• Maison
  • Actualités
  • Procédure de test de boucle d'instrument pour les systèmes instrumentés de sécurité certifiés SIL

Procédure de test de boucle d'instrument pour les systèmes instrumentés de sécurité certifiés SIL

Instrument Loop Test Procedure for SIL-Rated Safety Instrumented Systems

Pourquoi les tests de boucle SIL diffèrent des vérifications de mise en service standard

Un test de boucle standard confirme la continuité du signal et la précision de l’échelle. Un test de boucle SIL fait tout cela, en plus de vérifier que la fonction de sécurité s’active à la bonne valeur de la variable de procédé, se désactive correctement après réinitialisation, et ne laisse aucun défaut latent. La clause 16.2 de la norme IEC 61511 exige des enregistrements documentés « tel que trouvé » et « tel que laissé » pour chaque boucle classée SIL à chaque intervalle de test de preuve. Ne pas documenter les données « tel que trouvé » avant ajustement invalide le test de preuve aux fins de conformité.

Pour les systèmes Allen-Bradley ControlLogix 1756-L85E, ouvrez Studio 5000 et localisez la tâche de sécurité. Confirmez que le tag logique de la fonction de sécurité correspond au SRS. Pour les systèmes Triconex T3000, ouvrez TriStation 1131 et vérifiez le réseau logique implémentant la fonction de protection. Les deux systèmes nécessitent un contournement de maintenance avant toute intervention physique. Confirmez l’intervalle de test de preuve — les boucles SIL 2 nécessitent généralement un intervalle de test de preuve de 2 ans basé sur les calculs PFDavg. N’allongez jamais cet intervalle sans une dérogation documentée approuvée par l’ingénieur en sécurité fonctionnelle.

Procédure de contournement et d’inhibition pour maintenance

  • Étape 1 : Dans Allen-Bradley ControlLogix, activez le bit de contournement de sécurité correspondant en utilisant le mécanisme Safety Bypass Request dans Studio 5000. N’utilisez pas de forçage. Les forçages de tâche de sécurité contournent la logique de détection du test de preuve du CPU de sécurité. Le bit de contournement déclenche une alarme Safety Bypass Active dans l’historique.
  • Étape 2 : Dans Triconex T3000, ouvrez TriStation 1131 et activez le mode maintenance pour le canal testé. Le mode maintenance place la sortie du canal dans un état sûr préconfiguré. La LED du panneau avant Tricon CX pour le module concerné passe du vert à l’ambre. Enregistrez l’heure de début dans le système de permis de travail.
  • Étape 3 : Vérifiez que la logique de vote n’active pas un déclenchement intempestif. Pour une fonction de vote 2oo3, un canal en maintenance est acceptable. Pour une fonction 1oo1, l’activation de l’élément final doit être confirmée comme inhibée au niveau de l’actionneur de vanne avant de continuer.
  • Étape 4 : Confirmez le contournement avec l’opérateur de salle de contrôle. L’opérateur doit reconnaître le contournement sur la face avant SCADA et saisir son identifiant utilisateur. Cela crée une piste d’audit requise par la clause 11.9 de l’IEC 61511.

Test de boucle à froid : injection de signal et vérification de l’échelle

Le test de boucle à froid utilise un calibrateur de procédé pour injecter des signaux sans fluide de procédé en direct. Pour une boucle transmetteur de pression 4–20 mA, injectez 4,000 mA, 12,000 mA et 20,000 mA à la tête de terminaison du transmetteur. Enregistrez le comptage brut DCS à chaque point.

Pour les modules d’entrée analogique Allen-Bradley ControlLogix 1756-IF16, la plage de comptage brut attendue est 0–32767. À 4 mA, le comptage attendu est 0 ±20 counts (0,06 % de l’étendue). À 20 mA, le comptage attendu est 32767 ±20 counts. Un décalage supérieur à 50 counts nécessite une recalibration du module via l’assistant de calibration d’entrée analogique RSLogix 5000.

Pour les modules AI Triconex T3000, la résolution d’entrée analogique est 16 bits. À 4 mA, le canal AI lit 0x0000. À 20 mA, le canal lit 0x7FFF. Une déviation supérieure à 0x0050 (80 counts) à un point de test nécessite le remplacement du module AI — le T3000 ne supporte pas la recalibration sur site du gain du canal AI.

