Quản lý Bỏ qua và Ghi đè An toàn IEC 61511: Hướng dẫn Thực hành HIMA HIMatrix F60 và Triconex T3000

Bypass Management, HIMA HIMatrix F60, IEC 61511, Industrial Automation, Override Management, PFDavg, Safety Bypass, SIL 2, Triconex T3000, TriStation 1131
Tháng 4 23, 2026

IEC 61511 Safety Bypass and Override Management: HIMA HIMatrix F60 and Triconex T3000 Practical Guide

Tại sao Quản lý Bỏ qua là Rủi ro Tuân thủ

Mỗi kỹ sư hiện trường đều đã từng bỏ qua một cảm biến trong quá trình bảo trì. Câu hỏi thực sự là liệu việc bỏ qua đó có được phép, ghi lại và đóng đúng hạn hay không. Điều khoản 11.9 của IEC 61511 quy định quản lý bỏ qua là một yếu tố bắt buộc trong vòng đời, không phải là một thực hành tốt tùy chọn. Việc không tuân thủ sẽ làm mất hiệu lực yêu cầu SIL của bạn và khiến nhà máy đối mặt với các lỗi nguy hiểm không được phát hiện.

HIMA HIMatrix F60 và Triconex T3000 đều cung cấp cơ chế cấm ở cấp phần cứng. Tuy nhiên, quy trình xung quanh các cơ chế đó quyết định bạn có tuân thủ IEC 61511 hay chỉ đơn giản là bỏ qua mà không có dấu vết. Bỏ qua an toàn tạm thời vô hiệu hóa một kênh hoặc chức năng cụ thể. Ghi đè an toàn ép một đầu ra về trạng thái xác định bất kể logic. Cả hai đều có hồ sơ rủi ro khác nhau và yêu cầu các cấp độ ủy quyền khác nhau.

Phân loại Bỏ qua: Ba Loại Bạn Phải Phân biệt

IEC 61511 không định nghĩa một loại bỏ qua duy nhất. Bạn phải phân loại từng hành động trước khi áp dụng. Ba loại là cấm bảo trì, bỏ qua kiểm tra chứng minh và ghi đè khẩn cấp:

Cấm bảo trì: vô hiệu hóa một kênh đầu vào trong quá trình hiệu chuẩn. Được kỹ sư SIS ủy quyền, thời gian tối đa 4 giờ, yêu cầu giấy phép làm việc.
Bỏ qua kiểm tra chứng minh: tạm dừng logic bỏ phiếu cho một trong hai hoặc ba kênh. Được quản lý an toàn ủy quyền, không được vượt quá khoảng thời gian kiểm tra chứng minh chia cho ba.
Ghi đè khẩn cấp: ép đầu ra van ESD mở hoặc đóng trong quá trình khởi động bất thường. Được quản lý vận hành và nhân viên an toàn đồng ủy quyền, thời gian tối đa 15 phút.

Trên HIMA HIMatrix F60, mỗi loại bỏ qua tương ứng với một lớp biến SILworx khác nhau. Cấm bảo trì sử dụng bit cấm F-DI trong chương trình an toàn. Bỏ qua kiểm tra chứng minh sử dụng khối chức năng TEST_MODE_CH riêng biệt. Ghi đè khẩn cấp sử dụng khối FORCE_OUT với khóa cơ học có liên khóa. Module HIMatrix F3 DIO cung cấp các kênh I/O vật lý mà các bit cấm này điều khiển.

Trên Triconex T3000, TriStation 1131 cung cấp lệnh BYPASS_DI và lệnh FORCE_DO riêng biệt. Cả hai yêu cầu tên người dùng và mật khẩu duy nhất trong nhật ký kiểm toán TriStation. T3000 tự động đánh dấu thời gian mỗi thay đổi trạng thái với độ phân giải SOE 1 mili giây.

