• Dom
  • Vijesti
  • Priprema za IEC 61511 reviziju funkcionalne sigurnosti: Izrada obrambenog paketa dokaza za sigurnosne instrumentirane sustave Invensys Triconex

Priprema za IEC 61511 reviziju funkcionalne sigurnosti: Izrada obrambenog paketa dokaza za sigurnosne instrumentirane sustave Invensys Triconex

IEC 61511 Functional Safety Audit Preparation: Building a Defensible Evidence Package for Invensys Triconex Safety Instrumented Systems

Što revizori zapravo traže

Revizija funkcionalne sigurnosti prema IEC 61511 nije pregled dokumenata — to je analiza razlika između vaše specifikacije sigurnosnih zahtjeva (SRS) i sustava kakav je izgrađen i održavan. Revizori prvo pregledavaju tri stvari: potpunost sigurnosnog slučaja, integritet zapisa o dokaznim testovima i valjanost tvrdnje o SIL razini. Za instalaciju Invensys Triconex T3000 ili Tricon CX, paket dokaza mora pokazati da je SIS dizajniran, instaliran i održavan u skladu sa SRS-om. Nedostaci u bilo kojem od ovih područja mogu sniziti stvarni SIL s SIL 2 na SIL 1 — ili, u težim slučajevima, potpuno poništiti sigurnosni slučaj.

Prvo, sastavite kompletan SRS dokument uključujući sve opise sigurnosnih instrumentiranih funkcija (SIF), SIL ciljeve i stope zahtjeva procesa. Drugo, potvrdite da sve konfiguracije projekta TriStation 1131 odgovaraju SRS-u — arhitektura, logika glasovanja, logika zaobilaženja i pokrivenost dijagnostike. Treće, provjerite jesu li zapisi o dokaznim testovima potpisani, datirani i sadrže vrijeme odziva u stanju nađeno pri testu — ne samo oznake prolaz/neprolaz.

Preračunavanje PFDavg i verifikacija SIL-a

Vjerojatnost kvara na zahtjev (prosječna) — PFDavg — kvantificira pouzdanost SIS-a tijekom intervala dokaznog testa. SIL 2 zahtijeva PFDavg između 1×10⁻³ i 1×10⁻². Triconex T3000 TMR arhitektura s 2oo3 logikom glasovanja postiže niske vrijednosti PFDavg zahvaljujući visokoj dijagnostičkoj pokrivenosti (DC ≥ 99%) i ugrađenoj redundanciji. Međutim, objavljeni PFDavg iz Triconex FMEDA izvještaja pretpostavlja specifične intervale dokaznih testova i radne uvjete.

Preračunajte PFDavg za svaki SIF koristeći pojednostavljenu formulu za 1oo1 podsustav: PFDavg = λDU × Ti / 2, gdje je λDU stopa opasnih neotkrivenih kvarova, a Ti interval dokaznog testa u satima. Za Triconex T3000 s λDU = 2.3×10⁻⁷ po satu (iz Triconex FMEDA Rev 4) i Ti = 8760 sati (godišnji test): PFDavg = 2.3×10⁻⁷ × 8760 / 2 = 1.0×10⁻³. Ovo je točno na donjoj granici SIL 2 — bez rezerve. Smanjenjem Ti na 4380 sati (polugodišnji test) PFDavg pada na 5.0×10⁻⁴, što SIF smješta udobno u raspon SIL 2.

Završni element (ESD ventil ili uređaj za zaustavljanje) često dominira SIF PFDavg, a ne Triconex logički rješavač. Tipični solenoidni ventil s λDU = 5×10⁻⁷ po satu i Ti = 8760 sati doprinosi PFDavg = 2.2×10⁻³ — sam po sebi dovoljan da potroši SIL 2 proračun. Testiranje djelomičnog hoda (PST) u intervalima od 3 mjeseca smanjuje ovaj doprinos na 5.5×10⁻⁴ i vraća značajnu marginu PFDavg.

Ispravljanje nedostataka u zapisima dokaznih testova

Najčešći nalaz revizije na Triconex instalacijama su nepotpuni zapisi dokaznih testova. IEC 61511 stavak 16.2.5 zahtijeva da zapisi dokaznih testova uključuju: datum testa, identitet tehničara, metodu testa, stanje nađeno pri testu, rezultat testa i stanje nakon testa. Zapisi koji sadrže samo potpis i oznaku „PROŠAO“ nisu u skladu.

