B A SIPART Elektropneumatische Stellungsregler Funktionale Sicherheit für SIPART PS2 3 2 1

(1)

Einleitung 1

Allgemeine

Sicherheitshinweise 2

Gerätespezifische

Sicherheitshinweise 3

Anhang A

Liste der Abkürzungen B SIPART

Elektropneumatische Stellungsregler

Funktionale Sicherheit für SIPART PS2

Produktinformation

09/2006

A5E00442120-03

Ergänzung zu Gerätehandbüchern 6DR501*,

6DR511, 6DR521, 6DR531*

(2)

Sicherheitshinweise

Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.

Gefahr

bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

Warnung

bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

Vorsicht

mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

Vorsicht

ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

Achtung

bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird.

Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet.

Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein.

Qualifiziertes Personal

Das zugehörige Gerät/System darf nur in Verbindung mit dieser Dokumentation eingerichtet und betrieben werden. Inbetriebsetzung und Betrieb eines Gerätes/Systems dürfen nur von qualifiziertem Personal vorgenommen werden. Qualifiziertes Personal im Sinne der sicherheitstechnischen Hinweise dieser Dokumentation sind Personen, die die Berechtigung haben, Geräte, Systeme und Stromkreise gemäß den Standards der Sicherheitstechnik in Betrieb zu nehmen, zu erden und zu kennzeichnen.

Bestimmungsgemäßer Gebrauch Beachten Sie Folgendes:

Warnung

Das Gerät darf nur für die im Katalog und in der technischen Beschreibung vorgesehenen Einsatzfälle und nur in Verbindung mit von Siemens empfohlenen bzw. zugelassenen Fremdgeräten und -komponenten verwendet werden. Der einwandfreie und sichere Betrieb des Produktes setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung und Montage sowie sorgfältige Bedienung und Instandhaltung voraus.

Marken

Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann.

Haftungsausschluss

Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft.

Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten.

Siemens AG Automation and Drives Postfach 48 48 90437 NÜRNBERG

Dokumentbestell-Nr. A5E00442120-03

Änderungen vorbehalten

(3)

Funktionale Sicherheit für SIPART PS2

Produktinformation, 09/2006, A5E00442120-03 iii

Inhaltsverzeichnis

1 Einleitung... 1-1 1.1 Zweck dieser Dokumentation... 1-1 1.2 Gültigkeitsbereich dieser Dokumentation ... 1-1 1.3 Historie... 1-1 1.4 Weitere Informationen... 1-2 2 Allgemeine Sicherheitshinweise ... 2-1 2.1 Sicherheitsbezogenes System... 2-1 2.2 Safety Integrity Level (SIL)... 2-2 3 Gerätespezifische Sicherheitshinweise... 3-1 3.1 Anwendungsbereich ... 3-1 3.2 Sicherheitsfunktion... 3-1 3.3 Einstellungen... 3-3 3.4 Verhalten bei Störungen ... 3-4 3.5 Wartung/Überprüfung ... 3-5 3.6 Sicherheitstechnische Kenndaten ... 3-5 A Anhang ...A-1 A.1 Literatur und Normen ...A-1 A.2 SIL-Konformitätserklärung ...A-2 A.3 Prüfbericht (Auszug) ...A-3 B Liste der Abkürzungen...B-1 B.1 Abkürzungen...B-1 Glossar ...Glossar-1 Index... Index-1

(4)

Inhaltsverzeichnis

(5)

Produktinformation, 09/2006, A5E00442120-03 1-1

Einleitung 1

1.1 Zweck dieser Dokumentation

Diese Dokumentation enthält Informationen und Sicherheitshinweise, die Sie für den Einsatz des elektropneumatischen Stellungsreglers in sicherheitsbezogenen Systemen benötigen.

Sie richtet sich an Anlagenplaner, Errichter, Service- und Wartungstechniker sowie Personen, die das Gerät in Betrieb nehmen.

1.2 Gültigkeitsbereich dieser Dokumentation

Dokumentation

Diese Dokumentation behandelt die Stellungsregler SIPART PS2 lediglich als Teil einer Sicherheitsfunktion.

Die vorliegende Dokumentation gilt nur im Zusammenhang mit folgender Dokumentation und ist gültig für Stellungsregler mit Firmware-Version C4, C5 oder 4.00.00 und höher:

Nr. Name Bestellnummer

/1/ Gerätehandbuch SIPART PS2 A5E00074630

/2/ Betriebsanleitung / Operating Instructions SIPART PS2 A5E00074600

1.3 Historie

In der folgenden Tabelle stehen die wichtigsten Änderungen der Dokumentation verglichen mit der jeweils vorherigen Ausgabe:

Ausgabe Bemerkung

06/2005 Erstausgabe

07/2005 Was hat sich geändert?

Sicherheitsrelevante Parameter

09/2006 Berücksichtigung der neuesten Firmware-Version 4.00.00 Kapitel 3.2 und 3.6: Hinweise zum Partial-Stroke-Test ergänzt Anhang A2: Konformitätserklärung aktualisiert.

