• Heim
  • Nachrichten
  • Prüfverfahren für Instrumentenschleifen bei SIL-zertifizierten sicherheitsgerichteten Systemen

Prüfverfahren für Instrumentenschleifen bei SIL-zertifizierten sicherheitsgerichteten Systemen

Instrument Loop Test Procedure for SIL-Rated Safety Instrumented Systems

Warum sich SIL-Schleifentests von Standard-Inbetriebnahmeprüfungen unterscheiden

Ein Standard-Schleifentest bestätigt die Signal-Kontinuität und Skalierungsgenauigkeit. Ein SIL-Schleifentest überprüft all dies und stellt zusätzlich sicher, dass die Sicherheitsfunktion bei dem korrekten Prozessvariablenwert aktiviert wird, nach dem Zurücksetzen korrekt deaktiviert wird und keine latenten Fehler verbleiben. IEC 61511 Abschnitt 16.2 verlangt dokumentierte „as-found“ und „as-left“ Aufzeichnungen für jede SIL-bewertete Schleife bei jedem Nachweisintervall. Das Versäumnis, „as-found“-Daten vor der Anpassung zu dokumentieren, macht den Nachweis für Compliance-Zwecke ungültig.

Für Allen-Bradley ControlLogix 1756-L85E-Systeme öffnen Sie Studio 5000 und suchen die Safety Task. Bestätigen Sie, dass das Sicherheitsfunktions-Logik-Tag mit dem SRS übereinstimmt. Für Triconex T3000-Systeme öffnen Sie TriStation 1131 und überprüfen das Logiknetz, das die Schutzfunktion implementiert. Beide Systeme erfordern einen Wartungs-Bypass vor jeglicher physischer Intervention. Bestätigen Sie das Nachweisintervall – SIL 2 Schleifen benötigen typischerweise 2-Jahres-Nachweisintervalle basierend auf PFDavg-Berechnungen. Verlängern Sie das Intervall niemals ohne eine dokumentierte Abweichung, die vom Functional Safety Engineer genehmigt wurde.

Wartungs-Bypass- und Inhibit-Verfahren

  • Schritt 1: Stellen Sie in Allen-Bradley ControlLogix das entsprechende Sicherheits-Bypass-Bit über den Safety Bypass Request-Mechanismus in Studio 5000 ein. Verwenden Sie keinen Force. Safety Task Forces umgehen die Proof-Test-Erkennungslogik der Sicherheits-CPU. Das Bypass-Bit löst im Historian einen Alarm „Safety Bypass Active“ aus.
  • Schritt 2: Öffnen Sie in Triconex T3000 TriStation 1131 und aktivieren Sie den Wartungsmodus für den zu prüfenden Kanal. Der Wartungsmodus setzt den Kanalausgang auf einen vorkonfigurierten sicheren Zustand. Die Front-Panel-LED des Tricon CX für das betroffene Modul wechselt von grün auf bernsteinfarben. Protokollieren Sie die Startzeit im Arbeitserlaubnissystem.
  • Schritt 3: Vergewissern Sie sich, dass die Voting-Logik keinen Fehlalarm auslöst. Für eine 2oo3-Voting-Funktion ist ein Kanal im Wartungsmodus akzeptabel. Für eine 1oo1-Funktion muss die Deaktivierung des Endelements auf Ebene des Ventilantriebs bestätigt sein, bevor Sie fortfahren.
  • Schritt 4: Bestätigen Sie den Bypass mit dem Bediener im Kontrollraum. Der Bediener muss den Bypass auf dem SCADA-Display bestätigen und seine Benutzer-ID eingeben. Dies erzeugt eine Audit-Trail, die gemäß IEC 61511 Abschnitt 11.9 erforderlich ist.

