• itthon
  • Hírek
  • IEC 61511 Biztonsági Kikerülés és Felülbírálat Kezelése: HIMA HIMatrix F60 és Triconex T3000 Gyakorlati Útmutató

IEC 61511 Biztonsági Kikerülés és Felülbírálat Kezelése: HIMA HIMatrix F60 és Triconex T3000 Gyakorlati Útmutató

IEC 61511 Safety Bypass and Override Management: HIMA HIMatrix F60 and Triconex T3000 Practical Guide

Miért jelent kockázatot a megkerülés kezelése a megfelelőség szempontjából

Minden terepi mérnök megkerülte már egy érzékelőt karbantartás során. A valódi kérdés az, hogy ez a megkerülés engedélyezett, dokumentált és időben lezárt volt-e. Az IEC 61511 11.9 pontja kötelező életciklus-elemmé teszi a megkerülés kezelését, nem pedig opcionális jó gyakorlattá. A megfelelés elmulasztása érvényteleníti a SIL igénylést, és veszélyes, észrevétlen hibák kockázatának teszi ki az üzemet.

HIMA HIMatrix F60 és a Triconex T3000 egyaránt hardveres szintű tiltó mechanizmusokat kínálnak. Azonban ezek körüli eljárás határozza meg, hogy megfelel-e az IEC 61511-nek, vagy egyszerűen csak megkerülés történt nyom nélkül. A biztonsági megkerülés ideiglenesen letilt egy adott csatornát vagy funkciót. A biztonsági felülbírálat egy kimenetet kényszerít egy meghatározott állapotba a logikától függetlenül. Mindkettő eltérő kockázati profillal rendelkezik, és eltérő engedélyezési szinteket igényel.

Megkerülés osztályozása: három kategória, amelyeket el kell különíteni

Az IEC 61511 nem határoz meg egyetlen megkerülés típust. Minden műveletet osztályozni kell alkalmazás előtt. A három kategória a karbantartási tiltás, a bizonyító teszt megkerülés és a vészhelyzeti felülbírálat:

  • Karbantartási tiltás: egy bemeneti csatorna letiltása kalibráció alatt. Engedélyezi a SIS mérnök, maximális időtartam 4 óra, munkavégzési engedély szükséges.
  • Bizonyító teszt megkerülés: a szavazó logika felfüggesztése két vagy három csatornából egy esetén. Engedélyezi a biztonsági vezető, nem haladhatja meg a bizonyító teszt intervallum harmadát.
  • Vészhelyzeti felülbírálat: egy ESD szelep kimenet kényszerítése nyitott vagy zárt állapotba rendellenes indítás alatt. Közösen engedélyezi az üzemeltetési vezető és a biztonsági tiszt, maximális időtartam 15 perc.

A HIMA HIMatrix F60 esetén minden megkerülés típus más SILworx változóosztályhoz tartozik. A karbantartási tiltás az F-DI inhibit bitet használja a biztonsági programban. A bizonyító teszt megkerülés dedikált TEST_MODE_CH funkcióblokkot alkalmaz. A vészhelyzeti felülbírálat a FORCE_OUT blokkot használja, keménykötésű kulcskapcsoló zárral. A HIMatrix F3 DIO modul biztosítja a fizikai I/O csatornákat, amelyeket ezek az inhibit bitek vezérelnek.

A Triconex T3000 esetén a TriStation 1131 BYPASS_DI és külön FORCE_DO utasítást biztosít. Mindkettő egyedi felhasználónév és jelszó megadását igényli a TriStation audit naplóban. A T3000 automatikusan időbélyegzi az állapotváltozásokat 1 milliszekundumos SOE felbontással.

Hardveres tiltó eljárás a HIMA HIMatrix F60-on

  • 1. lépés: Nyissa meg online a SILworx projektet. Navigáljon az I/O Managerhez, és ellenőrizze, hogy a csatorna állapota JÓ, mielőtt bármilyen tiltást alkalmazna.
  • 2. lépés: Állítsa az INHIBIT_CH változót a célcsatornán IGAZ-ra. Ellenőrizze, hogy a HIMatrix diagnosztikai kijelzője INHIBIT állapotot mutat, nem HIBÁT.
  • 3. lépés: Győződjön meg róla, hogy a szavazó logika továbbra is helyesen működik a fennmaradó csatornákon. Egy 2oo3 érzékelő esetén a logikának inhibit alatt 1oo2 módban kell működnie. Ellenőrizze a VOTER_STATUS kimeneti bitet a HIMatrix F3 DIO modulon.
  • 4. lépés: Rögzítse az inhibitálás kezdési idejét, a csatorna azonosítóját, a megkerülés okát és az engedélyező személy nevét a munkavégzési engedély rendszerben. Állítson be legfeljebb 4 órás riasztást a DCS vagy SCADA rendszerben TON időzítővel, előre beállított T#4H értékkel.
  • 5. lépés: Végezze el a karbantartási feladatot. Ne hagyja felügyelet nélkül a vezérlőtermet az inhibit alatt.
  • 6. lépés: Állítsa vissza az INHIBIT_CH-t HAMIS-ra. Ellenőrizze, hogy a csatorna visszatér-e JÓ állapotba. Írja alá a munkavégzési engedélyt a befejezett csatornaértékkel és időbélyeggel. Ha a csatorna nem tér vissza JÓ állapotba a visszaállítás után, ne távolítsa el az inhibitálást – vizsgálja meg a terepi vezetékezést, mielőtt visszaállítja a normál szavazást.

