• Кућа
  • Vesti
  • IEC 61511 Upravljanje sigurnosnim zaobilaženjem i nadjačavanjem: Praktični vodič za HIMA HIMatrix F60 i Triconex T3000

IEC 61511 Upravljanje sigurnosnim zaobilaženjem i nadjačavanjem: Praktični vodič za HIMA HIMatrix F60 i Triconex T3000

IEC 61511 Safety Bypass and Override Management: HIMA HIMatrix F60 and Triconex T3000 Practical Guide

Zašto je upravljanje zaobilaženjem rizik usklađenosti

Svaki inženjer na terenu je zaobišao senzor tokom održavanja. Pravo pitanje je da li je to zaobilaženje bilo ovlašćeno, evidentirano i zatvoreno na vreme. IEC 61511 član 11.9 čini upravljanje zaobilaženjem obaveznim elementom životnog ciklusa, a ne opcionalnom dobrom praksom. Nepoštovanje ovog pravila poništava vaš SIL zahtev i izlaže postrojenje neotkrivenim opasnim kvarovima.

HIMA HIMatrix F60 i Triconex T3000 oba pružaju mehanizme za hardversko onemogućavanje. Međutim, procedura koja okružuje te mehanizme određuje da li ste usklađeni sa IEC 61511 ili ste jednostavno zaobišli bez traga. Sigurnosno zaobilaženje privremeno onemogućava određeni kanal ili funkciju. Sigurnosno preklapanje (override) forsira izlaz u definisano stanje bez obzira na logiku. Oba nose različite profile rizika i zahtevaju različite nivoe ovlašćenja.

Klasifikacija zaobilaženja: tri kategorije koje morate razlikovati

IEC 61511 ne definiše jedinstvenu vrstu zaobilaženja. Morate klasifikovati svaku akciju pre primene. Tri kategorije su onemogućavanje za održavanje, zaobilaženje tokom provere i hitno preklapanje:

  • Onemogućavanje za održavanje: onemogućava jedan ulazni kanal tokom kalibracije. Ovlašćeno od strane SIS inženjera, maksimalno trajanje 4 sata, zahteva dozvolu za rad.
  • Zaobilaženje tokom provere: suspenduje logiku glasanja za jedan od dva ili tri kanala. Ovlašćeno od strane menadžera bezbednosti, ne sme prelaziti interval provere podeljen sa tri.
  • Hitno preklapanje: forsira ESD ventil da bude otvoren ili zatvoren tokom abnormalnog pokretanja. Ovlašćeno zajednički od strane menadžera operacija i službenika za bezbednost, maksimalno trajanje 15 minuta.

Na HIMA HIMatrix F60, svaka vrsta zaobilaženja mapira se na različitu SILworx klasu promenljivih. Onemogućavanje za održavanje koristi F-DI inhibit bit u sigurnosnom programu. Zaobilaženje tokom provere koristi poseban funkcijski blok TEST_MODE_CH. Hitno preklapanje koristi FORCE_OUT blok sa hardverskim prekidačem sa ključem. HIMatrix F3 DIO modul obezbeđuje fizičke I/O kanale kojima ovi inhibit bitovi upravljaju.

Na Triconex T3000, TriStation 1131 pruža BYPASS_DI instrukciju i posebnu FORCE_DO instrukciju. Oba zahtevaju jedinstveno korisničko ime i lozinku u TriStation audit logu. T3000 automatski beleži svaki prelaz stanja sa rezolucijom SOE od 1 milisekunde.

Procedura hardverskog onemogućavanja na HIMA HIMatrix F60

  • Korak 1: Otvorite SILworx projekat online. Idite na I/O Manager i potvrdite da je status kanala DOBAR pre primene bilo kakvog onemogućavanja.
  • Korak 2: Postavite INHIBIT_CH promenljivu za ciljani kanal na TRUE. Proverite da dijagnostički prikaz HIMatrix pokazuje stanje INHIBIT, a ne FAULT.
  • Korak 3: Potvrdite da logika glasanja i dalje ispravno radi na preostalim kanalima. Za 2oo3 senzor, logika mora sada raditi u 1oo2 režimu tokom onemogućavanja. Proverite VOTER_STATUS izlazni bit na HIMatrix F3 DIO modulu.
  • Korak 4: Zabeležite vreme početka onemogućavanja, ID kanala, razlog zaobilaženja i ime ovlašćene osobe u sistemu dozvola za rad. Postavite maksimalni alarm od 4 sata u DCS ili SCADA sistemu koristeći TON tajmer sa podešavanjem T#4H.
  • Korak 5: Izvršite zadatak održavanja. Ne ostavljajte kontrolnu sobu bez nadzora tokom onemogućavanja.
  • Korak 6: Resetujte INHIBIT_CH na FALSE. Proverite da kanal vraća status DOBAR. Potpišite dozvolu za rad sa očitanjem kanala i vremenskim pečatom. Ako kanal ne vrati status DOBAR nakon resetovanja, ne uklanjajte onemogućavanje — istražite polje ožičenja pre vraćanja normalnog glasanja.

