Chuẩn bị Kiểm toán An toàn Chức năng IEC 61511: Xây dựng Bộ Bằng chứng Có thể Bảo vệ cho Hệ thống Thiết bị An toàn Invensys Triconex

Những Điều Kiểm Toán Viên Thực Sự Tìm Kiếm

Kiểm toán an toàn chức năng theo IEC 61511 không phải là việc xem xét tài liệu — mà là phân tích khoảng cách giữa Yêu Cầu An Toàn (SRS) của bạn và hệ thống được xây dựng, duy trì thực tế. Kiểm toán viên sẽ xem xét ba điều đầu tiên: tính đầy đủ của hồ sơ an toàn, tính toàn vẹn của hồ sơ kiểm tra chứng minh, và tính hợp lệ của tuyên bố SIL. Đối với một lắp đặt Invensys Triconex T3000 hoặc Tricon CX, gói bằng chứng phải chứng minh rằng Hệ thống An Toàn (SIS) được thiết kế, lắp đặt và duy trì phù hợp với SRS. Bất kỳ khoảng trống nào trong các lĩnh vực này có thể làm giảm mức SIL hiệu quả từ SIL 2 xuống SIL 1 — hoặc trong trường hợp nghiêm trọng, làm mất hiệu lực hoàn toàn hồ sơ an toàn.

Đầu tiên, tập hợp đầy đủ tài liệu SRS bao gồm tất cả mô tả Chức Năng An Toàn (SIF), mục tiêu SIL và tỷ lệ yêu cầu quy trình. Thứ hai, xác nhận rằng tất cả cấu hình dự án TriStation 1131 khớp với SRS — kiến trúc, logic bỏ phiếu, logic bỏ qua, và phạm vi chẩn đoán. Thứ ba, kiểm tra rằng hồ sơ kiểm tra chứng minh có chữ ký, ngày tháng và chứa thời gian phản hồi khi phát hiện — không chỉ là các ô kiểm đậu/rớt.

Tính Toán Lại PFDavg và Xác Minh SIL

Xác suất hỏng hóc khi yêu cầu (Trung bình) — PFDavg — đo lường độ tin cậy của SIS trong khoảng thời gian kiểm tra chứng minh. SIL 2 yêu cầu PFDavg nằm trong khoảng từ 1×10⁻³ đến 1×10⁻². Kiến trúc Triconex T3000 TMR với logic bỏ phiếu 2oo3 đạt giá trị PFDavg thấp nhờ phạm vi chẩn đoán cao (DC ≥ 99%) và tính dư thừa vốn có. Tuy nhiên, PFDavg được công bố trong các báo cáo FMEDA của Triconex giả định các khoảng thời gian kiểm tra chứng minh và điều kiện vận hành cụ thể.

Tính toán lại PFDavg cho mỗi SIF sử dụng công thức đơn giản cho hệ thống con 1oo1: PFDavg = λDU × Ti / 2, trong đó λDU là tỷ lệ hỏng hóc nguy hiểm không phát hiện và Ti là khoảng thời gian kiểm tra chứng minh tính theo giờ. Đối với Triconex T3000 với λDU = 2.3×10⁻⁷ mỗi giờ (theo FMEDA Triconex bản Rev 4) và Ti = 8760 giờ (kiểm tra hàng năm): PFDavg = 2.3×10⁻⁷ × 8760 / 2 = 1.0×10⁻³. Giá trị này nằm chính xác ở ranh giới dưới của SIL 2 — không còn dư địa. Giảm Ti xuống 4380 giờ (kiểm tra nửa năm) sẽ giảm PFDavg xuống 5.0×10⁻⁴, đưa SIF vào phạm vi SIL 2 một cách thoải mái.

