• Heim
  • Nachrichten
  • IEC 61511 Vorbereitung auf die funktionale Sicherheitsprüfung: Erstellung eines belastbaren Nachweispakets für Invensys Triconex sicherheitsgerichtete Systeme

IEC 61511 Vorbereitung auf die funktionale Sicherheitsprüfung: Erstellung eines belastbaren Nachweispakets für Invensys Triconex sicherheitsgerichtete Systeme

IEC 61511 Functional Safety Audit Preparation: Building a Defensible Evidence Package for Invensys Triconex Safety Instrumented Systems

Worauf Auditoren Tatsächlich Achten

Ein funktionaler Sicherheits-Audit gemäß IEC 61511 ist keine Dokumentenprüfung – es ist eine Lückenanalyse zwischen Ihrer Sicherheitsanforderungsspezifikation (SRS) und dem tatsächlich errichteten und gewarteten System. Auditoren prüfen zunächst drei Dinge: die Vollständigkeit des Sicherheitsnachweises, die Integrität der Nachweisprüfprotokolle und die Gültigkeit der SIL-Aussage. Für eine Invensys Triconex T3000 oder Tricon CX-Installation muss das Nachweispaket belegen, dass das SIS gemäß der SRS entworfen, installiert und gewartet wurde. Lücken in einem dieser Bereiche können den effektiven SIL von SIL 2 auf SIL 1 herabstufen – oder in schweren Fällen den Sicherheitsnachweis vollständig ungültig machen.

Erstens: Stellen Sie das vollständige SRS-Dokument zusammen, einschließlich aller Beschreibungen der sicherheitsinstrumentierten Funktionen (SIF), SIL-Ziele und Prozessanforderungsraten. Zweitens: Bestätigen Sie, dass alle TriStation 1131-Projektkonfigurationen mit der SRS übereinstimmen – Architektur, Abstimmungslogik, Bypass-Logik und Diagnoseabdeckung. Drittens: Verifizieren Sie, dass die Nachweisprüfprotokolle unterschrieben, datiert sind und die gemessenen Ist-Reaktionszeiten enthalten – nicht nur Pass/Fail-Kontrollkästchen.

Neuberechnung von PFDavg und SIL-Verifikation

Die Wahrscheinlichkeit eines Ausfalls bei Anforderung (Durchschnitt) – PFDavg – quantifiziert die Zuverlässigkeit des SIS über das Nachweisprüfintervall. SIL 2 erfordert einen PFDavg zwischen 1×10⁻³ und 1×10⁻². Die Triconex T3000 TMR-Architektur mit 2oo3-Abstimmungslogik erreicht aufgrund ihrer hohen Diagnoseabdeckung (DC ≥ 99 %) und inhärenten Redundanz niedrige PFDavg-Werte. Die veröffentlichten PFDavg-Werte aus Triconex FMEDA-Berichten basieren jedoch auf spezifischen Nachweisprüfintervallen und Betriebsbedingungen.

Berechnen Sie PFDavg für jede SIF mit der vereinfachten Formel für ein 1oo1-Subsystem neu: PFDavg = λDU × Ti / 2, wobei λDU die gefährliche, nicht erkannte Ausfallrate und Ti das Nachweisprüfintervall in Stunden ist. Für ein Triconex T3000 mit λDU = 2,3×10⁻⁷ pro Stunde (laut Triconex FMEDA Rev 4) und Ti = 8760 Stunden (jährlicher Test): PFDavg = 2,3×10⁻⁷ × 8760 / 2 = 1,0×10⁻³. Dies liegt genau an der unteren Grenze von SIL 2 – ohne Spielraum. Wird Ti auf 4380 Stunden (halbjährlicher Test) reduziert, sinkt PFDavg auf 5,0×10⁻⁴, womit die SIF komfortabel im SIL 2-Bereich liegt.

Das finale Element (ESD-Ventil oder Abschaltvorrichtung) dominiert oft den SIF-PFDavg, nicht der Triconex-Logiksolver. Ein typisches Magnetventil mit λDU = 5×10⁻⁷ pro Stunde und Ti = 8760 Stunden trägt PFDavg = 2,2×10⁻³ bei – allein ausreichend, um das SIL 2-Budget aufzubrauchen. Teilweises Hubtesten (PST) in 3-Monats-Intervallen reduziert diesen Beitrag auf 5,5×10⁻⁴ und schafft einen bedeutenden PFDavg-Spielraum.

Behebung von Lücken in Nachweisprüfprotokollen

Der häufigste Auditbefund bei Triconex-Installationen sind unvollständige Nachweisprüfprotokolle. IEC 61511 Klausel 16.2.5 verlangt, dass Nachweisprüfprotokolle folgendes enthalten: Testdatum, Identität des Technikers, Testmethode, Ist-Zustand, Testergebnis und Soll-Zustand. Protokolle, die nur eine Unterschrift und eine „PASS“-Kennzeichnung enthalten, sind nicht konform.

