• itthon
  • Hírek
  • IEC 61511 Funkcionális Biztonsági Audit Előkészítése: Védhető Bizonyítékcsomag Kialakítása az Invensys Triconex Biztonsági Instrumentált Rendszerekhez

IEC 61511 Funkcionális Biztonsági Audit Előkészítése: Védhető Bizonyítékcsomag Kialakítása az Invensys Triconex Biztonsági Instrumentált Rendszerekhez

IEC 61511 Functional Safety Audit Preparation: Building a Defensible Evidence Package for Invensys Triconex Safety Instrumented Systems

Mit Vizsgálnak Valójában az Auditorok

Az IEC 61511 szerinti funkcionális biztonsági audit nem pusztán dokumentumellenőrzés — ez egy hiányosság-elemzés a Biztonsági Követelmény Specifikáció (SRS) és a ténylegesen megépített, karbantartott rendszer között. Az auditorok először három dolgot vizsgálnak: a biztonsági eset teljességét, a bizonyító tesztjegyzőkönyvek integritását és a SIL állítás érvényességét. Egy Invensys Triconex T3000 vagy Tricon CX telepítés esetén a bizonyítékcsomagnak igazolnia kell, hogy a SIS az SRS szerint lett tervezve, telepítve és karbantartva. Bármelyik területen jelentkező hiányosság csökkentheti a tényleges SIL szintet SIL 2-ről SIL 1-re — vagy súlyos esetekben teljesen érvénytelenítheti a biztonsági esetet.

Először állítsa össze a teljes SRS dokumentumot, beleértve az összes Biztonsági Instrumentált Funkció (SIF) leírást, SIL célokat és a folyamat igénylési arányokat. Másodszor, erősítse meg, hogy minden TriStation 1131 projektkonfiguráció megfelel az SRS-nek — architektúra, szavazási logika, megkerülési logika és diagnosztikai lefedettség. Harmadszor, ellenőrizze, hogy a bizonyító tesztjegyzőkönyvek aláírtak, dátummal ellátottak, és tartalmazzák a talált válaszidőket — nem csak siker/sikertelen jelölőnégyzeteket.

PFDavg Újraszámítása és SIL Ellenőrzése

A Kérésre Bekövetkező Meghibásodás Valószínűsége (Átlagos) — PFDavg — számszerűsíti a SIS megbízhatóságát a bizonyító teszt intervallumán belül. A SIL 2-hez a PFDavg értéknek 1×10⁻³ és 1×10⁻² között kell lennie. A Triconex T3000 TMR architektúra 2oo3 szavazási logikával alacsony PFDavg értékeket ér el magas diagnosztikai lefedettsége (DC ≥ 99%) és beépített redundanciája miatt. Azonban a Triconex FMEDA jelentésekből származó közzétett PFDavg feltételez bizonyos bizonyító teszt intervallumokat és működési feltételeket.

Újraszámolja a PFDavg értéket minden SIF esetében az egyszerűsített képlettel egy 1oo1 alrendszerre: PFDavg = λDU × Ti / 2, ahol λDU a veszélyes, nem észlelt hibaarány, Ti pedig a bizonyító teszt intervalluma órában. Egy Triconex T3000 esetén, ahol λDU = 2,3×10⁻⁷ óránként (a Triconex FMEDA Rev 4 alapján) és Ti = 8760 óra (éves teszt): PFDavg = 2,3×10⁻⁷ × 8760 / 2 = 1,0×10⁻³. Ez pontosan a SIL 2 alsó határán van — nincs tartalék. Ha Ti-t 4380 órára csökkentjük (féléves teszt), a PFDavg 5,0×10⁻⁴-re csökken, ami kényelmesen a SIL 2 tartományba helyezi az SIF-et.

A végső elem (ESD szelep vagy leállító eszköz) gyakran dominálja az SIF PFDavg értékét, nem a Triconex logikai megoldó. Egy tipikus mágnesszelep λDU értéke 5×10⁻⁷ óránként és Ti = 8760 óra esetén PFDavg = 2,2×10⁻³ — ez önmagában elegendő a SIL 2 költségvetés elfogyasztásához. A részleges stroke tesztelés (PST) 3 hónapos intervallumokban csökkenti ezt a hozzájárulást 5,5×10⁻⁴-re, és jelentős PFDavg tartalékot biztosít.

Bizonyító Teszt Jegyzőkönyv Hiányosságainak Kezelése

A leggyakoribb audit megállapítás Triconex telepítéseknél a hiányos bizonyító tesztjegyzőkönyv. Az IEC 61511 16.2.5 pontja előírja, hogy a bizonyító tesztjegyzőkönyvek tartalmazzák: a teszt dátumát, a technikus személyazonosságát, a teszt módszerét, a talált állapotot, a teszt eredményét és a végállapotot. Azok a jegyzőkönyvek, amelyek csak aláírást és „PASS” megjelölést tartalmaznak, nem felelnek meg.