Kalter Schleifentest: Signal-Injektion und Skalierungsüberprüfung

Der kalte Schleifentest verwendet einen Prozesskalibrator, um Signale ohne flüssigen Prozess einzuspeisen. Für eine 4–20 mA Drucktransmitterschleife injizieren Sie 4,000 mA, 12,000 mA und 20,000 mA am Transmitter-Klemmenkopf. Notieren Sie den Rohwert des DCS an jedem Punkt.

Für Allen-Bradley ControlLogix 1756-IF16 Analog-Eingangsmodule liegt der erwartete Rohwertbereich bei 0–32767. Bei 4 mA beträgt der erwartete Wert 0 ±20 Counts (0,06 % des Bereichs). Bei 20 mA beträgt der erwartete Wert 32767 ±20 Counts. Eine Abweichung von mehr als 50 Counts erfordert eine Neukalibrierung des Moduls mit dem RSLogix 5000 Analog Input Calibration Wizard.

Für Triconex T3000 TRICON AI-Module beträgt die Analog-Eingangsauflösung 16 Bit. Bei 4 mA liest der AI-Kanal 0x0000. Bei 20 mA liest der Kanal 0x7FFF. Eine Abweichung von mehr als 0x0050 (80 Counts) an einem Testpunkt erfordert den Austausch des AI-Moduls – der T3000 unterstützt keine Feldkalibrierung der AI-Kanalverstärkung.

  • Schritt 1: Schließen Sie den Prozesskalibrator parallel zur Transmitterverkabelung an der Anschlussdose an. Stellen Sie den Quellmodus auf 4,000 mA ein. Warten Sie 5 Sekunden, bis das DCS aktualisiert. Notieren Sie den DCS-Anzeigewert und den Rohwert.
  • Schritt 2: Erhöhen Sie auf 12,000 mA (50 % des Bereichs). Verifizieren Sie, dass die DCS-Anzeige 50 % ±0,5 % des Messbereichs anzeigt. Notieren Sie die „as-found“-Werte.
  • Schritt 3: Erhöhen Sie auf 20,000 mA (100 % des Bereichs). Verifizieren Sie, dass das DCS den Vollbereichswert ±0,5 % anzeigt. Notieren Sie die „as-found“-Werte.
  • Schritt 4: Injizieren Sie 3,600 mA. Verifizieren Sie, dass das DCS innerhalb von 3 Sekunden einen „Low Wire Break“-Alarm auslöst. In Allen-Bradley ControlLogix ist die Drahtbruch-Schwelle für 4–20 mA AI in den Studio 5000 Moduleigenschaften auf 3,6 mA konfigurierbar.
  • Schritt 5: Injizieren Sie 21,000 mA. Verifizieren Sie, dass das DCS innerhalb von 3 Sekunden einen „High Over-Range“-Alarm auslöst. Die Überbereichsschwelle des ControlLogix 1756-IF16 liegt bei 21,0 mA. Die Überbereichsschwelle des Triconex AI-Moduls beträgt standardmäßig 20,5 mA.
  • Schritt 6: Erfassen Sie alle „as-found“-Daten im Schleifentestprotokoll. Wenn alle Werte innerhalb der Akzeptanzkriterien liegen, dokumentieren Sie „As-Found = As-Left“. Weicht ein Wert ab, führen Sie eine Anpassung durch und testen erneut. Dokumentieren Sie sowohl „as-found“ als auch „as-left“ Werte mit Unterschrift des Ingenieurs.

Heißer Schleifentest: Überprüfung der Aktivierung der Sicherheitsfunktion

Der heiße Schleifentest bestätigt, dass die Sicherheitsfunktion am korrekten Prozessvariablen-Sollwert aktiviert wird. Dieser Test prüft die komplette SIS-Schleife vom Sensor über den Logiksolver bis zum Endelement. Heiße Tests erfordern Live-Prozessbedingungen oder simulierte Prozessbedingungen mit einer zertifizierten Druckquelle.

