• Dom
  • Aktualności
  • Przygotowanie do audytu bezpieczeństwa funkcjonalnego IEC 61511: Tworzenie obronnego pakietu dowodowego dla systemów bezpieczeństwa instrumentowanych Invensys Triconex

Przygotowanie do audytu bezpieczeństwa funkcjonalnego IEC 61511: Tworzenie obronnego pakietu dowodowego dla systemów bezpieczeństwa instrumentowanych Invensys Triconex

IEC 61511 Functional Safety Audit Preparation: Building a Defensible Evidence Package for Invensys Triconex Safety Instrumented Systems

Co faktycznie sprawdzają audytorzy

Audyt bezpieczeństwa funkcjonalnego zgodnie z IEC 61511 to nie jest przegląd dokumentów — to analiza luk pomiędzy Specyfikacją Wymagań Bezpieczeństwa (SRS) a systemem zbudowanym i utrzymywanym. Audytorzy najpierw sprawdzają trzy rzeczy: kompletność dokumentacji bezpieczeństwa, integralność zapisów testów dowodowych oraz ważność deklarowanego poziomu SIL. W przypadku instalacji Invensys Triconex T3000 lub Tricon CX pakiet dowodowy musi wykazać, że SIS został zaprojektowany, zainstalowany i utrzymywany zgodnie z SRS. Luki w którymkolwiek z tych obszarów mogą obniżyć efektywny poziom SIL z SIL 2 do SIL 1 — lub w poważnych przypadkach całkowicie unieważnić dokumentację bezpieczeństwa.

Po pierwsze, zgromadź kompletny dokument SRS zawierający wszystkie opisy Funkcji Instrumentowanych Bezpieczeństwa (SIF), cele SIL oraz wskaźniki zapotrzebowania procesowego. Po drugie, potwierdź, że wszystkie konfiguracje projektu TriStation 1131 odpowiadają SRS — architektura, logika głosowania, logika obejścia oraz pokrycie diagnostyczne. Po trzecie, zweryfikuj, czy zapisy testów dowodowych są podpisane, opatrzone datą i zawierają czasy reakcji zmierzone podczas testu — nie tylko pola wyboru zaliczenia/niezaliczenia.

Przeliczenie PFDavg i weryfikacja SIL

Prawdopodobieństwo awarii na żądanie (średnie) — PFDavg — określa niezawodność SIS w okresie testu dowodowego. SIL 2 wymaga PFDavg w zakresie od 1×10⁻³ do 1×10⁻². Architektura Triconex T3000 TMR z logiką głosowania 2oo3 osiąga niskie wartości PFDavg dzięki wysokiemu pokryciu diagnostycznemu (DC ≥ 99%) i wbudowanej redundancji. Jednak opublikowane wartości PFDavg z raportów FMEDA Triconex zakładają określone interwały testów dowodowych i warunki eksploatacji.

Przelicz PFDavg dla każdego SIF, stosując uproszczony wzór dla podsystemu 1oo1: PFDavg = λDU × Ti / 2, gdzie λDU to wskaźnik niebezpiecznych awarii niewykrytych, a Ti to interwał testu dowodowego w godzinach. Dla Triconex T3000 z λDU = 2,3×10⁻⁷ na godzinę (wg FMEDA Triconex Rev 4) i Ti = 8760 godzin (test roczny): PFDavg = 2,3×10⁻⁷ × 8760 / 2 = 1,0×10⁻³. To dokładnie dolna granica SIL 2 — bez marginesu. Skrócenie Ti do 4380 godzin (test półroczny) zmniejsza PFDavg do 5,0×10⁻⁴, co plasuje SIF komfortowo w zakresie SIL 2.

Element końcowy (zawór ESD lub urządzenie wyłączające) często dominuje w PFDavg SIF, a nie logika sterownika Triconex. Typowy zawór elektromagnetyczny z λDU = 5×10⁻⁷ na godzinę i Ti = 8760 godzin generuje PFDavg = 2,2×10⁻³ — samodzielnie wystarczający, by wyczerpać budżet SIL 2. Testy częściowego skoku (PST) co 3 miesiące redukują ten wkład do 5,5×10⁻⁴ i odzyskują istotny margines PFDavg.

Usuwanie luk w zapisach testów dowodowych

Najczęstszym wynikiem audytu instalacji Triconex są niekompletne zapisy testów dowodowych. IEC 61511, punkt 16.2.5 wymaga, aby zapisy testów zawierały: datę testu, tożsamość technika, metodę testu, stan zmierzony przed testem, wynik testu oraz stan po teście. Zapisy zawierające tylko podpis i oznaczenie „PASS” są niezgodne z normą.

