SIL 3 Biztonsági Teszt Ütemezése és PFDátlag Kezelése HIMA HIMatrix és ICS Triplex TMR rendszerekhez

Functional Safety, HIMA HIMatrix, ICS Triplex TMR, IEC 61511, IEC 62443, PFDavg, Proof Test, Safety Instrumented System, SIL 3, SIS
április 28, 2026

SIL 3 Proof Test Scheduling and PFDavg Management for HIMA HIMatrix and ICS Triplex TMR

Gyakorlati IEC 61511 útmutató a SIL 3 bizonyító tesztek ütemezéséhez, a PFDavg kiszámításához a HIMA HIMatrix F60 és az ICS Triplex TMR architektúrák esetében, a részleges bizonyító teszt jóváírás alkalmazásához, valamint a megfelelőségi nyilvántartások vezetéséhez többéves üzemleállási ciklusok során.

SIL 3 követelmények és PFDavg célérték tartomány

Az IEC 61511 3. táblázata a SIL 3-at 10⁻⁴ és 10⁻³ közötti PFDavg tartománnyal határozza meg. Ez egy nagyságrenddel szigorúbb, mint a SIL 2. A SIL 3 eléréséhez vagy nagyon redundáns architektúra, vagy nagyon rövid bizonyító teszt intervallum szükséges. A HIMA HIMatrix F60 1oo2D architektúrával csak akkor éri el a SIL 3-at, ha a bizonyító teszt intervallum legfeljebb 1 év, és a diagnosztikai lefedettség meghaladja a 99%-ot.

Az ICS Triplex TMR a 2oo3 hardveres szavazással és teljes online diagnosztikával éri el a SIL 3-at. A Triplex TMR diagnosztikai lefedettsége belső hibákra 99,7%-os. Egy 2 éves bizonyító teszt intervallummal és csatornánként 1,2×10⁻⁷/h veszélyes hibaaránnyal (λDU) a PFDavg körülbelül 5,3×10⁻⁴-re adódik. Ez megfelel a SIL 3 felső határának, a 10⁻³-nak.

Ugyanakkor a PFDavg nem állandó érték. Az idő múlásával, a rendszer öregedésével növekszik. Évente ellenőrizze a SIL igazolási számítást. Cserélje ki az öregedő alkatrészeket, mielőtt a λDU növekedése a PFDavg-ot a SIL 3 felső határa fölé emelné.

Bizonyító teszt intervallum számítása vegyes architektúrák esetén

Sok üzem kombinálja a HIMA HIMatrix F60-at az indítókhoz és az ICS Triplex TMR-t a végső elemhez. Ebben az esetben külön-külön számítsa ki a PFDavg-ot az egyes alrendszerekre, majd összegezze azokat. A teljes SIF PFDavg értéknek 10⁻³ alatt kell maradnia.

Használja az IEC 61511-1 K mellékletében található képletet 1oo2D architektúrára:

PFDavg (1oo2D) = (λDU × Ti)² / 3 + λDU × (1 – DC) × Ti / 2

A HIMA HIMatrix F60 esetében, ahol λDU = 3×10⁻⁷/h csatornánként, Ti = 8,760 óra (1 év), és DC = 0,99:

PFDavg = (3×10⁻⁷ × 8,760)² / 3 + 3×10⁻⁷ × 0,01 × 8,760 / 2 = 2,3×10⁻⁶ + 1,3×10⁻⁵ = 1,5×10⁻⁵

Ez jelentős PFDavg keretet hagy az ICS Triplex TMR végső elem alrendszer számára. Ugyanakkor soha ne engedje, hogy bármely egyes alrendszer a teljes SIL 3 PFDavg keret több mint 50%-át felhasználja. Ez a megközelítés tartalékot biztosít a jövőbeni változásokhoz anélkül, hogy érvénytelenítené a SIL igazolást.

Részleges bizonyító teszt jóváírás és diagnosztikai lefedettség hatása

A teljes bizonyító teszt az összes veszélyes hibamódot ellenőrzi. A részleges bizonyító teszt csak egy részhalmazt. Az IEC 61511 16.2.6 pontja engedélyezi a részleges bizonyító teszt jóváírást, ha a részleges teszt hányad (PTF) dokumentált. A HIMA SILworx a PTF-et teszteljárásonként határozza meg. Egy szabványos csatorna diagnosztikai ellenőrzés működés közben PTF = 0,3–0,5 értékkel számol, a hibamód lefedettségtől függően.

