• Dom
  • Aktualności
  • IEC 61511 Zarządzanie obejściem i nadpisaniem bezpieczeństwa: Praktyczny przewodnik HIMA HIMatrix F60 i Triconex T3000

IEC 61511 Zarządzanie obejściem i nadpisaniem bezpieczeństwa: Praktyczny przewodnik HIMA HIMatrix F60 i Triconex T3000

IEC 61511 Safety Bypass and Override Management: HIMA HIMatrix F60 and Triconex T3000 Practical Guide

Dlaczego zarządzanie obejściami stanowi ryzyko zgodności

Każdy inżynier serwisu polowego omijał czujnik podczas konserwacji. Prawdziwe pytanie brzmi, czy to obejście było autoryzowane, zarejestrowane i zamknięte na czas. Klauzula 11.9 normy IEC 61511 czyni zarządzanie obejściami obowiązkowym elementem cyklu życia, a nie opcjonalną najlepszą praktyką. Nieprzestrzeganie tego unieważnia Twoje roszczenie SIL i naraża zakład na niezauważone niebezpieczne awarie.

HIMA HIMatrix F60 oraz Triconex T3000 oferują mechanizmy blokady na poziomie sprzętowym. Jednak procedura związana z tymi mechanizmami decyduje o tym, czy jesteś zgodny z IEC 61511, czy po prostu ominąłeś system bez śladu. Obejście bezpieczeństwa tymczasowo wyłącza konkretny kanał lub funkcję. Nadpisanie bezpieczeństwa wymusza stan wyjścia niezależnie od logiki. Oba mają różne profile ryzyka i wymagają różnych poziomów autoryzacji.

Klasyfikacja obejść: trzy kategorie, które musisz rozróżnić

IEC 61511 nie definiuje jednego typu obejścia. Musisz sklasyfikować każdą akcję przed jej zastosowaniem. Trzy kategorie to blokada konserwacyjna, obejście testu dowodowego oraz nadpisanie awaryjne:

  • Blokada konserwacyjna: wyłącza jeden kanał wejściowy podczas kalibracji. Autoryzowana przez inżyniera SIS, maksymalny czas trwania 4 godziny, wymaga pozwolenia na pracę.
  • Obejście testu dowodowego: zawiesza logikę głosowania dla jednego z dwóch lub trzech kanałów. Autoryzowane przez kierownika ds. bezpieczeństwa, nie może przekroczyć jednej trzeciej interwału testu dowodowego.
  • Nadpisanie awaryjne: wymusza otwarcie lub zamknięcie wyjścia zaworu ESD podczas nieprawidłowego uruchomienia. Autoryzowane wspólnie przez kierownika operacyjnego i inspektora ds. bezpieczeństwa, maksymalny czas trwania 15 minut.

W HIMA HIMatrix F60 każdy typ obejścia odpowiada innej klasie zmiennych SILworx. Blokada konserwacyjna używa bitu F-DI inhibit w programie bezpieczeństwa. Obejście testu dowodowego korzysta z dedykowanego bloku funkcyjnego TEST_MODE_CH. Nadpisanie awaryjne wykorzystuje blok FORCE_OUT z mechanicznym przełącznikiem kluczykowym. Moduł HIMatrix F3 DIO zapewnia fizyczne kanały I/O, którymi sterują te bity blokady.

W Triconex T3000 TriStation 1131 oferuje instrukcję BYPASS_DI oraz osobną instrukcję FORCE_DO. Obie wymagają unikalnej nazwy użytkownika i hasła w dzienniku audytu TriStation. T3000 automatycznie oznacza czas każdej zmiany stanu z rozdzielczością SOE 1 milisekundy.

Procedura blokady sprzętowej na HIMA HIMatrix F60

  • Krok 1: Otwórz projekt SILworx online. Przejdź do Menedżera I/O i potwierdź, że status kanału jest DOBRY przed zastosowaniem blokady.
  • Krok 2: Ustaw zmienną INHIBIT_CH dla docelowego kanału na TRUE. Sprawdź, czy wyświetlacz diagnostyczny HIMatrix pokazuje stan INHIBIT, a nie FAULT.
  • Krok 3: Potwierdź, że logika głosowania nadal działa poprawnie na pozostałych kanałach. Dla czujnika 2oo3 logika musi teraz działać w trybie 1oo2 podczas blokady. Sprawdź bit wyjściowy VOTER_STATUS na modułu HIMatrix F3 DIO.
  • Krok 4: Zarejestruj czas rozpoczęcia blokady, identyfikator kanału, powód obejścia oraz nazwisko osoby autoryzującej w systemie pozwolenia na pracę. Ustaw alarm maksymalnie na 4 godziny w systemie DCS lub SCADA, używając timera TON z nastawą T#4H.
  • Krok 5: Wykonaj zadanie konserwacyjne. Nie opuszczaj pomieszczenia kontrolnego podczas blokady.
  • Krok 6: Zresetuj INHIBIT_CH do FALSE. Sprawdź, czy kanał wraca do statusu DOBRY. Zakończ pozwolenie na pracę, wpisując odczyt kanału i znacznik czasu po zakończeniu. Jeśli kanał nie wróci do statusu DOBRY po resecie, nie usuwaj blokady — zbadaj okablowanie w terenie przed przywróceniem normalnej logiki głosowania.

