Xác thực Chuyển đổi Liên tục Bộ điều khiển DCS Dự phòng và Tích hợp Khóa An toàn SIS: ABB Symphony Plus AC800M và HIMA HIMatrix F30

ABB Symphony Plus, AC800M PM866, Bumpless Transfer, EtherNet/IP, HIMA HIMatrix F30, IEC 61511, Industrial Automation, Proof Test, Safety Interlock, SIL 2
Tháng 4 21, 2026

DCS Redundant Controller Bumpless Transfer Validation and SIS Interlock Integration: ABB Symphony Plus AC800M and HIMA HIMatrix F30

Kiến trúc DCS dự phòng và Yêu cầu Chuyển đổi

ABB Symphony Plus sử dụng bộ điều khiển AC800M PM866 trong cấu hình dự phòng với liên kết chờ nóng CEX-Bus. Bộ điều khiển chính và dự phòng đồng bộ bộ nhớ nội bộ mỗi 20 ms qua CEX-Bus. Khi xảy ra chuyển đổi, bộ điều khiển dự phòng phải tiếp quản mà không gây ra sự thay đổi đầu ra có thể đo được trên các đầu ra analog hoặc trạng thái lệnh kỹ thuật số. ABB định nghĩa chuyển đổi không gián đoạn là sự sai lệch đầu ra dưới 0,1% dải trong quá trình chuyển đổi tạm thời.

Bộ điều khiển an toàn HIMA HIMatrix F30 hoạt động độc lập với lớp BPCS của ABB Symphony Plus. Tuy nhiên, cả hai hệ thống chia sẻ các khóa an toàn cứng và trao đổi dữ liệu trạng thái qua EtherNet/IP. Kiến trúc tích hợp yêu cầu việc chuyển đổi bộ điều khiển Symphony Plus không gây mất kết nối EtherNet/IP giả mạo làm kích hoạt chức năng an toàn HIMatrix F30. Kỹ sư phải xác nhận cả thời gian chuyển đổi không gián đoạn và thời gian phục hồi kết nối EtherNet/IP như một phần của quy trình Kiểm tra Chấp nhận Nhà máy và Kiểm tra Chấp nhận Tại chỗ.

Quy trình Đo Thời gian Chuyển đổi Không gián đoạn

Xác nhận hiệu suất chuyển đổi không gián đoạn bằng đo lường có thiết bị — không bao giờ chỉ dựa vào quan sát của người vận hành. Thời gian chuyển đổi dự phòng AC800M PM866 mất khoảng 80–150 ms tùy tải bộ điều khiển. Trong thời gian này, các mô-đun đầu ra giữ giá trị cuối cùng của chúng.

Bước 1: Kết nối máy hiện sóng hoặc bộ ghi dữ liệu tốc độ cao với đầu ra 4–20 mA của mô-đun đầu ra analog AO890. Đặt tốc độ lấy mẫu tối thiểu 1 kHz. Cấu hình kích hoạt trên đèn LED báo lỗi CEX-Bus hoặc thẻ OPC TRẠNG THÁI DỰ PHÒNG trong Symphony Plus Operations.
Bước 2: Trong ABB Control Builder M, đặt đầu ra bộ điều khiển đang hoạt động ở giá trị ổn định — 12.000 mA (50% điểm đặt). Khởi tạo chuyển đổi thủ công bằng bảng quản lý dự phòng Control Builder M. Ghi lại đỉnh sai lệch đầu ra AO890 và thời gian phục hồi trên máy hiện sóng.
Bước 3: Kết quả chấp nhận được: sai lệch đầu ra dưới 0,5 mA (±3% dải cho phạm vi 0–100%), phục hồi trong vòng 200 ms. Nếu đầu ra nhảy hơn 1,0 mA, chương trình bộ điều khiển có chuỗi khởi tạo lại làm đặt lại giá trị đầu ra khi khởi động. Xác định và loại bỏ tất cả các lệnh ghi đầu ra vô điều kiện trong chu trình quét đầu tiên của chương trình.
Bước 4: Lặp lại kiểm tra với tải CPU 80%. Sử dụng CPU cao khi chuyển đổi làm tăng thời gian giữ đầu ra lên 200–300 ms trên một số phiên bản firmware PM866. Ghi lại mức nhảy tối đa quan sát được ở tải CPU mục tiêu và so sánh với yêu cầu quy trình.

Phục hồi Kết nối EtherNet/IP trong Quá trình Chuyển đổi

HIMA HIMatrix F30 giao tiếp với ABB Symphony Plus qua EtherNet/IP Lớp 1 (giao tiếp ẩn danh). HIMatrix F30 hoạt động như bộ điều hợp EtherNet/IP; Control Builder M của Symphony Plus là bộ quét EtherNet/IP khởi tạo kết nối. Trong quá trình chuyển đổi bộ điều khiển Symphony Plus, phiên quét EtherNet/IP kết thúc và được thiết lập lại trên bộ điều khiển dự phòng.

Thời gian chờ kết nối EtherNet/IP mặc định của HIMatrix F30 là 500 ms (5× RPI mặc định 100 ms). Nếu chuyển đổi Symphony Plus vượt quá 500 ms, kết nối HIMatrix F30 sẽ hết thời gian chờ và chuyển dữ liệu đầu vào an toàn liên quan sang trạng thái AN TOÀN. Điều này có thể kích hoạt chức năng an toàn giả trên bất kỳ SIF nào sử dụng dữ liệu EtherNet/IP làm đầu vào cho phép.

