Процедура за тест на инструменталната верига за SIL-сертифицирани системи за безопасност

Защо тестовете на SIL цикъл се различават от стандартните проверки при въвеждане в експлоатация

Стандартният тест на цикъл потвърждава непрекъснатостта на сигнала и точността на скалирането. Тестът на SIL цикъл прави всичко това, плюс проверява дали защитната функция се активира при правилната стойност на процесната променлива, деактивира се правилно след нулиране и не оставя скрити неизправности. IEC 61511 Клауза 16.2 изисква документирани записи за състоянието „както е намерено“ и „както е оставено“ за всеки SIL-оценен цикъл при всеки интервал на доказателен тест. Непредставянето на данни „както е намерено“ преди корекция прави доказателния тест невалиден за целите на съответствието.

За системи Allen-Bradley ControlLogix 1756-L85E отворете Studio 5000 и намерете Safety Task. Потвърдете, че логическият таг на защитната функция съвпада със SRS. За системи Triconex T3000 отворете TriStation 1131 и проверете логическата мрежа, реализираща защитната функция. И двете системи изискват поддръжка с обходен режим преди всяка физическа намеса. Потвърдете интервала на доказателния тест — SIL 2 цикли обикновено изискват 2-годишни интервали на доказателен тест, базирани на изчисления на PFDavg. Никога не удължавайте интервала без документирано отклонение, одобрено от инженера по функционална безопасност.

Процедура за обходен режим и инхибиране при поддръжка

• Стъпка 1: В Allen-Bradley ControlLogix задайте съответния бит за обходен режим на безопасността чрез механизма Safety Bypass Request в Studio 5000. Не използвайте принудително задаване (force). Принудителните действия в задачата за безопасност заобикалят логиката за откриване на доказателния тест на CPU за безопасност. Битът за обходен режим задейства аларма Safety Bypass Active в хисториана.
• Стъпка 2: В Triconex T3000 отворете TriStation 1131 и активирайте Maintenance Mode за канала, който се тества. Maintenance Mode задава изхода на канала в предварително конфигурирано безопасно състояние. LED индикаторът на предния панел на Tricon CX за засегнатия модул сменя цвета си от зелен на кехлибарен. Запишете началния час в системата за разрешение за работа.
• Стъпка 3: Проверете, че логиката за гласуване не активира фалшиво спиране. За функция с гласуване 2 от 3 (2oo3) един канал в поддръжка е приемлив. За функция 1 от 1 (1oo1) трябва да се потвърди, че активирането на крайния елемент е инхибирано на нивото на задвижващия механизъм на клапана преди да продължите.
• Стъпка 4: Потвърдете обходния режим с операторa в контролната зала. Операторът трябва да потвърди обходния режим на SCADA панела и да въведе своя потребителски идентификатор. Това създава одиторска следа, изисквана от IEC 61511 Клауза 11.9.

Студен тест на цикъл: инжектиране на сигнал и проверка на скалирането

Студеното тестване на цикъл използва процесен калибратор за инжектиране на сигнали без жив процесен флуид. За цикъл с 4–20 mA предавател на налягане инжектирайте 4.000 mA, 12.000 mA и 20.000 mA на терминалната глава на предавателя. Запишете суровия брой на DCS при всяка точка.

За аналогови входни модули Allen-Bradley ControlLogix 1756-IF16 очакваният диапазон на суровия брой е 0–32767. При 4 mA очакваният брой е 0 ±20 броя (0.06% от обхвата). При 20 mA очакваният брой е 32767 ±20 броя. Офсет над 50 броя изисква повторна калибрация на модула с помощта на RSLogix 5000 Analog Input Calibration Wizard.

За Triconex T3000 TRICON AI модули резолюцията на аналоговия вход е 16-битова. При 4 mA AI каналът отчита 0x0000. При 20 mA каналът отчита 0x7FFF. Отклонение над 0x0050 (80 броя) при която и да е тестова точка изисква смяна на AI модула — T3000 не поддържа полева повторна калибрация на усилването на AI канала.

• Стъпка 1: Свържете процесния калибратор паралелно с окабеляването на предавателя в разклонителната кутия. Задайте режим на източника на 4.000 mA. Изчакайте 5 секунди за обновяване на DCS. Запишете стойността на дисплея на DCS и суровия брой.
• Стъпка 2: Увеличете до 12.000 mA (50% от обхвата). Проверете дали дисплеят на DCS отчита 50% ±0.5% от диапазона на инженерната единица. Запишете стойностите „както са намерени“.
• Стъпка 3: Увеличете до 20.000 mA (100% от обхвата). Проверете дали DCS отчита стойност на пълен обхват ±0.5%. Запишете стойностите „както са намерени“.
• Стъпка 4: Инжектирайте 3.600 mA. Проверете дали DCS повдига аларма „Low Wire Break“ в рамките на 3 секунди. В Allen-Bradley ControlLogix прагът за прекъсване на жицата за 4–20 mA AI е конфигурируем на 3.6 mA в свойствата на модула в Studio 5000.
• Стъпка 5: Инжектирайте 21.000 mA. Проверете дали DCS повдига аларма „High Over-Range“ в рамките на 3 секунди. Прагът за над обхват на ControlLogix 1756-IF16 е 21.0 mA. Прагът за над обхват на Triconex AI модула по подразбиране е 20.5 mA.
• Стъпка 6: Запишете всички данни „както са намерени“ в листа за запис на теста на цикъла. Ако всички стойности са в рамките на критериите за приемане, документирайте като „Както е намерено = Както е оставено“. Ако някоя стойност се отклонява, извършете корекция и повторете теста. Документирайте както стойностите „както са намерени“, така и „както са оставени“ с подпис на инженера.

