• Casa
  • Notizie
  • Validazione del Trasferimento Senza Interruzioni del Controllore Ridondante DCS e Integrazione dell’Interblocco SIS: ABB Symphony Plus AC800M e HIMA HIMatrix F30

Validazione del Trasferimento Senza Interruzioni del Controllore Ridondante DCS e Integrazione dell’Interblocco SIS: ABB Symphony Plus AC800M e HIMA HIMatrix F30

DCS Redundant Controller Bumpless Transfer Validation and SIS Interlock Integration: ABB Symphony Plus AC800M and HIMA HIMatrix F30

Architettura DCS Ridondante e Requisiti di Commutazione

ABB Symphony Plus utilizza il controller AC800M PM866 in configurazione ridondante con un collegamento hot-standby CEX-Bus. I controller primario e ridondante sincronizzano la memoria interna ogni 20 ms tramite il CEX-Bus. Quando avviene una commutazione, il controller di backup deve assumere il controllo senza alcun disturbo misurabile sulle uscite analogiche o sugli stati dei comandi digitali. ABB definisce il trasferimento senza disturbi come una deviazione dell’uscita inferiore allo 0,1% del campo durante la transizione di commutazione.

I controller di sicurezza HIMA HIMatrix F30 operano in modo indipendente dallo strato BPCS di ABB Symphony Plus. Tuttavia, entrambi i sistemi condividono interblocchi di sicurezza cablati e scambiano dati di stato tramite EtherNet/IP. L’architettura di integrazione richiede che una commutazione del controller Symphony Plus non provochi una falsa perdita di connessione EtherNet/IP che attivi una funzione di sicurezza HIMatrix F30. Gli ingegneri devono convalidare sia i tempi del trasferimento senza disturbi sia i tempi di recupero della connessione EtherNet/IP come parte dei protocolli di Factory Acceptance Test e Site Acceptance Test.

Procedura di Misurazione del Tempo di Trasferimento Senza Disturbi

Convalidare le prestazioni del trasferimento senza disturbi con misurazioni strumentali — non affidarsi mai all’osservazione dell’operatore. La commutazione di ridondanza AC800M PM866 richiede circa 80–150 ms a seconda del carico del controller. Durante questo periodo, i moduli di uscita mantengono il loro ultimo valore.

  • Passo 1: Collegare un oscilloscopio o un registratore dati ad alta velocità all’uscita 4–20 mA di un modulo di uscita analogica AO890. Impostare la frequenza di campionamento a un minimo di 1 kHz. Configurare un trigger sul LED indicatore di guasto del CEX-Bus o sul tag OPC REDUNDANCY STATUS in Symphony Plus Operations.
  • Passo 2: In ABB Control Builder M, impostare l’uscita del controller attivo su un valore stabile — 12.000 mA (50% del setpoint). Avviare una commutazione manuale utilizzando il pannello di gestione della ridondanza di Control Builder M. Registrare il picco di deviazione dell’uscita AO890 e il tempo di recupero sull’oscilloscopio.
  • Passo 3: Risultato accettabile: deviazione dell’uscita inferiore a 0,5 mA (±3% del campo per un intervallo 0–100%), recupero entro 200 ms. Se l’uscita presenta un disturbo superiore a 1,0 mA, il programma del controller contiene una sequenza di reinizializzazione che azzera i valori di uscita all’avvio. Identificare e rimuovere tutte le istruzioni di scrittura in uscita incondizionate nel primo ciclo di scansione del programma.
  • Passo 4: Ripetere il test con un carico CPU all’80%. Un’elevata utilizzazione della CPU durante la commutazione aumenta il tempo di mantenimento dell’uscita a 200–300 ms in alcune versioni firmware PM866. Documentare il massimo disturbo osservato al carico CPU target e confrontarlo con i requisiti di processo.

Recupero della Connessione EtherNet/IP Durante la Commutazione

Il HIMA HIMatrix F30 comunica con ABB Symphony Plus tramite EtherNet/IP Classe 1 (messaggistica implicita). Il HIMatrix F30 opera come adattatore EtherNet/IP; lo scanner EtherNet/IP di Symphony Plus Control Builder M avvia la connessione. Durante una commutazione del controller Symphony Plus, la sessione dello scanner EtherNet/IP termina e si ristabilisce sul controller di backup.

Il timeout di connessione EtherNet/IP predefinito del HIMatrix F30 è di 500 ms (5× RPI a 100 ms predefiniti). Se la commutazione Symphony Plus supera i 500 ms, la connessione HIMatrix F30 scade e i dati di ingresso di sicurezza associati passano allo stato SICURO. Ciò può attivare una funzione di sicurezza spurie su qualsiasi SIF che utilizzi dati EtherNet/IP come ingresso permissivo.

