• Maison
  • Actualités
  • Validation du transfert sans interruption du contrôleur redondant DCS et intégration de l'interverrouillage SIS : ABB Symphony Plus AC800M et HIMA HIMatrix F30

Validation du transfert sans interruption du contrôleur redondant DCS et intégration de l'interverrouillage SIS : ABB Symphony Plus AC800M et HIMA HIMatrix F30

DCS Redundant Controller Bumpless Transfer Validation and SIS Interlock Integration: ABB Symphony Plus AC800M and HIMA HIMatrix F30

Architecture DCS redondante et exigences de basculement

ABB Symphony Plus utilise le contrôleur AC800M PM866 en configuration redondante avec un lien de secours à chaud CEX-Bus. Les contrôleurs principal et redondant synchronisent la mémoire interne toutes les 20 ms via le CEX-Bus. Lors d’un basculement, le contrôleur de secours doit prendre le contrôle sans provoquer de saut mesurable sur les sorties analogiques ou les états de commande numérique. ABB définit le transfert sans à-coup comme une déviation de sortie inférieure à 0,1 % de l’étendue pendant la transition de basculement.

Les contrôleurs de sécurité HIMA HIMatrix F30 fonctionnent indépendamment de la couche BPCS ABB Symphony Plus. Cependant, les deux systèmes partagent des verrouillages de sécurité câblés en dur et échangent des données d’état via EtherNet/IP. L’architecture d’intégration exige qu’un basculement du contrôleur Symphony Plus ne provoque pas une perte de connexion EtherNet/IP erronée qui déclencherait une fonction de sécurité HIMatrix F30. Les ingénieurs doivent valider à la fois le timing du transfert sans à-coup et le temps de récupération de la connexion EtherNet/IP dans le cadre des protocoles de test d’acceptation en usine et sur site.

Procédure de mesure du timing du transfert sans à-coup

Validez la performance du transfert sans à-coup avec une mesure instrumentée — ne vous fiez jamais à l’observation de l’opérateur. Le basculement de redondance AC800M PM866 prend environ 80 à 150 ms selon la charge du contrôleur. Pendant cette période, les modules de sortie maintiennent leur dernière valeur.

  • Étape 1 : Connectez un oscilloscope ou un enregistreur de données haute vitesse à la sortie 4–20 mA d’un module de sortie analogique AO890. Réglez la fréquence d’échantillonnage à au moins 1 kHz. Configurez un déclencheur sur la LED d’indication de défaut du CEX-Bus ou sur la balise OPC REDUNDANCY STATUS dans Symphony Plus Operations.
  • Étape 2 : Dans ABB Control Builder M, réglez la sortie du contrôleur actif sur une valeur stable — 12,000 mA (50 % du point de consigne). Lancez un basculement manuel via le panneau de gestion de redondance de Control Builder M. Enregistrez le pic de déviation de sortie AO890 et le temps de récupération sur l’oscilloscope.
  • Étape 3 : Résultat acceptable : déviation de sortie inférieure à 0,5 mA (±3 % de l’étendue pour une plage 0–100 %), récupération en moins de 200 ms. Si la sortie présente un saut supérieur à 1,0 mA, le programme du contrôleur contient une séquence de réinitialisation qui remet à zéro les valeurs de sortie au démarrage. Identifiez et supprimez toutes les instructions d’écriture de sortie inconditionnelles dans le premier cycle de balayage du programme.
  • Étape 4 : Répétez le test avec une charge CPU à 80 %. Une forte utilisation CPU au moment du basculement augmente le temps de maintien de sortie à 200–300 ms sur certaines versions du firmware PM866. Documentez le saut maximal observé à la charge CPU cible et comparez-le aux exigences du procédé.

Récupération de la connexion EtherNet/IP lors du basculement

Le HIMA HIMatrix F30 communique avec ABB Symphony Plus via EtherNet/IP Classe 1 (messagerie implicite). Le HIMatrix F30 agit comme adaptateur EtherNet/IP ; le scanner EtherNet/IP de Symphony Plus Control Builder M initie la connexion. Lors d’un basculement du contrôleur Symphony Plus, la session du scanner EtherNet/IP se termine puis se rétablit sur le contrôleur de secours.

Le délai d’attente par défaut de la connexion EtherNet/IP du HIMatrix F30 est de 500 ms (5× RPI à 100 ms par défaut). Si le basculement Symphony Plus dépasse 500 ms, la connexion HIMatrix F30 expire et fait passer les données d’entrée de sécurité associées à un état SÛR. Cela peut déclencher une fonction de sécurité intempestive sur tout SIF utilisant des données EtherNet/IP comme entrée permissive.

