Túlnyomás-védelem SIL 2 Biztonsági Teszt: HIMA HIMatrix F35 és Woodward ProTech TPS

ESD Valve, HIMA HIMatrix F35, IEC 61511, Overpressure Protection, Partial Stroke Test, PFDavg, Process Safety, Proof Test, Safety Instrumented System, SIL 2, Woodward ProTech TPS
április 15, 2026

Overpressure Protection SIL 2 Proof Test: HIMA HIMatrix F35 and Woodward ProTech TPS

Miért buknak el az auditokon a túlnyomásos SIF bizonyító tesztek

A túlnyomás elleni védelem a leggyakoribb Biztonsági Működési Funkció (SIF) a feldolgozóüzemekben. Ennek ellenére ez generálja a legtöbb audit megállapítást. A mérnökök tesztelik a nyomásadót, de kihagyják a logikai vezérlő kimeneti reléjének ellenőrzését. Rögzítik a PST mozgási idejét, de nem az nyitóerőt. A tesztet 45 perc alatt végzik el, de három elemet nem dokumentálnak. Az auditorok hiányosnak ítélik a feljegyzést.

Ez a cikk bemutatja a teljes bizonyító tesztet egy két-háromból-kettő (2oo3) nyomásadó elrendezés esetén, amely egy HIMA HIMatrix F35 logikai vezérlőhöz csatlakozik, összehasonlítva a Woodward ProTech TPS túlpörgés elleni védelemmel. Mindkét rendszer SIL 2 célú, PFDátlag értéke 1×10⁻³ és 1×10⁻² között van.

Először erősítsük meg az eredeti SIL számításban használt Bizonyító Teszt Lefedettség (PTC) feltételezést. A legtöbb SIL számítás 90%-os PTC-t feltételez a teljes bizonyító teszthez. Egy részleges teszt (csak PST, nincs teljes szelepút) csak 50–60%-os PTC-t ér el. Egy 90%-os PTC feltételezés mellett 60%-os tényleges PTC egy SIL 2 funkciót SIL 1-re csúsztat — ami jogi következményekkel járó megfelelőségi hiányosság.

HIMA HIMatrix F35 logikai vezérlő bizonyító teszt eljárás

A HIMatrix F35 TMR (háromszoros moduláris redundáns) I/O architektúrát használ. Minden AI csatorna függetlenül olvas, és belső szavazást végez. A bizonyító teszt az összes három jelút ellenőrzését végzi, nem csak egy csatornáét. A F3 AIO 8/4 01 analóg I/O modul kezeli a nyomásadó bemeneteket.

1. lépés: Engedélyezze a HIMatrix SILworx bizonyító teszt módot a SILworx mérnöki állomáson (6.4-es vagy újabb verzió). Navigáljon a Rendszer → Biztonság → Bizonyító Teszt Kezelő menüponthoz. Állítsa be a SIF azonosítót a célzott túlnyomásos funkcióhoz.
2. lépés: Injektáljon 4,00 mA tesztjelet (0% tartomány = 0 barg) minden AI csatorna bemeneti termináljára Fluke 707 hurokkalibrátorral. Ellenőrizze, hogy a HIMatrix mindhárom csatornán 0,0 barg ±0,2%-ot olvas a SILworx Online Monitoron keresztül.
3. lépés: Növelje az injektált jelet 20,0 mA-re (100% tartomány = teljes skála nyomás). Ellenőrizze, hogy a HIMatrix mindhárom csatornán ±0,2%-os pontossággal a teljes skálát olvassa.
4. lépés: Injektáljon 21,0 mA-es riasztó jelet (105% tartomány — a nyomásadó magas-magas szimulációja). Erősítse meg, hogy a HIMatrix logika 200 ms-on belül biztonsági kimeneti (SO) vezérlő parancsot ad ki az SRS követelmény szerint.
5. lépés: Ellenőrizze a DO csatorna kimenetét az ESD szelep mágnesszelepénél. Mérje meg a feszültséget a mágnesszelep terminálján: erősítse meg, hogy 0 VDC van az SO aktiválásától számított 250 ms-on belül. Jegyezze fel az időbélyeget a SILworx eseménynaplóból.
6. lépés: Tesztelje a HIMatrix öndiagnosztikáját. Kényszerítsen egy AI csatorna hibát (csatlakoztassa le az 1-es csatorna bemenetét). Ellenőrizze, hogy a HIMatrix "1-es csatorna diagnosztikai hiba" riasztást ad, de NEM váltja ki a SIF leállítást (2oo3-ról 1oo2 szavazásra degradálódik — helyes működés). Csatlakoztassa vissza, és ellenőrizze az 1-es csatorna helyreállását.
7. lépés: Tesztelje az áthidaló funkciót. Aktiválja a karbantartási áthidalást a SILworx Áthidaló Kezelőn keresztül. Ellenőrizze, hogy a HIMatrix "SIF áthidalva" riasztást küld a DCS-nek a Modbus TCP tartóregiszter 40010 3. bitjén keresztül. Az áthidalás automatikusan megszűnik 8 óra után (a P_BYPASS_TIMEOUT konfigurálható).