Hardversko preklapanje na Triconex T3000: konfiguracija FORCE_DO

Triconex T3000 TMR arhitektura pruža glasanje sa tri kanala na svakom izlazu. FORCE_DO instrukcija preklapa to glasanje i upravlja fizičkim relejem bez obzira na stanje logike. Konfigurišite FORCE_DO u TriStation na sledeći način:

Prvo, funkcijski blok zahteva FORCE_ENABLE ulaz koji pokreće poseban hardverski prekidač sa ključem. Povežite prekidač sa rezervnim digitalnim ulazom na TRICON šasiji, a ne sa softverskom promenljivom — ovo sprečava neovlašćeno softversko preklapanje. Drugo, povežite FORCE_DO.OUTPUT sa izlaznom promenljivom solenoida ESD ventila. Postavite FORCE_DO.FORCE_VALUE na potrebni bezbedni status (TRUE za normalno otvorene ventile, FALSE za normalno zatvorene). Treće, dodajte TON tajmer sa podešavanjem T#15M na FORCE_ENABLE ulaz. Preklapanje automatski ističe nakon 15 minuta bez potrebe za akcijom operatera — zadovoljavajući automatski zahtev za isključenje iz IEC 61511 člana 11.9.4.

T3000 SOE beleži svaku aktivaciju FORCE_DO sa korisničkim imenom, vremenskim pečatom i stanjem kanala pre i posle. Izvezite ove zapise u vaš CMMS u roku od 24 sata od bilo kog događaja preklapanja.

Izračunavanje uticaja PFDavg tokom produženih zaobilaženja

Svaki sat tokom kojeg je kanal onemogućen povećava verovatnoću kvara na zahtev za taj krug. Za SIL 2 krug sa stopom opasnog neotkrivenog kvara λDU od 1×10⁻⁵ po satu i intervalom provere Ti od 8.760 sati, osnovni PFDavg je 0,0438.

Ako onemogućite jedan kanal 2oo3 glasača na 4 sata, efektivno glasanje se degradira na 1oo2. Ponovo izračunajte PFDavg koristeći formulu za 1oo2: PFDavg = 3 × (λDU × Ti/2)². Trenutni PFD za degradirani glasač raste na približno 1,4×10⁻⁶ za taj četvoročasovni period — ostajući unutar SIL 2 granica (PFD 10⁻³ do 10⁻²), potvrđujući da je zaobilaženje prihvatljivo. Ako održavanje traje duže od 4 sata, odmah obavestite menadžera bezbednosti. Zaobilaženje duže od odobrenog perioda zahteva formalni unos u Menadžment promena (MOC) i ponovo izračunat bezbednosni slučaj pre nastavka.

Petostepeni proces audit traga za usklađenost sa IEC 61511

  • Korak 1: Vodite registar zaobilaženja u vašem CMMS-u (SAP PM, Maximo ili ekvivalent). Svaki unos mora sadržati oznaku kruga, tip zaobilaženja, vreme početka, ovlašćenu osobu i očekivano vreme završetka.
  • Korak 2: Konfigurišite HIMA HIMatrix SILworx da zapisuje promene stanja INHIBIT_CH u OPC DA server tag. Konfigurišite Triconex T3000 SOE da izvozi u OSIsoft PI Historian sa atributima IEC 61511 okvira imovine.
  • Korak 3: Postavite SCADA alarm za svako zaobilaženje koje premaši odobreno trajanje za više od 10 minuta. Prioritet alarma mora biti ISA-18.2 Prioritet 1 (kritično za bezbednost).
  • Korak 4: Nakon svakog zaobilaženja, proverite da je vraćeno očitanje kanala unutar ±1% od susednog referentnog predajnika. Zabeležite vrednosti "kao što je pronađeno" i "kao što je ostavljeno" na dozvoli za zaobilaženje.
  • Korak 5: Mesečno pokrenite izveštaj o učestalosti zaobilaženja iz PI Historian. Krugovi sa više od 2 zaobilaženja mesečno zahtevaju pregled osnovnog uzroka i plan korektivnih mera u roku od 30 dana. Automatski uporedite SCADA zapise o zaobilaženju sa CMMS radnim nalozima koristeći dnevni skript za usklađivanje koji upituje OPC UA i CMMS REST API.

Zaključak i savet za akciju

Upravljanje sigurnosnim zaobilaženjem i preklapanjem direktno utiče na izračunavanje PFDavg koje opravdava vaš SIL 2 zahtev. HIMA HIMatrix F60 pruža SILworx nivo inhibit bitova sa automatskom dijagnostikom. Triconex T3000 pruža FORCE_DO sa hardverskim prekidačem sa ključem i SOE vremenskim pečatima. Nijedna platforma vas ne štiti ako je prateća procedura neformalna ili ne postoji.