Quy trình Cấm Phần cứng trên HIMA HIMatrix F60

Bước 1: Mở dự án SILworx trực tuyến. Điều hướng đến I/O Manager và xác nhận trạng thái kênh là TỐT trước khi áp dụng bất kỳ cấm nào.
Bước 2: Đặt biến INHIBIT_CH cho kênh mục tiêu thành TRUE. Xác minh màn hình chẩn đoán HIMatrix hiển thị trạng thái INHIBIT, không phải LỖI.
Bước 3: Xác nhận logic bỏ phiếu vẫn hoạt động chính xác trên các kênh còn lại. Đối với cảm biến 2oo3, logic phải hoạt động ở chế độ 1oo2 trong khi cấm. Kiểm tra bit đầu ra VOTER_STATUS trên module HIMatrix F3 DIO.
Bước 4: Ghi lại thời gian bắt đầu cấm, ID kênh, lý do bỏ qua và tên người được ủy quyền trong hệ thống giấy phép làm việc. Đặt báo động tối đa 4 giờ trong hệ thống DCS hoặc SCADA sử dụng bộ đếm thời gian TON với giá trị đặt trước T#4H.
Bước 5: Thực hiện công việc bảo trì. Không rời phòng điều khiển trong khi cấm.
Bước 6: Đặt lại INHIBIT_CH thành FALSE. Xác minh kênh trở lại trạng thái TỐT. Ký xác nhận giấy phép làm việc với giá trị đọc kênh và dấu thời gian khi kết thúc. Nếu kênh không trở lại trạng thái TỐT sau khi đặt lại, không gỡ bỏ cấm — điều tra dây trường trước khi khôi phục bỏ phiếu bình thường.

Ghi đè Cơ học trên Triconex T3000: Cấu hình FORCE_DO

Kiến trúc Triconex T3000 TMR cung cấp bỏ phiếu ba kênh trên mỗi đầu ra. Lệnh FORCE_DO ghi đè bỏ phiếu đó và điều khiển rơ le vật lý bất kể trạng thái logic. Cấu hình FORCE_DO trong TriStation như sau:

Đầu tiên, khối chức năng yêu cầu đầu vào FORCE_ENABLE được điều khiển bởi công tắc khóa phần cứng chuyên dụng. Nối công tắc khóa vào một đầu vào số dư thừa trên khung TRICON, không nối vào biến phần mềm — điều này ngăn ghi đè chỉ bằng phần mềm không được phép. Thứ hai, kết nối FORCE_DO.OUTPUT với biến đầu ra solenoid van ESD. Đặt FORCE_DO.FORCE_VALUE về trạng thái an toàn yêu cầu (TRUE cho van thường mở, FALSE cho van thường đóng). Thứ ba, thêm bộ đếm thời gian TON với giá trị đặt trước T#15M vào đầu vào FORCE_ENABLE. Ghi đè tự động hết hạn sau 15 phút mà không cần thao tác của người vận hành — đáp ứng yêu cầu tự động ngắt thời gian của Điều khoản 11.9.4 IEC 61511.

T3000 SOE ghi lại mọi kích hoạt FORCE_DO với tên người dùng, dấu thời gian và trạng thái kênh trước và sau. Xuất các nhật ký này vào CMMS của bạn trong vòng 24 giờ sau bất kỳ sự kiện ghi đè nào.

Tính Toán Ảnh Hưởng PFDavg Trong Thời Gian Bỏ Qua Kéo Dài

Mỗi giờ một kênh bị cấm làm tăng xác suất lỗi khi yêu cầu cho vòng đó. Đối với vòng SIL 2 với tỷ lệ lỗi nguy hiểm không phát hiện λDU là 1×10⁻⁵ mỗi giờ và khoảng thời gian kiểm tra chứng minh Ti là 8.760 giờ, PFDavg cơ bản là 0,0438.

