• Heim
  • Nachrichten
  • IEC 61511 Sicherheits-Bypass- und Übersteuerungsmanagement: Praktischer Leitfaden für HIMA HIMatrix F60 und Triconex T3000

IEC 61511 Sicherheits-Bypass- und Übersteuerungsmanagement: Praktischer Leitfaden für HIMA HIMatrix F60 und Triconex T3000

IEC 61511 Safety Bypass and Override Management: HIMA HIMatrix F60 and Triconex T3000 Practical Guide

Warum das Management von Bypässen ein Compliance-Risiko darstellt

Jeder Servicetechniker hat während der Wartung schon einmal einen Sensor umgangen. Die eigentliche Frage ist, ob dieser Bypass autorisiert, protokolliert und rechtzeitig geschlossen wurde. IEC 61511 Abschnitt 11.9 macht das Bypass-Management zu einem verpflichtenden Lebenszykluselement und nicht zu einer optionalen Best Practice. Die Nichteinhaltung führt zur Ungültigkeit Ihres SIL-Anspruchs und setzt die Anlage gefährlichen, unentdeckten Ausfällen aus.

HIMA HIMatrix F60 und Triconex T3000 bieten beide hardwarebasierte Sperrmechanismen. Allerdings bestimmt das Verfahren rund um diese Mechanismen, ob Sie IEC 61511-konform sind oder einfach nur ohne Nachweis umgangen haben. Ein Sicherheits-Bypass deaktiviert vorübergehend einen bestimmten Kanal oder eine Funktion. Eine Sicherheits-Übersteuerung erzwingt einen Ausgangszustand unabhängig von der Logik. Beide haben unterschiedliche Risikoprofile und erfordern unterschiedliche Autorisierungsebenen.

Bypass-Klassifikation: Drei Kategorien, die Sie trennen müssen

IEC 61511 definiert keinen einzelnen Bypass-Typ. Sie müssen jede Aktion vor der Anwendung klassifizieren. Die drei Kategorien sind Wartungssperre, Proof-Test-Bypass und Notfall-Übersteuerung:

  • Wartungssperre: deaktiviert einen Eingangskanal während der Kalibrierung. Autorisiert durch den SIS-Ingenieur, maximale Dauer 4 Stunden, erfordert eine Arbeitserlaubnis.
  • Proof-Test-Bypass: setzt die Voting-Logik für einen von zwei oder drei Kanälen außer Kraft. Autorisiert durch den Sicherheitsmanager, darf das Proof-Test-Intervall geteilt durch drei nicht überschreiten.
  • Notfall-Übersteuerung: erzwingt das Öffnen oder Schließen eines ESD-Ventilausgangs während eines abnormalen Starts. Autorisiert gemeinsam durch den Betriebsleiter und den Sicherheitsbeauftragten, maximale Dauer 15 Minuten.

Auf HIMA HIMatrix F60 wird jeder Bypass-Typ einer anderen SILworx-Variablenklasse zugeordnet. Die Wartungssperre verwendet ein F-DI-Inhibit-Bit im Sicherheitsprogramm. Der Proof-Test-Bypass nutzt einen dedizierten TEST_MODE_CH-Funktionsblock. Die Notfall-Übersteuerung verwendet den FORCE_OUT-Block mit einer festverdrahteten Schlüsselschalter-Sicherung. Das HIMatrix F3 DIO-Modul stellt die physischen I/O-Kanäle bereit, die diese Sperrbits steuern.

Auf Triconex T3000 bietet TriStation 1131 eine BYPASS_DI-Anweisung und eine separate FORCE_DO-Anweisung. Beide erfordern einen eindeutigen Benutzernamen und ein Passwort im TriStation-Audit-Log. Der T3000 versieht jede Zustandsänderung automatisch mit einem Zeitstempel mit 1-Millisekunden-SOE-Auflösung.

Hardware-Sperrverfahren auf HIMA HIMatrix F60

  • Schritt 1: Öffnen Sie das SILworx-Projekt online. Navigieren Sie zum I/O-Manager und bestätigen Sie, dass der Kanalstatus VOR dem Anwenden einer Sperre GUT ist.
  • Schritt 2: Setzen Sie die Variable INHIBIT_CH für den Zielkanal auf TRUE. Vergewissern Sie sich, dass die HIMatrix-Diagnoseanzeige den Zustand INHIBIT und nicht FAULT anzeigt.
  • Schritt 3: Bestätigen Sie, dass die Voting-Logik auf den verbleibenden Kanälen weiterhin korrekt arbeitet. Für einen 2oo3-Sensor muss die Logik während der Sperre im 1oo2-Modus arbeiten. Prüfen Sie das VOTER_STATUS-Ausgangsbit am HIMatrix F3 DIO-Modul.
  • Schritt 4: Dokumentieren Sie den Sperrbeginn, die Kanal-ID, den Bypass-Grund und den Namen der autorisierten Person im Arbeitserlaubnissystem. Stellen Sie einen maximalen 4-Stunden-Alarm im DCS- oder SCADA-System mit einem TON-Timer und Voreinstellung T#4H ein.
  • Schritt 5: Führen Sie die Wartungsaufgabe durch. Verlassen Sie den Kontrollraum während der Sperre nicht unbeaufsichtigt.
  • Schritt 6: Setzen Sie INHIBIT_CH auf FALSE zurück. Vergewissern Sie sich, dass der Kanal wieder den Status GUT annimmt. Schließen Sie die Arbeitserlaubnis mit dem Messwert und Zeitstempel nach Abschluss ab. Wenn der Kanal nach dem Zurücksetzen nicht den Status GUT annimmt, entfernen Sie die Sperre nicht – untersuchen Sie die Feldverdrahtung, bevor Sie die normale Voting-Logik wiederherstellen.

