• صفحه اصلی
  • اخبار
  • آمادگی برای ممیزی ایمنی عملکردی IEC 61511: ساخت بسته شواهد قابل دفاع برای سیستم‌های ابزار ایمنی Invensys Triconex

آمادگی برای ممیزی ایمنی عملکردی IEC 61511: ساخت بسته شواهد قابل دفاع برای سیستم‌های ابزار ایمنی Invensys Triconex

IEC 61511 Functional Safety Audit Preparation: Building a Defensible Evidence Package for Invensys Triconex Safety Instrumented Systems

ممیزی‌کنندگان در واقع به دنبال چه چیزی هستند

ممیزی ایمنی عملکردی بر اساس IEC 61511 صرفاً بررسی اسناد نیست — بلکه تحلیل شکاف بین مشخصات نیازمندی‌های ایمنی (SRS) شما و سیستم ساخته‌شده و نگهداری‌شده است. ممیزی‌کنندگان ابتدا سه مورد را بررسی می‌کنند: کامل بودن پرونده ایمنی، صحت سوابق تست اثبات، و اعتبار ادعای SIL. برای نصب Invensys Triconex T3000 یا Tricon CX، بسته شواهد باید نشان دهد که SIS مطابق با SRS طراحی، نصب و نگهداری شده است. وجود شکاف در هر یک از این حوزه‌ها می‌تواند SIL مؤثر را از SIL 2 به SIL 1 کاهش دهد — یا در موارد شدید، پرونده ایمنی را کاملاً بی‌اعتبار کند.

ابتدا، سند کامل SRS شامل تمام توصیف‌های عملکردهای ایمنی ابزارشده (SIF)، اهداف SIL و نرخ تقاضای فرآیند را جمع‌آوری کنید. دوم، تأیید کنید که تمام پیکربندی‌های پروژه TriStation 1131 با SRS مطابقت دارند — معماری، منطق رأی‌گیری، منطق دورزدن و پوشش تشخیصی. سوم، اطمینان حاصل کنید که سوابق تست اثبات امضا شده، تاریخ‌دار و شامل زمان‌های پاسخ به‌دست‌آمده (as-found) هستند — نه فقط جعبه‌های تأیید موفق/ناموفق.

محاسبه مجدد PFDavg و تأیید SIL

احتمال خرابی در تقاضا (میانگین) — PFDavg — قابلیت اطمینان SIS را در طول بازه تست اثبات اندازه‌گیری می‌کند. SIL 2 نیازمند PFDavg بین 1×10⁻³ و 1×10⁻² است. معماری Triconex T3000 TMR با منطق رأی‌گیری 2oo3 به دلیل پوشش تشخیصی بالا (DC ≥ 99%) و افزونگی ذاتی، مقادیر پایین PFDavg را به دست می‌آورد. با این حال، PFDavg منتشرشده در گزارش‌های FMEDA Triconex فرض می‌کند بازه‌های تست اثبات و شرایط عملیاتی خاصی را.

PFDavg را برای هر SIF با استفاده از فرمول ساده‌شده برای زیرسیستم 1oo1 محاسبه مجدد کنید: PFDavg = λDU × Ti / 2، که در آن λDU نرخ خرابی خطرناک کشف‌نشده و Ti بازه تست اثبات به ساعت است. برای Triconex T3000 با λDU = 2.3×10⁻⁷ در ساعت (از FMEDA Triconex نسخه 4) و Ti = 8760 ساعت (تست سالانه): PFDavg = 2.3×10⁻⁷ × 8760 / 2 = 1.0×10⁻³. این دقیقاً در مرز پایین SIL 2 قرار دارد — بدون حاشیه. کاهش Ti به 4380 ساعت (تست نیم‌ساله) PFDavg را به 5.0×10⁻⁴ کاهش می‌دهد و SIF را به‌راحتی در محدوده SIL 2 قرار می‌دهد.