Bestätigen Sie zunächst, dass das Endelement (typischerweise ein ESD-Ventil) vor Beginn im sicheren Zustand ist. Verwenden Sie den Positionsrückmelder des Antriebs zur Bestätigung. Fahren Sie nicht fort, wenn die Ventilpositionsrückmeldung um mehr als 5 % der Stellwegabweichung vom Befehlssignal abweicht.

Erhöhen Sie dann langsam das eingespeiste Signal bis zum Auslösesollwert der Sicherheitsfunktion. Für einen Hoch-Hoch-Druckauslöser bei 95 barg injizieren Sie schrittweise das äquivalente mA-Signal: 18 mA (90 %), 18,8 mA (94 %), 19,0 mA (95 %). Notieren Sie den genauen mA-Wert, bei dem die Triconex T3000 oder Allen-Bradley ControlLogix Sicherheitsfunktion aktiviert wird. Der Aktivierungspunkt muss innerhalb von ±1 % des im SRS spezifizierten Sollwerts liegen.

Überprüfen Sie als Nächstes die Rücksetzsequenz. Nach der Aktivierung reduzieren Sie das Signal unter die Rücksetzsperre. Bestätigen Sie, dass die Sicherheitsfunktion nicht automatisch ohne explizite Bediener-Rücksetzung zurücksetzt. Eine Latch-Reset-Architektur ist für SIL 2 Funktionen gemäß IEC 61511 Abschnitt 11.6.4 verpflichtend. Eine selbstzurücksetzende SIL 2 Schleife besteht den Nachweis unabhängig von der Sollwertgenauigkeit nicht.

Verifizieren Sie abschließend die Reaktionszeit. Die SIS-Schleifenreaktionszeit vom Sensor-Eingangsänderung bis zum vollständigen Stellweg des Endelements darf die im SRS spezifizierte Prozess-Sicherheitszeit (PST) nicht überschreiten. Verwenden Sie eine Stoppuhr oder den DCS SOE-Recorder mit 1 ms Auflösung. Die Reaktionszeit des Triconex TMR Digitalausgangsmoduls von 30 ms plus die Scanzeit der Allen-Bradley ControlLogix Safety Task von 10 ms lassen bei einer 2-Sekunden-PST-Anwendung 1960 ms für den Ventilstellweg übrig.

IEC 61511 Dokumentations- und Audit-Anforderungen

Jeder SIL-Nachweis erzeugt drei Pflichtdokumente: das Loop Test Record (LTR), das Proof Test Certificate (PTC) und die aktualisierte Functional Safety Assessment (FSA). Das LTR erfasst „as-found“ und „as-left“ Werte, Seriennummern der Testgeräte mit Kalibrierzertifikaten, Namen des Prüfers und Unterschrift des Zeugen. Das PTC bestätigt, dass die Sicherheitsfunktion alle Akzeptanzkriterien erfüllt hat oder dokumentiert Abweichungen mit Korrekturmaßnahmen. Das FSA-Update berechnet PFDavg basierend auf der tatsächlich erreichten Nachweisabdeckung neu.

Häufige Audit-Mängel sind: fehlende „as-found“-Aufzeichnungen (Prüfer hat vor der Aufzeichnung angepasst), Verwendung von Testgeräten mit abgelaufenen Kalibrierzertifikaten (maximal 12 Monate Intervall), keine Zeugenunterschrift bei SIL 2 und höheren Funktionen sowie fehlende Neuberechnung von PFDavg nach dem Test. Jeder dieser Mängel ist eine Major Non-Conformance gemäß TÜV Rheinland Functional Safety Audit-Kriterien.

Führen Sie vor jedem SIL-Nachweis eine Pre-Test-Checkliste durch. Bestätigen Sie: gültige Kalibrierung der Testgeräte, genehmigte MOC, ausgestellte Bypass-Erlaubnis, bestätigte SRS-Sollwerte, Überprüfung des vorherigen LTR auf bekannte Mängel. Fünf Minuten Pre-Test-Verifikation verhindern Stunden an Audit-Nacharbeit.

