Vận Hành Hệ Thống Quản Lý Đầu Đốt SIS: Quy Trình Hiện Trường HIMA HIMatrix F60 và Triconex Tricon CX

BMS, Burner Management System, Double Block and Bleed, HIMA HIMatrix F60, IEC 61511, NFPA 85, Proof Test, Safety Instrumented System, SIL 2, Triconex Tricon CX, UV Flame Detector
Tháng 4 16, 2026

Burner Management System SIS Commissioning: HIMA HIMatrix F60 and Triconex Tricon CX Field Procedures

Kiến trúc BMS và Ranh giới Chức năng An toàn

Hệ thống quản lý đốt cháy điều khiển việc cấp nhiên liệu, trình tự đánh lửa, xác nhận ngọn lửa và ngắt khẩn cấp cho thiết bị đốt. NFPA 85 và IEC 61511 đều áp dụng khi BMS bao gồm các chức năng thiết bị an toàn. Kiến trúc điển hình đặt một PLC An toàn — hoặc HIMA HIMatrix F60 hoặc Triconex Tricon CX — làm bộ giải logic Hệ thống Thiết bị An toàn. BPCS xử lý quản lý điểm đặt và điều khiển tỷ lệ không khí-nhiên liệu trên bộ điều khiển riêng biệt. Hai hệ thống trao đổi dữ liệu qua Modbus TCP nhưng duy trì sự tách biệt vật lý cứng ở cấp độ I/O.

HIMA HIMatrix F60 là bộ điều khiển TMR nhỏ gọn có khả năng SIL 3, hỗ trợ đến 96 đầu vào số và 48 đầu ra số trong cấu hình cơ bản. Triconex Tricon CX thực hiện Redundancy Mô-đun Ba lần với bỏ phiếu 2oo3 ở cấp độ mô-đun I/O, cung cấp khả năng chịu lỗi phần cứng SIL 3. Đối với BMS đạt SIL 2, cả hai nền tảng đều cung cấp độ tin cậy phần cứng phù hợp — các giới hạn quan trọng đến từ thiết kế phần mềm và khoảng thời gian kiểm tra chứng minh.

Logic Bỏ phiếu 2oo3 của Bộ phát hiện Ngọn lửa UV

Phát hiện ngọn lửa sử dụng ba bộ phát hiện UV được sắp xếp theo cấu hình bỏ phiếu 2oo3. Kiến trúc này yêu cầu ít nhất hai bộ phát hiện xác nhận sự hiện diện của ngọn lửa trước khi bộ giải logic cho phép tiếp tục cấp nhiên liệu. Trên HIMA HIMatrix F60, cấu hình khối bỏ phiếu trong SILworx dưới dạng khối chức năng FB_Vote_2oo3. Đặt Thời gian chờ Sai lệch là 3 giây — nếu một bộ phát hiện không đồng ý với hai bộ còn lại trong hơn 3 giây, HIMatrix sẽ tạo ra Báo động Sai lệch gửi đến DCS.

Trên Triconex Tricon CX, thực hiện logic tương tự bằng cách sử dụng Ngôn ngữ Cấu trúc IEC 61131-3 của TriStation. Thêm bộ đếm thời gian trễ BẬT 500 ms trên mỗi đầu vào bộ phát hiện để loại bỏ nhiễu UV tạm thời từ tia lửa đánh lửa. Điều này ngăn tín hiệu xác nhận ngọn lửa giả trong trình tự đánh lửa.

