Funktionale Sicherheit für SIPART PS2

Transcrição

SIPART
Elektropneumatische
Stellungsregler
Funktionale Sicherheit für
SIPART PS2
Produktinformation
Ergänzung zu Gerätehandbüchern 6DR501*,
6DR511*, 6DR521*, 6DR531*
09/2006
A5E00442120-03
Einleitung
1
Allgemeine
Sicherheitshinweise
2
Gerätespezifische
Sicherheitshinweise
3
Anhang
A
Liste der Abkürzungen
B
Sicherheitshinweise
Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von
Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck
hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe
werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.
Gefahr
bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden
Vorsichtsmaßnahmen nicht getroffen werden.
Warnung
bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden
Vorsicht
mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden
Vorsicht
ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen
nicht getroffen werden.
Achtung
bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht
beachtet wird.
Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet.
Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben
Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein.
Qualifiziertes Personal
Das zugehörige Gerät/System darf nur in Verbindung mit dieser Dokumentation eingerichtet und betrieben
werden. Inbetriebsetzung und Betrieb eines Gerätes/Systems dürfen nur von qualifiziertem Personal
vorgenommen werden. Qualifiziertes Personal im Sinne der sicherheitstechnischen Hinweise dieser
Dokumentation sind Personen, die die Berechtigung haben, Geräte, Systeme und Stromkreise gemäß den
Standards der Sicherheitstechnik in Betrieb zu nehmen, zu erden und zu kennzeichnen.
Bestimmungsgemäßer Gebrauch
Beachten Sie Folgendes:
Warnung
Das Gerät darf nur für die im Katalog und in der technischen Beschreibung vorgesehenen Einsatzfälle und nur in
Verbindung mit von Siemens empfohlenen bzw. zugelassenen Fremdgeräten und -komponenten verwendet
werden. Der einwandfreie und sichere Betrieb des Produktes setzt sachgemäßen Transport, sachgemäße
Lagerung, Aufstellung und Montage sowie sorgfältige Bedienung und Instandhaltung voraus.
Marken
Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens
AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren
Zwecke die Rechte der Inhaber verletzen kann.
Haftungsausschluss
Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft.
Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung
keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige
Korrekturen sind in den nachfolgenden Auflagen enthalten.
Siemens AG
Automation and Drives
Postfach 48 48
90437 NÜRNBERG
DEUTSCHLAND
Dokumentbestell-Nr. A5E00442120-03
Ausgabe 09/2006
Copyright © Siemens AG 2006.
Änderungen vorbehalten
Inhaltsverzeichnis
1
2
3
A
B
Einleitung................................................................................................................................................ 1-1
1.1
Zweck dieser Dokumentation..................................................................................................... 1-1
1.2
Gültigkeitsbereich dieser Dokumentation .................................................................................. 1-1
1.3
Historie ....................................................................................................................................... 1-1
1.4
Weitere Informationen................................................................................................................ 1-2
Allgemeine Sicherheitshinweise ............................................................................................................. 2-1
2.1
Sicherheitsbezogenes System................................................................................................... 2-1
2.2
Safety Integrity Level (SIL)......................................................................................................... 2-2
Gerätespezifische Sicherheitshinweise................................................................................................... 3-1
3.1
Anwendungsbereich .................................................................................................................. 3-1
3.2
Sicherheitsfunktion..................................................................................................................... 3-1
3.3
Einstellungen.............................................................................................................................. 3-3
3.4
Verhalten bei Störungen ............................................................................................................ 3-4
