مدیریت عبور ایمنی و لغو دستور IEC 61511: راهنمای عملی HIMA HIMatrix F60 و Triconex T3000

Bypass Management, HIMA HIMatrix F60, IEC 61511, Industrial Automation, Override Management, PFDavg, Safety Bypass, SIL 2, Triconex T3000, TriStation 1131
آوریل 23، 2026

IEC 61511 Safety Bypass and Override Management: HIMA HIMatrix F60 and Triconex T3000 Practical Guide

چرا مدیریت بای‌پس یک ریسک انطباقی است

هر مهندس میدانی حداقل یک بار در طول نگهداری، یک سنسور را بای‌پس کرده است. سوال واقعی این است که آیا آن بای‌پس مجاز، ثبت شده و به موقع بسته شده است یا خیر. بند 11.9 استاندارد IEC 61511 مدیریت بای‌پس را به عنوان یک عنصر اجباری در چرخه عمر ایمنی تعریف می‌کند، نه یک روش اختیاری و بهترین عملکرد. عدم رعایت این بند ادعای SIL شما را بی‌اعتبار می‌کند و کارخانه را در معرض خرابی‌های خطرناک و کشف‌نشده قرار می‌دهد.

HIMA HIMatrix F60 و Triconex T3000 هر دو مکانیزم‌های جلوگیری سخت‌افزاری را فراهم می‌کنند. با این حال، رویه‌های مربوط به این مکانیزم‌ها تعیین می‌کند که آیا شما با IEC 61511 منطبق هستید یا صرفاً بای‌پس کرده‌اید بدون هیچ ردپایی. بای‌پس ایمنی به طور موقت یک کانال یا عملکرد خاص را غیرفعال می‌کند. اورراید ایمنی خروجی را بدون توجه به منطق به یک حالت تعریف شده مجبور می‌کند. هر دو دارای پروفایل‌های ریسک متفاوت و نیازمند سطوح مجوز متفاوت هستند.

طبقه‌بندی بای‌پس: سه دسته که باید جدا کنید

استاندارد IEC 61511 یک نوع بای‌پس واحد تعریف نمی‌کند. شما باید هر اقدام را قبل از اعمال آن طبقه‌بندی کنید. سه دسته عبارتند از: جلوگیری نگهداری، بای‌پس تست اثبات و اورراید اضطراری:

جلوگیری نگهداری: یک کانال ورودی را در طول کالیبراسیون غیرفعال می‌کند. توسط مهندس SIS مجاز شده، حداکثر مدت زمان ۴ ساعت، نیازمند مجوز کار است.
بای‌پس تست اثبات: منطق رأی‌گیری را برای یکی از دو یا سه کانال معلق می‌کند. توسط مدیر ایمنی مجاز شده، نباید از فاصله تست اثبات تقسیم بر سه بیشتر شود.
اورراید اضطراری: خروجی شیر ESD را در طول راه‌اندازی غیرعادی باز یا بسته می‌کند. به طور مشترک توسط مدیر عملیات و مسئول ایمنی مجاز شده، حداکثر مدت زمان ۱۵ دقیقه.

در HIMA HIMatrix F60، هر نوع بای‌پس به کلاس متغیر متفاوتی در SILworx نگاشت می‌شود. جلوگیری نگهداری از بیت F-DI inhibit در برنامه ایمنی استفاده می‌کند. بای‌پس تست اثبات از بلوک عملکرد TEST_MODE_CH اختصاصی بهره می‌برد. اورراید اضطراری از بلوک FORCE_OUT با قفل کلید سخت‌افزاری استفاده می‌کند. ماژول HIMatrix F3 DIO کانال‌های ورودی/خروجی فیزیکی را فراهم می‌کند که این بیت‌های جلوگیری را کنترل می‌کنند.

در Triconex T3000، TriStation 1131 دستور BYPASS_DI و دستور جداگانه FORCE_DO را ارائه می‌دهد. هر دو نیازمند نام کاربری و رمز عبور منحصر به فرد در لاگ حسابرسی TriStation هستند. T3000 به طور خودکار هر تغییر وضعیت را با دقت ۱ میلی‌ثانیه در SOE ثبت می‌کند.

