IEC 61511 funkcionālās drošības audita sagatavošana: aizstāvama pierādījumu pakotnes izveide Invensys Triconex drošības instrumentētajām sistēmām

Bypass Management, FMEDA, Functional Safety Audit, IEC 61511, Industrial Automation, Invensys Triconex, PFDavg, Proof Test Record, SIL 2, TriStation 1131
aprīlis 22, 2026

IEC 61511 Functional Safety Audit Preparation: Building a Defensible Evidence Package for Invensys Triconex Safety Instrumented Systems

Ko reāli meklē auditori

Funkcionālās drošības audits saskaņā ar IEC 61511 nav tikai dokumentu pārbaude — tas ir plaisu analīze starp jūsu Drošības prasību specifikāciju (SRS) un faktiski uzbūvēto un uzturēto sistēmu. Auditori vispirms pārbauda trīs lietas: drošības lietas pilnīgumu, pierādījumu testu ierakstu integritāti un SIL prasības derīgumu. Invensys Triconex T3000 vai Tricon CX instalācijai pierādījumu pakai jāparāda, ka SIS tika projektēta, uzstādīta un uzturēta saskaņā ar SRS. Nepilnības jebkurā no šīm jomām var samazināt efektīvo SIL no SIL 2 uz SIL 1 — vai smagos gadījumos pilnībā atcelt drošības lietu.

Pirmkārt, apkopo pilnu SRS dokumentu, iekļaujot visas Drošības instrumentētās funkcijas (SIF) aprakstus, SIL mērķus un procesa pieprasījuma likmes. Otrkārt, pārliecinies, ka visas TriStation 1131 projekta konfigurācijas atbilst SRS — arhitektūra, balsošanas loģika, apiet loģika un diagnostikas pārklājums. Treškārt, pārbaudi, vai pierādījumu testu ieraksti ir parakstīti, datēti un satur atrasto reakcijas laiku — ne tikai izpildes/neizpildes atzīmes.

PFDavg pārrēķins un SIL pārbaude

Vidējā pieprasījuma kļūmes varbūtība (PFDavg) kvantificē SIS uzticamību pārbaudes intervālā. SIL 2 prasa PFDavg vērtības no 1×10⁻³ līdz 1×10⁻². Triconex T3000 TMR arhitektūra ar 2oo3 balsošanas loģiku sasniedz zemas PFDavg vērtības pateicoties augstam diagnostikas pārklājumam (DC ≥ 99%) un iebūvētai redundancei. Tomēr publicētie PFDavg no Triconex FMEDA ziņojumiem pieņem noteiktus pārbaudes intervālus un ekspluatācijas apstākļus.

Pārrēķini PFDavg katrai SIF, izmantojot vienkāršoto formulu 1oo1 apakšsistēmai: PFDavg = λDU × Ti / 2, kur λDU ir bīstamās neatklātās kļūmes likme un Ti ir pārbaudes intervāls stundās. Triconex T3000 ar λDU = 2.3×10⁻⁷ stundā (no Triconex FMEDA Rev 4) un Ti = 8760 stundas (gada tests): PFDavg = 2.3×10⁻⁷ × 8760 / 2 = 1.0×10⁻³. Tas ir tieši SIL 2 apakšējā robežā — bez rezervēm. Samazinot Ti līdz 4380 stundām (pusgada tests), PFDavg samazinās līdz 5.0×10⁻⁴, kas ērti atbilst SIL 2 diapazonam.

Galvenais elements (ESD vārsts vai izslēgšanas ierīce) bieži dominē SIF PFDavg, nevis Triconex loģikas risinātājs. Tipisks elektromagnētiskais vārsts ar λDU = 5×10⁻⁷ stundā un Ti = 8760 stundas dod PFDavg = 2.2×10⁻³ — kas vienatnē patērē SIL 2 budžetu. Daļējas gājiena pārbaude (PST) ik pēc 3 mēnešiem samazina šo ieguldījumu līdz 5.5×10⁻⁴ un atjauno nozīmīgu PFDavg rezervi.

Pierādījumu testu ierakstu trūkumu novēršana

Visbiežākais audita atklājums Triconex instalācijās ir nepilnīgi pierādījumu testu ieraksti. IEC 61511 16.2.5 pants prasa, lai pierādījumu testu ieraksti saturētu: testa datumu, tehniķa identitāti, testa metodi, atrasto stāvokli, testa rezultātu un atstātā stāvokļa aprakstu. Ieraksti, kuros ir tikai paraksts un “IZPILDĪTS” atzīme, nav atbilstoši prasībām.

1. solis: Audita katru SIF pierādījumu testa ierakstu no pēdējā pārbaudes intervāla. Izveido trūkumu matricu: SIF numurs, testa datums, trūkstošie lauki, atbildīgais tehniķis.
2. solis: Ierakstiem, kuros trūkst atrastā reakcijas laika, sazinies ar sākotnējo tehniķi un pieprasi likumīgu deklarāciju par mērījuma vērtību no atmiņas — ja tā ir dokumentēta citur (lauka piezīmju grāmatiņā, kalibrācijas sistēmā). Pievieno deklarāciju oriģinālajam ierakstam.
3. solis: Ierakstiem bez vispārējiem atrastajiem datiem formāli dokumentē trūkumu kā neatbilstību drošības vadības sistēmā. Piešķir korektīvu darbību, lai veiktu neplānotu pierādījumu testu nākamajā pieejamajā apkopes logā, lai noteiktu jaunu atrasto bāzi.
4. solis: Ieviest strukturētu pierādījumu testa veidni CMMS (SAP PM vai līdzīgi). Veidnei jānodrošina obligāti lauki — reakcijas laiks milisekundēs, galvenā elementa pārvietošanās apstiprinājums un Triconex TriStation diagnostikas momentuzņēmums pirms un pēc testa. Ierakstu bloķē tā, lai “IZPILDĪTS” nevarētu izvēlēties bez skaitliskas reakcijas laika ievades.

