تحسين التبديل في وضع الاستعداد الساخن ووقت المسح لنظام Emerson DeltaV SIS

Emerson DeltaV SIS, Hot Standby, IEC 61511, Industrial Automation, PFDavg, Safety Instrumented System, Scan Time, SIL 2, SLS 1508, Watchdog Timer
%ب %د، 2026

Emerson DeltaV SIS Hot Standby Switchover and Scan Time Optimization

لماذا تعتبر خاصية الاحتياطي الساخن مهمة في هياكل SIS

يجب على نظام السلامة الآلي أن يستجيب ضمن زمن السلامة المحدد للعملية (PST). يستخدم محلل المنطق Emerson DeltaV SIS SLS 1508 بنية الأجهزة 1oo2D، حيث يقترن معالج أساسي بمعالج احتياطي ساخن. يعمل كلا المعالجين على نفس المنطق بشكل مستمر. يحدث التبديل في أقل من 100 مللي ثانية، مما يفي بمتطلبات التوفر في البند 11.9 من معيار IEC 61511 للحلقات SIL 2.

ومع ذلك، تؤدي التهيئة السيئة إلى تبديلات مزعجة تعطل التحكم وتسبب إنذارات كاذبة. السبب الجذري عادة ما يكون مؤقت المراقبة (watchdog) غير المهيأ بشكل صحيح أو وقت المسح الزائد. يمكن أن تتسبب فترات نبض القلب غير المتزامنة بين وحدة التحكم Safety Manager SC من Honeywell و DeltaV SIS في نفس خزانة ESD في إنذارات تشخيصية خاطئة خلال أسابيع من التشغيل.

بنية تزامن المعالج المزدوج في SLS 1508

يحتوي SLS 1508 على معالجين: CPU-A (الأساسي) وCPU-B (الاحتياطي). يشتركان في ناقل تزامن يعمل بسرعة 100 ميجابت في الثانية. في كل دورة مسح، يكتب CPU-A جدول الإدخال/الإخراج الخاص به إلى CPU-B. يقارن CPU-B البيانات الواردة مع نتيجة المسح الخاصة به. يزيد عداد عدم التطابق عند أي انحراف. يقوم مؤقت المراقبة بالتبديل عندما يتجاوز العداد الحد القابل للتهيئة.

المعلمات الرئيسية التي يجب التحقق منها أثناء التشغيل:

مهلة مؤقت المراقبة: القيمة الافتراضية 500 مللي ثانية، الحد الأدنى 200 مللي ثانية لزمن السلامة SIL 2 PST < 2 ثوانٍ
عتبة عدم تطابق التزامن: القيمة الافتراضية 3 حالات عدم تطابق متتالية قبل التبديل
إزاحة مسح CPU-B: يجب ألا تتجاوز 10 مللي ثانية بالنسبة إلى CPU-A
فاصل تحقق مجموع التحقق من الذاكرة: كل 60 ثانية للتحقق من سلامة كود التطبيق

يمكن الوصول إلى هذه المعلمات في DeltaV Explorer ضمن خصائص وحدة تحكم SLS. اضبط مؤقت المراقبة على 400 مللي ثانية عندما يكون PST 1.5 ثانية. هذا يوفر هامش 1.1 ثانية بعد اكتشاف العطل قبل أن يجب على العنصر النهائي الاستجابة.

ميزانية وقت المسح والامتثال لمعيار IEC 61511

يتطلب البند 11.7.5 من معيار IEC 61511 أن يكون وقت مسح محلل المنطق أقل من أو يساوي عُشر زمن السلامة PST. بالنسبة لـ PST بقيمة 2 ثانية، يكون الحد الأقصى لوقت المسح 200 مللي ثانية. عادةً ما يعمل DeltaV SIS عند 100 مللي ثانية لـ SIL 2 و250 مللي ثانية لـ SIL 1. تحقق من وقت المسح الفعلي في DeltaV Diagnostics ضمن أداء وحدة التحكم.

الخطوة 1: افتح DeltaV Explorer. انتقل إلى وحدة تحكم SLS → خصائص الوحدة → إحصائيات المسح.
الخطوة 2: سجل الحد الأقصى لوقت المسح خلال فترة 24 ساعة. شمل ذروات تغيير الورديات.
الخطوة 3: حدد كتل الوظائف التي تستهلك أكثر من 5 مللي ثانية بشكل فردي. هذه هي المرشحة للفصل.
الخطوة 4: انقل كتل المنطق غير المتعلقة بالسلامة (مثل مساعدي حساب مصفوفة السبب والنتيجة) إلى وحدة تحكم DeltaV CHARM I/O بدلاً من ذلك.
الخطوة 5: أعد فحص وقت المسح بعد إعادة التوزيع. تأكد من بقائه أقل من 180 مللي ثانية مع هامش 10%.

