• Heim
  • Nachrichten
  • Überdruckschutz SIL 2 Nachweisprüfung: HIMA HIMatrix F35 und Woodward ProTech TPS

Überdruckschutz SIL 2 Nachweisprüfung: HIMA HIMatrix F35 und Woodward ProTech TPS

Overpressure Protection SIL 2 Proof Test: HIMA HIMatrix F35 and Woodward ProTech TPS

Warum Überdruck-SIF-Prüfungen bei Audits durchfallen

Überdruckschutz ist die häufigste Safety Instrumented Function (SIF) in Prozessanlagen. Dennoch führt er zu den meisten Auditfeststellungen. Ingenieure testen den Drucktransmitter, überspringen jedoch die Überprüfung des Ausgangsrelais des Logikrechners. Sie protokollieren die PST-Laufzeit, aber nicht die Öffnungskraft. Sie führen den Test in 45 Minuten durch, lassen jedoch drei Punkte undokumentiert. Auditoren lehnen den Prüfbericht als unvollständig ab.

Dieser Artikel behandelt den vollständigen Proof Test für eine Two-Out-Of-Three (2oo3) Drucktransmitter-Anordnung, die einen HIMA HIMatrix F35 Logikrechner speist, mit einem Woodward ProTech TPS Überschwing-Schutzvergleich. Beide Systeme zielen auf SIL 2 mit einem PFDavg zwischen 1×10⁻³ und 1×10⁻² ab.

Bestätigen Sie zunächst die Annahme der Proof Test Coverage (PTC), die in der ursprünglichen SIL-Berechnung verwendet wurde. Die meisten SIL-Berechnungen gehen von 90 % PTC für einen vollständigen Proof Test aus. Ein Teiltest (nur PST, kein vollständiger Ventilhub) erreicht nur 50–60 % PTC. Eine 90 % PTC-Annahme bei tatsächlich 60 % PTC verschiebt eine SIL 2-Funktion auf SIL 1 — ein Compliance-Verstoß mit rechtlichen Folgen.

HIMA HIMatrix F35 Logikrechner Proof Test Verfahren

Der HIMatrix F35 verwendet eine TMR (Triple Modular Redundant) I/O-Architektur. Jeder AI-Kanal liest unabhängig und stimmt intern ab. Der Proof Test überprüft alle drei Signalwege, nicht nur einen Kanal. Das F3 AIO 8/4 01 Analog-I/O-Modul verarbeitet die Drucktransmitter-Eingänge.

  • Schritt 1: Aktivieren Sie den HIMatrix SILworx Proof Test Modus über die SILworx Engineering Station (Version 6.4 oder höher). Navigieren Sie zu System → Safety → Proof Test Manager. Setzen Sie die SIF-ID für die Ziel-Überdruckfunktion.
  • Schritt 2: Injizieren Sie ein 4,00 mA Testsignal (entspricht 0 % Bereich = 0 barg) an jedem AI-Kanal-Eingang mit einem Fluke 707 Loop-Kalibrator. Verifizieren Sie, dass HIMatrix 0,0 barg ±0,2 % auf allen drei Kanälen über den SILworx Online Monitor anzeigt.
  • Schritt 3: Erhöhen Sie das injizierte Signal auf 20,0 mA (100 % Bereich = Volldruck). Verifizieren Sie, dass HIMatrix auf allen drei Kanälen Volldruck ±0,2 % anzeigt.
  • Schritt 4: Injizieren Sie ein Auslösesignal bei 21,0 mA (105 % Bereich – simuliert Transmitter High-High). Bestätigen Sie, dass die HIMatrix-Logik innerhalb von 200 ms gemäß SRS-Anforderung ein Safety Output (SO) Ansteuersignal erzeugt.
  • Schritt 5: Überprüfen Sie den DO-Kanalausgang am ESD-Ventilmagneten. Messen Sie die Spannung am Magnetanschluss: Bestätigen Sie 0 VDC innerhalb von 250 ms nach SO-Aktivierung. Protokollieren Sie den Zeitstempel aus dem SILworx Ereignisprotokoll.
  • Schritt 6: Testen Sie die HIMatrix Selbstdiagnose. Simulieren Sie einen Ausfall eines einzelnen AI-Kanals (Trennen Sie den Eingang von Kanal 1). Verifizieren Sie, dass HIMatrix einen „Channel 1 Diagnostics Fault“-Alarm auslöst, aber die SIF NICHT auslöst (2oo3 degradiert zu 1oo2 Voting – korrektes Verhalten). Schließen Sie Kanal 1 wieder an und verifizieren Sie die Wiederherstellung.
  • Schritt 7: Testen Sie die Bypass-Funktion. Aktivieren Sie den Wartungs-Bypass über den SILworx Bypass Manager. Verifizieren Sie, dass HIMatrix einen „SIF Bypassed“-Alarm an das DCS über Modbus TCP Holding Register 40010 Bit 3 sendet. Der Bypass wird nach 8 Stunden automatisch aufgehoben (konfigurierbar über P_BYPASS_TIMEOUT).

