• Casa
  • Notizie
  • Test di Verifica della Protezione da Sovrapressione SIL 2: HIMA HIMatrix F35 e Woodward ProTech TPS

Test di Verifica della Protezione da Sovrapressione SIL 2: HIMA HIMatrix F35 e Woodward ProTech TPS

Overpressure Protection SIL 2 Proof Test: HIMA HIMatrix F35 and Woodward ProTech TPS

Perché i Test di Verifica SIF da Sovrapressione Falliscono le Verifiche

La protezione da sovrapressione è la Funzione Strumentata di Sicurezza (SIF) più comune negli impianti di processo. Tuttavia, genera il maggior numero di rilievi durante le verifiche. Gli ingegneri testano il trasmettitore di pressione ma saltano la verifica del relè di uscita del logic solver. Registrano il tempo di corsa del PST ma non la forza di apertura. Completano il test in 45 minuti ma lasciano tre elementi non documentati. Gli auditor respingono il registro come incompleto.

Questo articolo copre il test di verifica completo per una configurazione a due su tre (2oo3) di trasmettitori di pressione che alimentano un logic solver HIMA HIMatrix F35, con un confronto sulla protezione da sovravelocità Woodward ProTech TPS. Entrambi i sistemi mirano a SIL 2 con PFDavg tra 1×10⁻³ e 1×10⁻².

Innanzitutto, confermare l'assunzione di Copertura del Test di Verifica (PTC) utilizzata nel calcolo SIL originale. La maggior parte dei calcoli SIL assume il 90% di PTC per un test di verifica completo. Un test parziale (solo PST, senza corsa completa della valvola) raggiunge solo il 50–60% di PTC. Un'assunzione di PTC al 90% con un PTC effettivo del 60% sposta una funzione SIL 2 a SIL 1 — una violazione della conformità con implicazioni legali.

Procedura di Test di Verifica del Logic Solver HIMA HIMatrix F35

Il HIMatrix F35 utilizza un'architettura I/O TMR (Triple Modular Redundant). Ogni canale AI legge in modo indipendente e vota internamente. Il test di verifica controlla tutti e tre i percorsi del segnale, non solo un canale. Il modulo I/O analogico F3 AIO 8/4 01 gestisce gli ingressi del trasmettitore di pressione.

  • Passo 1: Abilitare la Modalità Test di Verifica HIMatrix SILworx tramite la stazione di ingegneria SILworx (versione 6.4 o successiva). Navigare su Sistema → Sicurezza → Gestore Test di Verifica. Impostare l'ID SIF per la funzione di sovrapressione target.
  • Passo 2: Iniettare un segnale di test da 4,00 mA (rappresentante 0% del campo = 0 barg) a ciascun terminale di ingresso canale AI usando un calibratore di loop Fluke 707. Verificare che HIMatrix legga 0,0 barg ±0,2% su tutti e tre i canali tramite SILworx Online Monitor.
  • Passo 3: Aumentare il segnale iniettato a 20,0 mA (100% del campo = pressione a piena scala). Verificare che HIMatrix legga piena scala ±0,2% su tutti e tre i canali.
  • Passo 4: Iniettare un segnale di intervento a 21,0 mA (105% del campo — simulando trasmettitore high-high). Confermare che la logica HIMatrix produca un comando di attivazione Safety Output (SO) entro 200 ms secondo il requisito SRS.
  • Passo 5: Verificare l'uscita del canale DO al solenoide della valvola ESD. Misurare la tensione al terminale del solenoide: confermare 0 VDC entro 250 ms dall’attivazione SO. Registrare il timestamp dal registro eventi SILworx.
  • Passo 6: Testare l'autodiagnostica HIMatrix. Forzare il guasto di un singolo canale AI (disconnettere l’ingresso del canale 1). Verificare che HIMatrix generi un allarme "Guasto Diagnostica Canale 1" ma NON attivi il SIF (2oo3 degradato a voto 1oo2 — comportamento corretto). Ricollegare e verificare il ripristino del canale 1.
  • Passo 7: Testare la funzione di bypass. Attivare il bypass di manutenzione tramite il Gestore Bypass SILworx. Verificare che HIMatrix generi l’allarme "SIF Bypassed" al DCS tramite il registro Modbus TCP holding 40010 bit 3. Il bypass si annulla automaticamente dopo 8 ore (configurabile tramite P_BYPASS_TIMEOUT).

Registrare tutti i timestamp, i valori misurati e i risultati pass/fail nel modulo di Registrazione Test di Verifica. La clausola 16.2.5 della IEC 61511 richiede: data del test, identità del tester, metodo di test, tempo di risposta misurato, confronto con il requisito SRS e firma di approvazione. Il modulo F3 DIO 16/8 01 gestisce i canali di uscita digitale che pilotano i solenoidi delle valvole ESD.