(6)

Einleitung

1.4 Weitere Informationen

Informationen

Wir weisen darauf hin, dass der Inhalt der Anleitung nicht Teil einer früheren oder

bestehenden Vereinbarung, Zusage oder eines Rechtverhältnisses ist oder diese abändern soll. Sämtliche Verpflichtungen der Siemens AG ergeben sich aus dem jeweiligen

Kaufvertrag, der auch die vollständige und allein gültige Gewährleistungsregelung enthält.

Diese vertraglichen Gewährleistungsbestimmungen werden durch die Ausführungen der Anleitung weder erweitert noch beschränkt.

Der Inhalt spiegelt den technischen Stand zur Drucklegung wieder. Technische Änderungen sind im Zuge der Weiterentwicklung vorbehalten.

Siemens-Niederlassungen

Wünschen Sie weitere Informationen oder treten besondere Probleme auf, die in der Anleitung nicht ausführlich genug behandelt werden, können Sie die erforderliche Auskunft über die örtliche Siemens-Niederlassung anfordern. Ihre örtliche Siemens-Niederlassung finden Sie im Internet.

Produktinformation im Internet

Die Anleitung ist Bestandteil der mitgelieferten CD und ist im Internet auf der Siemens- Homepage verfügbar. Auf der mitgelieferten CD finden Sie einen Auszug des Katalogs FI 01

"Feldgeräte für die Prozessautomatisierung" mit den aktuellen Bestelldaten. Der gesamte Katalog FI 01 ist im Internet verfügbar.

Siehe auch

Siemens-Niederlassungen (https://www.siemens.com/processinstrumentation/contacts) Produktinformation im Internet (http://www.siemens.com/sipartps2)

Anleitungen und Handbücher

(http://www.siemens.com/processinstrumentation/documentation) Katalog FI 01 (https://www.siemens.com/fi01)

(7)

Allgemeine Sicherheitshinweise 2

2.1 Sicherheitsbezogenes System

Definition: Sicherheitsbezogenes System

Ein sicherheitsbezogenes System (SIS, Safety Instrumented System) führt die

Sicherheitsfunktionen aus, die erforderlich sind, um einen sicheren Zustand in einer Anlage zu erreichen oder aufrechtzuerhalten. Es besteht aus Sensor, Logikeinheit/Leitsystem und Aktor.

Beispiel:

Ein Druckmessumformer, ein Grenzsignalgeber und ein Stellventil bilden ein sicherheitsbezogenes System.

Definition: Sicherheitsfunktion

Definierte Funktion, die von einem sicherheitsbezogenen System ausgeführt wird, mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Zustand für die Anlage zu erreichen oder aufrechtzuerhalten.

Beispiel:

Grenzdrucküberwachung

Definition: Gefahrbringender Ausfall

Ausfall mit dem Potenzial, das sicherheitsbezogene System in einen gefährlichen oder sicherheitstechnisch funktionsunfähigen Zustand zu versetzen.

Beschreibung

Sensor, Logikeinheit/Leitsystem und Aktor bilden zusammen ein sicherheitsbezogenes System, das eine Sicherheitsfunktion ausführt.

Hinweis

Diese Dokumentation behandelt die Stellungsregler SIPART PS2 lediglich als Teil einer Sicherheitsfunktion.

(8)

Allgemeine Sicherheitshinweise 2.2 Safety Integrity Level (SIL)

P$

6HQVRU

P$

6)P$

0HVVXPIRUPHU

$NWRU

9HQWLOPLW$QWULHEXQG 6WHOOXQJVUHJOHU

/HLWV\VWHP

636

Bild 2-1 Beispiel für ein sicherheitsbezogenes System

SF Ausfallsignal

Funktionsweise

Der Messumformer erzeugt ein prozessbezogenes analoges Signal. Das nachgeschaltete Leitsystem überwacht dieses Signal auf Überschreiten eines voreingestellten Grenzwerts. Im Störfall erzeugt das Leitsystem ein Ausfallsignal von < 3,6 mA für den angeschlossenen Stellungsregler, der das zugehörige Ventil in die vorgegebene Sicherheitsstellung bringt, Stichwort "Dichtschließen".

2.2 Safety Integrity Level (SIL)

Definition: SIL

Die internationale Norm IEC 61508 definiert vier diskrete Safety Integrity Level (SIL) von SIL 1 bis SIL 4. Jeder Level entspricht einem Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion. Je höher der SIL des sicherheitsbezogenen Systems ist, desto höher ist die Wahrscheinlichkeit, dass die geforderte Sicherheitsfunktion funktioniert.

Der erreichbare SIL wird durch folgende sicherheitstechnischen Kenndaten bestimmt:

● Mittlere Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im Anforderungsfall (PFDAVG)

(9)

● Hardwarefehler-Toleranz (HFT)

● Anteil ungefährlicher Ausfälle (SFF)

Beschreibung

Die folgende Tabelle zeigt die Abhängigkeit des SIL von der "mittleren Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion des gesamten sicherheitsbezogenen Systems" (PFDAVG). Dabei wird der "Low demand mode" betrachtet, d. h. die

Sicherheitsfunktion wird durchschnittlich maximal einmal im Jahr angefordert.

