• Lar
  • Notícias
  • Procedimento de Teste de Loop de Instrumento para Sistemas Instrumentados de Segurança com Classificação SIL

Procedimento de Teste de Loop de Instrumento para Sistemas Instrumentados de Segurança com Classificação SIL

Instrument Loop Test Procedure for SIL-Rated Safety Instrumented Systems

Por Que os Testes de Loop SIL Diferem das Verificações Padrão de Comissionamento

Um teste de loop padrão confirma a continuidade do sinal e a precisão da escala. Um teste de loop SIL faz tudo isso, além de verificar se a função de segurança é ativada no valor correto da variável de processo, desativa corretamente após o reset e não deixa falhas latentes. A cláusula 16.2 da IEC 61511 exige registros documentados do estado encontrado e do estado deixado para cada loop classificado SIL em cada intervalo de teste de prova. Não documentar os dados do estado encontrado antes do ajuste invalida o teste de prova para fins de conformidade.

Para sistemas Allen-Bradley ControlLogix 1756-L85E, abra o Studio 5000 e localize a Tarefa de Segurança. Confirme que a tag lógica da função de segurança corresponde ao SRS. Para sistemas Triconex T3000, abra o TriStation 1131 e verifique a rede lógica que implementa a função de proteção. Ambos os sistemas exigem um bypass de manutenção antes de qualquer intervenção física. Confirme o intervalo do teste de prova — loops SIL 2 normalmente requerem intervalos de teste de prova de 2 anos baseados em cálculos de PFDavg. Nunca estenda o intervalo sem uma variação documentada aprovada pelo engenheiro de segurança funcional.

Procedimento de Bypass e Inibição para Manutenção

  • Passo 1: No Allen-Bradley ControlLogix, defina o bit de bypass de segurança correspondente usando o mecanismo de Solicitação de Bypass de Segurança no Studio 5000. Não use força. Forçar a tarefa de segurança ignora a lógica de detecção do teste de prova da CPU de segurança. O bit de bypass dispara um alarme de Bypass de Segurança Ativo no historiador.
  • Passo 2: No Triconex T3000, abra o TriStation 1131 e ative o Modo de Manutenção para o canal em teste. O Modo de Manutenção define a saída do canal para um estado seguro pré-configurado. O LED do painel frontal do Tricon CX para o módulo afetado muda de verde para âmbar. Registre o horário de início no sistema de permissão para trabalho.
  • Passo 3: Verifique se a lógica de votação não ativa uma parada espúria. Para uma função de votação 2oo3, um canal em manutenção é aceitável. Para uma função 1oo1, a ativação do elemento final deve ser confirmada como inibida no nível do atuador da válvula antes de prosseguir.
  • Passo 4: Confirme o bypass com o operador da sala de controle. O operador deve reconhecer o bypass no painel SCADA e inserir seu ID de usuário. Isso cria uma trilha de auditoria exigida pela cláusula 11.9 da IEC 61511.

Teste de Loop Frio: Injeção de Sinal e Verificação de Escala

O teste de loop frio usa um calibrador de processo para injetar sinais sem fluido de processo ativo. Para um loop de transmissor de pressão 4–20 mA, injete 4,000 mA, 12,000 mA e 20,000 mA na cabeça do terminal do transmissor. Registre a contagem bruta do DCS em cada ponto.

Para módulos de entrada analógica Allen-Bradley ControlLogix 1756-IF16, a faixa esperada de contagem bruta é 0–32767. Em 4 mA, a contagem esperada é 0 ±20 contagens (0,06% do span). Em 20 mA, a contagem esperada é 32767 ±20 contagens. Um offset maior que 50 contagens requer recalibração do módulo usando o Assistente de Calibração de Entrada Analógica do RSLogix 5000.

Para módulos AI Triconex T3000, a resolução da entrada analógica é de 16 bits. Em 4 mA, o canal AI lê 0x0000. Em 20 mA, o canal lê 0x7FFF. Uma variação maior que 0x0050 (80 contagens) em qualquer ponto de teste requer substituição do módulo AI — o T3000 não suporta recalibração de ganho do canal AI em campo.