Nếu bạn cấm một kênh của bộ bỏ phiếu 2oo3 trong 4 giờ, bỏ phiếu hiệu quả giảm xuống 1oo2. Tính lại PFDavg theo công thức 1oo2: PFDavg = 3 × (λDU × Ti/2)². PFD tức thời cho bộ bỏ phiếu suy giảm tăng lên khoảng 1,4×10⁻⁶ trong khoảng thời gian 4 giờ đó — vẫn nằm trong giới hạn SIL 2 (PFD 10⁻³ đến 10⁻²), xác nhận việc bỏ qua là chấp nhận được. Nếu bảo trì kéo dài hơn 4 giờ, phải báo cáo ngay cho quản lý an toàn. Bỏ qua lâu hơn thời gian cho phép yêu cầu phải có mục Quản lý Thay đổi (MOC) chính thức và tính toán lại hồ sơ an toàn trước khi tiếp tục.

Quy trình Theo dõi Kiểm toán Năm Bước để Tuân thủ IEC 61511

Bước 1: Duy trì sổ đăng ký bỏ qua trong CMMS của bạn (SAP PM, Maximo hoặc tương đương). Mỗi mục phải chứa thẻ vòng, loại bỏ qua, thời gian bắt đầu, người được ủy quyền và thời gian kết thúc dự kiến.
Bước 2: Cấu hình HIMA HIMatrix SILworx để ghi các thay đổi trạng thái INHIBIT_CH vào thẻ máy chủ OPC DA. Cấu hình Triconex T3000 SOE để xuất sang OSIsoft PI Historian với các thuộc tính khung tài sản IEC 61511.
Bước 3: Đặt báo động SCADA cho bất kỳ bỏ qua nào vượt quá thời gian được phê duyệt hơn 10 phút. Mức ưu tiên báo động phải là ISA-18.2 Ưu tiên 1 (an toàn quan trọng).
Bước 4: Sau mỗi lần bỏ qua, xác minh giá trị đọc kênh được khôi phục nằm trong ±1% so với bộ phát tham chiếu liền kề. Ghi lại giá trị lúc tìm thấy và lúc kết thúc trên giấy phép bỏ qua.
Bước 5: Hàng tháng, chạy báo cáo tần suất bỏ qua từ PI Historian. Các vòng có hơn 2 lần bỏ qua mỗi tháng cần xem xét nguyên nhân gốc rễ và kế hoạch hành động khắc phục trong vòng 30 ngày. Đối chiếu tự động hồ sơ bỏ qua SCADA với các lệnh công việc CMMS bằng kịch bản đối chiếu hàng ngày truy vấn OPC UA và CMMS REST API.

Kết luận và Khuyến nghị Hành động

Quản lý bỏ qua và ghi đè an toàn ảnh hưởng trực tiếp đến tính toán PFDavg để chứng minh yêu cầu SIL 2 của bạn. HIMA HIMatrix F60 cung cấp các bit cấm cấp SILworx với chẩn đoán tự động. Triconex T3000 cung cấp FORCE_DO với liên khóa công tắc khóa phần cứng và đánh dấu thời gian SOE. Không nền tảng nào bảo vệ bạn nếu quy trình xung quanh không chính thức hoặc không có.

Bắt đầu bằng việc kiểm toán sổ đăng ký bỏ qua hiện tại của bạn. Nếu bạn không thể cung cấp danh sách đầy đủ tất cả các bỏ qua đang hoạt động trong vòng dưới 5 phút, hệ thống của bạn có lỗ hổng tuân thủ. Thực hiện quy trình theo dõi kiểm toán năm bước mô tả ở trên trước khi đánh giá bên thứ ba IEC 61511 tiếp theo. Chi phí của một phát hiện không phù hợp là phải sửa đổi toàn bộ hồ sơ an toàn — đắt hơn nhiều so với việc xây dựng dấu vết đúng ngay từ đầu.

Tác giả: Chen Mingzhi là kỹ sư tự động hóa công nghiệp với hơn 10 năm kinh nghiệm trong PLC, DCS và hệ thống điều khiển.