• Dom
  • Vijesti
  • IEC 61511 Upravljanje sigurnosnim zaobilaženjem i nadjačavanjem: Praktični vodič za HIMA HIMatrix F60 i Triconex T3000

IEC 61511 Upravljanje sigurnosnim zaobilaženjem i nadjačavanjem: Praktični vodič za HIMA HIMatrix F60 i Triconex T3000

IEC 61511 Safety Bypass and Override Management: HIMA HIMatrix F60 and Triconex T3000 Practical Guide

Zašto je upravljanje zaobilaženjem rizik usklađenosti

Svakom inženjeru na terenu dogodilo se da je zaobišao senzor tijekom održavanja. Pravo pitanje je je li to zaobilaženje bilo ovlašteno, evidentirano i zatvoreno na vrijeme. IEC 61511 stavak 11.9 čini upravljanje zaobilaženjem obaveznim elementom životnog ciklusa, a ne opcijskom najboljom praksom. Nepoštivanje poništava vaš SIL zahtjev i izlaže postrojenje neotkrivenim opasnim kvarovima.

HIMA HIMatrix F60 i Triconex T3000 oba pružaju mehanizme za hardversko onemogućavanje. Međutim, postupak koji okružuje te mehanizme određuje jeste li usklađeni s IEC 61511 ili ste jednostavno zaobišli bez traga. Sigurnosno zaobilaženje privremeno onemogućuje određeni kanal ili funkciju. Sigurnosno preglasavanje prisiljava izlaz u definirano stanje bez obzira na logiku. Oba nose različite profile rizika i zahtijevaju različite razine ovlaštenja.

Klasifikacija zaobilaženja: Tri kategorije koje morate razlikovati

IEC 61511 ne definira jedinstvenu vrstu zaobilaženja. Svaku radnju morate klasificirati prije primjene. Tri kategorije su onemogućavanje za održavanje, zaobilaženje tijekom provjere i hitno preglasavanje:

  • Onemogućavanje za održavanje: onemogućuje jedan ulazni kanal tijekom kalibracije. Ovlašten od strane SIS inženjera, maksimalno trajanje 4 sata, zahtijeva radni nalog.
  • Zaobilaženje tijekom provjere: suspendira logiku glasovanja za jedan od dva ili tri kanala. Ovlašten od strane voditelja sigurnosti, ne smije prelaziti interval provjere podijeljen s tri.
  • Hitno preglasavanje: prisiljava ESD ventil u otvoreno ili zatvoreno stanje tijekom abnormalnog pokretanja. Ovlašten zajednički od strane voditelja operacija i službenika za sigurnost, maksimalno trajanje 15 minuta.

Na HIMA HIMatrix F60, svaka vrsta zaobilaženja mapira se na različitu SILworx klasu varijabli. Onemogućavanje za održavanje koristi F-DI inhibit bit u sigurnosnom programu. Zaobilaženje tijekom provjere koristi poseban funkcijski blok TEST_MODE_CH. Hitno preglasavanje koristi FORCE_OUT blok s hardverskim prekidačem s ključem. HIMatrix F3 DIO modul pruža fizičke I/O kanale kojima upravljaju ti inhibit bitovi.

Na Triconex T3000, TriStation 1131 pruža BYPASS_DI instrukciju i zasebnu FORCE_DO instrukciju. Obje zahtijevaju jedinstveno korisničko ime i lozinku u TriStation audit zapisu. T3000 automatski bilježi vremensku oznaku svake promjene stanja s rezolucijom SOE od 1 milisekunde.

Postupak hardverskog onemogućavanja na HIMA HIMatrix F60

  • Korak 1: Otvorite SILworx projekt online. Idite na I/O Manager i potvrdite da je status kanala DOBAR prije primjene bilo kakvog onemogućavanja.
  • Korak 2: Postavite varijablu INHIBIT_CH za ciljani kanal na TRUE. Provjerite da dijagnostički zaslon HIMatrix prikazuje stanje INHIBIT, a ne FAULT.
  • Korak 3: Potvrdite da logika glasovanja i dalje ispravno radi na preostalim kanalima. Za 2oo3 senzor, logika mora sada raditi u 1oo2 načinu tijekom onemogućavanja. Provjerite izlazni bit VOTER_STATUS na HIMatrix F3 DIO modulu.
  • Korak 4: Zabilježite vrijeme početka onemogućavanja, ID kanala, razlog zaobilaženja i ime ovlaštene osobe u sustavu radnih naloga. Postavite maksimalni alarm od 4 sata u DCS ili SCADA sustavu koristeći TON timer s predpostavkom T#4H.
  • Korak 5: Izvršite zadatak održavanja. Ne ostavljajte kontrolnu sobu bez nadzora tijekom onemogućavanja.
  • Korak 6: Resetirajte INHIBIT_CH na FALSE. Provjerite vraća li se kanal u DOBAR status. Potpišite radni nalog s očitanjem kanala i vremenskom oznakom nakon završetka. Ako kanal ne vrati DOBAR status nakon resetiranja, nemojte uklanjati onemogućavanje — istražite ožičenje na terenu prije vraćanja normalnog glasovanja.

