Guide de sécurité SIL
Contents
1. curit dans un tat de fonctionne ment dangereux ou non autoris Rate of safe failures Taux de d faillances non dangereuses par heure Rate of dangerous failures Taux de d faillances dangereuses par heure S D DU Rate of dangerous undetected Taux de d faillances dangereuses non d tect es failures par heure DD Rate of dangerous detected Taux de d faillances dangereuses d tect es par failures heure DC HFT Diagnostic Coverage of Degr de couverture du diagnostic dangerous failures DC pp Apu App Hardware Fault Tolerance Tol rance d erreurs du mat riel Capacit d une unit fonctionnelle continuer ex cuter une fonction demand e en cas d erreur ou d cart MTBF Mean Time Between Failures Temps moyen entre deux d faillances MTTR Mean Time To Repair Temps moyen entre l apparition d une erreur dans un appareil ou un syst me et la r solution Failure In Time 1 x 10 erreurs par heure TI Test Interval between life Intervalle de contr le entre les essais de fonc testing of the safety function tionnement de la fonction de protection X out of Y Voting e g 1002 Classification et description du syst me de s cu rit sur le plan de la redondance et du mode de s lection utilis Abr via Fran ais tion Y indique la fr quence laquelle la fonction de s curit est ex cut e redondance X indique le nombre de canaux qui doivent fonction ner correctement E2. taux de demande lev ou continu high demand or continuous mode DIN EN 61508 4 3 5 12 Le temps de tol rance d erreurs du syst me g n ral doit alors tre su p rieur la somme des temps de r action ou des intervalles d essai de diagnostic de tous les composants de la cha ne de mesure de s curit La caract ristique correspondante est la valeur PFH 3 3 Types d erreur Une d faillance non dangereuse safe failure n entra ne pas le bascule ment du syst me de s curit dans un tat dangereux ou dans un tat de dysfonctionnement Le convertisseur bascule dans l tat s r d fini ou dans le mode de perturbation en cas de d passement de la plage de mesure par ex 21 mA Une d faillance dangereuse non d tect e dangerous undetected fai lure peut entra ner le basculement du syst me de s curit dans un tat dangereux ou dans un tat de dysfonctionnement Le convertisseur ne bascule pas dans l tat s r d fini ou dans le mode de perturbation 3 4 Intervalle d essai de diagnostic Parall lement aux fonctions de s curit proprement parler des fonc tions de diagnostic sont continuellement ex cut es dans les convertis seurs afin de d tecter tout comportement d faillant L intervalle d essai de diagnostic repr sente la p riode pendant laquelle ces essais sont r ali s s et r p t s Des erreurs de mat riel fortuites sont d tect es pendant cette p riode 10 4 Montage et installatio
3. SIL 2 SIL 3 en cas de c blage redondant par le T V conform ment la norme EN 61508 T V Rheinland Industrie Service GmbH Automation Software und Informationstechnologie ASI Am Grauen Stein D 51105 Cologne Functional Safety E e T VRheinland N du certificat et du rapport d essai 968 EZ 272 00 07 Les convertisseurs sont d velopp s et contr l s conform ment aux normes suivantes e EN 61508 2001 S curit fonctionnelle des syst mes lectriques lectroniques programmables de s curit e EN 61511 2004 S curit fonctionnelle Syst mes de s curit pour l industrie des processus e EN 61010 1 2001 Contraintes de s curit pour les appareils lectriques de mesure de commande de r gulation et de laboratoire e EN 61326 1 2006 Appareils lectriques de mesure de commande de r gulation et de laboratoire Exigences CEM e EN 61326 2 3 2006 Appareils lectriques de mesure de commande de r gulation et de laboratoire Exigences CEM Partie 2 3 Exigences particuli res Disposition de contr le conditions de fonctionnement et caract ris tiques de puissance des convertisseurs avec traitement des signaux int gr ou amovible e IEC 61326 3 2 2006 Appareils lectriques de mesure de commande de r gulation et de laboratoire Exigences CEM Partie 3 2 Exigences d immunit pour les appareils qui ex cutent des fonctions de s curit ou qui sont utilis s pour des fon