Protokollieren Sie alle Zeitstempel, Messwerte und Bestehen/Nichtbestehen-Ergebnisse im Proof Test Record Formular. IEC 61511 Abschnitt 16.2.5 verlangt: Testdatum, Tester-Identität, Testmethode, gemessene Reaktionszeit, Vergleich mit SRS-Anforderung und Unterschrift. Das F3 DIO 16/8 01 Modul steuert die digitalen Ausgangskanäle, die die ESD-Ventilmagneten ansteuern.

ESD-Ventil Partial Stroke Test und Vollhub-Verifikation

Das ESD-Ventil ist das ausfallanfälligste Element in einer Überdruck-SIF. Ventilsitzleckagen und Federausfälle des Stellantriebs sind ohne physischen Hubtest nicht erkennbar. Partial Stroke Testing (PST) erkennt 50–70 % der gefährlichen, unentdeckten Fehler. Vollhubtest (FST) erkennt über 90 %.

Stellen Sie den PST-Hub auf 15 % des Vollhubs für ein normalerweise offenes, fehlersicheres Ventil ein. Ein Hub unter 10 % verpasst klemmende Stängelfehler. Ein Hub über 20 % birgt das Risiko einer Prozessstörung im laufenden Betrieb.

  • Schritt 1: Bestätigen Sie, dass der Prozess einen 15 % Ventilschluss toleriert. Koordinieren Sie mit dem Betrieb. Erteilen Sie eine Testgenehmigung.
  • Schritt 2: Starten Sie den PST über das DCS-Bedienfeld. Protokollieren Sie die Startzeit im SILworx Ereignisprotokoll.
  • Schritt 3: Überwachen Sie das Ventilhub-Feedback (4–20 mA vom Stellantrieb). Verifizieren Sie, dass 15 % Hub innerhalb von 5 Sekunden erreicht werden. Das Ventil muss innerhalb von 10 Sekunden nach PST-Ende wieder 100 % offen sein.
  • Schritt 4: Protokollieren Sie den PST-Versorgungsdruck am Stellantrieb (mindestens 5,5 barg für Feder-Rückstell-Stellantrieb). Werte unter 5,0 barg deuten auf Akkumulatorentleerung oder Versorgungsreglerdrift hin.
  • Schritt 5: Für den FST (nur bei Stillstandsfenster) schalten Sie das Auslösespulenoid vollständig stromlos. Verifizieren Sie den vollständigen Verschluss innerhalb von 3 Sekunden gemäß SRS-Anforderung. Messen Sie die Sitzleckage mit der Methode des Druckabfalls stromaufwärts. Eine Leckage über 0,1 % Cv Nennfluss führt zum Testversagen.

Überprüfen Sie bei jedem Proof Test den Widerstand der Magnetventilspule. Eine Standard-24 VDC-Magnetspule hat bei 20 °C einen Widerstand von 30–70 Ohm. Werte außerhalb dieses Bereichs deuten auf Spulendegradation hin. Ersetzen Sie Magnetspulen spätestens alle 10 Jahre, unabhängig von den elektrischen Testergebnissen.

