• Heim
  • Nachrichten
  • SIL 3 Prüfplanerstellung und PFDavg-Verwaltung für HIMA HIMatrix und ICS Triplex TMR

SIL 3 Prüfplanerstellung und PFDavg-Verwaltung für HIMA HIMatrix und ICS Triplex TMR

SIL 3 Proof Test Scheduling and PFDavg Management for HIMA HIMatrix and ICS Triplex TMR

Ein praktischer IEC 61511-Leitfaden zur Planung von SIL 3-Prüfintervallen, zur Berechnung von PFDavg für HIMA HIMatrix F60- und ICS Triplex TMR-Architekturen, zur Anwendung von Teilprüfungsanrechnungen und zur Führung von Compliance-Dokumentationen über mehrjährige Anlagenstillstandszyklen.

SIL 3-Anforderungen und PFDavg-Zielbereich

IEC 61511 Tabelle 3 definiert SIL 3 als einen PFDavg-Bereich von 10⁻⁴ bis 10⁻³. Dies ist eine Größenordnung anspruchsvoller als SIL 2. Die Erreichung von SIL 3 erfordert entweder eine hochredundante Architektur oder ein sehr kurzes Prüfintervall. HIMA HIMatrix F60 mit 1oo2D-Architektur erreicht SIL 3 nur, wenn das Prüfintervall bei maximal 1 Jahr liegt und die Diagnosedeckung über 99 % beträgt.

ICS Triplex TMR erreicht SIL 3 durch seine 2oo3-Hardware-Voting mit vollständiger Online-Diagnose. Die Diagnosedeckung des Triplex TMR wird mit 99,7 % für interne Fehler bewertet. In Kombination mit einem Prüfintervall von 2 Jahren und einer gefährlichen Ausfallrate (λDU) von 1,2×10⁻⁷/h pro Kanal ergibt sich ein PFDavg von etwa 5,3×10⁻⁴. Dies erfüllt die obere Grenze von SIL 3 bei 10⁻³.

Allerdings ist PFDavg kein fester Wert. Er steigt mit der Zeit, wenn das System altert. Überwachen Sie die SIL-Verifikationsberechnung jährlich. Ersetzen Sie alternde Komponenten, bevor der λDU-Anstieg PFDavg über die obere SIL 3-Grenze hebt.

Berechnung des Prüfintervalls für gemischte Architekturen

Viele Anlagen verwenden eine Kombination aus HIMA HIMatrix F60 für Initiatoren und ICS Triplex TMR für das Endelement. Berechnen Sie in diesem Fall PFDavg für jedes Teilsystem separat und summieren Sie diese. Der gesamte SIF-PFDavg muss unter 10⁻³ bleiben.

Verwenden Sie die IEC 61511-1 Anhang K Formel für eine 1oo2D-Architektur:

PFDavg (1oo2D) = (λDU × Ti)² / 3 + λDU × (1 – DC) × Ti / 2

Für HIMA HIMatrix F60 mit λDU = 3×10⁻⁷/h pro Kanal, Ti = 8.760 h (1 Jahr) und DC = 0,99:

PFDavg = (3×10⁻⁷ × 8.760)² / 3 + 3×10⁻⁷ × 0,01 × 8.760 / 2 = 2,3×10⁻⁶ + 1,3×10⁻⁵ = 1,5×10⁻⁵

Dies lässt ein großes PFDavg-Budget für das ICS Triplex TMR-Endelement-Teilsystem. Erlauben Sie jedoch niemals, dass ein einzelnes Teilsystem mehr als 50 % des gesamten SIL 3-PFDavg-Budgets verbraucht. Dieser Ansatz bietet Spielraum für zukünftige Änderungen, ohne die SIL-Verifikation ungültig zu machen.

Teilprüfungsanrechnung und Einfluss der Diagnosedeckung

Ein vollständiger Proof Test überprüft alle gefährlichen Ausfallarten. Ein Teilprüftest überprüft nur einen Teil davon. IEC 61511 Abschnitt 16.2.6 erlaubt Teilprüfungsanrechnung, wenn der Teilprüfungsanteil (PTF) dokumentiert ist. HIMA SILworx definiert PTF pro Prüfverfahren. Eine Standardkanal-Diagnoseprüfung während des Betriebs zählt als PTF = 0,3 bis 0,5, abhängig von der Abdeckung der Ausfallarten.