Az ICS Triplex TMR online önellenőrzése körülbelül 85%-ban fedi le a veszélyes hibamódokat. Ez azt jelenti, hogy az éves bizonyító tesztnek csak a fennmaradó 15%-ot kell lefednie. Ez csökkenti a bizonyító teszt időtartamát 8 óráról körülbelül 1,5 órára SIF-enként. Ezt a jóváírást alkalmazza a SIL igazoló eszközben úgy, hogy PTF = 0,85 értéket ad meg az online diagnosztika hozzájárulására, és PTF = 0,15 értéket a manuális bizonyító teszt kiegészítésére.

Továbbá a diagnosztikai lefedettség jóváíráshoz bizonyíték szükséges. A HIMA HIMatrix SILworx naplózza a diagnosztikai teszteredményeket a belső eseménynaplóban. Ezt a naplót havonta exportálja és archiválja a CMMS rendszerben. Az ICS Triplex vezérlő diagnosztikai állapota a Modbus TCP 41001-es regiszterén keresztül érhető el (bit-térképes, 16 hibakategória). Ezt a regisztert naponta naplózza az OPC DA történetíró. Ez az archivált adat szolgál az IEC 61511 16.2.5 pont szerinti bizonyító teszt dokumentációs bizonyítékként az auditok során.

Ötlépéses bizonyító teszt nyilvántartás dokumentáció

Az IEC 61511 16.3 pontja előírja, hogy a bizonyító teszt nyilvántartásoknak tartalmazniuk kell meghatározott adatmezőket. Hiányzó mezők érvénytelenítik a teszt jóváírást. Kövesse ezt a dokumentációs eljárást minden SIL 3 SIF bizonyító tesztnél:

1. lépés: Rögzítse a talált állapotot a teszt beavatkozása előtt. Minden HIMA HIMatrix F60 csatornára jegyezze fel a LED állapotát (zöld/sárga/piros) és a SILworx diagnosztikai összefoglaló bájtot. Minden ICS Triplex TMR kimenetre jegyezze fel a relé állapotát és a Modbus 41001 regiszter értékét.
2. lépés: Végezze el a teszt sorrendet az engedélyezett bizonyító teszt eljárás szerint. Rögzítse minden lépés időpontját szinkronizált órával. Használja az üzem NTP referencia (stratum 1) idejét az összes időbélyeghez. Ne használja a PC helyi idejét – az óraeltérés meghaladja az 1 másodperces felbontást, amely szükséges a SIF válaszidő igazoláshoz.
3. lépés: Rögzítse a mért válaszidőt a bemeneti jel befecskendezésétől a végső elem aktiválásáig. Hasonlítsa össze a biztonsági követelmény specifikációban (SRS) előírt SIF válaszidővel. Az elfogadható tűrés ±10% a megkövetelt válaszidőhöz képest.
4. lépés: Rögzítse a teszt befejezése utáni állapotot. Erősítse meg, hogy mind a HIMA, mind az ICS Triplex rendszerek visszaálltak a normál működési módba. Ellenőrizze, hogy a SILworx nem mutat-e rögzített diagnosztikai hibákat. Erősítse meg, hogy a Triplex TMR Modbus 41001 regiszter 0x0000 értéket mutat (nincs aktív hiba).
5. lépés: Frissítse a SIL igazolási számítást az új bizonyító teszt dátumával. Számítsa újra a PFDavg értéket a következő bizonyító teszt intervallumra. Ha a PFDavg megközelíti a SIL 3 felső határának 20%-át, jelölje meg a SIF-et korai újratesztelésre vagy architektúra felülvizsgálatra. Archiválja a kész teszt nyilvántartást a CMMS-ben elektronikus aláírással az IEC 62443-2-1 rekord integritási követelményeinek megfelelően.

Következtetés és javaslatok

A SIL 3 megfelelőség a HIMA HIMatrix és ICS Triplex TMR rendszerek esetében a szigorú bizonyító teszt ütemezéstől és a pontos PFDavg nyomon követéstől függ. Számítsa ki a PFDavg-ot alrendszerenként külön-külön. Tartsa az egyes alrendszerek hozzájárulását a teljes SIL 3 keret 50%-a alatt. Alkalmazzon részleges bizonyító teszt jóváírást csak akkor, ha a diagnosztikai lefedettség bizonyítékát archiválták a CMMS-ben. Dokumentálja minden talált és elhagyott állapotot NTP-szinkronizált időbélyegekkel. Évente frissítse a SIL igazolást. Jelölje meg azokat a SIF-eket, ahol a PFDavg eléri a SIL 3 felső határának 80%-át. Ezek a gyakorlatok védik a SIL 3 integritását az üzem teljes életciklusa alatt.

Szerző: Chen Hao ipari automatizálási mérnök, több mint 10 éves tapasztalattal PLC, DCS és vezérlőrendszerek területén.