• Dom
  • Aktualności
  • Optymalizacja przełączania awaryjnego i czasu skanowania Emerson DeltaV SIS Hot Standby

Optymalizacja przełączania awaryjnego i czasu skanowania Emerson DeltaV SIS Hot Standby

Emerson DeltaV SIS Hot Standby Switchover and Scan Time Optimization

Dlaczego Hot Standby jest ważny w architekturach SIS

System bezpieczeństwa instrumentowego musi reagować w określonym czasie bezpieczeństwa procesu (PST). Logiczny solver Emerson DeltaV SIS SLS 1508 wykorzystuje architekturę sprzętową 1oo2D, łącząc procesor główny z procesorem hot-standby. Oba procesory nieprzerwanie wykonują identyczną logikę. Przełączenie następuje w czasie poniżej 100 ms, spełniając wymagania dostępności IEC 61511 Klauzula 11.9 dla pętli SIL 2.

Jednak niewłaściwa konfiguracja prowadzi do fałszywych przełączeń, które zakłócają sterowanie i wywołują fałszywe alarmy. Przyczyną jest zwykle źle skonfigurowany timer watchdog lub zbyt długi czas skanowania. Niezgodne interwały heartbeat między Honeywell Safety Manager SC a DeltaV SIS w tej samej szafie ESD mogą powodować fałszywe alarmy diagnostyczne już w ciągu kilku tygodni od uruchomienia.

Architektura synchronizacji dwuprocesorowej SLS 1508

SLS 1508 zawiera dwa procesory: CPU-A (główny) i CPU-B (standby). Dzielą magistralę synchronizacji działającą z prędkością 100 Mbps. W każdym cyklu skanowania CPU-A zapisuje swoją tabelę I/O do CPU-B. CPU-B porównuje otrzymane dane z własnym wynikiem skanowania. Licznik niezgodności zwiększa się przy każdej różnicy. Watchdog wyzwala przełączenie, gdy licznik przekroczy konfigurowalny próg.

Kluczowe parametry do weryfikacji podczas uruchomienia:

  • Timeout watchdog: domyślnie 500 ms, minimum 200 ms dla SIL 2 PST < 2 s
  • Próg niezgodności synchronizacji: domyślnie 3 kolejne niezgodności przed przełączeniem
  • Offset skanowania CPU-B: nie może przekraczać 10 ms względem CPU-A
  • Interwał sum kontrolnych pamięci: co 60 s dla weryfikacji integralności kodu aplikacji

Dostęp do tych parametrów znajduje się w DeltaV Explorer w Właściwościach kontrolera SLS. Ustaw watchdog na 400 ms, gdy PST wynosi 1,5 s. Zapewnia to 1,1 s marginesu po wykryciu usterki przed reakcją elementu wykonawczego.

Budżet czasu skanowania i zgodność z IEC 61511

IEC 61511 Klauzula 11.7.5 wymaga, aby czas skanowania logicznego solvera był mniejszy lub równy jednej dziesiątej PST. Dla PST 2 s maksymalny czas skanowania to 200 ms. DeltaV SIS zwykle działa z czasem 100 ms dla SIL 2 i 250 ms dla SIL 1. Zweryfikuj rzeczywisty czas skanowania w DeltaV Diagnostics w sekcji Wydajność kontrolera.

  • Krok 1: Otwórz DeltaV Explorer. Przejdź do SLS Controller → Właściwości modułu → Statystyki skanowania.
  • Krok 2: Zarejestruj maksymalny czas skanowania w ciągu 24 godzin, uwzględniając szczyty podczas zmian zmianowych.
  • Krok 3: Zidentyfikuj bloki funkcyjne zużywające indywidualnie ponad 5 ms. To kandydaci do rozdzielenia.
  • Krok 4: Przenieś bloki logiki niesafety (np. pomocnicze do macierzy przyczynowo-skutkowej) do kontrolera DeltaV CHARM I/O.
  • Krok 5: Sprawdź ponownie czas skanowania po redystrybucji. Potwierdź, że pozostaje poniżej 180 ms z 10% marginesem.

Izolacja usterki przełączenia: procedura pięciostopniowa

Fałszywe przełączenia generują wpis w DeltaV Event Chronicle o poziomie ważności 10. Użyj poniższej procedury, aby zlokalizować przyczynę:

  • Krok 1: Eksportuj Event Chronicle za 30 minut przed przełączeniem. Filtruj według źródła SLS Controller. Szukaj wzrostów licznika niezgodności i alarmów temperatury CPU.
  • Krok 2: Sprawdź napięcie zasilania 24 VDC na zaciskach tylnej szyny P1 i P2 SLS 1508. Akceptowalny zakres to 21,6–26,4 VDC. Napięcie poniżej 22 VDC powoduje błędy magistrali synchronizacji.
  • Krok 3: Zweryfikuj kabel magistrali synchronizacji między dwoma kartami CPU. DeltaV SIS używa własnego kabla wstążkowego. Sprawdź wygięte piny w złączu karty. Wymień, jeśli opór między pinem 1 a 16 przekracza 5 Ω.
  • Krok 4: Przejrzyj dziennik niezgodności I/O. Powtarzające się pojawianie się konkretnego kanału wejściowego wskazuje na uszkodzony przyrząd polowy lub luźne połączenie. Sprawdź blok zacisków na szynie DIN pod kątem utleniania.
  • Krok 5: Potwierdź, że wersje firmware obu CPU są identyczne. Przejdź do Właściwości kontrolera SLS → Diagnostyka → Wersja firmware. Różne wersje powodują ciągłe niskopoziomowe niezgodności na poziomie 1–2 na minutę.