  • Passo 1: Conecte o calibrador de processo em paralelo com a fiação do transmissor na caixa de junção. Defina o modo fonte para 4,000 mA. Aguarde 5 segundos para o DCS atualizar. Registre o valor exibido no DCS e a contagem bruta.
  • Passo 2: Aumente para 12,000 mA (50% do span). Verifique se o display do DCS lê 50% ±0,5% da faixa da unidade de engenharia. Registre os valores do estado encontrado.
  • Passo 3: Aumente para 20,000 mA (100% do span). Verifique se o DCS lê o valor de escala total ±0,5%. Registre os valores do estado encontrado.
  • Passo 4: Injete 3,600 mA. Verifique se o DCS gera um alarme de “Fio Quebrado Baixo” em até 3 segundos. No Allen-Bradley ControlLogix, o limite para detecção de fio quebrado para AI 4–20 mA é configurável em 3,6 mA nas propriedades do módulo no Studio 5000.
  • Passo 5: Injete 21,000 mA. Verifique se o DCS gera um alarme de “Sobrecarga Alta” em até 3 segundos. O limite de sobrecarga do ControlLogix 1756-IF16 é 21,0 mA. O limite do módulo AI Triconex é 20,5 mA por padrão.
  • Passo 6: Registre todos os dados do estado encontrado na folha de registro do teste de loop. Se todos os valores estiverem dentro dos critérios de aceitação, documente como “Estado Encontrado = Estado Deixado.” Se algum valor divergir, realize ajuste e reteste. Documente ambos os valores, estado encontrado e estado deixado, com assinatura do engenheiro.

Teste de Loop Quente: Verificação da Ativação da Função de Segurança

O teste de loop quente confirma que a função de segurança é ativada no ponto de ajuste correto da variável de processo. Este teste exercita o loop completo do SIS desde o sensor, passando pelo solucionador lógico até o elemento final. Testes quentes requerem condições de processo ativas ou condições simuladas usando uma fonte de pressão certificada.

Primeiro, confirme que o elemento final (tipicamente uma válvula ESD) está em estado seguro antes de iniciar. Use o indicador de posição do atuador para confirmar. Não prossiga se o feedback da posição da válvula divergir do sinal de comando em mais de 5% do curso.

Segundo, aumente lentamente o sinal injetado em direção ao ponto de disparo da função de segurança. Para um disparo de pressão alta-alta ajustado em 95 barg, injete o sinal mA equivalente passo a passo: 18 mA (90%), 18,8 mA (94%), 19,0 mA (95%). Registre o mA exato em que a função de segurança do Triconex T3000 ou Allen-Bradley ControlLogix é ativada. O ponto de ativação deve estar dentro de ±1% do ponto de ajuste especificado no SRS.

Terceiro, verifique a sequência de reset. Após a ativação, reduza o sinal abaixo do limite de reset. Confirme que a função de segurança não se reinicia automaticamente sem ação explícita de reset do operador. A arquitetura de reset com trava é obrigatória para funções SIL 2 conforme a cláusula 11.6.4 da IEC 61511. Um loop SIL 2 que se reinicia automaticamente falha no teste de prova independentemente da precisão do ponto de ajuste.

Finalmente, verifique o tempo de resposta. O tempo de resposta do loop SIS desde a mudança na entrada do sensor até o curso completo do elemento final não deve exceder o Tempo de Segurança do Processo (PST) especificado no SRS. Use um cronômetro ou gravador SOE do DCS com resolução de 1 ms. O tempo de resposta do módulo de saída digital Triconex TMR de 30 ms mais o tempo de varredura da tarefa de segurança do Allen-Bradley ControlLogix de 10 ms deixam 1960 ms de orçamento para o curso da válvula em uma aplicação com PST de 2 segundos.

Requisitos de Documentação e Auditoria IEC 61511

Cada teste de prova SIL gera três documentos obrigatórios: o Registro do Teste de Loop (LTR), o Certificado de Teste de Prova (PTC) e a Avaliação de Segurança Funcional (FSA) atualizada. O LTR captura os valores do estado encontrado e deixado, números de série dos equipamentos de teste com certificados de calibração, nome do testador e assinatura da testemunha. O PTC confirma que a função de segurança atendeu a todos os critérios de aceitação ou documenta não conformidades com planos de ação corretiva. A atualização da FSA recalcula o PFDavg usando a cobertura real do teste de prova alcançada.

Deficiências comuns em auditorias incluem: registros do estado encontrado ausentes (testador ajustou antes de registrar), uso de equipamentos de teste com certificados de calibração vencidos (intervalo máximo de 12 meses), ausência de assinatura de testemunha para funções SIL 2 ou superiores, e PFDavg não recalculado após o teste. Cada um desses é uma Não Conformidade Maior segundo os critérios de auditoria de segurança funcional do TÜV Rheinland.

Implemente uma lista de verificação pré-teste antes de iniciar qualquer teste de prova SIL. Confirme: calibração do equipamento de teste válida, MOC aprovado, permissão de bypass emitida, pontos de ajuste do SRS confirmados, LTR anterior revisado para deficiências conhecidas. Cinco minutos de verificação pré-teste evitam horas de remediação em auditoria.