3.5
Wartung/Überprüfung ................................................................................................................ 3-5
3.6
Sicherheitstechnische Kenndaten ............................................................................................. 3-5
Anhang ...................................................................................................................................................A-1
A.1
Literatur und Normen ................................................................................................................. A-1
A.2
SIL-Konformitätserklärung ......................................................................................................... A-2
A.3
Prüfbericht (Auszug) .................................................................................................................. A-3
Liste der Abkürzungen............................................................................................................................B-1
B.1
Abkürzungen .............................................................................................................................. B-1
Glossar ......................................................................................................................................... Glossar-1
Index................................................................................................................................................ Index-1
Produktinformation, 09/2006, A5E00442120-03
iii
Inhaltsverzeichnis
iv
1
Einleitung
1.1
Zweck dieser Dokumentation
Diese Dokumentation enthält Informationen und Sicherheitshinweise, die Sie für den Einsatz
des elektropneumatischen Stellungsreglers in sicherheitsbezogenen Systemen benötigen.
Sie richtet sich an Anlagenplaner, Errichter, Service- und Wartungstechniker sowie
Personen, die das Gerät in Betrieb nehmen.
1.2
Gültigkeitsbereich dieser Dokumentation
Dokumentation
Diese Dokumentation behandelt die Stellungsregler SIPART PS2 lediglich als Teil einer
Sicherheitsfunktion.
Die vorliegende Dokumentation gilt nur im Zusammenhang mit folgender Dokumentation und
ist gültig für Stellungsregler mit Firmware-Version C4, C5 oder 4.00.00 und höher:
1.3
Nr.
Name
Bestellnummer
/1/
Gerätehandbuch SIPART PS2
A5E00074630
/2/
Betriebsanleitung / Operating Instructions SIPART PS2
A5E00074600
Historie
In der folgenden Tabelle stehen die wichtigsten Änderungen der Dokumentation verglichen
mit der jeweils vorherigen Ausgabe:
Ausgabe
Bemerkung
06/2005
Erstausgabe
07/2005
Was hat sich geändert?
Sicherheitsrelevante Parameter
09/2006
Berücksichtigung der neuesten Firmware-Version 4.00.00
Kapitel 3.2 und 3.6: Hinweise zum Partial-Stroke-Test ergänzt
Anhang A2: Konformitätserklärung aktualisiert.
1-1
Einleitung
1.4 Weitere Informationen
1.4
Weitere Informationen
Informationen
Wir weisen darauf hin, dass der Inhalt der Anleitung nicht Teil einer früheren oder
bestehenden Vereinbarung, Zusage oder eines Rechtverhältnisses ist oder diese abändern
soll. Sämtliche Verpflichtungen der Siemens AG ergeben sich aus dem jeweiligen
Kaufvertrag, der auch die vollständige und allein gültige Gewährleistungsregelung enthält.
Diese vertraglichen Gewährleistungsbestimmungen werden durch die Ausführungen der
Anleitung weder erweitert noch beschränkt.
Der Inhalt spiegelt den technischen Stand zur Drucklegung wieder. Technische Änderungen
sind im Zuge der Weiterentwicklung vorbehalten.
Siemens-Niederlassungen
Wünschen Sie weitere Informationen oder treten besondere Probleme auf, die in der
Anleitung nicht ausführlich genug behandelt werden, können Sie die erforderliche Auskunft
über die örtliche Siemens-Niederlassung anfordern. Ihre örtliche Siemens-Niederlassung
finden Sie im Internet.
Produktinformation im Internet
Die Anleitung ist Bestandteil der mitgelieferten CD und ist im Internet auf der SiemensHomepage verfügbar. Auf der mitgelieferten CD finden Sie einen Auszug des Katalogs FI 01
"Feldgeräte für die Prozessautomatisierung" mit den aktuellen Bestelldaten. Der gesamte
Katalog FI 01 ist im Internet verfügbar.
Siehe auch
Siemens-Niederlassungen (https://www.siemens.com/processinstrumentation/contacts)
Produktinformation im Internet (http://www.siemens.com/sipartps2)
Anleitungen und Handbücher
(http://www.siemens.com/processinstrumentation/documentation)
Katalog FI 01 (https://www.siemens.com/fi01)
1-2
Allgemeine Sicherheitshinweise
2.1
2
Sicherheitsbezogenes System
Definition: Sicherheitsbezogenes System
Ein sicherheitsbezogenes System (SIS, Safety Instrumented System) führt die