Fazit und Handlungsempfehlung

SIL-Instrumentenschleifentests sind keine Formalität. Sie sind das primäre Mittel zur Erkennung latenter Fehler, die sich seit dem letzten Nachweis angesammelt haben. Folgen Sie der sechsstufigen kalten Schleifentestsequenz, um Skalierung und Drahtbrucherkennung zu überprüfen. Verwenden Sie den heißen Schleifentest, um die Aktivierung der Sicherheitsfunktion am SRS-Sollwert innerhalb ±1 % Toleranz zu bestätigen. Verifizieren Sie das Latch-Reset-Verhalten und die Reaktionszeit im Vergleich zum Prozess-Sicherheitszeit-Budget.

Verwenden Sie in Allen-Bradley ControlLogix Sicherheits-Bypass-Bits, niemals Forces. Verwenden Sie im Triconex T3000 den Wartungsmodus mit zeitgestempeltem Arbeitserlaubniseintrag. Erfassen Sie „as-found“-Daten vor jeder Anpassung. Stellen Sie Nachweiszertifikate mit Ingenieursunterschrift und TÜV-konformer Dokumentation aus. Berechnen Sie PFDavg nach jedem Nachweiszyklus neu. Systematische, dokumentierte SIL-Schleifentests sind die ingenieurtechnische Grundlage, die sowohl Menschen als auch Prozessanlagen schützt.

Autor: Wang Jiaming ist ein Ingenieur für industrielle Automatisierung mit über 10 Jahren Erfahrung in PLC-, DCS- und Steuerungssystemen.

Zurück zum Blog
Zeige alles
Blogbeiträge
Zeige alles
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Warum RTD-Sensoren stromabwärts von Blenden installiert werden müssen

Die Installation eines RTD stromaufwärts einer Blendenplatte verfälscht die Differenzdruckmessungen durch Wirbelauslösung am Thermowell. Dieser Artikel erklärt die Physik der von-Kármán-Wirbelstraße, die Anforderungen der ISO 5167 und ASME MFC-3M für die Platzierung stromabwärts, die Mindestabstandsregel von 5D, die Einhaltung der Thermowell-Nachlauf-Frequenz sowie ein 7-Schritte-Installationsverfahren für kombinierte Blendenplatten- und RTD-Baugruppen.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Wirbeldurchflussmesser: Funktionsprinzipien, Auswahlkriterien und Inbetriebnahme vor Ort

Ein Wirbelstromzähler arbeitet nach dem Prinzip des von-Kármán-Wirbelabwurfs und bietet eine hervorragende Langzeitgenauigkeit bei Dampf, Gas und Flüssigkeiten mit niedriger Viskosität ohne bewegliche Teile. Dieser Leitfaden behandelt die Physik der Strouhal-Zahl, Einschränkungen der Reynolds-Zahl, die Dimensionierung des Zählers, Anforderungen an gerade Rohrabschnitte für den ABB VortexMaster FSV430 sowie die Inbetriebnahmeschritte vor Ort für die Integration des Woodward-Turbinenreglers.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Thermoelementverdrahtung, Normen und Fehlerbehebung: Ein praktischer Feldleitfaden

Eine genaue Thermoelementmessung erfordert die richtige Typauswahl, passende Verlängerungsleitungen und eine zuverlässige Kaltstellenkompensation. Dieser Leitfaden behandelt IEC 60584 Typcodes und Anwendungsbereiche, die Auswahl von Verlängerungs- und Kompensationskabeln, Phoenix Contact WTOP CJC Klemmen, die Konfiguration des Yokogawa YTA110 CJC sowie eine systematische Fehlerdiagnose bei Unterbrechungen, Kurzschlüssen und Kalibrierdrift.
Liste empfohlener Produkte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul

Emerson
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal

Emerson
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul

GE