Elektropneumatischer Stellungsregler SIPART PS2 PA und SIPART PS2 FF SIL-Sicherheitshandbuch (PA/FF)
Größe: px
Ab Seite anzeigen:

Download "Elektropneumatischer Stellungsregler SIPART PS2 PA und SIPART PS2 FF SIL-Sicherheitshandbuch (PA/FF)"

Transkript

1 Einleitung 1 Allgemeine Sicherheitshinweise 2 Elektropneumatischer Stellungsregler SIPART PS2 PA und SIPART PS2 FF Gerätespezifische Sicherheitshinweise 3 Anhang Liste der Abkürzungen A B Ergänzungen zum Gerätehandbuch 6DR551x 6DR561x 09/2005 A5E

2 Sicherheitshinweise Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. Gefahr bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Warnung bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Vorsicht mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Vorsicht ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Achtung Qualifiziertes Personal bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Das zugehörige Gerät/System darf nur in Verbindung mit dieser Dokumentation eingerichtet und betrieben werden. Inbetriebsetzung und Betrieb eines Gerätes/Systems dürfen nur von qualifiziertem Personal vorgenommen werden. Qualifiziertes Personal im Sinne der sicherheitstechnischen Hinweise dieser Dokumentation sind Personen, die die Berechtigung haben, Geräte, Systeme und Stromkreise gemäß den Standards der Sicherheitstechnik in Betrieb zu nehmen, zu erden und zu kennzeichnen. Bestimmungsgemäßer Gebrauch Beachten Sie folgendes: Warnung Das Gerät darf nur für die im Katalog und in der technischen Beschreibung vorgesehenen Einsatzfälle und nur in Verbindung mit von Siemens empfohlenen bzw. zugelassenen Fremdgeräten und -komponenten verwendet werden. Der einwandfreie und sichere Betrieb des Produktes setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung und Montage sowie sorgfältige Bedienung und Instandhaltung voraus. Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Automation and Drives Postfach NÜRNBERG DEUTSCHLAND Dokumentbestell-Nr. A5E Ausgabe 09/2005 Copyright Siemens AG Änderungen vorbehalten

3 Inhaltsverzeichnis 1 Einleitung Zweck dieser Dokumentation Gültigkeitsbereich dieser Dokumentation Historie Weitere Informationen Allgemeine Sicherheitshinweise Sicherheitsbezogenes System Safety Integrity Level (SIL) Gerätespezifische Sicherheitshinweise Anwendungsbereich Sicherheitsfunktion Einstellungen Verhalten bei Störungen Wartung/Überprüfung Sicherheitstechnische Kenndaten A Anhang...A-1 A.1 SIL-Konformitätserklärung...A-2 A.2 Prüfbericht (Auszug)...A-3 A.3 Literatur und Normen...A-7 B Liste der Abkürzungen...B-1 B.1 Abkürzungen...B-1 Glossar...Glossar-1 Index... Index-1 Tabellen Tabelle 2-1 Safety Integrity Level Ergänzungen zum Gerätehandbuch, 09/2005, A5E iii

4 Inhaltsverzeichnis iv Ergänzungen zum Gerätehandbuch, 09/2005, A5E

5 Einleitung Zweck dieser Dokumentation Diese Dokumentation enthält Informationen und Sicherheitshinweise, die Sie für den Einsatz des elektropneumatischen Stellungsreglers in sicherheitsbezogenen Systemen benötigen. Sie richtet sich an Anlagenplaner, Errichter, Service- und Wartungstechniker sowie Personen, die das Gerät in Betrieb nehmen. 1.2 Gültigkeitsbereich dieser Dokumentation Dokumentation Diese Dokumentation behandelt die Stellungsregler SIPART PS2 PA/FF lediglich als Teil einer Sicherheitsfunktion. Die vorliegende Dokumentation gilt nur im Zusammenhang mit folgender: Nr. Name Bestellnummer /1/ SIPART PS2 PA Gerätehandbuch 6DR55xx A5E /2/ SIPART PS2 FF Gerätehandbuch 6DR56xx A5E Historie In der folgenden Tabelle stehen die wichtigsten Änderungen der Dokumentation verglichen mit der jeweils vorherigen Ausgabe: Ausgabe 01 09/2005 Bemerkung Erstausgabe Ergänzungen zum Gerätehandbuch, 09/2005, A5E