عزل أعطال التبديل: إجراء من خمس خطوات

تولد التبديلات المزعجة سجل أحداث DeltaV Event Chronicle بمستوى شدة 10. استخدم الإجراء التالي لعزل السبب الجذري:

الخطوة 1: صدّر سجل الأحداث لمدة 30 دقيقة قبل التبديل. صفِّ حسب مصدر وحدة تحكم SLS. ابحث عن زيادات عداد عدم التطابق وإنذارات درجة حرارة المعالج.
الخطوة 2: تحقق من جهد سكة التزويد 24 فولت تيار مستمر عند أطراف اللوحة الخلفية P1 وP2 في SLS 1508. النطاق المقبول هو 21.6–26.4 فولت تيار مستمر. الجهد أقل من 22 فولت يسبب أخطاء في ناقل التزامن.
الخطوة 3: تحقق من كابل ناقل التزامن بين بطاقتي المعالج. يستخدم DeltaV SIS كابل شريطي خاص. افحص وجود دبابيس مثنية عند موصل حافة البطاقة. استبدله إذا تجاوزت المقاومة بين الدبوس 1 والدبوس 16 قيمة 5 أوم.
الخطوة 4: راجع سجل عدم تطابق الإدخال/الإخراج. ظهور قناة إدخال محددة بشكل متكرر يشير إلى جهاز ميداني معطل أو توصيل فضفاض. تحقق من كتلة طرف السكك DIN المرتبطة للتآكل.
الخطوة 5: تأكد من تطابق إصدار البرنامج الثابت على كلا المعالجين. انتقل إلى خصائص وحدة تحكم SLS → التشخيص → إصدار البرنامج الثابت. تسبب إصدارات البرامج الثابتة غير المتطابقة حالات عدم تطابق منخفضة المستوى مستمرة بمعدل 1–2 في الدقيقة.

تأثير متوسط احتمال الفشل عند الطلب PFDavg لزيادة أوقات المسح

لا يتسبب تجاوز وقت المسح لميزانية IEC 61511 في توقف فوري. لكنه يزيد من ائتمان التغطية التشخيصية المستخدم في حساب تحقق SIL. تصنف Emerson تغطية التشخيص في SLS 1508 بنسبة 99% (DC = 0.99) فقط عندما يبقى وقت المسح ضمن القيمة المصنفة. إذا تجاوز وقت المسح 200 مللي ثانية لحلقة SIL 2 مع فترة اختبار إثبات سنوية (Ti = 8,760 ساعة) و λDU = 2×10⁻⁶/ساعة، يرتفع PFDavg من 0.0088 إلى حوالي 0.0115 — متجاوزًا الحد الأعلى لـ SIL 2 وهو 0.01.

غالبًا ما تعمل تركيبات وحدة التحكم Safety Manager SC من Honeywell بجانب DeltaV SIS في نفس خزانة ESD. تستخدم وحدة Safety Manager دورة مهام 200 مللي ثانية بشكل افتراضي. تأكد من أن النظامين يشتركان في نفس مصدر وقت NTP — استخدم ساعة GPS مضبوطة من الطبقة 1 على شبكة OT. يتسبب انحراف الوقت فوق 50 مللي ثانية بين نظامي SIS في ترتيب خاطئ لسجلات تسلسل الأحداث بين الأسباب المبدئية واستجابات العنصر النهائي.

الخلاصة ونصائح العمل

تعتمد أداء الاحتياطي الساخن في Emerson DeltaV SIS على ثلاثة عوامل: توافق مؤقت المراقبة، الالتزام بميزانية وقت المسح، وسلامة ناقل التزامن. ابدأ بخط أساس لوقت المسح لمدة 24 ساعة قبل القبول النهائي. تأكد من تطابق عتبة عدم التطابق وإصدار البرنامج الثابت على كلا المعالجين. أعد توزيع كتل الوظائف إذا تجاوز استخدام المعالج 80%. تحقق من تزويد 24 فولت تيار مستمر عند أطراف اللوحة الخلفية. تحمي هذه الخطوات حساب PFDavg الخاص بـ SIL 2 وتمنع التبديلات المزعجة أثناء الإنتاج. وثق كل تغيير في المعلمات بسجلات الحالة عند الاكتشاف وعند الإنهاء وفقًا للبند 16.3 من IEC 61511.

المؤلف: تشن هاو مهندس أتمتة صناعية يتمتع بخبرة تزيد عن 10 سنوات في أنظمة PLC وDCS وأنظمة التحكم.