عنصر نهایی (شیر ESD یا دستگاه خاموش‌کننده) اغلب بیشترین سهم را در PFDavg SIF دارد، نه حل‌کننده منطق Triconex. یک شیر سلونوئیدی معمولی با λDU = 5×10⁻⁷ در ساعت و Ti = 8760 ساعت، PFDavg = 2.2×10⁻³ را ایجاد می‌کند — که به تنهایی بودجه SIL 2 را مصرف می‌کند. تست نیمه‌حرکتی (PST) در بازه‌های سه‌ماهه این سهم را به 5.5×10⁻⁴ کاهش داده و حاشیه معنی‌دار PFDavg را بازیابی می‌کند.

اصلاح شکاف سوابق تست اثبات

شایع‌ترین یافته ممیزی در نصب‌های Triconex، ناقص بودن سوابق تست اثبات است. بند 16.2.5 استاندارد IEC 61511 می‌گوید سوابق تست اثبات باید شامل: تاریخ تست، هویت تکنسین، روش تست، وضعیت as-found، نتیجه تست و وضعیت as-left باشند. سوابقی که فقط امضا و علامت «PASS» دارند، مطابق نیستند.

  • گام 1: هر رکورد تست اثبات SIF را از آخرین بازه تست اثبات ممیزی کنید. ماتریس شکاف بسازید: شماره SIF، تاریخ تست، فیلدهای ناقص، تکنسین مسئول.
  • گام 2: برای سوابقی که زمان پاسخ as-found را ندارند، با تکنسین اصلی تماس بگیرید و درخواست اعلامیه قانونی مقدار اندازه‌گیری‌شده از حافظه کنید — اگر در جای دیگری مستند شده باشد (دفترچه میدانی، سیستم کالیبراسیون). اعلامیه را به رکورد اصلی ضمیمه کنید.
  • گام 3: برای سوابقی که هیچ داده as-found ندارند، شکاف را به صورت رسمی به عنوان عدم انطباق در سیستم مدیریت ایمنی مستند کنید. اقدام اصلاحی تعیین کنید تا در اولین فرصت نگهداری، تست اثبات برنامه‌ریزی‌نشده انجام شود و مبنای تازه as-found ایجاد گردد.
  • گام 4: قالب تست اثبات ساختاریافته‌ای در CMMS (مانند SAP PM) پیاده‌سازی کنید. قالب باید فیلدهای اجباری را اعمال کند — زمان پاسخ به میلی‌ثانیه، تأیید حرکت عنصر نهایی، و عکس فوری تشخیصی Triconex TriStation قبل و بعد از تست. رکورد را قفل کنید تا انتخاب PASS بدون وارد کردن زمان پاسخ عددی ممکن نباشد.

الزامات مستندسازی مدیریت دورزدن

مدیریت دورزدن یک الزام حیاتی بند 11.9.4 استاندارد IEC 61511 است. هر بار که یک SIF Triconex T3000 در حالت دورزدن قرار می‌گیرد، ریسک باقی‌مانده افزایش می‌یابد — عملکرد ایمنی در دسترس نیست. ثبت دورزدن باید شامل: دلیل دورزدن، مرجع تأیید، زمان شروع، زمان پایان برنامه‌ریزی‌شده و اقدامات جبرانی اجراشده در دوره دورزدن باشد.

در TriStation 1131، شرایط دورزدن از طریق متغیرهای INHIBIT یا BYPASS در برنامه کنترل پیاده‌سازی می‌شوند. هر متغیر INHIBIT باید به کلید فیزیکی یا برچسب مجوز در سطح SCADA نگاشت شود. برنامه TriStation را طوری پیکربندی کنید که هر بار وضعیت متغیر INHIBIT تغییر کند، رویداد دورزدن را در لاگ SOE (دنباله رویدادها) ثبت کند. زمان‌سنج SOE مسیر ممیزی مورد نیاز توسط IEC 61511 را فراهم می‌کند.

SRS باید حداکثر مدت زمان مجاز دورزدن برای هر SIF را بر اساس نرخ تقاضای فرآیند تعریف کند. برای SIFی که در برابر خطری با نرخ تقاضای فرآیند 0.1 در سال محافظت می‌کند، حداکثر مدت دورزدن بدون اقدامات جبرانی معمولاً 72 ساعت است. ممیزی‌کنندگان لاگ دورزدن CMMS را با لاگ SOE مقایسه می‌کنند — اختلاف بین این دو نشان‌دهنده عملکرد نادرست فرآیند کنترل دورزدن است و به عنوان نقص سیستماتیک تحت بند 5 استاندارد IEC 61511 محسوب می‌شود.

