Einführung
Notwendigkeit, das Risiko zu reduzieren
Integrieren Sie akzeptable Risiken im Einklang mit sozialen
Werten durch Sicherheitsmaßnahmen in das technische System.
Um gefährliche Ausfälle im Werk zu vermeiden, wird ein
elektrisches / elektronisches / programmierbares elektronisches
System (E / E / PE-System) eingesetzt. Die Summe aller
notwendigen Sicherheitsfunktionen zur Aufrechterhaltung des
Sicherheitszustands der Anlage wird als
sicherheitsinstrumentiertes System SIS oder sicherheitsrelevantes
System verwendet.
Ein Beispiel für ein solches Sicherheitssystem ist ein
Temperaturüberwachungssystem. Wenn die Temperatur den
Grenzwert überschreitet, schaltet das System die
Stromversorgung des Werks zuverlässig ab und versetzt sie in
einen sicheren Zustand, wodurch das Auftreten gefährlicher
Ereignisse verhindert wird.
Da die Gesellschaft im Laufe der Zeit immer höhere Erwartungen
an die Sicherheit von Technologiefabriken hat, werden die Risiken,
die von technologischen Systemen ausgehen, immer geringer. Es
wurden Richtlinien und Standards erstellt, die jedem
Anlagenbetreiber helfen, seine Anlage mit dem höchsten Maß an
Sicherheit zu betreiben. Die Durchführung einer Unfallanalyse und
Risikobewertung ist die Grundlage. Ziel ist es, das durch
gefährliche Güter verursachte Risiko zu verringern.
Under certain conditions, electronic thermometers can be used in
safety-related systems according to IEC 61508. The version of the
electronic thermometer (such as a resistance thermometer or
thermocouple) and the technical characteristics of the
temperature
transmitter used must be taken into consideration, as well as the
evaluation of safety-related systems.
This technical information describes the basics of functional safety
in accordance with IEC 61508 and provides recommendations for
the safety-related design of temperature measurement points.
1/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
有关ASME PTC 19.3 TW-2016的基本信息
Sicherheitsbezogene Systemarchitektur
Elektrische / elektronische / programmierbare elektronische Systeme bestehen hauptsächlich aus Sensoren, Steuerungen und Aktuatoren.
In diesem Fall bezieht es sich auf die Einkanalarchitektur des Sicherheitssystems (1oo1-System).
Die Architektur beschreibt die spezifische Konfiguration der Hardware- und Softwareelemente im System.
Das 1oo1-System bedeutet, dass das System aus einem Kanal besteht, der sicher arbeiten muss, damit er Sicherheitsfunktionen ausführen kann (1 von 1).
Für ein Sicherheitssystem mit einer Mehrkanalarchitektur müssen die Hardware- oder Softwareelemente redundant sein (siehe "Redundantes System").
Beispiel einer einkanaligen Architektur für ein sicherheitsinstrumentiertes System
Sensor-Subsystem
Elektronisches Thermometer
mit Temperaturmessumformerr
Logik-Subsystem
Programmierbare Steuerung
Actuator subsystem
Ventil
Verantwortlichkeiten des Systeminstallateurs / Werksbetreibers
Werksbetreiber können elektronische Thermometer mit S20-H-Temperaturmessumformern (am Kopf montiert) verwenden.
und S20-R (Schienenmontage) als Sensorsubsystem des sicherheitsinstrumentierten Systems.
Temperaturmessumformer, Modell S20
2/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
RechtsgrundlageIEC 61508 series of standards "Functional safety of electrical/
electronic/programmable electronic safety-related systems"
Known as the basic safety standard. It describes measures to
prevent and control failures in instruments and equipment,
and can be used in various industries.
Especially in the following situations, IEC 61508 should be used
Safety function is realized by E/E/PE system
The failure of the safety instrumented system will cause
harm to personnel and the environment
There is no specific standard for safety system design
IEC 61508 represents the latest technology in the design of safety
instrumented systems. When designing a safety system, it is absolutely
necessary to follow the best available technology, namely IEC 61508.
There are also application-specific standards for planners, contractors,
and operators of safety systems. For example, these are the construction
of IEC 61511 "Functional safety of the process industry sector-Safety
instrumented systems" for the process industry and EN 62061
"Machine safety-Functional safety of safety-related electrical,
electronic and programmable electronic control systems" for machines .