Tabelle 2-1 Safety Integrity Level

SIL PFDAVG

4 ≥ 10^-5...< 10^-4 3 ≥ 10^-4...< 10^-3 2 ≥ 10^-3...< 10^-2 1 ≥ 10^-2...< 10^-1

Die "mittlere Wahrscheinlichkeit gefahrbringender Ausfälle des gesamten

sicherheitsbezogenen Systems" (PFDAVG) teilt sich üblicherweise auf die drei Teilsysteme des folgenden Bildes auf.

6HQVRU

]%

'UXFN

7HPSHUDWXUXVZ

/HLWV\VWHPE]Z /RJLNHLQKHLW

]%

636

3)'$9*$QWHLO

$NWRU

]%

9HQWLOPLW$QWULHE XQG6WHOOXQJVUHJOHU

Bild 2-2 PFD-Aufteilung

Die folgende Tabelle zeigt den erreichbaren Safety Integrity Level (SIL) des gesamten sicherheitsbezogenen Systems für Teilsysteme vom Typ B abhängig vom Anteil

ungefährlicher Ausfälle (SFF) und der Hardwarefehler-Toleranz (HFT). Teilsysteme vom Typ B sind z. B. analoge Messumformer und Abschaltventile ohne komplexen Komponenten wie z. B. Mikroprozessoren (siehe auch IEC 61508, Teil 2).

HFT SFF

0 1 (0) ¹⁾ 2 (1) ¹⁾

< 60% Nicht zulässig SIL 1 SIL 2

60 bis 90% SIL 1 SIL 2 SIL 3

90 bis 99% SIL 2 SIL 3 SIL 4

> 99% SIL 3 SIL 4 SIL 4

1) Nach IEC 61511-1, Abschnitt 11.4.4

(10)

Nach IEC 61511-1, Abschnitt 11.4.4 kann bei Sensoren und Aktoren mit komplexen Komponenten die Hardwarefehler-Toleranz (HFT) um eins reduziert werden (Werte in Klammern), wenn für das Gerät folgende Bedingungen zutreffen:

● Das Gerät ist betriebsbewährt.

● Der Anwender kann nur prozessbezogene Parameter konfigurieren, z. B. Stellbereich, Signalrichtung im Fehlerfall, Grenzwerte usw.

● Die Konfigurationsebene der Firmware wird gegen unbefugte Bedienung gesperrt.

● Die Funktion hat einen geforderten SIL von weniger als 4.

Der Stellungsregler SIPART PS2 erfüllt diese Bedingungen.

Siehe auch

Sicherheitstechnische Kenndaten (Seite 3-5)

(11)

Gerätespezifische Sicherheitshinweise 3

3.1 Anwendungsbereich

Der Stellungsregler SIPART PS2 eignet sich auch zur Regelung an Armaturen, die den besonderen Anforderungen der funktionalen Sicherheit bis SIL 2 nach IEC 61508 bzw.

IEC 61511-1 genügen. Hierfür stehen die Varianten 6DR501*, 6DR511*, 6DR521* und 6DR531* zur Verfügung.

Es handelt sich dabei um einfachwirkende, entlüftende Stellungsregler mit einem Eingang von 4 bis 20 mA zum Anbau an pneumatischen Antrieben mit Federrückstellung.

Der Stellungsregler entlüftet auf Anforderung oder im Fehlerfall den Ventilantrieb, der damit das Ventil in die vorgegebene Sicherheitsstellung bringt.

Diese Stellungsregler erfüllen folgende Anforderungen:

● Funktionale Sicherheit bis SIL 2 nach IEC 61508 bzw. IEC 61511-1, ab der Firmware- Version C4

● Explosionsschutz bei den Varianten 6DR5***-*E***

● Elektromagnetische Verträglichkeit nach EN 61326/A1, Anhang A.1

3.2 Sicherheitsfunktion

Sicherheitsfunktion beim Stellungsregler

Die Sicherheitsfunktion beim Stellungsregler SIPART PS2 ist das Entlüften des

angeschlossenen Ventilantriebs. Durch die dort eingebaute Feder wird das Ventil in die geforderte Sicherheitsstellung gebracht. Abhängig von der Wirkrichtung dieser Feder wird das Ventil vollständig geöffnet oder geschlossen.

In der Gerätedokumentation wird diese Funktion auch als "Dichtschließen" bezeichnet.

Diese Sicherheitsfunktion kann ausgelöst werden durch:

● Ausfall der elektrischen Hilfsenergie

● Ausfall der pneumatischen Hilfsenergie

(12)

Gerätespezifische Sicherheitshinweise 3.2 Sicherheitsfunktion

● Unterschreiten des Ausfallsignals 3,6 mA am Sollstrom-Eingang (Iw)

Hinweis

Partial Stroke Test

Läuft ein Partial-Stroke-Test, wird die Sicherheitsfunktion nur ausgelöst, wenn die elektrische und pneumatische Hilfsenergie abgeschaltet wird. Die Sicherheitsfunktion wird nicht ausgelöst durch einen Eingangsstrom kleiner als 3,6 mA.

Wenn der Ventilantrieb auf Anforderung oder im Fehlerfall nicht entlüftet werden kann, ist der gefahrbringende Ausfall gegeben.