Woodward ProTech TPS Vergleich: Überschwing als Überdruck-Analog

Woodward ProTech TPS (Triple Proximity Switch) schützt Gasturbinen vor Überschwingereignissen. Die Architektur spiegelt die Überdruck-SIF wider: Drei Sensoren speisen ein 2oo3 Voting-Relais. Das Woodward 8200-205 Two-Out-Of-Three Overspeed Protection System implementiert dieselbe Voting-Logik.

Der ProTech TPS akzeptiert magnetische Näherungssensoren (MPU) mit einem nominalen Ausgang von 0,5–50 Vrms über den Drehzahlbereich. Setzen Sie den Überschwing-Auslöseschwellenwert auf 110 % der Nenndrehzahl. Der Auslöseschwellenwert wird im nichtflüchtigen EEPROM gespeichert. Dokumentieren Sie den Schwellenwert und die Firmware-Version im Proof Test Record.

  • Injizieren Sie ein simuliertes Drehzahlsignal von einem Woodward ProTech Speed Tester an jedem MPU-Eingang. Erhöhen Sie die Frequenz auf 110 % der Nenndrehzahl-Äquivalenz (z. B. 1200 Hz für eine 3000 U/min Maschine mit 24-Zahn-Rad).
  • Verifizieren Sie, dass der Relaisausgang innerhalb von 50 ms abfällt (Reaktionszeitspezifikation).
  • Testen Sie alle drei MPU-Kanäle unabhängig. Verifizieren Sie die 2oo3-Logik: Ein einzelner Kanal über Schwellenwert erzeugt Alarm, aber keinen Auslöser. Zwei Kanäle über Schwellenwert erzeugen Auslöser.
  • Protokollieren Sie den Relaiskontaktzustand (NC-Kontakt öffnet bei Auslöser) mit einem digitalen Multimeter während des Tests.

Die Lebensdauer des ProTech TPS Relaisausgangskontakts ist mit 100.000 Schaltzyklen angegeben. Prüfen Sie den Betriebszähler (Menü → Diagnostik → Relaiszählung). Ersetzen Sie Relaismodule proaktiv bei 80.000 Schaltzyklen. Ein Relaisausfall in einem 2oo3-System degradiert zu 1oo2 Voting und verändert den PFDavg erheblich.

PFDavg-Neuberechnung und Audit-Dokumentation

Nach jedem Proof Test aktualisieren Sie die PFDavg-Berechnung. Dieser Schritt ist gemäß IEC 61511 Abschnitt 16.2.5 verpflichtend, wird aber im Feld am häufigsten ausgelassen.

Verwenden Sie die vereinfachte IEC 61511-Formel für eine 2oo3-Sensoranordnung:

PFDavg (2oo3) = λDU² × Ti²

Dabei ist λDU die gefährliche, unentdeckte Ausfallrate pro Stunde (z. B. 5×10⁻⁸ /h für einen Rosemount 3051 Drucktransmitter) und Ti das Proof Test Intervall in Stunden. Für ein 12-Monats-Intervall (8.760 Stunden): PFDavg = (5×10⁻⁸)² × (8760)² = 1,9×10⁻⁷. Addieren Sie den HIMatrix F35 Logikrechner PFDavg (ca. 3×10⁻⁵) und den ESD-Ventil PFDavg (ca. 1×10⁻³ für ein vollhubgetestetes Ventil). Gesamt-SIF PFDavg ≈ 1,03×10⁻³ — Grenzwert SIL 2.

Wenn ein Proof Test eine Testabdeckung unter 90 % zeigt oder wenn der Ventil-PST fehlschlägt und der FST verschoben wird, berechnen Sie mit dem reduzierten Abdeckungsfaktor neu. Ein PFDavg über 1×10⁻² erfordert sofortige Korrekturmaßnahmen und Meldung an die Prozesssicherheitsbehörde.