Phần tử cuối cùng (van ESD hoặc thiết bị ngắt) thường chiếm ưu thế trong PFDavg của SIF, không phải bộ giải logic Triconex. Một van solenoid điển hình với λDU = 5×10⁻⁷ mỗi giờ và Ti = 8760 giờ đóng góp PFDavg = 2.2×10⁻³ — đủ để tiêu thụ toàn bộ ngân sách SIL 2. Kiểm tra hành trình một phần (PST) với khoảng thời gian 3 tháng giảm đóng góp này xuống còn 5.5×10⁻⁴ và phục hồi được dư địa PFDavg có ý nghĩa.

Khắc Phục Khoảng Trống Hồ Sơ Kiểm Tra Chứng Minh

Phát hiện phổ biến nhất trong kiểm toán các lắp đặt Triconex là hồ sơ kiểm tra chứng minh không đầy đủ. Điều 16.2.5 của IEC 61511 yêu cầu hồ sơ kiểm tra chứng minh phải bao gồm: ngày kiểm tra, danh tính kỹ thuật viên, phương pháp kiểm tra, trạng thái khi phát hiện, kết quả kiểm tra và trạng thái khi kết thúc. Hồ sơ chỉ có chữ ký và ghi “PASS” là không tuân thủ.

• Bước 1: Kiểm toán tất cả hồ sơ kiểm tra chứng minh của mỗi SIF trong khoảng thời gian kiểm tra chứng minh gần nhất. Tạo ma trận khoảng trống: số SIF, ngày kiểm tra, các trường thiếu, kỹ thuật viên chịu trách nhiệm.
• Bước 2: Đối với hồ sơ thiếu thời gian phản hồi khi phát hiện, liên hệ kỹ thuật viên gốc và yêu cầu bản tuyên bố có chứng thực về giá trị đo được từ trí nhớ — nếu được ghi chép ở nơi khác (sổ ghi hiện trường, hệ thống hiệu chuẩn). Đính kèm tuyên bố vào hồ sơ gốc.
• Bước 3: Đối với hồ sơ hoàn toàn không có dữ liệu khi phát hiện, ghi nhận khoảng trống chính thức như một sự không phù hợp trong hệ thống quản lý an toàn. Giao nhiệm vụ khắc phục bằng cách thực hiện kiểm tra chứng minh ngoài kế hoạch trong cửa sổ bảo trì tiếp theo để thiết lập cơ sở dữ liệu khi phát hiện mới.
• Bước 4: Triển khai mẫu kiểm tra chứng minh có cấu trúc trong CMMS (SAP PM hoặc tương tự). Mẫu này phải bắt buộc các trường — thời gian phản hồi tính bằng mili giây, xác nhận hành trình phần tử cuối, và ảnh chụp chẩn đoán Triconex TriStation trước và sau kiểm tra. Khóa hồ sơ để không thể chọn PASS nếu không nhập thời gian phản hồi dạng số.

Yêu Cầu Tài Liệu Quản Lý Bỏ Qua

Quản lý bỏ qua là yêu cầu quan trọng theo Điều 11.9.4 của IEC 61511. Mỗi lần một SIF Triconex T3000 được đặt vào trạng thái bỏ qua, rủi ro còn lại tăng lên — chức năng an toàn không khả dụng. Sổ đăng ký bỏ qua phải ghi lại: lý do bỏ qua, người phê duyệt, thời gian bắt đầu, thời gian kết thúc dự kiến, và các biện pháp bù đắp được thực hiện trong thời gian bỏ qua.

Trong TriStation 1131, điều kiện bỏ qua được thực hiện qua các biến INHIBIT hoặc BYPASS trong chương trình điều khiển. Mỗi biến INHIBIT phải được ánh xạ tới công tắc khóa vật lý hoặc thẻ ủy quyền cấp SCADA. Cấu hình chương trình TriStation để ghi sự kiện bỏ qua vào nhật ký SOE (Chuỗi Sự Kiện) mỗi khi trạng thái biến INHIBIT thay đổi. Dấu thời gian SOE cung cấp dấu vết kiểm toán theo yêu cầu của IEC 61511.