Warnung

Die verbindlichen Einstellungen und Bedingungen sind in den Kapiteln "Einstellungen" und

"Sicherheitstechnische Kenndaten" aufgeführt.

Zur Erfüllung der Sicherheitsfunktion sind diese Bedingungen unbedingt zu beachten.

Wenn die Sicherheitsfunktion ausgeführt wurde, müssen Sie sicherheitsbezogene Systeme ohne selbstverriegelnde Funktion innerhalb der Mean Time To Repair (MTTR) in einen überwachten oder anderweitig sicheren Zustand bringen. Die MTTR beträgt 8 Stunden.

Die berechnete Mean Time Between Failures (MTBF) für den Stellungsregler SIPART PS2 beträgt 90 Jahre. Die MTBF für die Grundelektronikbaugruppe beträgt nach SN29500 181 Jahre.

Die charakteristische Lebensdauer des Ventilblocks ist belastungsabhängig. Sie beträgt durchschnittlich ca. 200 Millionen Schaltspiele für jedes der beiden Vorsteuerventile bei symmetrischer Beanspruchung. Die tatsächlich aufgelaufene Anzahl der Schaltspiele kann in der lokalen Anzeige oder über die HART-Kommunikation abgerufen werden

Verweis

Gerätehandbuch /1/ Kapitel 4.5 "Diagnose" Diagnosewerte 31=VENT1 und 32=VENT2

Siehe auch

Einstellungen (Seite 3-3)

Sicherheitstechnische Kenndaten (Seite 3-5)

(13)

Gerätespezifische Sicherheitshinweise 3.3 Einstellungen

3.3 Einstellungen

Nach der Montage und Inbetriebnahme gemäß Gerätehandbuch sind folgende Parameter- Einstellungen für die Sicherheitsfunktion einzustellen:

Sicherheitsrelevante Parameter

Parameter-

name Funktion Parameterwert einstellen Bedeutung 2.YAGL Nenndrehwinkel der

Rückmeldungswelle 33° oder 90° passend zur Einstellung des

Getriebeübersetzungs- umschalters

Anpassung an mechanisch eingestellten Hubbereich/

Drehwinkel 6.SCUR Strombereich des

Sollwertes 4 MA 4...20 mA

riSE Steigend -

für Antriebe mit

Sicherheitsstellung unten/zu (Ventil geschlossen) 7.SDIR Sollwertrichtung

FALL Fallend -

für Antriebe mit

Sicherheitsstellung oben/auf (Ventil offen)

12.SFCT Sollwertfunktion Alle außer "FrEE" • linear

• gleichprozentig

• invers gleichprozentig

do Entlüften -

für Antriebe mit

Sicherheitsstellung unten/zu (Ventil geschlossen) 39.YCLS Stellgrößendicht-

schließen

uP Entlüften -

für Antriebe mit

Sicherheitsstellung oben/auf (Ventil offen)

Verweis

Gerätehandbuch /1/ Kapitel 2 "Aufbau und Arbeitsweise"

Kapitel 2.2 "Getriebeübersetzungsumschalter", Bild 2-1 Kapitel 2.2.3 "Zuordnung der Antriebsrichtungen", Bild 2-5 Gerätehandbuch /1/ Kapitel 3 "Betriebsvorbereitung"

Gerätehandbuch /1/ Kapitel 4 "Bedienung"

Schutz gegen Konfigurationsänderung

Nach der Parametrierung muss der Stellungsregler SIPART PS2 in den Automatikbetrieb geschaltet werden. Anschließend montieren Sie den Gehäusedeckel, damit das Gerät gegen ungewollte und unbefugte Veränderungen/Bedienung geschützt ist.

(14)

Gerätespezifische Sicherheitshinweise 3.4 Verhalten bei Störungen

Der Stellungsregler SIPART PS2 ist mit einer zusätzlichen Schutzfunktion gegen Konfigurationsänderungen ausgestattet:

1. Parametrieren Sie den Parameter 43.BIN1 = bLoc2.

2. Brücken Sie die Klemmen 9 und 10 des Binäreingang BE1.

In diesem Zustand ist die Bedienebene "Konfiguration" über Tasten und HART- Kommunikation sowie der manuelle Betrieb blockiert.

Sicherheitsfunktion überprüfen

Um die korrekte sicherheitsrelevante Parametrierung zu überprüfen, legen Sie einen Sollstrom von 3,6 mA an.

In diesem Zustand muss der Ventilantrieb das Ventil in die vorgesehene Sicherheitsstellung bringen.

3.4 Verhalten bei Störungen

Störungsfall

Die Vorgehensweise im Störungsfall ist in der Betriebsanleitung des Geräts beschrieben.

Verweis

Betriebsanleitung /2/ Abschnitt 7.4 "Störungsbeseitigung"

Reparatur

Defekte Geräte sind mit Angabe der Störung und Ursache an die Reparaturabteilung einzusenden. Bei Bestellung von Ersatzgeräten bitte die Seriennummer des Originalgeräts angeben. Die Seriennummer finden Sie auf dem Typenschild.