Bước 1: Kết nối tất cả ba bộ phát hiện UV với các kênh đầu vào số HIMatrix F60 riêng biệt — không bao giờ dùng chung đường trả về với mạch đánh lửa.
Bước 2: Kiểm tra đầu ra tự kiểm tra của từng bộ phát hiện. Fireye 45UV5 khỏe mạnh phát ra tín hiệu tự kiểm tra 24 VDC mỗi 10 giây. Ánh xạ tín hiệu này vào một kênh DI riêng và cấu hình bộ giám sát 30 giây trong TriStation — mất tín hiệu tự kiểm tra trong 30 giây sẽ kích hoạt báo động Lỗi Bộ phát hiện UV.
Bước 3: Thực hiện kiểm tra sáng-tối cho từng bộ phát hiện riêng lẻ. Che đường nhìn UV bằng thẻ chắn. Xác nhận đầu vào bộ phát hiện tương ứng giảm xuống 0 VDC trong vòng 1 giây. Xác nhận bỏ phiếu 2oo3 không tuyên bố FLAME_PROVEN khi chỉ có một bộ phát hiện hoạt động.

Bộ đếm thời gian Chu trình Thổi sạch: Yêu cầu NFPA 85

NFPA 85 yêu cầu buồng đốt phải được thổi sạch với ít nhất bốn lần thay đổi không khí trước mỗi lần đánh lửa. Tốc độ dòng thổi sạch phải ít nhất 25% lưu lượng không khí thiết kế tối đa. Tính thời gian thổi sạch cần thiết theo công thức sau:

T_thổi_sạch = (4 × V_buồng) / Q_lưu_lượng_không_khí

Đối với buồng đốt 120 m³ với quạt cưỡng bức cung cấp 18 m³/phút ở vị trí van điều tiết 25%: T_thổi_sạch = (4 × 120) / 18 = 26,7 phút. Làm tròn lên 27 phút và lập trình giá trị này làm thời gian tối thiểu cho bộ đếm thời gian thổi sạch trong khối chức năng chu trình thổi sạch SILworx của HIMatrix. Bộ đếm thời gian phải là bộ đếm an toàn, không thể đặt lại — nếu lưu lượng không khí giảm dưới ngưỡng 25% trong thời gian thổi sạch, bộ đếm sẽ đặt lại về 0.

Trên Triconex Tricon CX, thực hiện bộ đếm thời gian thổi sạch trong TriStation bằng khối TON (Timer On Delay) với giá trị đặt trước 1620 giây (27 phút). Khóa đầu vào kích hoạt bộ đếm với công tắc xác nhận lưu lượng — công tắc áp suất chênh lệch đặt ở 0,5 kPa qua van điều tiết không khí xác nhận lưu lượng yêu cầu. Xác nhận thời gian phản hồi dưới 2 giây để đáp ứng yêu cầu Mục 8.3.4 của NFPA 85.

Trình tự Van Chặn Kép và Xả

Hệ thống cấp nhiên liệu sử dụng cấu hình van chặn kép và xả (DBB) — hai van đóng an toàn (SSOV) thường đóng nối tiếp với một van xả thường mở nằm giữa. NFPA 85 yêu cầu mỗi SSOV phải đóng trong vòng 1 giây sau khi nhận tín hiệu ngắt. Trên HIMA HIMatrix F60, trình tự các van DBB theo logic sau:

Bước 1: Khi BMS ngắt, đồng thời ngắt nguồn cho các kênh đầu ra số SSOV1 (chặn phía trên) và SSOV2 (chặn phía dưới) qua mô-đun đầu ra an toàn HIMatrix F3 DIO. Cả hai nhận lệnh ngắt trong một chu kỳ quét HIMatrix — thường là 10 ms.
Bước 2: Sau 200 ms, cấp nguồn cho van xả (thường mở, được giữ đóng trong vận hành bằng tín hiệu 24 VDC). Ngắt nguồn kênh DO van xả cho phép van mở và thổi sạch không gian giữa các van.
Bước 3: Bắt đầu bộ đếm thời gian xác nhận van đóng 2 giây. HIMatrix đọc lại công tắc giới hạn SSOV. Xác nhận vị trí đóng trong 2 giây. Nếu công tắc giới hạn SSOV nào không xác nhận đóng, tạo báo động Lỗi Van và ngăn không cho khởi động lại.
Bước 4: Đối với triển khai Triconex Tricon CX, sử dụng Máy trạng thái trong TriStation với năm trạng thái: IDLE, PURGING, IGNITING, RUNNING, TRIPPED. Mỗi chuyển trạng thái được điều khiển bởi tập hợp điều kiện Boolean. Cấu trúc này giúp việc xác minh ma trận nguyên nhân-kết quả theo IEC 61511 trở nên đơn giản trong quá trình đánh giá an toàn.