  • Korak 1: Revizirajte svaki zapis dokaznog testa za svaki SIF iz posljednjeg intervala dokaznog testa. Izradite matricu nedostataka: broj SIF-a, datum testa, nedostajuća polja, odgovorni tehničar.
  • Korak 2: Za zapise kojima nedostaje vrijeme odziva u stanju nađeno pri testu, kontaktirajte izvornog tehničara i zatražite službenu izjavu o izmjerenoj vrijednosti iz sjećanja — ako je dokumentirano negdje drugdje (terenski dnevnik, sustav kalibracije). Priložite izjavu uz originalni zapis.
  • Korak 3: Za zapise bez ikakvih podataka o stanju nađeno pri testu, formalno dokumentirajte nedostatak kao nesukladnost u sustavu upravljanja sigurnošću. Dodijelite korektivnu mjeru za izvođenje nenajavljenog dokaznog testa u sljedećem dostupnom terminu održavanja kako biste uspostavili novu osnovu stanja nađeno pri testu.
  • Korak 4: Implementirajte strukturirani predložak dokaznog testa u CMMS (SAP PM ili slično). Predložak mora zahtijevati obavezna polja — vrijeme odziva u milisekundama, potvrdu pomaka završnog elementa i Triconex TriStation dijagnostički snimak prije i poslije testa. Zaključajte zapis tako da se oznaka PROŠAO ne može odabrati bez unosa numeričkog vremena odziva.

Zahtjevi za dokumentaciju upravljanja zaobilaženjem

Upravljanje zaobilaženjem je ključni zahtjev IEC 61511 stavka 11.9.4. Svaki put kada se Triconex T3000 SIF stavi u zaobilaženje, preostali rizik se povećava — sigurnosna funkcija nije dostupna. Registar zaobilaženja mora bilježiti: razlog zaobilaženja, ovlaštenje za odobrenje, vrijeme početka, planirano vrijeme završetka i kompenzacijske mjere provedene tijekom razdoblja zaobilaženja.

U TriStation 1131, uvjeti zaobilaženja implementiraju se putem INHIBIT ili BYPASS varijabli u upravljačkom programu. Svaka INHIBIT varijabla mora biti povezana s fizičkim prekidačem s ključem ili oznakom ovlaštenja na SCADA razini. Konfigurirajte TriStation program da zabilježi događaj zaobilaženja u SOE (sekvenca događaja) zapisnik svaki put kad se stanje INHIBIT varijable promijeni. SOE vremenska oznaka pruža revizijski trag potreban prema IEC 61511.

SRS mora definirati maksimalno dopušteno trajanje zaobilaženja za svaki SIF na temelju stope zahtjeva procesa. Za SIF koji štiti od opasnosti s procesnom stopom zahtjeva od 0,1 godišnje, maksimalno trajanje zaobilaženja bez kompenzacijskih mjera obično je 72 sata. Revizori će usporediti zapisnik zaobilaženja u CMMS-u s SOE zapisnikom — neslaganja između njih ukazuju na to da proces upravljanja zaobilaženjem ne funkcionira kako je predviđeno i predstavljaju sustavni kvar prema IEC 61511 stavku 5.

Popis za provjeru konfiguracije prije revizije

  • Izvezite izvještaj o konfiguraciji projekta TriStation 1131 i usporedite sve postavke prekida SIF-a sa SRS-om. Svako odstupanje zahtijeva zapis o upravljanju promjenama (MOC) datiran prije provedbe promjene.
  • Provjerite da verzija firmvera Triconex T3000 odgovara verziji kvalificiranoj u sigurnosnom slučaju. Ažuriranja firmvera Triconex zahtijevaju ponovnu validaciju prema IEC 61511 stavku 11.8.5 ako ažuriranje utječe na funkcionalnost povezanu sa sigurnošću.
  • Potvrdite da su svi intervali dijagnostičkih testova unutar vrijednosti navedenih u SRS-u. Zadani ciklus samotesta T3000 modula je 1 sat — provjerite da nije promijenjen u duži interval radi smanjenja učestalosti alarma SCADA DIAG_FAIL.
  • Provjerite sinkronizaciju datuma i vremena Triconex T3000 s NTP serverom postrojenja. Nesinkronizirane SOE vremenske oznake čest su nalaz nesukladnosti u reviziji koji dovodi u pitanje redoslijed svih povijesnih sigurnosnih događaja.
  • Pregledajte zapisnik promjena u TriStationu za bilo kakve izmjene konfiguracije napravljene bez pripadajućeg MOC zapisa. Neovlaštene promjene predstavljaju ozbiljnu nesukladnost prema IEC 61511 stavku 5.2.4 (upravljanje funkcionalnom sigurnošću).