چک‌لیست تأیید پیکربندی پیش از ممیزی

  • گزارش پیکربندی پروژه TriStation 1131 را صادر کرده و تمام نقاط تنظیم قطع SIF را با SRS مقایسه کنید. هر انحراف نیازمند ثبت مدیریت تغییر (MOC) با تاریخ قبل از اجرای تغییر است.
  • تأیید کنید نسخه فرم‌ویر Triconex T3000 با نسخه‌ای که در پرونده ایمنی تأیید شده مطابقت دارد. به‌روزرسانی فرم‌ویر Triconex در صورت تأثیر بر عملکرد ایمنی نیازمند اعتبارسنجی مجدد طبق بند 11.8.5 استاندارد IEC 61511 است.
  • اطمینان حاصل کنید تمام بازه‌های تست تشخیصی در محدوده مقادیر مشخص‌شده در SRS هستند. چرخه تست خودکار ماژول T3000 به طور پیش‌فرض 1 ساعت است — بررسی کنید این بازه به منظور کاهش فرکانس هشدار DIAG_FAIL در SCADA به بازه طولانی‌تر تغییر نکرده باشد.
  • بررسی کنید تاریخ و زمان Triconex T3000 با سرور NTP کارخانه همگام‌سازی شده باشد. زمان‌سنج‌های SOE ناهمگام یک عدم انطباق رایج در ممیزی است که ترتیب تمام رویدادهای ایمنی تاریخی را زیر سؤال می‌برد.
  • لاگ تغییرات در TriStation را برای هر تغییر پیکربندی بدون ثبت MOC مرتبط بررسی کنید. تغییرات غیرمجاز یک عدم انطباق جدی تحت بند 5.2.4 استاندارد IEC 61511 (مدیریت ایمنی عملکردی) هستند.

نتیجه‌گیری و توصیه‌های عملی

آماده‌سازی نصب Invensys Triconex برای ممیزی ایمنی عملکردی IEC 61511 نیازمند جمع‌آوری سیستماتیک شواهد است، نه تولید اسناد در آخرین لحظه. PFDavg را برای هر SIF با استفاده از بازه‌های تست اثبات واقعی و داده‌های FMEDA نصب‌شده مجدداً محاسبه کنید — به جداول SIL منتشرشده بدون تأیید اعتماد نکنید. سوابق تست اثبات را برای نبود زمان پاسخ as-found ممیزی کرده و شکاف‌ها را به صورت رسمی اصلاح کنید. سوابق مدیریت دورزدن را در هر دو CMMS و لاگ SOE Triconex تأیید کنید — اختلاف‌ها نشان‌دهنده نقص‌های فرآیندی سیستماتیک هستند.

چک‌لیست تأیید پیکربندی را ۳۰ روز قبل از ممیزی تکمیل کنید تا زمان کافی برای مستندسازی MOC هر انحراف کشف‌شده وجود داشته باشد. یک مهندس ایمنی عملکردی ماهر را برای بازبینی بسته شواهد پیش از ورود ممیزی‌کننده درگیر کنید. کشف شکاف SIL 2 در طول ممیزی بسیار پرهزینه‌تر است — از نظر زمان، هزینه و ریسک فرآیند — نسبت به کشف آن در بازبینی داخلی.

نویسنده: فانگ هائوران، مهندس اتوماسیون صنعتی با بیش از ۱۰ سال تجربه در PLC، DCS و سیستم‌های کنترل.

