LUDWIG SCHNEIDER Funktionssicherheit

Einführung

Notwendigkeit, das Risiko zu reduzieren

Integrieren Sie akzeptable Risiken im Einklang mit sozialen

Werten durch Sicherheitsmaßnahmen in das technische System.

Um gefährliche Ausfälle im Werk zu vermeiden, wird ein

elektrisches / elektronisches / programmierbares elektronisches

System (E / E / PE-System) eingesetzt. Die Summe aller

notwendigen Sicherheitsfunktionen zur Aufrechterhaltung des

Sicherheitszustands der Anlage wird als

sicherheitsinstrumentiertes System SIS oder sicherheitsrelevantes

System verwendet.

Ein Beispiel für ein solches Sicherheitssystem ist ein

Temperaturüberwachungssystem. Wenn die Temperatur den

Grenzwert überschreitet, schaltet das System die

Stromversorgung des Werks zuverlässig ab und versetzt sie in

einen sicheren Zustand, wodurch das Auftreten gefährlicher

Ereignisse verhindert wird.

Da die Gesellschaft im Laufe der Zeit immer höhere Erwartungen

an die Sicherheit von Technologiefabriken hat, werden die Risiken,

die von technologischen Systemen ausgehen, immer geringer. Es

wurden Richtlinien und Standards erstellt, die jedem

Anlagenbetreiber helfen, seine Anlage mit dem höchsten Maß an

Sicherheit zu betreiben. Die Durchführung einer Unfallanalyse und

Risikobewertung ist die Grundlage. Ziel ist es, das durch

gefährliche Güter verursachte Risiko zu verringern.

Under certain conditions, electronic thermometers can be used in

safety-related systems according to IEC 61508. The version of the

electronic thermometer (such as a resistance thermometer or

thermocouple) and the technical characteristics of the

temperature

transmitter used must be taken into consideration, as well as the

evaluation of safety-related systems.

This technical information describes the basics of functional safety

in accordance with IEC 61508 and provides recommendations for

the safety-related design of temperature measurement points.

1/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760

www.Ludwig-Schneider.com.cn

///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////

FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508

有关ASME PTC 19.3 TW-2016的基本信息

Sicherheitsbezogene Systemarchitektur

Elektrische / elektronische / programmierbare elektronische Systeme bestehen hauptsächlich aus Sensoren, Steuerungen und Aktuatoren.

In diesem Fall bezieht es sich auf die Einkanalarchitektur des Sicherheitssystems (1oo1-System).

Die Architektur beschreibt die spezifische Konfiguration der Hardware- und Softwareelemente im System.

Das 1oo1-System bedeutet, dass das System aus einem Kanal besteht, der sicher arbeiten muss, damit er Sicherheitsfunktionen ausführen kann (1 von 1).

Für ein Sicherheitssystem mit einer Mehrkanalarchitektur müssen die Hardware- oder Softwareelemente redundant sein (siehe "Redundantes System").

Beispiel einer einkanaligen Architektur für ein sicherheitsinstrumentiertes System

Sensor-Subsystem

Elektronisches Thermometer

mit Temperaturmessumformerr

Logik-Subsystem

Programmierbare Steuerung

Actuator subsystem

Ventil

Verantwortlichkeiten des Systeminstallateurs / Werksbetreibers

Werksbetreiber können elektronische Thermometer mit S20-H-Temperaturmessumformern (am Kopf montiert) verwenden.

und S20-R (Schienenmontage) als Sensorsubsystem des sicherheitsinstrumentierten Systems.

Temperaturmessumformer, Modell S20

2/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


RechtsgrundlageIEC 61508 series of standards "Functional safety of electrical/

electronic/programmable electronic safety-related systems"

Known as the basic safety standard. It describes measures to

prevent and control failures in instruments and equipment,

and can be used in various industries.

Especially in the following situations, IEC 61508 should be used

Safety function is realized by E/E/PE system

The failure of the safety instrumented system will cause

harm to personnel and the environment

There is no specific standard for safety system design

IEC 61508 represents the latest technology in the design of safety

instrumented systems. When designing a safety system, it is absolutely

necessary to follow the best available technology, namely IEC 61508.

There are also application-specific standards for planners, contractors,

and operators of safety systems. For example, these are the construction

of IEC 61511 "Functional safety of the process industry sector-Safety

instrumented systems" for the process industry and EN 62061

"Machine safety-Functional safety of safety-related electrical,

electronic and programmable electronic control systems" for machines .

When the electronic thermometer is used with a temperature transmitter

certified for safety-related applications, it can be used in a safety instrumented

system that complies with the IEC 61508 standard. S20 temperature transmitter

is based onIt is developed by IEC 61508 for the process industry and has been

certified by TÜVRheinland.

Electronic thermometers without temperature transmitters (such as resistance

thermometers or thermocouples) are not protected by IEC 61508 because

(for example) the measuring resistor is a simple electronic component that

cannot perform any self-diagnosis or detection errors.

For electronic thermometers without IEC 61508 certified temperature

transmitters, only the failure rate can be specified. This is because the types of

faults that can be detected and safely identified in an electronic thermometer

always depend on the operator's evaluation tool.

Through the certification of S20 temperature transmitter, the combination of

temperature transmitter and electronic thermometer has been considered.