Mechaniczne nadpisanie na Triconex T3000: konfiguracja FORCE_DO

Architektura Triconex T3000 TMR zapewnia głosowanie trójkanałowe na każdym wyjściu. Instrukcja FORCE_DO nadpisuje to głosowanie i steruje fizycznym przekaźnikiem niezależnie od stanu logiki. Skonfiguruj FORCE_DO w TriStation w następujący sposób:

Po pierwsze, blok funkcyjny wymaga wejścia FORCE_ENABLE sterowanego dedykowanym mechanicznym przełącznikiem kluczykowym. Podłącz przełącznik kluczykowy do wolnego wejścia cyfrowego w obudowie TRICON, a nie do zmiennej programowej — to zapobiega nieautoryzowanemu nadpisaniu tylko przez oprogramowanie. Po drugie, podłącz FORCE_DO.OUTPUT do zmiennej wyjścia elektromagnesu zaworu ESD. Ustaw FORCE_DO.FORCE_VALUE na wymagany bezpieczny stan (TRUE dla zaworów normalnie otwartych, FALSE dla normalnie zamkniętych). Po trzecie, dodaj timer TON z nastawą T#15M do wejścia FORCE_ENABLE. Nadpisanie wygasa automatycznie po 15 minutach bez konieczności działania operatora — spełniając wymóg automatycznego limitu czasu z klauzuli 11.9.4 IEC 61511.

Dzienniki SOE T3000 rejestrują każde aktywowanie FORCE_DO z nazwą użytkownika, znacznikiem czasu oraz stanem kanału przed i po. Eksportuj te dzienniki do swojego CMMS w ciągu 24 godzin od każdego zdarzenia nadpisania.

Obliczanie wpływu PFDavg podczas długotrwałych obejść

Każda godzina, w której kanał pozostaje zablokowany, zwiększa prawdopodobieństwo awarii na żądanie dla tej pętli. Dla pętli SIL 2 z niebezpieczną, niezauważoną awarią λDU wynoszącą 1×10⁻⁵ na godzinę i interwałem testu dowodowego Ti równym 8 760 godzin, podstawowe PFDavg wynosi 0,0438.

Jeśli zablokujesz jeden kanał głosowania 2oo3 na 4 godziny, efektywne głosowanie degraduje się do 1oo2. Przelicz PFDavg według wzoru 1oo2: PFDavg = 3 × (λDU × Ti/2)². Natychmiastowe PFD dla zdegradowanego głosowania wzrasta do około 1,4×10⁻⁶ w tym 4-godzinnym oknie — pozostając w granicach SIL 2 (PFD 10⁻³ do 10⁻²), co potwierdza, że obejście jest dopuszczalne. Jeśli konserwacja przekroczy 4 godziny, natychmiast powiadom kierownika ds. bezpieczeństwa. Obejście dłuższe niż zatwierdzony czas wymaga formalnego wpisu w Zarządzaniu Zmianą (MOC) oraz przeliczenia dokumentacji bezpieczeństwa przed kontynuacją.

Pięciostopniowy proces śledzenia audytu dla zgodności z IEC 61511

  • Krok 1: Prowadź rejestr obejść w swoim CMMS (SAP PM, Maximo lub równoważnym). Każdy wpis musi zawierać oznaczenie pętli, typ obejścia, czas rozpoczęcia, osobę autoryzującą oraz przewidywany czas zakończenia.
  • Krok 2: Skonfiguruj HIMA HIMatrix SILworx do zapisu zmian stanu INHIBIT_CH do tagu serwera OPC DA. Skonfiguruj Triconex T3000 SOE do eksportu do OSIsoft PI Historian z atrybutami ramy aktywów IEC 61511.
  • Krok 3: Ustaw alarm SCADA dla każdego obejścia przekraczającego zatwierdzony czas o więcej niż 10 minut. Priorytet alarmu musi być ISA-18.2 Priorytet 1 (krytyczny dla bezpieczeństwa).
  • Krok 4: Po każdym obejściu zweryfikuj, czy odczyt przywróconego kanału mieści się w ±1% względem sąsiedniego nadajnika referencyjnego. Zarejestruj wartości as-found i as-left na pozwoleniu na obejście.
  • Krok 5: Co miesiąc generuj raport częstotliwości obejść z PI Historian. Pętle z więcej niż 2 obejściami miesięcznie wymagają przeglądu przyczyn źródłowych i planu działań korygujących w ciągu 30 dni. Automatycznie porównuj zapisy obejść SCADA z zleceniami pracy CMMS za pomocą codziennego skryptu uzgadniającego, który odpyta OPC UA i CMMS REST API.