Wpływ wydłużonych czasów skanowania na PFDavg

Czas skanowania przekraczający budżet IEC 61511 nie powoduje natychmiastowego wyłączenia. Jednak zawyża przyznany kredyt pokrycia diagnostycznego w obliczeniach weryfikacji SIL. Emerson ocenia pokrycie diagnostyczne SLS 1508 na 99% (DC = 0,99) tylko wtedy, gdy czas skanowania mieści się w wartości nominalnej. Jeśli czas skanowania przekracza 200 ms dla pętli SIL 2 z rocznym interwałem testu dowodowego (Ti = 8 760 h) i λDU = 2×10⁻⁶/h, PFDavg wzrasta z 0,0088 do około 0,0115 — przekraczając górną granicę SIL 2 wynoszącą 0,01.

Instalacje Honeywell Safety Manager SC często działają obok DeltaV SIS w tej samej szafie ESD. Safety Manager domyślnie używa cyklu zadania 200 ms. Upewnij się, że oba systemy korzystają z tego samego źródła czasu NTP — użyj zegara GPS stratum 1 na sieci OT. Przesunięcie czasu powyżej 50 ms między dwoma systemami SIS powoduje błędne uporządkowanie logów sekwencji zdarzeń, myląc przyczyny inicjujące i reakcje elementów wykonawczych.

Podsumowanie i zalecenia

Wydajność hot standby Emerson DeltaV SIS zależy od trzech czynników: synchronizacji timera watchdog, zgodności z budżetem czasu skanowania oraz integralności magistrali synchronizacji. Zacznij od 24-godzinnej bazy czasu skanowania przed ostateczną akceptacją. Potwierdź, że próg niezgodności i wersja firmware są identyczne na obu CPU. Przeorganizuj bloki funkcyjne, jeśli wykorzystanie CPU przekracza 80%. Zweryfikuj zasilanie 24 VDC na zaciskach tylnej szyny. Te kroki chronią Twoje obliczenia PFDavg SIL 2 i zapobiegają fałszywym przełączeniom w produkcji. Dokumentuj każdą zmianę parametrów z zapisami stanu przed i po zgodnie z IEC 61511 Klauzula 16.3.

Autor: Chen Hao jest inżynierem automatyki przemysłowej z ponad 10-letnim doświadczeniem w PLC, DCS i systemach sterowania.

Powrót do bloga
Pokaż wszystko
Posty na blogu
Pokaż wszystko
Hydraulic System Pressure Instability: Root Causes and Field Troubleshooting Guide
Liang Haocheng

Niestabilność ciśnienia w układzie hydraulicznym: przyczyny źródłowe i przewodnik po diagnostyce w terenie

Niestabilność ciśnienia w układzie hydraulicznym jest jednym z najbardziej uciążliwych trybów awarii w zakładach przemysłowych. Ten przewodnik omawia podstawowe przyczyny spadków ciśnienia, skoków oraz zjawisk kawitacji, zawiera uporządkowane kroki diagnostyczne dla każdego rodzaju awarii, monitorowanie nadajnika Yokogawa EJA, testowanie histerezy zaworu proporcjonalnego Emerson Fisher oraz 5-etapowy harmonogram konserwacji zapobiegawczej.
Dragon Boat Festival: China's Ancient Festival of Loyalty, Tradition and Summer Rituals
PLC DCS Pro

Święto Smoczych Łodzi: Starożytne chińskie święto lojalności, tradycji i letnich rytuałów

Co roku, piątego dnia piątego miesiąca księżycowego, rytmiczne uderzenia bębnów rozbrzmiewają nad rzekami całych Chin. Poznaj historię, legendy i tradycje związane z Festiwalem Smoczych Łodzi — jednym z najstarszych i najbardziej uroczyście obchodzonych świąt kulturowych Chin.
Machinery Protection: Vibration Probe Installation and Loop Setup
Weijie Chen

Ochrona maszyn: instalacja czujnika drgań i konfiguracja pętli

Systemy ochrony maszyn muszą reagować na awarie mechaniczne w ciągu 50 milisekund — znacznie szybciej niż jakakolwiek platforma DCS czy PLC. Ten przewodnik obejmuje instalację sondy zbliżeniowej Bently Nevada 3300, ustawienie napięcia szczeliny na -12 V DC w punkcie środkowym, konfigurację pętli 4–20 mA zgodnie z API 670, ekranowanie kabla przedłużającego oraz systematyczną diagnostykę usterek dotyczących kontaktu sondy, utraty sondy, zakłóceń częstotliwości sieciowej i elektromagnetycznego szumu falownika VFD.
Lista polecanych produktów
Emerson KL3105X1-LS1 12P6551X032 Izolowana karta Charm
Emerson KL3105X1-LS1 12P6551X032 Izolowana karta Charm

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Moduł Emerson DeltaV KL3021X1-LS1 Hart Analogowy Wejściowy CHARM, 4–20 mA
Moduł Emerson DeltaV KL3021X1-LS1 Hart Analogowy Wejściowy CHARM, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC moduł styku bezpotencjałowego CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC moduł styku bezpotencjałowego CHARM

Emerson
Moduł Isolated Digital Input Charm Emerson DeltaV KL3005X1-LS1
Moduł Isolated Digital Input Charm Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM

Emerson
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1

Emerson
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM

Emerson
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym

Emerson
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro

GE
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC

GE