In the safety manual "Functional safety information of S20 temperature transmitter",

the safety-related characteristic values of the temperature transmitter,

the connected temperature sensor and the entire component are specified.

For evaluation, the sensor subsystem is divided into elements "electronic

thermometer (temperature sensor)"And "temperature transmitter".

The temperature sensor is classified as A type component (basic component),

the temperature changes The feeder is classified as B-type component (complex component)

S e n s o r s u b s y s t e m b e s t e h e n d a u s

Temperaturgeber und Temperatursensor

Thermoelement oder

Widerstandsthermometer

Temperatur-Transmitter

Modell S20

Elektronische Thermometer ohne Temperaturtransmitter (wie

Widerstandsthermometer oder Thermoelemente) sind nicht durch die IEC

61508 geschützt, da (zum Beispiel) der Messwiderstand eine einfache

elektronische Komponente ist, die keine Selbstdiagnose- oder

Erkennungsfehler durchführen kann.

Die Sicherheitsfunktion wird durch das E / E / PE-System realisiert

Zur Auswertung wird das Sensorsubsystem in die Elemente "Elektronisches

Thermometer (Temperatursensor)" und "Temperaturtransmitter" unterteilt.

Es gibt keinen spezifischen Standard für das Design von

SicherheitssystemenIEC 61508 ist die neueste Technologie bei der

Entwicklung von Systemen mit Sicherheitsinstrumenten. Bei der Entwicklung

eines Sicherheitssystems muss unbedingt die beste verfügbare Technologie

befolgt werden, nämlich IEC 61508.

Es gibt auch anwendungsspezifische Standards für Planer, Auftragnehmer

und Betreiber von Sicherheitssystemen. Dies sind beispielsweise die

Konstruktion der IEC 61511 "Funktionssicherheit der Prozessindustrie -

Sicherheitsinstrumentierte Systeme" für die Prozessindustrie und EN 62061

"Maschinensicherheit - Funktionssicherheit sicherheitsrelevanter

elektrischer, elektronischer und programmierbarer elektronischer

Steuerungssysteme" für Maschinen.

Wenn das elektronische Thermometer mit einem für sicherheitsrelevante

Anwendungen zertifizierten Temperaturmessumformer verwendet wird, kann

es in einem sicherheitsgerichteten System verwendet werden, das der Norm

IEC 61508 entspricht. S20 Temperaturmessumformer basiert auf Es wurde von

IEC 61508 für die Prozessindustrie entwickelt und ist vom TÜVRheinland

zertifiziert.

Der Ausfall des sicherheitsgerichteten Systems führt zu Schäden

fürPersonal und Umwelt

Normenreihe IEC 61508 "Funktionale Sicherheit elektrischer / elektronischer

/ programmierbarer elektronischer sicherheitsrelevanter Systeme" Bekannt

als grundlegende Sicherheitsnorm. Es beschreibt Maßnahmen zur

Vermeidung und Kontrolle von Fehlern in Instrumenten und Geräten und

kann in verschiedenen Branchen eingesetzt werden.

Insbesondere in den folgenden Situationen sollte IEC 61508 verwendet

werden

Für elektronische Thermometer ohne IEC 61508-zertifizierte

Temperaturmessumformer kann nur die Ausfallrate angegeben werden. Dies

liegt daran, dass die Arten von Fehlern, die in einem elektronischen

Thermometer erkannt und sicher identifiziert werden können, immer vom

Bewertungsinstrument des Bedieners abhängen.

Durch die Zertifizierung des Temperaturmessumformers S20 wurde die

Kombination von Temperaturmessumformer und elektronischem

Thermometer berücksichtigt.

Im Sicherheitshandbuch "Funktionssicherheitsinformationen des

Temperaturmessumformers S20" sind die sicherheitsrelevanten Kennwerte

des Temperaturmessumformers, des angeschlossenen Temperatursensors

und der gesamten Komponente angegeben.

Der Temperatursensor wird als Komponente vom Typ A (Grundkomponente)

klassifiziert, die Temperaturänderungen. Die Zuführung wird als Komponente

vom Typ B (komplexe Komponente) klassifiziert.

3/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


Sicherheitsbezogene Systembewertung

safety integritylow highniedrig Sicherheit

SIL1 SIL2 SIL3 SIL4

hoch

Daher ist der Begriff "SIL" ein wichtiger Parameter eines

Sicherheitssystems, wird jedoch häufig als Synonym für

"funktionale Sicherheit" verwendet.

Erkennen an das Sicherheitssystem

Um Temperaturmesspunkte zu entwerfen, die für optimiert sind

Bei sicherheitsrelevanten Systemen müssen folgende Aspekte

berücksichtigt werden:

Der Sicherheitsstatus der Anlage und die Sicherheitsfunktion

jedes Elements müssen vom Anlagenbetreiber festgelegt werden.

Das erforderliche Sicherheitsintegritätsniveau muss vom

Betreiber des Sicherheitssystems anhand der Risikobewertung

und der Risikokarte festgelegt werden.

Die Arbeitsbedingungen des Thermometers (Prozessmedium,

Umwelteinflüsse) sollten vollständig spezifiziert sein, damit der

Temperaturmesspunkt zusammen mit Rodriguez optimiert

werden kann.

Die Anweisungen auf dem Thermometer in der

Rodriguez-Dokumentation müssen befolgt werden.

Stellen Sie sicher, dass die benetzten Teile für das

Messmedium gehört sind.

Die Basis für die bestmögliche Sicherheit am Temperaturmesspunkt

ist das richtige elektronische Thermometerdesign, um die

Prozessanforderungen zu erfüllen.

Der nächste Schritt ist die Auswahl eines für das Sicherheitssystem

geeigneten Temperaturmessumformers, der so viele Fehlertypen

wie möglich erkennt, z. B. das elektronische Thermometer und den

Messumformer selbst.

Safety integrity defines the probability of performing a safety

function on demand (that is, in the event of a system failure).

In order to obtain the measurement of safety integrity

requirements,it is divided into four safety integrity levels (SIL). If

SIL 4 is reached,the possibility of performing the safety function

is the greatest, so the risk can be minimized.

Rodriguez als Hersteller elektronischer Thermometer

unterstützte dies. Zum einen durch die Bestätigung, dass die

Anforderungen der IEC 61508 beispielsweise während der

Entwicklung von S20 erfüllt wurden. Zum anderen kann es

dem Bediener geeignete sicherheitsrelevante Kenndaten für

das Gerätedesign und die Bewertung der

Sicherheitsfunktionen zur Verfügung stellen.

Das Sicherheitsintegritätsniveau betrifft immer das gesamte

Sicherheitssystem. Das Element hat kein SIL, ist jedoch

möglicherweise für SIL-Anwendungen geeignet.

Beispielsweise stellt nur der Temperaturmessumformer S20

kein sicherheitsrelevantes System dar. Der Bediener ist

verantwortlich für die Definition und Aufrechterhaltung des

erforderlichen Sicherheitsintegritätsniveaus sowie des

gesamten Sicherheitssystems und verschiedener Elemente!

4/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


Nehmen Sie als Beispiel das Temperaturmessumformermodell S20,

um das maximal erreichbare Sicherheitsintegritätsniveau zu bestimmen

Um das Sicherheitsintegritätsniveau sicherheitsrelevanter Systeme zu bestimmen, müssen gleichzeitig

die Anforderungen an die Systemsicherheitsintegrität und die Hardware-Sicherheitsintegrität festgelegt werden.

Integrität der Systemsicherheit

Um die Anforderungen an die Integrität der Systemsicherheit zu

erfüllen, müssen Systemfehler berücksichtigt werden. Systematische

Fehler sind Konstruktionsfehler, Herstellungsfehler oder

Betriebsfehler. Um diese Gefahren zu verringern, legt IEC 61508 die

Sicherheitsmaßnahmen fest, die während der gesamten Lebensdauer

(Produktlebenszyklus) des technischen Systems eingehalten werden

müssen. Der Sicherheitslebenszyklus eines Sicherheitssystems

beginnt mit dem Konzept und endet mit der Außerbetriebnahme.

Im Rahmen des Sicherheitsmanagements im S20-Entwicklungsprozess

können beispielsweise Systemfehler durch Verifizierung und

Verifizierungsaktivitäten sowie durch Pläne und detaillierte

Dokumentationen verhindert werden. Daher erfüllt die Software

des Modells S20 sogar den SIL 3-Standard für Sicherheitsintegrität

Integrität der Hardwaresicherheit

Zufälliger Fehler

Um die Integrität der Hardwaresicherheit zu bewerten, müssen

zufällige Fehler berücksichtigt werden. Diese werden beispielsweise

durch zufällige Änderungen des Komponentenverhaltens verursacht.

G. Unterbrechung, Kurzschluss oder zufällige Änderung des

Kondensatorwerts im Stromkreis. Zufällige Fehler können nicht

vermieden werden. Nur die Wahrscheinlichkeit solcher Fehler kann

berechnet werden. Die Ausfallrate wird in Einheiten von FIT

(Failure in Time) angegeben.

Es ist definiert als:

In einem Zeitintervall wird die Summe aller mit einer konstanten

Ausfallrate berechneten Fehler als Grundfehlerrate λB bezeichnet.

Die Grundfehlerrate setzt sich aus gefährlichen Fehlern zusammen,

die die Sicherheitsfunktion λD = gefährliche und ungefährliche

Fehler λS = sicher beeinflussen.

Depending on whether the fault can be detected through the

diagnostic function of the electronic equipment in the safety system,

or the fault still cannot be detected, dangerous and non-hazardous

faults can be further divided.

λDD = gefährlich

nachweisbarer

Aufschlüsselung der Ausfallrate

λSU = sicher und

unauffindbar

λDD = gefährlich

nachweisbarer

λSD=Safe and detectable

5/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


Das elektronische Thermometer kann folgende Fehlfunktionen aufweisen:

Unterbrechung des Messkreises unterbrochen

Kurzschluss versehentlich zwei Verbindungskabel angeschlossen

Drift aufgrund von Änderungen des Widerstandsmaterials oder Drift der thermoelektrischen Spannung

Änderungen des Bleiresistenz, z. durch Temperaturänderungen

Entsprechend der Fehlererkennungsfunktion des verwendeten Temperaturmessumformers müssen

die verschiedenen Fehler im elektronischen Thermometer definiert werden

Fehlertyp (λSD, λSU, λDD, λDU).

Arten von Fehlfunktionen elektronischer Thermometer

Tabelle 1: Fehlererkennung durch Temperaturmessumformer Modell S20

Umstände, unter denendas elektronische Thermometerkann zu Fehlfunktionen führen

Offener Kreislauf

Kurzschluss

Drift

Änderung des Leitungswiderstands

电阻温度计 2线制连接电阻温度计 3线制连接

电阻温度计 4线制连接热电偶

λDD

λDD

λDU

λDU

λDD

λDD

λDU1）λDD

λDD

λDD

λDU1）λDD

λDD

λDU

λDU

λDD

1) Nur wenn die Länge des Verbindungskabels zwischen dem Messwiderstand und dem Messumformer gleich ist und der Querschnitt des Drahtes gleich ist,

kann die Änderung des Leitungswiderstands in der 3-Draht-Verbindung erkannt werden.

In der Literatur sind die Ausfallraten von Thermoelementen und Widerstandsthermometern in verschiedenen Anwendungen

und Konfigurationen angegeben. Die Ausfallrate basiert auf dem "schlimmsten Fall" des Thermometerausfalls und gibt Hinweise für

die Auslegung des sicherheitsgerichteten Systems.

Bei Verwendung der Ausfallrate sollten die Arbeitsbedingungen und das Verbindungskabel zwischen Messpunkt

und Messumformer berücksichtigt werden. Sie unterscheiden sich nach den Vibrationsanforderungen des Einsatzortes

(geringe Beanspruchung / hohe Beanspruchung) und der Art der Verbindung zwischen Messpunkt und Temperaturmessumformer

(geschlossene Verbindung / Verlängerungskabel) (siehe "Definitionen und Abkürzungen").

Tabelle 2: Ausfallrate von Thermoelementen ohne Temperaturtransmitter

FehlertypEng verbunden

Niedriger Druck hoher Druck

Verlängerungskabel


Open circuit

Short circuit

Drift

95 FIT

4 FIT

1 FIT

1,900 FIT

80 FIT

20 FIT

900 FIT

50 FIT

50 FIT

18,000 FIT

1,000 FIT

1,000 FIT

Tabelle 3: Ausfallrate eines 4-Draht-Widerstandsthermometers ohne Temperaturtransmitter

Open circuit

Short circuit

Drift

42 FIT

3 FIT

6 FIT

830 FIT

50 FIT

120 FIT

410 FIT

20 FIT

70 FIT

8,200 FIT

400 FIT

1,400 FIT

Table 4: Failure rate of resistance thermometers with 2-wire or 3-wire connection without temperature transmitter

Open circuit

Short circuit

Drift

38 FIT

1 FIT

9 FIT

758 FIT

29 FIT

173 FIT

371 FIT

10 FIT

95 FIT

7,410 FIT

190 FIT

1,900 FIT

Widerstandsthermometer2-Draht-Verbindung



Thermoelement



Verlängerungskabel




Verlängerungskabel


6/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


Einschränkungen der Integritätsstufe der Elementsicherheit

Der maximal erreichbare SIL für ein Element des Sicherheitssystems wird durch folgende Faktoren begrenzt:

Anteil der Sicherheitsmängel von Hardwareelementen

(Safe Failure Score, SFF)

Hardwarefehlertoleranz (HFT)

Die Hardwarefehlertoleranz ist ein Maß für die Redundan

zeines Sicherheitssystems. Wenn die Hardwarefehlertoleranz N ist,

ist N + 1 die minimale Anzahl von Fehlern, die zum Verlust der

Sicherheitsfunktion führen können. Die Hardwarefehlertoleranz

der einkanaligen sicherheitsinstrumentierten Systemarchitektur

ist Null.

Komplexität von Komponenten (Komponenten vom Typ A und B)

-Die Komponente vom Typ A ist die Hauptkomponente, die die

Fehlerleistung vollständig definiert und den Fehler bestimmt.

Komponenten vom Typ A sind beispielsweise

Widerstandstemperatursensoren und Thermoelemente.

- Bei komplexen Komponenten vom Typ B ist die Fehlerleistung

mindestens einer Komponente undefiniert oder nicht vollständig

definiert. Die Komponente vom Typ B ist beispielsweise eine

elektronische Schaltung mit a Mikroprozessor.

Der Temperaturmessumformer S20 ist als Komponente vom

Typ B definiert (siehe Tabelle 5).

Therefore, temperature sensors defined as type A components in the single-channel architecture (HFT = 0) should be used in safety

instrumented systems below SIL 2, and SFF ≥ 60% should be maintained according to Table 5. As a B-type component S20 temperature

transmitter, SFF ≥ 90% is required.

Tabelle 5: Die maximale Sicherheitsintegrität von Komponenten hängt von der Hardwarefehlertoleranz,

der Komplexität der Komponenten und der Sicherheitsfehlerrate ab

SFF Hardwarefehlertoleranz

0

Tippe A Typ B.

1

Tippe A Typ B.

2

Tippe A Tippe A

<60%

60 ... <90%

90 ... <99%

≥99%

SIL 1

SIL 2

SIL 3

SIL 3

Nicht erlaubt

SIL 1

SIL 2

SIL 3

SIL 2

SIL 3

SIL 4

SIL 4

SIL 1

SIL 2

SIL 3

SIL 4

SIL 3

SIL 4

SIL 4

SIL 4

SIL 2

SIL 3

SIL 4

SIL 4

Diese Komponenten dürfen in sicherheitsgerichteten Systemen mit entsprechendem SIL nur verwendet werden,

wenn die SFF-Werte des Temperaturmessumformers und des Temperatursensors beide den angegebenen Grenzwert erreichen.

Zusätzlich muss der PFD-Wert der gesamten Sicherheitsfunktion den Anforderungen von Tabelle 6 entsprechen.

Um den SFF-Wert des an den S20-Temperaturmessumformer angeschlossenen Widerstandstemperatursensors und Thermoelements zu

berechnen, sollte die Ausfallrate des Temperatursensors in Kategorien (λS, λDD, λDU) unterteilt werden und die Funktion des

Diagnosetransmitters sollte sein berücksichtigt. Daher kann der SFF-Wert nach folgender Formel berechnet werden:

Daher sollten Temperatursensoren, die als Typ-A-Komponenten in der Einkanalarchitektur (HFT = 0) definiert sind, in sicherheitsgerichteten

Systemen unter SIL 2 verwendet werden, und SFF ≥ 60% sollten gemäß Tabelle 5 beibehalten werden. Als B-Typ-Komponente S20

Temperaturmessumformer, SFF ≥ 90% ist erforderlich.

7/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


SIL-Grenze des gesamten Sicherheitssystems

Die Norm IEC 61508 legt den Wert des Sicherheitsintegritätsniveaus des gesamten Sicherheitssystems fest.

Je nachdem, wie oft Sie das Sicherheitssystem verwenden müssen, unterscheiden Sie zwei charakteristische Werte:

PFH（Möglichkeit eines gefährlichen Ausfalls pro Stunde）

Bei Betriebsarten mit hohen oder kontinuierlichen Bedarfsraten

(hoher Bedarf ) die durchschnittliche Häufigkeit gefährlicher

Ausfälle von Sicherheitsfunktionen. Diese Modelle sind besonders

für den Maschinenbau relevant.

PFDavg（Ausfallwahrscheinlichkeit bei Bedarf）

In einer Betriebsart mit niedriger Anforderungsrate

(geringer Bedarf ) die durchschnittliche Wahrscheinlichkeit eines

gefährlichen Ausfalls gemäß den Anforderungen der

Sicherheitsfunktion.

Tproof repräsentiert das Intervall zwischen wiederholten Tests. Nach

diesem Intervall wird das System durch geeignete Tests

(Verifikationstests) innerhalb der angegebenen Lebensdauer in

einen fast "neuen" Zustand versetzt.

Durch diesen Test können auch gefährliche und nicht nachweisbare

Fehler erkannt werden. Bei elektronischen Thermometern kann

durch regelmäßige Kalibrierung sichergestellt werden, dass der

gemessene Wert immer noch innerhalb des erforderlichen

Genauigkeitsbereichs liegt. Dies schließt auch eine unannehmbar

hohe Drift aus.

Im einjährigen Überprüfungstestintervall (Tproof = 8.760 h) für

Das an den S20-Temperaturmessumformer angeschlossene

Widerstandsthermometer gibt den folgenden PFDavg-Wert an:

-Umgebungsbedingungen: niedriger Druck

-Anschluss zwischen Messpunkt und Messumformer:

enge Kupplung

-Fehlerrate λDU = 16 FIT

Tabelle 6: Grenzwerte von PFDavg und PFH für SIL des Sicherheitssystems

Sicherheitsintegritätsstufe (SIL)Die durchschnittliche Wahrscheinlichkeit eines gefährlichen

Ausfalls der erforderlichen Sicherheitsfunktion (PFDavg)Durchschnittliche Häufigkeit

gefährlicher Ausfälle pro Stunde (PFH)

4

3

2

1

-5 -4 ≥ 10 to < 10-4 -3≥ 10 to < 10-3 -2≥ 10 to < 10-2 -1≥ 10 to < 10

-9 -1≥ 10 to < 10-8 h-8 -1≥ 10 to < 10-7 h-7 -1≥ 10 to < 10-6 h-6 -1≥ 10 to < 10-5 h

In Bezug auf die Anforderungen des PFDavg-Werts ist diese

Kombination daher für Sicherheitssysteme mit einem

Sicherheitsniveau von SIL 2 geeignet, jedoch aufgrund der

Einkanalstruktur (siehe "Sicherheitsintegritätsniveau für

begrenzte Komponenten") und SFF beschränkt auf SIL 2.

Die oben beschriebene Formel leitet sich aus IEC 61508 ab.

Es wird angenommen, dass die für die Systemaktualisierung

erforderliche Zeit von 8 Stunden im Vergleich zum

Verifikationstestintervall von 8760 Stunden vernachlässigbar ist.

Der PFDavg-Wert entspricht nahezu linear dem Proof-Testintervall

Tproof. Je kürzer das Verifikationstestintervall ist, desto besser

kann der PFDavg-Wert erhalten werden. Wenn der PFDavg-Wert

des gesamten Systems unter dem zulässigen Grenzwert liegt,

kann das Überprüfungstestintervall ebenfalls erhöht werden.

Ist der Proof-Test

Intervall wird auf 0,5 Jahre verkürzt, der PFDavg-Wert wird halbiert,

und wenn es auf 2 Jahre verlängert wird, wird es verdoppelt.

Je kleiner der PFDavg- oder PFH-Wert ist, desto größer ist der SIL,

den das gesamte System erreichen kann. In Tabelle 6 wird dem

PFDavgor PFH-Kennwert eine Sicherheitsintegritätsstufe

zugewiesen.

8/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


Für den Betreiber des Systems ist es immer der PFDavg-Wert von

das gesamte Sicherheitssystem, nicht der Wert des jeweiligen Einzelelements.

Zu Bewertungszwecken die folgende Verteilung der PFDavg-Werte

des Sicherheitssystems wurde als Kriterium festgelegt:

Actuator 50%

Die Verteilung von Sensoren, Steuerungen und Aktoren in

der Gesamt-PFD-Wert von SIS

sensor

(Electronic

thermometer)

35%

Control

system 15%

Gerätebetreiber können unterschiedliche Verteilungen von

Komponenten festlegen. Wenn die Sicherheit des Sensors

weniger als 35% des vom Sicherheitssystem zulässigen

maximalen PFDavg-Werts beträgt, z. B. des elektronischen

Thermometers des S20-Temperaturmessumformers, kann

der Bediener die Steuerung und den Stellantrieb verwenden

mit einem relativ schlechten PFDavg-Wert.

Strukturelle Einschränkungen

Die strukturellen Eigenschaften des sicherheitsgerichteten Systems

können den maximal erreichbaren SIL einschränken. In einer

Einkanalarchitektur wird das maximale SIL durch das schwächste Glied

bestimmt. In dem gezeigten Sicherheitssystem sind die Subsysteme

"Sensor" und "Logik" für SIL 2 geeignet, während das Subsystem

"Aktuator" nur für SIL 1 geeignet ist. Daher kann das gesamte

Sicherheitssystem höchstens SIL 1 erreichen.

Sensor-Subsystem

SIL 2

Komponenten sicherheitsrelevanter Systeme

Logik-Subsystem

SIL 2

Actuator subsystem

SIL 1

9/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


Redundantes System

Wenn zwei elektronische Thermometer mit S20-Temperaturmessumformern parallel installiert sind,

müssen häufige Fehlerursachen berücksichtigt werden. Wenn beispielsweise Umgebungsbedingungen

oder EMV-Störungen mehrere Kanäle gleichzeitig betreffen, können Fehler aufgrund häufiger Ursachen

auftreten. Diese Fehler betreffen alle Kanäle des redundanten Systems gleichzeitig.

Zuverlässigkeitsblockdiagramm: Elektronisches Thermometer in redundanter Konfiguration

Kanal 1

Kanal 1

Sensor

Elektronisches Thermometer 1

(Mit Temperaturmessumformer)

Häufige Gründe

für den Ausfall

在这种情况下，上图中的电子温度计代表一个两通道体系结构（1oo2）系

统。这种结构称为MooN系统。MooN系统（N个中的M个）由N个独立的

通道组成，其中M个通道必须安全运行，以便整个系统可以执行安全功能。

如果使用的两个带有温度变送器的电子温度计在结构，测量原理和软件方

面尽可能不同，则不太可能发生常见原因故障。因此，例如，电阻温度计

可以用于一个通道，而热电偶可以用于另一通道。为了进行测量，可以将

一个热电偶套管用于电阻温度计，将另一个热电偶套管用于热电偶，也可

以将单个热电偶套管用于两者。当使用单个热电偶套管时，相应原因引起

故障的可能性更大。当所使用的温度变送器来自不同的制造商，并且其结

构和软件不同时，还可以实现更高的多样性。

尤其是，S20型温度变送器的优点是可以用于SIL 3以下的同类冗余系统中。

这意味着，带有S20型温度变送器的电子温度计与第二个温度计并联连接。

在结构上相同的发射器上在单通道体系结构中，变送器适用于SIL 2级。由

于S20型温度变送器已完全开发并通过了IEC 61508标准的所有要素的认证

（全面评估开发），因此变送器也是适用于SIL 3应用的均匀冗余组件。即

使在开发过程中，软件中的避免故障措施也已设计用于SIL 3应用程序。因

此，S20型温度变送器不同于在早期使用的基础上仅适用于SIL应用的经操

作验证的仪器。

两通道架构中经实践证明的现场仪器最大程度地达到了单个仪器的SIL。与

S20型温度变送器不同，这些仪器的系统性故障首先无法得到防止或减少，

例如在仪器开发过程中。In order to solve the impact of common cause failures, a "β factor"

is needed to calculate the PFD value of the redundant system.

The beta factor refers to the proportion of undetected common

cause failures. According to IEC 61508-6 and considering that the

8 h period required for system refurbishment is negligible

compared with the verification test interval of 8760 h, the PFD

value of the 1oo2 structure is calculated using the following

simplified formula:

In order to determine the β factor, measures to reduce the

occurrence of common cause failures must first be defined.

Through engineering evaluation, it is necessary to work with

Rodriguez to determine to what extent each measure reduces

the occurrence of common cause failures.

In der Praxis in einer Zweikanalarchitektur bewährte Feldinstrumente erreichen den SIL eines einzelnen Instruments in höchstem Maße. Im

Gegensatz zu S20-Temperaturmessumformern können systembedingte Ausfälle dieser Instrumente beispielsweise während der

Geräteentwicklung nicht verhindert oder verringert werden.

Wenn zwei elektronische Thermometer mit Temperaturmessumformern hinsichtlich Struktur, Messprinzip und Software so

unterschiedlich wie möglich verwendet werden, ist es unwahrscheinlich, dass Fehler aufgrund häufiger Ursachen auftreten. So kann

beispielsweise ein Widerstandsthermometer für einen Kanal und ein Thermoelement für den anderen Kanal verwendet werden. Zur

Durchführung der Messung kann ein Schutzrohr für Widerstandsthermometer verwendet werden, ein anderes Schutzrohr kann für

Thermoelemente verwendet werden oder ein einzelnes Schutzrohr kann für beide verwendet werden. Wenn ein einzelnes Schutzrohr

verwendet wird, ist es wahrscheinlicher, dass die entsprechende Ursache zu einem Ausfall führt. Wenn die verwendeten

Temperaturmessumformer von verschiedenen Herstellern stammen und ihre Struktur und Software unterschiedlich sind, kann eine

höhere Diversität erreicht werden.

Der Vorteil des S20-Temperaturmessumformers besteht insbesondere darin, dass er in ähnlichen redundanten Systemen unterhalb von

SIL 3 verwendet werden kann. Dies bedeutet, dass das elektronische Thermometer mit S20-Temperaturmessumformer parallel zum

zweiten Thermometer geschaltet ist. In einer einkanaligen Architektur auf einem Messumformer mit derselben Struktur ist der

Messumformer für SIL Level 2 geeignet. Da der S20-Temperaturmessumformer vollständig entwickelt wurde und die Zertifizierung aller

Elemente der Norm IEC 61508 bestanden hat (vollständige Bewertung und Entwicklung) Der Sender ist auch eine einheitliche redundante

Komponente, die für SIL 3-Anwendungen geeignet ist. Bereits während des Entwicklungsprozesses wurden Maßnahmen zur

Fehlervermeidung in der Software für SIL 3-Anwendungen entwickelt. Daher unterscheidet sich der S20-Temperaturmessumformer von

einem Instrument, das nur für SIL-Anwendungen geeignet ist und sich aufgrund seiner frühen Verwendung im Betrieb bewährt hat.

In diesem Fall repräsentiert das elektronische Thermometer in der obigen Abbildung ein System mit Zweikanalarchitektur (1oo2). Diese

Struktur wird als MooN-System bezeichnet. Das MooN-System (M von N) besteht aus N unabhängigen Kanälen, von denen M Kanäle

sicher betrieben werden müssen, damit das gesamte System Sicherheitsfunktionen ausführen kann.

Elektronisches Thermometer 2

(Mit Temperaturmessumformer)

Um die Auswirkungen von Fehlern aufgrund häufiger Ursachen zu lösen, wird ein "β-Faktor" benötigt, um den PFD-Wert des redundanten

Systems zu berechnen. Der Beta-Faktor bezieht sich auf den Anteil nicht erkannter Fehler aufgrund häufiger Ursachen. Gemäß IEC 61508-

6 und unter Berücksichtigung der Tatsache, dass der für die Systemüberholung erforderliche Zeitraum von 8 Stunden im Vergleich zum

Verifikationstestintervall von 8760 Stunden vernachlässigbar ist, wird der PFD-Wert der 1oo2-Struktur unter Verwendung der folgenden

vereinfachten Formel berechnet:

Um den β-Faktor zu bestimmen, müssen zunächst Maßnahmen zur Verringerung des Auftretens von Fehlern aufgrund häufiger Ursachen

definiert werden. Durch technische Evaluierung muss mit Rodriguez zusammengearbeitet werden, um festzustellen, inwieweit jede

Maßnahme das Auftreten von Fehlern aufgrund häufiger Ursachen verringert.

10/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


Zusammenfassung der Empfehlungen

Um das Messwerkzeug vor dem Prozessmedium zu schützen und

eine schnelle und einfache Kalibrierung des elektronischen

Thermometers zu erreichen, sollte ein

Schutzthermometerzubehör mit austauschbarem Messwerkzeug

verwendet werden. Entsprechend den Anforderungen des

Prozesses ist es wichtig, besonders auf die korrekte Auslegung

des Schutzrohrs zu achten

Um Temperaturmesspunkte für sicherheitsrelevante

Anwendungen optimal zu gestalten, müssen die Anforderungen

im Kapitel "Anforderungen an das Sicherheitssystem"

eingehalten werden.

Darüber hinaus wird für Sicherheitsanwendungen empfohlen,

den Temperaturmessumformer S20 (am Kopf oder auf der

Schiene) mit einem 4-Draht-

Verbindungswiderstandsthermometer oder Thermoelement zu

verwenden. Durch die umfangreichen Diagnosefunktionen von

S20 und die Vorteile der 4-Draht-Verbindung kann ein hohes

Maß an Sicherheit bei der Temperaturmessung gewährleistet

werden.

Abkürzungen und Definitionen

Abkürzung Definition

Eng verbunden

Gleichstrom

Erweiterung

Kabel

Passend für

Hochfrequenz

Hoher Druck

Niedriger

Druck

PFDavg

PFH

Wärmewiderstand

Stapelfaser

SIS

TC

TR

Der Temperaturmessumformer befindet

sich im Stecker (am Kopf montiert) des

elektronischen Thermometers.

Abdeckung

Der Temperaturmessumformer befindet sich außerhalb des Anschlusses des elektronischen klinischen Thermometers und befindet sich beispielsweise in einem Schrank außerhalb des Messpunkts (Ferninstallation).

Ausfallzeit

Hardwarefehlertoleranz

Vibrationsanwendung

(≥67% der maximalen Vibrationsfestigkeit

des elektronischen Thermometers)

Geringe Vibration

(<67% der maximalen Vibrationsfestigkeit

des elektronischen Thermometers)

Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls gemäß den Anforderungen der Sicherheitsfunktion

Durchschnittliche Häufigkeit gefährlicher

Ausfälle von Sicherheitsfunktionen

"Widerstandstemperaturdetektor";


Sicherheitsfehlerwerte von Hardwareelementen

Sicherheitsinstrumentiertes System

Thermoelement

"Temperaturbeständigkeit";


11/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


Den Einfluss des Temperaturmessumformers Modell S20 (ab Firmware-Version 2.2.3)

auf sicherheitsrelevante Kennwerte neu bewerten

Im Rahmen der Neubewertung wurden keine sicherheitsrelevanten

Änderungen am Temperaturmessumformer vorgenommen.

Der Diagnosebereich des Senders bleibt unverändert.

Nur neue Bewertungsmethoden führen zu Änderungen der

sicherheitsrelevanten Kennwerte.

Neue Version der Norm IEC 61508

Seit der vorläufigen Bewertung der Grundnorm S20

Temperaturmessumformer für funktionale Sicherheit, IEC 61508

"Funktionssicherheit von elektrisch / elektronisch / programmierbar

Elektronische sicherheitsrelevante Systeme "wurde auf eine

überarbeitete Version von IEC 61508: 2010 aktualisiert.

Ab Firmware-Version 2.2.3 wird S20 anhand der Standards

dieser Version bewertet

Fehlerrate aktualisieren

In diesem Fall wird FMEDA (Fehlermodus, Auswirkungs- und

Diagnoseanalyse) auch mit der aktuellen Komponentenausfallrate

wiederholt. Gemäß SN29500 basiert die Berechnung auf der

Ausfallrate der Komponenten. Bei Temperaturwiderstandssensoren

und Thermoelementen, die an Temperaturmessumformer

angeschlossen sind, die Ausfallrate.

Bestimmt von exida.com LLC.

Elementanalyse des Subsystems "Sensor" Nach der Einführung

des Begriffs "Element" in Abschnitt 3.4.5 der IEC 61508-4: 2010,

die Verbindung von Temperaturmessumformer und Elektronik

Thermometer als "Sensor" -Subsystem wird berücksichtigt

und wie folgt bewertet:

Element1

Elektronisches Thermometer

ohne Sender

(Thermoelement oder

Widerstandsthermometer)

Für HFT = 0 und SIL 2 gilt

Typ A / SFF ≥ 60%

Element2

S20 Temperaturmessumformer

(Ohne Thermoelement

oder Widerstandsthermometer)

Für HFT = 0 und SIL 2 gilt

Typ B / SFF ≥ 90%

Diese separate Überlegung wirkt sich auf die Bewertung des

SFF-Werts aus. Beispielsweise wird der von einem Thermoelement

oder Widerstandsthermometer benötigte SIL 2 SFF auf 60% reduziert.

Anwendungsspezifische Ausfallrate

Durch die Neubewertung von S20 kann die Ausfallrate gemäß

der spezifischen Ausfallrate der Anwendung bestimmt werden,

die vom Vibrationspegel des installierten elektronischen

Thermometers abhängt und von der Verbindung des Thermometers

mit dem Messumformer abhängt. Zusätzlich wird die Ausfallrate

von "eigenständigen" Temperaturmessumformern für verschiedene

Konfigurationen berechnet.

Höhere Ausfallrate

Die Ausfallrate von S20-Sendern, die an Thermoelemente oder

Widerstandssensoren angeschlossen sind, hat einen

Verbesserungstrend gezeigt. Insbesondere für die Situation

"geringer Stress, eng gekoppelt" wird die Ausfallrate gefährlicher,

nicht nachweisbarer Ausfälle verringert.

Auswirkung auf den PFDavg-Wert

Insbesondere für "spannungsarme, eng gekoppelte"

Anwendungsbedingungen wurde der PFDavg-Wert verbessert.

Auf diese Weise können Benutzer bei Bedarf Logik- oder

Betriebssystemsubsysteme mit entsprechend größeren

PFDavg-Werten im sicherheitsgerichteten System verwenden oder

das Verifikationstestintervall verlängern.

Rodriguez-Repräsentanz in China

Rodriguez Automation Instrumentation (Guangzhou) Co., Ltd.

LUDWIG Internationaler Handel (Shanghai) Co., Ltd.

Telefon: 400-860-9760

E-Mail: [email protected]

Website: www.Ludwig-Schneider.com.cn

LUDWIG

SCHNEIDER

12/12

LUDWIG

SCHNEIDER

LUDWIG DATEN

TEL:400-860-9760


///////

20

20 JA

HR

00

50

7-0

52

7-1

01

3 C

h A

ufla

ge

///////


Documents

LUDWIG SCHNEIDER Funktionssicherheit