Conclusão e Recomendações de Ação

Os testes de loop de instrumentos SIL não são uma formalidade. São o principal mecanismo para detectar falhas latentes acumuladas desde o último teste de prova. Siga a sequência de seis passos do teste de loop frio para verificar a escala e a detecção de fio quebrado. Use o teste de loop quente para confirmar a ativação da função de segurança no ponto de ajuste do SRS com tolerância de ±1%. Verifique o comportamento de reset com trava e o tempo de resposta em relação ao orçamento do Tempo de Segurança do Processo.

No Allen-Bradley ControlLogix, use bits de bypass de segurança, nunca forças. No Triconex T3000, use o Modo de Manutenção com entrada de permissão para trabalho com carimbo de data/hora. Capture os dados do estado encontrado antes de qualquer ajuste. Emita Certificados de Teste de Prova com assinatura do engenheiro e documentação conforme TÜV. Recalcule o PFDavg após cada ciclo de teste de prova. Testes sistemáticos e documentados de loops SIL são a base da engenharia que mantém pessoas e ativos do processo seguros.

Autor: Wang Jiaming é engenheiro de automação industrial com mais de 10 anos de experiência em PLC, DCS e sistemas de controle.

Voltar ao blog
Mostre tudo
Postagens no blog
Mostre tudo
Why RTD Sensors Must Be Installed Downstream of Orifice Plates
Marcus Chen

Por que os Sensores RTD Devem Ser Instalados a Jusante das Placas de Orifício

Instalar um RTD antes de uma placa de orifício corrompe as leituras de pressão diferencial devido ao desprendimento de vórtices no tubo termométrico. Este artigo explica a física da rua de vórtices de von Kármán, os requisitos de posicionamento a jusante da ISO 5167 e ASME MFC-3M, a regra de espaçamento mínimo de 5D, a conformidade com a frequência de esteira do tubo termométrico e um procedimento de instalação em 7 etapas para conjuntos combinados de placa de orifício e RTD.
Vortex Flow Meter: Working Principles, Selection Criteria, and Field Commissioning
Zhang Haowen

Medidor de Vazão Vortex: Princípios de Funcionamento, Critérios de Seleção e Comissionamento em Campo

Um medidor de vazão de vórtice opera com base no princípio da liberação de vórtices de von Karman, oferecendo excelente precisão a longo prazo em serviços com vapor, gás e líquidos de baixa viscosidade, sem partes móveis. Este guia aborda a física do número de Strouhal, as limitações do número de Reynolds, dimensionamento do medidor, requisitos de trecho reto para o ABB VortexMaster FSV430 e etapas de comissionamento em campo para integração com o regulador de turbina Woodward.
Thermocouple Wiring, Standards, and Troubleshooting: A Practical Field Guide
Chen Liangwei

Fiação de Termopar, Normas e Solução de Problemas: Um Guia Prático de Campo

A medição precisa com termopar requer a seleção correta do tipo, fio de extensão compatível e compensação confiável da junção fria. Este guia aborda os códigos de tipo IEC 60584 e suas faixas de aplicação, seleção de fio de extensão e cabo compensador, blocos terminais Phoenix Contact WTOP CJC, configuração do CJC Yokogawa YTA110 e diagnóstico sistemático de falhas para circuito aberto, curto-circuito e deriva de calibração.
Lista de produtos recomendados
Emerson KL3105X1-LS1 12P6551X032 Placa Charm Isolada
Emerson KL3105X1-LS1 12P6551X032 Placa Charm Isolada

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Módulo de Entrada Analógica Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA
Módulo de Entrada Analógica Hart Emerson DeltaV KL3021X1-LS1 CHARM, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 Módulo CHARM de Contato Seco DI 24 VDC
Emerson DeltaV KL3003X1-BA1 Módulo CHARM de Contato Seco DI 24 VDC

Emerson
Emerson DeltaV KL3005X1-LS1 Módulo Charm de Entrada Digital Isolada
Emerson DeltaV KL3005X1-LS1 Módulo Charm de Entrada Digital Isolada

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal de Endereço I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal de Endereço I.S. CHARM

Emerson
Emerson DeltaV I.S. Terminal Block CHARM PN: KL4510X1-DA1
Emerson DeltaV I.S. Terminal Block CHARM PN: KL4510X1-DA1

Emerson
Módulo de Energia Emerson DeltaV KL1501X1-BA1 CSLS
Módulo de Energia Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Contato Seco CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Contato Seco CHARM

Emerson
Emerson KL3031X1-BA1 Módulo CHARM de Entrada RTD/Resistência
Emerson KL3031X1-BA1 Módulo CHARM de Entrada RTD/Resistência

Emerson
Módulo PLC Micro Série 90 GE Fanuc IC693UAA003
Módulo PLC Micro Série 90 GE Fanuc IC693UAA003

GE
Módulo de Saída de Lógica Positiva GE Fanuc RX3i IC694MDL730 12/24VDC
Módulo de Saída de Lógica Positiva GE Fanuc RX3i IC694MDL730 12/24VDC

GE