Sicherheitsfunktionen aus, die erforderlich sind, um einen sicheren Zustand in einer Anlage
zu erreichen oder aufrechtzuerhalten. Es besteht aus Sensor, Logikeinheit/Leitsystem und
Aktor.
Beispiel:
Ein Druckmessumformer, ein Grenzsignalgeber und ein Stellventil bilden ein
sicherheitsbezogenes System.
Definition: Sicherheitsfunktion
Definierte Funktion, die von einem sicherheitsbezogenen System ausgeführt wird, mit dem
Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Zustand
für die Anlage zu erreichen oder aufrechtzuerhalten.
Beispiel:
Grenzdrucküberwachung
Definition: Gefahrbringender Ausfall
Ausfall mit dem Potenzial, das sicherheitsbezogene System in einen gefährlichen oder
sicherheitstechnisch funktionsunfähigen Zustand zu versetzen.
Beschreibung
Sensor, Logikeinheit/Leitsystem und Aktor bilden zusammen ein sicherheitsbezogenes
System, das eine Sicherheitsfunktion ausführt.
Hinweis
Diese Dokumentation behandelt die Stellungsregler SIPART PS2 lediglich als Teil einer
Sicherheitsfunktion.
2-1
2.2 Safety Integrity Level (SIL)
/HLWV\VWHP
636
$NWRU
9HQWLOPLW$QWULHEXQG
6WHOOXQJVUHJOHU
6HQVRU
0HVVXPIRUPHU
P$
Bild 2-1
SF
P$
6)P$
Beispiel für ein sicherheitsbezogenes System
Ausfallsignal
Funktionsweise
Der Messumformer erzeugt ein prozessbezogenes analoges Signal. Das nachgeschaltete
Leitsystem überwacht dieses Signal auf Überschreiten eines voreingestellten Grenzwerts. Im
Störfall erzeugt das Leitsystem ein Ausfallsignal von < 3,6 mA für den angeschlossenen
Stellungsregler, der das zugehörige Ventil in die vorgegebene Sicherheitsstellung bringt,
Stichwort "Dichtschließen".
2.2
Safety Integrity Level (SIL)
Definition: SIL
Die internationale Norm IEC 61508 definiert vier diskrete Safety Integrity Level (SIL) von
SIL 1 bis SIL 4. Jeder Level entspricht einem Wahrscheinlichkeitsbereich für das Versagen
einer Sicherheitsfunktion. Je höher der SIL des sicherheitsbezogenen Systems ist, desto
höher ist die Wahrscheinlichkeit, dass die geforderte Sicherheitsfunktion funktioniert.
Der erreichbare SIL wird durch folgende sicherheitstechnischen Kenndaten bestimmt:
● Mittlere Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im
Anforderungsfall (PFDAVG)
2-2
● Hardwarefehler-Toleranz (HFT)
● Anteil ungefährlicher Ausfälle (SFF)
Beschreibung
Die folgende Tabelle zeigt die Abhängigkeit des SIL von der "mittleren Wahrscheinlichkeit
gefahrbringender Ausfälle einer Sicherheitsfunktion des gesamten sicherheitsbezogenen
Systems" (PFDAVG). Dabei wird der "Low demand mode" betrachtet, d. h. die
Sicherheitsfunktion wird durchschnittlich maximal einmal im Jahr angefordert.
Tabelle 2-1
Safety Integrity Level
SIL
PFDAVG
4
≥ 10-5...< 10-4
3
≥ 10-4...< 10-3
2
≥ 10-3...< 10-2
1
≥ 10-2...< 10-1
Die "mittlere Wahrscheinlichkeit gefahrbringender Ausfälle des gesamten
sicherheitsbezogenen Systems" (PFDAVG) teilt sich üblicherweise auf die drei Teilsysteme
des folgenden Bildes auf.
6HQVRU
]%
'UXFN
7HPSHUDWXUXVZ
3)'$9*$QWHLO
Bild 2-2
/HLWV\VWHPE]Z
/RJLNHLQKHLW
]%
636
$NWRU
]%
9HQWLOPLW$QWULHE
XQG6WHOOXQJVUHJOHU
PFD-Aufteilung
Die folgende Tabelle zeigt den erreichbaren Safety Integrity Level (SIL) des gesamten
sicherheitsbezogenen Systems für Teilsysteme vom Typ B abhängig vom Anteil
ungefährlicher Ausfälle (SFF) und der Hardwarefehler-Toleranz (HFT). Teilsysteme vom
Typ B sind z. B. analoge Messumformer und Abschaltventile ohne komplexen Komponenten
wie z. B. Mikroprozessoren (siehe auch IEC 61508, Teil 2).
SFF
HFT
0
1 (0) 1)
2 (1) 1)
< 60%
Nicht zulässig
SIL 1
SIL 2
60 bis 90%
SIL 1
SIL 2
SIL 3
90 bis 99%
SIL 2
SIL 3
SIL 4
> 99%
SIL 3
SIL 4
SIL 4
1)
Nach IEC 61511-1, Abschnitt 11.4.4
2-3
Nach IEC 61511-1, Abschnitt 11.4.4 kann bei Sensoren und Aktoren mit komplexen
Komponenten die Hardwarefehler-Toleranz (HFT) um eins reduziert werden (Werte in
Klammern), wenn für das Gerät folgende Bedingungen zutreffen:
● Das Gerät ist betriebsbewährt.
● Der Anwender kann nur prozessbezogene Parameter konfigurieren, z. B. Stellbereich,
Signalrichtung im Fehlerfall, Grenzwerte usw.
● Die Konfigurationsebene der Firmware wird gegen unbefugte Bedienung gesperrt.
● Die Funktion hat einen geforderten SIL von weniger als 4.
Der Stellungsregler SIPART PS2 erfüllt diese Bedingungen.
Siehe auch
Sicherheitstechnische Kenndaten (Seite 3-5)
2-4
Gerätespezifische Sicherheitshinweise
3.1
3
Anwendungsbereich
Der Stellungsregler SIPART PS2 eignet sich auch zur Regelung an Armaturen, die den
besonderen Anforderungen der funktionalen Sicherheit bis SIL 2 nach IEC 61508 bzw.
IEC 61511-1 genügen. Hierfür stehen die Varianten 6DR501*, 6DR511*, 6DR521* und