رویه جلوگیری سخت‌افزاری در HIMA HIMatrix F60

گام ۱: پروژه SILworx را به صورت آنلاین باز کنید. به I/O Manager بروید و قبل از اعمال هرگونه جلوگیری، وضعیت کانال را GOOD تأیید کنید.
گام ۲: متغیر INHIBIT_CH را برای کانال هدف به TRUE تنظیم کنید. تأیید کنید که نمایشگر تشخیصی HIMatrix وضعیت INHIBIT را نشان می‌دهد، نه FAULT.
گام ۳: اطمینان حاصل کنید که منطق رأی‌گیری هنوز به درستی روی کانال‌های باقی‌مانده کار می‌کند. برای سنسور 2oo3، منطق باید در حالت 1oo2 در طول جلوگیری عمل کند. بیت خروجی VOTER_STATUS را در ماژول HIMatrix F3 DIO بررسی کنید.
گام ۴: زمان شروع جلوگیری، شناسه کانال، دلیل بای‌پس و نام شخص مجاز را در سیستم مجوز کار ثبت کنید. در سیستم DCS یا SCADA با استفاده از تایمر TON با پیش‌تنظیم T#4H، هشدار حداکثر ۴ ساعت تنظیم کنید.
گام ۵: کار نگهداری را انجام دهید. در طول جلوگیری اتاق کنترل را بدون مراقبت رها نکنید.
گام ۶: INHIBIT_CH را به FALSE بازنشانی کنید. تأیید کنید که کانال به وضعیت GOOD بازمی‌گردد. مجوز کار را با خوانش کانال و زمان ثبت شده به عنوان وضعیت پایان یافته امضا کنید. اگر کانال پس از بازنشانی به وضعیت GOOD بازنگشت، جلوگیری را حذف نکنید — ابتدا سیم‌کشی میدانی را بررسی کنید قبل از بازگرداندن منطق رأی‌گیری به حالت عادی.

اورراید سخت‌افزاری در Triconex T3000: پیکربندی FORCE_DO

معماری Triconex T3000 TMR رأی‌گیری سه کاناله را روی هر خروجی فراهم می‌کند. دستور FORCE_DO آن رأی‌گیری را نادیده می‌گیرد و رله فیزیکی را بدون توجه به وضعیت منطق فعال می‌کند. FORCE_DO را در TriStation به صورت زیر پیکربندی کنید:

ابتدا، بلوک عملکرد نیازمند ورودی FORCE_ENABLE است که توسط کلید سخت‌افزاری اختصاصی فعال می‌شود. کلید را به ورودی دیجیتال اضافی در شاسی TRICON وصل کنید، نه به متغیر نرم‌افزاری — این از اورراید غیرمجاز فقط نرم‌افزاری جلوگیری می‌کند. دوم، خروجی FORCE_DO.OUTPUT را به متغیر خروجی سلونوئید شیر ESD متصل کنید. FORCE_DO.FORCE_VALUE را به حالت ایمن مورد نیاز تنظیم کنید (TRUE برای شیرهای معمولاً باز، FALSE برای شیرهای معمولاً بسته). سوم، یک تایمر TON با پیش‌تنظیم T#15M به ورودی FORCE_ENABLE اضافه کنید. اورراید به طور خودکار پس از ۱۵ دقیقه منقضی می‌شود بدون نیاز به اقدام اپراتور — که بند 11.9.4 استاندارد IEC 61511 درباره زمان‌بندی خودکار را برآورده می‌کند.

سیستم SOE در T3000 هر فعال‌سازی FORCE_DO را با نام کاربری، زمان ثبت و وضعیت کانال قبل و بعد ثبت می‌کند. این لاگ‌ها را ظرف ۲۴ ساعت پس از هر رویداد اورراید به CMMS خود صادر کنید.

محاسبه تأثیر PFDavg در طول بای‌پس‌های طولانی

هر ساعت که یک کانال غیرفعال باقی بماند، احتمال خرابی در تقاضا (PFD) برای آن حلقه افزایش می‌یابد. برای یک حلقه SIL 2 با نرخ خرابی خطرناک کشف‌نشده λDU برابر 1×10⁻⁵ در ساعت و فاصله تست اثبات Ti برابر ۸۷۶۰ ساعت، PFDavg پایه برابر ۰.۰۴۳۸ است.