Stellen Sie das vollständige Proof Test Paket zusammen: Revisionsnummer der Testprozedur, As-Found- und As-Left-Kalibrierungsprotokolle für jeden Transmitter, SILworx Ereignisprotokoll-Export (PDF), Ventil-PST- und FST-Protokolle, PFDavg-Neuberechnungsblatt und Tester-Unterschriften. Bewahren Sie die Unterlagen für die Lebensdauer der SIF plus mindestens 5 Jahre auf.

Fazit und Handlungsempfehlung

SIL 2 Überdruck-Proof Tests fallen bei Audits aus zwei Gründen durch: unvollständige Abdeckung aller SIF-Elemente und fehlende PFDavg-Neuberechnung nach dem Test. Eine Transmitterkalibrierung ohne Überprüfung des Logikrechner-Ausgangs ist kein Proof Test – es ist eine Kalibrierung. Verwenden Sie den HIMatrix SILworx Proof Test Manager, um eine strukturierte Testsequenz durchzusetzen und einen automatischen Testbericht zu erzeugen.

Für das ESD-Ventil akzeptieren Sie niemals nur PST als Ersatz für einen vollständigen Proof Test. Planen Sie FST bei jeder geplanten Stillstandsphase – Ventilsitzleckagen über 0,1 % Cv Nennfluss sind ein kritischer Befund, den PST nicht erkennen kann. Für den ProTech TPS Überschwingschutz überwachen Sie die Relaiskontakt-Schaltzahl und tauschen bei 80.000 Schaltzyklen aus. Halten Sie den Gesamt-SIF PFDavg unter 5×10⁻³, um eine 100 % Sicherheitsmarge innerhalb der SIL 2-Grenzen zu gewährleisten. Dokumentieren Sie alles – das Auditteam verlangt zuerst Unterlagen und dann Hardware.

Zurück zum Blog
Zeige alles
Blogbeiträge
Zeige alles
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Warum RTD-Sensoren stromabwärts von Blenden installiert werden müssen

Die Installation eines RTD stromaufwärts einer Blendenplatte verfälscht die Differenzdruckmessungen durch Wirbelauslösung am Thermowell. Dieser Artikel erklärt die Physik der von-Kármán-Wirbelstraße, die Anforderungen der ISO 5167 und ASME MFC-3M für die Platzierung stromabwärts, die Mindestabstandsregel von 5D, die Einhaltung der Thermowell-Nachlauf-Frequenz sowie ein 7-Schritte-Installationsverfahren für kombinierte Blendenplatten- und RTD-Baugruppen.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Wirbeldurchflussmesser: Funktionsprinzipien, Auswahlkriterien und Inbetriebnahme vor Ort

Ein Wirbelstromzähler arbeitet nach dem Prinzip des von-Kármán-Wirbelabwurfs und bietet eine hervorragende Langzeitgenauigkeit bei Dampf, Gas und Flüssigkeiten mit niedriger Viskosität ohne bewegliche Teile. Dieser Leitfaden behandelt die Physik der Strouhal-Zahl, Einschränkungen der Reynolds-Zahl, die Dimensionierung des Zählers, Anforderungen an gerade Rohrabschnitte für den ABB VortexMaster FSV430 sowie die Inbetriebnahmeschritte vor Ort für die Integration des Woodward-Turbinenreglers.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Thermoelementverdrahtung, Normen und Fehlerbehebung: Ein praktischer Feldleitfaden

Eine genaue Thermoelementmessung erfordert die richtige Typauswahl, passende Verlängerungsleitungen und eine zuverlässige Kaltstellenkompensation. Dieser Leitfaden behandelt IEC 60584 Typcodes und Anwendungsbereiche, die Auswahl von Verlängerungs- und Kompensationskabeln, Phoenix Contact WTOP CJC Klemmen, die Konfiguration des Yokogawa YTA110 CJC sowie eine systematische Fehlerdiagnose bei Unterbrechungen, Kurzschlüssen und Kalibrierdrift.
Liste empfohlener Produkte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul

Emerson
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal

Emerson
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul

GE