6DR531* zur Verfügung.
Es handelt sich dabei um einfachwirkende, entlüftende Stellungsregler mit einem Eingang
von 4 bis 20 mA zum Anbau an pneumatischen Antrieben mit Federrückstellung.
Der Stellungsregler entlüftet auf Anforderung oder im Fehlerfall den Ventilantrieb, der damit
das Ventil in die vorgegebene Sicherheitsstellung bringt.
Diese Stellungsregler erfüllen folgende Anforderungen:
● Funktionale Sicherheit bis SIL 2 nach IEC 61508 bzw. IEC 61511-1, ab der FirmwareVersion C4
● Explosionsschutz bei den Varianten 6DR5***-*E***
● Elektromagnetische Verträglichkeit nach EN 61326/A1, Anhang A.1
3.2
Sicherheitsfunktion
Sicherheitsfunktion beim Stellungsregler
Die Sicherheitsfunktion beim Stellungsregler SIPART PS2 ist das Entlüften des
angeschlossenen Ventilantriebs. Durch die dort eingebaute Feder wird das Ventil in die
geforderte Sicherheitsstellung gebracht. Abhängig von der Wirkrichtung dieser Feder wird
das Ventil vollständig geöffnet oder geschlossen.
In der Gerätedokumentation wird diese Funktion auch als "Dichtschließen" bezeichnet.
Diese Sicherheitsfunktion kann ausgelöst werden durch:
● Ausfall der elektrischen Hilfsenergie
● Ausfall der pneumatischen Hilfsenergie
3-1
3.2 Sicherheitsfunktion
● Unterschreiten des Ausfallsignals 3,6 mA am Sollstrom-Eingang (Iw)
Hinweis
Partial Stroke Test
Läuft ein Partial-Stroke-Test, wird die Sicherheitsfunktion nur ausgelöst, wenn die
elektrische und pneumatische Hilfsenergie abgeschaltet wird. Die Sicherheitsfunktion
wird nicht ausgelöst durch einen Eingangsstrom kleiner als 3,6 mA.
Wenn der Ventilantrieb auf Anforderung oder im Fehlerfall nicht entlüftet werden kann, ist
der gefahrbringende Ausfall gegeben.
Warnung
Die verbindlichen Einstellungen und Bedingungen sind in den Kapiteln "Einstellungen" und
"Sicherheitstechnische Kenndaten" aufgeführt.
Zur Erfüllung der Sicherheitsfunktion sind diese Bedingungen unbedingt zu beachten.
Wenn die Sicherheitsfunktion ausgeführt wurde, müssen Sie sicherheitsbezogene Systeme
ohne selbstverriegelnde Funktion innerhalb der Mean Time To Repair (MTTR) in einen
überwachten oder anderweitig sicheren Zustand bringen. Die MTTR beträgt 8 Stunden.
Die berechnete Mean Time Between Failures (MTBF) für den Stellungsregler SIPART PS2
beträgt 90 Jahre. Die MTBF für die Grundelektronikbaugruppe beträgt nach SN29500
181 Jahre.
Die charakteristische Lebensdauer des Ventilblocks ist belastungsabhängig. Sie beträgt
durchschnittlich ca. 200 Millionen Schaltspiele für jedes der beiden Vorsteuerventile bei
symmetrischer Beanspruchung. Die tatsächlich aufgelaufene Anzahl der Schaltspiele kann
in der lokalen Anzeige oder über die HART-Kommunikation abgerufen werden
Verweis
Gerätehandbuch /1/ Kapitel 4.5 "Diagnose" Diagnosewerte 31=VENT1 und 32=VENT2
Siehe auch
Einstellungen (Seite 3-3)
Sicherheitstechnische Kenndaten (Seite 3-5)
3-2
3.3 Einstellungen
3.3
Einstellungen
Nach der Montage und Inbetriebnahme gemäß Gerätehandbuch sind folgende ParameterEinstellungen für die Sicherheitsfunktion einzustellen:
Sicherheitsrelevante Parameter
Parametername
Funktion
Parameterwert einstellen
Bedeutung
2.YAGL
Nenndrehwinkel der
Rückmeldungswelle
33° oder 90° passend zur
Einstellung des
Getriebeübersetzungsumschalters
Anpassung an mechanisch
eingestellten Hubbereich/
Drehwinkel
6.SCUR
Strombereich des
Sollwertes
4 MA
4...20 mA
7.SDIR
Sollwertrichtung
riSE
Steigend für Antriebe mit
Sicherheitsstellung unten/zu
(Ventil geschlossen)
FALL
Fallend für Antriebe mit
Sicherheitsstellung oben/auf
(Ventil offen)
linear
gleichprozentig
invers gleichprozentig
12.SFCT
Sollwertfunktion
Alle außer "FrEE"
•
•
•
39.YCLS
Stellgrößendichtschließen
do
Entlüften für Antriebe mit
Sicherheitsstellung unten/zu
(Ventil geschlossen)
uP
Entlüften für Antriebe mit
Sicherheitsstellung oben/auf
(Ventil offen)
Verweis
Gerätehandbuch /1/ Kapitel 2 "Aufbau und Arbeitsweise"
Kapitel 2.2 "Getriebeübersetzungsumschalter", Bild 2-1
Kapitel 2.2.3 "Zuordnung der Antriebsrichtungen", Bild 2-5
Gerätehandbuch /1/ Kapitel 3 "Betriebsvorbereitung"
Gerätehandbuch /1/ Kapitel 4 "Bedienung"
Schutz gegen Konfigurationsänderung
Nach der Parametrierung muss der Stellungsregler SIPART PS2 in den Automatikbetrieb
geschaltet werden. Anschließend montieren Sie den Gehäusedeckel, damit das Gerät gegen
ungewollte und unbefugte Veränderungen/Bedienung geschützt ist.
3-3
3.4 Verhalten bei Störungen
Der Stellungsregler SIPART PS2 ist mit einer zusätzlichen Schutzfunktion gegen
Konfigurationsänderungen ausgestattet:
1. Parametrieren Sie den Parameter 43.BIN1 = bLoc2.
2. Brücken Sie die Klemmen 9 und 10 des Binäreingang BE1.