Für ICS Triplex TMR deckt der Online-Selbsttest etwa 85 % der gefährlichen Ausfallarten ab. Das bedeutet, dass der jährliche Proof Test nur die verbleibenden 15 % abdecken muss. Dies reduziert die Prüfzeit von 8 Stunden auf etwa 1,5 Stunden pro SIF. Wenden Sie diese Anrechnung im SIL-Verifikationstool an, indem Sie PTF = 0,85 für den Beitrag der Online-Diagnose und PTF = 0,15 für den manuellen Proof Test eingeben.

Außerdem erfordert die Anrechnung der Diagnosedeckung Nachweise. HIMA HIMatrix SILworx protokolliert Diagnosetestergebnisse im internen Ereignisprotokoll. Exportieren Sie dieses Protokoll monatlich und archivieren Sie es im CMMS-System. Der Diagnosestatus des ICS Triplex Controllers ist über das Modbus TCP-Register 41001 (bitkodiert, 16 Fehlerkategorien) verfügbar. Protokollieren Sie dieses Register täglich über den OPC DA-Historian. Diese archivierten Daten dienen als Nachweis der Proof Test-Dokumentation gemäß IEC 61511 Abschnitt 16.2.5 bei Audits.

Fünf-Schritte-Dokumentation der Proof Test-Aufzeichnungen

IEC 61511 Abschnitt 16.3 verlangt, dass Proof Test-Aufzeichnungen bestimmte Datenfelder enthalten. Fehlende Felder machen die Prüfungsanrechnung ungültig. Befolgen Sie dieses Dokumentationsverfahren für jeden SIL 3 SIF Proof Test:

  • Schritt 1: Erfassen Sie den Ist-Zustand vor jeder Testmaßnahme. Notieren Sie für jeden HIMA HIMatrix F60-Kanal den LED-Status (grün/gelb/rot) und das SILworx-Diagnosezusammenfassungsbyte. Für jeden ICS Triplex TMR-Ausgang notieren Sie den Relaiszustand und den Wert des Modbus-Registers 41001.
  • Schritt 2: Führen Sie die Testsequenz gemäß dem genehmigten Proof Test-Verfahren durch. Protokollieren Sie die Zeit jedes Schritts mit einer synchronisierten Uhr. Verwenden Sie die NTP-Referenz der Anlage (Stratum 1) für alle Zeitstempel. Verwenden Sie nicht die lokale PC-Zeit – die Uhrabweichung überschreitet die für die SIF-Reaktionszeit-Verifikation erforderliche Auflösung von 1 Sekunde.
  • Schritt 3: Erfassen Sie die gemessene Reaktionszeit vom Eingangssignal bis zur Aktivierung des Endelements. Vergleichen Sie diese mit der SIF-Reaktionszeit-Anforderung in der Sicherheitsanforderungsspezifikation (SRS). Die zulässige Toleranz beträgt ±10 % der geforderten Reaktionszeit.
  • Schritt 4: Erfassen Sie den Soll-Zustand nach Abschluss des Tests. Bestätigen Sie, dass sowohl HIMA- als auch ICS Triplex-Systeme in den normalen Betriebsmodus zurückversetzt wurden. Vergewissern Sie sich, dass SILworx keine festgehaltenen Diagnosefehler anzeigt. Bestätigen Sie, dass das Triplex TMR Modbus-Register 41001 den Wert 0x0000 (keine aktiven Fehler) anzeigt.
  • Schritt 5: Aktualisieren Sie die SIL-Verifikationsberechnung mit dem neuen Proof Test-Datum. Berechnen Sie PFDavg für das nächste Prüfintervall neu. Wenn PFDavg sich der oberen SIL 3-Grenze auf 20 % nähert, kennzeichnen Sie den SIF für eine frühzeitige Nachprüfung oder eine Architekturüberprüfung. Archivieren Sie die abgeschlossene Prüfaufzeichnung im CMMS mit elektronischer Signatur gemäß den Anforderungen an die Aufzeichnungsintegrität nach IEC 62443-2-1.