  • Étape 1 : Connectez le calibrateur de procédé en parallèle avec le câblage du transmetteur au boîtier de jonction. Réglez le mode source à 4,000 mA. Attendez 5 secondes pour la mise à jour du DCS. Enregistrez la valeur affichée DCS et le comptage brut.
  • Étape 2 : Augmentez à 12,000 mA (50 % de l’étendue). Vérifiez que l’affichage DCS indique 50 % ±0,5 % de la plage d’unité d’ingénierie. Enregistrez les valeurs « tel que trouvé ».
  • Étape 3 : Augmentez à 20,000 mA (100 % de l’étendue). Vérifiez que le DCS lit la valeur pleine échelle ±0,5 %. Enregistrez les valeurs « tel que trouvé ».
  • Étape 4 : Injectez 3,600 mA. Vérifiez que le DCS déclenche une alarme « Coupure de fil basse » dans les 3 secondes. Dans Allen-Bradley ControlLogix, le seuil de coupure de fil pour l’entrée AI 4–20 mA est configurable à 3,6 mA dans les propriétés du module Studio 5000.
  • Étape 5 : Injectez 21,000 mA. Vérifiez que le DCS déclenche une alarme « Surtension haute » dans les 3 secondes. Le seuil de surtension du ControlLogix 1756-IF16 est 21,0 mA. Le seuil de surtension du module AI Triconex est par défaut 20,5 mA.
  • Étape 6 : Enregistrez toutes les données « tel que trouvé » dans la fiche de test de boucle. Si toutes les valeurs sont dans les critères d’acceptation, documentez comme « Tel que trouvé = Tel que laissé ». Si une valeur dévie, effectuez un ajustement et retestez. Documentez les valeurs « tel que trouvé » et « tel que laissé » avec signature de l’ingénieur.

Test de boucle à chaud : vérification de l’activation de la fonction de sécurité

Le test de boucle à chaud confirme que la fonction de sécurité s’active au point de consigne correct de la variable de procédé. Ce test exerce la boucle SIS complète du capteur au solveur logique jusqu’à l’élément final. Les tests à chaud nécessitent des conditions de procédé en direct ou simulées à l’aide d’une source de pression certifiée.

Premièrement, confirmez que l’élément final (typiquement une vanne ESD) est en état sûr avant de commencer. Utilisez l’indicateur de position de l’actionneur pour confirmer. Ne poursuivez pas si le retour de position de la vanne diffère du signal de commande de plus de 5 % de la course.

Deuxièmement, augmentez lentement le signal injecté vers le point de déclenchement de la fonction de sécurité. Pour un déclenchement haute-haute pression réglé à 95 barg, injectez le signal mA équivalent étape par étape : 18 mA (90 %), 18,8 mA (94 %), 19,0 mA (95 %). Enregistrez le mA exact auquel la fonction de sécurité Triconex T3000 ou Allen-Bradley ControlLogix s’active. Le point d’activation doit se situer dans ±1 % du point de consigne spécifié dans le SRS.

Troisièmement, vérifiez la séquence de réinitialisation. Après activation, réduisez le signal en dessous du seuil de réinitialisation. Confirmez que la fonction de sécurité ne se réinitialise pas automatiquement sans action explicite de l’opérateur. L’architecture à verrouillage de réinitialisation est obligatoire pour les fonctions SIL 2 selon la clause 11.6.4 de l’IEC 61511. Une boucle SIL 2 à réinitialisation automatique échoue le test de preuve, quelle que soit la précision du point de consigne.

Enfin, vérifiez le temps de réponse. Le temps de réponse de la boucle SIS, du changement d’entrée du capteur au déplacement complet de l’élément final, ne doit pas dépasser le Temps de Sécurité Processus (PST) spécifié dans le SRS. Utilisez un chronomètre ou un enregistreur SOE DCS avec une résolution de 1 ms. Le temps de réponse du module de sortie numérique Triconex TMR de 30 ms plus le temps de scan de la tâche de sécurité Allen-Bradley ControlLogix de 10 ms laissent 1960 ms pour le déplacement de la vanne dans une application PST de 2 secondes.

Exigences de documentation et d’audit IEC 61511

Chaque test de preuve SIL génère trois documents obligatoires : le registre de test de boucle (LTR), le certificat de test de preuve (PTC) et la mise à jour de l’évaluation de sécurité fonctionnelle (FSA). Le LTR capture les valeurs « tel que trouvé » et « tel que laissé », les numéros de série des équipements de test avec certificats d’étalonnage, le nom du testeur et la signature du témoin. Le PTC confirme que la fonction de sécurité a satisfait tous les critères d’acceptation ou documente les non-conformités avec plans d’action correctifs. La mise à jour FSA recalcule le PFDavg en utilisant la couverture réelle du test de preuve obtenue.

Les déficiences d’audit courantes incluent : absence d’enregistrements « tel que trouvé » (testeur a ajusté avant enregistrement), utilisation d’équipements de test avec certificats d’étalonnage expirés (intervalle maximum de 12 mois), absence de signature de témoin pour les fonctions SIL 2 et supérieures, et PFDavg non recalculé après test. Chacune de ces situations constitue une non-conformité majeure selon les critères d’audit TÜV Rheinland en sécurité fonctionnelle.

Mettez en place une liste de vérification pré-test avant de commencer tout test de preuve SIL. Confirmez : étalonnage valide des équipements de test, MOC approuvé, permis de contournement délivré, points de consigne SRS confirmés, LTR précédent examiné pour déficiences connues. Cinq minutes de vérification pré-test évitent des heures de remédiation d’audit.