In diesem Zustand ist die Bedienebene "Konfiguration" über Tasten und HARTKommunikation sowie der manuelle Betrieb blockiert.
Sicherheitsfunktion überprüfen
Um die korrekte sicherheitsrelevante Parametrierung zu überprüfen, legen Sie einen
Sollstrom von 3,6 mA an.
In diesem Zustand muss der Ventilantrieb das Ventil in die vorgesehene Sicherheitsstellung
bringen.
3.4
Verhalten bei Störungen
Störungsfall
Die Vorgehensweise im Störungsfall ist in der Betriebsanleitung des Geräts beschrieben.
Verweis
Betriebsanleitung /2/ Abschnitt 7.4 "Störungsbeseitigung"
Reparatur
Defekte Geräte sind mit Angabe der Störung und Ursache an die Reparaturabteilung
einzusenden. Bei Bestellung von Ersatzgeräten bitte die Seriennummer des Originalgeräts
angeben. Die Seriennummer finden Sie auf dem Typenschild.
Anschrift der zuständigen Reparaturstelle, Ansprechpartner, Ersatzteillisten usw. finden Sie
im Internet unter:
Verweis
www.siemens.com/automation/services&support
www.automation.siemens.com/partner
3-4
3.5 Wartung/Überprüfung
3.5
Wartung/Überprüfung
Funktion überprüfen
Wir empfehlen, die Funktionsfähigkeit des Stellungsreglers in regelmäßigen Zeitabständen
von einem Jahr zu überprüfen.
Überprüfen Sie mindestens Folgendes:
1. Schalten Sie den Sollwert 4 mA auf.
– Überprüfen Sie, ob das Ventil in die entsprechende Endlage fährt.
– Kontrollieren Sie die lokal angezeigten internen, digitalisierten Werte für Sollwert und
Position.
– Überprüfen Sie, ob das Ventil in die entsprechende Endlage fährt.
– Kontrollieren Sie die lokal angezeigten internen, digitalisierten Werte für Sollwert und
Position.
Sicherheit überprüfen
Prüfen Sie regelmäßig die Sicherheitsfunktion des gesamten Sicherheitskreises gemäß
IEC 61508/61511. Die Testintervalle werden u. a. bei der Berechnung jedes einzelnen
Sicherheitskreises einer Anlage (PFDAVG) bestimmt.
Am Stellungsregler SIPART PS2 sind insbesondere folgende Prüfungen durchzuführen:
1. Schalten Sie den Sollwert 3,6 mA auf.
– Überprüfen Sie, ob das Ventil in die Sicherheitsstellung fährt.
– Reduzieren Sie den Zuluftdruck (Pz) auf ein Drittel des maximalen Versorgungsdrucks
– Überprüfen Sie, ob das Ventil in die Sicherheitsstellung fährt.
3. Kontrollieren Sie die Siebe in den pneumatischen Anschlüssen auf Verschmutzung und
reinigen Sie sie gegebenenfalls.
3.6
Sicherheitstechnische Kenndaten
Die für den Systemeinsatz erforderlichen sicherheitstechnischen Kenndaten sind in der SILKonformitätserklärung (siehe "Anhang") aufgelistet. Diese Werte gelten unter den folgenden
Bedingungen:
● Der Stellungsregler wird nur in Anwendungen mit niedriger Anforderungsrate für die
Sicherheitsfunktion eingesetzt (low demand mode).
● Kommunikation mit dem HART-Protokoll wird nur verwendet für
– Die Gerätekonfiguration
– Das Auslesen von Diagnosewerten
3-5
3.6 Sicherheitstechnische Kenndaten
– Nicht jedoch für sicherheitstechnisch kritische Operationen. Insbesondere darf die
Trace-Funktion im sicherheitsbezogenen Betrieb nicht aktiviert werden.
● Die sicherheitsrelevanten Parameter/Einstellungen (siehe Kapitel "Einstellungen") wurden
vor dem sicherheitsbezogenen Betrieb über die lokale Bedienung oder über HARTKommunikation eingegeben und über die lokale Anzeige kontrolliert.
● Der Stellungsregler wird gegen ungewollte und unbefugte Veränderungen/Bedienung
gesperrt.
● Das Stellsignal 4 bis 20 mA für den Stellungsregler SIPART PS2 wird von einem sicheren
System generiert, welches mindestens SIL 2 erfüllt.
● Der angeschlossene Ventilantrieb muss einfachwirkend sein und durch Federkraft bei
folgenden Fällen das Ventil in die sichere Endlage bringen:
– Bei Druckausfall
– Bei einem Kammerdruck (Y1-Anschluss) bis zu ein Drittel des maximal verfügbaren
Zuluftdrucks (Pz-Anschluss)
● Der Abluftausgang enthält keine zusätzlichen Querschnittsverengungen, die zu einem
erhöhten Staudruck führen. Insbesondere ist ein Schalldämpfer nur dann erlaubt, wenn
Vereisung oder sonstige Verschmutzung ausgeschlossen sind.
● Die Drossel im Y1-Kreis darf im laufenden Betrieb nicht vollständig geschlossen werden.
● Die pneumatische Hilfsenergie ist frei von Öl, Wasser und Schmutz nach:
DIN/ISO 8573-1, maximal Klasse 2
● Die mittlere Temperatur über einen langen Zeitraum betrachtet beträgt 40°C.
● Die MTTR nach einem Gerätefehler beträgt 8 Stunden.
● Im Störungsfall wird der pneumatische Ausgang des Stellungsreglers entlüftet. Eine
Feder im pneumatischen Antrieb muss das Ventil in die vordefinierte, sichere Endlage
fahren.
● Ein gefahrbringender Ausfall des Stellungsreglers ist ein Ausfall, bei dem der
Druckausgang auf einen Eingangsstrom < 3,6 mA nicht entlüftet bzw. die