Fazit und Handlungsempfehlung

Die SIL 3-Konformität für HIMA HIMatrix- und ICS Triplex TMR-Systeme hängt von einer rigorosen Prüfplanung und einer genauen PFDavg-Verfolgung ab. Berechnen Sie PFDavg für jedes Teilsystem separat. Halten Sie die Beiträge einzelner Teilsysteme unter 50 % des gesamten SIL 3-Budgets. Wenden Sie Teilprüfungsanrechnung nur an, wenn Nachweise zur Diagnosedeckung im CMMS archiviert sind. Dokumentieren Sie jeden Ist- und Soll-Zustand mit NTP-synchronisierten Zeitstempeln. Aktualisieren Sie die SIL-Verifikation jährlich. Kennzeichnen Sie jeden SIF, bei dem PFDavg 80 % der oberen SIL 3-Grenze erreicht. Diese Praktiken schützen die SIL 3-Integrität über den gesamten Lebenszyklus der Anlage.

Autor: Chen Hao ist ein Ingenieur für industrielle Automatisierung mit über 10 Jahren Erfahrung in SPS-, DCS- und Steuerungssystemen.

Zurück zum Blog
Zeige alles
Blogbeiträge
Zeige alles
Dragon Boat Festival: China's Ancient Festival of Loyalty, Tradition and Summer Rituals
PLC DCS Pro

Drachenbootfest: Chinas altes Fest der Loyalität, Tradition und Sommerrituale

Jedes Jahr am fünften Tag des fünften Mondmonats hallt der rhythmische Trommelschlag über die Flüsse Chinas. Entdecken Sie die Geschichte, Legenden und Traditionen des Drachenbootfestes – eines der ältesten und am meisten gefeierten kulturellen Feste Chinas.
Machinery Protection: Vibration Probe Installation and Loop Setup
Weijie Chen

Maschinenschutz: Installation der Vibrationssonde und Einrichtung der Schleife

Maschinenschutzsysteme müssen innerhalb von 50 Millisekunden auf mechanische Ausfälle reagieren – deutlich schneller als jede DCS- oder SPS-Plattform. Dieser Leitfaden behandelt die Installation der Bently Nevada 3300 Näherungssonde, die Einstellung der Spaltspannung auf -12 V DC-Mittelpunkt, die 4–20 mA Schleifen-Konfiguration gemäß API 670, die Abschirmung von Verlängerungskabeln sowie die systematische Fehlerdiagnose bei Sondenkontakt, Sondenverlust, Netzfrequenzstörungen und elektromagnetischem Rauschen von Frequenzumrichtern.
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Chargenfolgensteuerung mit DCS-Sequenzfunktionstabellen: Emerson DeltaV SFC-Konfiguration und Woodward EasyGen 3200 Synchronisationsverriegelung

Die Stapelprozesssteuerung mit formalen IEC 61131-3 Sequential Function Chart-Strukturen in Emerson DeltaV verhindert Deadlocks in Zustandsautomaten und vereinfacht die Einhaltung der ISA-88-Auditvorgaben. Dieser Leitfaden behandelt die Designprinzipien der DeltaV Phase Logic SFC, die Modbus-TCP-Registerzuordnung des Woodward EasyGen 3200 für die Generator-Synchronisationsverriegelung, das Design von Hold- und Abort-Pfaden sowie die Diagnose der vier häufigsten SFC-Stapel-Ausfallmuster.
Liste empfohlener Produkte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte
Emerson KL3105X1-LS1 12P6551X032 Isolierte Charm-Karte

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart Analog-Eingangs-CHARM-Modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC Trockenkontakt CHARM-Modul

Emerson
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul
Emerson DeltaV KL3005X1-LS1 Isoliertes digitales Eingangs-Charm-Modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM Adress-Terminal

Emerson
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM Klemmenblock PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul
Emerson DeltaV KL1501X1-BA1 CSLS Stromversorgungsmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Trockenkontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul
Emerson KL3031X1-BA1 RTD/Widerstandseingang CHARM-Modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul
GE Fanuc IC693UAA003 Series 90 Micro SPS-Modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul
GE Fanuc RX3i IC694MDL730 12/24VDC Positiv-Logik Ausgangsmodul

GE