Festverdrahtete Übersteuerung auf Triconex T3000: FORCE_DO-Konfiguration

Die Triconex T3000 TMR-Architektur bietet eine Drei-Kanal-Voting-Logik für jeden Ausgang. Eine FORCE_DO-Anweisung übersteuert dieses Voting und schaltet das physische Relais unabhängig vom Logikzustand. Konfigurieren Sie FORCE_DO in TriStation wie folgt:

Erstens benötigt der Funktionsblock einen FORCE_ENABLE-Eingang, der von einem dedizierten hardwareseitigen Schlüsselschalter angesteuert wird. Verdrahten Sie den Schlüsselschalter an einen freien digitalen Eingang im TRICON-Gehäuse, nicht an eine Softwarevariable – dies verhindert eine unautorisierte reine Software-Übersteuerung. Zweitens verbinden Sie FORCE_DO.OUTPUT mit der Ausgangsvariable des ESD-Ventilmagneten. Setzen Sie FORCE_DO.FORCE_VALUE auf den erforderlichen sicheren Zustand (TRUE für normalerweise offene Ventile, FALSE für normalerweise geschlossene). Drittens fügen Sie einen TON-Timer mit Voreinstellung T#15M an den FORCE_ENABLE-Eingang an. Die Übersteuerung läuft automatisch nach 15 Minuten ab, ohne dass eine Bedieneraktion erforderlich ist – dies erfüllt die automatische Zeitüberschreitungsanforderung gemäß IEC 61511 Abschnitt 11.9.4.

Das T3000 SOE protokolliert jede FORCE_DO-Aktivierung mit Benutzername, Zeitstempel und Kanalzustand vor und nach der Aktion. Exportieren Sie diese Protokolle innerhalb von 24 Stunden nach einem Übersteuerungsereignis in Ihr CMMS.

Berechnung der PFDavg-Auswirkung bei verlängerten Bypässen

Jede Stunde, in der ein Kanal gesperrt bleibt, erhöht die Ausfallwahrscheinlichkeit bei Anforderung (PFD) für diese Schleife. Für eine SIL 2-Schleife mit einer gefährlichen, unentdeckten Ausfallrate λDU von 1×10⁻⁵ pro Stunde und einem Proof-Test-Intervall Ti von 8.760 Stunden beträgt die Basis-PFDavg 0,0438.

Wenn Sie einen Kanal eines 2oo3-Voters für 4 Stunden sperren, verschlechtert sich das Voting effektiv auf 1oo2. Berechnen Sie die PFDavg mit der 1oo2-Formel neu: PFDavg = 3 × (λDU × Ti/2)². Die momentane PFD für den degradierten Voter steigt in diesem 4-Stunden-Fenster auf etwa 1,4×10⁻⁶ – bleibt also innerhalb der SIL 2-Grenzen (PFD 10⁻³ bis 10⁻²) und bestätigt, dass der Bypass akzeptabel ist. Wenn die Wartung länger als 4 Stunden dauert, informieren Sie sofort den Sicherheitsmanager. Ein Bypass, der länger als das genehmigte Zeitfenster dauert, erfordert einen formellen Management-of-Change (MOC)-Eintrag und eine neu berechnete Sicherheitsbewertung vor der Fortsetzung.