4. zur berwachung SensoTrans DMS P 32200 P0 1 Intended sicherheitsrelevanter Signale ThermoTrans P 32100 P0 1 application Temperatur Widerstand Potentiometer Spannung Pr fgrundlagen EN 61508 2001 Codes and standards forming EN 61511 2004 the basis of testing EN 61010 1 2001 EN 61326 1 2006 IEC 61326 3 2 2006 EN 50178 1997 Pr fungsergebnis Die Messumformer Reihe P32000 mit den oben genannten Typen Test results erf llt die gestellten Anforderungen der EN 61508 f r SIL 2 bzw SIL 3 im redundanten Betrieb und k nnen in Schutzeinrichtungen zur berwachung von sicherheitsrelevanten Prozessgr ssen ein gesetzt werden Besondere Bedingungen Die Sicherheitshinweise im Sicherheitshandbuch und in den Specific requirements Gebrauchsanleitungen der Messumformer sind zu ber ck sichtigen Der Pr fbericht Nr 968 EZ 272 00 07 vom 12 10 2007 ist Bestandteil dieses Zertifikates Der Inhaber eines f r den Pr fgegenstand g ltigen Genehmigungs Aus Functional Safety weises ist berechtigt die mit dem Pr fgegenstand bereinstimmenden F e Erzeugnisse mit dem abgebildeten Pr fzeichen zu versehen The test report no 968 EZ 272 00 07 dated 12 10 2007 is an integral part of this certificate T VRheinland The holder of a valid licence certificate for the product tested is authorized to affix the test mark shown opposite to products which are identical with the product tested T V Rheinland Indus
5. 6 Caract ristiques de s curit 6 1 Suppositions e La communication par le biais de l interface IrDA est exclusivement utilis e pour la configuration de l appareil ou pour des fonctions de diagnostic mais pas pour des op rations critiques de s curit Apres la configuration avec des commutateurs rotatifs DIP ou l inter face IrDA un contr le de fonctionnement est r alis afin de v rifier que la fonction de mesure ex cut e est conforme aux sp cifications e Le temps de r solution MTTR apr s une erreur d appareil ne d passe pas 72 heures La temp rature moyenne consid r e sur une longue p riode ne d passe pas 55 C e Les conditions ambiantes correspondent aux conditions moyennes d un environnement industriel e Les sp cifications du mode d emploi ne doivent pas tre d pass es 15 6 2 Caract ristiques sp cifiques de s curit ES d appareil SS B Intervalle d essai de diagnostic Temps de r action aux erreurs en cas lt 25 de d passement positif ou n gatif de la plage de mesure Taux de d faillance D Remarque Le taux de d faillance des l ments lectroniques augmente apr s une dur e d utilisation de 8 12 ans ce qui entra ne une alt ration des va leurs PFD et PFH qui en sont d riv es DIN EN 61508 2 7 4 7 4 remarque 3 16 6 3 Exemple de calcul Un syst me doublement redondant avec deux convertisseurs PolyTrans P32000 est suppos titre d ex
6. Guide de s curit SIL PolyTrans P32000P0 1 Thermo Trans P32100P0 1 SensoTrans P32200P0 1 SensoTrans P32300P0 1 www knick de UN Knick gt 80115 Table des mati res 1 1 2 1 2 2 3 1 3 2 3 3 3 4 5 1 6 1 6 2 6 3 Champ d application et normes 4 e 6 Descriptif de l appareil et champ d application 8 Fonction de S CUrit sienne 8 D finition de l tat s r see 8 Informations relatives la programmation 9 Mode de fonctionnement faible taux de demande 9 Mode de fonctionnement taux de demande lev 9 Types KT SR a ER 9 Intervalle d essai de diagnostic 10 Montage et installation 11 Contr les p riodiqUeS sesesssesssoeseesseoesesescessosseoesesesosesose 13 V rification du fonctionnement 13 Caract ristiques de s curit 15 SCO BOS OS easier ites i isiin 15 Caract ristiques sp cifiques de s curit 16 Exemple E nantes 17 EAL E SR TN RO AR EEE RE 19 1 Champ d application et normes Ce guide de s curit concerne les convertisseurs des s ries PolyTrans P32000P0 1 Thermo Trans P32100P0 1 SensoTrans P32200P0 1 et SensoTrans P32300P0 1 Versions mat rielles et logicielles valides e Num ros de s rie partir de 1657362 e Logiciel de l appareil partir de la rev 1 28 2 0 Les convertisseurs orient s s curit de la s rie P32xxxP0 1 de Knick Elektronische Messger te GmbH amp Co KG sont certifi s
7. IL 3 Les signaux de sortie des convertis seurs doivent tre surveill s par un quipement appropri en amont par ex fonction de surveillance dans un API et de mani re orient e vers la s curit comme un syst me 1 sur 2 au sens de la norme DIN EN 61508 cf DIN EN 61508 6 B 2 2 2 2 2 D finition de l tat s r Type de signal de sortie 0 20 mA lt 3 6 mA 221 mA 4 20 mA lt 3 6 mA gt 21 mA 0 10V lt 0 1V gt 10 5V 3 Informations relatives la programmation 3 1 Mode de fonctionnement faible taux de demande Les convertisseurs sont utilis s en mode de fonctionnement faible taux de demande low demand mode lorsque le taux de demande aupr s des convertisseurs ne d passe pas une fois par an et ne d passe pas le double de la fr quence du contre essai DIN EN 61508 4 3 5 12 Le mode de fonctionnement faible taux de demande peut aussi tre utilis lorsque le rapport entre le taux d essais de diagnostic interne du convertisseur et le taux de demande ne d passe pas la valeur 100 DIN EN 61508 2 7 4 3 2 5 La caract ristique correspondante est la valeur PFD La valeur d pend de l intervalle de contr le TI entre les essais de fonctionnement de la fonc tion de protection 3 2 Mode de fonctionnement taux de demande lev Si le mode de fonctionnement faible taux de demande n est pas appropri utiliser le convertisseur comme un sous syst me de s curit en mode de fonctionnement