Sicherheitsstellung nicht erreicht wird.
● Läuft ein Partial-Stroke-Test, wird die Sicherheitsfunktion nur ausgelöst, wenn die
elektrische und pneumatische Hilfsenergie abgeschaltet wird. Die Sicherheitsfunktion
wird nicht ausgelöst durch einen Eingangsstrom kleiner als 3,6 mA. Der Partial-StrokeTest ist ab Firmware-Version 4.00.00 verfügbar.
Siehe auch
Einstellungen (Seite 3-3)
SIL-Konformitätserklärung (Seite A-2)
Prüfbericht (Auszug) (Seite A-3)
3-6
A
Anhang
A.1
Literatur und Normen
Nr
Norm
Beschreibung
/1/
IEC 61508
Funktionale Sicherheit folgender Systeme:
• Sicherheitsbezogen
• Elektrisch
• Elektronisch
• Programmierbar
Teil 1-7
Zielgruppe:
Hersteller und Lieferanten von Geräten
/2/
IEC 61511
Teil 1-3
Funktionale Sicherheit - Sicherheitstechnische Systeme für die
Prozessindustrie
Zielgruppe:
Planer, Errichter und Nutzer
A-1
Anhang
A.2 SIL-Konformitätserklärung
A.2
A-2
SIL-Konformitätserklärung
Anhang
A.3 Prüfbericht (Auszug)
A.3
Prüfbericht (Auszug)
FMEDA and Proven-in-use
Assessment
Project:
Electro-pneumatic Positioner SIPART PS2 –
single acting shut-down module
Customer:
SIEMENS AG, A&D PI TQ2
Karlsruhe
Germany
Contract No.: SIEMENS 04/12-06
Report No.: SIEMENS 04/12-06 R004
Version V1, Revision R1.0, April 2005
Stephan Aschenbrenner
The document was prepared using best effort. The authors make no warranty of any kind and shall not be liable in
any event for incidental or consequential damages in connection with the application of the document.
© All rights on the format of this technical report reserved.
A-3
Anhang
Management summary
This report summarizes the results of the hardware assessment with proven-in-use
consideration according to IEC 61508 / IEC 61511 carried out on the Electro-pneumatic
Positioner SIPART PS2 with software version C4 and C5. Table 1 gives an overview of the
different configurations that belong to the considered Electro-pneumatic Positioner SIPART
PS2.
The hardware assessment consists of a Failure Modes, Effects and Diagnostics Analysis
(FMEDA). A FMEDA is one of the steps taken to achieve functional safety assessment of a
device per IEC 61508. From the FMEDA, failure rates are determined and consequently the
Safe Failure Fraction (SFF) is calculated for the device. For full assessment purposes all
requirements of IEC 61508 must be considered.
Table 1: Configuration ov
erv iew
[Conf 1] 6DR501*_*E***_****
2-wire Ex (L250) without HART; single-acting
[Conf 2] 6DR501*_*N***_****
2-wire standard (L350) without HART; single-acting
6DR511*_*****_****
2-wire standard (L300) with HART; single-acting
[Conf 3] 6DR521*_*****_****
2-, 3-, 4-wire Ex (L200) with HART; single-acting
[Conf 4] 6DR531*_*****_****
2-, 3-, 4-wire standard (L220) without HART; single-acting
For safety applications only the 4..20 mA control input with the corresponding pressure output
was considered to work as a single-acting shut-down module ("tight closing bottom"). All other
possible input and output variants or electronics are not covered by this report.
The failure rates of the electronic components used in this analysis are the basic failure rates
from the Siemens standard SN 29500.
SIEMENS AG, A&D PI TQ2 and exida.com together did a quantitative analysis of the
mechanical parts of the Electro-pneumatic Positioner SIPART PS2 to calculate the mechanical
failure rates using different failure rate databases ([N6], [N7], [N8] and exid a ‘s experiencedbased data compilation) for the different mechanical components (see [D32] and [R6]). The
results of the quantitative analysis are included in the calculations described in sections 5.2 to
5.5.
According to table 2 of IEC 61508-1 the average PFD for systems operating in low demand
mode has to be 10-3 to < 10-2 for SIL 2 safety functions. A generally accepted distribution of
PFDAVG values of a SIF over the sensor part, logic solver part, and final element part assumes
that 50% of the total SIF PFDAVG value is caused by the final element. However, as the Electropneumatic Positioner SIPART PS2 is only one part of the final element it should not claim more
than 20% of the range. For a SIL 2 application the total PFDAVG value of the SIF should be
smaller than 1,00E-02, hence the maximum allowable PFDAVG value for the positioner would
then be 2,00E-03.
The Electro-pneumatic Positioner SIPART PS2 is considered to be a Type B1 component with a
hardware fault tolerance of 0.
Type B components with a SFF of 60% to < 90% must have a hardware fault tolerance of 1
according to table 3 of IEC 61508-2 for SIL 2 (sub-) systems.
1
Type B component:
© exida.com GmbH