6 Einleitung 1.4 Weitere Informationen 1.4 Weitere Informationen Informationen Wir weisen darauf hin, dass der Inhalt der Anleitung nicht Teil einer früheren oder bestehenden Vereinbarung, Zusage oder eines Rechtverhältnisses ist oder diese abändern soll. Sämtliche Verpflichtungen der Siemens AG ergeben sich aus dem jeweiligen Kaufvertrag, der auch die vollständige und allein gültige Gewährleistungsregelung enthält. Diese vertraglichen Gewährleistungsbestimmungen werden durch die Ausführungen der Anleitung weder erweitert noch beschränkt. Der Inhalt spiegelt den technischen Stand zur Drucklegung wieder. Technische Änderungen sind im Zuge der Weiterentwicklung vorbehalten. Einordnung in die Informationslandschaft Die Anleitung ist Bestandteil der mitgelieferten CD "sipart ps2 POSITIONERS" (Bestellnummer A5E ). Weiterführende Dokumentationen finden Sie auf der mitgelieferten CD und im Internet unter: Klicken Sie unter "More Info" auf "-> Anleitungen und Handbücher". Auf der mitgelieferten CD finden Sie einen Auszug des Katalogs FI 01 "Feldgeräte für die Prozessautomatisierung" mit den aktuellen Bestelldaten. Der gesamte Katalog FI 01 ist ebenfalls unter der angegebenen Internetadresse verfügbar. Verweise Falls es Verweise auf weitere Informationen zu einem beschriebenen Aspekt gibt, so finden Sie diese immer am Ende eines Kapitels unter "Siehe auch". 1-2 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

7 Allgemeine Sicherheitshinweise Sicherheitsbezogenes System Definition: Sicherheitsbezogenes System Ein sicherheitsbezogenes System (SIS, Safety Instrumented System) führt die Sicherheitsfunktionen aus, die erforderlich sind, um einen sicheren Zustand in einer Anlage zu erreichen oder aufrechtzuerhalten. Es besteht aus Sensor, Logikeinheit/Leitsystem und Aktor. Beispiel: Ein Druckmessumformer, ein Grenzsignalgeber und ein Stellventil bilden ein sicherheitsbezogenes System. Definition: Sicherheitsfunktion Definierte Funktion, die von einem sicherheitsbezogenen System ausgeführt wird, mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Zustand für die Anlage zu erreichen oder aufrechtzuerhalten. Beispiel: Grenzdrucküberwachung Definition: Gefahrbringender Ausfall Ausfall mit dem Potenzial, das sicherheitsbezogene System in einen gefährlichen oder sicherheitstechnisch funktionsunfähigen Zustand zu versetzen. Beschreibung Sensor, Logikeinheit/Leitsystem und Aktor bilden zusammen ein sicherheitsbezogenes System, das eine Sicherheitsfunktion ausführt. Hinweis Diese Dokumentation behandelt die Stellungsregler SIPART PS2 lediglich als Teil einer Sicherheitsfunktion. Ergänzungen zum Gerätehandbuch, 09/2005, A5E

8 Allgemeine Sicherheitshinweise 2.2 Safety Integrity Level (SIL) Bild 2-1 Beispiel für ein sicherheitsbezogenes System (SIS) Funktionsweise Der Messumformer erzeugt einen prozessbezogenen Messwert. Die speicherprogrammierbare Steuerung (SPS) überwacht diesen Wert auf Überschreiten eines voreingestellten Grenzwerts. Im Störfall erzeugt die SPS ein Abschaltsignal für den angeschlossenen Stellungsregler. Der Stellungsregler bringt das zugehörige Ventil in die vorgegebene Sicherheitsstellung. Die Kommunikation mit dem Stellungsregler über PROFIBUS PA oder FOUNDATION Fieldbus bleibt ohne Einschränkung erhalten, d. h. Stellungs- und Statusrückmeldung sind weiterhin möglich. 2.2 Safety Integrity Level (SIL) Definition: SIL Die internationale Norm IEC definiert vier diskrete Safety Integrity Level (SIL) von SIL 1 bis SIL 4. Jeder Level entspricht einem Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion. Je höher der SIL des sicherheitsbezogenen Systems ist, desto höher ist die Wahrscheinlichkeit, dass die geforderte Sicherheitsfunktion funktioniert. 2-2 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

