IEC 61511 Drošības apietas un pārrakstīšanas pārvaldība: HIMA HIMatrix F60 un Triconex T3000 praktiskais ceļvedis

Bypass Management, HIMA HIMatrix F60, IEC 61511, Industrial Automation, Override Management, PFDavg, Safety Bypass, SIL 2, Triconex T3000, TriStation 1131
aprīlis 23, 2026

IEC 61511 Safety Bypass and Override Management: HIMA HIMatrix F60 and Triconex T3000 Practical Guide

Kāpēc apietas pārvaldība ir atbilstības risks

Katra lauka inženieris ir apgājis sensoru apkopes laikā. Patiesais jautājums ir, vai šī apiešana bija autorizēta, reģistrēta un laikus slēgta. IEC 61511 11.9 pants padara apietas pārvaldību par obligātu dzīves cikla elementu, nevis izvēles labāko praksi. Nepildīšana anulē jūsu SIL prasību un pakļauj rūpnīcu neatklātu bīstamu kļūmju riskam.

HIMA HIMatrix F60 un Triconex T3000 abi nodrošina aparatūras līmeņa bloķēšanas mehānismus. Tomēr procedūra ap šiem mehānismiem nosaka, vai jūs atbilstat IEC 61511 prasībām vai vienkārši esat apgājis bez izsekošanas. Drošības apiešana īslaicīgi atslēdz konkrētu kanālu vai funkciju. Drošības pārrakstīšana piespiež izeju noteiktā stāvoklī neatkarīgi no loģikas. Abām ir atšķirīgi riska profili un nepieciešamas dažādas autorizācijas līmeņi.

Apietas klasifikācija: trīs kategorijas, kuras jāatšķir

IEC 61511 nedefinē vienu apietas veidu. Jums jāklasificē katra darbība pirms tās piemērošanas. Trīs kategorijas ir apkopes bloķēšana, pārbaudes apietas un ārkārtas pārrakstīšana:

Apkopes bloķēšana: atslēdz vienu ieejas kanālu kalibrācijas laikā. Autorizē SIS inženieris, maksimālais ilgums 4 stundas, nepieciešama darba atļauja.
Pārbaudes apieta: aptur balsošanas loģiku vienam no diviem vai trim kanāliem. Autorizē drošības vadītājs, nedrīkst pārsniegt pārbaudes intervālu, dalītu ar trīs.
Ārkārtas pārrakstīšana: piespiež ESD vārsta izeju atvērtu vai aizvērtu neparastas palaišanas laikā. Autorizē kopīgi operāciju vadītājs un drošības speciālists, maksimālais ilgums 15 minūtes.

Uz HIMA HIMatrix F60 katrs apietas veids atbilst citai SILworx mainīgo klasei. Apkopes bloķēšana izmanto F-DI bloķēšanas bitu drošības programmā. Pārbaudes apieta izmanto speciālu TEST_MODE_CH funkciju bloku. Ārkārtas pārrakstīšana izmanto FORCE_OUT bloku ar cietvadu atslēgas slēdža starpsavienojumu. HIMatrix F3 DIO modulis nodrošina fiziskos I/O kanālus, kurus kontrolē šie bloķēšanas biti.

Uz Triconex T3000 TriStation 1131 nodrošina BYPASS_DI instrukciju un atsevišķu FORCE_DO instrukciju. Abas prasa unikālu lietotājvārdu un paroli TriStation audita žurnālā. T3000 automātiski atzīmē katru stāvokļa izmaiņu ar 1 milisekundes SOE precizitāti.

Aparatūras bloķēšanas procedūra HIMA HIMatrix F60

1. solis: Atveriet SILworx projektu tiešsaistē. Dodieties uz I/O pārvaldnieku un pārliecinieties, ka kanāla statuss ir LABS pirms bloķēšanas piemērošanas.
2. solis: Iestatiet INHIBIT_CH mainīgo mērķa kanālam uz TRUE. Pārbaudiet, vai HIMatrix diagnostikas displejs rāda INHIBIT stāvokli, nevis KĻŪDA.
3. solis: Pārliecinieties, ka balsošanas loģika joprojām darbojas pareizi pārējos kanālos. 2oo3 sensoram loģikai jādarbojas 1oo2 režīmā bloķēšanas laikā. Pārbaudiet VOTER_STATUS izejas bitu HIMatrix F3 DIO modulī.
4. solis: Ierakstiet bloķēšanas sākuma laiku, kanāla ID, apietas iemeslu un autorizētās personas vārdu darba atļauju sistēmā. Iestatiet maksimālo 4 stundu trauksmi DCS vai SCADA sistēmā, izmantojot TON taimeri ar iepriekš iestatītu T#4H.
5. solis: Veiciet apkopes uzdevumu. Neatstājiet vadības telpu bez uzraudzības bloķēšanas laikā.
6. solis: Atiestatiet INHIBIT_CH uz FALSE. Pārbaudiet, vai kanāls atgriežas LABS statusā. Parakstiet darba atļauju ar atstātā kanāla rādījumu un laika zīmogu. Ja kanāls pēc atiestatīšanas neatgriežas LABS statusā, neizņemiet bloķēšanu — izmeklējiet lauka vadu pirms normālas balsošanas atjaunošanas.