Hardwired felülbírálat a Triconex T3000-on: FORCE_DO konfiguráció

A Triconex T3000 TMR architektúra háromcsatornás szavazást biztosít minden kimeneten. A FORCE_DO utasítás felülbírálja ezt a szavazást, és a fizikai relét vezérli a logikai állapottól függetlenül. A FORCE_DO konfigurálása TriStationban a következő:

Először a funkcióblokk FORCE_ENABLE bemenetet igényel, amelyet dedikált hardveres kulcskapcsoló hajt meg. Kösse be a kulcskapcsolót a TRICON váz tartalék digitális bemenetére, ne szoftveres változóra – ez megakadályozza az engedély nélküli szoftveres felülbírálást. Másodszor, csatlakoztassa a FORCE_DO.OUTPUT-ot az ESD szelep szolenoid kimeneti változójához. Állítsa be a FORCE_DO.FORCE_VALUE-t a szükséges biztonságos állapotra (IGAZ a normálisan nyitott szelepekhez, HAMIS a normálisan zárt szelepekhez). Harmadszor, adjon hozzá egy TON időzítőt T#15M előbeállítással a FORCE_ENABLE bemenethez. A felülbírálat automatikusan lejár 15 perc után, operátori beavatkozás nélkül – megfelel az IEC 61511 11.9.4 pontjának az automatikus időkorlát követelményével.

A T3000 SOE naplózza minden FORCE_DO aktiválást felhasználónévvel, időbélyeggel és a csatorna állapotával aktiválás előtt és után. Exportálja ezeket a naplókat a CMMS rendszerébe 24 órán belül minden felülbírálati esemény után.

PFDavg hatás számítása hosszabb megkerülések alatt

Minden óra, amíg egy csatorna tiltva van, növeli a hiba valószínűségét az adott körön. Egy SIL 2 kör esetén, amelynek veszélyes észrevétlen hibaaránya λDU 1×10⁻⁵ óránként és bizonyító teszt intervalluma Ti 8,760 óra, az alap PFDavg 0,0438.

Ha egy 2oo3 szavazó egyik csatornáját 4 órára tiltja, a hatékony szavazás 1oo2-re romlik. Számítsa újra a PFDavg-t az 1oo2 képlettel: PFDavg = 3 × (λDU × Ti/2)². A degradált szavazó pillanatnyi PFD-je körülbelül 1,4×10⁻⁶-ra emelkedik ezen a 4 órás időszakon belül – ami a SIL 2 határokon belül marad (PFD 10⁻³-tól 10⁻²-ig), megerősítve, hogy a megkerülés elfogadható. Ha a karbantartás 4 óránál tovább tart, azonnal értesítse a biztonsági vezetőt. Az engedélyezett időn túli megkerülés formális Változáskezelési (MOC) bejegyzést és újraszámított biztonsági esetet igényel a folytatáshoz.

Ötlépéses audit nyomkövetési folyamat az IEC 61511 megfeleléshez

  • 1. lépés: Tartson megkerülési nyilvántartást a CMMS rendszerében (SAP PM, Maximo vagy hasonló). Minden bejegyzés tartalmazza a kör azonosítóját, megkerülés típusát, kezdési időt, engedélyező személyt és várható befejezési időt.
  • 2. lépés: Konfigurálja a HIMA HIMatrix SILworx-ot, hogy írja az INHIBIT_CH állapotváltozásokat OPC DA szerver címkére. Konfigurálja a Triconex T3000 SOE-t, hogy exportáljon az OSIsoft PI Historianba IEC 61511 eszközkeret attribútumokkal.
  • 3. lépés: Állítson be SCADA riasztást minden megkerülésre, amely az engedélyezett időtartamot több mint 10 perccel túllépi. A riasztás prioritása ISA-18.2 1. prioritás (biztonságkritikus) legyen.
  • 4. lépés: Minden megkerülés után ellenőrizze, hogy a visszaállított csatornaérték ±1%-on belül van-e a szomszédos referenciaadó értékéhez képest. Rögzítse a talált és a visszaállított értékeket a megkerülési engedélyen.
  • 5. lépés: Havonta futtasson megkerülési gyakorisági jelentést a PI Historianból. Azok a körök, amelyek havonta több mint 2 megkerülést mutatnak, gyökérok elemzést és javító intézkedési tervet igényelnek 30 napon belül. Automatikusan hasonlítsa össze a SCADA megkerülési rekordokat a CMMS munkarendelésekkel napi egyeztető szkripttel, amely OPC UA és CMMS REST API lekérdezéseket használ.