بازگشت به وبلاگ
نمایش همه
پست های وبلاگ
نمایش همه
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

چرا حسگرهای RTD باید در پایین‌دست صفحات اوریفیس نصب شوند

نصب یک RTD در بالادست صفحه اوریفیس باعث اختلال در خوانش فشار تفاضلی به دلیل ایجاد گردابه‌های ترموول می‌شود. این مقاله فیزیک خیابان گردابه فون کارمان، الزامات نصب در پایین‌دست طبق استانداردهای ISO 5167 و ASME MFC-3M، قانون حداقل فاصله ۵D، تطابق فرکانس بیدار شدن ترموول و یک روش نصب ۷ مرحله‌ای برای مجموعه‌های ترکیبی صفحه اوریفیس و RTD را توضیح می‌دهد.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

فلومتر ورتکس: اصول کار، معیارهای انتخاب و راه‌اندازی میدانی

یک فلومتر گردابی بر اساس اصل ریزش گرداب فون کارمان عمل می‌کند و دقت بلندمدت عالی در خدمات بخار، گاز و مایعات با ویسکوزیته پایین بدون قطعات متحرک ارائه می‌دهد. این راهنما شامل فیزیک عدد استروهال، محدودیت‌های عدد رینولدز، اندازه‌گیری فلومتر، نیازهای مسیر مستقیم برای ABB VortexMaster FSV430 و مراحل راه‌اندازی میدانی برای یکپارچه‌سازی فرمان‌دهنده توربین Woodward است.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

سیم‌کشی ترموکوپل، استانداردها و عیب‌یابی: راهنمای عملی میدانی

اندازه‌گیری دقیق ترموکوپل نیازمند انتخاب نوع صحیح، سیم توسعه هماهنگ و جبران اتصال سرد قابل اعتماد است. این راهنما شامل کدهای نوع IEC 60584 و دامنه‌های کاربردی، انتخاب سیم توسعه و کابل جبران‌کننده، ترمینال‌های Phoenix Contact WTOP CJC، پیکربندی Yokogawa YTA110 CJC و تشخیص سیستماتیک خطا برای مدار باز، اتصال کوتاه و انحراف کالیبراسیون می‌باشد.
لیست محصولات پیشنهادی
کارت شارم ایزوله امرسون KL3105X1-LS1 12P6551X032
کارت شارم ایزوله امرسون KL3105X1-LS1 12P6551X032

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
ماژول ورودی آنالوگ هارت امبرسون DeltaV KL3021X1-LS1، جریان 4–20 میلی‌آمپر
ماژول ورودی آنالوگ هارت امبرسون DeltaV KL3021X1-LS1، جریان 4–20 میلی‌آمپر

Emerson
امرسون DeltaV KL3003X1-BA1 ماژول CHARM ورودی دیجیتال 24 ولت DC تماس خشک
امرسون DeltaV KL3003X1-BA1 ماژول CHARM ورودی دیجیتال 24 ولت DC تماس خشک

Emerson
ماژول ورودی دیجیتال ایزوله امرسون DeltaV KL3005X1-LS1
ماژول ورودی دیجیتال ایزوله امرسون DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | امرسون دلتاوی | ترمینال آدرس I.S. CHARM
KL4510X1-EA1 | امرسون دلتاوی | ترمینال آدرس I.S. CHARM

Emerson
ترمینال بلاک ایمنی امرسون دلتاوی مدل CHARM شماره قطعه: KL4510X1-DA1
ترمینال بلاک ایمنی امرسون دلتاوی مدل CHARM شماره قطعه: KL4510X1-DA1

Emerson
ماژول توان CSLS امرسون DeltaV KL1501X1-BA1
ماژول توان CSLS امرسون DeltaV KL1501X1-BA1

Emerson
KL3003X1-LS1 | امرسون دلتاوی | LS DI 24 ولت جریان مستقیم تماس خشک CHARM
KL3003X1-LS1 | امرسون دلتاوی | LS DI 24 ولت جریان مستقیم تماس خشک CHARM

Emerson
ماژول CHARM ورودی RTD/مقاومت امرسون KL3031X1-BA1
ماژول CHARM ورودی RTD/مقاومت امرسون KL3031X1-BA1

Emerson
ماژول PLC میکرو سری 90 مدل GE Fanuc IC693UAA003
ماژول PLC میکرو سری 90 مدل GE Fanuc IC693UAA003

GE
ماژول خروجی منطق مثبت GE Fanuc RX3i IC694MDL730 12/24VDC
ماژول خروجی منطق مثبت GE Fanuc RX3i IC694MDL730 12/24VDC

GE