Stratégie d’atténuation : augmentez le délai d’attente de connexion EtherNet/IP du HIMatrix F30 à 2000 ms dans la configuration SILworx (Adaptateur → Connexion EIP → Multiplicateur de délai = 20× RPI). Vérifiez que ce changement est documenté dans le dossier de validation SIL — la clause 11.9.3 de la norme IEC 61511 exige que toutes les modifications des paramètres logiciels liés à la sécurité soient formellement évaluées. Réduisez l’utilisation CPU du contrôleur Symphony Plus en régime permanent à moins de 50 % pour que le basculement s’achève en moins de 300 ms, offrant une marge de sécurité de 6× par rapport au délai d’attente de 2000 ms.

Câblage des verrouillages de sécurité câblés en dur entre systèmes

Les modules HIMatrix F30 F-DI (Entrée numérique sécurisée) utilisent une entrée double canal 24 VCC avec test d’impulsion interne à 1 Hz. Chaque canal d’entrée est connecté à une borne d’appareil terrain distincte. Les deux canaux doivent être concordants dans un délai de 200 ms pour que l’entrée soit enregistrée comme VRAIE.

Erreur de câblage fréquente : les ingénieurs connectent les deux canaux F-DI à la même borne terrain au lieu de contacts relais séparés. Cette configuration à canal unique compromet l’intégrité double canal du HIMatrix F30 et invalide la revendication SIL 2. Le diagnostic SILworx de HIMA signale ce défaut de discordance CH1/CH2 uniquement lorsque le point de défaillance unique s’ouvre. Par conséquent, vérifiez la continuité du câblage double canal par un test de traction sur chaque noyau de câble lors de la mise en service.

Pour le module d’entrée numérique DI820 d’ABB Symphony Plus recevant le statut de déclenchement câblé en dur du HIMatrix F30 F-DO (Sortie numérique sécurisée), configurez le temps de filtrage d’entrée DI820 à 10 ms. Cela empêche le signal de test d’impulsion interne HIMatrix F30 (1 Hz, impulsion OFF de 5 ms) d’être enregistré comme un déclenchement erroné dans le journal d’événements Symphony Plus.

Intégration du test de preuve SIL 2 avec le mode maintenance DCS

  • Étape 1 : Activez le mode maintenance Symphony Plus pour les boucles de contrôle concernées. Cela bascule les régulateurs PID BPCS en mode Manuel avec maintien de la dernière valeur.
  • Étape 2 : Envoyez une commande de mode test EtherNet/IP de Symphony Plus vers le HIMatrix F30 (paramètre SILworx : PROOF_TEST_MODE = 1).
  • Étape 3 : Exécutez la séquence de test de preuve selon le modèle de rapport de test de preuve HIMA SILworx (section 6.3) : vérifiez que le relais de déclenchement s’ouvre dans les 150 ms suivant la demande simulée, vérifiez que la logique de réinitialisation s’efface correctement, vérifiez la détection de discordance entre capteurs redondants. Le temps de réponse du module HIMatrix F3 DIO doit être confirmé conformément à la spécification d’exigence SIL 2.
  • Étape 4 : Quittez le mode PROOF_TEST_MODE et confirmez que le HIMatrix F30 revient à la surveillance normale.
  • Étape 5 : Désactivez le mode maintenance Symphony Plus et vérifiez que les régulateurs PID repassent en mode Auto sans saut de sortie. Documentez tous les temps de réponse constatés et comparez-les aux exigences SIL 2 (PFDavg doit rester dans les limites définies par la spécification de sécurité).

Conclusion et conseils d’action

L’intégration des contrôleurs redondants ABB Symphony Plus AC800M avec les systèmes de sécurité HIMA HIMatrix F30 nécessite une validation à trois niveaux : performance du transfert sans à-coup, timing de récupération de la connexion EtherNet/IP, et intégrité du câblage d’entrée de sécurité double canal. Mesurez le transfert sans à-coup avec un enregistreur de données à 1 kHz — l’inspection visuelle est insuffisante. Réglez le délai d’attente de connexion EtherNet/IP du HIMatrix F30 à 2000 ms pour supporter les basculements de contrôleur sous charge. Vérifiez physiquement le câblage double canal F-DI — les défauts de discordance restent cachés jusqu’à une défaillance en service sur un canal unique.