Strategia di mitigazione: aumentare il timeout di connessione EtherNet/IP del HIMatrix F30 a 2000 ms nella configurazione SILworx (Adapter → EIP Connection → Timeout Multiplier = 20× RPI). Verificare che questa modifica sia documentata nel registro di convalida SIL — la clausola IEC 61511 11.9.3 richiede che tutte le modifiche ai parametri software di sicurezza siano formalmente valutate. Ridurre l’utilizzo della CPU del controller Symphony Plus sotto il 50% a regime in modo che la commutazione si completi entro 300 ms, fornendo un margine di sicurezza 6× rispetto al timeout di 2000 ms.

Cablatura degli Interblocchi di Sicurezza Cablate tra Sistemi

I moduli HIMatrix F30 F-DI (Ingresso Digitale Fail-safe) utilizzano un ingresso dual-channel a 24 VDC con test interno a impulsi a 1 Hz. Ogni canale di ingresso è collegato a un terminale dispositivo di campo separato. Entrambi i canali devono concordare entro 200 ms affinché l’ingresso venga registrato come VERO.

Errore di cablaggio comune: gli ingegneri collegano entrambi i canali F-DI allo stesso terminale di campo invece che a contatti relè separati. Questa configurazione a singolo canale compromette l’integrità dual-channel del HIMatrix F30 e invalida la dichiarazione SIL 2. La diagnostica HIMA SILworx segnala questo come guasto di discrepanza CH1/CH2 solo quando il singolo punto di guasto si apre. Pertanto, verificare la continuità del cablaggio dual-channel con un test di trazione su ogni nucleo del cavo durante la messa in servizio.

Per il modulo di ingresso digitale DI820 di ABB Symphony Plus che riceve lo stato di trip cablato dal HIMatrix F30 F-DO (Uscita Digitale Fail-safe), configurare il tempo di filtro ingresso DI820 a 10 ms. Ciò impedisce che il segnale di test a impulsi interno HIMatrix F30 (1 Hz, impulso OFF di 5 ms) venga registrato come un falso trip nel registro eventi di Symphony Plus.

Integrazione del Test di Prova SIL 2 con la Modalità Manutenzione DCS

  • Passo 1: Attivare la Modalità Manutenzione Symphony Plus per i loop di controllo interessati. Questo commuta i controller PID BPCS in Manuale con mantenimento dell’ultimo valore.
  • Passo 2: Inviare un comando di modalità test EtherNet/IP da Symphony Plus al HIMatrix F30 (parametro SILworx: PROOF_TEST_MODE = 1).
  • Passo 3: Eseguire la sequenza di test di prova secondo il modello del Rapporto di Test di Prova HIMA SILworx (sezione 6.3): verificare che il relè di trip si apra entro 150 ms dalla richiesta simulata, verificare che la logica di reset si azzeri correttamente, verificare il rilevamento di discrepanze tra sensori ridondanti. Il tempo di risposta del modulo HIMatrix F3 DIO deve essere confermato rispetto alla specifica di requisito SIL 2.
  • Passo 4: Uscire dalla PROOF_TEST_MODE e confermare che HIMatrix F30 ritorni al monitoraggio normale.
  • Passo 5: Disattivare la Modalità Manutenzione Symphony Plus e verificare che i controller PID tornino in Auto senza disturbi in uscita. Documentare tutti i tempi di risposta rilevati e confrontarli con i requisiti SIL 2 (PFDavg deve rimanere entro i limiti definiti dalla specifica di requisito di sicurezza).

Conclusione e Consigli Operativi

L’integrazione dei controller ridondanti ABB Symphony Plus AC800M con i sistemi di sicurezza HIMA HIMatrix F30 richiede la convalida a tre livelli: prestazioni del trasferimento senza disturbi, tempi di recupero della connessione EtherNet/IP e integrità del cablaggio dual-channel degli ingressi di sicurezza. Misurare il trasferimento senza disturbi con un registratore dati a 1 kHz — l’ispezione visiva non è sufficiente. Impostare il timeout di connessione EtherNet/IP del HIMatrix F30 a 2000 ms per sopportare le commutazioni del controller sotto carico. Verificare fisicamente il cablaggio dual-channel F-DI — i guasti di discrepanza rimangono nascosti fino a quando non si verifica un guasto a singolo canale in servizio.