Fünf-Schritte-Audit-Trail-Prozess für IEC 61511-Konformität

  • Schritt 1: Führen Sie ein Bypass-Register in Ihrem CMMS (SAP PM, Maximo oder Äquivalent). Jeder Eintrag muss Schleifen-Tag, Bypass-Typ, Startzeit, autorisierte Person und erwartete Endzeit enthalten.
  • Schritt 2: Konfigurieren Sie HIMA HIMatrix SILworx so, dass INHIBIT_CH-Zustandsänderungen an den OPC DA-Server-Tag geschrieben werden. Konfigurieren Sie Triconex T3000 SOE so, dass es an OSIsoft PI Historian mit IEC 61511 Asset Framework-Attributen exportiert.
  • Schritt 3: Richten Sie einen SCADA-Alarm für jeden Bypass ein, der seine genehmigte Dauer um mehr als 10 Minuten überschreitet. Die Alarmpriorität muss ISA-18.2 Priorität 1 (sicherheitskritisch) sein.
  • Schritt 4: Überprüfen Sie nach jedem Bypass, ob der wiederhergestellte Kanalwert innerhalb von ±1 % des benachbarten Referenztransmitters liegt. Dokumentieren Sie die Ist- und Sollwerte auf der Bypass-Arbeitserlaubnis.
  • Schritt 5: Erstellen Sie monatlich einen Bericht zur Bypass-Häufigkeit aus dem PI Historian. Schleifen mit mehr als 2 Bypässen pro Monat erfordern eine Ursachenanalyse und einen Korrekturplan innerhalb von 30 Tagen. Vergleichen Sie SCADA-Bypass-Daten automatisch mit CMMS-Arbeitsaufträgen mittels eines täglichen Abgleich-Skripts, das OPC UA und CMMS REST API abfragt.

Fazit und Handlungsempfehlung

Das Management von Sicherheits-Bypässen und Übersteuerungen beeinflusst direkt die PFDavg-Berechnung, die Ihren SIL 2-Anspruch rechtfertigt. HIMA HIMatrix F60 bietet SILworx-Level-Sperrbits mit automatischer Diagnose. Triconex T3000 bietet FORCE_DO mit hardwareseitiger Schlüsselschalter-Sicherung und SOE-Zeitstempelung. Keine der Plattformen schützt Sie, wenn das umgebende Verfahren informell oder nicht vorhanden ist.

Beginnen Sie mit der Überprüfung Ihres aktuellen Bypass-Registers. Wenn Sie nicht in weniger als 5 Minuten eine vollständige Liste aller aktiven Bypässe vorlegen können, besteht eine Compliance-Lücke. Implementieren Sie den oben beschriebenen fünfstufigen Audit-Trail-Prozess vor Ihrer nächsten IEC 61511-Drittanbieterprüfung. Die Kosten einer Nichtkonformitätsfeststellung sind eine vollständige Überarbeitung des Sicherheitsnachweises – weitaus teurer als der korrekte Aufbau des Nachweises von Anfang an.

Autor: Chen Mingzhi ist ein Ingenieur für industrielle Automatisierung mit über 10 Jahren Erfahrung in SPS-, DCS- und Steuerungssystemen.

Zurück zum Blog
Zeige alles
Blogbeiträge
Zeige alles
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Chargenfolgensteuerung mit DCS-Sequenzfunktionstabellen: Emerson DeltaV SFC-Konfiguration und Woodward EasyGen 3200 Synchronisationsverriegelung

Die Stapelprozesssteuerung mit formalen IEC 61131-3 Sequential Function Chart-Strukturen in Emerson DeltaV verhindert Deadlocks in Zustandsautomaten und vereinfacht die Einhaltung der ISA-88-Auditvorgaben. Dieser Leitfaden behandelt die Designprinzipien der DeltaV Phase Logic SFC, die Modbus-TCP-Registerzuordnung des Woodward EasyGen 3200 für die Generator-Synchronisationsverriegelung, das Design von Hold- und Abort-Pfaden sowie die Diagnose der vier häufigsten SFC-Stapel-Ausfallmuster.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Segmentgestaltung und Inbetriebnahme

Foundation Fieldbus H1 führt Steuerfunktionsblöcke innerhalb von Feldgeräten aus und gewährleistet die Steuerung auch bei Ausfall der Host-Kommunikation – ein entscheidender Vorteil für SIL-2- und SIL-3-Schleifen. Dieser Leitfaden behandelt die Berechnung des FF H1-Leistungsbudgets, die Analyse des Spannungsabfalls, den Soft-Start-Anlaufstromschutz, das 5-Schritte-Inbetriebnahmeverfahren, die Planung der Funktionsblöcke sowie die systematische Fehlerdiagnose bei Segmentausfällen, intermittierendem Geräteausfall und Fehlern im Abschlusswiderstand.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

PROFINET IO Kommunikationsfehlerdiagnose: ABB AC500 CM575-PNIO und Phoenix Contact AXL F DI16 Feldfehlerbehebung

PROFINET IO-Kommunikationsfehler zwischen ABB AC500 CM575-PNIO und Phoenix Contact Axioline F verteilten I/O-Systemen sind eine häufige Ursache für ungeplante Ausfallzeiten. Dieser Leitfaden behandelt die Überprüfung der physikalischen Schichtkabel, die Verifikation der GSDML-Version, die Behebung von Gerätenamen-Konflikten, die Anpassung des AR-Watchdogs sowie ein sechsstufiges Fehlerisolationsverfahren unter Verwendung der DIAG_STATUS-Registerbitzuordnung und der Kanal-Diagnosealarme.
Liste empfohlener Produkte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul

Emerson
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal

Emerson
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul

GE