  • Krok 1: Przeprowadź audyt wszystkich zapisów testów dowodowych SIF z ostatniego interwału testowego. Stwórz macierz luk: numer SIF, data testu, brakujące pola, odpowiedzialny technik.
  • Krok 2: W przypadku braków w czasie reakcji zmierzonym przed testem, skontaktuj się z oryginalnym technikiem i poproś o oświadczenie pod przysięgą o wartości zmierzonej z pamięci — jeśli jest udokumentowana gdzie indziej (notes terenowy, system kalibracji). Dołącz oświadczenie do oryginalnego zapisu.
  • Krok 3: Dla zapisów całkowicie pozbawionych danych przed testem, formalnie udokumentuj lukę jako niezgodność w systemie zarządzania bezpieczeństwem. Przydziel działanie korygujące polegające na przeprowadzeniu niezaplanowanego testu dowodowego przy najbliższej dostępnej przerwie konserwacyjnej, aby ustalić nową bazę odniesienia.
  • Krok 4: Wdroż szablon testu dowodowego w systemie CMMS (SAP PM lub podobnym). Szablon musi wymuszać obowiązkowe pola — czas reakcji w milisekundach, potwierdzenie przemieszczenia elementu końcowego oraz diagnostyczny zrzut TriStation Triconex przed i po teście. Zablokuj zapis tak, aby nie można było zaznaczyć PASS bez wpisania numerycznego czasu reakcji.

Wymagania dokumentacyjne zarządzania obejściem

Zarządzanie obejściem to krytyczny wymóg IEC 61511, punkt 11.9.4. Za każdym razem, gdy SIF Triconex T3000 jest umieszczany w obejściu, ryzyko resztkowe rośnie — funkcja bezpieczeństwa jest niedostępna. Rejestr obejść musi zawierać: powód obejścia, uprawnioną osobę zatwierdzającą, czas rozpoczęcia, planowany czas zakończenia oraz środki kompensacyjne zastosowane w okresie obejścia.

W TriStation 1131 warunki obejścia są realizowane przez zmienne INHIBIT lub BYPASS w programie sterującym. Każda zmienna INHIBIT musi być powiązana z fizycznym przełącznikiem kluczykowym lub tagiem autoryzacji na poziomie SCADA. Skonfiguruj program TriStation tak, aby zapisywał zdarzenie obejścia w dzienniku SOE (Sequence of Events) za każdym razem, gdy zmienna INHIBIT zmienia stan. Znacznik czasu SOE zapewnia ścieżkę audytu wymaganą przez IEC 61511.

SRS musi określać maksymalny dopuszczalny czas trwania obejścia dla każdego SIF na podstawie wskaźnika zapotrzebowania procesowego. Dla SIF chroniącego przed zagrożeniem o wskaźniku zapotrzebowania 0,1 na rok, maksymalny czas obejścia bez środków kompensacyjnych wynosi zwykle 72 godziny. Audytorzy porównają rejestr obejść w CMMS z dziennikiem SOE — rozbieżności między nimi wskazują, że proces kontroli obejścia nie działa prawidłowo i stanowią systemową niezgodność według IEC 61511, punkt 5.

Lista kontrolna weryfikacji konfiguracji przed audytem

  • Eksportuj raport konfiguracji projektu TriStation 1131 i porównaj wszystkie nastawy wyzwalania SIF z SRS. Każde odstępstwo wymaga rejestru Zarządzania Zmianą (MOC) z datą przed wdrożeniem zmiany.
  • Zweryfikuj, czy wersja oprogramowania Triconex T3000 odpowiada wersji zatwierdzonej w dokumentacji bezpieczeństwa. Aktualizacje oprogramowania Triconex wymagają ponownej walidacji zgodnie z IEC 61511, punkt 11.8.5, jeśli wpływają na funkcje związane z bezpieczeństwem.
  • Potwierdź, że wszystkie interwały testów diagnostycznych mieszczą się w wartościach określonych w SRS. Domyślny cykl autotestu modułu T3000 to 1 godzina — sprawdź, czy nie został wydłużony, aby zmniejszyć częstotliwość alarmów SCADA DIAG_FAIL.
  • Sprawdź, czy data i czas Triconex T3000 synchronizują się z serwerem NTP zakładu. Niesynchronizowane znaczniki czasu SOE to częsta niezgodność audytowa, podważająca kolejność wszystkich historycznych zdarzeń bezpieczeństwa.
  • Przejrzyj dziennik zmian w TriStation pod kątem modyfikacji konfiguracji dokonanych bez powiązanego rejestru MOC. Nieautoryzowane zmiany to poważna niezgodność według IEC 61511, punkt 5.2.4 (zarządzanie bezpieczeństwem funkcjonalnym).

