• Heim
  • Nachrichten
  • Validierung des unterbrechungsfreien Umschaltens des DCS-Redundanzcontrollers und Integration der SIS-Verriegelung: ABB Symphony Plus AC800M und HIMA HIMatrix F30

Validierung des unterbrechungsfreien Umschaltens des DCS-Redundanzcontrollers und Integration der SIS-Verriegelung: ABB Symphony Plus AC800M und HIMA HIMatrix F30

DCS Redundant Controller Bumpless Transfer Validation and SIS Interlock Integration: ABB Symphony Plus AC800M and HIMA HIMatrix F30

Redundante DCS-Architektur und Umschaltanforderungen

ABB Symphony Plus verwendet den AC800M PM866 Controller in redundanter Konfiguration mit einer CEX-Bus Hot-Standby-Verbindung. Die primären und redundanten Controller synchronisieren den internen Speicher alle 20 ms über den CEX-Bus. Bei einem Umschalten muss der Backup-Controller die Steuerung ohne messbaren Ausgangssprung an den analogen Ausgängen oder digitalen Befehlszuständen übernehmen. ABB definiert einen unterbrechungsfreien Transfer als eine Ausgangsabweichung von weniger als 0,1 % des Messbereichs während des Umschalttransienten.

Die HIMA HIMatrix F30 Sicherheitscontroller arbeiten unabhängig von der ABB Symphony Plus BPCS-Ebene. Beide Systeme teilen jedoch verdrahtete Sicherheitsverriegelungen und tauschen Statusdaten über EtherNet/IP aus. Die Integrationsarchitektur erfordert, dass ein Umschalten des Symphony Plus Controllers keinen falschen EtherNet/IP-Verbindungsverlust erzeugt, der eine HIMatrix F30 Sicherheitsfunktion auslöst. Ingenieure müssen sowohl das Timing des unterbrechungsfreien Transfers als auch die Wiederherstellungszeit der EtherNet/IP-Verbindung im Rahmen der Factory Acceptance Test- und Site Acceptance Test-Protokolle validieren.

Messverfahren für das Timing des unterbrechungsfreien Transfers

Validieren Sie die Leistung des unterbrechungsfreien Transfers mit instrumentierten Messungen – verlassen Sie sich niemals nur auf die Beobachtung durch den Bediener. Der Umschaltvorgang der AC800M PM866 Redundanz dauert je nach Controller-Auslastung etwa 80–150 ms. Während dieser Zeit halten die Ausgangsmodule ihren letzten Wert.

  • Schritt 1: Schließen Sie ein Oszilloskop oder einen Hochgeschwindigkeits-Datenlogger an den 4–20 mA Ausgang eines AO890 Analogausgangsmoduls an. Stellen Sie die Abtastrate auf mindestens 1 kHz ein. Konfigurieren Sie einen Trigger am CEX-Bus Fehleranzeige-LED oder am REDUNDANCY STATUS OPC-Tag in Symphony Plus Operations.
  • Schritt 2: Stellen Sie im ABB Control Builder M den aktiven Controller-Ausgang auf einen stabilen Wert – 12,000 mA (50 % Sollwert). Starten Sie einen manuellen Umschaltvorgang über das Redundanzmanagement-Panel im Control Builder M. Zeichnen Sie den Spitzenwert der AO890 Ausgangsabweichung und die Erholungszeit am Oszilloskop auf.
  • Schritt 3: Akzeptables Ergebnis: Ausgangsabweichung unter 0,5 mA (±3 % Messbereich für 0–100 % Bereich), Erholung innerhalb von 200 ms. Wenn der Ausgang um mehr als 1,0 mA springt, enthält das Controller-Programm eine Reinitialisierungssequenz, die Ausgangswerte beim Start zurücksetzt. Identifizieren und entfernen Sie alle bedingungslosen Ausgangsschreibbefehle im ersten Scanzyklus des Programms.
  • Schritt 4: Wiederholen Sie den Test bei 80 % CPU-Auslastung. Hohe CPU-Auslastung beim Umschalten erhöht die Haltezeit des Ausgangs auf 200–300 ms bei einigen PM866 Firmware-Versionen. Dokumentieren Sie den maximal beobachteten Sprung bei der Ziel-CPU-Auslastung und vergleichen Sie ihn mit den Prozessanforderungen.