Anschrift der zuständigen Reparaturstelle, Ansprechpartner, Ersatzteillisten usw. finden Sie im Internet unter:

Verweis

www.siemens.com/automation/services&support www.automation.siemens.com/partner

(15)

Gerätespezifische Sicherheitshinweise 3.5 Wartung/Überprüfung

3.5 Wartung/Überprüfung

Funktion überprüfen

Wir empfehlen, die Funktionsfähigkeit des Stellungsreglers in regelmäßigen Zeitabständen von einem Jahr zu überprüfen.

Überprüfen Sie mindestens Folgendes:

1. Schalten Sie den Sollwert 4 mA auf.

– Überprüfen Sie, ob das Ventil in die entsprechende Endlage fährt.

– Kontrollieren Sie die lokal angezeigten internen, digitalisierten Werte für Sollwert und Position.

– Überprüfen Sie, ob das Ventil in die entsprechende Endlage fährt.

– Kontrollieren Sie die lokal angezeigten internen, digitalisierten Werte für Sollwert und Position.

Sicherheit überprüfen

Prüfen Sie regelmäßig die Sicherheitsfunktion des gesamten Sicherheitskreises gemäß IEC 61508/61511. Die Testintervalle werden u. a. bei der Berechnung jedes einzelnen Sicherheitskreises einer Anlage (PFDAVG) bestimmt.

Am Stellungsregler SIPART PS2 sind insbesondere folgende Prüfungen durchzuführen:

1. Schalten Sie den Sollwert 3,6 mA auf.

– Überprüfen Sie, ob das Ventil in die Sicherheitsstellung fährt.

– Reduzieren Sie den Zuluftdruck (Pz) auf ein Drittel des maximalen Versorgungsdrucks – Überprüfen Sie, ob das Ventil in die Sicherheitsstellung fährt.

3. Kontrollieren Sie die Siebe in den pneumatischen Anschlüssen auf Verschmutzung und reinigen Sie sie gegebenenfalls.

3.6 Sicherheitstechnische Kenndaten

Die für den Systemeinsatz erforderlichen sicherheitstechnischen Kenndaten sind in der SIL- Konformitätserklärung (siehe "Anhang") aufgelistet. Diese Werte gelten unter den folgenden Bedingungen:

● Der Stellungsregler wird nur in Anwendungen mit niedriger Anforderungsrate für die Sicherheitsfunktion eingesetzt (low demand mode).

● Kommunikation mit dem HART-Protokoll wird nur verwendet für – Die Gerätekonfiguration

– Das Auslesen von Diagnosewerten

(16)

Gerätespezifische Sicherheitshinweise 3.6 Sicherheitstechnische Kenndaten

– Nicht jedoch für sicherheitstechnisch kritische Operationen. Insbesondere darf die Trace-Funktion im sicherheitsbezogenen Betrieb nicht aktiviert werden.

● Die sicherheitsrelevanten Parameter/Einstellungen (siehe Kapitel "Einstellungen") wurden vor dem sicherheitsbezogenen Betrieb über die lokale Bedienung oder über HART- Kommunikation eingegeben und über die lokale Anzeige kontrolliert.

● Der Stellungsregler wird gegen ungewollte und unbefugte Veränderungen/Bedienung gesperrt.

● Das Stellsignal 4 bis 20 mA für den Stellungsregler SIPART PS2 wird von einem sicheren System generiert, welches mindestens SIL 2 erfüllt.

● Der angeschlossene Ventilantrieb muss einfachwirkend sein und durch Federkraft bei folgenden Fällen das Ventil in die sichere Endlage bringen:

– Bei Druckausfall

– Bei einem Kammerdruck (Y1-Anschluss) bis zu ein Drittel des maximal verfügbaren Zuluftdrucks (Pz-Anschluss)

● Der Abluftausgang enthält keine zusätzlichen Querschnittsverengungen, die zu einem erhöhten Staudruck führen. Insbesondere ist ein Schalldämpfer nur dann erlaubt, wenn Vereisung oder sonstige Verschmutzung ausgeschlossen sind.

● Die Drossel im Y1-Kreis darf im laufenden Betrieb nicht vollständig geschlossen werden.

● Die pneumatische Hilfsenergie ist frei von Öl, Wasser und Schmutz nach:

DIN/ISO 8573-1, maximal Klasse 2

● Die mittlere Temperatur über einen langen Zeitraum betrachtet beträgt 40°C.

● Die MTTR nach einem Gerätefehler beträgt 8 Stunden.

● Im Störungsfall wird der pneumatische Ausgang des Stellungsreglers entlüftet. Eine Feder im pneumatischen Antrieb muss das Ventil in die vordefinierte, sichere Endlage fahren.

● Ein gefahrbringender Ausfall des Stellungsreglers ist ein Ausfall, bei dem der Druckausgang auf einen Eingangsstrom < 3,6 mA nicht entlüftet bzw. die Sicherheitsstellung nicht erreicht wird.

● Läuft ein Partial-Stroke-Test, wird die Sicherheitsfunktion nur ausgelöst, wenn die elektrische und pneumatische Hilfsenergie abgeschaltet wird. Die Sicherheitsfunktion wird nicht ausgelöst durch einen Eingangsstrom kleiner als 3,6 mA. Der Partial-Stroke- Test ist ab Firmware-Version 4.00.00 verfügbar.