Cietvadu pārrakstīšana Triconex T3000: FORCE_DO konfigurācija

Triconex T3000 TMR arhitektūra nodrošina trīs kanālu balsošanu katrā izejā. FORCE_DO instrukcija pārraksta šo balsošanu un vada fizisko releju neatkarīgi no loģikas stāvokļa. Konfigurējiet FORCE_DO TriStation šādi:

Pirmkārt, funkciju blokam nepieciešama FORCE_ENABLE ieeja, kuru aktivizē speciāls aparatūras atslēgas slēdzis. Pieslēdziet atslēgas slēdzi pie brīvas digitālās ieejas TRICON šasijā, nevis programmatūras mainīgajam — tas novērš neatļautu tikai programmatūras pārrakstīšanu. Otrkārt, pieslēdziet FORCE_DO.OUTPUT pie ESD vārsta solenoīda izejas mainīgā. Iestatiet FORCE_DO.FORCE_VALUE uz nepieciešamo drošo stāvokli (TRUE parasti atvērtajiem vārstiem, FALSE parasti aizvērtajiem). Treškārt, pievienojiet TON taimeri ar iepriekš iestatītu T#15M pie FORCE_ENABLE ieejas. Pārrakstīšana automātiski beidzas pēc 15 minūtēm bez operatora darbības — tā izpilda IEC 61511 11.9.4 panta automātiskās laika izslēgšanas prasību.

T3000 SOE žurnāli reģistrē katru FORCE_DO aktivizāciju ar lietotājvārdu, laika zīmogu un kanāla stāvokli pirms un pēc. Eksportējiet šos žurnālus uz savu CMMS 24 stundu laikā pēc jebkura pārrakstīšanas notikuma.

PFDavg ietekmes aprēķins ilgstošu apietu laikā

Katra stunda, kad kanāls ir bloķēts, palielina pieprasījuma kļūmes varbūtību šajā cilpā. SIL 2 cilpā ar bīstamu neatklātu kļūmju ātrumu λDU 1×10⁻⁵ stundā un pārbaudes intervālu Ti 8 760 stundas, pamatā PFDavg ir 0,0438.

Ja bloķējat vienu 2oo3 balsošanas kanālu uz 4 stundām, efektīvā balsošana degradējas līdz 1oo2. Pārrēķiniet PFDavg, izmantojot 1oo2 formulu: PFDavg = 3 × (λDU × Ti/2)². Šī degradētā balsošanas cilpas momentānā PFD pieaug aptuveni līdz 1,4×10⁻⁶ šajā 4 stundu logā — paliekot SIL 2 robežās (PFD 10⁻³ līdz 10⁻²), apstiprinot, ka apieta ir pieņemama. Ja apkope pārsniedz 4 stundas, nekavējoties informējiet drošības vadītāju. Apieta, kas ilgst ilgāk par apstiprināto laiku, prasa formālu pārvaldības izmaiņu (MOC) ierakstu un pārrēķinātu drošības gadījumu pirms turpināšanas.

Piecu soļu audita izsekošanas process IEC 61511 atbilstībai

1. solis: Uzturiet apietas reģistru savā CMMS (SAP PM, Maximo vai līdzvērtīgā sistēmā). Katram ierakstam jāietver cilpas marķējums, apietas veids, sākuma laiks, autorizētā persona un paredzamais beigu laiks.
2. solis: Konfigurējiet HIMA HIMatrix SILworx, lai rakstītu INHIBIT_CH stāvokļa izmaiņas OPC DA servera tagā. Konfigurējiet Triconex T3000 SOE eksportam uz OSIsoft PI Historian ar IEC 61511 aktīvu ietvara atribūtiem.
3. solis: Iestatiet SCADA trauksmi jebkurai apietai, kas pārsniedz apstiprināto ilgumu par vairāk nekā 10 minūtēm. Trauksmes prioritātei jābūt ISA-18.2 prioritātei 1 (drošības kritiska).
4. solis: Pēc katras apietas pārbaudiet, vai atjaunotais kanāla rādījums ir ±1% robežās no blakus esošā atsauces raidītāja. Ierakstiet atrastos un atstātus vērtības apietas atļaujā.
5. solis: Reizi mēnesī izveidojiet apietas biežuma pārskatu no PI Historian. Cilpas ar vairāk nekā 2 apietām mēnesī prasa saknes cēloņa pārskatu un koriģējošo rīcības plānu 30 dienu laikā. Automātiski salīdziniet SCADA apietas ierakstus ar CMMS darba pasūtījumiem, izmantojot ikdienas saskaņošanas skriptu, kas vaicā OPC UA un CMMS REST API.

Nobeigums un rīcības ieteikumi

Drošības apietas un pārrakstīšanas pārvaldība tieši ietekmē PFDavg aprēķinu, kas pamato jūsu SIL 2 prasību. HIMA HIMatrix F60 nodrošina SILworx līmeņa bloķēšanas bitus ar automātisku diagnostiku. Triconex T3000 nodrošina FORCE_DO ar aparatūras atslēgas slēdža starpsavienojumu un SOE laika zīmogošanu. Neviena platforma jūs nepasargā, ja apkārtējā procedūra ir neformāla vai trūkst.

Sāciet ar sava pašreizējā apietas reģistra auditu. Ja nevarat izveidot pilnīgu visu aktīvo apietu sarakstu mazāk nekā 5 minūtēs, jūsu sistēmā ir atbilstības trūkums. Ieviest iepriekš aprakstīto piecu soļu audita izsekošanas procesu pirms nākamās IEC 61511 trešās puses pārbaudes. Nepilnības konstatēšanas izmaksas ir pilnīga drošības gadījuma pārskatīšana — daudz dārgāk nekā pareizi izveidot izsekošanu no sākuma.

Autors: Čens Mingdzi ir rūpnieciskās automatizācijas inženieris ar vairāk nekā 10 gadu pieredzi PLC, DCS un vadības sistēmās.