• Casa
  • Notizie
  • Procedura di Test del Loop Strumentale per Sistemi Strumentati di Sicurezza con Valutazione SIL

Procedura di Test del Loop Strumentale per Sistemi Strumentati di Sicurezza con Valutazione SIL

Instrument Loop Test Procedure for SIL-Rated Safety Instrumented Systems

Perché i Test del Loop SIL Differiscono dai Controlli di Messa in Servizio Standard

Un test standard del loop conferma la continuità del segnale e la precisione della scala. Un test del loop SIL fa tutto ciò e in più verifica che la funzione di sicurezza si attivi al valore corretto della variabile di processo, si disattivi correttamente dopo il reset e non lasci guasti latenti. La norma IEC 61511 Clausola 16.2 richiede registrazioni documentate dello stato “as-found” e “as-left” per ogni loop con classificazione SIL ad ogni intervallo di prova. La mancata documentazione dei dati “as-found” prima della regolazione invalida la prova ai fini della conformità.

Per i sistemi Allen-Bradley ControlLogix 1756-L85E, aprire Studio 5000 e individuare il Safety Task. Confermare che il tag logico della funzione di sicurezza corrisponda al SRS. Per i sistemi Triconex T3000, aprire TriStation 1131 e verificare la rete logica che implementa la funzione protettiva. Entrambi i sistemi richiedono un bypass di manutenzione prima di qualsiasi intervento fisico. Confermare l’intervallo di prova — i loop SIL 2 richiedono tipicamente intervalli di prova biennali basati sui calcoli PFDavg. Non estendere mai l’intervallo senza una deroga documentata approvata dall’ingegnere di sicurezza funzionale.

Procedura di Bypass di Manutenzione e Inibizione

  • Passo 1: In Allen-Bradley ControlLogix, impostare il bit di bypass di sicurezza corrispondente utilizzando il meccanismo Safety Bypass Request in Studio 5000. Non usare forzature. Le forzature del safety task bypassano la logica di rilevamento della prova del CPU di sicurezza. Il bit di bypass attiva un allarme Safety Bypass Active nello storico.
  • Passo 2: In Triconex T3000, aprire TriStation 1131 e attivare la Modalità Manutenzione per il canale in prova. La Modalità Manutenzione imposta l’uscita del canale in uno stato sicuro preconfigurato. Il LED sul pannello frontale del modulo Tricon CX passa da verde ad ambra. Registrare l’ora di inizio nel sistema di permessi di lavoro.
  • Passo 3: Verificare che la logica di voto non attivi un intervento spurio. Per una funzione di voto 2oo3, un canale in manutenzione è accettabile. Per una funzione 1oo1, l’attivazione dell’elemento finale deve essere confermata inibita a livello dell’attuatore della valvola prima di procedere.
  • Passo 4: Confermare il bypass con l’operatore della sala controllo. L’operatore deve riconoscere il bypass sul pannello SCADA e inserire il proprio ID utente. Questo crea una traccia di audit richiesta dalla IEC 61511 Clausola 11.9.

Test a Freddo del Loop: Iniezione del Segnale e Verifica della Scala

Il test a freddo del loop utilizza un calibratore di processo per iniettare segnali senza fluido di processo attivo. Per un loop trasmettitore di pressione 4–20 mA, iniettare 4.000 mA, 12.000 mA e 20.000 mA alla testa del trasmettitore. Registrare il conteggio grezzo DCS a ogni punto.

Per i moduli di ingresso analogico Allen-Bradley ControlLogix 1756-IF16, l’intervallo previsto del conteggio grezzo è 0–32767. A 4 mA, il conteggio previsto è 0 ±20 conteggi (0,06% del campo). A 20 mA, il conteggio previsto è 32767 ±20 conteggi. Uno scostamento superiore a 50 conteggi richiede la ricalibrazione del modulo usando la procedura guidata RSLogix 5000 Analog Input Calibration Wizard.

Per i moduli AI Triconex T3000, la risoluzione dell’ingresso analogico è a 16 bit. A 4 mA, il canale AI legge 0x0000. A 20 mA, il canale legge 0x7FFF. Una deviazione superiore a 0x0050 (80 conteggi) in qualsiasi punto di prova richiede la sostituzione del modulo AI — il T3000 non supporta la ricalibrazione in campo del guadagno del canale AI.