Podsumowanie i zalecenia

Zarządzanie obejściami i nadpisaniami bezpieczeństwa bezpośrednio wpływa na obliczenie PFDavg, które uzasadnia Twoje roszczenie SIL 2. HIMA HIMatrix F60 oferuje bity blokady na poziomie SILworx z automatyczną diagnostyką. Triconex T3000 zapewnia FORCE_DO z mechanicznym przełącznikiem kluczykowym i znakowaniem czasu SOE. Żadna z platform nie ochroni Cię, jeśli procedura otaczająca jest nieformalna lub nieobecna.

Rozpocznij od audytu swojego aktualnego rejestru obejść. Jeśli nie możesz w ciągu 5 minut przedstawić kompletnej listy wszystkich aktywnych obejść, Twój system ma lukę w zgodności. Wdroż pięciostopniowy proces śledzenia audytu opisany powyżej przed kolejnym przeglądem zewnętrznym IEC 61511. Koszt stwierdzenia niezgodności to pełna rewizja dokumentacji bezpieczeństwa — znacznie droższa niż prawidłowe zbudowanie śladu od początku.

Autor: Chen Mingzhi jest inżynierem automatyki przemysłowej z ponad 10-letnim doświadczeniem w PLC, DCS i systemach sterowania.

Powrót do bloga
Pokaż wszystko
Posty na blogu
Pokaż wszystko
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Sterowanie sekwencją wsadową za pomocą wykresów funkcji sekwencyjnych DCS: konfiguracja Emerson DeltaV SFC oraz blokada synchronizacji Woodward EasyGen 3200

Sterowanie procesem wsadowym za pomocą formalnych struktur Sequential Function Chart zgodnych z IEC 61131-3 w Emerson DeltaV zapobiega zakleszczeniom maszyn stanów i upraszcza zgodność z audytem ISA-88. Ten przewodnik obejmuje zasady projektowania logiki fazowej DeltaV SFC, mapowanie rejestrów Modbus TCP Woodward EasyGen 3200 dla blokady synchronizacji generatora, projektowanie ścieżek Hold i Abort oraz diagnozę czterech najczęstszych wzorców awarii wsadowych SFC.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: projektowanie i uruchamianie segmentu

Foundation Fieldbus H1 wykonuje bloki funkcji sterowania wewnątrz urządzeń polowych, utrzymując kontrolę nawet w przypadku awarii komunikacji z hostem — co jest kluczową zaletą dla pętli SIL-2 i SIL-3. Ten przewodnik obejmuje obliczanie budżetu mocy FF H1, analizę spadku napięcia, ochronę przed prądem rozruchowym za pomocą miękkiego startu, 5-etapową procedurę uruchomienia, harmonogramowanie bloków funkcji oraz systematyczną diagnostykę usterek dotyczących awarii segmentu, przerywanych spadków urządzeń i błędów rezystancji zakończenia.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

Diagnostyka usterek komunikacji PROFINET IO: ABB AC500 CM575-PNIO i Phoenix Contact AXL F DI16 – rozwiązywanie problemów w terenie

Awarie komunikacji PROFINET IO między ABB AC500 CM575-PNIO a rozproszonymi wejściami/wyjściami Phoenix Contact Axioline F są częstą przyczyną nieplanowanych przestojów. Ten przewodnik obejmuje kontrole kabli warstwy fizycznej, weryfikację wersji GSDML, rozwiązywanie konfliktów nazw urządzeń, dostrajanie AR watchdog oraz sześciostopniową procedurę izolacji usterek z wykorzystaniem mapowania bitów rejestru DIAG_STATUS i alarmów diagnostyki kanałów.
Lista polecanych produktów
Emerson KL3105X1-LS1 12P6551X032 Izolowana karta Charm
Emerson KL3105X1-LS1 12P6551X032 Izolowana karta Charm

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Moduł Emerson DeltaV KL3021X1-LS1 Hart Analogowy Wejściowy CHARM, 4–20 mA
Moduł Emerson DeltaV KL3021X1-LS1 Hart Analogowy Wejściowy CHARM, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC moduł styku bezpotencjałowego CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC moduł styku bezpotencjałowego CHARM

Emerson
Moduł Isolated Digital Input Charm Emerson DeltaV KL3005X1-LS1
Moduł Isolated Digital Input Charm Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM

Emerson
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1

Emerson
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM

Emerson
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym

Emerson
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro

GE
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC

GE