Test di Corsa Parziale e Verifica di Corsa Completa della Valvola ESD

La valvola ESD è l’elemento più soggetto a guasti in una SIF da sovrapressione. Le perdite sulla sede della valvola e i guasti alla molla dell’attuatore sono non rilevabili senza un test fisico di corsa. Il Test di Corsa Parziale (PST) rileva il 50–70% dei guasti pericolosi non rilevati. Il Test di Corsa Completa (FST) rileva oltre il 90%.

Impostare la corsa PST al 15% della corsa completa per una valvola normalmente aperta fail-safe. Una corsa inferiore al 10% non rileva guasti da stelo bloccato. Una corsa superiore al 20% rischia di causare disturbi nel processo in condizioni operative.

  • Passo 1: Confermare che il processo tolleri una chiusura della valvola del 15%. Coordinarsi con l’operatività. Emettere un permesso di test.
  • Passo 2: Avviare il PST dal pannello DCS. Registrare l’ora di inizio nel registro eventi SILworx.
  • Passo 3: Monitorare il feedback di corsa della valvola (4–20 mA dal posizionatore). Verificare che la corsa del 15% sia raggiunta entro 5 secondi. La valvola deve tornare al 100% aperto entro 10 secondi dal completamento del PST.
  • Passo 4: Registrare la pressione di alimentazione al attuatore durante il PST (minimo 5,5 barg per attuatore a molla di ritorno). Valori inferiori a 5,0 barg indicano scarico dell’accumulatore o deriva del regolatore di alimentazione.
  • Passo 5: Per il FST (solo durante la finestra di arresto), disattivare completamente il solenoide di intervento. Verificare la chiusura completa entro 3 secondi secondo il requisito SRS. Misurare la perdita sulla sede usando il metodo della caduta di pressione a monte. Perdite superiori allo 0,1% del flusso nominale Cv fanno fallire il test.

Controllare la resistenza della bobina del solenoide ad ogni test di verifica. Una bobina standard a 24 VDC misura 30–70 ohm a 20°C. Valori fuori da questo intervallo indicano degrado della bobina. Sostituire le bobine dei solenoidi ogni 10 anni o prima, indipendentemente dai risultati elettrici.

Confronto Woodward ProTech TPS: Sovravelocità come Analogo della Sovrapressione

Woodward ProTech TPS (Triple Proximity Switch) protegge le turbine a gas dagli eventi di sovravelocità. L’architettura rispecchia la SIF da sovrapressione: tre sensori alimentano un relè a voto 2oo3. Il sistema Woodward 8200-205 Two-Out-Of-Three Overspeed Protection implementa la stessa logica di voto.

Il ProTech TPS accetta sensori di prossimità magnetici (MPU) con uscita nominale da 0,5 a 50 Vrms sull’intervallo di velocità. Impostare il punto di intervento sovravelocità al 110% della velocità nominale. Il punto di intervento è memorizzato in EEPROM non volatile. Documentare il valore del setpoint e la versione firmware nel registro del test di verifica.

  • Iniettare un segnale di velocità simulato da un Woodward ProTech Speed Tester a ogni ingresso MPU. Aumentare la frequenza al 110% della velocità nominale equivalente (es. 1200 Hz per una macchina a 3000 RPM con ruota a 24 denti).
  • Verificare che l’uscita del relè cada entro 50 ms (specifica del tempo di risposta).
  • Testare tutti e tre i canali MPU indipendentemente. Verificare la logica 2oo3: un singolo canale sopra il setpoint produce un allarme ma non l’intervento. Due canali sopra il setpoint producono l’intervento.
  • Registrare lo stato del contatto del relè (contatto NC si apre all’intervento) con un multimetro digitale durante il test.

La vita nominale del contatto di uscita del relè ProTech TPS è di 100.000 operazioni. Controllare il contatore operazioni (Menu → Diagnostica → Conteggio Relè). Sostituire i moduli relè a 80.000 operazioni in modo proattivo. Un guasto del relè in un sistema 2oo3 degrada il voto a 1oo2 e modifica significativamente il PFDavg.

Ricalcolo del PFDavg e Documentazione per la Verifica

Dopo ogni test di verifica, aggiornare il calcolo del PFDavg. Questo passaggio è obbligatorio secondo la clausola 16.2.5 della IEC 61511 ma è il più frequentemente saltato sul campo.

Usare la formula semplificata IEC 61511 per una configurazione 2oo3 di sensori:

PFDavg (2oo3) = λDU² × Ti²

Dove λDU = tasso di guasti pericolosi non rilevati per ora (es. 5×10⁻⁸ /h per un trasmettitore di pressione Rosemount 3051) e Ti = intervallo di test di verifica in ore. Per un intervallo di 12 mesi (8.760 ore): PFDavg = (5×10⁻⁸)² × (8760)² = 1,9×10⁻⁷. Aggiungere il PFDavg del logic solver HIMatrix F35 (circa 3×10⁻⁵) e il PFDavg della valvola ESD (circa 1×10⁻³ per valvola testata a corsa completa). PFDavg totale SIF ≈ 1,03×10⁻³ — al limite del SIL 2.