8. application Pour cela proc der comme suit e Activer le convertisseur avec la sortie ouverte charge co V rifier les messages d tat et de diagnostic signal s par des LED e Aucune erreur d appareil ne doit tre signal e message d erreur 10 e Pour le type de signal de sortie configur Courant par ex A 20 mA le message d erreur 6 erreur de sortie Charge doit tre signal e Sp cifier des valeurs de consigne pour le d but et la fin de la plage de mesure ainsi qu une valeur moyenne par ex valeur 50 V rifier que l cart de mesure est compris dans les tol rances sp cifi es V rifier que le basculement dans l tat s r s effectue correctement Pour le v rifier privil gier la simulation d une rupture de c ble entr e ouverte La sortie commande alors gt 21 mA sorties de courant ou gt 5 25 V ou gt 10 5 V sorties de tension Le message d erreur Capteur ouvert est alors transmis la LED rouge clignote 4 fois 13 Le signal d erreur est maintenu m me si la cause de l erreur a t r so lue message d erreur auto maintenu Le message d erreur est r ini tialis par un red marrage marche arr t de l nergie auxiliaire ou via IrDA Si l essai de fonctionnement s av re n gatif le convertisseur doit tre mis hors service et le processus doit tre maintenu dans un tat s r par le biais d autres mesures Le convertisseur lui m me ne n cessite pas d entretien 14
9. ctions de s curit s curit fonctionnelle Applications industrielles dans des environnements lectromagn tiques e EN 50178 1997 Equipement lectronique des installations courant fort 1 1 Abr viations Abr via Fran ais tion SIL Safety Integrity Level La norme internationale IEC 61508 d finit quatre niveaux d int grit de s curit Safety Integrity Level discrets de SIL 1 SIL 4 Chaque niveau correspond une plage de probabilit de d faillance d une fonction de s curit Plus le niveau d int grit de s curit des syst mes de s curit est lev plus il est probable qu ils ex cutent efficacement les fonctions de s curit demand es Probability of Failure on Probabilit de d faillance dangereuse d une Demand fonction de s curit en cas de demande PFDG Average Probability of Failure Probabilit moyenne d une d faillance dan on Demand gereuse en cas de demande d un groupe de canaux avec comparateur de sortie ou l ment de d cision la majorit Probability of a dangerous Probabilit de d faillance de la fonction de Failure per Hour s curit par heure Average Probability of a dan Probabilit de d faillance par heure pour un gerous Failure per Hour groupe de canaux avec comparateur de sortie ou l ment de d cision la majorit Safe Failure Fraction Part de d faillances non dangereuses Part de d faillances n entra nant pas le basculement du syst me de s
10. emple de calcul concret syst me 1002 L intervalle de contr le Test de 1 an 8760 h Afin que la fonction de s curit soit correctement ex cut e les canaux doit tre reli s entre eux de mani re ce que l un des canaux suffise au d clenchement de la fonction de s curit Dans un syst me 1002 cela provoque donc une d faillance dangereuse de la fonction de s curit si les deux canaux sont simultan ment d faillants Canal 1 P 32000 Canal 2 P 32000 Equation de d termination de PFD pour un syst me 1002 PFDG 1002 2 1 B App 1 B Apu tce tae BoAoMTTR Bapu MTTR avec ess Ge e wel Ken MTTR T To 7 Mr 7 MTIR Equation de d termination de PFH pour un syst me 1002 PFG lt 1002 2 1 Bp App 1 B Apu tce Br nn Bou avec hu FT App Tat 4 MTTR 3P MTIR 17 Les valeurs suivantes sont obtenues pour ce syst me 2 canaux 1002 SIL 3 Prose 85107 18 7 Certificat A T VRheinland Genau Richtig Z E RTI F KAT Nr No 968 EZ 272 00 07 CERTIFICATE Pr fgegenstand Messumformer Reihe Zertifikatsinhaber Knick Elektronische Product tested P32000 Holder of the Messger te GmbH amp Co KG certificate Beuckestrasse 22 14163 Berlin Typbezeichnung PolyTrans R 32000 P0 1 Verwendungs Einsatz als Teil von Schutzein Type designation SensoTrans R P 32300 P0 1 zweck richtungen