Apiet pārvaldības dokumentācijas prasības

Apiet pārvaldība ir kritiska IEC 61511 11.9.4 panta prasība. Katru reizi, kad Triconex T3000 SIF tiek novietots apietā, palielinās atlikušais risks — drošības funkcija nav pieejama. Apiet reģistrā jāieraksta: apieta iemesls, apstiprināšanas pilnvaras, sākuma laiks, plānotais beigu laiks un kompensējošie pasākumi, kas īstenoti apieta periodā.

TriStation 1131 apiet nosacījumi tiek īstenoti ar INHIBIT vai BYPASS mainīgajiem vadības programmā. Katram INHIBIT mainīgajam jābūt sasaistītam ar fizisku atslēgas slēdzi vai SCADA līmeņa autorizācijas tagu. Konfigurē TriStation programmu, lai rakstītu apiet notikumu SOE (notikumu secības) žurnālā, kad INHIBIT mainīgais maina stāvokli. SOE laika zīmogs nodrošina audita pēdas, ko prasa IEC 61511.

SRS jādefinē maksimālais pieļaujamais apiet ilgums katram SIF, balstoties uz procesa pieprasījuma likmi. SIF, kas aizsargā pret risku ar procesa pieprasījuma likmi 0.1 gadā, maksimālais apiet ilgums bez kompensējošiem pasākumiem parasti ir 72 stundas. Auditori salīdzinās CMMS apiet žurnālu ar SOE žurnālu — neatbilstības starp abiem norāda, ka apiet kontroles process nedarbojas kā paredzēts un pārstāv sistēmisku spēju trūkumu saskaņā ar IEC 61511 5. pantu.

Priekšaudita konfigurācijas pārbaudes saraksts

Eksportē TriStation 1131 projekta konfigurācijas pārskatu un salīdzini visus SIF trieciena iestatījumus ar SRS. Jebkura novirze prasa Vadības izmaiņu pārvaldības (MOC) ierakstu ar datumu pirms izmaiņu ieviešanas.
Pārliecinies, ka Triconex T3000 programmaparatūras versija atbilst versijai, kas kvalificēta drošības lietā. Triconex programmaparatūras atjauninājumi prasa atkārtotu validāciju saskaņā ar IEC 61511 11.8.5 pantu, ja atjauninājums ietekmē drošības funkcionalitāti.
Pārliecinies, ka visi diagnostikas testu intervāli ir SRS noteiktajās robežās. T3000 moduļa pašpārbaudes cikls pēc noklusējuma ir 1 stunda — pārbaudi, vai tas nav mainīts uz garāku intervālu, lai samazinātu SCADA DIAG_FAIL trauksmes biežumu.
Pārbaudi, vai Triconex T3000 datums un laiks sinhronizējas ar rūpnīcas NTP serveri. Nesinhronizēti SOE laika zīmogi ir bieža audita neatbilstība, kas apšauba visu vēsturisko drošības notikumu secību.
Pārskati TriStation izmaiņu žurnālu par jebkādām konfigurācijas izmaiņām bez saistīta MOC ieraksta. Neatļautas izmaiņas ir būtiska neatbilstība saskaņā ar IEC 61511 5.2.4 pantu (funkcionālās drošības pārvaldība).

Nobeigums un rīcības ieteikumi

Gatavojot Invensys Triconex instalāciju IEC 61511 funkcionālās drošības auditam, nepieciešama sistemātiska pierādījumu apkopošana, nevis pēdējā brīdī dokumentu izstrāde. Pārrēķini PFDavg katrai SIF, izmantojot faktiskos pierādījumu testu intervālus un uzstādītos FMEDA datus — nepaļaujies uz publicētajām SIL tabulām bez pārbaudes. Audita pierādījumu testu ierakstus pārbaudi attiecībā uz trūkstošajiem atrastajiem reakcijas laikiem un formāli novērs trūkumus. Pārbaudi apiet pārvaldības ierakstus gan CMMS, gan Triconex SOE žurnālā — neatbilstības norāda uz sistēmiskām procesa kļūdām.

Pabeidz konfigurācijas pārbaudes sarakstu 30 dienas pirms audita, lai būtu laiks MOC dokumentācijai par atklātajām novirzēm. Iesaisti kompetentu funkcionālās drošības inženieri, lai pārskatītu pierādījumu paketi pirms auditoru ierašanās. SIL 2 plaisas atklāšana auditā ir daudz dārgāka — gan laika, gan naudas, gan procesa riska ziņā — nekā tās atklāšana iekšējā pārskatē.

Autors: Fang Haoran ir rūpnieciskās automatizācijas inženieris ar vairāk nekā 10 gadu pieredzi PLC, DCS un vadības sistēmās.