Következtetés és cselekvési javaslat

A biztonsági megkerülés és felülbírálat kezelése közvetlenül befolyásolja a PFDavg számítást, amely igazolja a SIL 2 igényét. A HIMA HIMatrix F60 SILworx szintű inhibit biteket és automatikus diagnosztikát biztosít. A Triconex T3000 FORCE_DO-t hardveres kulcskapcsoló zárral és SOE időbélyegzéssel kínál. Egyik platform sem véd meg, ha a környező eljárás informális vagy hiányzik.

Kezdje azzal, hogy auditálja a jelenlegi megkerülési nyilvántartását. Ha nem tud 5 percen belül teljes listát előállítani az összes aktív megkerülésről, akkor a rendszere megfelelőségi hiányossággal küzd. Vezesse be a fent leírt ötlépéses audit nyomkövetési folyamatot a következő IEC 61511 harmadik fél általi felülvizsgálat előtt. Egy nem megfelelőség megállapításának költsége egy teljes biztonsági eset felülvizsgálat – sokkal drágább, mint helyesen felépíteni a nyomvonalat már az elejétől.

Szerző: Chen Mingzhi, ipari automatizálási mérnök, több mint 10 éves tapasztalattal PLC, DCS és vezérlőrendszerek területén.

Vissza a bloghoz
Mutasd az összeset
Blogbejegyzések
Mutasd az összeset
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Tételsorozat-vezérlés DCS szekvenciális funkciódiagramokkal: Emerson DeltaV SFC konfiguráció és Woodward EasyGen 3200 szinkronizációs zárolás

A kötegelt folyamatvezérlés formális IEC 61131-3 Szekvenciális Funkciótábla (SFC) struktúrák használatával az Emerson DeltaV rendszerben megakadályozza az állapotgép holtpontjait, és egyszerűsíti az ISA-88 audit megfelelést. Ez az útmutató lefedi a DeltaV Fázislogika SFC tervezési elveit, a Woodward EasyGen 3200 Modbus TCP regiszterleképezést a generátorszinkronizációs zároláshoz, a Tartás és Megszakítás útvonalak tervezését, valamint a négy leggyakoribb SFC kötegelt hiba mintázat diagnosztikáját.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: szegmens tervezése és üzembe helyezése

A Foundation Fieldbus H1 a vezérlési funkcióblokkokat a terepi eszközökön belül hajtja végre, így a vezérlés akkor is fenntartható, ha a gazdagép kommunikációja megszakad – ez kulcsfontosságú előny a SIL-2 és SIL-3 hurkok esetében. Ez az útmutató lefedi az FF H1 teljesítménykeret számítását, a feszültségesés elemzését, a lágyindítási áramlökés-védelmet, az 5 lépéses üzembe helyezési eljárást, a funkcióblokkok ütemezését, valamint a szisztematikus hibadiagnosztikát a szegmenshiba, az időszakos eszközkimaradások és a lezárási ellenálláshibák esetére.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

PROFINET IO kommunikációs hiba diagnosztika: ABB AC500 CM575-PNIO és Phoenix Contact AXL F DI16 terepi hibakeresés

A PROFINET IO kommunikációs hibák az ABB AC500 CM575-PNIO és a Phoenix Contact Axioline F elosztott I/O között gyakori oka a tervezettől eltérő leállásoknak. Ez az útmutató lefedi a fizikai réteg kábelek ellenőrzését, a GSDML verzió ellenőrzését, az eszköznév ütközések megoldását, az AR watchdog beállítását, valamint egy hatlépéses hibakeresési eljárást a DIAG_STATUS regiszter bit-térképezése és a Csatorna Diagnosztika riasztások segítségével.
Ajánlott termékek listája
Emerson KL3105X1-LS1 12P6551X032 izolált varázskártya
Emerson KL3105X1-LS1 12P6551X032 izolált varázskártya

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart analóg bemeneti CHARM modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart analóg bemeneti CHARM modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC száraz érintkezős CHARM modul
Emerson DeltaV KL3003X1-BA1 DI 24 VDC száraz érintkezős CHARM modul

Emerson
Emerson DeltaV KL3005X1-LS1 szigetelt digitális bemeneti Charm modul
Emerson DeltaV KL3005X1-LS1 szigetelt digitális bemeneti Charm modul

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM címzési terminál
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM címzési terminál

Emerson
Emerson DeltaV I.S. CHARM terminálblokk cikkszám: KL4510X1-DA1
Emerson DeltaV I.S. CHARM terminálblokk cikkszám: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS tápmodul
Emerson DeltaV KL1501X1-BA1 CSLS tápmodul

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 V DC száraz érintkezős CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 V DC száraz érintkezős CHARM

Emerson
Emerson KL3031X1-BA1 RTD/ellenállás bemeneti CHARM modul
Emerson KL3031X1-BA1 RTD/ellenállás bemeneti CHARM modul

Emerson
GE Fanuc IC693UAA003 Series 90 Micro PLC modul
GE Fanuc IC693UAA003 Series 90 Micro PLC modul

GE
GE Fanuc RX3i IC694MDL730 12/24VDC pozitív logikájú kimeneti modul
GE Fanuc RX3i IC694MDL730 12/24VDC pozitív logikájú kimeneti modul

GE