When the electronic thermometer is used with a temperature transmitter
certified for safety-related applications, it can be used in a safety instrumented
system that complies with the IEC 61508 standard. S20 temperature transmitter
is based onIt is developed by IEC 61508 for the process industry and has been
certified by TÜVRheinland.
Electronic thermometers without temperature transmitters (such as resistance
thermometers or thermocouples) are not protected by IEC 61508 because
(for example) the measuring resistor is a simple electronic component that
cannot perform any self-diagnosis or detection errors.
For electronic thermometers without IEC 61508 certified temperature
transmitters, only the failure rate can be specified. This is because the types of
faults that can be detected and safely identified in an electronic thermometer
always depend on the operator's evaluation tool.
Through the certification of S20 temperature transmitter, the combination of
temperature transmitter and electronic thermometer has been considered.
In the safety manual "Functional safety information of S20 temperature transmitter",
the safety-related characteristic values of the temperature transmitter,
the connected temperature sensor and the entire component are specified.
For evaluation, the sensor subsystem is divided into elements "electronic
thermometer (temperature sensor)"And "temperature transmitter".
The temperature sensor is classified as A type component (basic component),
the temperature changes The feeder is classified as B-type component (complex component)
S e n s o r s u b s y s t e m b e s t e h e n d a u s
Temperaturgeber und Temperatursensor
Thermoelement oder
Widerstandsthermometer
Temperatur-Transmitter
Modell S20
Elektronische Thermometer ohne Temperaturtransmitter (wie
Widerstandsthermometer oder Thermoelemente) sind nicht durch die IEC
61508 geschützt, da (zum Beispiel) der Messwiderstand eine einfache
elektronische Komponente ist, die keine Selbstdiagnose- oder
Erkennungsfehler durchführen kann.
Die Sicherheitsfunktion wird durch das E / E / PE-System realisiert
Zur Auswertung wird das Sensorsubsystem in die Elemente "Elektronisches
Thermometer (Temperatursensor)" und "Temperaturtransmitter" unterteilt.
Es gibt keinen spezifischen Standard für das Design von
SicherheitssystemenIEC 61508 ist die neueste Technologie bei der
Entwicklung von Systemen mit Sicherheitsinstrumenten. Bei der Entwicklung
eines Sicherheitssystems muss unbedingt die beste verfügbare Technologie
befolgt werden, nämlich IEC 61508.
Es gibt auch anwendungsspezifische Standards für Planer, Auftragnehmer
und Betreiber von Sicherheitssystemen. Dies sind beispielsweise die
Konstruktion der IEC 61511 "Funktionssicherheit der Prozessindustrie -
Sicherheitsinstrumentierte Systeme" für die Prozessindustrie und EN 62061
"Maschinensicherheit - Funktionssicherheit sicherheitsrelevanter
elektrischer, elektronischer und programmierbarer elektronischer
Steuerungssysteme" für Maschinen.
Wenn das elektronische Thermometer mit einem für sicherheitsrelevante
Anwendungen zertifizierten Temperaturmessumformer verwendet wird, kann
es in einem sicherheitsgerichteten System verwendet werden, das der Norm
IEC 61508 entspricht. S20 Temperaturmessumformer basiert auf Es wurde von
IEC 61508 für die Prozessindustrie entwickelt und ist vom TÜVRheinland
zertifiziert.
Der Ausfall des sicherheitsgerichteten Systems führt zu Schäden
fürPersonal und Umwelt
Normenreihe IEC 61508 "Funktionale Sicherheit elektrischer / elektronischer
/ programmierbarer elektronischer sicherheitsrelevanter Systeme" Bekannt
als grundlegende Sicherheitsnorm. Es beschreibt Maßnahmen zur
Vermeidung und Kontrolle von Fehlern in Instrumenten und Geräten und
kann in verschiedenen Branchen eingesetzt werden.
Insbesondere in den folgenden Situationen sollte IEC 61508 verwendet
werden
Für elektronische Thermometer ohne IEC 61508-zertifizierte
Temperaturmessumformer kann nur die Ausfallrate angegeben werden. Dies
liegt daran, dass die Arten von Fehlern, die in einem elektronischen
Thermometer erkannt und sicher identifiziert werden können, immer vom
Bewertungsinstrument des Bedieners abhängen.
Durch die Zertifizierung des Temperaturmessumformers S20 wurde die
Kombination von Temperaturmessumformer und elektronischem
Thermometer berücksichtigt.