Chiến lược giảm thiểu: tăng thời gian chờ kết nối EtherNet/IP của HIMatrix F30 lên 2000 ms trong cấu hình SILworx (Adapter → EIP Connection → Timeout Multiplier = 20× RPI). Xác nhận thay đổi này được ghi lại trong hồ sơ xác nhận SIL — Điều 11.9.3 IEC 61511 yêu cầu tất cả thay đổi tham số phần mềm liên quan an toàn phải được đánh giá chính thức. Giảm sử dụng CPU bộ điều khiển Symphony Plus xuống dưới 50% ở trạng thái ổn định để chuyển đổi hoàn thành trong 300 ms, tạo biên an toàn 6× so với thời gian chờ 2000 ms.

Điện dây Khóa An toàn Cứng giữa các Hệ thống

Mô-đun F-DI HIMatrix F30 (Đầu vào Kỹ thuật số An toàn) sử dụng đầu vào kênh đôi 24 VDC với kiểm tra xung nội bộ 1 Hz. Mỗi kênh đầu vào kết nối với một thiết bị trường riêng biệt. Cả hai kênh phải đồng thuận trong vòng 200 ms để đầu vào được ghi nhận là ĐÚNG.

Lỗi đi dây phổ biến: kỹ sư kết nối cả hai kênh F-DI vào cùng một đầu thiết bị trường thay vì các tiếp điểm rơ-le riêng biệt. Cấu hình kênh đơn này làm mất tính toàn vẹn kênh đôi của HIMatrix F30 và làm mất hiệu lực tuyên bố SIL 2. Chẩn đoán SILworx của HIMA chỉ báo lỗi sai lệch CH1/CH2 khi điểm hỏng đơn mở ra. Do đó, kiểm tra tính liên tục đi dây kênh đôi bằng cách kéo thử từng lõi cáp khi vận hành ban đầu.

Đối với mô-đun đầu vào kỹ thuật số DI820 của ABB Symphony Plus nhận trạng thái trip cứng từ HIMatrix F30 F-DO (Đầu ra Kỹ thuật số An toàn), cấu hình thời gian lọc đầu vào DI820 là 10 ms. Điều này ngăn tín hiệu kiểm tra xung nội bộ HIMatrix F30 (1 Hz, xung tắt 5 ms) không bị ghi nhận là trip giả trong nhật ký sự kiện Symphony Plus.

Tích hợp Kiểm tra Chứng minh SIL 2 với Chế độ Bảo trì DCS

Bước 1: Kích hoạt Chế độ Bảo trì Symphony Plus cho các vòng điều khiển bị ảnh hưởng. Điều này chuyển bộ điều khiển PID BPCS sang Chế độ Thủ công với giữ giá trị cuối cùng.
Bước 2: Gửi lệnh chế độ kiểm tra EtherNet/IP từ Symphony Plus đến HIMatrix F30 (tham số SILworx: PROOF_TEST_MODE = 1).
Bước 3: Thực hiện chuỗi kiểm tra chứng minh theo mẫu Báo cáo Kiểm tra Chứng minh HIMA SILworx (mục 6.3): xác nhận rơ-le trip mở trong vòng 150 ms kể từ yêu cầu mô phỏng, xác nhận logic đặt lại hoạt động chính xác, xác nhận phát hiện sai lệch giữa các cảm biến dự phòng. Thời gian phản hồi của mô-đun HIMatrix F3 DIO phải được xác nhận theo yêu cầu đặc tả SIL 2.
Bước 4: Thoát PROOF_TEST_MODE và xác nhận HIMatrix F30 trở lại giám sát bình thường.
Bước 5: Thoát Chế độ Bảo trì Symphony Plus và xác nhận bộ điều khiển PID chuyển về Tự động mà không gây nhảy đầu ra. Ghi lại tất cả thời gian phản hồi thực tế và so sánh với yêu cầu SIL 2 (PFDavg phải nằm trong giới hạn đặc tả yêu cầu an toàn đã định).

Kết luận và Khuyến nghị Hành động

Tích hợp bộ điều khiển dự phòng ABB Symphony Plus AC800M với hệ thống an toàn HIMA HIMatrix F30 đòi hỏi xác nhận ở ba cấp độ: hiệu suất chuyển đổi không gián đoạn, thời gian phục hồi kết nối EtherNet/IP và tính toàn vẹn đi dây đầu vào an toàn kênh đôi. Đo chuyển đổi không gián đoạn bằng bộ ghi dữ liệu 1 kHz — quan sát bằng mắt thường không đủ. Đặt thời gian chờ kết nối EtherNet/IP HIMatrix F30 là 2000 ms để chịu được chuyển đổi bộ điều khiển khi tải cao. Kiểm tra đi dây kênh đôi F-DI bằng cách kiểm tra vật lý — lỗi sai lệch ẩn cho đến khi xảy ra hỏng kênh đơn trong vận hành.

Phối hợp quy trình kiểm tra chứng minh với Chế độ Bảo trì Symphony Plus để duy trì liên tục điều khiển quy trình trong khi kiểm tra chức năng an toàn theo IEC 61511. Ghi lại mọi thay đổi tham số trong hồ sơ xác nhận SIL. Cài đặt thời gian chờ kết nối 2000 ms nếu không được ghi chép và đánh giá sẽ là điểm thiếu sót tuân thủ mà kiểm toán viên sẽ phát hiện — và có thể làm mất hiệu lực tuyên bố SIL 2 cho toàn bộ vòng an toàn.

Tác giả: Jiang Bolun là kỹ sư tự động hóa công nghiệp với hơn 10 năm kinh nghiệm về PLC, DCS và hệ thống điều khiển.