9 Allgemeine Sicherheitshinweise 2.2 Safety Integrity Level (SIL) Der erreichbare SIL wird durch folgende sicherheitstechnischen Kenndaten bestimmt: Mittlere Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im Anforderungsfall (PFDAVG) Hardwarefehler-Toleranz (HFT) Anteil ungefährlicher Ausfälle (SFF) Beschreibung Die folgende Tabelle zeigt die Abhängigkeit des SIL von der mittleren Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion des gesamten sicherheitsbezogenen Systems" (PFDAVG). Dabei wird der "Low demand mode" betrachtet, d. h. die Sicherheitsfunktion wird durchschnittlich maximal einmal im Jahr angefordert. Tabelle 2-1 Safety Integrity Level SIL PFDAVG < < < < 10-1 Die "mittlere Wahrscheinlichkeit gefahrbringender Ausfälle des gesamten sicherheitsbezogenen Systems" (PFDAVG) teilt sich üblicherweise auf die drei Teilsysteme des folgenden Bildes auf. Bild 2-2 PFD-Aufteilung Die folgende Tabelle zeigt den erreichbaren Safety Integrity Level (SIL) des gesamten sicherheitsbezogenen Systems für Teilsysteme vom Typ A abhängig vom Anteil ungefährlicher Ausfälle (SFF) und der Hardwarefehler-Toleranz (HFT). Teilsysteme vom Typ A sind z. B. analoge Messumformer und Abschaltventile ohne komplexe Komponente wie z. B. Mikroprozessoren (siehe auch IEC 61508, Teil 2). SFF HFT (für Teilsysteme Typ A) < 60% SIL 1 SIL 2 SIL 3 60 bis 90% SIL 2 SIL 3 SIL 4 90 bis 99% SIL 3 SIL 4 SIL 4 > 99% SIL 3 SIL 4 SIL 4 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

10 Allgemeine Sicherheitshinweise 2.2 Safety Integrity Level (SIL) Siehe auch Sicherheitstechnische Kenndaten (Seite 3-4) 2-4 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

11 Gerätespezifische Sicherheitshinweise Anwendungsbereich Der Stellungsregler SIPART PS2 eignet sich auch zur Regelung an Armaturen, die den besonderen Anforderungen der funktionalen Sicherheit bis SIL 2 nach IEC bzw. IEC genügen. Für Anwendungen mit PROFIBUS PA stehen die Geräteausführungen SIPART PS2 PA (6DR551*) und für FOUNDATION Fieldbus die Geräteausführungen SIPART PS2 FF (6DR561*) zur Verfügung Es handelt sich dabei um einfachwirkende, entlüftende Stellungsregler zum Anbau an pneumatischen Antrieben mit Federrückstellung. Der Stellungsregler entlüftet den Ventilantrieb im Fehlerfall oder auf Anforderung über den gesonderten Eingang für die Sicherheitsabschaltung. Der Ventilantrieb bringt damit das Ventil in die vorgegebene Sicherheitsstellung. Mit Ausnahme der Regelung bleiben alle sonstigen Gerätefunktionen einschließlich Stellungs- und Statusrückmeldung und die Kommunikation über PROFIBUS PA oder FOUNDATION Fieldbus ohne Einschränkung erhalten. Diese Stellungsregler erfüllen folgende Anforderungen: Funktionale Sicherheit bis SIL 2 nach IEC bzw. IEC , in der Funktion der Sicherheitsabschaltung Explosionsschutz bei den Varianten 6DR5***-*E*** Elektromagnetische Verträglichkeit nach EN 61326/A1, Anhang A Sicherheitsfunktion Sicherheitsfunktion beim Stellungsregler Die Sicherheitsfunktion beim Stellungsregler SIPART PS2 PA und SIPART PS2 FF ist das Entlüften des angeschlossenen Ventilantriebs. Durch die dort eingebaute Feder wird das Ventil in die geforderte Sicherheitsstellung gebracht, Stichwort "Dichtschließen". Abhängig von der Wirkrichtung dieser Feder wird das Ventil vollständig geöffnet oder geschlossen. Die Sicherheitsfunktion wird ausgelöst durch: Signal <4,5 V am Eingang für die Sicherheitsabschaltung (Klemmen 81 und 82). In der Gerätedokumentation wird diese Funktion ebenfalls als "Sicherheitsabschaltung" bezeichnet. Ausfall der elektrischen Hilfsenergie über den PROFIBUS PA- oder den FOUNDATION Fieldbus-Anschluss Ausfall der pneumatischen Hilfsenergie Ergänzungen zum Gerätehandbuch, 09/2005, A5E