Im Sicherheitshandbuch "Funktionssicherheitsinformationen des
Temperaturmessumformers S20" sind die sicherheitsrelevanten Kennwerte
des Temperaturmessumformers, des angeschlossenen Temperatursensors
und der gesamten Komponente angegeben.
Der Temperatursensor wird als Komponente vom Typ A (Grundkomponente)
klassifiziert, die Temperaturänderungen. Die Zuführung wird als Komponente
vom Typ B (komplexe Komponente) klassifiziert.
3/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
Sicherheitsbezogene Systembewertung
safety integritylow highniedrig Sicherheit
SIL1 SIL2 SIL3 SIL4
hoch
Daher ist der Begriff "SIL" ein wichtiger Parameter eines
Sicherheitssystems, wird jedoch häufig als Synonym für
"funktionale Sicherheit" verwendet.
Erkennen an das Sicherheitssystem
Um Temperaturmesspunkte zu entwerfen, die für optimiert sind
Bei sicherheitsrelevanten Systemen müssen folgende Aspekte
berücksichtigt werden:
Der Sicherheitsstatus der Anlage und die Sicherheitsfunktion
jedes Elements müssen vom Anlagenbetreiber festgelegt werden.
Das erforderliche Sicherheitsintegritätsniveau muss vom
Betreiber des Sicherheitssystems anhand der Risikobewertung
und der Risikokarte festgelegt werden.
Die Arbeitsbedingungen des Thermometers (Prozessmedium,
Umwelteinflüsse) sollten vollständig spezifiziert sein, damit der
Temperaturmesspunkt zusammen mit Rodriguez optimiert
werden kann.
Die Anweisungen auf dem Thermometer in der
Rodriguez-Dokumentation müssen befolgt werden.
Stellen Sie sicher, dass die benetzten Teile für das
Messmedium gehört sind.
Die Basis für die bestmögliche Sicherheit am Temperaturmesspunkt
ist das richtige elektronische Thermometerdesign, um die
Prozessanforderungen zu erfüllen.
Der nächste Schritt ist die Auswahl eines für das Sicherheitssystem
geeigneten Temperaturmessumformers, der so viele Fehlertypen
wie möglich erkennt, z. B. das elektronische Thermometer und den
Messumformer selbst.
Safety integrity defines the probability of performing a safety
function on demand (that is, in the event of a system failure).
In order to obtain the measurement of safety integrity
requirements,it is divided into four safety integrity levels (SIL). If
SIL 4 is reached,the possibility of performing the safety function
is the greatest, so the risk can be minimized.
Rodriguez als Hersteller elektronischer Thermometer
unterstützte dies. Zum einen durch die Bestätigung, dass die
Anforderungen der IEC 61508 beispielsweise während der
Entwicklung von S20 erfüllt wurden. Zum anderen kann es
dem Bediener geeignete sicherheitsrelevante Kenndaten für
das Gerätedesign und die Bewertung der
Sicherheitsfunktionen zur Verfügung stellen.
Das Sicherheitsintegritätsniveau betrifft immer das gesamte
Sicherheitssystem. Das Element hat kein SIL, ist jedoch
möglicherweise für SIL-Anwendungen geeignet.
Beispielsweise stellt nur der Temperaturmessumformer S20
kein sicherheitsrelevantes System dar. Der Bediener ist
verantwortlich für die Definition und Aufrechterhaltung des
erforderlichen Sicherheitsintegritätsniveaus sowie des
gesamten Sicherheitssystems und verschiedener Elemente!
4/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
Nehmen Sie als Beispiel das Temperaturmessumformermodell S20,
um das maximal erreichbare Sicherheitsintegritätsniveau zu bestimmen
Um das Sicherheitsintegritätsniveau sicherheitsrelevanter Systeme zu bestimmen, müssen gleichzeitig
die Anforderungen an die Systemsicherheitsintegrität und die Hardware-Sicherheitsintegrität festgelegt werden.
Integrität der Systemsicherheit
Um die Anforderungen an die Integrität der Systemsicherheit zu
erfüllen, müssen Systemfehler berücksichtigt werden. Systematische
Fehler sind Konstruktionsfehler, Herstellungsfehler oder
Betriebsfehler. Um diese Gefahren zu verringern, legt IEC 61508 die
Sicherheitsmaßnahmen fest, die während der gesamten Lebensdauer
(Produktlebenszyklus) des technischen Systems eingehalten werden
müssen. Der Sicherheitslebenszyklus eines Sicherheitssystems
beginnt mit dem Konzept und endet mit der Außerbetriebnahme.
