Tối ưu hóa Thời gian Chuyển đổi Dự phòng Nóng và Quét của Emerson DeltaV SIS

Emerson DeltaV SIS, Hot Standby, IEC 61511, Industrial Automation, PFDavg, Safety Instrumented System, Scan Time, SIL 2, SLS 1508, Watchdog Timer
Tháng 4 25, 2026

Emerson DeltaV SIS Hot Standby Switchover and Scan Time Optimization

Tại sao Chế độ Dự phòng Nóng quan trọng trong Kiến trúc SIS

Một hệ thống an toàn được lập trình phải phản hồi trong thời gian an toàn quy định của quá trình (PST). Bộ giải logic Emerson DeltaV SIS SLS 1508 sử dụng kiến trúc phần cứng 1oo2D, kết hợp bộ xử lý chính với bộ xử lý dự phòng nóng. Cả hai bộ xử lý đều chạy logic giống hệt nhau liên tục. Việc chuyển đổi xảy ra trong vòng dưới 100 ms, đáp ứng yêu cầu về độ sẵn sàng theo IEC 61511 Điều 11.9 cho vòng SIL 2.

Tuy nhiên, cấu hình kém dẫn đến các lần chuyển đổi phiền toái làm gián đoạn điều khiển và kích hoạt báo động giả. Nguyên nhân gốc thường là bộ đếm thời gian watchdog bị cấu hình sai hoặc thời gian quét quá dài. Khoảng thời gian heartbeat không đồng bộ giữa Honeywell Safety Manager SC và DeltaV SIS trong cùng tủ ESD có thể gây ra báo động sai lệch chẩn đoán giả trong vài tuần sau khi vận hành.

Kiến trúc Đồng bộ Bộ xử lý Đôi SLS 1508

SLS 1508 có hai CPU: CPU-A (chính) và CPU-B (dự phòng). Chúng chia sẻ một bus đồng bộ hoạt động ở tốc độ 100 Mbps. Mỗi chu kỳ quét, CPU-A ghi bảng I/O của nó vào CPU-B. CPU-B so sánh dữ liệu nhận được với kết quả quét của chính nó. Bộ đếm sai lệch tăng lên khi có bất kỳ sai khác nào. Watchdog kích hoạt chuyển đổi khi bộ đếm vượt quá ngưỡng có thể cấu hình.

Các tham số chính cần kiểm tra trong quá trình vận hành:

Thời gian chờ watchdog: mặc định 500 ms, tối thiểu 200 ms cho SIL 2 PST < 2 s
Ngưỡng sai lệch đồng bộ: mặc định 3 lần sai lệch liên tiếp trước khi chuyển đổi
Độ lệch quét CPU-B: không được vượt quá 10 ms so với CPU-A
Khoảng thời gian kiểm tra checksum bộ nhớ: mỗi 60 s để xác minh tính toàn vẹn mã ứng dụng

Truy cập các tham số này trong DeltaV Explorer dưới Thuộc tính Bộ điều khiển SLS. Đặt watchdog ở 400 ms khi PST là 1,5 s. Điều này cung cấp biên độ 1,1 s sau khi phát hiện lỗi trước khi phần tử cuối cùng phải phản hồi.

Ngân sách Thời gian Quét và Tuân thủ IEC 61511

IEC 61511 Điều 11.7.5 yêu cầu thời gian quét bộ giải logic phải nhỏ hơn hoặc bằng một phần mười PST. Với PST 2 s, thời gian quét tối đa là 200 ms. DeltaV SIS thường chạy ở 100 ms cho SIL 2 và 250 ms cho SIL 1. Xác minh thời gian quét thực tế trong DeltaV Diagnostics dưới Hiệu suất Bộ điều khiển.

Bước 1: Mở DeltaV Explorer. Điều hướng đến Bộ điều khiển SLS → Thuộc tính Module → Thống kê Quét.
Bước 2: Ghi lại thời gian quét tối đa trong vòng 24 giờ. Bao gồm các đỉnh thay ca.
Bước 3: Xác định các khối chức năng tiêu thụ hơn 5 ms riêng lẻ. Đây là các ứng viên để tách ra.
Bước 4: Di chuyển các khối logic không an toàn (ví dụ, trợ giúp tính toán ma trận nguyên nhân-kết quả) sang bộ điều khiển I/O DeltaV CHARM thay thế.
Bước 5: Kiểm tra lại thời gian quét sau khi phân bổ lại. Xác nhận nó vẫn dưới 180 ms với biên độ 10%.

