• Heim
  • Nachrichten
  • Emerson DeltaV SIS Hot-Standby-Umschaltung und Optimierung der Scan-Zeit

Emerson DeltaV SIS Hot-Standby-Umschaltung und Optimierung der Scan-Zeit

Emerson DeltaV SIS Hot Standby Switchover and Scan Time Optimization

Warum Hot Standby in SIS-Architekturen wichtig ist

Ein sicherheitsgerichtetes System muss innerhalb seiner definierten Prozess-Sicherheitszeit (PST) reagieren. Der Emerson DeltaV SIS SLS 1508 Logik-Controller verwendet eine 1oo2D-Hardwarearchitektur, die einen primären Prozessor mit einem Hot-Standby-Prozessor koppelt. Beide Prozessoren führen kontinuierlich identische Logik aus. Der Umschaltvorgang erfolgt in unter 100 ms und erfüllt damit die Verfügbarkeitsanforderungen gemäß IEC 61511 Abschnitt 11.9 für SIL 2 Schleifen.

Eine schlechte Konfiguration führt jedoch zu störenden Umschaltungen, die die Steuerung unterbrechen und Fehlalarme auslösen. Die Ursache ist meist ein falsch konfigurierter Watchdog-Timer oder eine zu lange Scanzeit. Nicht abgestimmte Heartbeat-Intervalle zwischen einem Honeywell Safety Manager SC und einem DeltaV SIS im selben ESD-Schrank können innerhalb weniger Wochen nach Inbetriebnahme zu falschen Diagnose-Fehlermeldungen führen.

SLS 1508 Dual-Prozessor-Synchronisationsarchitektur

Der SLS 1508 enthält zwei CPUs: CPU-A (primär) und CPU-B (Standby). Sie teilen sich einen Synchronisationsbus mit 100 Mbps. In jedem Scanzyklus schreibt CPU-A seine I/O-Tabelle an CPU-B. CPU-B vergleicht die eingehenden Daten mit seinem eigenen Scan-Ergebnis. Ein Zähler für Abweichungen wird bei jeder Abweichung erhöht. Der Watchdog löst einen Umschaltvorgang aus, wenn der Zähler den konfigurierbaren Schwellenwert überschreitet.

Wichtige Parameter, die bei der Inbetriebnahme zu überprüfen sind:

  • Watchdog-Timeout: Standard 500 ms, mindestens 200 ms für SIL 2 PST < 2 s
  • Synchronisations-Abweichungsschwelle: Standard 3 aufeinanderfolgende Abweichungen vor Umschaltung
  • CPU-B Scan-Versatz: darf CPU-A um nicht mehr als 10 ms verzögern
  • Speicher-Checksum-Intervall: alle 60 s zur Überprüfung der Anwendungsintegrität

Diese Parameter finden Sie im DeltaV Explorer unter SLS Controller Eigenschaften. Stellen Sie den Watchdog auf 400 ms ein, wenn die PST 1,5 s beträgt. Dies bietet eine Marge von 1,1 s nach Fehlererkennung, bevor das finale Element reagieren muss.

Scanzeit-Budget und IEC 61511-Konformität

IEC 61511 Abschnitt 11.7.5 verlangt, dass die Scanzeit des Logik-Controllers höchstens ein Zehntel der PST beträgt. Bei einer PST von 2 s ist die maximale Scanzeit 200 ms. Das DeltaV SIS läuft typischerweise mit 100 ms für SIL 2 und 250 ms für SIL 1. Überprüfen Sie die tatsächliche Scanzeit in DeltaV Diagnostics unter Controller Performance.

  • Schritt 1: Öffnen Sie DeltaV Explorer. Navigieren Sie zu SLS Controller → Module Properties → Scan Statistics.
  • Schritt 2: Erfassen Sie die maximale Scanzeit über einen Zeitraum von 24 Stunden. Berücksichtigen Sie Spitzen während Schichtwechseln.
  • Schritt 3: Identifizieren Sie Funktionsblöcke, die einzeln mehr als 5 ms benötigen. Diese sind Kandidaten für eine Trennung.
  • Schritt 4: Verschieben Sie nicht-sicherheitsrelevante Logikblöcke (z. B. Hilfsfunktionen für Ursache-Wirkungs-Matrix-Berechnungen) stattdessen auf einen DeltaV CHARM I/O Controller.
  • Schritt 5: Überprüfen Sie die Scanzeit nach der Umverteilung erneut. Bestätigen Sie, dass sie unter 180 ms mit 10 % Marge bleibt.

Fehlerisolierung bei Umschaltungen: Fünf-Schritte-Verfahren

Störende Umschaltungen erzeugen einen DeltaV Event Chronicle Eintrag mit Schweregrad 10. Verwenden Sie das folgende Verfahren, um die Ursache zu isolieren:

  • Schritt 1: Exportieren Sie den Event Chronicle für die 30 Minuten vor der Umschaltung. Filtern Sie nach Quelle SLS Controller. Suchen Sie nach Zählererhöhungen bei Abweichungen und CPU-Temperaturalarmen.
  • Schritt 2: Prüfen Sie die 24 VDC-Versorgungsspannung an den Backplane-Klemmen P1 und P2 des SLS 1508. Der akzeptable Bereich liegt bei 21,6–26,4 VDC. Eine Spannung unter 22 VDC verursacht Fehler auf dem Synchronisationsbus.
  • Schritt 3: Überprüfen Sie das Synchronisationsbuskabel zwischen den beiden CPU-Karten. DeltaV SIS verwendet ein proprietäres Flachbandkabel. Inspizieren Sie die Pins am Kartenrandstecker auf verbogene Kontakte. Ersetzen Sie das Kabel, wenn der Widerstand zwischen Pin 1 und Pin 16 über 5 Ω liegt.
  • Schritt 4: Prüfen Sie das I/O-Abweichungsprotokoll. Ein wiederholt auftretender Eingangskanal weist auf ein fehlerhaftes Feldgerät oder eine lose Verbindung hin. Kontrollieren Sie die zugehörige DIN-Schienenklemme auf Oxidation.
  • Schritt 5: Stellen Sie sicher, dass die Firmware-Versionen beider CPUs übereinstimmen. Navigieren Sie zu SLS Controller Eigenschaften → Diagnose → Firmware-Version. Unterschiedliche Firmware-Versionen verursachen kontinuierliche, niedriggradige Abweichungen von 1–2 pro Minute.