  • Passo 1: Collegare il calibratore di processo in parallelo al cablaggio del trasmettitore nella scatola di giunzione. Impostare la modalità sorgente a 4.000 mA. Attendere 5 secondi per l’aggiornamento del DCS. Registrare il valore visualizzato dal DCS e il conteggio grezzo.
  • Passo 2: Aumentare a 12.000 mA (50% del campo). Verificare che il display DCS legga 50% ±0,5% dell’intervallo dell’unità di misura. Registrare i valori “as-found”.
  • Passo 3: Aumentare a 20.000 mA (100% del campo). Verificare che il DCS legga il valore a piena scala ±0,5%. Registrare i valori “as-found”.
  • Passo 4: Iniettare 3.600 mA. Verificare che il DCS generi un allarme “Low Wire Break” entro 3 secondi. In Allen-Bradley ControlLogix, la soglia di rottura del filo per AI 4–20 mA è configurabile a 3,6 mA nelle proprietà del modulo Studio 5000.
  • Passo 5: Iniettare 21.000 mA. Verificare che il DCS generi un allarme “High Over-Range” entro 3 secondi. La soglia di sovraccarico del ControlLogix 1756-IF16 è 21,0 mA. La soglia di sovraccarico del modulo AI Triconex è 20,5 mA di default.
  • Passo 6: Registrare tutti i dati “as-found” nel foglio di registrazione del test del loop. Se tutti i valori sono entro i criteri di accettazione, documentare come “As-Found = As-Left”. Se qualche valore devia, eseguire la regolazione e ripetere il test. Documentare entrambi i valori “as-found” e “as-left” con firma dell’ingegnere.

Test a Caldo del Loop: Verifica dell’Attivazione della Funzione di Sicurezza

Il test a caldo del loop conferma che la funzione di sicurezza si attivi al setpoint corretto della variabile di processo. Questo test esercita l’intero loop SIS dal sensore al risolutore logico fino all’elemento finale. I test a caldo richiedono condizioni di processo attive o condizioni simulate con una sorgente di pressione certificata.

Innanzitutto, confermare che l’elemento finale (tipicamente una valvola ESD) sia in stato sicuro prima di iniziare. Usare l’indicatore di posizione dell’attuatore per confermare. Non procedere se il feedback della posizione della valvola differisce dal segnale di comando di oltre il 5% della corsa.

In secondo luogo, aumentare lentamente il segnale iniettato verso il setpoint di intervento della funzione di sicurezza. Per un intervento di alta pressione impostato a 95 barg, iniettare il segnale mA equivalente passo dopo passo: 18 mA (90%), 18,8 mA (94%), 19,0 mA (95%). Registrare il valore esatto di mA al quale la funzione di sicurezza di Triconex T3000 o Allen-Bradley ControlLogix si attiva. Il punto di attivazione deve rientrare in ±1% del setpoint specificato nel SRS.

In terzo luogo, verificare la sequenza di reset. Dopo l’attivazione, ridurre il segnale al di sotto della soglia di reset. Confermare che la funzione di sicurezza non si resetti automaticamente senza un’azione esplicita di reset da parte dell’operatore. L’architettura latch-reset è obbligatoria per le funzioni SIL 2 secondo IEC 61511 Clausola 11.6.4. Un loop SIL 2 che si resetta da solo fallisce la prova indipendentemente dalla precisione del setpoint.

Infine, verificare il tempo di risposta. Il tempo di risposta del loop SIS dal cambiamento dell’ingresso del sensore alla corsa completa dell’elemento finale non deve superare il Process Safety Time (PST) specificato nel SRS. Usare un cronometro o il registratore SOE del DCS con risoluzione di 1 ms. Il tempo di risposta del modulo di uscita digitale Triconex TMR di 30 ms più il tempo di scansione del safety task ControlLogix di 10 ms lascia un budget di 1960 ms per la corsa della valvola in un’applicazione con PST di 2 secondi.

Requisiti di Documentazione e Audit IEC 61511

Ogni prova SIL genera tre documenti obbligatori: il Loop Test Record (LTR), il Certificato di Prova (PTC) e l’aggiornamento della Functional Safety Assessment (FSA). L’LTR registra i valori “as-found” e “as-left”, i numeri di serie degli strumenti di prova con certificati di calibrazione, il nome del tester e la firma del testimone. Il PTC conferma che la funzione di sicurezza ha soddisfatto tutti i criteri di accettazione o documenta le non conformità con piani di azione correttiva. L’aggiornamento FSA ricalcola il PFDavg usando la copertura reale della prova raggiunta.

Le carenze comuni negli audit includono: mancanza di registrazioni “as-found” (tester ha regolato prima di registrare), uso di strumenti di prova con certificati di calibrazione scaduti (intervallo massimo 12 mesi), assenza di firma del testimone per funzioni SIL 2 e superiori, e mancato ricalcolo del PFDavg dopo la prova. Ognuna di queste è una Non Conformità Maggiore secondo i criteri di audit TÜV Rheinland per la sicurezza funzionale.

Implementare una checklist pre-test prima di iniziare qualsiasi prova SIL. Confermare: calibrazione degli strumenti valida, MOC approvato, permesso di bypass emesso, setpoint SRS confermati, LTR precedente esaminato per carenze note. Cinque minuti di verifica pre-test prevengono ore di correzioni post-audit.

