إدارة تجاوز السلامة والتحكم البديل وفقًا لمعيار IEC 61511: دليل عملي لـ HIMA HIMatrix F60 و Triconex T3000

لماذا إدارة التجاوز تشكل مخاطرة في الامتثال

كل مهندس ميداني تجاوز مستشعرًا أثناء الصيانة. السؤال الحقيقي هو ما إذا كان هذا التجاوز مصرحًا به، ومسجلاً، ومغلقًا في الوقت المناسب. البند 11.9 من IEC 61511 يجعل إدارة التجاوز عنصرًا إلزاميًا في دورة الحياة، وليس ممارسة اختيارية. عدم الامتثال يبطل مطالبتك بمستوى السلامة SIL ويعرض المصنع لفشل خطير غير مكتشف.

HIMA HIMatrix F60 و Triconex T3000 كلاهما يوفر آليات تعطيل على مستوى الأجهزة. ومع ذلك، فإن الإجراء المحيط بهذه الآليات هو الذي يحدد ما إذا كنت متوافقًا مع IEC 61511 أو مجرد تجاوز بدون سجل. التجاوز الأمني يعطل مؤقتًا قناة أو وظيفة محددة. التجاوز القسري يجبر المخرج على حالة محددة بغض النظر عن المنطق. كلاهما يحملان ملفات مخاطر مختلفة ويتطلبان مستويات تفويض مختلفة.

تصنيف التجاوز: ثلاث فئات يجب فصلها

IEC 61511 لا تعرف نوع تجاوز واحد فقط. يجب تصنيف كل إجراء قبل تطبيقه. الفئات الثلاث هي تعطيل الصيانة، تجاوز اختبار الإثبات، والتجاوز الطارئ:

• تعطيل الصيانة: يعطل قناة إدخال واحدة أثناء المعايرة. مصرح به من مهندس نظام السلامة SIS، الحد الأقصى لمدة 4 ساعات، ويتطلب تصريح عمل.
• تجاوز اختبار الإثبات: يعلق منطق التصويت لقناة واحدة من اثنتين أو ثلاث. مصرح به من مدير السلامة، ويجب ألا يتجاوز فترة اختبار الإثبات مقسومة على ثلاثة.
• التجاوز الطارئ: يجبر مخرج صمام ESD على الفتح أو الإغلاق أثناء بدء تشغيل غير طبيعي. مصرح به من مدير العمليات ومسؤول السلامة معًا، الحد الأقصى لمدة 15 دقيقة.

على HIMA HIMatrix F60، كل نوع تجاوز يرتبط بفئة متغير مختلفة في SILworx. تعطيل الصيانة يستخدم بت تعطيل F-DI في برنامج السلامة. تجاوز اختبار الإثبات يستخدم كتلة دالة TEST_MODE_CH مخصصة. التجاوز الطارئ يستخدم كتلة FORCE_OUT مع قفل مفتاح مادي. يوفر وحدة HIMatrix F3 DIO قنوات الإدخال/الإخراج الفيزيائية التي تتحكم بها هذه البتات.

على Triconex T3000، يوفر TriStation 1131 تعليمات BYPASS_DI وتعليمات FORCE_DO منفصلة. كلاهما يتطلب اسم مستخدم وكلمة مرور فريدة في سجل تدقيق TriStation. يقوم T3000 بتسجيل كل تغيير حالة تلقائيًا بدقة 1 مللي ثانية في سجل الأحداث التسلسلي SOE.

إجراء تعطيل الأجهزة على HIMA HIMatrix F60

• الخطوة 1: افتح مشروع SILworx متصلًا بالإنترنت. انتقل إلى مدير الإدخال/الإخراج وتأكد من أن حالة القناة جيدة قبل تطبيق أي تعطيل.
• الخطوة 2: اضبط متغير INHIBIT_CH للقناة المستهدفة على TRUE. تحقق من أن شاشة التشخيص HIMatrix تعرض حالة INHIBIT وليس FAULT.
• الخطوة 3: تأكد من أن منطق التصويت لا يزال يعمل بشكل صحيح على القنوات المتبقية. بالنسبة لمستشعر 2oo3، يجب أن يعمل المنطق الآن في وضع 1oo2 أثناء التعطيل. تحقق من بت إخراج VOTER_STATUS على وحدة HIMatrix F3 DIO.
• الخطوة 4: سجل وقت بدء التعطيل، معرف القناة، سبب التجاوز، واسم الشخص المخول في نظام تصريح العمل. اضبط إنذارًا بحد أقصى 4 ساعات في نظام DCS أو SCADA باستخدام مؤقت TON مع الإعداد المسبق T#4H.
• الخطوة 5: نفذ مهمة الصيانة. لا تترك غرفة التحكم بدون مراقبة أثناء التعطيل.
• الخطوة 6: أعد تعيين INHIBIT_CH إلى FALSE. تحقق من عودة القناة إلى حالة GOOD. وقع على تصريح العمل مع قراءة القناة وحالة الوقت بعد الانتهاء. إذا لم تعد القناة إلى حالة GOOD بعد إعادة التعيين، لا تزل التعطيل — تحقق من الأسلاك الميدانية قبل استعادة التصويت الطبيعي.

