جدولة اختبار إثبات SIL 3 وإدارة PFDavg لـ HIMA HIMatrix و ICS Triplex TMR

Functional Safety, HIMA HIMatrix, ICS Triplex TMR, IEC 61511, IEC 62443, PFDavg, Proof Test, Safety Instrumented System, SIL 3, SIS
%ب %د، 2026

SIL 3 Proof Test Scheduling and PFDavg Management for HIMA HIMatrix and ICS Triplex TMR

دليل عملي لمعيار IEC 61511 لجدولة اختبارات الإثبات لمستوى SIL 3، وحساب متوسط احتمال الفشل (PFDavg) لهياكل HIMA HIMatrix F60 وICS Triplex TMR، وتطبيق ائتمان اختبار الإثبات الجزئي، والحفاظ على سجلات الامتثال عبر دورات توقف المصنع متعددة السنوات.

متطلبات SIL 3 ونطاق هدف PFDavg

يحدد الجدول 3 في IEC 61511 مستوى SIL 3 كنطاق PFDavg من 10⁻⁴ إلى 10⁻³. هذا يتطلب درجة صرامة أكبر بمقدار رتبة واحدة مقارنة بـ SIL 2. تحقيق SIL 3 يتطلب إما بنية فائقة التكرار أو فترة اختبار إثبات قصيرة جدًا. يحقق HIMA HIMatrix F60 بهيكل 1oo2D مستوى SIL 3 فقط عندما تبقى فترة اختبار الإثبات عند سنة واحدة أو أقل وتكون تغطية التشخيص أكثر من 99%.

يحقق ICS Triplex TMR مستوى SIL 3 من خلال تصويت الأجهزة 2oo3 مع تشخيص كامل عبر الإنترنت. تُقدر تغطية التشخيص في Triplex TMR بنسبة 99.7% للأعطال الداخلية. مع فترة اختبار إثبات مدتها سنتان ومعدل فشل خطير (λDU) يبلغ 1.2×10⁻⁷/ساعة لكل قناة، يُحسب PFDavg تقريبًا عند 5.3×10⁻⁴. وهذا يفي بالحد الأعلى لـ SIL 3 وهو 10⁻³.

ومع ذلك، فإن PFDavg ليس قيمة ثابتة. فهو يزداد مع مرور الوقت مع تقدم عمر النظام. راقب حساب التحقق من SIL سنويًا. استبدل المكونات المتقادمة قبل أن يدفع ارتفاع λDU PFDavg إلى ما فوق الحد الأعلى لـ SIL 3.

حساب فترة اختبار الإثبات للهياكل المختلطة

تشغل العديد من المصانع مزيجًا من HIMA HIMatrix F60 للمحفزات وICS Triplex TMR للعنصر النهائي. في هذه الحالة، احسب PFDavg لكل نظام فرعي على حدة، ثم اجمعها. يجب أن يبقى إجمالي PFDavg لنظام الوظيفة الأمنية (SIF) أقل من 10⁻³.

استخدم صيغة الملحق K في IEC 61511-1 لهندسة 1oo2D:

PFDavg (1oo2D) = (λDU × Ti)² / 3 + λDU × (1 – DC) × Ti / 2

بالنسبة لـ HIMA HIMatrix F60 مع λDU = 3×10⁻⁷/ساعة لكل قناة، وTi = 8,760 ساعة (سنة واحدة)، وDC = 0.99:

PFDavg = (3×10⁻⁷ × 8,760)² / 3 + 3×10⁻⁷ × 0.01 × 8,760 / 2 = 2.3×10⁻⁶ + 1.3×10⁻⁵ = 1.5×10⁻⁵

هذا يترك ميزانية كبيرة لـ PFDavg لنظام العنصر النهائي ICS Triplex TMR. ومع ذلك، لا تسمح أبدًا لأي نظام فرعي واحد باستهلاك أكثر من 50% من إجمالي ميزانية PFDavg لمستوى SIL 3. توفر هذه الطريقة هامشًا للتغييرات المستقبلية دون إبطال التحقق من SIL.

ائتمان اختبار الإثبات الجزئي وتأثير تغطية التشخيص

اختبار الإثبات الكامل يتحقق من جميع أوضاع الفشل الخطيرة. اختبار الإثبات الجزئي يتحقق من جزء فقط منها. يسمح البند 16.2.6 في IEC 61511 باعتماد ائتمان اختبار الإثبات الجزئي عندما يتم توثيق نسبة الاختبار الجزئي (PTF). يحدد HIMA SILworx نسبة PTF لكل إجراء اختبار. يُعتبر فحص التشخيص القياسي للقناة أثناء التشغيل بمثابة PTF = 0.3 إلى 0.5، حسب تغطية أوضاع الفشل.