Zaključak i savjeti za djelovanje

Priprema Invensys Triconex instalacije za IEC 61511 reviziju funkcionalne sigurnosti zahtijeva sustavno prikupljanje dokaza, a ne generiranje dokumenata u zadnji čas. Preračunajte PFDavg za svaki SIF koristeći stvarne intervale dokaznih testova i FMEDA podatke za instalaciju — ne oslanjajte se na objavljene SIL tablice bez provjere. Revizirajte zapise dokaznih testova zbog nedostajućih vremena odziva u stanju nađeno pri testu i formalno ispravite nedostatke. Provjerite zapise upravljanja zaobilaženjem u CMMS-u i Triconex SOE zapisniku — neslaganja ukazuju na sustavne kvarove procesa.

Dovršite popis za provjeru konfiguracije 30 dana prije revizije kako biste imali vremena za dokumentiranje MOC-a za otkrivene odstupanja. Angažirajte kompetentnog inženjera funkcionalne sigurnosti da pregleda paket dokaza prije dolaska revizora. Otkrivanje nedostatka SIL 2 tijekom revizije mnogo je skuplje — u vremenu, novcu i riziku procesa — nego otkrivanje tijekom interne provjere.

Autor: Fang Haoran je inženjer industrijske automatizacije s više od 10 godina iskustva u PLC, DCS i upravljačkim sustavima.

Povratak na blog
Pokaži sve
Postovi na blogu
Pokaži sve
Emerson Ovation EPRO Configuration: OPC UA Server Setup for Secure Cross-System Data Exchange in Power Generation
Wang Fang

Konfiguracija Emerson Ovation EPRO: Postavljanje OPC UA poslužitelja za sigurnu razmjenu podataka između sustava u proizvodnji električne energije

Moderne elektrane rade u heterogenim automatizacijskim okruženjima gdje Emerson Ovation EPRO DCS koegzistira s GE Bently Nevada nadzorom vibracija, ABB System 800xA i Honeywell Experion. Ovaj vodič obuhvaća konfiguraciju OPC UA servera na Ovation EPRO, pretplatu OPC UA klijenta GE Bently Nevada System 1, uvoz ABB 800xA Aspect Objecta te NERC CIP jačanje kibernetičke sigurnosti s TLS enkripcijom i upravljanjem certifikatima.
Allen-Bradley ControlLogix Modbus TCP Setup: RSLogix 5000 Configuration Guide
Lin Wang

Postavljanje Allen-Bradley ControlLogix Modbus TCP: Vodič za konfiguraciju RSLogix 5000

Allen-Bradley ControlLogix PLC-ovi izvorno koriste EtherNet/IP, ali mnogi Schneider Electric uređaji na terenu podržavaju samo Modbus TCP. Ovaj vodič obuhvaća četverostepenu konfiguraciju RSLogix 5000 za integraciju Modbus TCP klijenta sa Schneider ATV630 VFD-ovima, uključujući mapiranje registara, postavljanje MSG instrukcija, logiku watchdog tajmera i provjeru puštanja u rad.
Triconex TMR Safety System Fault Diagnosis: A Step-by-Step HART Protocol Integration Guide
Zhang Weiming

Dijagnostika kvara sigurnosnog sustava Triconex TMR: Vodič za integraciju HART protokola korak po korak

Sigurnosni kontroleri Triconex TMR oslanjaju se na trostruku modularnu redundanciju s 2-od-3 glasovanjem za pružanje zaštite SIL-3 razine. Ovaj vodič obuhvaća integraciju HART-to-Modbus gatewaya s Triconex komunikacijskim modulima, četiri uobičajena scenarija kvara s dijagnostičkim koracima te najbolje prakse za preventivno održavanje SIS-a, uključujući testiranje dokaza, MOC procedure i upravljanje rezervnim dijelovima.
Popis preporučenih proizvoda
Emerson KL3105X1-LS1 12P6551X032 Izolirana kartica za čaroliju
Emerson KL3105X1-LS1 12P6551X032 Izolirana kartica za čaroliju

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul suhog kontakta CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul suhog kontakta CHARM

Emerson
Emerson DeltaV KL3005X1-LS1 izolirani digitalni ulazni modul čarolije
Emerson DeltaV KL3005X1-LS1 izolirani digitalni ulazni modul čarolije

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal

Emerson
Emerson DeltaV I.S. CHARM terminalna stezaljka PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM terminalna stezaljka PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suhi kontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suhi kontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Modul za ulaz otpora CHARM
Emerson KL3031X1-BA1 RTD/Modul za ulaz otpora CHARM

Emerson
GE Fanuc IC693UAA003 Serija 90 Micro PLC modul
GE Fanuc IC693UAA003 Serija 90 Micro PLC modul

GE
GE Fanuc RX3i IC694MDL730 modul izlaza s pozitivnom logikom 12/24VDC
GE Fanuc RX3i IC694MDL730 modul izlaza s pozitivnom logikom 12/24VDC

GE