Hardversko preglasavanje na Triconex T3000: konfiguracija FORCE_DO

Arhitektura Triconex T3000 TMR pruža glasovanje s tri kanala na svakom izlazu. FORCE_DO instrukcija poništava to glasovanje i upravlja fizičkim relejem bez obzira na stanje logike. Konfigurirajte FORCE_DO u TriStation na sljedeći način:

Prvo, funkcijski blok zahtijeva ulaz FORCE_ENABLE koji pokreće namjenski hardverski prekidač s ključem. Spojite prekidač s ključem na slobodni digitalni ulaz na TRICON kućištu, a ne na softversku varijablu — to sprječava neovlašteno softversko preglasavanje. Drugo, povežite FORCE_DO.OUTPUT s izlaznom varijablom solenoida ESD ventila. Postavite FORCE_DO.FORCE_VALUE na potrebni siguran status (TRUE za ventile koji su inače otvoreni, FALSE za ventile koji su inače zatvoreni). Treće, dodajte TON timer s predpostavkom T#15M na ulaz FORCE_ENABLE. Preglasavanje automatski istječe nakon 15 minuta bez potrebe za akcijom operatera — zadovoljavajući automatski zahtjev za isključenje iz IEC 61511 stavka 11.9.4.

T3000 SOE bilježi svaku aktivaciju FORCE_DO s korisničkim imenom, vremenskom oznakom i stanjem kanala prije i poslije. Izvezite te zapise u svoj CMMS unutar 24 sata od bilo kojeg događaja preglasavanja.

Izračun utjecaja PFDavg tijekom produženih zaobilaženja

Svaka satnica tijekom koje je kanal onemogućen povećava vjerojatnost kvara na zahtjev za taj krug. Za SIL 2 krug s stopom opasnog neotkrivenog kvara λDU od 1×10⁻⁵ po satu i intervalom provjere Ti od 8.760 sati, osnovni PFDavg iznosi 0,0438.

Ako onemogućite jedan kanal 2oo3 glasovača na 4 sata, efektivno glasovanje degradira na 1oo2. Ponovno izračunajte PFDavg koristeći formulu za 1oo2: PFDavg = 3 × (λDU × Ti/2)². Trenutni PFD za degradirani glasovač raste na približno 1,4×10⁻⁶ za taj 4-satni period — ostajući unutar granica SIL 2 (PFD 10⁻³ do 10⁻²), što potvrđuje da je zaobilaženje prihvatljivo. Ako održavanje traje duže od 4 sata, odmah obavijestite voditelja sigurnosti. Zaobilaženje duže od odobrenog vremena zahtijeva formalni unos u upravljanje promjenama (MOC) i ponovni izračun sigurnosnog slučaja prije nastavka.

Petostupanjski postupak audit traga za usklađenost s IEC 61511

  • Korak 1: Vodite registar zaobilaženja u svom CMMS-u (SAP PM, Maximo ili ekvivalent). Svaki unos mora sadržavati oznaku kruga, vrstu zaobilaženja, vrijeme početka, ovlaštenu osobu i očekivano vrijeme završetka.
  • Korak 2: Konfigurirajte HIMA HIMatrix SILworx da zapisuje promjene stanja INHIBIT_CH u OPC DA server tag. Konfigurirajte Triconex T3000 SOE za izvoz u OSIsoft PI Historian s atributima IEC 61511 okvira imovine.
  • Korak 3: Postavite SCADA alarm za svako zaobilaženje koje premaši odobreno trajanje za više od 10 minuta. Prioritet alarma mora biti ISA-18.2 Prioritet 1 (kritično za sigurnost).
  • Korak 4: Nakon svakog zaobilaženja, provjerite je li vraćeno očitanje kanala unutar ±1% od susjednog referentnog predajnika. Zabilježite vrijednosti "kao što je pronađeno" i "kao što je ostavljeno" na dozvoli za zaobilaženje.
  • Korak 5: Mjesečno pokrenite izvještaj o učestalosti zaobilaženja iz PI Historiana. Krugovi s više od 2 zaobilaženja mjesečno zahtijevaju pregled uzroka i plan korektivnih mjera unutar 30 dana. Automatski usporedite zapise o zaobilaženju u SCADA sustavu s radnim nalozima u CMMS-u koristeći dnevni skript za usklađivanje koji upituje OPC UA i CMMS REST API.