Wiederherstellung der EtherNet/IP-Verbindung während des Umschaltens

Die HIMA HIMatrix F30 kommuniziert mit ABB Symphony Plus über EtherNet/IP Klasse 1 (implizite Nachrichtenübermittlung). Die HIMatrix F30 fungiert als EtherNet/IP-Adapter; der EtherNet/IP-Scanner des Symphony Plus Control Builder M initiiert die Verbindung. Während eines Umschaltens des Symphony Plus Controllers wird die EtherNet/IP-Scanner-Sitzung beendet und auf dem Backup-Controller neu aufgebaut.

Der Standard-EtherNet/IP-Verbindungs-Timeout der HIMatrix F30 beträgt 500 ms (5× RPI bei 100 ms Standard). Überschreitet das Umschalten von Symphony Plus 500 ms, läuft die HIMatrix F30-Verbindung ab und versetzt die zugehörigen sicherheitsrelevanten Eingangsdaten in einen SICHEREN Zustand. Dies kann eine Fehlfunktion einer Sicherheitsfunktion (SIF) auslösen, die EtherNet/IP-Daten als Freigabeeingang verwendet.

Abhilfemaßnahme: Erhöhen Sie den HIMatrix F30 EtherNet/IP-Verbindungs-Timeout auf 2000 ms in der SILworx-Konfiguration (Adapter → EIP Connection → Timeout Multiplier = 20× RPI). Stellen Sie sicher, dass diese Änderung im SIL-Validierungsprotokoll dokumentiert ist – IEC 61511 Abschnitt 11.9.3 verlangt, dass alle Änderungen an sicherheitsrelevanten Softwareparametern formal bewertet werden. Reduzieren Sie die CPU-Auslastung des Symphony Plus Controllers im Dauerbetrieb auf unter 50 %, damit das Umschalten innerhalb von 300 ms abgeschlossen wird und eine 6-fache Sicherheitsreserve gegenüber dem 2000 ms Timeout besteht.

Verdrahtung der hardverdrahteten Sicherheitsverriegelung zwischen den Systemen

Die HIMatrix F30 F-DI (Fehlersichere Digitaleingang) Module verwenden einen 24 VDC Zweikanal-Eingang mit internem Pulstest bei 1 Hz. Jeder Eingangskanal ist mit einem separaten Feldgerätanschluss verbunden. Beide Kanäle müssen innerhalb von 200 ms übereinstimmen, damit der Eingang als TRUE registriert wird.

Häufiger Verdrahtungsfehler: Ingenieure verbinden beide F-DI-Kanäle mit demselben Feldanschluss anstatt mit separaten Relaiskontakten. Diese Einkanal-Konfiguration untergräbt die Zweikanal-Integrität der HIMatrix F30 und macht die SIL 2-Zertifizierung ungültig. HIMA SILworx-Diagnosen melden dies als CH1/CH2-Diskrepanzfehler nur, wenn der einzelne Fehlerpunkt ausfällt. Daher überprüfen Sie die Zweikanal-Verdrahtung mit einem Zugtest an jedem Kabelkern bei der Inbetriebnahme.

Für das ABB Symphony Plus DI820 Digitaleingangsmodul, das den hardverdrahteten Auslösezustand vom HIMatrix F30 F-DO (Fehlersicherer Digitalausgang) empfängt, konfigurieren Sie die DI820 Eingangssignalfilterzeit auf 10 ms. Dies verhindert, dass das interne Pulstest-Signal der HIMatrix F30 (1 Hz, 5 ms OFF-Puls) als falscher Auslöser im Symphony Plus Ereignisprotokoll registriert wird.

SIL 2 Nachweistest-Integration mit DCS-Wartungsmodus

  • Schritt 1: Aktivieren Sie den Symphony Plus Wartungsmodus für die betroffenen Regelkreise. Dies schaltet die BPCS PID-Regler auf manuell mit Halten des letzten Werts.
  • Schritt 2: Senden Sie einen EtherNet/IP-Testmodus-Befehl von Symphony Plus an die HIMatrix F30 (SILworx-Parameter: PROOF_TEST_MODE = 1).
  • Schritt 3: Führen Sie die Nachweistestsequenz gemäß der HIMA SILworx Proof Test Report Vorlage (Abschnitt 6.3) aus: Überprüfen Sie, dass das Auslöse-Relais innerhalb von 150 ms nach simuliertem Bedarf öffnet, prüfen Sie die korrekte Rücksetzlogik, prüfen Sie die Diskrepanz-Erkennung zwischen redundanten Sensoren. Die Reaktionszeit des HIMatrix F3 DIO Moduls muss gegen die SIL 2-Anforderungsspezifikation bestätigt werden.
  • Schritt 4: Beenden Sie den PROOF_TEST_MODE und bestätigen Sie, dass die HIMatrix F30 zur normalen Überwachung zurückkehrt.
  • Schritt 5: Deaktivieren Sie den Symphony Plus Wartungsmodus und verifizieren Sie, dass die PID-Regler ohne Ausgangssprung in den Automatikbetrieb zurückschalten. Dokumentieren Sie alle gemessenen Reaktionszeiten und vergleichen Sie diese mit den SIL 2-Anforderungen (PFDavg muss innerhalb der definierten Sicherheitsanforderungsspezifikation bleiben).