Coordinare le procedure di test di prova con la Modalità Manutenzione Symphony Plus per mantenere la continuità del controllo di processo durante i test delle funzioni di sicurezza IEC 61511. Documentare ogni modifica di parametro nel registro di convalida SIL. Un’impostazione del timeout di connessione a 2000 ms non documentata e valutata rappresenta una lacuna di conformità che gli auditor rileveranno — e che potrebbe invalidare la dichiarazione SIL 2 per l’intero loop di sicurezza.

Autore: Jiang Bolun è un ingegnere di automazione industriale con oltre 10 anni di esperienza in PLC, DCS e sistemi di controllo.

Torniamo al blog
Mostra tutto
I post del blog
Mostra tutto
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Controllo Sequenziale di Batch Utilizzando Diagrammi di Funzione Sequenziale DCS: Configurazione Emerson DeltaV SFC e Interblocco di Sincronizzazione Woodward EasyGen 3200

Il controllo batch tramite strutture formali Sequential Function Chart secondo IEC 61131-3 in Emerson DeltaV previene i blocchi delle macchine a stati e semplifica la conformità all’audit ISA-88. Questa guida tratta i principi di progettazione della logica di fase DeltaV SFC, la mappatura dei registri Modbus TCP Woodward EasyGen 3200 per l’interblocco di sincronizzazione del generatore, la progettazione dei percorsi Hold e Abort, e la diagnosi dei quattro schemi di guasto batch SFC più comuni.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Progettazione e messa in servizio del segmento

Foundation Fieldbus H1 esegue i blocchi funzionali di controllo all'interno dei dispositivi di campo, mantenendo il controllo anche in caso di interruzione della comunicazione con l’host — un vantaggio fondamentale per i loop SIL-2 e SIL-3. Questa guida copre il calcolo del budget di potenza FF H1, l’analisi della caduta di tensione, la protezione contro la corrente di spunto con soft-start, la procedura di messa in servizio in 5 fasi, la programmazione dei blocchi funzionali e la diagnosi sistematica dei guasti per il malfunzionamento del segmento, le cadute intermittenti dei dispositivi e gli errori di resistenza di terminazione.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

Diagnosi dei guasti di comunicazione PROFINET IO: risoluzione dei problemi sul campo con ABB AC500 CM575-PNIO e Phoenix Contact AXL F DI16

I guasti di comunicazione PROFINET IO tra ABB AC500 CM575-PNIO e I/O distribuiti Phoenix Contact Axioline F sono una causa comune di fermi macchina non programmati. Questa guida copre i controlli del cavo a livello fisico, la verifica della versione GSDML, la risoluzione dei conflitti di nome dispositivo, la regolazione del watchdog AR e una procedura di isolamento guasti in sei passaggi utilizzando la mappatura dei bit del registro DIAG_STATUS e gli allarmi di diagnosi del canale.
Elenco dei prodotti consigliati
Scheda Charm Isolata Emerson KL3105X1-LS1 12P6551X032
Scheda Charm Isolata Emerson KL3105X1-LS1 12P6551X032

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Modulo CHARM di ingresso analogico Hart Emerson DeltaV KL3021X1-LS1, 4–20 mA
Modulo CHARM di ingresso analogico Hart Emerson DeltaV KL3021X1-LS1, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 Modulo CHARM Contatto Secco DI 24 VDC
Emerson DeltaV KL3003X1-BA1 Modulo CHARM Contatto Secco DI 24 VDC

Emerson
Modulo Charm di ingresso digitale isolato Emerson DeltaV KL3005X1-LS1
Modulo Charm di ingresso digitale isolato Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminale Indirizzo I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminale Indirizzo I.S. CHARM

Emerson
Emerson DeltaV I.S. Terminale a Morsetto CHARM PN: KL4510X1-DA1
Emerson DeltaV I.S. Terminale a Morsetto CHARM PN: KL4510X1-DA1

Emerson
Modulo di alimentazione Emerson DeltaV KL1501X1-BA1 CSLS
Modulo di alimentazione Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Contatto Secco CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Contatto Secco CHARM

Emerson
Modulo CHARM Emerson KL3031X1-BA1 con ingresso RTD/Resistenza
Modulo CHARM Emerson KL3031X1-BA1 con ingresso RTD/Resistenza

Emerson
Modulo PLC GE Fanuc IC693UAA003 Serie 90 Micro
Modulo PLC GE Fanuc IC693UAA003 Serie 90 Micro

GE
Modulo di uscita a logica positiva GE Fanuc RX3i IC694MDL730 12/24VDC
Modulo di uscita a logica positiva GE Fanuc RX3i IC694MDL730 12/24VDC

GE