اگر یک کانال از رأی‌دهنده 2oo3 را به مدت ۴ ساعت غیرفعال کنید، رأی‌گیری مؤثر به 1oo2 کاهش می‌یابد. PFDavg را با استفاده از فرمول 1oo2 مجدداً محاسبه کنید: PFDavg = 3 × (λDU × Ti/2)². PFD لحظه‌ای برای رأی‌دهنده کاهش‌یافته در این بازه ۴ ساعته تقریباً 1.4×10⁻⁶ می‌شود — که در محدوده SIL 2 (PFD بین ۱۰⁻³ تا ۱۰⁻²) باقی می‌ماند و تأیید می‌کند بای‌پس قابل قبول است. اگر نگهداری بیش از ۴ ساعت طول کشید، فوراً به مدیر ایمنی اطلاع دهید. بای‌پس طولانی‌تر از بازه مجاز نیازمند ثبت رسمی مدیریت تغییر (MOC) و بازنگری پرونده ایمنی قبل از ادامه کار است.

فرآیند پنج مرحله‌ای ردپای حسابرسی برای انطباق با IEC 61511

گام ۱: یک ثبت بای‌پس در CMMS خود (SAP PM، Maximo یا معادل آن) نگهداری کنید. هر ورودی باید شامل تگ حلقه، نوع بای‌پس، زمان شروع، شخص مجاز و زمان پایان مورد انتظار باشد.
گام ۲: HIMA HIMatrix SILworx را طوری پیکربندی کنید که تغییرات وضعیت INHIBIT_CH را به تگ سرور OPC DA بنویسد. Triconex T3000 SOE را برای صادر کردن به OSIsoft PI Historian با ویژگی‌های چارچوب دارایی IEC 61511 تنظیم کنید.
گام ۳: برای هر بای‌پسی که بیش از مدت زمان مجاز خود بیش از ۱۰ دقیقه طول کشید، هشدار SCADA تنظیم کنید. اولویت هشدار باید ISA-18.2 اولویت ۱ (ایمنی بحرانی) باشد.
گام ۴: پس از هر بای‌پس، تأیید کنید که خوانش کانال بازیابی شده در ±۱٪ از فرستنده مرجع مجاور است. مقادیر به‌دست‌آمده و به‌جا مانده را در مجوز بای‌پس ثبت کنید.
گام ۵: ماهانه، گزارش فرکانس بای‌پس را از PI Historian اجرا کنید. حلقه‌هایی که بیش از ۲ بای‌پس در ماه دارند نیازمند بررسی علت ریشه‌ای و برنامه اقدام اصلاحی ظرف ۳۰ روز هستند. سوابق بای‌پس SCADA را به طور خودکار با دستورکارهای CMMS با استفاده از اسکریپت تطبیق روزانه که OPC UA و CMMS REST API را پرس‌وجو می‌کند، تطبیق دهید.

نتیجه‌گیری و توصیه عملی

مدیریت بای‌پس و اورراید ایمنی مستقیماً بر محاسبه PFDavg تأثیر می‌گذارد که ادعای SIL 2 شما را توجیه می‌کند. HIMA HIMatrix F60 بیت‌های جلوگیری در سطح SILworx با تشخیص خودکار را فراهم می‌کند. Triconex T3000 FORCE_DO با قفل کلید سخت‌افزاری و ثبت زمان SOE را ارائه می‌دهد. هیچ‌کدام از این پلتفرم‌ها شما را محافظت نمی‌کنند اگر رویه‌های مربوطه غیررسمی یا غایب باشند.

با حسابرسی ثبت بای‌پس فعلی خود شروع کنید. اگر نمی‌توانید فهرست کاملی از تمام بای‌پس‌های فعال را در کمتر از ۵ دقیقه ارائه دهید، سیستم شما دارای شکاف انطباقی است. فرآیند پنج مرحله‌ای ردپای حسابرسی شرح داده شده را قبل از بررسی سوم شخص IEC 61511 بعدی خود اجرا کنید. هزینه یافتن عدم انطباق، بازنگری کامل پرونده ایمنی است — که بسیار گران‌تر از ساختن صحیح ردپا از ابتدا است.