12 Gerätespezifische Sicherheitshinweise 3.3 Einstellungen Die Sicherheitsfunktion wird durch die weiteren Gerätefunktionen, insbesondere durch Mikrocontroller, Software und Kommunikationsschnittstelle nicht beeinflusst. Deshalb sind die Stellungsregler SIPART PS2 PA und SIPART PS2 FF bezüglich dieser Sicherheitsfunktion nach EN als Teilsystem vom Typ A zu betrachten. Wenn der Ventilantrieb auf Anforderung oder im Fehlerfall nicht entlüftet werden kann, ist der gefahrbringende Ausfall gegeben. Warnung Die verbindlichen Einstellungen und Bedingungen sind in den Kapiteln "Einstellungen" und "Sicherheitstechnische Kenndaten" aufgeführt. Zur Erfüllung der Sicherheitsfunktion sind diese Bedingungen unbedingt zu beachten. Wenn die Sicherheitsfunktion ausgeführt wurde, müssen Sie sicherheitsbezogene Systeme ohne selbstverriegelnde Funktion innerhalb der Mean Time To Repair (MTTR) in einen überwachten oder anderweitig sicheren Zustand bringen. Die MTTR beträgt 8 Stunden. Die berechnete Mean Time Between Failures (MTBF) für die Stellungsregler SIPART PS2 PA und SIPART PS2 FF beträgt 73 Jahre. Die MTBF für die Grundelektronikbaugruppe beträgt 187 Jahre nach SN Die charakteristische Lebensdauer des Ventilblocks ist belastungsabhängig. Sie beträgt durchschnittlich ca. 200 Millionen Schaltspiele für jedes der beiden Vorsteuerventile bei symmetrischer Beanspruchung. Die tatsächlich aufgelaufene Anzahl der Schaltspiele kann in der lokalen Anzeige oder über die PROFIBUS PA- bzw. FOUNDATION Fieldbus- Kommunikation abgerufen werden Verweis Gerätehandbuch /1/, /2/ Kapitel 4.5 "Diagnose" Diagnosewerte 31=VENT1 und 32=VENT2 Siehe auch Einstellungen (Seite 3-2) Sicherheitstechnische Kenndaten (Seite 3-4) 3.3 Einstellungen Für die Sicherheitsfunktion muss die Kodierbrücke auf der Grundelektronik unbedingt auf die linke Position in Richtung zu den Klemmen ("Safe Pos.") gesteckt oder ganz entfernt werden. Spezielle Parametereinstellungen sind nicht erforderlich. Verweis Gerätehandbuch /1/, /2/ Kapitel 3.4 "Elektrischer Anschluss" 3-2 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

13 Gerätespezifische Sicherheitshinweise 3.4 Verhalten bei Störungen Schutz gegen Konfigurationsänderung Montieren Sie den Gehäusedeckel, damit das Gerät gegen ungewollte und unbefugte Veränderungen/Bedienung geschützt ist. Sicherheitsfunktion überprüfen Um die Sicherheitsfunktion zu überprüfen, gehen Sie folgendermaßen vor: Stellen Sie über die lokale Bedienung (Handbetrieb) oder über PROFIBUS PA- oder FOUNDATION Fieldbus-Kommunikation den Sollwert auf 50 % ein. Legen Sie am Eingang für die Sicherheitsabschaltung ein LOW-Signal an, d. h. einen Spannungswert <4,5 V Überprüfen Sie, ob das Ventil in die vorgesehene Sicherheitsstellung fährt. 3.4 Verhalten bei Störungen Störungsfall Die Vorgehensweise im Störungsfall ist im Gerätehandbuch beschrieben. Verweis Gerätehandbuch /1/, /2/ Kapitel 4.8 "Störungsbeseitigung" Reparatur Defekte Geräte sind mit Angabe der Störung und Ursache an die Reparaturabteilung einzusenden. Bei Bestellung von Ersatzgeräten bitte die Seriennummer des Originalgeräts angeben. Die Seriennummer finden Sie auf dem Typenschild. Anschrift der zuständigen Reparaturstelle, Ansprechpartner, Ersatzteillisten usw. finden Sie im Internet unter: Verweis Wartung/Überprüfung Funktion überprüfen Wir empfehlen, die Funktionsfähigkeit des Stellungsreglers in regelmäßigen Zeitabständen von einem Jahr zu überprüfen. Ergänzungen zum Gerätehandbuch, 09/2005, A5E