Fazit und Handlungsempfehlung

Die Integration der ABB Symphony Plus AC800M redundanten Controller mit HIMA HIMatrix F30 Sicherheitssystemen erfordert eine Validierung auf drei Ebenen: Leistung des unterbrechungsfreien Transfers, Timing der EtherNet/IP-Verbindungswiederherstellung und Integrität der Zweikanal-Sicherheitseingangsverdrahtung. Messen Sie den unterbrechungsfreien Transfer mit einem 1 kHz Datenlogger – eine Sichtprüfung reicht nicht aus. Stellen Sie den EtherNet/IP-Verbindungs-Timeout der HIMatrix F30 auf 2000 ms ein, um Umschaltungen unter Last zu überstehen. Überprüfen Sie die Zweikanal-F-DI-Verdrahtung physisch – Diskrepanzfehler bleiben verborgen, bis ein Einkanal-Ausfall im Betrieb auftritt.

Koordinieren Sie Nachweistestverfahren mit dem Symphony Plus Wartungsmodus, um die Prozesssteuerung während der IEC 61511 Sicherheitsfunktionsprüfung aufrechtzuerhalten. Dokumentieren Sie jede Parameteränderung im SIL-Validierungsprotokoll. Eine nicht dokumentierte und bewertete Timeout-Einstellung von 2000 ms stellt eine Compliance-Lücke dar, die Auditoren entdecken – und die die SIL 2-Zertifizierung für den gesamten Sicherheitskreis ungültig machen kann.

Autor: Jiang Bolun ist ein Ingenieur für industrielle Automatisierung mit über 10 Jahren Erfahrung in PLC-, DCS- und Steuerungssystemen.

Zurück zum Blog
Zeige alles
Blogbeiträge
Zeige alles
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Chargenfolgensteuerung mit DCS-Sequenzfunktionstabellen: Emerson DeltaV SFC-Konfiguration und Woodward EasyGen 3200 Synchronisationsverriegelung

Die Stapelprozesssteuerung mit formalen IEC 61131-3 Sequential Function Chart-Strukturen in Emerson DeltaV verhindert Deadlocks in Zustandsautomaten und vereinfacht die Einhaltung der ISA-88-Auditvorgaben. Dieser Leitfaden behandelt die Designprinzipien der DeltaV Phase Logic SFC, die Modbus-TCP-Registerzuordnung des Woodward EasyGen 3200 für die Generator-Synchronisationsverriegelung, das Design von Hold- und Abort-Pfaden sowie die Diagnose der vier häufigsten SFC-Stapel-Ausfallmuster.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Segmentgestaltung und Inbetriebnahme

Foundation Fieldbus H1 führt Steuerfunktionsblöcke innerhalb von Feldgeräten aus und gewährleistet die Steuerung auch bei Ausfall der Host-Kommunikation – ein entscheidender Vorteil für SIL-2- und SIL-3-Schleifen. Dieser Leitfaden behandelt die Berechnung des FF H1-Leistungsbudgets, die Analyse des Spannungsabfalls, den Soft-Start-Anlaufstromschutz, das 5-Schritte-Inbetriebnahmeverfahren, die Planung der Funktionsblöcke sowie die systematische Fehlerdiagnose bei Segmentausfällen, intermittierendem Geräteausfall und Fehlern im Abschlusswiderstand.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

PROFINET IO Kommunikationsfehlerdiagnose: ABB AC500 CM575-PNIO und Phoenix Contact AXL F DI16 Feldfehlerbehebung

PROFINET IO-Kommunikationsfehler zwischen ABB AC500 CM575-PNIO und Phoenix Contact Axioline F verteilten I/O-Systemen sind eine häufige Ursache für ungeplante Ausfallzeiten. Dieser Leitfaden behandelt die Überprüfung der physikalischen Schichtkabel, die Verifikation der GSDML-Version, die Behebung von Gerätenamen-Konflikten, die Anpassung des AR-Watchdogs sowie ein sechsstufiges Fehlerisolationsverfahren unter Verwendung der DIAG_STATUS-Registerbitzuordnung und der Kanal-Diagnosealarme.
Liste empfohlener Produkte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul

Emerson
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal

Emerson
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul

GE