التجاوز القسري المادي على Triconex T3000: تكوين FORCE_DO

توفر بنية Triconex T3000 TMR تصويتًا بثلاث قنوات على كل مخرج. تعليمات FORCE_DO تتجاوز هذا التصويت وتتحكم في المرحل الفيزيائي بغض النظر عن حالة المنطق. قم بتكوين FORCE_DO في TriStation كما يلي:

أولاً، تتطلب كتلة الدالة إدخال FORCE_ENABLE يتم تشغيله بواسطة مفتاح مادي مخصص. قم بتوصيل مفتاح المفتاح إلى مدخل رقمي احتياطي على هيكل TRICON، وليس إلى متغير برمجي — هذا يمنع التجاوز غير المصرح به عبر البرمجيات فقط. ثانيًا، وصل FORCE_DO.OUTPUT إلى متغير خرج ملف صمام ESD. اضبط FORCE_DO.FORCE_VALUE على الحالة الآمنة المطلوبة (TRUE للصمامات المفتوحة عادة، FALSE للصمامات المغلقة عادة). ثالثًا، أضف مؤقت TON مع إعداد مسبق T#15M إلى إدخال FORCE_ENABLE. ينتهي التجاوز تلقائيًا بعد 15 دقيقة دون الحاجة إلى إجراء من المشغل — مما يفي بمتطلب انتهاء المهلة التلقائي في البند 11.9.4 من IEC 61511.

يسجل T3000 SOE كل تفعيل لـ FORCE_DO مع اسم المستخدم، والطابع الزمني، وحالة القناة قبل وبعد. صدّر هذه السجلات إلى نظام إدارة الصيانة CMMS خلال 24 ساعة من أي حدث تجاوز.

حساب تأثير PFDavg أثناء التجاوزات الممتدة

كل ساعة تبقى فيها القناة معطلة تزيد من احتمال الفشل عند الطلب لذلك الحلقة. لحلقة SIL 2 مع معدل فشل خطير غير مكتشف λDU يساوي 1×10⁻⁵ في الساعة وفترة اختبار إثبات Ti تبلغ 8,760 ساعة، يكون PFDavg الأساسي 0.0438.

إذا عطلت قناة واحدة من مصوت 2oo3 لمدة 4 ساعات، يتدهور التصويت الفعلي إلى 1oo2. أعد حساب PFDavg باستخدام صيغة 1oo2: PFDavg = 3 × (λDU × Ti/2)². يرتفع PFD الفوري للمصوت المتدهور إلى حوالي 1.4×10⁻⁶ خلال تلك النافذة الزمنية التي تبلغ 4 ساعات — مما يبقى ضمن حدود SIL 2 (PFD من 10⁻³ إلى 10⁻²)، مؤكدًا أن التجاوز مقبول. إذا استمرت الصيانة لأكثر من 4 ساعات، قم بالتصعيد إلى مدير السلامة فورًا. التجاوز الذي يتجاوز النافذة المعتمدة يتطلب إدخال رسمي لإدارة التغيير (MOC) وحالة سلامة معاد حسابها قبل الاستمرار.

عملية تتبع تدقيق من خمس خطوات للامتثال لـ IEC 61511

• الخطوة 1: احتفظ بسجل التجاوزات في نظام إدارة الصيانة CMMS الخاص بك (SAP PM، Maximo، أو ما يعادلها). يجب أن يحتوي كل إدخال على وسم الحلقة، نوع التجاوز، وقت البدء، الشخص المخول، ووقت الانتهاء المتوقع.
• الخطوة 2: قم بتكوين HIMA HIMatrix SILworx لكتابة تغييرات حالة INHIBIT_CH إلى علامة خادم OPC DA. قم بتكوين سجل SOE لـ Triconex T3000 للتصدير إلى OSIsoft PI Historian مع سمات إطار أصول IEC 61511.
• الخطوة 3: اضبط إنذار SCADA لأي تجاوز يتجاوز مدته المعتمدة بأكثر من 10 دقائق. يجب أن تكون أولوية الإنذار ISA-18.2 أولوية 1 (حرجة للسلامة).
• الخطوة 4: بعد كل تجاوز، تحقق من أن قراءة القناة المستعادة ضمن ±1% من جهاز الإرسال المرجعي المجاور. سجل القيم كما وجدت وكما تركت على تصريح التجاوز.
• الخطوة 5: شهريًا، شغّل تقرير تكرار التجاوز من PI Historian. الحلقات التي بها أكثر من تجاوزين في الشهر تتطلب مراجعة السبب الجذري وخطة تصحيحية خلال 30 يومًا. قارن سجلات التجاوز في SCADA مع أوامر العمل في CMMS تلقائيًا باستخدام نص مصالحة يومي يستعلم OPC UA وCMMS REST API.

الخلاصة ونصائح العمل

إدارة التجاوز والتجاوز القسري تؤثر مباشرة على حساب PFDavg الذي يبرر مطالبتك بمستوى السلامة SIL 2. يوفر HIMA HIMatrix F60 بتات تعطيل على مستوى SILworx مع تشخيصات تلقائية. يوفر Triconex T3000 FORCE_DO مع قفل مفتاح مادي وتسجيل طابع زمني في SOE. لا تحميك أي من المنصتين إذا كان الإجراء المحيط غير رسمي أو غائب.

ابدأ بتدقيق سجل التجاوز الحالي لديك. إذا لم تستطع إنتاج قائمة كاملة بكل التجاوزات النشطة في أقل من 5 دقائق، فإن نظامك يعاني من فجوة في الامتثال. نفذ عملية تتبع التدقيق ذات الخمس خطوات الموضحة أعلاه قبل مراجعة طرف ثالث القادمة لـ IEC 61511. تكلفة وجود ملاحظة عدم امتثال هي مراجعة كاملة لحالة السلامة — وهي أكثر تكلفة بكثير من بناء السجل بشكل صحيح من البداية.

المؤلف: تشين مينغتشي مهندس أتمتة صناعية لديه أكثر من 10 سنوات خبرة في PLC وDCS وأنظمة التحكم.