14 Gerätespezifische Sicherheitshinweise 3.6 Sicherheitstechnische Kenndaten Sicherheit überprüfen Prüfen Sie regelmäßig die Sicherheitsfunktion des gesamten Sicherheitskreises gemäß IEC 61508/ Die Testintervalle werden u. a. bei der Berechnung jedes einzelnen Sicherheitskreises einer Anlage (PFDAVG) bestimmt. An den Stellungsreglern SIPART PS2 PA und SIPART PS2 FF sind insbesondere folgende Prüfungen durchzuführen: 1. Prüfung der Sicherheitsabschaltung Legen Sie am Eingang für die Sicherheitsabschaltung ein LOW-Signal an, d. h. einen Spannungswert <4,5 V. Überprüfen Sie, ob das Ventil in die Sicherheitsstellung fährt. 2. Prüfung des Antriebsverhalten Legen Sie am Eingang für die Sicherheitsabschaltung ein HIGH-Signal an, d. h. einen Spannungswert >13 V Stellen Sie über die lokale Bedienung (Handbetrieb) oder über die PROFIBUS PAoder FOUNDATION Fieldbus-Kommunikation den Sollwert 50 % ein. Reduzieren Sie den Zuluftdruck (Pz) auf ein Drittel des maximalen Versorgungsdrucks Überprüfen Sie, ob das Ventil in die Sicherheitsstellung fährt. 3. Kontrollieren Sie die Siebe in den pneumatischen Anschlüssen auf Verschmutzung und reinigen Sie sie gegebenenfalls. 3.6 Sicherheitstechnische Kenndaten Die für den Systemeinsatz erforderlichen sicherheitstechnischen Kenndaten sind in der SIL- Konformitätserklärung (siehe "Anhang A") aufgelistet. Diese Werte gelten unter den folgenden Bedingungen: Der Stellungsregler wird nur in Anwendungen mit niedriger Anforderungsrate für die Sicherheitsfunktion eingesetzt (low demand mode). Die Kodierbrücke auf der Grundelektronik wurde auf die linke Position in Richtung zu den Klemmen ("Safe Pos.") gesteckt oder ganz entfernt. Der Stellungsregler wird gegen ungewollte und unbefugte Veränderungen/Bedienung gesperrt. Das Abschaltsignal für die Stellungsregler SIPART PS2 PA und SIPART PS2 FF am Eingang für die Sicherheitsabschaltung (Klemmen 81 und 82) wird von einem sicheren System generiert, welches mindestens SIL 2 erfüllt. Der LOW-Pegel beträgt maximal 4,5 V an den Eingangsklemmen. Der angeschlossene Ventilantrieb muss einfachwirkend sein und durch Federkraft bei folgenden Fällen das Ventil in die sichere Endlage bringen: Bei Druckausfall Bei einem Kammerdruck (Y1-Anschluss) bis zu ein Drittel des maximal verfügbaren Zuluftdrucks (Pz-Anschluss) Der Abluftausgang enthält keine zusätzlichen Querschnittsverengungen, die zu einem erhöhten Staudruck führen. Insbesondere ist ein Schalldämpfer nur dann erlaubt, wenn Vereisung oder sonstige Verschmutzung ausgeschlossen sind. 3-4 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

15 Gerätespezifische Sicherheitshinweise 3.6 Sicherheitstechnische Kenndaten Die Drossel im Y1-Kreis darf im laufenden Betrieb nicht vollständig geschlossen werden. Die pneumatische Hilfsenergie ist frei von Öl, Wasser und Schmutz nach: DIN/ISO , maximal Klasse 2 Die mittlere Temperatur über einen langen Zeitraum betrachtet beträgt 40 C. Die MTTR nach einem Gerätefehler beträgt 8 Stunden. Im Störungsfall wird der pneumatische Ausgang des Stellungsreglers entlüftet. Eine Feder im pneumatischen Antrieb muss das Ventil in die vordefinierte, sichere Endlage fahren. Ein gefahrbringender Ausfall des Stellungsreglers ist ein Ausfall, bei dem der Druckausgang bei einem LOW-Signal <4,5 V am Eingang für die Sicherheitsabschaltung nicht entlüftet bzw. die Sicherheitsstellung nicht erreicht wird. Siehe auch Einstellungen (Seite 3-2) SIL-Konformitätserklärung (Seite A-2) Ergänzungen zum Gerätehandbuch, 09/2005, A5E

16 Gerätespezifische Sicherheitshinweise 3.6 Sicherheitstechnische Kenndaten 3-6 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