Zaključak i savjeti za djelovanje

Upravljanje sigurnosnim zaobilaženjem i preglasavanjem izravno utječe na izračun PFDavg koji opravdava vaš SIL 2 zahtjev. HIMA HIMatrix F60 pruža SILworx razine inhibit bitova s automatskom dijagnostikom. Triconex T3000 pruža FORCE_DO s hardverskim prekidačem s ključem i vremenskim oznakama SOE. Nijedna platforma vas ne štiti ako je prateći postupak neformalan ili nepostojeći.

Počnite s auditom vašeg trenutnog registra zaobilaženja. Ako ne možete u roku od 5 minuta iznijeti potpun popis svih aktivnih zaobilaženja, vaš sustav ima prazninu u usklađenosti. Provedite opisani petostupanjski postupak audit traga prije sljedeće IEC 61511 revizije od strane treće strane. Trošak nalaza neusklađenosti je potpuna revizija sigurnosnog slučaja — znatno skuplja od pravilnog uspostavljanja traga od početka.

Autor: Chen Mingzhi je inženjer industrijske automatizacije s više od 10 godina iskustva u PLC, DCS i kontrolnim sustavima.

Povratak na blog
Pokaži sve
Postovi na blogu
Pokaži sve
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Upravljanje serijskim procesima pomoću DCS sekvencijskih funkcijskih dijagrama: Konfiguracija Emerson DeltaV SFC i sinkronizacijski međuspoj Woodward EasyGen 3200

Upravljanje serijskim procesima pomoću formalnih IEC 61131-3 struktura Sekvencijalnih funkcijskih dijagrama (SFC) u Emerson DeltaV sprječava zastoje stanja stroja i pojednostavljuje usklađenost s ISA-88 revizijom. Ovaj vodič obuhvaća principe dizajna DeltaV Phase Logic SFC-a, mapiranje registara Woodward EasyGen 3200 Modbus TCP za međusobnu blokadu sinkronizacije generatora, dizajn Hold i Abort putanja te dijagnostiku četiri najčešća obrasca neuspjeha SFC serijskih procesa.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Dizajn i puštanje u rad segmenta

Foundation Fieldbus H1 izvršava funkcijske blokove upravljanja unutar poljskih uređaja, održavajući kontrolu čak i kada komunikacija s glavnim sustavom zakaže — što je ključna prednost za SIL-2 i SIL-3 petlje. Ovaj vodič obuhvaća izračun proračuna snage FF H1, analizu pada napona, zaštitu od strujnog udara pri soft-startu, petostupanjski postupak puštanja u rad, raspored funkcijskih blokova te sustavnu dijagnostiku kvarova za otkrivanje kvara segmenta, povremene prekide uređaja i pogreške otpora završetka.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

Dijagnostika pogrešaka komunikacije PROFINET IO: ABB AC500 CM575-PNIO i Phoenix Contact AXL F DI16 terensko otklanjanje kvarova

Neuspjesi u PROFINET IO komunikaciji između ABB AC500 CM575-PNIO i Phoenix Contact Axioline F distribuiranih I/O uređaja čest su uzrok neplaniranih zastoja. Ovaj vodič obuhvaća provjere kabela na fizičkoj razini, provjeru verzije GSDML datoteke, rješavanje sukoba imena uređaja, podešavanje AR watchdog-a te šestostepeni postupak izolacije kvara koristeći mapiranje bitova registra DIAG_STATUS i alarme za dijagnostiku kanala.
Popis preporučenih proizvoda
Emerson KL3105X1-LS1 12P6551X032 Izolirana kartica za čaroliju
Emerson KL3105X1-LS1 12P6551X032 Izolirana kartica za čaroliju

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul suhog kontakta CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul suhog kontakta CHARM

Emerson
Emerson DeltaV KL3005X1-LS1 izolirani digitalni ulazni modul čarolije
Emerson DeltaV KL3005X1-LS1 izolirani digitalni ulazni modul čarolije

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal

Emerson
Emerson DeltaV I.S. CHARM terminalna stezaljka PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM terminalna stezaljka PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suhi kontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suhi kontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/Modul za ulaz otpora CHARM
Emerson KL3031X1-BA1 RTD/Modul za ulaz otpora CHARM

Emerson
GE Fanuc IC693UAA003 Serija 90 Micro PLC modul
GE Fanuc IC693UAA003 Serija 90 Micro PLC modul

GE
GE Fanuc RX3i IC694MDL730 modul izlaza s pozitivnom logikom 12/24VDC
GE Fanuc RX3i IC694MDL730 modul izlaza s pozitivnom logikom 12/24VDC

GE