  • Schritt 1: Prüfen Sie jedes SIF-Nachweisprüfprotokoll aus dem letzten Nachweisprüfintervall. Erstellen Sie eine Lückenmatrix: SIF-Nummer, Testdatum, fehlende Felder, verantwortlicher Techniker.
  • Schritt 2: Für Protokolle ohne Ist-Reaktionszeit kontaktieren Sie den ursprünglichen Techniker und fordern eine eidesstattliche Erklärung des gemessenen Werts aus dem Gedächtnis an – falls dieser Wert anderweitig dokumentiert ist (Feldnotizbuch, Kalibriersystem). Fügen Sie die Erklärung dem Originalprotokoll bei.
  • Schritt 3: Für Protokolle ohne jegliche Ist-Daten dokumentieren Sie die Lücke formell als Nichtkonformität im Sicherheitsmanagementsystem. Weisen Sie eine Korrekturmaßnahme zu, um beim nächsten verfügbaren Wartungsfenster eine außerplanmäßige Nachweisprüfung durchzuführen und eine neue Ist-Basislinie zu erstellen.
  • Schritt 4: Implementieren Sie eine strukturierte Nachweisprüfvorlage im CMMS (SAP PM oder ähnlich). Die Vorlage muss Pflichtfelder erzwingen – Reaktionszeit in Millisekunden, Bestätigung der Endstellbewegung und Triconex TriStation-Diagnosesnapshot vor und nach dem Test. Sperren Sie das Protokoll so, dass „PASS“ nicht ohne numerische Reaktionszeit eingetragen werden kann.

Dokumentationsanforderungen für Bypass-Management

Bypass-Management ist eine kritische Anforderung gemäß IEC 61511 Klausel 11.9.4. Jedes Mal, wenn eine Triconex T3000-SIF umgangen wird, steigt das Restrisiko – die Sicherheitsfunktion ist nicht verfügbar. Das Bypass-Register muss folgende Angaben enthalten: Grund für den Bypass, Genehmigungsinstanz, Startzeit, geplantes Enddatum und während des Bypass-Zeitraums umgesetzte Ausgleichsmaßnahmen.

In TriStation 1131 werden Bypass-Bedingungen über INHIBIT- oder BYPASS-Variablen im Steuerprogramm umgesetzt. Jede INHIBIT-Variable muss einem physischen Schlüsselschalter oder einem SCADA-Autorisierungstag zugeordnet sein. Konfigurieren Sie das TriStation-Programm so, dass bei jeder Zustandsänderung einer INHIBIT-Variable ein Bypass-Ereignis im SOE (Sequence of Events)-Protokoll geschrieben wird. Der SOE-Zeitstempel liefert die für IEC 61511 erforderliche Audit-Trail.

Die SRS muss die maximal zulässige Bypass-Dauer für jede SIF basierend auf der Prozessanforderungsrate definieren. Für eine SIF, die gegen eine Gefahr mit einer Prozessanforderungsrate von 0,1 pro Jahr schützt, beträgt die maximale Bypass-Dauer ohne Ausgleichsmaßnahmen typischerweise 72 Stunden. Auditoren gleichen das Bypass-Protokoll im CMMS mit dem SOE-Protokoll ab – Abweichungen zwischen beiden weisen darauf hin, dass der Bypass-Kontrollprozess nicht wie vorgesehen funktioniert und stellen einen systematischen Fähigkeitsausfall gemäß IEC 61511 Klausel 5 dar.

Checkliste zur Vor-Audit-Konfigurationsprüfung

  • Exportieren Sie den TriStation 1131-Projektkonfigurationsbericht und vergleichen Sie alle SIF-Auslöseschwellen mit der SRS. Jede Abweichung erfordert einen Management-of-Change-(MOC)-Eintrag, der vor der Änderung datiert ist.
  • Verifizieren Sie, dass die Triconex T3000-Firmwareversion mit der in der Sicherheitsnachweisführung qualifizierten Version übereinstimmt. Firmware-Updates bei Triconex erfordern eine Revalidierung gemäß IEC 61511 Klausel 11.8.5, wenn die Aktualisierung sicherheitsrelevante Funktionen betrifft.
  • Bestätigen Sie, dass alle Diagnoseprüfintervalle innerhalb der in der SRS angegebenen Werte liegen. Der Selbsttestzyklus des T3000-Moduls ist standardmäßig 1 Stunde – prüfen Sie, ob dieser nicht auf ein längeres Intervall geändert wurde, um die Häufigkeit von SCADA DIAG_FAIL-Alarmen zu reduzieren.
  • Stellen Sie sicher, dass Datum und Uhrzeit des Triconex T3000 mit dem NTP-Server der Anlage synchronisiert sind. Nicht synchronisierte SOE-Zeitstempel sind eine häufige Audit-Nichtkonformität, die die Reihenfolge aller historischen Sicherheitsereignisse infrage stellt.
  • Überprüfen Sie das Änderungsprotokoll in TriStation auf Konfigurationsänderungen ohne zugehörigen MOC-Eintrag. Unautorisierte Änderungen sind eine schwerwiegende Nichtkonformität gemäß IEC 61511 Klausel 5.2.4 (funktionales Sicherheitsmanagement).