17 Anhang A Ergänzungen zum Gerätehandbuch, 09/2005, A5E A-1

18 Anhang A.1 SIL-Konformitätserklärung A.1 SIL-Konformitätserklärung A-2 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

19 Anhang A.2 Prüfbericht (Auszug) A.2 Prüfbericht (Auszug) FMEDA and Proven-in-use Assessment Project: Electro-pneumatic Positioner SIPART PS2 PA / FF single acting shut-down module using shut-down input (terminal 81/82) Customer: SIEMENS AG, A&D PI TQ2 Karlsruhe Germany Contract No.: SIEMENS 05/01-04 Report No.: SIEMENS 05/01-04 R014 Version V1, Revision R1.0, August 2005 Stephan Aschenbrenner The document was prepared using best effort. The authors make no warranty of any kind and shall not be liable in any event for incidental or consequential damages in connection with the application of the document. All rights on the format of this technical report reserved. Ergänzungen zum Gerätehandbuch, 09/2005, A5E A-3

20 Anhang A.2 Prüfbericht (Auszug) Management summary This report summarizes the results of the hardware assessment with proven-in-use consideration according to IEC / IEC carried out on the Electro-pneumatic Positioner SIPART PS2 PA / FF. Table 1 gives an overview of the different configurations that belong to the considered Electro-pneumatic Positioner SIPART PS2 PA / FF. The hardware assessment consists of a Failure Modes, Effects and Diagnostics Analysis (FMEDA). A FMEDA is one of the steps taken to achieve functional safety assessment of a device per IEC From the FMEDA, failure rates are determined and consequently the Safe Failure Fraction (SFF) is calculated for the device. For full assessment purposes all requirements of IEC must be considered. Table 1: Configuration overview [Conf 1] 6DR551*_*E***_**** [Conf 2] 6DR551*_*N***_**** [Conf 3] 6DR561*_*E***_**** [Conf 4] 6DR561*_*N***_**** PROFIBUS PA EEx; single-acting PROFIBUS PA Standard; single-acting FF EEx; single-acting FF Standard; single-acting For safety applications only the shut-down input (terminal 81/82) with the corresponding pressure output was considered to work as a single-acting shut-down module ("tight closing"). All other possible input and output variants or electronics are not covered by this report. The failure rates of the electronic components used in this analysis are the basic failure rates from the Siemens standard SN SIEMENS AG, A&D PI TQ2 and exida.com together did a quantitative analysis of the mechanical parts of the Electro-pneumatic Positioner SIPART PS2 to calculate the mechanical failure rates using different failure rate databases ([N6], [N7], [N8] and exida s experiencedbased data compilation) for the different mechanical components (see [D17] and [R3]). The results of the quantitative analysis are included in the calculations described in sections 5.2 and 5.3. According to table 2 of IEC the average PFD for systems operating in low demand mode has to be 10-3 to < 10-2 for SIL 2 safety functions. A generally accepted distribution of PFD AVG values of a SIF over the sensor part, logic solver part, and final element part assumes that 50% of the total SIF PFD AVG value is caused by the final element. However, as the Electropneumatic Positioner SIPART PS2 PA / FF is only one part of the final element it should not claim more than 20% of the range. For a SIL 2 application the total PFD AVG value of the SIF should be smaller than 1,00E-02, hence the maximum allowable PFD AVG value for the positioner would then be 2,00E-03. The Electro-pneumatic Positioner SIPART PS2 PA / FF when using the shut-down input (terminal 81/82) for the safety function is considered to be a Type A 1 component with a hardware fault tolerance of 0. For Type A components the SFF has to be between 60% and 90% for SIL 2 (sub-) systems with a hardware fault tolerance of 0 according to table 2 of IEC Type A component: Non-complex component (all failure modes are well defined); for details see of IEC exida.com GmbH siemens r014 v1 r1.0.doc, August 16, 2005 Stephan Aschenbrenner Page 2 of 4 A-4 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