SRS phải định nghĩa thời gian bỏ qua tối đa cho phép cho mỗi SIF dựa trên tỷ lệ yêu cầu quy trình. Đối với SIF bảo vệ chống lại mối nguy với tỷ lệ yêu cầu quy trình 0.1 mỗi năm, thời gian bỏ qua tối đa không có biện pháp bù đắp thường là 72 giờ. Kiểm toán viên sẽ đối chiếu nhật ký bỏ qua trong CMMS với nhật ký SOE — sự khác biệt giữa hai nhật ký cho thấy quy trình kiểm soát bỏ qua không hoạt động như dự định và đại diện cho sự thất bại hệ thống theo Điều 5 của IEC 61511.

Danh Sách Kiểm Tra Xác Minh Cấu Hình Trước Kiểm Toán

• Xuất báo cáo cấu hình dự án TriStation 1131 và so sánh tất cả điểm đặt ngắt SIF với SRS. Bất kỳ sai lệch nào đều yêu cầu hồ sơ Quản lý Thay đổi (MOC) có ngày trước khi thực hiện thay đổi.
• Xác minh phiên bản firmware Triconex T3000 khớp với phiên bản đã được chứng nhận trong hồ sơ an toàn. Cập nhật firmware Triconex yêu cầu tái xác nhận theo Điều 11.8.5 của IEC 61511 nếu cập nhật ảnh hưởng đến chức năng liên quan an toàn.
• Xác nhận tất cả khoảng thời gian kiểm tra chẩn đoán nằm trong giá trị quy định của SRS. Chu kỳ tự kiểm tra module T3000 mặc định là 1 giờ — kiểm tra xem có bị thay đổi thành khoảng thời gian dài hơn để giảm tần suất cảnh báo SCADA DIAG_FAIL không.
• Kiểm tra đồng bộ ngày giờ Triconex T3000 với máy chủ NTP của nhà máy. Dấu thời gian SOE không đồng bộ là một không phù hợp phổ biến trong kiểm toán, làm nghi ngờ trình tự của tất cả các sự kiện an toàn lịch sử.
• Xem lại nhật ký thay đổi trong TriStation để phát hiện bất kỳ sửa đổi cấu hình nào không có hồ sơ MOC kèm theo. Thay đổi không được phép là một không phù hợp nghiêm trọng theo Điều 5.2.4 của IEC 61511 (quản lý an toàn chức năng).

Kết Luận và Lời Khuyên Hành Động

Chuẩn bị lắp đặt Invensys Triconex cho kiểm toán an toàn chức năng IEC 61511 đòi hỏi việc tập hợp bằng chứng có hệ thống, không phải tạo tài liệu vào phút chót. Tính toán lại PFDavg cho mỗi SIF sử dụng khoảng thời gian kiểm tra chứng minh thực tế và dữ liệu FMEDA khi lắp đặt — không dựa vào bảng SIL đã công bố mà không xác minh. Kiểm toán hồ sơ kiểm tra chứng minh để phát hiện thiếu thời gian phản hồi khi phát hiện và khắc phục khoảng trống một cách chính thức. Xác minh hồ sơ quản lý bỏ qua trong cả CMMS và nhật ký SOE của Triconex — sự khác biệt cho thấy lỗi hệ thống trong quy trình.

Hoàn thành danh sách kiểm tra xác minh cấu hình trước 30 ngày so với ngày kiểm toán để có thời gian lập hồ sơ MOC cho bất kỳ sai lệch nào phát hiện được. Thuê kỹ sư an toàn chức năng có năng lực để xem xét gói bằng chứng trước khi kiểm toán viên đến. Phát hiện khoảng trống SIL 2 trong kiểm toán sẽ tốn kém hơn nhiều — về thời gian, tiền bạc và rủi ro quy trình — so với phát hiện trong đánh giá nội bộ.

Tác giả: Fang Haoran là kỹ sư tự động hóa công nghiệp với hơn 10 năm kinh nghiệm về PLC, DCS và hệ thống điều khiển.