بالنسبة لـ ICS Triplex TMR، يغطي الاختبار الذاتي عبر الإنترنت حوالي 85% من أوضاع الفشل الخطيرة. هذا يعني أن اختبار الإثبات السنوي يحتاج فقط إلى معالجة الـ 15% المتبقية. يقلل هذا من مدة اختبار الإثبات من 8 ساعات إلى حوالي 1.5 ساعة لكل SIF. طبق هذا الائتمان في أداة التحقق من SIL بإدخال PTF = 0.85 لمساهمة التشخيص عبر الإنترنت وPTF = 0.15 لاستكمال اختبار الإثبات اليدوي.

علاوة على ذلك، يتطلب ائتمان تغطية التشخيص وجود دليل. يسجل HIMA HIMatrix SILworx نتائج اختبار التشخيص في سجل الأحداث الداخلي. صدر هذا السجل شهريًا واحتفظ به في نظام إدارة صيانة المنشأة (CMMS). تتوفر حالة التشخيص في وحدة تحكم ICS Triplex عبر سجل Modbus TCP رقم 41001 (مفهرس بتنسيق بت، 16 فئة من الأعطال). سجل هذا السجل يوميًا عبر مؤرخ OPC DA. تُستخدم هذه البيانات المؤرشفة كدليل توثيق اختبار الإثبات وفقًا للبند 16.2.5 من IEC 61511 أثناء عمليات التدقيق.

توثيق سجل اختبار الإثبات بخمس خطوات

يتطلب البند 16.3 من IEC 61511 أن تتضمن سجلات اختبار الإثبات حقول بيانات محددة. يؤدي فقدان أي حقل إلى إبطال ائتمان الاختبار. اتبع إجراء التوثيق هذا لكل اختبار إثبات SIF بمستوى SIL 3:

الخطوة 1: سجل الحالة كما وجدت قبل أي تدخل في الاختبار. لكل قناة من HIMA HIMatrix F60، لاحظ حالة LED (أخضر/كهرماني/أحمر) وملخص التشخيص في SILworx. لكل مخرج من ICS Triplex TMR، لاحظ حالة المرحل وقيمة سجل Modbus 41001.
الخطوة 2: نفذ تسلسل الاختبار وفقًا لإجراء اختبار الإثبات المعتمد. سجل وقت كل خطوة باستخدام ساعة متزامنة. استخدم مرجع NTP الخاص بالمصنع (stratum 1) لجميع الطوابع الزمنية. لا تستخدم وقت الكمبيوتر المحلي — حيث يتجاوز انحراف الساعة الدقة المطلوبة البالغة 1 ثانية للتحقق من زمن استجابة SIF.
الخطوة 3: سجل زمن الاستجابة المقاس من حقن إشارة الإدخال إلى تفعيل العنصر النهائي. قارن ذلك مع متطلبات زمن استجابة SIF في مواصفات متطلبات السلامة (SRS). التسامح المقبول هو ±10% من زمن الاستجابة المطلوب.
الخطوة 4: سجل الحالة كما تركت بعد إكمال الاختبار. أكد استعادة كل من أنظمة HIMA وICS Triplex إلى وضع التشغيل الطبيعي. تحقق من أن SILworx لا يظهر أعطال تشخيصية معلقة. أكد أن سجل Modbus 41001 في Triplex TMR يقرأ 0x0000 (لا توجد أعطال نشطة).
الخطوة 5: حدّث حساب التحقق من SIL بتاريخ اختبار الإثبات الجديد. أعد حساب PFDavg لفترة اختبار الإثبات التالية. إذا اقترب PFDavg إلى 20% من الحد الأعلى لـ SIL 3، علم SIF لإعادة الاختبار المبكر أو مراجعة البنية. أرشِف سجل الاختبار المكتمل في CMMS مع توقيع إلكتروني وفقًا لمتطلبات سلامة السجلات في IEC 62443-2-1.

الخلاصة ونصائح العمل

يعتمد الامتثال لمستوى SIL 3 لأنظمة HIMA HIMatrix وICS Triplex TMR على جدولة صارمة لاختبارات الإثبات وتتبع دقيق لـ PFDavg. احسب PFDavg لكل نظام فرعي على حدة. حافظ على مساهمات الأنظمة الفرعية الفردية أقل من 50% من إجمالي ميزانية SIL 3. طبق ائتمان اختبار الإثبات الجزئي فقط عندما يتم أرشفة دليل تغطية التشخيص في CMMS. وثق كل حالة كما وجدت وكما تركت مع طوابع زمنية متزامنة عبر NTP. حدّث التحقق من SIL سنويًا. علّم أي SIF يقترب PFDavg فيه من 80% من الحد الأعلى لـ SIL 3. تحمي هذه الممارسات سلامة SIL 3 طوال دورة حياة المصنع بأكملها.

المؤلف: تشن هاو مهندس أتمتة صناعية يتمتع بخبرة تزيد عن 10 سنوات في أنظمة PLC وDCS وأنظمة التحكم.