21 Anhang A.2 Prüfbericht (Auszug) As the Electro-pneumatic Positioner SIPART PS2 PA / FF is supposed to be a proven-in-use device, an assessment of the hardware with additional proven-in-use demonstration for the device and its software was carried out. The proven-in-use investigation was based on field return data collected and analyzed by SIEMENS AG, A&D PI TQ2. This data cannot cover the process connection. The proven-in-use justification for the process connection still needs to be done by the end-user. According to the requirements of IEC First Edition section and the assessment described in section 5.1, the Type A Electro-pneumatic Positioner SIPART PS2 PA / FF when using the shut-down input (terminal 81/82) for the safety function, with a hardware fault tolerance of 0 and a SFF of 60% to < 90% is considered to be suitable for use in SIL 2 safety functions. The decision on the usage of proven-in-use devices, however, is always with the end-user. The following tables show how the above stated requirements are fulfilled for the worst case configuration listed in Table 1. Table 2: Summary Failure rates Failure category Failure rates (in FIT) Fail Safe Detected 0 Fail Safe Undetected 940 Fail Dangerous Detected 13 Fail Dangerous Undetected 152 No Effect 70 Not part 397 MTBF = MTTF + MTTR 73 years Table 3: Summary IEC failure rates λ sd λ su λ dd λ du SFF DC S DC D 0 FIT 1010 FIT 13 FIT 152 FIT 87% 0% 7% Table 4: Summary PFD AVG values T[Proof] = 1 year T[Proof] = 5 years T[Proof] = 10 years PFD AVG = 6,65E-04 PFD AVG = 3,32E-03 PFD AVG = 6,63E-03 The boxes marked in yellow ( ) mean that the calculated PFD AVG values are within the allowed range for SIL 2 according to table 2 of IEC but do not fulfill the requirement to not claim more than 20% of this range, i.e. to be better than or equal to 2,00E-03. The boxes marked in green ( ) mean that the calculated PFD AVG values are within the allowed range for SIL 2 according to table 2 of IEC and table 3.1 of ANSI/ISA and do fulfill the requirement to not claim more than 20% of this range, i.e. to be better than or equal to 2,00E-03. exida.com GmbH siemens r014 v1 r1.0.doc, August 16, 2005 Stephan Aschenbrenner Page 3 of 4 Ergänzungen zum Gerätehandbuch, 09/2005, A5E A-5

22 Anhang A.2 Prüfbericht (Auszug) The assessment has shown that the Electro-pneumatic Positioner SIPART PS2 PA / FF when used as a single-acting shut-down module ("tight closing") has a PFD AVG within the allowed range for SIL 2 according to table 2 of IEC and table 3.1 of ANSI/ISA and a Safe Failure Fraction (SFF) of more than 86% when using the shutdown input (terminal 81/82) for the safety function. The Electro-pneumatic Positioner SIPART PS2 PA / FF has been developed without considering IEC 61508, however, and so IEC First Edition section is used as a basis for arguing that proven-in-use shows the unlikelihood of systematic failures for the mechanical / pneumatic components. The failure rates listed above do not include failures resulting from incorrect use of the Electropneumatic Positioner SIPART PS2 PA / FF, in particular humidity entering through incompletely closed housings or inadequate cable feeding through the inlets. The listed failure rates are valid for operating stress conditions typical of an industrial field environment similar to IEC class Dx (outdoor location) with an average temperature over a long period of time of 40ºC. For a higher average temperature of 60 C, the failure rates should be multiplied with an experience based factor of 2,5. A similar multiplier should be used if frequent temperature fluctuation must be assumed. A user of the Electro-pneumatic Positioner SIPART PS2 PA / FF can utilize these failure rates in a probabilistic model of a safety instrumented function (SIF) to determine suitability in part for safety instrumented system (SIS) usage in a particular safety integrity level (SIL). A full table of failure rates is presented in sections 5.2 and 5.3 along with all assumptions. It is important to realize that the no effect failures are included in the safe undetected failure category according to IEC Note that these failures on its own will not affect system reliability or safety, and should not be included in spurious trip calculations. The failure rates are valid for the useful life of the Electro-pneumatic Positioner SIPART PS2 PA / FF, which is estimated to be 10 years (see Appendix 3). exida.com GmbH siemens r014 v1 r1.0.doc, August 16, 2005 Stephan Aschenbrenner Page 4 of 4 A-6 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

23 Anhang A.3 Literatur und Normen A.3 Literatur und Normen Nr Norm Beschreibung /1/ IEC Teil 1-7 /2/ IEC Teil 1-3 Funktionale Sicherheit folgender Systeme: Sicherheitsbezogen Elektrisch Elektronisch Programmierbar Zielgruppe: Hersteller und Lieferanten von Geräten Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie Zielgruppe: Planer, Errichter und Nutzer Ergänzungen zum Gerätehandbuch, 09/2005, A5E A-7