PFDavg-Auswirkung verlängerter Scanzeiten

Eine Scanzeit, die das IEC 61511-Budget überschreitet, führt nicht sofort zu einem Ausfall. Sie erhöht jedoch den diagnostischen Abdeckungsgrad, der in der SIL-Verifikationsberechnung angesetzt wird. Emerson bewertet die SLS 1508 Diagnostikabdeckung mit 99 % (DC = 0,99) nur, wenn die Scanzeit innerhalb des spezifizierten Werts bleibt. Überschreitet die Scanzeit 200 ms bei einer SIL 2 Schleife mit einem 1-Jahres-Prüfintervall (Ti = 8.760 h) und λDU = 2×10⁻⁶/h, steigt der PFDavg von 0,0088 auf etwa 0,0115 – und überschreitet damit die SIL 2 Obergrenze von 0,01.

Die Honeywell Safety Manager SC Installationen laufen oft neben DeltaV SIS im selben ESD-Schrank. Der Safety Manager verwendet standardmäßig einen 200 ms Task-Zyklus. Stellen Sie sicher, dass beide Systeme dieselbe NTP-Zeitquelle verwenden – idealerweise eine Stratum-1 GPS-disziplinierte Uhr im OT-Netzwerk. Eine Zeitabweichung von mehr als 50 ms zwischen den beiden SIS-Systemen führt dazu, dass Ereignisprotokolle Ursache und Reaktion des finalen Elements falsch sortieren.

Fazit und Handlungsempfehlungen

Die Hot-Standby-Leistung des Emerson DeltaV SIS hängt von drei Faktoren ab: Ausrichtung des Watchdog-Timers, Einhaltung des Scanzeit-Budgets und Integrität des Synchronisationsbusses. Beginnen Sie mit einer 24-Stunden-Basislinie der Scanzeit vor der endgültigen Abnahme. Bestätigen Sie, dass Schwellenwert für Abweichungen und Firmware-Version auf beiden CPUs identisch sind. Verteilen Sie Funktionsblöcke neu, wenn die CPU-Auslastung über 80 % liegt. Überprüfen Sie die 24 VDC-Versorgung an den Backplane-Klemmen. Diese Maßnahmen schützen Ihre SIL 2 PFDavg-Berechnung und verhindern störende Umschaltungen im Betrieb. Dokumentieren Sie jede Parameteränderung mit Ist- und Soll-Zuständen gemäß IEC 61511 Abschnitt 16.3.

Autor: Chen Hao ist ein Ingenieur für industrielle Automatisierung mit über 10 Jahren Erfahrung in SPS-, DCS- und Steuerungssystemen.

Zurück zum Blog
Zeige alles
Blogbeiträge
Zeige alles
Hydraulic System Pressure Instability: Root Causes and Field Troubleshooting Guide
Liang Haocheng

Druckinstabilität im Hydrauliksystem: Ursachen und Leitfaden zur Fehlerbehebung vor Ort

Druckinstabilität im Hydrauliksystem ist eine der störendsten Fehlerarten in Prozessanlagen. Dieser Leitfaden behandelt die Hauptursachen für Druckabfälle, Druckstöße und Kavitation, mit strukturierten Diagnoseschritten für jede Fehlerart, der Überwachung mit dem Yokogawa EJA-Sender, dem Hysterese-Test des Emerson Fisher Proportionalventils und einem 5-stufigen Wartungsplan zur Vorbeugung.
Dragon Boat Festival: China's Ancient Festival of Loyalty, Tradition and Summer Rituals
PLC DCS Pro

Drachenbootfest: Chinas altes Fest der Loyalität, Tradition und Sommerrituale

Jedes Jahr am fünften Tag des fünften Mondmonats hallt der rhythmische Trommelschlag über die Flüsse Chinas. Entdecken Sie die Geschichte, Legenden und Traditionen des Drachenbootfestes – eines der ältesten und am meisten gefeierten kulturellen Feste Chinas.
Machinery Protection: Vibration Probe Installation and Loop Setup
Weijie Chen

Maschinenschutz: Installation der Vibrationssonde und Einrichtung der Schleife

Maschinenschutzsysteme müssen innerhalb von 50 Millisekunden auf mechanische Ausfälle reagieren – deutlich schneller als jede DCS- oder SPS-Plattform. Dieser Leitfaden behandelt die Installation der Bently Nevada 3300 Näherungssonde, die Einstellung der Spaltspannung auf -12 V DC-Mittelpunkt, die 4–20 mA Schleifen-Konfiguration gemäß API 670, die Abschirmung von Verlängerungskabeln sowie die systematische Fehlerdiagnose bei Sondenkontakt, Sondenverlust, Netzfrequenzstörungen und elektromagnetischem Rauschen von Frequenzumrichtern.
Liste empfohlener Produkte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul

Emerson
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal

Emerson
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul

GE