Siehe auch

Einstellungen (Seite 3-3)

SIL-Konformitätserklärung (Seite A-2) Prüfbericht (Auszug) (Seite A-3)

(17)

Produktinformation, 09/2006, A5E00442120-03 A-1

Anhang A

A.1 Literatur und Normen

Nr Norm Beschreibung

/1/ IEC 61508 Teil 1-7

Funktionale Sicherheit folgender Systeme:

• Sicherheitsbezogen

• Elektrisch

• Elektronisch

• Programmierbar Zielgruppe:

Hersteller und Lieferanten von Geräten /2/ IEC 61511

Teil 1-3

Funktionale Sicherheit - Sicherheitstechnische Systeme für die Prozessindustrie

Zielgruppe:

Planer, Errichter und Nutzer

(18)

Anhang

A.2 SIL-Konformitätserklärung

(19)

Anhang A.3 Prüfbericht (Auszug)

A.3 Prüfbericht (Auszug)

The document was prepared using best effort. The authors make no warranty of any kind and shall not be liable in any event for incidental or consequential damages in connection with the application of the document.

FMEDA and Proven-in-use Assessment

Project:

Electro-pneumatic Positioner SIPART PS2 – single acting shut-down module

Customer:

SIEMENS AG, A&D PI TQ2

Karlsruhe Germany

Contract No.: SIEMENS 04/12-06 Report No.: SIEMENS 04/12-06 R004 Version V1, Revision R1.0, April 2005

Stephan Aschenbrenner

(20)

Anhang

A.3 Prüfbericht (Auszug)

Stephan Aschenbrenner Page 2 of 4

Management summary

This report summarizes the results of the hardware assessment with proven-in-use consideration according to IEC 61508 / IEC 61511 carried out on the Electro-pneumatic Positioner SIPART PS2 with software version C4 and C5. Table 1 gives an overview of the different configurations that belong to the considered Electro-pneumatic Positioner SIPART PS2.

The hardware assessment consists of a Failure Modes, Effects and Diagnostics Analysis (FMEDA). A FMEDA is one of the steps taken to achieve functional safety assessment of a device per IEC 61508. From the FMEDA, failure rates are determined and consequently the Safe Failure Fraction (SFF) is calculated for the device. For full assessment purposes all requirements of IEC 61508 must be considered.

Table 1: Configuration ov erv ie w

[Conf 1] 6DR501*_*E***_**** 2-wire Ex (L250) without HART; single-acting 6DR501*_*N***_**** 2-wire standard (L350) without HART; single-acting [Conf 2]

6DR511*_*****_**** 2-wire standard (L300) with HART; single-acting [Conf 3] 6DR521*_*****_**** 2-, 3-, 4-wire Ex (L200) with HART; single-acting [Conf 4] 6DR531*_*****_**** 2-, 3-, 4-wire standard (L220) without HART; single-acting For safety applications only the 4..20 mA control input with the corresponding pressure output was considered to work as a single-acting shut-down module ("tight closing bottom"). All other possible input and output variants or electronics are not covered by this report.

The failure rates of the electronic components used in this analysis are the basic failure rates from the Siemens standard SN 29500.

SIEMENS AG, A&D PI TQ2 and exida.com together did a quantitative analysis of the mechanical parts of the Electro-pneumatic Positioner SIPART PS2 to calculate the mechanical failure rates using different failure rate databases ([N6], [N7], [N8] and exid a‘s experienced- based data compilation) for the different mechanical components (see [D32] and [R6]). The results of the quantitative analysis are included in the calculations described in sections 5.2 to 5.5.

According to table 2 of IEC 61508-1 the average PFD for systems operating in low demand mode has to be 10^-3 to < 10^-2 for SIL 2 safety functions. A generally accepted distribution of PFDAVG values of a SIF over the sensor part, logic solver part, and final element part assumes that 50% of the total SIF PFDAVG value is caused by the final element. However, as the Electro- pneumatic Positioner SIPART PS2 is only one part of the final element it should not claim more than 20% of the range. For a SIL 2 application the total PFDAVG value of the SIF should be smaller than 1,00E-02, hence the maximum allowable PFDAVG value for the positioner would then be 2,00E-03.

The Electro-pneumatic Positioner SIPART PS2 is considered to be a Type B¹ component with a hardware fault tolerance of 0.

Type B components with a SFF of 60% to < 90% must have a hardware fault tolerance of 1 according to table 3 of IEC 61508-2 for SIL 2 (sub-) systems.

1 Type B component: “Complex” component (using micro controllers or programmable logic); for details see 7.4.3.1.3 of IEC 61508-2.

(21)

Anhang A.3 Prüfbericht (Auszug)

As the Electro-pneumatic Positioner SIPART PS2 is supposed to be a proven-in-use device, an assessment of the hardware with additional proven-in-use demonstration for the device and its software was carried out. The proven-in-use investigation was based on field return data collected and analyzed by SIEMENS AG, A&D PI TQ2. This data cannot cover the process connection. The proven-in-use justification for the process connection still needs to be done by the end-user.