Im Rahmen des Sicherheitsmanagements im S20-Entwicklungsprozess
können beispielsweise Systemfehler durch Verifizierung und
Verifizierungsaktivitäten sowie durch Pläne und detaillierte
Dokumentationen verhindert werden. Daher erfüllt die Software
des Modells S20 sogar den SIL 3-Standard für Sicherheitsintegrität
Integrität der Hardwaresicherheit
Zufälliger Fehler
Um die Integrität der Hardwaresicherheit zu bewerten, müssen
zufällige Fehler berücksichtigt werden. Diese werden beispielsweise
durch zufällige Änderungen des Komponentenverhaltens verursacht.
G. Unterbrechung, Kurzschluss oder zufällige Änderung des
Kondensatorwerts im Stromkreis. Zufällige Fehler können nicht
vermieden werden. Nur die Wahrscheinlichkeit solcher Fehler kann
berechnet werden. Die Ausfallrate wird in Einheiten von FIT
(Failure in Time) angegeben.
Es ist definiert als:
In einem Zeitintervall wird die Summe aller mit einer konstanten
Ausfallrate berechneten Fehler als Grundfehlerrate λB bezeichnet.
Die Grundfehlerrate setzt sich aus gefährlichen Fehlern zusammen,
die die Sicherheitsfunktion λD = gefährliche und ungefährliche
Fehler λS = sicher beeinflussen.
Depending on whether the fault can be detected through the
diagnostic function of the electronic equipment in the safety system,
or the fault still cannot be detected, dangerous and non-hazardous
faults can be further divided.
λDD = gefährlich
nachweisbarer
Aufschlüsselung der Ausfallrate
λSU = sicher und
unauffindbar
λDD = gefährlich
nachweisbarer
λSD=Safe and detectable
5/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
Das elektronische Thermometer kann folgende Fehlfunktionen aufweisen:
Unterbrechung des Messkreises unterbrochen
Kurzschluss versehentlich zwei Verbindungskabel angeschlossen
Drift aufgrund von Änderungen des Widerstandsmaterials oder Drift der thermoelektrischen Spannung
Änderungen des Bleiresistenz, z. durch Temperaturänderungen
Entsprechend der Fehlererkennungsfunktion des verwendeten Temperaturmessumformers müssen
die verschiedenen Fehler im elektronischen Thermometer definiert werden
Fehlertyp (λSD, λSU, λDD, λDU).
Arten von Fehlfunktionen elektronischer Thermometer
Tabelle 1: Fehlererkennung durch Temperaturmessumformer Modell S20
Umstände, unter denendas elektronische Thermometerkann zu Fehlfunktionen führen
Offener Kreislauf
Kurzschluss
Drift
Änderung des Leitungswiderstands
电阻温度计 2线制连接 电阻温度计 3线制连接
电阻温度计 4线制连接 热电偶
λDD
λDD
λDU
λDU
λDD
λDD
λDU1)λDD
λDD
λDD
λDU1)λDD
λDD
λDU
λDU
λDD
1) Nur wenn die Länge des Verbindungskabels zwischen dem Messwiderstand und dem Messumformer gleich ist und der Querschnitt des Drahtes gleich ist,
kann die Änderung des Leitungswiderstands in der 3-Draht-Verbindung erkannt werden.
In der Literatur sind die Ausfallraten von Thermoelementen und Widerstandsthermometern in verschiedenen Anwendungen
und Konfigurationen angegeben. Die Ausfallrate basiert auf dem "schlimmsten Fall" des Thermometerausfalls und gibt Hinweise für
die Auslegung des sicherheitsgerichteten Systems.
Bei Verwendung der Ausfallrate sollten die Arbeitsbedingungen und das Verbindungskabel zwischen Messpunkt
und Messumformer berücksichtigt werden. Sie unterscheiden sich nach den Vibrationsanforderungen des Einsatzortes
(geringe Beanspruchung / hohe Beanspruchung) und der Art der Verbindung zwischen Messpunkt und Temperaturmessumformer
(geschlossene Verbindung / Verlängerungskabel) (siehe "Definitionen und Abkürzungen").