Fazit und Handlungsempfehlungen

Die Vorbereitung einer Invensys Triconex-Installation auf einen IEC 61511-Funktional-Sicherheitsaudit erfordert systematische Zusammenstellung von Nachweisen, nicht das Erstellen von Dokumenten in letzter Minute. Berechnen Sie PFDavg für jede SIF mit tatsächlichen Nachweisprüfintervallen und den installierten FMEDA-Daten neu – verlassen Sie sich nicht ohne Verifikation auf veröffentlichte SIL-Tabellen. Prüfen Sie Nachweisprüfprotokolle auf fehlende Ist-Reaktionszeiten und beheben Sie Lücken formell. Verifizieren Sie Bypass-Management-Protokolle sowohl im CMMS als auch im Triconex SOE-Protokoll – Abweichungen weisen auf systemische Prozessfehler hin.

Führen Sie die Konfigurationsprüfliste 30 Tage vor dem Audit durch, um Zeit für MOC-Dokumentation bei entdeckten Abweichungen zu haben. Beziehen Sie einen kompetenten Functional Safety Engineer ein, der das Nachweispaket vor dem Eintreffen des Auditors überprüft. Eine SIL-2-Lücke während des Audits zu entdecken, ist zeitlich, finanziell und hinsichtlich des Prozessrisikos weitaus kostspieliger als eine Entdeckung während der internen Prüfung.

Autor: Fang Haoran ist ein Ingenieur für industrielle Automatisierung mit über 10 Jahren Erfahrung in SPS-, DCS- und Steuerungssystemen.

Zurück zum Blog
Zeige alles
Blogbeiträge
Zeige alles
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Chargenfolgensteuerung mit DCS-Sequenzfunktionstabellen: Emerson DeltaV SFC-Konfiguration und Woodward EasyGen 3200 Synchronisationsverriegelung

Die Stapelprozesssteuerung mit formalen IEC 61131-3 Sequential Function Chart-Strukturen in Emerson DeltaV verhindert Deadlocks in Zustandsautomaten und vereinfacht die Einhaltung der ISA-88-Auditvorgaben. Dieser Leitfaden behandelt die Designprinzipien der DeltaV Phase Logic SFC, die Modbus-TCP-Registerzuordnung des Woodward EasyGen 3200 für die Generator-Synchronisationsverriegelung, das Design von Hold- und Abort-Pfaden sowie die Diagnose der vier häufigsten SFC-Stapel-Ausfallmuster.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Segmentgestaltung und Inbetriebnahme

Foundation Fieldbus H1 führt Steuerfunktionsblöcke innerhalb von Feldgeräten aus und gewährleistet die Steuerung auch bei Ausfall der Host-Kommunikation – ein entscheidender Vorteil für SIL-2- und SIL-3-Schleifen. Dieser Leitfaden behandelt die Berechnung des FF H1-Leistungsbudgets, die Analyse des Spannungsabfalls, den Soft-Start-Anlaufstromschutz, das 5-Schritte-Inbetriebnahmeverfahren, die Planung der Funktionsblöcke sowie die systematische Fehlerdiagnose bei Segmentausfällen, intermittierendem Geräteausfall und Fehlern im Abschlusswiderstand.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

PROFINET IO Kommunikationsfehlerdiagnose: ABB AC500 CM575-PNIO und Phoenix Contact AXL F DI16 Feldfehlerbehebung

PROFINET IO-Kommunikationsfehler zwischen ABB AC500 CM575-PNIO und Phoenix Contact Axioline F verteilten I/O-Systemen sind eine häufige Ursache für ungeplante Ausfallzeiten. Dieser Leitfaden behandelt die Überprüfung der physikalischen Schichtkabel, die Verifikation der GSDML-Version, die Behebung von Gerätenamen-Konflikten, die Anpassung des AR-Watchdogs sowie ein sechsstufiges Fehlerisolationsverfahren unter Verwendung der DIAG_STATUS-Registerbitzuordnung und der Kanal-Diagnosealarme.
Liste empfohlener Produkte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul

Emerson
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal

Emerson
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul

GE