Rögzítse az összes időbélyeget, mért értéket és sikeres/sikertelen eredményt a Bizonyító Teszt Jegyzőkönyv űrlapon. Az IEC 61511 16.2.5 pontja előírja: teszt dátuma, tesztelő személye, teszt módszere, mért válaszidő, összehasonlítás az SRS követelménnyel és aláírás. Az F3 DIO 16/8 01 modul kezeli a digitális kimeneti csatornákat, amelyek az ESD szelep mágnesszelepeit vezérlik.

ESD szelep részleges mozgás teszt és teljes mozgás ellenőrzés

Az ESD szelep a leginkább meghibásodásra hajlamos elem egy túlnyomásos SIF-ben. A szelepülék szivárgása és a működtető rugó meghibásodása fizikai mozgás teszt nélkül nem észlelhető. A Részleges Mozgás Teszt (PST) a veszélyes, észrevétlen hibák 50–70%-át észleli. A Teljes Mozgás Teszt (FST) 90% felett.

Állítsa be a PST mozgást a teljes mozgás 15%-ára egy normálisan nyitott, hibabiztos szelepnél. 10% alatti mozgás nem észleli a beragadt szár hibákat. 20% feletti mozgás élő folyamatban folyamatzavart okozhat.

1. lépés: Erősítse meg, hogy a folyamat elviseli a szelep 15%-os zárását. Egyeztessen az üzemeltetéssel. Adjon ki tesztengedélyt.
2. lépés: Indítsa el a PST-t a DCS kezelőfelületéről. Jegyezze fel a kezdési időt a SILworx eseménynaplóban.
3. lépés: Figyelje a szelep mozgás visszacsatolását (4–20 mA a pozicionálótól). Ellenőrizze, hogy a 15%-os mozgás 5 másodpercen belül megtörténik. A szelepnek a PST befejezése után 10 másodpercen belül vissza kell térnie 100% nyitott állapotba.
4. lépés: Rögzítse a PST ellátó nyomását a működtetőnél (minimum 5,5 barg rugós visszatérítésű működtető esetén). 5,0 barg alatti értékek akkumulátor ürülést vagy ellátó szabályozó elcsúszást jeleznek.
5. lépés: FST esetén (csak leállási ablakban) teljesen áramtalanítsa a riasztó mágnesszelepet. Ellenőrizze a teljes zárást 3 másodpercen belül az SRS követelmény szerint. Mérje a szelepülék szivárgását a bemenő nyomásesés sebességmódszerével. 0,1% Cv névleges áramlás feletti szivárgás teszthalál.

Ellenőrizze a mágnesszelep tekercs ellenállását minden bizonyító tesztnél. Egy szabványos 24 VDC mágnesszelep tekercs 20°C-on 30–70 ohm között mérhető. A tartományon kívüli értékek tekercsromlást jeleznek. Cserélje a mágnesszelep tekercseket 10 éves időközönként vagy előbb, függetlenül az elektromos teszt eredményétől.

Woodward ProTech TPS összehasonlítás: túlpörgés mint túlnyomás analóg

Woodward ProTech TPS (háromszoros közelségkapcsoló) védi a gázturbinákat túlpörgés ellen. Az architektúra tükrözi a túlnyomásos SIF-et: három érzékelő táplál egy 2oo3 szavazó relét. A Woodward 8200-205 Kettő-háromból-kettő túlpörgés védelem rendszer azonos szavazási logikát valósít meg.

A ProTech TPS mágneses közelségérzékelőket (MPU) fogad el, amelyek névleges kimenete 0,5–50 Vrms a sebességtartományban. Állítsa be a túlpörgés riasztási küszöböt a névleges sebesség 110%-ára. A riasztási küszöb nem felejtődő EEPROM-ban tárolódik. Dokumentálja a küszöbértéket és a firmware verziót a bizonyító teszt jegyzőkönyvben.