11. n Selon le modele de convertisseur les documentations suivantes doivent tre jointes PolyTrans ThermoTrans SensoTrans SensoTrans P32000P0 1x P32100P0 1x P32200P0 1x P32300P0 1x Mode d emploi Mode d emploi Mode d emploi Mode d emploi TA 254 111 KNxxx TA 254 113 KNxxx TA 254 114 KNxxx TA 254 115 KNxxx Les consignes les conditions g n rales et les valeurs limites indiqu es dans les modes d emploi doivent tre respect es lors de l installation et de l utilisation des convertisseurs Les appareils pour lesquels un tr s haut degr de disponibilit est n cessaire doivent tre affect s la cat gorie de surtension Ill Avec la cat gorie de surtension Ill et le degr de pollution 2 la tension de ser vice maximale admissible est de 150 VCA CC Si la tension de service est gt 150 VCA CG il est n cessaire de prendre des mesures adapt es de protection contre la surtension afin de s assurer que la cat gorie de sur tension Ill est respect e Les c bles reliant le capteur situ sur le point de mesure au convertisseur doivent tre dispos s de mani re emp cher un court circuit entre les fils et avec l environnement des c bles Pour un type de signal de sortie configur Courant par ex 4 20 mA la charge de sortie doit tre gt 50 Q Avant la mise en service et apr s chaque modification de la programma tion v rifier le fonctionnement conforme du convertisseur cf chapitre 5 1 V rificatio
12. n du fonctionnement 11 Si la programmation a t effectu e par le biais de l interface IrDA le convertisseur doit ensuite tre plac en mode Read Only Dans ce mode de fonctionnement les donn es peuvent uniquement tre envoy es par le convertisseur via l interface IrDA affichage des mesures statistiques Sek Activer le mode Read Only e Tous les commutateurs DIP 0 Tous les commutateurs rotatifs 0 Une fois la programmation correctement effectu e fixer les commuta teurs l aide du film en polyimide autocollant fourni 12 5 Contr les p riodiques Le contr le de fonctionnement p riodique permet de d tecter d ven tuelles erreurs dangereuses non d tectables par l auto diagnostic Le bon fonctionnement du convertisseur doit donc tre v rifi des intervalles r guliers et appropri s C est l utilisateur que revient la responsabilit de choisir le mode de contr le et les intervalles Les intervalles de contr le sont entre autres d termin s lors du calcul de chaque circuit de s curit d une installation valeurs PFD Le contr le doit tre r alis de mani re d montrer le bon fonctionne ment de la fonction de s curit en interaction avec tous les composants 5 1 V rification du fonctionnement Les valeurs PFD document es dans le chapitre 6 x s appliquent l inter valle de contr le TI 1 an Le bon fonctionnement du convertisseur doit tre v rifi dans l
13. trie Service GmbH Gesch ftsfeld ASI Automation Software und Informationstechnologie fi Am Grauen Stein 51105 K ln Postfach 91 09 51 51101 K ln 12 10 2007 Datum Date Firmenstempel Company Seal Dipl Ing Klaus Kemp 19 Knick Elektronische Messger te GmbH amp Co KG P O Box 37 0415 D 14134 Berlin T l 49 0 30 801 91 0 Fax 49 0 30 801 91 200 Internet http www knick de knick knick de TS 254 111 KNF01 20071009 CE
14. xemple de mesure de la temp rature architecture 1002 Le syst me de s curit d cide qu une limite de temp rature pr d finie est d pass e lorsque l un des deux capteurs de temp rature atteint cette limite Dans une architecture 1001 un seul capteur de temp rature est install D indique que le syst me inclut une fonction de diagnostic Channel Equivalent mean Temps moyen d indisponibilit d quivalence down time en heures temps d indisponibilit commun pour tous les composants dans un canal du sous syst me Voted Group Equivalent mean Temps moyen d indisponibilit d quivalence down time en heures pour un groupe avec comparateur de sortie ou l ment de d cision la majorit temps moyen d indisponibilit pour tous les canaux dans un groupe avec comparateur de sortie ou l ment de d cision la majorit 2 Descriptif de l appareil et champ d application 2 1 Fonction de s curit Les convertisseurs transmettent les valeurs d entr e dans un signal de sortie analogique normalis de 0 4 20 mA ou de 0 5 10 V avec une isolation galvanique La fonction de transmission peut tre ajust e aux capteurs raccord s l entr e Le signal de sortie analogique est retrans mis une unit logique par ex un API Dans une architecture monocanal 1001 les appareils peuvent tre utilis s jusqu SIL 2 Dans une architecture multicanal redondante ils peuvent tre utilis s jusqu S
Download Pdf Manuals
Related Search