  • 1. lépés: Auditálja az összes SIF bizonyító tesztjegyzőkönyvet az utolsó teszt intervallumból. Készítsen hiánymátrixot: SIF szám, teszt dátuma, hiányzó mezők, felelős technikus.
  • 2. lépés: Ha hiányzik a talált válaszidő, vegye fel a kapcsolatot az eredeti technikussal, és kérjen tőle hivatalos nyilatkozatot a mért értékről emlékezetből — ha az máshol dokumentált (mezőkönyv, kalibrációs rendszer). Csatolja a nyilatkozatot az eredeti jegyzőkönyvhöz.
  • 3. lépés: Ha egy jegyzőkönyvben egyáltalán nincs talált adat, dokumentálja a hiányosságot formálisan nemmegfelelőségként a biztonságirányítási rendszerben. Rendeljen hozzá helyesbítő intézkedést egy nem tervezett bizonyító teszt elvégzésére a következő karbantartási időablakban, hogy friss talált alapvonalat állítson fel.
  • 4. lépés: Vezessen be strukturált bizonyító teszt sablont a CMMS-ben (SAP PM vagy hasonló). A sablonnak kötelező mezőket kell kikényszerítenie — válaszidő milliszekundumban, végső elem mozgásának megerősítése, és Triconex TriStation diagnosztikai pillanatkép a teszt előtt és után. Zárja le a jegyzőkönyvet úgy, hogy a PASS nem választható numerikus válaszidő megadása nélkül.

Megkerülés Kezelési Dokumentációs Követelmények

A megkerülés kezelése kritikus IEC 61511 11.9.4 pont szerinti követelmény. Minden alkalommal, amikor egy Triconex T3000 SIF megkerülésre kerül, a maradék kockázat nő — a biztonsági funkció nem elérhető. A megkerülési nyilvántartásnak tartalmaznia kell: megkerülés oka, jóváhagyó hatóság, kezdési idő, tervezett befejezési idő és a megkerülési időszak alatt alkalmazott kompenzáló intézkedések.

A TriStation 1131-ben a megkerülési feltételek INHIBIT vagy BYPASS változókon keresztül valósulnak meg a vezérlőprogramban. Minden INHIBIT változónak fizikai kulcskapcsolóhoz vagy SCADA szintű engedélyezési címkéhez kell kapcsolódnia. Állítsa be a TriStation programot úgy, hogy minden INHIBIT változó állapotváltozásakor megkerülési eseményt írjon az SOE (Eseménysorozat) naplóba. Az SOE időbélyegző biztosítja az IEC 61511 által megkövetelt audit nyomvonalat.

Az SRS-nek meg kell határoznia az egyes SIF-ek maximálisan megengedett megkerülési időtartamát a folyamat igénylési aránya alapján. Egy olyan SIF esetén, amely egy 0,1 éves folyamat igénylési arányú veszély ellen véd, a maximális megkerülési idő kompenzáló intézkedések nélkül általában 72 óra. Az auditorok összevetik a CMMS megkerülési naplót az SOE naplóval — az eltérések azt jelzik, hogy a megkerülés kezelési folyamat nem működik megfelelően, és rendszerszintű képességhiányt jelentenek az IEC 61511 5. pontja szerint.

Audit Előtti Konfiguráció Ellenőrző Lista

  • Exportálja a TriStation 1131 projektkonfigurációs jelentést, és hasonlítsa össze az összes SIF trip beállítási pontját az SRS-sel. Bármilyen eltérés esetén Módosításkezelési (MOC) dokumentum szükséges, amely a változtatás végrehajtása előtt keltezett.
  • Ellenőrizze, hogy a Triconex T3000 firmware verziója megegyezik-e a biztonsági esetben minősített verzióval. A Triconex firmware frissítések újravizsgálatot igényelnek az IEC 61511 11.8.5 pontja szerint, ha a frissítés befolyásolja a biztonsággal kapcsolatos funkciókat.
  • Erősítse meg, hogy minden diagnosztikai teszt intervallum az SRS-ben meghatározott értékeken belül van. A T3000 modul önellenőrző ciklusa alapértelmezés szerint 1 óra — ellenőrizze, hogy ezt nem hosszabbították-e meg a SCADA DIAG_FAIL riasztások csökkentése érdekében.
  • Ellenőrizze, hogy a Triconex T3000 dátum és idő szinkronizálva van-e az üzem NTP szerverével. A nem szinkronizált SOE időbélyegek gyakori audit nemmegfelelőség, amely megkérdőjelezi az összes történelmi biztonsági esemény sorrendjét.
  • Nézze át a TriStation változásnaplót bármilyen konfigurációs módosítás után, amelyhez nem tartozik MOC dokumentum. Az engedély nélküli változtatások súlyos nemmegfelelőséget jelentenek az IEC 61511 5.2.4 pontja (funkcionális biztonság menedzsment) szerint.