A-4
“Complex” component (using micro controllers or programmable logic); for details
see 7.4.3.1.3 of IEC 61508-2.
siemens 04-12-06 r004 v1 r1.0.doc, April 11, 2005
Page 2 of 4
Anhang
As the Electro-pneumatic Positioner SIPART PS2 is supposed to be a proven-in-use device, an
assessment of the hardware with additional proven-in-use demonstration for the device and its
software was carried out. The proven-in-use investigation was based on field return data
collected and analyzed by SIEMENS AG, A&D PI TQ2. This data cannot cover the process
connection. The proven-in-use justification for the process connection still needs to be done by
the end-user.
According to the requirements of IEC 61511-1 First Edition 2003-01 section 11.4.4 and the
assessment described in section 5.1 the Type B Electro-pneumatic Positioner SIPART PS2 with
a hardware fault tolerance of 0 and a SFF of 60% to < 90% are considered to be suitable for
use in SIL 2 safety functions The decision on the usage of proven-in-use devices, however, is
always with the end-user.
The following tables show how the above stated requirements are fulfilled for the worst case
configuration listed in Table 1.
Table 2: Summary
for SIPART PS2 as single-acting shutdow
n module – Failure rates
Failure categor y
Failure rates (in FIT)
Fail Safe Detected
0
Fail Safe Undetected
919
Fail Dangerous Detected
4
Fail Dangerous Undetected
182
No Effect
93
Annunciation Undetected
1
Not part
76
MTBF = MTTF + MTTR
Table 3: Summary
sd
0 FIT
Table 4: Summary
90 years
su
1013 FIT
dd
4 FIT
n module – IEC 61508 failure rates
du
182 FIT
SFF
DC S
DC D
84%
0%
2%
n module – PF D AV G values
T[Proof] = 1 y ear
T[Proof] = 5 y ears
T[Proof] = 10 y ears
PF D AV G = 7,94E-0 4
PF D AV G = 3,96E-0 3
PF D AV G = 7,91E-0 3
The boxes marked in yellow (
) mean that the calculated PFDAVG values are within the
allowed range for SIL 2 according to table 2 of IEC 61508-1 but do not fulfill the requirement to
not claim more than 20% of this range, i.e. to be better than or equal to 2,00E-03. The boxes
marked in green ( ) mean that the calculated PFDAVG values are within the allowed range for
SIL 2 according to table 2 of IEC 61508-1 and table 3.1 of ANSI/ISA–84.01–1996 and do fulfill
the requirement to not claim more than 20% of this range, i.e. to be better than or equal to
2,00E-03.
© exida.com GmbH
Page 3 of 4
A-5
Anhang
The assessment has shown that the Electro-pneumatic
Positioner SIPART PS2 when
used as a single-acting shut-down module ("tight closing bottom") has a PF D AV G within
the allowed range for SIL 2 according to table 2 of IEC 61508-1 and table 3.1 of ANSI/ISA–
84.01–1996 and a Safe Failure Fraction (SFF) of more than 84%. Based on the verification
of "proven-in-use"
according to IEC 61508 and its direct relationship to “prior-use” of
IEC 61511-1 it can be used as a single device for SIL2 Safety Functions in terms of
IEC 61511-1 First Edition 2003-01.
The failure rates listed above do not include failures resulting from incorrect use of the Electropneumatic Positioner SIPART PS2, in particular humidity entering through incompletely closed
housings or inadequate cable feeding through the inlets.
The listed failure rates are valid for operating stress conditions typical of an industrial field
environment similar to IEC 60654-1 class Dx (outdoor location) with an average temperature
over a long period of time of 40ºC. For a higher average temperature of 60°C, the failure rates
should be multiplied with an experience based factor of 2,5. A similar multiplier should be used
if frequent temperature fluctuation must be assumed.
A user of the Electro-pneumatic Positioner SIPART PS2 can utilize these failure rates in a
probabilistic model of a safety instrumented function (SIF) to determine suitability in part for
safety instrumented system (SIS) usage in a particular safety integrity level (SIL). A full table of
failure rates for different operating conditions is presented in section 5.2 to 5.5 along with all
assumptions.
It is important to realize that the “no effect” failures and the “annunciation” failures are included
in the “safe undetected” failure category according to IEC 61508. Note that these failures on its
own will not affect system reliability or safety, and should not be included in spurious trip
calculations.
© exida.com GmbH
A-6
Page 4 of 4
B
B.1
Abkürzungen
Abkürzung
Ausgeschrieben in Englisch
Bedeutung
HFT
Hardware Fault Tolerance
Hardwarefehler-Toleranz:
Fähigkeit einer Funktionseinheit, eine geforderte Funktion bei
Bestehen von Fehlern oder Abweichungen weiter auszuführen.