نویسنده: چن مینگ‌ژی، مهندس اتوماسیون صنعتی با بیش از ۱۰ سال تجربه در PLC، DCS و سیستم‌های کنترل.

بازگشت به وبلاگ

نمایش همه

پست های وبلاگ

نمایش همه

Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock

ژوئن 17، 2026

DCS batch sequence troubleshooting, DeltaV Phase Logic, Emerson DeltaV SFC batch control, generator synchronization interlock, ISA-88 sequential function chart, Modbus register 40010, STEP_TIMEOUT configuration, Woodward EasyGen 3200 Modbus TCP

Liu Yang

کنترل توالی دسته‌ای با استفاده از نمودارهای عملکرد ترتیبی DCS: پیکربندی SFC امرسون دلتاوی و قفل همزمان‌سازی وودوارد ایزی‌جن ۳۲۰۰

کنترل پردازش دسته‌ای با استفاده از ساختارهای رسمی نمودار توالی عملکرد (SFC) مطابق با استاندارد IEC 61131-3 در سیستم Emerson DeltaV از بروز بن‌بست در ماشین حالت جلوگیری کرده و تطابق با ممیزی ISA-88 را ساده می‌کند. این راهنما اصول طراحی منطق فازی فاز DeltaV SFC، نگاشت رجیسترهای Modbus TCP دستگاه Woodward EasyGen 3200 برای قفل همزمان‌سازی ژنراتور، طراحی مسیرهای نگه‌داشت و انصراف، و تشخیص چهار الگوی رایج شکست دسته‌ای SFC را پوشش می‌دهد.

Foundation Fieldbus H1: Segment Design and Commissioning

ژوئن 16، 2026

Emerson DeltaV fieldbus, FF H1 segment design, fieldbus commissioning, fieldbus fault diagnosis, Foundation Fieldbus H1, function block scheduling, power budget calculation, Yokogawa Stardom FF H1

Weijia Chen

فاندیشن فیلدباس H1: طراحی و راه‌اندازی بخش

فاندیشن فیلدباس H1 بلوک‌های عملکرد کنترل را در داخل دستگاه‌های میدانی اجرا می‌کند و حتی در صورت قطع ارتباط با میزبان، کنترل را حفظ می‌کند — این یک مزیت کلیدی برای حلقه‌های SIL-2 و SIL-3 است. این راهنما شامل محاسبه بودجه توان FF H1، تحلیل افت ولتاژ، حفاظت در برابر جریان هجومی نرم‌راه‌اندازی، روش پنج مرحله‌ای راه‌اندازی، زمان‌بندی بلوک‌های عملکرد و تشخیص سیستماتیک خطا برای خرابی بخش، افت متناوب دستگاه‌ها و خطاهای مقاومت ترمینیشن می‌باشد.

PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting

ژوئن 16، 2026

ABB AC500 CM575-PNIO, AR watchdog timeout, GSDML version mismatch, IEC 61158, LLDP switch diagnostics, Phoenix Contact AXL F DI16, PROFINET CRC error, PROFINET IO fault diagnosis

Chen Hao

تشخیص خطای ارتباط PROFINET IO: عیب‌یابی میدانی ABB AC500 CM575-PNIO و Phoenix Contact AXL F DI16

خطاهای ارتباطی PROFINET IO بین ABB AC500 CM575-PNIO و سیستم ورودی/خروجی توزیع‌شده Phoenix Contact Axioline F منبع رایجی برای توقف‌های ناگهانی هستند. این راهنما شامل بررسی کابل‌های لایه فیزیکی، تأیید نسخه GSDML، رفع تعارض نام دستگاه، تنظیم نگهبان AR و یک روش شش مرحله‌ای برای عیب‌یابی با استفاده از نگاشت بیت‌های رجیستر DIAG_STATUS و هشدارهای تشخیص کانال است.