Kiểm tra Chứng minh SIL 2 và Tính lại PFDavg

Điều khoản 16.2.5 của IEC 61511 yêu cầu kiểm tra chứng minh có tài liệu theo khoảng thời gian dựa trên mục tiêu PFDavg SIL 2. Đối với chức năng ngắt nhiên liệu BMS ở SIL 2, PFDavg phải dưới 10⁻² (1%). Khoảng thời gian kiểm tra chứng minh điển hình cho van ESD với tỷ lệ lỗi nguy hiểm không phát hiện (λDU) là 2,5 × 10⁻⁶ /giờ được tính như sau:

PFDavg = λDU × Ti / 2

Để duy trì PFDavg = 0,005 (50% giới hạn SIL 2): Ti = (2 × 0,005) / (2,5 × 10⁻⁶) = 4000 giờ ≈ 6 tháng.

Kiểm tra Hành trình Một phần (PST) vận hành một phần van ESD mà không cần ngắt toàn bộ quy trình. Trên HIMatrix F60, cấu hình chức năng PST sử dụng khối thư viện PST của SILworx. Đặt giới hạn hành trình PST là 15% hành trình van — đủ để phát hiện kẹt ghế van và kẹt cơ khí mà không làm gián đoạn dòng chảy quy trình. Thời gian phản hồi PST vượt quá 8 giây báo hiệu sự suy giảm bộ truyền động — lên lịch kiểm tra hành trình đầy đủ trong lần bảo trì tiếp theo.

Tính lại PFDavg sau mỗi lần thực hiện PST. Ghi lại kết quả PST trong nhật ký chẩn đoán HIMatrix và chuyển dữ liệu vào hệ thống quản lý hồ sơ an toàn của bạn. IEC 61511 yêu cầu tài liệu này phải được lưu trữ và có thể truy xuất trong toàn bộ vòng đời hệ thống — thường là 25 năm đối với thiết bị đốt.

Kết luận và Lời khuyên Hành động

Việc vận hành BMS không phải là một công việc đánh dấu hoàn thành đơn giản. Mỗi tham số — giá trị bộ đếm thời gian thổi sạch, thời gian chờ sai lệch UV, thời gian phản hồi van, giới hạn hành trình PST — đều liên quan trực tiếp đến yêu cầu an toàn trong NFPA 85 hoặc IEC 61511. Sử dụng chế độ mô phỏng tích hợp của HIMA SILworx để kiểm tra trước logic chu trình thổi sạch trước lần đốt đầu tiên. Trong các dự án Triconex Tricon CX, dùng trình chỉnh sửa Máy trạng thái của TriStation và liên kết mỗi điều kiện chuyển trạng thái với số dòng trong ma trận nguyên nhân-kết quả của bạn.

Sau khi vận hành, thực hiện kiểm tra van ESD hành trình đầy đủ đầu tiên trong vòng 30 ngày để thiết lập thời gian phản hồi cơ bản. Đặt lịch PST 6 tháng và lịch kiểm tra chứng minh đầy đủ 12 tháng làm công việc định kỳ. Những kỷ luật này giữ PFDavg của BMS trong giới hạn SIL 2 và chứng minh tuân thủ IEC 61511 trong mỗi cuộc kiểm tra an toàn.

Tác giả: Liu Yang là kỹ sư tự động hóa công nghiệp với hơn 10 năm kinh nghiệm về PLC, DCS và hệ thống điều khiển.