MTBF
Mean Time Between Failures
Mittlere Zeitdauer zwischen zwei Ausfällen
MTTR
Mean Time To Repair
Mittlere Zeitdauer zwischen dem Auftreten eines Fehlers in
einem Gerät oder System und der Reparatur
PFD
Probability of Failure on Demand
Wahrscheinlichkeit gefahrbringender Ausfälle einer
Sicherheitsfunktion im Anforderungsfall
PFDAVG
Average Probability of Failure on
Demand
Mittlere Wahrscheinlichkeit gefahrbringender Ausfälle einer
Sicherheitsfunktion im Anforderungsfall
SFF
Safe Failure Fraction
Anteil ungefährlicher Ausfälle:
Anteil von Ausfällen ohne Potenzial, das sicherheitsbezogene
System in einen gefährlichen oder unzulässigen
Funktionszustand zu versetzen.
SIL
Die internationale Norm IEC 61508 definiert vier diskrete Safety
Integrity Level (SIL 1 bis SIL 4). Jeder Level entspricht einem
Wahrscheinlichkeitsbereich für das Versagen einer
Sicherheitsfunktion. Je höher der Safety Integrity Level des
sicherheitsbezogenen Systems ist, um so geringer ist die
Wahrscheinlichkeit, dass es die geforderten
Sicherheitsfunktionen nicht ausführt.
SIS
Safety Instrumented System
Ein sicherheitsbezogenes System (SIS) führt die
Sicherheitsfunktionen aus, die erforderlich sind, um einen
sicheren Zustand in einer Anlage zu erreichen oder
aufrechtzuerhalten. Es besteht aus Sensor,
Logikeinheit/Leitsystem und Aktor.
FIT
Failure In Time
Ausfallhäufigkeit
Anzahl der Fehler innerhalb 109 Stunden
TI
Test Interval
Prüfintervall der Schutzfunktion
XooY
"X out of Y" Voting
Klassifizierung und Beschreibung des sicherheitsbezogenen
Systems hinsichtlich Redundanz und angewandtem
Auswahlverfahren.
"Y"
Gibt an, wie oft die Sicherheitsfunktion ausgeführt wird
(Redundanz).
"X"
Bestimmt, wieviele Kanäle korrekt arbeiten müssen.
B-1
B.1 Abkürzungen
Abkürzung
Ausgeschrieben in Englisch
Bedeutung
Beispiel:
Druckmessung: 1oo2-Architektur. Ein sicherheitsbezogenes
System entscheidet, dass eine vorgegebene Druckgrenze
überschritten ist, wenn einer von zwei Drucksensoren diese
Grenze erreicht. Bei einer 1oo1-Architektur ist nur ein
Drucksensor vorhanden.
B-2
Glossar
Gefahrbringender Ausfall
Ausfall mit dem Potenzial, das sicherheitsbezogene System in einen gefährlichen oder
sicherheitstechnisch funktionsunfähigen Zustand zu versetzen.
→ SIL
Sicherheitsbezogenes System
Ein sicherheitsbezogenes System (SIS, Safety Instrumented System) führt die
Sicherheitsfunktionen aus, die erforderlich sind, um einen sicheren Zustand in einer Anlage
zu erreichen oder aufrechtzuerhalten. Es besteht aus Sensor, Logikeinheit/Leitsystem und
Aktor.
Beispiel:
Ein Druckmessumformer, ein Grenzsignalgeber und ein Stellventil bilden ein
sicherheitsbezogenes System.
Sicherheitsfunktion
Definierte Funktion, die von einem sicherheitsbezogenen System ausgeführt wird, mit dem
Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Zustand
für die Anlage zu erreichen oder aufrechtzuerhalten.
Beispiel:
Grenzdrucküberwachung
SIL
Die internationale Norm IEC 61508 definiert vier diskrete Safety Integrity Level (SIL) von
SIL 1 bis SIL 4. Jeder Level entspricht einem Wahrscheinlichkeitsbereich für das Versagen
einer Sicherheitsfunktion. Je höher der SIL des sicherheitsbezogenen Systems ist, desto
höher ist die Wahrscheinlichkeit, dass die geforderte Sicherheitsfunktion funktioniert.
Der erreichbare SIL wird durch folgende sicherheitstechnischen Kenndaten bestimmt:
● Mittlere Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im
Anforderungsfall (PFDAVG)
● Hardwarefehler-Toleranz (HFT)
● Anteil ungefährlicher Ausfälle (SFF)
Glossar-1
Glossar
Glossar-2
Index
D
Dichtschließen, 3-1
Dokumentation
vorauszusetzende, 1-1
E
Einstellungen, 3-2
I
Internetlink
Anleitungen und Handbücher, 1-2
Katalog FI 01, 1-2
Produktinformation, 1-2
Siemens-Niederlassungen, 1-2
Produktinformation im Internet, 1-2
Pz, 3-5
S
Sicherheitsfunktion, 3-1, 3-4
überprüfen, 3-4
sicherheitsrelevante
Parameter, 3-2
Siemens-Niederlassung, 1-2
Störung, 3-4
System
Sicherheitsbezogen, 2-1
U
Überprüfung, 3-4
W
K
Kenndaten
sicherheitstechnisch, 3-5
Wartung, 3-4
Weitere Information, 1-2
Y
P
Y1, 3-5
Parameter
sicherheitsrelevante, 3-2
Index-1
Index
Index-2

Funktionale Sicherheit für SIPART PS2

Transcrição

Documentos relacionados

CCF - Common Cause Failure Management Maßnahmen zur

PilotBoard Multimedia Keyboard USB/PS2

MOLYDUVAL Silikon G Spray

zh_6-05 final.indd

Silicon-Entferner

XS508B1PAL2

Funktionale Sicherheit für SIPART PS2 FF

Busnetz Germersheim

Technische Daten Seilzugschalter

Produktinformation Product Information Blowing Sand gemäß MIL

Repertorium der Impfschäden nach Yves Laborde

SIPART PS2 mit und ohne HART