Következtetés és Intézkedési Javaslatok

Egy Invensys Triconex telepítés IEC 61511 szerinti funkcionális biztonsági auditra való felkészítése rendszerezett bizonyítékgyűjtést igényel, nem pedig utolsó pillanatban készült dokumentumokat. Újraszámolja a PFDavg értékeket minden SIF esetében a tényleges bizonyító teszt intervallumok és a telepített FMEDA adatok alapján — ne támaszkodjon a közzétett SIL táblázatokra ellenőrzés nélkül. Auditálja a bizonyító tesztjegyzőkönyveket hiányzó talált válaszidők után, és formálisan kezelje a hiányosságokat. Ellenőrizze a megkerülés kezelési nyilvántartásokat mind a CMMS-ben, mind a Triconex SOE naplóban — az eltérések rendszerszintű folyamathibákat jeleznek.

Töltse ki a konfiguráció ellenőrző listát 30 nappal az audit előtt, hogy legyen ideje MOC dokumentációt készíteni az esetleges eltérésekre. Vonjon be egy kompetens funkcionális biztonsági mérnököt a bizonyítékcsomag átvizsgálására az auditor érkezése előtt. Egy SIL 2 hiányosság audit közbeni felfedezése sokkal költségesebb — időben, pénzben és folyamatkockázatban —, mint ha azt belső ellenőrzés során találják meg.

Szerző: Fang Haoran ipari automatizálási mérnök, több mint 10 éves tapasztalattal PLC, DCS és vezérlőrendszerek területén.

Vissza a bloghoz
Mutasd az összeset
Blogbejegyzések
Mutasd az összeset
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Miért kell az RTD érzékelőket az orifícslapok után felszerelni?

Az RTD felszerelése egy fojtólemez előtt torzíthatja a differenciális nyomásméréseket a termikus hüvely körüli örvényképződés miatt. Ez a cikk ismerteti a von Kármán örvénysor fizikáját, az ISO 5167 és az ASME MFC-3M követelményeit a fojtólemez utáni elhelyezésre, az 5D minimális távolságszabályt, a termikus hüvely mögötti örvényfrekvencia megfelelőségét, valamint egy 7 lépéses telepítési eljárást a kombinált fojtólemez és RTD egységekhez.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Vortex áramlásmérő: működési elvek, kiválasztási szempontok és helyszíni üzembe helyezés

A örvényáramlásmérő a von Kármán örvényleválasztás elvén működik, kiváló hosszú távú pontosságot biztosítva gőz, gáz és alacsony viszkozitású folyadékok mérésében, mozgó alkatrészek nélkül. Ez az útmutató tárgyalja a Strouhal-szám fizikáját, a Reynolds-szám korlátait, a mérő méretezését, az ABB VortexMaster FSV430 egyenes szakaszra vonatkozó követelményeit, valamint a Woodward turbinavezérlő integrációjának helyszíni üzembe helyezési lépéseit.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Termopár vezetékek, szabványok és hibakeresés: Gyakorlati terepi útmutató

A pontos termopár méréshez helyes típusválasztás, megfelelő hosszabbító vezeték és megbízható hidegcsatlakozási kompenzáció szükséges. Ez az útmutató az IEC 60584 típuskódokat és alkalmazási tartományokat, a hosszabbító vezeték és kompenzáló kábel kiválasztását, a Phoenix Contact WTOP CJC sorkapcsokat, a Yokogawa YTA110 CJC konfigurációt, valamint a nyitott áramkör, rövidzárlat és kalibrációs eltérés szisztematikus hibadiagnosztikáját tárgyalja.
Ajánlott termékek listája
Emerson KL3105X1-LS1 12P6551X032 izolált varázskártya
Emerson KL3105X1-LS1 12P6551X032 izolált varázskártya

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart analóg bemeneti CHARM modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart analóg bemeneti CHARM modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC száraz érintkezős CHARM modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC száraz érintkezős CHARM modul

Emerson
Emerson DeltaV KL3005X1-LS1 szigetelt digitális bemeneti Charm modul
Emerson DeltaV KL3005X1-LS1 szigetelt digitális bemeneti Charm modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM címzési terminál
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM címzési terminál

Emerson
Emerson DeltaV I.S. CHARM terminálblokk cikkszám: KL4510X1-DA1
Emerson DeltaV I.S. CHARM terminálblokk cikkszám: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS tápmodul
Emerson DeltaV KL1501X1-BA1 CSLS tápmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 V DC száraz érintkezős CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 V DC száraz érintkezős CHARM

Emerson
Emerson KL3031X1-BA1 RTD/ellenállás bemeneti CHARM modul
Emerson KL3031X1-BA1 RTD/ellenállás bemeneti CHARM modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro PLC modul
GE Fanuc IC693UAA003 Series 90 Micro PLC modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC pozitív logikájú kimeneti modul
GE Fanuc RX3i IC694MDL730 12/24VDC pozitív logikájú kimeneti modul

GE