Conclusione e Consigli Operativi

I test dei loop strumentali SIL non sono una formalità. Sono il meccanismo principale per rilevare guasti latenti accumulati dall’ultima prova. Seguire la sequenza di sei passi del test a freddo per verificare la scala e il rilevamento di rottura filo. Usare il test a caldo per confermare l’attivazione della funzione di sicurezza al setpoint SRS entro ±1% di tolleranza. Verificare il comportamento latch-reset e il tempo di risposta rispetto al budget del Process Safety Time.

In Allen-Bradley ControlLogix, usare i bit di bypass di sicurezza, mai forzature. In Triconex T3000, usare la Modalità Manutenzione con registrazione temporizzata nel sistema di permessi di lavoro. Registrare i dati “as-found” prima di qualsiasi regolazione. Emettere Certificati di Prova con firma dell’ingegnere e documentazione conforme TÜV. Ricalcolare il PFDavg dopo ogni ciclo di prova. Il test sistematico e documentato dei loop SIL è la base ingegneristica che mantiene sicuri sia le persone sia i beni di processo.

Autore: Wang Jiaming è un ingegnere di automazione industriale con oltre 10 anni di esperienza in PLC, DCS e sistemi di controllo.

Torniamo al blog
Mostra tutto
I post del blog
Mostra tutto
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Perché i sensori RTD devono essere installati a valle delle piastre orifizio

L'installazione di un RTD a monte di una piastra orifizio altera le letture della pressione differenziale a causa del distacco di vortici nel pozzetto termometrico. Questo articolo spiega la fisica della scia di vortici di von Kármán, i requisiti di posizionamento a valle secondo ISO 5167 e ASME MFC-3M, la regola della distanza minima di 5D, la conformità alla frequenza di scia del pozzetto termometrico e una procedura di installazione in 7 passaggi per gli assemblaggi combinati di piastra orifizio e RTD.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Misuratore di portata a vortice: principi di funzionamento, criteri di selezione e messa in servizio sul campo

Un misuratore di portata a vortice funziona secondo il principio dello stacco dei vortici di von Karman, offrendo un'eccellente precisione a lungo termine nel servizio di vapore, gas e liquidi a bassa viscosità senza parti mobili. Questa guida copre la fisica del numero di Strouhal, i vincoli del numero di Reynolds, la dimensione del misuratore, i requisiti di tratto rettilineo per ABB VortexMaster FSV430 e le fasi di messa in servizio sul campo per l'integrazione del regolatore della turbina Woodward.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Cablaggio del termocoppia, standard e risoluzione dei problemi: una guida pratica sul campo

La misurazione accurata con termocoppia richiede la corretta selezione del tipo, un cavo di estensione abbinato e una compensazione affidabile della giunzione fredda. Questa guida copre i codici di tipo IEC 60584 e gli intervalli di applicazione, la selezione del cavo di estensione e del cavo compensatore, i morsetti per giunzione fredda Phoenix Contact WTOP CJC, la configurazione CJC Yokogawa YTA110 e la diagnosi sistematica dei guasti per circuito aperto, cortocircuito e deriva di calibrazione.
Elenco dei prodotti consigliati
Scheda Charm Isolata Emerson KL3105X1-LS1 12P6551X032
Scheda Charm Isolata Emerson KL3105X1-LS1 12P6551X032

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Modulo CHARM di ingresso analogico Hart Emerson DeltaV KL3021X1-LS1, 4–20 mA
Modulo CHARM di ingresso analogico Hart Emerson DeltaV KL3021X1-LS1, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 Modulo CHARM Contatto Secco DI 24 VDC
Emerson DeltaV KL3003X1-BA1 Modulo CHARM Contatto Secco DI 24 VDC

Emerson
Modulo Charm di ingresso digitale isolato Emerson DeltaV KL3005X1-LS1
Modulo Charm di ingresso digitale isolato Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminale Indirizzo I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminale Indirizzo I.S. CHARM

Emerson
Emerson DeltaV I.S. Terminale a Morsetto CHARM PN: KL4510X1-DA1
Emerson DeltaV I.S. Terminale a Morsetto CHARM PN: KL4510X1-DA1

Emerson
Modulo di alimentazione Emerson DeltaV KL1501X1-BA1 CSLS
Modulo di alimentazione Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Contatto Secco CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Contatto Secco CHARM

Emerson
Modulo CHARM Emerson KL3031X1-BA1 con ingresso RTD/Resistenza
Modulo CHARM Emerson KL3031X1-BA1 con ingresso RTD/Resistenza

Emerson
Modulo PLC GE Fanuc IC693UAA003 Serie 90 Micro
Modulo PLC GE Fanuc IC693UAA003 Serie 90 Micro

GE
Modulo di uscita a logica positiva GE Fanuc RX3i IC694MDL730 12/24VDC
Modulo di uscita a logica positiva GE Fanuc RX3i IC694MDL730 12/24VDC

GE