Coordonnez les procédures de test de preuve avec le mode maintenance Symphony Plus pour maintenir la continuité du contrôle de procédé lors des tests de fonction de sécurité IEC 61511. Documentez chaque changement de paramètre dans le dossier de validation SIL. Un réglage de délai d’attente de connexion à 2000 ms non documenté et non évalué constitue une lacune de conformité que les auditeurs détecteront — ce qui pourrait invalider la revendication SIL 2 pour toute la boucle de sécurité.

Auteur : Jiang Bolun est un ingénieur en automatisation industrielle avec plus de 10 ans d’expérience en PLC, DCS et systèmes de contrôle.

Retour au blog
Afficher tout
Articles de blog
Afficher tout
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Contrôle de séquence par lots utilisant les graphiques de fonctions séquentielles DCS : configuration Emerson DeltaV SFC et verrouillage de synchronisation Woodward EasyGen 3200

Le contrôle de processus par lots utilisant les structures formelles IEC 61131-3 Sequential Function Chart dans Emerson DeltaV évite les blocages des machines à états et simplifie la conformité à l'audit ISA-88. Ce guide couvre les principes de conception de la logique de phase DeltaV SFC, la cartographie des registres Modbus TCP Woodward EasyGen 3200 pour l'interverrouillage de synchronisation des générateurs, la conception des chemins Hold et Abort, ainsi que le diagnostic des quatre schémas d’échec de batch SFC les plus courants.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1 : Conception et mise en service du segment

Foundation Fieldbus H1 exécute des blocs fonctionnels de contrôle à l'intérieur des appareils de terrain, assurant le contrôle même en cas de défaillance de la communication avec l'hôte — un avantage clé pour les boucles SIL-2 et SIL-3. Ce guide couvre le calcul du budget de puissance FF H1, l'analyse de la chute de tension, la protection contre les courants d'appel par démarrage progressif, la procédure de mise en service en 5 étapes, la planification des blocs fonctionnels et le diagnostic systématique des pannes pour les défaillances de segment, les interruptions intermittentes des appareils et les erreurs de résistance de terminaison.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

Diagnostic des pannes de communication PROFINET IO : dépannage sur le terrain de l'ABB AC500 CM575-PNIO et du Phoenix Contact AXL F DI16

Les défaillances de communication PROFINET IO entre l'ABB AC500 CM575-PNIO et l'E/S distribuée Phoenix Contact Axioline F sont une source fréquente d'arrêts non planifiés. Ce guide couvre les vérifications des câbles de la couche physique, la vérification de la version GSDML, la résolution des conflits de noms d'appareils, le réglage de la surveillance AR, ainsi qu'une procédure d'isolation des pannes en six étapes utilisant la cartographie des bits du registre DIAG_STATUS et les alarmes de diagnostic de canal.
Liste des produits recommandés
Carte d'extension isolée Emerson KL3105X1-LS1 12P6551X032 Charm
Carte d'extension isolée Emerson KL3105X1-LS1 12P6551X032 Charm

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Module d'entrée analogique Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA
Module d'entrée analogique Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 Module CHARM de contact sec DI 24 VCC
Emerson DeltaV KL3003X1-BA1 Module CHARM de contact sec DI 24 VCC

Emerson
Module de charme d'entrée numérique isolée Emerson DeltaV KL3005X1-LS1
Module de charme d'entrée numérique isolée Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal d'adresse I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal d'adresse I.S. CHARM

Emerson
Bloc de bornes Emerson DeltaV I.S. CHARM Réf. : KL4510X1-DA1
Bloc de bornes Emerson DeltaV I.S. CHARM Réf. : KL4510X1-DA1

Emerson
Module d'alimentation Emerson DeltaV KL1501X1-BA1 CSLS
Module d'alimentation Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | Entrée LS 24 VCC Contact Sec CHARM
KL3003X1-LS1 | Emerson DeltaV | Entrée LS 24 VCC Contact Sec CHARM

Emerson
Module CHARM d'entrée RTD/Résistance Emerson KL3031X1-BA1
Module CHARM d'entrée RTD/Résistance Emerson KL3031X1-BA1

Emerson
Module PLC Micro Série 90 GE Fanuc IC693UAA003
Module PLC Micro Série 90 GE Fanuc IC693UAA003

GE
Module de sortie logique positive GE Fanuc RX3i IC694MDL730 12/24VCC
Module de sortie logique positive GE Fanuc RX3i IC694MDL730 12/24VCC

GE