According to the requirements of IEC 61511-1 First Edition 2003-01 section 11.4.4 and the assessment described in section 5.1 the Type B Electro-pneumatic Positioner SIPART PS2 with a hardware fault tolerance of 0 and a SFF of 60% to < 90% are considered to be suitable for use in SIL 2 safety functions The decision on the usage of proven-in-use devices, however, is always with the end-user.

The following tables show how the above stated requirements are fulfilled for the worst case configuration listed in Table 1.

Table 2: Summary for SIPART PS2 as single-acting shutdow n module – Failure rates

Failure categor y Failure rates (in FIT)

Fail Safe Detected 0

Fail Safe Undetected 919

Fail Dangerous Detected 4

Fail Dangerous Undetected 182

No Effect 93

Annunciation Undetected 1

Not part 76

MTBF = MTTF + MTTR 90 years

Table 3: Summary for SIPART PS2 as single-acting shutdow n module – IEC 61508 failure rates

sd su dd du SFF DCS DCD

0 FIT 1013 FIT 4 FIT 182 FIT 84% 0% 2%

Table 4: Summary for SIPART PS2 as single-acting shutdow n module – PF DAV G values T[Proof] = 1 y ear T[Proof] = 5 y ears T[Proof] = 10 y ears PF DAV G = 7,94E-0 4 PF DAV G = 3,96E-0 3 PF DAV G = 7,91E-0 3

The boxes marked in yellow ( ) mean that the calculated PFDAVG values are within the allowed range for SIL 2 according to table 2 of IEC 61508-1 but do not fulfill the requirement to not claim more than 20% of this range, i.e. to be better than or equal to 2,00E-03. The boxes marked in green ( ) mean that the calculated PFDAVG values are within the allowed range for SIL 2 according to table 2 of IEC 61508-1 and table 3.1 of ANSI/ISA–84.01–1996 and do fulfill the requirement to not claim more than 20% of this range, i.e. to be better than or equal to 2,00E-03.

(22)

Anhang

A.3 Prüfbericht (Auszug)

The assessment has shown that the Electro-pneumatic Positioner SIPART PS2 when used as a single-acting shut-down module ("tight closing bottom") has a PF DAV G within the allowed range for SIL 2 according to table 2 of IEC 61508-1 and table 3.1 of ANSI/ISA–

84.01–1996 and a Safe Failure Fraction (SFF) of more than 84%. Based on the verification of "proven-in-use" according to IEC 61508 and its direct relationship to “prior-use” of IEC 61511-1 it can be used as a single device for SIL2 Safety Functions in terms of IEC 61511-1 First Edition 2003-01.

The failure rates listed above do not include failures resulting from incorrect use of the Electro- pneumatic Positioner SIPART PS2, in particular humidity entering through incompletely closed housings or inadequate cable feeding through the inlets.

The listed failure rates are valid for operating stress conditions typical of an industrial field environment similar to IEC 60654-1 class Dx (outdoor location) with an average temperature over a long period of time of 40ºC. For a higher average temperature of 60°C, the failure rates should be multiplied with an experience based factor of 2,5. A similar multiplier should be used if frequent temperature fluctuation must be assumed.

A user of the Electro-pneumatic Positioner SIPART PS2 can utilize these failure rates in a probabilistic model of a safety instrumented function (SIF) to determine suitability in part for safety instrumented system (SIS) usage in a particular safety integrity level (SIL). A full table of failure rates for different operating conditions is presented in section 5.2 to 5.5 along with all assumptions.

It is important to realize that the “no effect” failures and the “annunciation” failures are included in the “safe undetected” failure category according to IEC 61508. Note that these failures on its own will not affect system reliability or safety, and should not be included in spurious trip calculations.

(23)

Produktinformation, 09/2006, A5E00442120-03 B-1

Liste der Abkürzungen B

B.1 Abkürzungen

Abkürzung Ausgeschrieben in Englisch Bedeutung

HFT Hardware Fault Tolerance Hardwarefehler-Toleranz:

Fähigkeit einer Funktionseinheit, eine geforderte Funktion bei Bestehen von Fehlern oder Abweichungen weiter auszuführen.

MTBF Mean Time Between Failures Mittlere Zeitdauer zwischen zwei Ausfällen

MTTR Mean Time To Repair Mittlere Zeitdauer zwischen dem Auftreten eines Fehlers in einem Gerät oder System und der Reparatur

PFD Probability of Failure on Demand Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im Anforderungsfall

PFDAVG Average Probability of Failure on

Demand Mittlere Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im Anforderungsfall

SFF Safe Failure Fraction Anteil ungefährlicher Ausfälle:

Anteil von Ausfällen ohne Potenzial, das sicherheitsbezogene System in einen gefährlichen oder unzulässigen

Funktionszustand zu versetzen.

SIL Safety Integrity Level Die internationale Norm IEC 61508 definiert vier diskrete Safety Integrity Level (SIL 1 bis SIL 4). Jeder Level entspricht einem Wahrscheinlichkeitsbereich für das Versagen einer

Sicherheitsfunktion. Je höher der Safety Integrity Level des sicherheitsbezogenen Systems ist, um so geringer ist die Wahrscheinlichkeit, dass es die geforderten

Sicherheitsfunktionen nicht ausführt.