Conclusion et conseils d’action

Les tests de boucle d’instrumentation SIL ne sont pas une formalité. Ils sont le mécanisme principal pour détecter les défaillances latentes accumulées depuis le dernier test de preuve. Suivez la séquence en six étapes du test de boucle à froid pour vérifier l’échelle et la détection de coupure de fil. Utilisez le test de boucle à chaud pour confirmer l’activation de la fonction de sécurité au point de consigne SRS avec une tolérance de ±1 %. Vérifiez le comportement de verrouillage de réinitialisation et le temps de réponse par rapport au budget Temps de Sécurité Processus.

Dans Allen-Bradley ControlLogix, utilisez les bits de contournement de sécurité, jamais les forçages. Dans Triconex T3000, utilisez le mode maintenance avec saisie horodatée dans le système de permis de travail. Capturez les données « tel que trouvé » avant tout ajustement. Émettez les certificats de test de preuve avec signature d’ingénieur et documentation conforme TÜV. Recalculez le PFDavg après chaque cycle de test de preuve. Les tests systématiques et documentés des boucles SIL sont la base d’ingénierie qui protège à la fois les personnes et les actifs de procédé.

Auteur : Wang Jiaming est un ingénieur en automatisation industrielle avec plus de 10 ans d’expérience en PLC, DCS et systèmes de contrôle.

Retour au blog
Afficher tout
Articles de blog
Afficher tout
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Pourquoi les capteurs RTD doivent être installés en aval des plaques à orifice

L'installation d'une sonde RTD en amont d'une plaque à orifice fausse les mesures de pression différentielle en raison du détachement de vortex autour du puits thermométrique. Cet article explique la physique de la rue de vortex de von Kármán, les exigences de placement en aval selon ISO 5167 et ASME MFC-3M, la règle d'espacement minimum de 5D, la conformité à la fréquence de sillage du puits thermométrique, ainsi qu'une procédure d'installation en 7 étapes pour les ensembles combinés plaque à orifice et RTD.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Débitmètre à vortex : principes de fonctionnement, critères de sélection et mise en service sur site

Un débitmètre à vortex fonctionne selon le principe de détachement des tourbillons de von Karman, offrant une excellente précision à long terme dans les services de vapeur, de gaz et de liquides à faible viscosité sans pièces mobiles. Ce guide couvre la physique du nombre de Strouhal, les contraintes du nombre de Reynolds, le dimensionnement du débitmètre, les exigences de ligne droite pour l'ABB VortexMaster FSV430, ainsi que les étapes de mise en service sur site pour l'intégration du régulateur de turbine Woodward.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Câblage des thermocouples, normes et dépannage : un guide pratique sur le terrain

Une mesure précise avec thermocouple nécessite une sélection correcte du type, un câble d’extension assorti et une compensation fiable de la jonction froide. Ce guide couvre les codes de type IEC 60584 et les plages d’application, la sélection des câbles d’extension et de compensation, les borniers CJC WTOP de Phoenix Contact, la configuration CJC YTA110 de Yokogawa, ainsi qu’un diagnostic systématique des pannes pour circuit ouvert, court-circuit et dérive de calibration.
Liste des produits recommandés
Carte d'extension isolée Emerson KL3105X1-LS1 12P6551X032 Charm
Carte d'extension isolée Emerson KL3105X1-LS1 12P6551X032 Charm

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Module d'entrée analogique Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA
Module d'entrée analogique Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 Module CHARM de contact sec DI 24 VCC
Emerson DeltaV KL3003X1-BA1 Module CHARM de contact sec DI 24 VCC

Emerson
Module de charme d'entrée numérique isolée Emerson DeltaV KL3005X1-LS1
Module de charme d'entrée numérique isolée Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal d'adresse I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal d'adresse I.S. CHARM

Emerson
Bloc de bornes Emerson DeltaV I.S. CHARM Réf. : KL4510X1-DA1
Bloc de bornes Emerson DeltaV I.S. CHARM Réf. : KL4510X1-DA1

Emerson
Module d'alimentation Emerson DeltaV KL1501X1-BA1 CSLS
Module d'alimentation Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | Entrée LS 24 VCC Contact Sec CHARM
KL3003X1-LS1 | Emerson DeltaV | Entrée LS 24 VCC Contact Sec CHARM

Emerson
Module CHARM d'entrée RTD/Résistance Emerson KL3031X1-BA1
Module CHARM d'entrée RTD/Résistance Emerson KL3031X1-BA1

Emerson
Module PLC Micro Série 90 GE Fanuc IC693UAA003
Module PLC Micro Série 90 GE Fanuc IC693UAA003

GE
Module de sortie logique positive GE Fanuc RX3i IC694MDL730 12/24VCC
Module de sortie logique positive GE Fanuc RX3i IC694MDL730 12/24VCC

GE