Podsumowanie i zalecenia

Przygotowanie instalacji Invensys Triconex do audytu bezpieczeństwa funkcjonalnego IEC 61511 wymaga systematycznego gromadzenia dowodów, a nie tworzenia dokumentów na ostatnią chwilę. Przelicz PFDavg dla każdego SIF, używając rzeczywistych interwałów testów dowodowych i danych FMEDA z instalacji — nie polegaj na opublikowanych tabelach SIL bez weryfikacji. Audytuj zapisy testów dowodowych pod kątem brakujących czasów reakcji zmierzonych przed testem i formalnie usuwaj luki. Weryfikuj zapisy zarządzania obejściem zarówno w CMMS, jak i w dzienniku SOE Triconex — rozbieżności wskazują na systemowe błędy procesowe.

Ukończ listę kontrolną weryfikacji konfiguracji na 30 dni przed audytem, aby mieć czas na dokumentację MOC dla wykrytych odstępstw. Zaangażuj kompetentnego inżyniera ds. bezpieczeństwa funkcjonalnego do przeglądu pakietu dowodowego przed przybyciem audytora. Wykrycie luki SIL 2 podczas audytu jest znacznie droższe — pod względem czasu, kosztów i ryzyka procesowego — niż wykrycie jej podczas przeglądu wewnętrznego.

Autor: Fang Haoran jest inżynierem automatyki przemysłowej z ponad 10-letnim doświadczeniem w systemach PLC, DCS i sterowania.

Powrót do bloga
Pokaż wszystko
Posty na blogu
Pokaż wszystko
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Dlaczego czujniki RTD muszą być instalowane za płytami dławiącymi

Instalacja czujnika RTD przed płytą z otworem powoduje zakłócenia w pomiarach różnicy ciśnień z powodu zjawiska odrywania się wirów od osłony termometru (thermowell). Artykuł wyjaśnia fizykę ulicy wirów von Kármána, wymagania dotyczące umieszczenia czujników zgodnie z normami ISO 5167 i ASME MFC-3M, zasadę minimalnej odległości 5D, zgodność z częstotliwością powstawania wirów za osłoną termometru oraz przedstawia 7-etapową procedurę instalacji zestawów łączonych płyty z otworem i czujnika RTD.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Przepływomierz wirowy: zasady działania, kryteria wyboru i uruchomienie w terenie

Przepływomierz wirowy działa na zasadzie zrzutu wirowego von Kármána, zapewniając doskonałą długoterminową dokładność w pomiarach pary, gazu i cieczy o niskiej lepkości, bez ruchomych części. Ten przewodnik obejmuje fizykę liczby Strouhala, ograniczenia liczby Reynoldsa, dobór rozmiaru przepływomierza, wymagania dotyczące prostych odcinków dla ABB VortexMaster FSV430 oraz kroki uruchomienia w terenie dla integracji z regulatorem turbiny Woodward.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Okablowanie termopar, normy i rozwiązywanie problemów: praktyczny przewodnik terenowy

Dokładny pomiar termopary wymaga prawidłowego doboru typu, dopasowanego przewodu przedłużającego oraz niezawodnej kompensacji zimnego złącza. Ten przewodnik obejmuje kody typów zgodne z IEC 60584 i zakresy zastosowań, dobór przewodów przedłużających i kabli kompensacyjnych, listwy zaciskowe Phoenix Contact WTOP CJC, konfigurację CJC Yokogawa YTA110 oraz systematyczną diagnostykę usterek dla przerwy w obwodzie, zwarcia i dryfu kalibracji.
Lista polecanych produktów
Emerson KL3105X1-LS1 12P6551X032 Izolowana karta Charm
Emerson KL3105X1-LS1 12P6551X032 Izolowana karta Charm

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Moduł Emerson DeltaV KL3021X1-LS1 Hart Analogowy Wejściowy CHARM, 4–20 mA
Moduł Emerson DeltaV KL3021X1-LS1 Hart Analogowy Wejściowy CHARM, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC moduł styku bezpotencjałowego CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC moduł styku bezpotencjałowego CHARM

Emerson
Moduł Isolated Digital Input Charm Emerson DeltaV KL3005X1-LS1
Moduł Isolated Digital Input Charm Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM

Emerson
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1

Emerson
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM

Emerson
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym

Emerson
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro

GE
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC

GE