Se un test di verifica rivela una copertura inferiore al 90%, o se il PST della valvola fallisce e il FST è rinviato, ricalcolare con il fattore di copertura ridotto. Un PFDavg superiore a 1×10⁻² richiede azioni correttive immediate e notifica all’autorità di sicurezza di processo.

Compilare il pacchetto completo del test di verifica: numero di revisione della procedura di test, registri di calibrazione as-found e as-left per ogni trasmettitore, esportazione del registro eventi SILworx (PDF), registri PST e FST della valvola, foglio di ricalcolo PFDavg e firme dei tester. Conservare i registri per tutta la vita della SIF più almeno 5 anni.

Conclusione e Consigli Operativi

I test di verifica SIL 2 da sovrapressione falliscono le verifiche per due motivi: copertura incompleta di tutti gli elementi SIF e mancato ricalcolo del PFDavg dopo il test. Una calibrazione del trasmettitore senza verifica dell’uscita del logic solver non è un test di verifica — è una calibrazione. Usare il Gestore Test di Verifica HIMatrix SILworx per applicare una sequenza di test strutturata e generare un rapporto di test automatico.

Per la valvola ESD, non accettare mai il solo PST come sostituto del test di verifica completo. Pianificare il FST durante ogni fermata programmata — perdite sulla sede della valvola superiori allo 0,1% del flusso nominale Cv sono un rilievo critico che il PST non può rilevare. Per la protezione da sovravelocità ProTech TPS, monitorare il conteggio delle operazioni del contatto relè e sostituire a 80.000 operazioni. Mantenere il PFDavg totale della SIF sotto 5×10⁻³ per garantire un margine di sicurezza del 100% entro i limiti SIL 2. Documentare tutto — il team di verifica richiede prima i registri e poi l’hardware.

Torniamo al blog
Mostra tutto
I post del blog
Mostra tutto
Thermocouple and RTD Signal Integrity: Cable and Grounding
WeijieHuang

Integrità del Segnale di Termocoppie e RTD: Cavi e Messa a Terra

Guida per ingegneri di campo su fili di estensione per termocoppie, dimensionamento cavi RTD, pratiche di schermatura e filosofia di messa a terra per una misurazione accurata della temperatura.
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Perché i sensori RTD devono essere installati a valle delle piastre orifizio

Thermowell, disturbo del flusso da distacco vorticoso e la logica ingegneristica dietro la sequenza dei sensori nella misura del flusso a pressione differenziale.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Cablaggio del termocoppia, standard e risoluzione dei problemi: una guida pratica sul campo

Codici di tipo IEC 60584, compensazione della giunzione fredda, selezione del filo di estensione e diagnosi sistematica dei guasti per circuiti di temperatura industriali.
Elenco dei prodotti consigliati
Scheda Charm Isolata Emerson KL3105X1-LS1 12P6551X032
Scheda Charm Isolata Emerson KL3105X1-LS1 12P6551X032

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Modulo CHARM di ingresso analogico Hart Emerson DeltaV KL3021X1-LS1, 4–20 mA
Modulo CHARM di ingresso analogico Hart Emerson DeltaV KL3021X1-LS1, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 Modulo CHARM Contatto Secco DI 24 VDC
Emerson DeltaV KL3003X1-BA1 Modulo CHARM Contatto Secco DI 24 VDC

Emerson
Modulo Charm di ingresso digitale isolato Emerson DeltaV KL3005X1-LS1
Modulo Charm di ingresso digitale isolato Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminale Indirizzo I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminale Indirizzo I.S. CHARM

Emerson
Emerson DeltaV I.S. Terminale a Morsetto CHARM PN: KL4510X1-DA1
Emerson DeltaV I.S. Terminale a Morsetto CHARM PN: KL4510X1-DA1

Emerson
Modulo di alimentazione Emerson DeltaV KL1501X1-BA1 CSLS
Modulo di alimentazione Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Contatto Secco CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Contatto Secco CHARM

Emerson
Modulo CHARM Emerson KL3031X1-BA1 con ingresso RTD/Resistenza
Modulo CHARM Emerson KL3031X1-BA1 con ingresso RTD/Resistenza

Emerson
Modulo PLC GE Fanuc IC693UAA003 Serie 90 Micro
Modulo PLC GE Fanuc IC693UAA003 Serie 90 Micro

GE
Modulo di uscita a logica positiva GE Fanuc RX3i IC694MDL730 12/24VDC
Modulo di uscita a logica positiva GE Fanuc RX3i IC694MDL730 12/24VDC

GE