Горещ тест на цикъл: проверка на активирането на защитната функция

Горещото тестване на цикъл потвърждава, че защитната функция се активира при правилната зададена стойност на процесната променлива. Този тест упражнява целия SIS цикъл от сензора през логическия решаващ елемент до крайния елемент. Горещите тестове изискват живи процесни условия или симулирани процесни условия с използване на сертифициран източник на налягане.

Първо, потвърдете, че крайният елемент (обикновено ESD клапан) е в безопасно състояние преди започване. Използвайте индикатора за позиция на задвижващия механизъм за потвърждение. Не продължавайте, ако обратната връзка за позицията на клапана се различава от командния сигнал с повече от 5% от хода.

Второ, бавно увеличавайте инжектирания сигнал към зададената точка на сработване на защитната функция. За сработване при високо-високо налягане, зададено на 95 barg, инжектирайте еквивалентния mA сигнал стъпка по стъпка: 18 mA (90%), 18.8 mA (94%), 19.0 mA (95%). Запишете точния mA, при който Triconex T3000 или Allen-Bradley ControlLogix активира защитната функция. Точката на активиране трябва да е в рамките на ±1% от зададената стойност в SRS.

Трето, проверете последователността на нулиране. След активиране намалете сигнала под прага за нулиране. Потвърдете, че защитната функция не се нулира автоматично без изрично действие за нулиране от оператора. Архитектурата с фиксирано нулиране е задължителна за SIL 2 функции според IEC 61511 Клауза 11.6.4. Самонулиращ се SIL 2 цикъл не преминава доказателния тест независимо от точността на зададената стойност.

Накрая, проверете времето за реакция. Времето за реакция на SIS цикъла от промяна на входа на сензора до пълното движение на крайния елемент не трябва да надвишава зададеното в SRS Време за безопасност на процеса (PST). Използвайте хронометър или SOE рекордер на DCS с резолюция 1 ms. Времето за реакция на Triconex TMR цифров изходен модул от 30 ms плюс времето за сканиране на задачата за безопасност на Allen-Bradley ControlLogix от 10 ms оставя 1960 ms бюджет за движение на клапана при приложение с PST 2 секунди.

Изисквания за документация и одит според IEC 61511

Всеки доказателен тест на SIL генерира три задължителни документа: Запис на теста на цикъла (LTR), Сертификат за доказателен тест (PTC) и актуализирана Оценка на функционалната безопасност (FSA). LTR улавя стойностите „както са намерени“ и „както са оставени“, серийните номера на тестовото оборудване с калибрационни сертификати, името на тестера и подписа на свидетел. PTC потвърждава, че защитната функция е изпълнила всички критерии за приемане или документира несъответствия с планове за коригиращи действия. Актуализацията на FSA преизчислява PFDavg, използвайки реалното покритие на доказателния тест.

Чести недостатъци при одит са: липса на записи „както са намерени“ (тестерът е коригирал преди запис), използване на тестово оборудване с изтекли калибрационни сертификати (максимален интервал 12 месеца), липса на подпис на свидетел за функции SIL 2 и по-високи, и непреизчислен PFDavg след теста. Всеки от тези случаи е сериозно несъответствие според критериите на TÜV Rheinland за одит на функционална безопасност.

Прилагайте контролен списък преди теста преди започване на всеки доказателен тест на SIL. Потвърдете: валидна калибрация на тестовото оборудване, одобрено MOC, издадено разрешение за обход, потвърдени зададени стойности в SRS, прегледан предишен LTR за известни недостатъци. Пет минути предварителна проверка предотвратяват часове за корекции след одит.

Заключение и препоръки за действие

Тестовете на SIL инструментални цикли не са формалност. Те са основният механизъм за откриване на скрити неизправности, натрупани от последния доказателен тест. Следвайте шестстепенната последователност на студения тест на цикъл за проверка на скалирането и откриването на прекъсване на жицата. Използвайте горещия тест на цикъл, за да потвърдите активирането на защитната функция при зададената стойност в SRS с толеранс ±1%. Проверете поведението на фиксираното нулиране и времето за реакция спрямо бюджета за Време за безопасност на процеса.

В Allen-Bradley ControlLogix използвайте битове за обходен режим на безопасността, никога не използвайте принудително задаване. В Triconex T3000 използвайте Maintenance Mode с времево маркирано разрешение за работа. Записвайте данните „както са намерени“ преди всяка корекция. Издавайте сертификати за доказателен тест с подпис на инженер и документация, съвместима с TÜV. Преизчислявайте PFDavg след всеки цикъл на доказателен тест. Систематичното, документирано тестване на SIL цикли е инженерната основа, която пази както хората, така и процесните активи в безопасност.

Автор: Ванг Джиаминг е инженер по индустриална автоматизация с над 10 години опит в PLC, DCS и системи за управление.