le risque de propagation d’incendie par les câbles?

 Le second vecteur classique de propagation est le feu de câble. Un câble sous-dimensionné peut s’échauffer jusqu’à s’enflammer. L’âme du câble en matière métallique va transmettre par conduction la chaleur et échauffer la gaine. La gaine quant à elle, est composée de matière plastique et est donc par nature combustible. Le feu va donc pouvoir naturellement suivre les câbles et ainsi se repandre dans tout le bâtiment. Une bonne pratique consiste à installer des câbles résistants au feu tels que des câbles types CR1. Cependant, ils restent tout à fait combustibles, mais nécessitent plus d’énergie pour brûler. La solution à privilégier est donc de s’assurer que les traversées de câbles de mur coupe-feu soient bien rebouchées avec du plâtre et que des peintures intumescentes soient régulièrement appliquées sur les câbles. 

pénétration câble

 Comment lutter contre un incendie de data centers?

Cette seconde approche consiste à venir attaquer le feu pour l’éteindre autant que faire se peut. Trois stratégies peuvent alors être mises en place.

Protection incendie des data centers par sprinkler

Les sprinklers les plus robustes sont simplement constitués de canalisations d’eau sous pressions. Cette approche classique et peu couteuse n’est cependant que rarement privilégiée en data centers. Même si cela est rare, il existe un risque de dégâts des eaux auquel le matériel électrique est particulièrement sensible. Il pourra s’agir de fuite sur le réseau ou plus rarement d’un déclenchement intempestif d’une tête sprinkler suite à un choc par exemple.

Deux méthodes sont généralement préférées pour les data centers : le système de verrouillage simple et double. Dans les deux cas, les tuyaux sont alors vides. Leur remplissage en eau est conditionné à un ou deux évenements. Le verrouillage simple (ou single interlock) dépend de l’activation d’une détection externe, manuelle ou automatique (déclencheur manuel ou détécteur automatique). Dans ce cas, si en dehors d’un incendie un sprinkler se déclenche ou si les canalisations sont endommagées, nul dégât des eaux ne sera constaté. En cas d’incendie, la détection permettra la mise en eau des réseaux et il sera alors nécessaire que les sprinklers se déclenchent sous l’effet de la chaleur pour porter son action sur le feu.

Le verrouillage double (ou double interlock) offre une sécurité supplémentaire. Le système de détection incendie ainsi que l’ouverture d’une tête sprinkler sont nécessaires à l’envahissement par l’eau des réseaux. Les installations les plus sensibles font appel à ce système.

Les référentiels tels que l’APSAD R1 ou la NFPA 13 encadrent la réalisation de tels équipements. Le sprinkler est un bon compromis technico-économique dans la plupart des situations, le frein principal est psychologique. Il peut sembler paradoxal d’envisager de noyer du matériel informatique pour le sauver. Il faudra retenir que seules quelques têtes seront activées et donc une partie limitée de la salle sera inondée. Le reste du bâtiment pourra rester fonctionnel. On pourrait comparer cela à une amputation pour stopper la gangrène.

Protection incendie des data centers par extinction gaz

Une autre façon de protéger les data centers des incendies consiste à étouffer le feu. Pour cela, on vient remplacer l’oxygène présent dans la pièce par des gaz spécifiques. Ces gaz sont acheminés par un réseau qui est plus petit que celui du sprinkler, mais aussi plus couteux : il est prévu pour résister à des pressions de plusieurs centaines de bars. Le gaz peut être libéré soit dans la pièce, soit directement dans la baie informatique. Cette seconde solution permet de ralentir le feu et implique une intervention humaine ; la baie est ventilée et le taux d’oxygène va rapidement remonter. Dans le cas de largage dans le volume total de la pièce, cette dernière doit être étanche à l’air et équipée d’évents de surpression. Sans ces derniers, les portes ne résisteraient pas à la suppression générée lors du relâchement des gaz. Les gaz utilisés sont de deux familles : les inertes et les inhibiteurs. Les gaz internes utilisent un mélange d’azote et d’argon pour réduire le taux d’oxygène et étouffer le feu. On retient généralement l’objectif de faire chuter le taux d’oxygène sous 12%. À noter que même sous ce seuil, le phénomène de combustion peut se poursuivre. Des buses spéciales data centers doivent être installées. Le relâchement du gaz conduit les buses à siffler ; au-dessus de 130 décibels, les disques durs (SDD) peuvent être endommagés.

 Les gaz inhibiteurs ou clean agent sont généralement le Novec 1230 et le FM-200. Ils font eux aussi chuter le taux d’oxygène, mais agissent en plus sur la réaction du feu pour l’endiguer. Contrairement aux gaz inhibiteurs ancienne génération, ces deux gaz n’attaquent pas la couche d’ozone. Leur stockage occupe un espace au sol inférieur à celui des gaz inertes, mais sont en revanche plus couteux.