Injektáljon szimulált sebességjelet Woodward ProTech sebességteszterrel minden MPU bemenetre. Növelje a frekvenciát a névleges sebesség 110%-ának megfelelő értékre (pl. 1200 Hz egy 3000 RPM-es gép 24 fogú kerék esetén).
Ellenőrizze, hogy a relé kimenet 50 ms-on belül leesik (válaszidő specifikáció).
Tesztelje mindhárom MPU csatornát külön-külön. Ellenőrizze a 2oo3 logikát: egy csatorna a küszöb felett riasztást ad, de nem állít le. Két csatorna a küszöb felett leállítást eredményez.
Rögzítse a relé érintkező állapotát (NC érintkező nyit a leálláskor) digitális multiméterrel a teszt alatt.

A ProTech TPS relé érintkező élettartama 100 000 működésre van méretezve. Ellenőrizze a működésszámlálót (Menü → Diagnosztika → Relé Számláló). Cserélje a relé modulokat 80 000 működésnél proaktívan. Egy reléhiba egy 2oo3 rendszerben 1oo2 szavazásra degradálódik, és jelentősen megváltoztatja a PFDátlagot.

PFDátlag újraszámítás és audit dokumentáció

Minden bizonyító teszt után frissítse a PFDátlag számítást. Ez a lépés kötelező az IEC 61511 16.2.5 pontja szerint, de a terepen ez a leggyakrabban kihagyott lépés.

Használja az egyszerűsített IEC 61511 képletet 2oo3 érzékelő elrendezéshez:

PFDátlag (2oo3) = λDU² × Ti²

ahol λDU = veszélyes észrevétlen hibaarány óránként (pl. 5×10⁻⁸ /óra egy Rosemount 3051 nyomásadóra), Ti = bizonyító teszt intervallum órában. Egy 12 hónapos intervallum (8760 óra) esetén: PFDátlag = (5×10⁻⁸)² × (8760)² = 1,9×10⁻⁷. Adja hozzá a HIMatrix F35 logikai vezérlő PFDátlagát (kb. 3×10⁻⁵) és az ESD szelep PFDátlagát (kb. 1×10⁻³ teljes mozgás tesztelt szelep esetén). A teljes SIF PFDátlag ≈ 1,03×10⁻³ — határérték SIL 2.

Ha bármely bizonyító teszt kevesebb, mint 90%-os lefedettséget mutat, vagy ha a szelep PST sikertelen és az FST elhalasztott, számítsa újra a csökkentett lefedettségi tényezővel. 1×10⁻² feletti PFDátlag azonnali korrekciót és értesítést igényel a folyamatbiztonsági hatóságnak.

Állítsa össze a teljes bizonyító teszt csomagot: teszt eljárás verziószáma, minden adó „ahogy talált” és „ahogy hagyott” kalibrációs jegyzőkönyve, SILworx eseménynapló export (PDF), szelep PST és FST jegyzőkönyvek, PFDátlag újraszámítási lap, és a tesztelők aláírásai. A dokumentumokat őrizze meg a SIF élettartamáig plusz legalább 5 évig.

Következtetés és javaslatok

A SIL 2 túlnyomásos bizonyító tesztek két okból buknak el az auditokon: a SIF összes elemének hiányos lefedettsége, és a PFDátlag újraszámításának hiánya a teszt után. Egy adó kalibráció logikai vezérlő kimenet ellenőrzése nélkül nem bizonyító teszt — az csak kalibráció. Használja a HIMatrix SILworx Bizonyító Teszt Kezelőt a strukturált tesztszekvencia betartásához és automatikus tesztjelentés generálásához.

Az ESD szelepnél soha ne fogadja el csak a PST-t teljes bizonyító teszt helyettesítőjeként. Ütemezze az FST-t minden tervezett leálláskor — a szelepülék 0,1% Cv névleges áramlás feletti szivárgása kritikus megállapítás, amit a PST nem képes észlelni. A ProTech TPS túlpörgés elleni védelem esetén figyelje a relé érintkező működés számlálóját, és cserélje 80 000 működésnél. Tartsa a teljes SIF PFDátlagot 5×10⁻³ alatt, hogy 100%-os biztonsági tartalékot biztosítson a SIL 2 határain belül. Dokumentáljon mindent — az audit csapat először a feljegyzéseket kéri, és csak utána a hardvert.