Quy trình Cô lập Lỗi Chuyển đổi: 5 Bước

Các lần chuyển đổi phiền toái tạo một mục trong Nhật ký Sự kiện DeltaV ở mức độ nghiêm trọng 10. Sử dụng quy trình sau để cô lập nguyên nhân gốc:

Bước 1: Xuất Nhật ký Sự kiện cho 30 phút trước khi chuyển đổi. Lọc theo nguồn Bộ điều khiển SLS. Tìm các lần tăng bộ đếm sai lệch và báo động nhiệt độ CPU.
Bước 2: Kiểm tra điện áp nguồn 24 VDC tại các đầu nối P1 và P2 của bảng mạch sau SLS 1508. Phạm vi chấp nhận là 21,6–26,4 VDC. Điện áp dưới 22 VDC gây lỗi bus đồng bộ.
Bước 3: Xác minh cáp bus đồng bộ giữa hai card CPU. DeltaV SIS sử dụng cáp ribbon độc quyền. Kiểm tra các chân bị cong ở đầu nối card. Thay thế nếu điện trở giữa chân 1 và chân 16 vượt quá 5 Ω.
Bước 4: Xem lại nhật ký sai lệch I/O. Một kênh đầu vào cụ thể xuất hiện lặp lại cho thấy thiết bị trường bị lỗi hoặc đầu nối lỏng. Kiểm tra khối đầu cuối ray DIN liên quan có bị oxy hóa không.
Bước 5: Xác nhận phiên bản firmware trên cả hai CPU phải giống nhau. Điều hướng đến Thuộc tính Bộ điều khiển SLS → Chẩn đoán → Phiên bản Firmware. Phiên bản firmware không khớp gây sai lệch liên tục ở mức thấp 1–2 lần mỗi phút.

Tác động PFDavg của Thời gian Quét Kéo dài

Thời gian quét vượt quá ngân sách IEC 61511 không gây ngắt ngay lập tức. Tuy nhiên, nó làm tăng tín dụng bao phủ chẩn đoán được tính trong xác minh SIL. Emerson đánh giá bao phủ chẩn đoán của SLS 1508 là 99% (DC = 0,99) chỉ khi thời gian quét nằm trong giá trị định mức. Nếu thời gian quét vượt quá 200 ms cho vòng SIL 2 với chu kỳ kiểm tra chứng minh 1 năm (Ti = 8.760 h) và λDU = 2×10⁻⁶/h, PFDavg tăng từ 0,0088 lên khoảng 0,0115 — vượt giới hạn trên của SIL 2 là 0,01.

Các hệ thống Honeywell Safety Manager SC thường chạy bên cạnh DeltaV SIS trong cùng tủ ESD. Safety Manager sử dụng chu kỳ tác vụ 200 ms theo mặc định. Đảm bảo hai hệ thống dùng chung nguồn thời gian NTP — sử dụng đồng hồ GPS stratum 1 trên mạng OT. Sai lệch thời gian trên 50 ms giữa hai hệ thống SIS gây sai thứ tự trong nhật ký chuỗi sự kiện giữa nguyên nhân khởi tạo và phản hồi phần tử cuối.

Kết luận và Khuyến nghị Hành động

Hiệu suất dự phòng nóng của Emerson DeltaV SIS phụ thuộc vào ba yếu tố: căn chỉnh bộ đếm thời gian watchdog, tuân thủ ngân sách thời gian quét và tính toàn vẹn bus đồng bộ. Bắt đầu với cơ sở thời gian quét 24 giờ trước khi chấp nhận cuối cùng. Xác nhận ngưỡng sai lệch và phiên bản firmware giống hệt trên cả hai CPU. Phân bổ lại các khối chức năng nếu sử dụng CPU vượt quá 80%. Kiểm tra nguồn 24 VDC tại các đầu nối bảng mạch. Các bước này bảo vệ phép tính PFDavg SIL 2 của bạn và ngăn ngừa chuyển đổi phiền toái trong sản xuất. Ghi lại mọi thay đổi tham số với hồ sơ trạng thái ban đầu và trạng thái sau cùng theo IEC 61511 Điều 16.3.

Tác giả: Chen Hao là kỹ sư tự động hóa công nghiệp với hơn 10 năm kinh nghiệm trong PLC, DCS và hệ thống điều khiển.