Les extinctions gaz sont très bien décrites par le référentiel APSAD R13 et nous recommandons de l’utiliser. Ces installations trouvent leur pertinence économique dans les salles de taille petite à moyenne.

 

Protection incendie des data centers par brouillard d’eau

Le brouillard d’eau utilise moins d’eau que le système de sprinkler traditionnel et réduit donc les dégâts des eaux. La buse d’aspersion est conçue pour permettre à l’eau sous haute pression d’être libérée sous la forme de fines gouttelettes. Le phénomène physique est le même que celui observé lors que l’on tourne le variateur du tuyau d’arrosage : on passe d’un jet « bâton » à un jet très diffusé avec des petites goutes. Dans le cas du brouillard d’eau, c’est en fait des buses d’injection de carburant utilisé pour les moteurs thermiques qui ont été adaptés pour produire le brouillard.

Le fait que ces gouttelettes soient petites leur permet d’absorber très rapidement la chaleur. Leur surface d’échange est très élevé en regard de leur volume. En conséquence, la température chute rapidement et l’oxygène est repoussé du fait de la vapeur d’eau formée. Le taux d’oxygène chute donc localement. Le brouillard vient aussi humidifier les différentes surfaces et ainsi limiter le transfert radiatif de chaleur et donc la propagation de l’incendie.

À l’image du sprinkler, le brouillard d’eau reste efficace même si la ventilation n’a pas été arrêtée et ne nécessite pas des salles parfaitement étanches.

A contrario des deux autres solutions, il n’existe pas de référentiel permettant d’assurer le bon dimensionnement de l’installation. Le guide D2 de l’APSAD est relativement pauvre. En revanche la datasheet FM 5560 est beaucoup plus intressante et librement accessible.

Le brouillard d’eau trouve son intérêt technico-économique dans les grands volumes.

Les autres technologies de protection incendie

Les solutions décrites plus haut ne sont pas exhaustives, il est en effet théoriquement possible d’utiliser de la mousse par exemple mais nous n’avons pas connaissance de telles réalisations. Il existe aussi la possibilité interessante de réduire l’oxygène disponible dans la pièce mais cette technologie reste peu commune et souvent peu pertinente. La forte ventilation nécessaire pour dissiper la chaleur produite par les serveurs implique de faire entrer de l’air frais dans les volumes.

Si vous voulez explorer plus en avant le sujet de ce post, vous pouvez vous référer au livre blanc « la sécurité-incendie dans les datacenters » de France Datacenter traitant du sujet.

 

L’incendie d’OVH Strasbourg :

Quelle est l’origine de l’incendie OVH Strasbourg?

Les pistes sont encore nombreuses pour expliquer le départ de feu responsable de la panne d’OVH. Si certaines sont peu probables, la piste d’un équipement électrique défaillant est tout à fait crédible. Dans le cadre d’une communication de crise particulièrement transparente, Octave Klaba a indiqué que les pompiers avaient pu prendre une image thermique de deux onduleurs produisant énormément de chaleur. Ceci n’est cependant pas suffisant pour conclure sur l’origine du feu : ces équipements peuvent être des foyers secondaires, eux-mêmes victimes de la propagation du foyer initial. L’analyse des historiques de fonctionnement de ces derniers devraient pouvoir indiquer s’il sont bien à l’origine du départ de feu. L’indication d’une maintenance sur ces mêmes équipements quelques heures plus tôt est de nature à renforcer cette hypothèse qui est tout à fait probable.

La présence d’un grand nombre de caméras permettra surement d’écarter rapidement  la piste criminelle.

Il semble donc que la cause soit d’origine électrique et accidentielle.

Pourquoi l’incendie a pris ces proportions ?

 Nous savons que le site n’était pas équipé de systemes d’extinction automatique. Nous avons pu confirmer cette info donnée par le journal du net.

Par ailleurs, le bâtiment avait été construit pour faire face à un besoin de serveur pressant. Sa construction a été réalisée de façon accélérée. Il est réalisé en structure bois contrairement aux autres bâtiments d’OVH à proximité qui sont eux en béton.

Par ailleurs, il était conçu pour permettre une bonne ventilation des locaux avec un patio interne. Ce dernier a joué le rôle d’une cheminée et a permis un développement rapide du feu. 

Les conséquences de l’incendie ont été particulièrement dramatiques, car les données stockées dans les serveurs ainsi que leur sauvegarde étaient installées dans un même bâtiment. On comprend mieux à la lumière des conséquences pourquoi les serveurs de back-up sont nommés serveurs distants…

Ce billet sera actualisé avec l’avancée de l’enquête.

 A lire aussi sur l’incendie d’OVH l’article de face au risque.