Počnite sa revizijom vašeg trenutnog registra zaobilaženja. Ako ne možete da izvučete kompletnu listu svih aktivnih zaobilaženja za manje od 5 minuta, vaš sistem ima prazninu u usklađenosti. Implementirajte petostepeni proces audit traga opisan gore pre sledeće IEC 61511 revizije od strane treće strane. Trošak nalaza neusklađenosti je potpuna revizija bezbednosnog slučaja — znatno skuplje nego pravilno vođenje traga od početka.

Autor: Chen Mingzhi je inženjer industrijske automatizacije sa preko 10 godina iskustva u PLC, DCS i kontrolnim sistemima.

Назад на блог
Покажи све
Блог постови
Покажи све
Batch Sequence Control Using DCS Sequential Function Charts: Emerson DeltaV SFC Configuration and Woodward EasyGen 3200 Synchronization Interlock
Liu Yang

Kontrola serije pomoću DCS sekvencijalnih funkcijskih dijagrama: Konfiguracija Emerson DeltaV SFC i sinhronizacioni interlok Woodward EasyGen 3200

Kontrola serijske obrade pomoću formalnih IEC 61131-3 struktura Sekvencijalnih funkcijskih dijagrama (SFC) u Emerson DeltaV sprečava zastoje stanja mašina i pojednostavljuje usklađenost sa ISA-88 revizijom. Ovaj vodič obuhvata principe dizajna DeltaV Phase Logic SFC, mapiranje Woodward EasyGen 3200 Modbus TCP registara za međusobnu sinhronizaciju generatora, dizajn Hold i Abort putanja, kao i dijagnostiku četiri najčešća obrasca grešaka u SFC serijskoj obradi.
Foundation Fieldbus H1: Segment Design and Commissioning
Weijia Chen

Foundation Fieldbus H1: Dizajn i puštanje u rad segmenta

Foundation Fieldbus H1 izvršava kontrolne funkcijske blokove unutar poljskih uređaja, održavajući kontrolu čak i kada komunikacija sa hostom zakaže — što je ključna prednost za SIL-2 i SIL-3 petlje. Ovaj vodič obuhvata proračun budžeta snage za FF H1, analizu pada napona, zaštitu od početnog udara struje sa mekim startom, petostepeni postupak puštanja u rad, raspoređivanje funkcijskih blokova i sistematsku dijagnostiku grešaka za kvarove segmenta, povremene prekide uređaja i greške u otpornosti završetka.
PROFINET IO Communication Fault Diagnosis: ABB AC500 CM575-PNIO and Phoenix Contact AXL F DI16 Field Troubleshooting
Chen Hao

Dijagnostika grešaka u PROFINET IO komunikaciji: ABB AC500 CM575-PNIO i Phoenix Contact AXL F DI16 terenska dijagnostika problema

Neuspešne PROFINET IO komunikacije između ABB AC500 CM575-PNIO i Phoenix Contact Axioline F distribuiranih I/O uređaja čest su uzrok neplaniranih zastoja. Ovaj vodič obuhvata provere kablova na fizičkom sloju, verifikaciju verzije GSDML fajla, rešavanje konflikata imena uređaja, podešavanje AR watchdog-a i šestostepeni postupak izolacije kvara koristeći mapiranje bitova DIAG_STATUS registra i alarme za dijagnostiku kanala.
Листа препоручених производа
Emerson KL3105X1-LS1 12P6551X032 Izolovana kartica za čarm
Emerson KL3105X1-LS1 12P6551X032 Izolovana kartica za čarm

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA
Emerson DeltaV KL3021X1-LS1 Hart analogni ulazni CHARM modul, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul sa suvim kontaktom CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC modul sa suvim kontaktom CHARM

Emerson
Emerson DeltaV KL3005X1-LS1 Izolovani digitalni ulazni modul šarma
Emerson DeltaV KL3005X1-LS1 Izolovani digitalni ulazni modul šarma

Emerson
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal
KL4510X1-EA1 | Emerson DeltaV | I.S. CHARM adresni terminal

Emerson
Emerson DeltaV I.S. CHARM terminal blok PN: KL4510X1-DA1
Emerson DeltaV I.S. CHARM terminal blok PN: KL4510X1-DA1

Emerson
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja
Emerson DeltaV KL1501X1-BA1 CSLS modul napajanja

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suvi kontakt CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suvi kontakt CHARM

Emerson
Emerson KL3031X1-BA1 RTD/otpornik ulazni CHARM modul
Emerson KL3031X1-BA1 RTD/otpornik ulazni CHARM modul

Emerson
GE Fanuc IC693UAA003 Serija 90 Mikro PLC modul
GE Fanuc IC693UAA003 Serija 90 Mikro PLC modul

GE
GE Fanuc RX3i IC694MDL730 modul izlaza sa pozitivnom logikom 12/24VDC
GE Fanuc RX3i IC694MDL730 modul izlaza sa pozitivnom logikom 12/24VDC

GE