24 Anhang A.3 Literatur und Normen A-8 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

25 Liste der Abkürzungen B B.1 Abkürzungen Abkürzung Ausgeschrieben in Englisch Bedeutung HFT Hardware Fault Tolerance Hardwarefehler-Toleranz: Fähigkeit einer Funktionseinheit, eine geforderte Funktion bei Bestehen von Fehlern oder Abweichungen weiter auszuführen. MTBF Mean Time Between Failures Mittlere Zeitdauer zwischen zwei Ausfällen MTTR Mean Time To Repair Mittlere Zeitdauer zwischen dem Auftreten eines Fehlers in einem Gerät oder System und der Reparatur PFD Probability of Failure on Demand Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im Anforderungsfall PFDAVG Average Probability of Failure on Demand Mittlere Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im Anforderungsfall SFF Safe Failure Fraction Anteil ungefährlicher Ausfälle: Anteil von Ausfällen ohne Potenzial, das sicherheitsbezogene System in einen gefährlichen oder unzulässigen Funktionszustand zu versetzen. SIL Safety Integrity Level Die internationale Norm IEC definiert vier diskrete Safety Integrity Level (SIL 1 bis SIL 4). Jeder Level entspricht einem Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion. Je höher der Safety Integrity Level des sicherheitsbezogenen Systems ist, um so geringer ist die Wahrscheinlichkeit, dass es die geforderten Sicherheitsfunktionen nicht ausführt. SIS Safety Instrumented System Ein sicherheitsbezogenes System (SIS) führt die Sicherheitsfunktionen aus, die erforderlich sind, um einen sicheren Zustand in einer Anlage zu erreichen oder aufrechtzuerhalten. Es besteht aus Sensor, Logikeinheit/Leitsystem und Aktor. FIT Failure In Time Ausfallhäufigkeit Anzahl der Fehler innerhalb 10 9 Stunden TI Test Interval Prüfintervall der Schutzfunktion XooY "X out of Y" Voting Klassifizierung und Beschreibung des sicherheitsbezogenen Systems hinsichtlich Redundanz und angewandtem Auswahlverfahren. "Y" Gibt an, wie oft die Sicherheitsfunktion ausgeführt wird (Redundanz). "X" Bestimmt, wieviele Kanäle korrekt arbeiten müssen. Beispiel: Ergänzungen zum Gerätehandbuch, 09/2005, A5E B-1

26 Liste der Abkürzungen B.1 Abkürzungen Abkürzung Ausgeschrieben in Englisch Bedeutung Druckmessung: 1oo2-Architektur. Ein sicherheitsbezogenes System entscheidet, dass eine vorgegebene Druckgrenze überschritten ist, wenn einer von zwei Drucksensoren diese Grenze erreicht. Bei einer 1oo1-Architektur ist nur ein Drucksensor vorhanden. B-2 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

27 Glossar Gefahrbringender Ausfall Ausfall mit dem Potenzial, das sicherheitsbezogene System in einen gefährlichen oder sicherheitstechnisch funktionsunfähigen Zustand zu versetzen. Safety Integrity Level SIL Sicherheitsbezogenes System Ein sicherheitsbezogenes System (SIS, Safety Instrumented System) führt die Sicherheitsfunktionen aus, die erforderlich sind, um einen sicheren Zustand in einer Anlage zu erreichen oder aufrechtzuerhalten. Es besteht aus Sensor, Logikeinheit/Leitsystem und Aktor. Beispiel: Ein Druckmessumformer, ein Grenzsignalgeber und ein Stellventil bilden ein sicherheitsbezogenes System. Sicherheitsfunktion Definierte Funktion, die von einem sicherheitsbezogenen System ausgeführt wird, mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Zustand für die Anlage zu erreichen oder aufrechtzuerhalten. Beispiel: Grenzdrucküberwachung Ergänzungen zum Gerätehandbuch, 09/2005, A5E Glossar-1

28 Glossar Glossar-2 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

29 Index D Dichtschließen, 3-1 Dokumentation vorauszusetzende, 1-1 K Kenndaten sicherheitstechnisch, 3-4 P Pz, 3-5 S Sicherheitsabschaltung, 3-1 Sicherheitsfunktion, 3-3 überprüfen, 3-3 Sicherheitsfunktion, 3-1 Störung, 3-3 System Sicherheitsbezogen, 2-1 U Überprüfung, 3-4 W Wartung, 3-4 Y Y1, 3-5 Ergänzungen zum Gerätehandbuch, 09/2005, A5E Index-1

30 Index Index-2 Ergänzungen zum Gerätehandbuch, 09/2005, A5E

Ähnliche Dokumente
2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback