sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des...

24
GEMÜ 530 Pneumatisch betätigtes Geradsitzventil Pneumatically operated globe valve SIL-Sicherheitshandbuch SIL Safety Manual DE EN

Transcript of sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des...

Page 1: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

GEMÜ 530Pneumatisch betätigtes GeradsitzventilPneumatically operated globe valve

SIL-Sicherheitshandbuch

SIL Safety Manual

DE

EN

Page 2: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

Alle Rechte wie Urheberrechte oder gewerbliche Schutzrechte werden ausdrücklich vorbehalten.All rights including copyrights or industrial property rights are expressly reserved.

Dokument zum künftigen Nachschlagen aufbewahren.Keep the document for future reference.

© GEMÜ Gebr. Müller Apparatebau GmbH & Co. KG04.05.2018

www.gemu-group.com2 / 24GEMÜ 530

Page 3: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

Inhaltsverzeichnis1 Allgemeine Informationen ......................................... 4

1.1 Begriffsbestimmungen ...................................... 41.2 Abkürzungen ..................................................... 5

2 Normen / verwendete Literatur ................................ 53 Funktionsbeschreibung ............................................ 5

3.1 Sicherheitsfunktion ........................................... 54 Beschreibung der Diagnosemöglichkeiten ............. 6

4.1 Teilhubtest (PVST) ............................................ 64.2 Vollhubtest (FVST) ............................................ 6

5 Annahmen .................................................................. 76 Durch die Luftqualität bedingte Ausfälle ................ 77 SIL-Herstellererklärung GEMÜ 530 .......................... 88 SIL-Herstellererklärung GEMÜ 530 mit GEMÜ 032x 10

GEMÜ 530www.gemu-group.com 3 / 24

Page 4: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

www.gemu-group.com4 / 24GEMÜ 530

1 Allgemeine Informationen

1 Allgemeine InformationenDas Sicherheitshandbuch enthält Informationen und Sicher-heitshinweise, die für den Einsatz der Sitzventile in sicherheits-bezogenen Anwendungen gelten.

Das Sicherheitshandbuch gilt nur in Verbindung mit den jewei-ligen Montage-, Betriebs- und Wartungsanleitungen.

Bezeichnung Artikelnummerba_530_de_gb 88355563

Wenn das Sitzventil mit einem Vorsteuer-Magnetventil GEMÜ032x kombiniert wird, sind auch die folgenden Dokumente zubeachten:

Bezeichnung Artikelnummerba_0322_0324_0326_de_gb 88333312sh_032x_SIL_de_gb

1.1 Begriffsbestimmungen

Fehlersicherer Zustand

Der ausfallsichere Zustand ist als der Zustand definiert, in demdas Ventil die Sicherheitsfunktion in die Stellung ZU (bei Steu-erfunktion 1) oder Stellung AUF (bei Steuerfunktion 2) aus-führt.

Vollhub

Zustand, in dem das Ventil geschlossen ist.

Dichte Abschaltung

Zustand, in dem das Ventil geschlossen ist und so gut abdich-tet, dass die Leckage nicht größer als die definierte Leckrateist. Anforderungen bezüglich einer dichten Abschaltung müs-sen anwendungsspezifisch festgelegt werden. Wenn die Ab-schaltanforderungen einen größeren Durchfluss als ANSIKlasse V bzw. ANSI Klasse IV zulassen, können die Zahlen fürVollhub verwendet werden.

Sicherer Ausfall

Ein sicherer Ausfall („S“ für „safe“) ist definiert als Ausfall, derbei der Umsetzung der Sicherheitsfunktion eine Rolle spieltund der:– dazu führt, dass die unerwünschte Arbeitsweise der Si-

cherheitsfunktion das EUC („Equipment Under Con-trol“) (oder einen Teil davon) in einen sicheren Zustandversetzt oder einen sicheren Zustand aufrechterhält;oder

– die Wahrscheinlichkeit erhöht, dass die unerwünschteFunktionsweise der Sicherheitsfunktion das EUC (odereinen Teil davon) in einen sicheren Zustand versetztoder einen sicheren Zustand aufrechterhält.

Gefahrbringender Ausfall

Ein gefahrbringender Ausfall („D“ für „dangerous“) ist definiertals Ausfall, der bei der Umsetzung der Sicherheitsfunktion eineRolle spielt und der:

– verhindert, dass eine Sicherheitsfunktion bei Anforde-rung wirksam wird (Bedarfsbetrieb), oder der dazuführt, dass eine Sicherheitsfunktion ausfällt (Dauerbe-trieb), sodass das EUC in einen gefährlichen oder po-tenziell gefährlichen Zustand versetzt wird; oder

– die Wahrscheinlichkeit verringert, dass die Sicherheits-funktion bei Anforderung ordnungsgemäß arbeitet.

Gefahrbringend nicht erkannt

Ein Ausfall, der gefahrbringend ist und nicht diagnostiziertwird.

Gefahrbringend erkannt

Ein Ausfall, der gefahrbringend ist, jedoch durch externe Prü-fungen erkannt wird.

Ohne Wirkung

Ausfallmodus einer Komponente, die bei der Umsetzung derSicherheitsfunktion eine Rolle spielt, wobei es sich jedoch we-der um einen sicheren Ausfall noch um einen gefahrbringen-den Ausfall handelt.

Freisetzung nach außen

Ausfall, der dazu führt, dass Prozessmedien aus dem Ventilnach außen freigesetzt werden; eine Freisetzung nach außenwird nicht als Teil der Sicherheitsfunktion betrachtet. Die Aus-fallraten mit Freisetzung nach außen finden keinen direktenEingang in die Zuverlässigkeit eines Ventils, sie sollten jedochim Hinblick auf sekundäre Sicherheits- und Umweltaspekte ge-prüft werden.

Betrieb mit geringer Beanspruchung

Betriebsart, in der die Sicherheitsfunktion nur auf Anforderungausgeführt wird, um das EUC in einen festgelegten sicherenZustand zu versetzen, und bei der die Häufigkeit der Anforde-rung nicht größer ist als einmal pro Jahr.

Teilhubtest

Es wird davon ausgegangen, dass der Teilhubtest, soferndurchgeführt, mindestens um eine Größenordnung häufigerdurchgeführt wird als der Proof-Test; deshalb kann der Testals automatische Diagnose betrachtet werden. Aufgrund derBetrachtung als automatische Diagnose hat der Teilhubtestauch Auswirkungen auf den Anteil sicherer Ausfälle.

Anteil sicherer Ausfälle

Der Anteil sicherer Ausfälle fasst den Anteil an Ausfällen zu-sammen, die zu einem sicheren Zustand führen, sowie denAnteil an Ausfällen, die durch Diagnosemaßnahmen erkanntwerden und zu einer definierten Sicherheitsaktion führen.

Typ-A-Element

„Nicht komplexes“ Element (alle Fehlermöglichkeiten sind klardefiniert); Einzelheiten siehe unter 7.4.4.1.2 von IEC 61508-2

Page 5: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

www.gemu-group.com 5 / 24 GEMÜ 530

1.2 Abkürzungen

DC

„Diagnostic Coverage“: Der Diagnosedeckungsgrad gefährli-cher Ausfälle (DC = λdd / (λdd + λdu))

FIT

„Failure in Time“: Ausfallrate (1x10-9 Ausfälle pro Stunde)

FMEDA

„Failure Modes, Effects, and Diagnostic Analysis“: Fehlermög-lichkeits-, Einfluss- und Diagnoseanalyse

HFT

„Hardware Fault Tolerance“: Hardware-Fehlertoleranz

MTBF

„Mean Time Between Failures“: mittlerer Ausfallabstand

MTTR

„Mean Time To Restoration“: mittlere Reparaturzeit

PFDAVG

„Average Probability of Failure on Demand“: durchschnittlicheAusfallwahrscheinlichkeit bei Anforderung

PVST

„Partial Valve Stroke Test“: Teilhubtest

SFF

„Safe Failure Fraction“: Anteil sicherer Ausfälle

SIF

„Safety Instrumented Function“: sicherheitstechnische Funkti-on

SIL

„Safety Integrity Level“: Sicherheitsintegritätslevel

TSO

„Tight Shut-Off“: dichte Abschaltung

T [Proof]

Zeitabstand zwischen Proof-Tests

2 Normen / verwendete LiteraturDie von der Prüforganisation exida erbrachten Leistungen wur-den auf der Grundlage der folgenden Normen / Literatur durch-geführt:

IEC 61508-2:2010 Funktionale Sicherheit sicher-heitsbezogener elektrischer/elektronischer/programmier-barer elektronischer Systeme

Mechanical Component Relia-bility Handbook, 3. Auflage,2012

exida LLC, Mechanical Com-ponent Reliability Handbook,dritte Auflage, 2012, ISBN978-1-934977-05-7

IEC 60654-1:1993-02, Ausga-be 2

Leittechnische Einrichtungenfür industrielle Prozesse; Um-gebungsbedingungen; Teil 1:Klimatische Einflüsse

ISA-TR96.05.01-200_; Versi-on B vom Februar 2006

Entwurf des technischen Be-richts „Partial Stroke TestingFor Block Valve Actuators inSafety Instrumented SystemsApplications“

Final Elements, Chris O’Brien& Lindsey Bredmeyer, 2009

exida LLC, Final Elements &the IEC 61508 and IEC 61511Functional Safety Standards,2009, ISBN978-1-9934977-01-9

3 FunktionsbeschreibungDas pneumatisch betätigte 2/2-Wege-Ventil GEMÜ 530 ist einGeradsitzventil in Metallausführung mit einem Körper in Durch-gangsform und einem Kolbenantrieb.

Die Ventilkörper und Sitzdichtungen sind in verschiedenenAusführungen erhältlich.

Die Abdichtung der Ventilspindel erfolgt über eine selbstnach-stellende Stopfbuchspackung; dadurch ist auch nach langerBetriebszeit eine wartungsarme und zuverlässige Ventilspin-delabdichtung gegeben. Der Abstreifring vor der Stopfbuch-spackung schützt diese vor Verschmutzung und Beschädi-gung.

Das Sitzventil kann als Typ-A-Element mit einer Hardware-Fehlertoleranz von 0 betrachtet werden.

3.1 Sicherheitsfunktion

Der ausfallsichere Zustand ist als der Zustand definiert, in demdas Ventil die Sicherheitsfunktion in die Stellung ZU (bei Steu-erfunktion 1) oder Stellung AUF (bei Steuerfunktion 2) aus-führt.

3 Funktionsbeschreibung

Page 6: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

4 Beschreibung der Diagnosemöglichkeiten

4.1 Teilhubtest (PVST)

Teilhubtest („Part Valve Stroke Testing“, PVST) bezeichnet die Betätigung des Antriebs / Ventils über einen Teil seines gesamtenHubbereichs. Durch diesen kurzen Arbeitshub wird geprüft, dass der Antrieb / das Ventil nicht in der Betriebsstellung festsitzt. Derbegrenzte Hub des Antriebs / Ventils soll so kurz sein, dass er den Arbeitsablauf des Systems nicht stört. Der Zweck des PVSTbesteht darin, eine diagnostische Kontrolle der SIF-Funktion bereitzustellen. Eine mögliche Testanordnung ist in Abbildung 1 dar-gestellt.

Teilhubtests werden mit einer mindestens zehn mal höheren Rate durchgeführt als der erwarteten Anforderungsrate. Für Sicher-heitsfunktionen gemäß SIL 2 muss der Teilhubtest mindestens die Anforderungen von SIL 1 erfüllen.

Anal

og In

put

Binary Output ESD / OPEN / CLOSE

Safety PLC Actuator Valve

Binärausgang

Sicherheits-SPSAnal

ogei

ngan

g

ESD* / AUF / ZU

Antrieb

*ESD = Notabschaltung

Ventil

Abb. 1: Mögliche Testanordnung

4.2 Vollhubtest (FVST)

Vollhubtests („Full Valve Stroke Testing“, FVST) folgen einem ähnlichen Konzept wie der PVST, mit dem Unterschied, dass derAntrieb / das Ventil während des Tests durch seinen vollen Arbeitshub bewegt wird. Dies bietet einen höheren Diagnosede-ckungsgrad, kann jedoch üblicherweise nicht während des laufenden Prozesses durchgeführt werden. Es ist ein sehr effektiverTest, der automatisch bei chargenweise arbeitenden Prozessen sowie bei Einrichtungen, die regelmäßig abgeschaltet werden,durchgeführt werden kann.

4 Beschreibung der Diagnosemöglichkeiten

www.gemu-group.com6 / 24GEMÜ 530

Page 7: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

www.gemu-group.com 7 / 24 GEMÜ 530

5 Annahmen– Ausfallraten sind konstant, Verschleißmechanismen

sind nicht berücksichtigt.– Die Ausbreitung von Ausfällen ist nicht relevant.– Die Geräte sind gemäß den Anweisungen des Herstel-

lers installiert.– Vor dem Versand werden ausreichende Tests durchge-

führt, um sicherzustellen, dass keine Lieferanten- und/oder Herstellungsmängel vorliegen, die eine einwand-freie Arbeitsweise der spezifizierten Funktion gemäßProduktspezifikationen verhindern oder zu einem vonder analysierten Auslegung abweichenden Betrieb füh-ren.

– Werkstoffe sind mit Prozessbedingungen und Prozess-medien kompatibel.

– Die mittlere Reparaturzeit (MTTR) nach einem Ausfallbeträgt 24 Stunden.

– Für Sicherheitsanwendungen werden nur die beschrie-benen Varianten verwendet.

– Alle Komponenten, die nicht Bestandteil der Sicher-heitsfunktion sind und keinen Einfluss auf die Sicher-heitsfunktion ausüben können, sind ausgeschlossen.

– Ein Bruch oder ein Verschließen von Lufteinlass- und -auslassleitungen wurde nicht in die Analyse einbezo-gen.

– Saubere und trockene Betriebsluft wird gemäß derQualitätsnorm für Instrumentenluft ANSI/ISA-7.0.01.1996 verwendet.

– Alle Einrichtungen werden in der Betriebsart mit gerin-ger Beanspruchung betrieben.

– Vollhubtests werden mit einer mindestens zehn mal hö-heren Rate durchgeführt als der erwarteten Anforde-rungsrate.

– Für die Berechnungen in Abschnitt 6.1 (Fehlermöglich-keits-, Einfluss- und Diagnoseanalyse, Bericht Nr.GEMÜ 13/08-046 R002) beträgt die Zeit für die Erken-nung eines gefahrbringenden Ausfalls durch den Voll-hubtest 730 Stunden.

– Für Sicherheitsfunktionen gemäß SIL x muss der Teil-hubtest mindestens die Anforderungen von SIL (x-1) er-füllen. Wenn die Sicherheit beispielsweise SIL 3 erfül-len muss, dann sollte der Teilhubtest mindestens dieAnforderungen von SIL 2 erfüllen.

– Durch Wartungsfähigkeiten verursachte Ausfälle sindstandortspezifisch und können daher nicht einbezogenwerden.

– Vollhubtest (FVST) und Proof-Test umfassen auch eineVentilsignatur.

– Der Grad der Belastung entspricht Durchschnittswertenfür eine Industrieumgebung im Freien und kann mitdem exida-Profil 3 verglichen werden, wobei die Tem-peraturgrenzwerte innerhalb der Auslegung des Her-stellers liegen. Von den übrigen Umweltmerkmalen wirdangenommen, dass sie innerhalb der Auslegung desHerstellers liegen.

6 Durch die Luftqualität bedingte AusfälleDie auf der Konformitätserklärung angegebenen Ausfallratendes Produkts entsprechen einer Situation, in der das Gerät mitsauberer, gefilterter Luft verwendet wird. Eine Kontaminationdurch schlechte Luftqualität kann die Funktion oder den Luft-fluss in dem Gerät beeinträchtigen. Für Anwendungen, bei de-nen diese Annahmen nicht zutreffen, muss der Anwender diedurch verunreinigte Luft bedingten Ausfallraten schätzen unddiese Ausfallrate zu den produktbezogenen Ausfallraten ad-dieren.

6 Durch die Luftqualität bedingte Ausfälle

Page 8: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

7 SIL-Herstellererklärung GEMÜ 530

SIL-Herstellererklärung

Funktionale Sicherheit nach IEC 61508 und IEC 61511

Wir, die Firma

GEMÜ Gebr. Müller Apparatebau GmbH & Co. KGFritz-Müller-Straße 6-8D-74653 Ingelfingen-Criesbach

erklären, dass für das unten aufgeführte Produkt in sicherheitsbezogenen Anwendungen gemäß IEC 61508 und IEC 61511 dieunten aufgeführten Ausfallraten ermittelt wurden.

Die Ausfallraten wurden durch eine FMEDA (Failure Modes, Effects and Diagnostic Analysis) nach IEC 61508 ermittelt. Die Be-wertung wurde durch exida.com durchgefüht (Berichtsnummer: GEMÜ 13/08-046 R001).

Produktbeschreibung: Geradsitzventil GEMÜ 530Gerätetyp: ASicherheitsfunktion: Durch die Sicherheitsfunktion wird das Geradsitz- oder

Schrägsitzventil in die Geschlossen-Position (bei Steuer-funktion1) oder Offen-Position (bei Steuerfunktion 2) ge-bracht.

HFT (Hardware Failure Tolerance): 0MTTR (Mean time to restoration): 24 Stunden

Die ermittelten Ausfallraten gelten für die Betriebsart mit niedriger Anforderungsrate:

Ausfallraten Clean Service* (in FIT**)

ohne externen Test mit externem TestGeschlossen-Position Offen-Position Geschlossen-Position Offen-Position

voller Hub dichtschließend voller Hub dichtschließendSicherheits-funktion:

681 1406 606 681 1406 606

SIL (Safety In-tegrity Level):

1 1 2 2 2 2

λDU (Dange-rous undetec-ted):

439 1164 239 152 442 76

λDD (Dange-rous detected):

0 0 0 287 722 76

λSU (Safe un-detected):

242 242 367 242 242 367

λSD (Safe de-tected):

0 0 0 0 0 0

SFF (Safe Fai-lure Fraction):

35 % 17 % 60 % 77 % 68 % 87 %

PTC (ProofTest Covera-ge):

52 % 20 % 91 % 37 % 13 % 74 %

MTBF (MeanTime BetweenFailures) (inJahren):

57 57 60 57 57 60

7 SIL-Herstellererklärung GEMÜ 530

www.gemu-group.com8 / 24GEMÜ 530

Page 9: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

Die ermittelten Ausfallraten gelten für die Betriebsart mit niedriger Anforderungsrate:

AusfallratenSevere Service*** (in FIT**)

ohne externen Test mit externem TestGeschlossen-Position Offen-Position Geschlossen-Position Offen-Position

voller Hub dichtschließend voller Hub dichtschließendSicherheits-funktion:

1007 2448 932 1007 2448 932

SIL (Safety In-tegrity Level):

1 1 1 2 2 2

λDU (Dange-rous undetec-ted):

765 2206 375 269 846 117

λDD (Dange-rous detec-ted):

0 0 0 469 1360 258

λSU (Safe un-detected):

242 242 557 242 242 557

λSD (Safe de-tected):

0 0 0 0 0 0

SFF (Safe Fai-lure Fraction):

24 % 9 % 59 % 73 % 65 % 87 %

PTC (ProofTest Covera-ge):

46 % 16 % 92 % 32 % 10 % 74 %

MTBF (MeanTime BetweenFailures) (inJahren):

36 36 38 36 36 38

* Clean Service = ohne Schleifpartikel

** FIT = Failure In Time (1x10-9 Ausfälle pro Stunde)

*** Severe Service = mit Schleifpartikeln

Joachim BrienLeiter Bereich Technik

Ingelfingen-Criesbach, 31-08-2017

7 SIL-Herstellererklärung GEMÜ 530

www.gemu-group.com 9 / 24 GEMÜ 530

Page 10: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

8 SIL-Herstellererklärung GEMÜ 530 mit GEMÜ 032x

SIL-Herstellererklärung

Funktionale Sicherheit nach IEC 61508 und IEC 61511

Wir, die Firma

GEMÜ Gebr. Müller Apparatebau GmbH & Co. KGFritz-Müller-Straße 6-8D-74653 Ingelfingen-Criesbach

erklären, dass für das unten aufgeführte Produkt in sicherheitsbezogenen Anwendungen gemäß IEC 61508 und IEC 61511 dieunten aufgeführten Ausfallraten ermittelt wurden.

Die Ausfallraten wurden durch eine FMEDA (Failure Modes, Effects and Diagnostic Analysis) nach IEC 61508 ermittelt. Die Be-wertung wurde durch exida.com durchgefüht (Berichtsnummer: GEMÜ 13/08-046 R001).

Produktbeschreibung: Geradsitzventil GEMÜ 530Gerätetyp: ASicherheitsfunktion: Durch die Sicherheitsfunktion wird das Geradsitz- oder

Schrägsitzventil in die Geschlossen-Position (bei Steuer-funktion1) oder Offen-Position (bei Steuerfunktion 2) ge-bracht.

HFT (Hardware Failure Tolerance): 0MTTR (Mean time to restoration): 24 Stunden

Die ermittelten Ausfallraten gelten für die Betriebsart mit niedriger Anforderungsrate:

Ausfallraten Clean Service* (in FIT**)

ohne externen Test mit externem TestGeschlossen-Position Offen-Position Geschlossen-Position Offen-Position

vollerHub

dichtschließend voller Hub dichtschließend

Sicherheits-funktion:

830 1555 755 830 1555 606

SIL (Safety IntegrityLevel):

1 1 2 2 2 2

λDU (Dangerous un-detected):

478 1203 278 152 442 76

λDD (Dangerous de-tected):

0 0 0 326 761 76

λSU (Safe undetec-ted):

352 352 477 352 352 367

λSD (Safe detected): 0 0 0 0 0 0SFF (Safe FailureFraction):

42 % 22 % 63 % 81 % 68 % 89 %

PTC (Proof Test Co-verage):

56 % 23 % 92 % 37 % 13 % 74 %

MTBF (Mean TimeBetween Failures)(in Jahren):

5050 50 52 50 57 52

8 SIL-Herstellererklärung GEMÜ 530 mit GEMÜ 032x

www.gemu-group.com10 / 24GEMÜ 530

Page 11: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

Die ermittelten Ausfallraten gelten für die Betriebsart mit niedriger Anforderungsrate:

AusfallratenSevere Service*** (in FIT**)

ohne externen Test mit externem TestGeschlossen-Position Offen-Position Geschlossen-Position Offen-Position

voller Hub dichtschließend voller Hub dichtschließendSicherheits-funktion:

1156 2597 1081 1156 2597 1081

SIL (Safety IntegrityLevel):

1 1 2 2 2 2

λDU (Dangerous un-detected):

804 2245 414 270 846 117

λDD (Dangerous de-tected):

0 0 0 534 1399 297

λSU (Safe undetec-ted):

352 352 667 352 352 667

λSD (Safe detected): 0 0 0 0 0 0SFF (Safe FailureFraction):

30 % 13 % 61 % 76 % 67 % 89 %

PTC (Proof Test Co-verage):

49 % 17 % 93 % 32 % 10 % 74 %

MTBF (Mean TimeBetween Failures)(in Jahren):

33 33 35 33 33 35

* Clean Service = ohne Schleifpartikel

** FIT = Failure In Time (1x10-9 Ausfälle pro Stunde)

*** Severe Service = mit Schleifpartikeln

Joachim BrienLeiter Bereich Technik

Ingelfingen-Criesbach, 31-08-2017

8 SIL-Herstellererklärung GEMÜ 530 mit GEMÜ 032x

www.gemu-group.com 11 / 24 GEMÜ 530

Page 12: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

Contents1 General information ................................................... 13

1.1 Definition of terms ............................................. 131.2 Abbreviations .................................................... 14

2 Standards / Literature used ...................................... 143 Functional description .............................................. 14

3.1 Safety function .................................................. 144 Description of diagnostic possibilities .................... 15

4.1 Partial Valve Stroke Testing (PVST) .................. 154.2 Full Valve Stroke Testing (FVST) ...................... 15

5 Assumptions .............................................................. 166 Air quality failures ...................................................... 167 SIL manufacturer's declaration GEMÜ 530 ............. 178 SIL manufacturer's declaration GEMÜ 530 with

GEMÜ 032x ................................................................. 19

www.gemu-group.com12 / 24GEMÜ 530

Page 13: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

www.gemu-group.com 13 / 24 GEMÜ 530

1 General informationThe safety manual contains information and safety notes whichapply to the use of the globe valves in safety-related applica-tions.

The safety manual only applies in connection with the respect-ive installation, operating and maintenance instructions.

Designation Item numberba_530_de_gb 88355563

When combining the globe valve with the GEMÜ 032x pilotsolenoid valve the following documents must be observed, too:

Designation Item numberba_0322_0324_0326_de_gb 88333312sh_032x_SIL_de_gb

1.1 Definition of terms

Fail-Safe State

This fail-safe state is defined as the state where the valve per-forms the safety function to CLOSE (with control function 1) orto OPEN (with control function 2).

Full stroke

State where the valve is closed.

Tight Shut-Off

State where the valve is closed and sealed with leakage nogreater than the defined leak rate. Tight Shut-Off requirementsshall be specified according to the application. If Shut-Off re-quirements allow flow greater than ANSI class V, respectivelyANSI class IV, then Full Stroke numbers may used.

Fail safe

A safe failure (S) is defined as a failure that plays a part in im-plementing the safety function that:– Results in the spurious operation of the safety function

to put the EUC (Equipment Under Control) (or partthereof) into a safe state or maintain a safe state, or

– Increases the probability of the spurious operation ofthe safety function to put the EUC (or part thereof) intoa safe state or maintain a safe state.

Fail Dangerous

A dangerous failure (D) is defined as a failure that plays a partin implementing the safety function that:– Prevents a safety function from operating when re-

quired (demand mode) or causes a safety function tofail (continuous mode) such that the EUC is put into ahazardous or potentially hazardous state, or

– Decreases the probability that the safety function oper-ates correctly when required.

Dangerous Undetected

Failure that is dangerous and that is not being diagnosed.

Dangerous Detected

Failure that is dangerous but is detected by external testing.

No effect

Failure mode of a component that plays a part in implementingthe safety function but is neither a safe failure nor a dangerousfailure.

External Leakage

Failure that causes process fluids to leak outside of the valve;External leakage is not considered part of the safety function.External leakage failure rates do not directly contribute to thereliability of a valve but should be reviewed for secondarysafety and environmental issues.

Low demand mode

Mode, where the safety function is only performed on demand,in order to transfer the EUC into a specified safe state, andwhere the frequency of demands is no greater than one peryear.

Partial Valve Stroke Test

It is assumed that the Partial Valve Stroke Test, when per-formed, is performed at least an order of magnitude more fre-quent than the proof test, therefore the test can be assumed anautomatic diagnostic. Because of the automatic diagnostic as-sumption the Partial Valve Stroke Test also has an impact onthe Safe Failure Fraction.

Safe Failure Fraction

Safe Failure Fraction summarizes the fraction of failures, whichlead to a safe state and the fraction of failures which will be de-tected by diagnostic measures and lead to a defined safety ac-tion.

Type A element

"Non-complex" element (all failure modes are well defined); fordetails see 7.4.4.1.2 of IEC 61508-2

1 General information

Page 14: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

www.gemu-group.com14 / 24GEMÜ 530

2 Standards / Literature used

1.2 Abbreviations

DC

Diagnostic Coverage: Diagnostic coverage of dangerous fail-ures (DC = λdd / (λdd + λdu))

FIT

Failure in Time: Failure rate (1x10-9 failures per hour)

FMEDA

Failure Modes, Effects and Diagnostic Analysis

HFT

Hardware Fault Tolerance

MTBF

Mean Time Between Failures

MTTR

Mean Time To Restoration

PFD AVG

Average Probability of Failure on Demand

PVST

Partial Valve Stroke Test

SFF

Safe Failure Fraction

SIF

Safety Instrumented Function

SIL

Safety Integrity Level

TSO

Tight Shut-Off

T [Proof]

Proof Test Interval

2 Standards / Literature usedThe services delivered by the testing organization exida wereperformed based on the following standards / literature:

IEC 61508-2:2010 Functional Safety of Electrical/Electronic/ProgrammableElectronic Safety-RelatedSystems

Mechanical Component Reli-ability Handbook, 3rd Edition,2012

exida LLC, Mechanical Com-ponent Reliability Handbook,Third Edition, 2012, ISBN978-1-934977-05-7

IEC 60654-1:1993-02, secondedition

Industrial-process measure-ment and control equipment –Operating conditions – Part 1:Climatic conditions

ISA-TR96.05.01-200_; versionB of February 2006

Draft technical report “PartialValve Stroke Testing ForBlock Valve Actuators inSafety Instrumented SystemsApplications”

Final Elements Chris O’Brien& Lindsey Bredmeyer, 2009

exida LLC, Final Elements &the IEC 61508 and IEC 61511Functional Safety Standards,2009, ISBN978-1-9934977-01-9

3 Functional descriptionThe GEMÜ 530 pneumatically operated 2/2-way valve is ametal globe valve with a straight through body and a piston ac-tuator.

The valve bodies and the seat seals are available in variousdesigns.

The valve spindle is sealed by a self-adjusting gland packingproviding low maintenance and reliable valve spindle sealingeven after a long service life. A wiper ring fitted in front of thegland packing protects it against contamination and damage.

The globe valve can be considered to be a Type A elementwith a hardware fault tolerance of 0.

3.1 Safety function

This fail-safe state is defined as the state where the valve per-forms the safety function to CLOSE (with control function 1) orto OPEN (with control function 2).

Page 15: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

4 Description of diagnostic possibilities

4.1 Partial Valve Stroke Testing (PVST)

Partial Valve Stroke Testing (PVST) is the operation of the actuator/valve through a portion of its total stroke range. This shortstroke of operation checks that the actuator / valve is not seized in the running position. The limited stroke of the actuator / valve isintended to be short enough so as not to interfere with the operating flow of the system. The purpose of PVST is to provide a dia-gnostic check of the SIF function. A possible test set-up is shown in Figure 1.

Partial Valve Stroke Testing is performed at a rate at least ten times faster than the expected demand rate. For SIL 2 safety func-tions the partial valve stroke test is at least SIL 1 compliant.

Anal

og In

put

Binary Output ESD / OPEN / CLOSE

Safety PLC Actuator Valve

Binary output

Safety PLCAnal

ogue

inpu

t

ESD*/OPEN/CLOSED

Actuator

*ESD = Emergency shut-off

Valve

Fig. 1: Possible test set-up

4.2 Full Valve Stroke Testing (FVST)

Full Valve Stroke Testing (FVST) is similar in concept to a PVST, with the variation that the actuator/valve is moved through its fulloperation stroke during the test. This provides greater diagnostic coverage but typically cannot be performed while the process isrunning. It is a very effective test that can be automatically executed on batch processes and equipment that periodically shutsdown.

4 Description of diagnostic possibilities

www.gemu-group.com 15 / 24 GEMÜ 530

Page 16: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

www.gemu-group.com16 / 24GEMÜ 530

5 Assumptions

5 Assumptions– Failure rates are constant, wear out mechanisms are

not included.– Propagation of failures is not relevant.– The devices are installed per the manufacturer’s in-

structions.– Sufficient tests are performed prior to shipment to verify

the absence of vendor and/or manufacturing defectsthat prevent proper operation of specified functionalityto product specifications or cause operation differentfrom the design analyzed.

– Materials are compatible with process conditions andprocess fluids.

– The mean time to restoration (MTTR) after a safe failureis 24 hours.

– Only the described variants are used for safety applica-tions.

– All components that are not part of the safety functionand cannot influence the safety function (feedback im-mune) are excluded.

– Breakage or plugging of air inlet and outlet lines has notbeen included in the analysis.

– Clean and dry operating air is used per ANSI/ISA-7.0.01.1996 Quality Standard for Instrument Air.

– All devices are operated in the low demand mode ofoperation.

– Full Valve Stroke Testing is performed at a rate at leastten times faster that the expected demand rate.

– For the calculations in Section 6.1 (Failure Modes, Ef-fects and Diagnostic Analysis, report no. GEMÜ13/08-046 R002), the time to detect a dangerous failureby full valve stroke testing is 730 hours.

– For SIL x safety functions the partial valve stroke test isat least SIL (x-1) compliant. If for example the safetyneeds to fulfil SIL 3 then the Partial Valve Stroke Testshould be at least SIL 2 compliant.

– Failures caused by maintenance capability are site spe-cific and therefore cannot be included.

– FVST and proof testing include a valve signature.– The stress levels are average for an industrial outdoor

environment and can be compared to exida Profile 3with temperature limits within the manufacturer‘s rating.Other environmental characteristics are assumed to bewithin the manufacturer‘s ratings.

6 Air quality failuresThe product failure rates that are specified on the declarationof conformity are failure rates that reflect the situation wherethe device is used with clean filtered air. Additionally, contam-ination from poor control air quality may affect the function orair flow in the device. For applications where these assump-tions do not apply, the user must estimate the failure rates dueto contaminated air and add this failure rate to the product fail-ure rates.

Page 17: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

7 SIL manufacturer's declaration GEMÜ 530

SIL manufacturer's declaration

Functional safety in accordance with IEC 61508 and IEC 61511

We,

GEMÜ Gebr. Müller Apparatebau GmbH & Co. KGFritz-Müller-Straße 6-874653 Ingelfingen-Criesbach, Germany

declare that, for the product listed below, the failure rates outlined below were detected in safety-related applications in accord-ance with IEC 61508 and IEC 61511.

The failure rates were calculated by means of an FMEDA (Failure Modes, Effects and Diagnostic Analysis) in accordance withIEC 61508. The evaluation was performed by exida.com (report number: GEMÜ 13/08-046 R001).

Product description: Globe valve GEMÜ 530Device type: ASafety function: Due to the safety function, the globe valve or angle seat

globe valve is placed in the closed position (with controlfunction 1) or in the open position (with control function 2).

HFT (Hardware Fault Tolerance): 0MTTR (Mean Time To Restoration): 24 hours

The determined failure rates apply to the operating mode with low demand rate:

Failure rates Clean Service* (in FIT**)Without external test With external test

Closed position Open position Closed position Open positionFull

strokeTight-sealed Full stroke Tight-sealed

Safetyfunction:

681 1406 606 681 1406 606

SIL (Safety In-tegrity Level):

1 1 2 2 2 2

λ DU (Danger-ous undetec-ted):

439 1164 239 152 442 76

λ DD (Danger-ous detected):

0 0 0 287 722 76

λ SU (Safe un-detected):

242 242 367 242 242 367

λ SD (Safe de-tected):

0 0 0 0 0 0

SFF (Safe Fail-ure Fraction):

35 % 17 % 60 % 77 % 68 % 87 %

PTC (ProofTest Cover-age):

52 % 20 % 91 % 37 % 13 % 74 %

MTBF (MeanTime BetweenFailures) (inyears):

57 57 60 57 57 60

7 SIL manufacturer's declaration GEMÜ 530

www.gemu-group.com 17 / 24 GEMÜ 530

Page 18: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

The determined failure rates apply to the operating mode with low demand rate:

Failure ratesSevere Service*** (in FIT**)

Without external test With external testClosed position Open position Closed position Open position

Full stroke Tight-sealed Full stroke Tight-sealedSafetyfunction:

1007 2448 932 1007 2448 932

SIL (Safety In-tegrity Level):

1 1 1 2 2 2

λ DU (Danger-ous undetec-ted):

765 2206 375 269 846 117

λ DD (Danger-ous detected):

0 0 0 469 1360 258

λ SU (Safe un-detected):

242 242 557 242 242 557

λ SD (Safe de-tected):

0 0 0 0 0 0

SFF (SafeFailure Frac-tion):

24 % 9 % 59 % 73 % 65 % 87 %

PTC (ProofTest Cover-age):

46 % 16 % 92 % 32 % 10 % 74 %

MTBF (MeanTime BetweenFailures) (inyears):

36 36 38 36 36 38

* Clean Service = without grinding particles

** FIT = Failure In Time (1x10-9 failures per hour)

*** Severe Service = with grinding particles

Joachim BrienHead of Technical Department

Ingelfingen-Criesbach 31-08-2017

7 SIL manufacturer's declaration GEMÜ 530

www.gemu-group.com18 / 24GEMÜ 530

Page 19: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

8 SIL manufacturer's declaration GEMÜ 530 with GEMÜ 032x

SIL manufacturer's declaration

Functional safety in accordance with IEC 61508 and IEC 61511

We,

GEMÜ Gebr. Müller Apparatebau GmbH & Co. KGFritz-Müller-Straße 6-874653 Ingelfingen-Criesbach, Germany

declare that, for the product listed below, the failure rates outlined below were detected in safety-related applications in accord-ance with IEC 61508 and IEC 61511.

The failure rates were calculated by means of an FMEDA (Failure Modes, Effects and Diagnostic Analysis) in accordance withIEC 61508. The evaluation was performed by exida.com (report number: GEMÜ 13/08-046 R001).

Product description: Globe valve GEMÜ 530Device type: ASafety function: Due to the safety function, the globe valve or angle seat

globe valve is placed in the closed position (with controlfunction 1) or in the open position (with control function 2).

HFT (Hardware Fault Tolerance): 0MTTR (Mean Time To Restoration): 24 hours

The determined failure rates apply to the operating mode with low demand rate:

Failure rates Clean Service* (in FIT**)Without external test With external test

Closed position Open position Closed position Open positionFull

strokeTight-sealed Full stroke Tight-sealed

Safetyfunction:

830 1555 755 830 1555 606

SIL (Safety IntegrityLevel):

1 1 2 2 2 2

λ DU (Dangerous un-detected):

478 1203 278 152 442 76

λ DD (Dangerous de-tected):

0 0 0 326 761 76

λ SU (Safe undetec-ted):

352 352 477 352 352 367

λ SD (Safe detected): 0 0 0 0 0 0SFF (Safe FailureFraction):

42 % 22 % 63 % 81 % 68 % 89 %

PTC (Proof TestCoverage):

56 % 23 % 92 % 37 % 13 % 74 %

MTBF (Mean TimeBetween Failures)(in years):

5050 50 52 50 57 52

8 SIL manufacturer's declaration GEMÜ 530 with GEMÜ 032x

www.gemu-group.com 19 / 24 GEMÜ 530

Page 20: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

The determined failure rates apply to the operating mode with low demand rate:

Failure ratesSevere Service*** (in FIT**)

Without external test With external testClosed position Open position Closed position Open position

Fullstroke

Tight-sealed Full stroke Tight-sealed

Safetyfunction:

1156 2597 1081 1156 2597 1081

SIL (Safety IntegrityLevel):

1 1 2 2 2 2

λ DU (Dangerous un-detected):

804 2245 414 270 846 117

λ DD (Dangerous de-tected):

0 0 0 534 1399 297

λ SU (Safe undetec-ted):

352 352 667 352 352 667

λ SD (Safe detected): 0 0 0 0 0 0SFF (Safe FailureFraction):

30 % 13 % 61 % 76 % 67 % 89 %

PTC (Proof TestCoverage):

49 % 17 % 93 % 32 % 10 % 74 %

MTBF (Mean TimeBetween Failures)(in years):

33 33 35 33 33 35

* Clean Service = without grinding particles

** FIT = Failure In Time (1x10-9 failures per hour)

*** Severe Service = with grinding particles

Joachim BrienHead of Technical Department

Ingelfingen-Criesbach 31-08-2017

8 SIL manufacturer's declaration GEMÜ 530 with GEMÜ 032x

www.gemu-group.com20 / 24GEMÜ 530

Page 21: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

www.gemu-group.com 21 / 24 GEMÜ 530

Page 22: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

www.gemu-group.com22 / 24GEMÜ 530

Page 23: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

www.gemu-group.com 23 / 24 GEMÜ 530

Page 24: sh 530 SIL de gb · 2019. 7. 25. · ISA-TR96.05.01-200_; Versi-on B vom Februar 2006 Entwurf des technischen Be-richts „Partial Stroke Testing For Block Valve Actuators in Safety

GEMÜ Gebr. Müller Apparatebau GmbH & Co. KGFritz-Müller-Straße 6-8, 74653 Ingelfingen-Criesbach, GermanyTel. +49 (0)7940 123-0 · [email protected]

Subject to alteration05.2018