SIS Safety Instrumented System Ein sicherheitsbezogenes System (SIS) führt die

FIT Failure In Time Ausfallhäufigkeit

Anzahl der Fehler innerhalb 10⁹ Stunden

TI Test Interval Prüfintervall der Schutzfunktion

Klassifizierung und Beschreibung des sicherheitsbezogenen Systems hinsichtlich Redundanz und angewandtem

Auswahlverfahren.

"Y" Gibt an, wie oft die Sicherheitsfunktion ausgeführt wird (Redundanz).

XooY "X out of Y" Voting

"X" Bestimmt, wieviele Kanäle korrekt arbeiten müssen.

(24)

Liste der Abkürzungen B.1 Abkürzungen

Abkürzung Ausgeschrieben in Englisch Bedeutung Beispiel:

Druckmessung: 1oo2-Architektur. Ein sicherheitsbezogenes System entscheidet, dass eine vorgegebene Druckgrenze überschritten ist, wenn einer von zwei Drucksensoren diese Grenze erreicht. Bei einer 1oo1-Architektur ist nur ein Drucksensor vorhanden.

(25)

Produktinformation, 09/2006, A5E00442120-03 Glossar-1

Glossar

Gefahrbringender Ausfall

Ausfall mit dem Potenzial, das sicherheitsbezogene System in einen gefährlichen oder sicherheitstechnisch funktionsunfähigen Zustand zu versetzen.

Safety Integrity Level

→ SIL

Sicherheitsbezogenes System

Ein sicherheitsbezogenes System (SIS, Safety Instrumented System) führt die

Beispiel:

Ein Druckmessumformer, ein Grenzsignalgeber und ein Stellventil bilden ein sicherheitsbezogenes System.

Sicherheitsfunktion

Definierte Funktion, die von einem sicherheitsbezogenen System ausgeführt wird, mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen Vorfalls, einen sicheren Zustand für die Anlage zu erreichen oder aufrechtzuerhalten.

Beispiel:

Grenzdrucküberwachung

SIL

Die internationale Norm IEC 61508 definiert vier diskrete Safety Integrity Level (SIL) von SIL 1 bis SIL 4. Jeder Level entspricht einem Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion. Je höher der SIL des sicherheitsbezogenen Systems ist, desto höher ist die Wahrscheinlichkeit, dass die geforderte Sicherheitsfunktion funktioniert.

Der erreichbare SIL wird durch folgende sicherheitstechnischen Kenndaten bestimmt:

● Mittlere Wahrscheinlichkeit gefahrbringender Ausfälle einer Sicherheitsfunktion im Anforderungsfall (PFDAVG)

● Hardwarefehler-Toleranz (HFT)

● Anteil ungefährlicher Ausfälle (SFF)

(26)

Glossar

(27)

Produktinformation, 09/2006, A5E00442120-03 Index-1

Index

D

Dichtschließen, 3-1 Dokumentation

vorauszusetzende, 1-1

E

Einstellungen, 3-2

I

Internetlink

Anleitungen und Handbücher, 1-2 Katalog FI 01, 1-2

Produktinformation, 1-2 Siemens-Niederlassungen, 1-2

K

Kenndaten

sicherheitstechnisch, 3-5

P

Parameter

sicherheitsrelevante, 3-2

Produktinformation im Internet, 1-2 Pz, 3-5

S

Sicherheitsfunktion, 3-1, 3-4 überprüfen, 3-4

sicherheitsrelevante Parameter, 3-2

Siemens-Niederlassung, 1-2 Störung, 3-4

System

Sicherheitsbezogen, 2-1

U

Überprüfung, 3-4

W

Wartung, 3-4

Weitere Information, 1-2

Y

Y1, 3-5

(28)

Index

B A SIPART Elektropneumatische Stellungsregler Funktionale Sicherheit für SIPART PS2 3 2 1

Einleitung 1

Allgemeine

Sicherheitshinweise 2

Gerätespezifische

Sicherheitshinweise 3

Anhang A

Liste der Abkürzungen B SIPART

Elektropneumatische Stellungsregler

Funktionale Sicherheit für SIPART PS2

Produktinformation

09/2006

Ergänzung zu Gerätehandbüchern 6DR501*,

6DR511*, 6DR521*, 6DR531*

Inhaltsverzeichnis

Einleitung 1

1.1 Zweck dieser Dokumentation

1.2 Gültigkeitsbereich dieser Dokumentation

1.3 Historie

1.4 Weitere Informationen

Allgemeine Sicherheitshinweise 2

2.1 Sicherheitsbezogenes System

2.2 Safety Integrity Level (SIL)

Gerätespezifische Sicherheitshinweise 3

3.1 Anwendungsbereich

3.2 Sicherheitsfunktion

3.3 Einstellungen

3.4 Verhalten bei Störungen

3.5 Wartung/Überprüfung

3.6 Sicherheitstechnische Kenndaten

Anhang A

A.1 Literatur und Normen

A.2 SIL-Konformitätserklärung

A.3 Prüfbericht (Auszug)

FMEDA and Proven-in-use Assessment

SIEMENS AG, A&D PI TQ2

Liste der Abkürzungen B

B.1 Abkürzungen

Glossar

Index

D

E

I

K

P

S

U

W

Y

6DR511, 6DR521, 6DR531*