Tabelle 2: Ausfallrate von Thermoelementen ohne Temperaturtransmitter
FehlertypEng verbunden
Niedriger Druck hoher Druck
Verlängerungskabel
Niedriger Druck hoher Druck
Open circuit
Short circuit
Drift
95 FIT
4 FIT
1 FIT
1,900 FIT
80 FIT
20 FIT
900 FIT
50 FIT
50 FIT
18,000 FIT
1,000 FIT
1,000 FIT
Tabelle 3: Ausfallrate eines 4-Draht-Widerstandsthermometers ohne Temperaturtransmitter
Open circuit
Short circuit
Drift
42 FIT
3 FIT
6 FIT
830 FIT
50 FIT
120 FIT
410 FIT
20 FIT
70 FIT
8,200 FIT
400 FIT
1,400 FIT
Table 4: Failure rate of resistance thermometers with 2-wire or 3-wire connection without temperature transmitter
Open circuit
Short circuit
Drift
38 FIT
1 FIT
9 FIT
758 FIT
29 FIT
173 FIT
371 FIT
10 FIT
95 FIT
7,410 FIT
190 FIT
1,900 FIT
Widerstandsthermometer2-Draht-Verbindung
Widerstandsthermometer3-Draht-Verbindung
Widerstandsthermometer4-Draht-Verbindung
Thermoelement
FehlertypEng verbunden
Niedriger Druck hoher Druck
Verlängerungskabel
Niedriger Druck hoher Druck
FehlertypEng verbunden
Niedriger Druck hoher Druck
Verlängerungskabel
Niedriger Druck hoher Druck
6/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
Einschränkungen der Integritätsstufe der Elementsicherheit
Der maximal erreichbare SIL für ein Element des Sicherheitssystems wird durch folgende Faktoren begrenzt:
Anteil der Sicherheitsmängel von Hardwareelementen
(Safe Failure Score, SFF)
Hardwarefehlertoleranz (HFT)
Die Hardwarefehlertoleranz ist ein Maß für die Redundan
zeines Sicherheitssystems. Wenn die Hardwarefehlertoleranz N ist,
ist N + 1 die minimale Anzahl von Fehlern, die zum Verlust der
Sicherheitsfunktion führen können. Die Hardwarefehlertoleranz
der einkanaligen sicherheitsinstrumentierten Systemarchitektur
ist Null.
Komplexität von Komponenten (Komponenten vom Typ A und B)
-Die Komponente vom Typ A ist die Hauptkomponente, die die
Fehlerleistung vollständig definiert und den Fehler bestimmt.
Komponenten vom Typ A sind beispielsweise
Widerstandstemperatursensoren und Thermoelemente.
- Bei komplexen Komponenten vom Typ B ist die Fehlerleistung
mindestens einer Komponente undefiniert oder nicht vollständig
definiert. Die Komponente vom Typ B ist beispielsweise eine
elektronische Schaltung mit a Mikroprozessor.
Der Temperaturmessumformer S20 ist als Komponente vom
Typ B definiert (siehe Tabelle 5).
Therefore, temperature sensors defined as type A components in the single-channel architecture (HFT = 0) should be used in safety
instrumented systems below SIL 2, and SFF ≥ 60% should be maintained according to Table 5. As a B-type component S20 temperature
transmitter, SFF ≥ 90% is required.
Tabelle 5: Die maximale Sicherheitsintegrität von Komponenten hängt von der Hardwarefehlertoleranz,
der Komplexität der Komponenten und der Sicherheitsfehlerrate ab
SFF Hardwarefehlertoleranz
0
Tippe A Typ B.
1
Tippe A Typ B.
2
Tippe A Tippe A
<60%
60 ... <90%
90 ... <99%
≥99%
SIL 1
SIL 2
SIL 3
SIL 3
Nicht erlaubt
SIL 1
SIL 2
SIL 3
SIL 2
SIL 3
SIL 4
SIL 4
SIL 1
SIL 2
SIL 3
SIL 4
SIL 3
SIL 4
SIL 4
SIL 4
SIL 2
SIL 3
SIL 4
SIL 4
Diese Komponenten dürfen in sicherheitsgerichteten Systemen mit entsprechendem SIL nur verwendet werden,
wenn die SFF-Werte des Temperaturmessumformers und des Temperatursensors beide den angegebenen Grenzwert erreichen.
Zusätzlich muss der PFD-Wert der gesamten Sicherheitsfunktion den Anforderungen von Tabelle 6 entsprechen.
Um den SFF-Wert des an den S20-Temperaturmessumformer angeschlossenen Widerstandstemperatursensors und Thermoelements zu
berechnen, sollte die Ausfallrate des Temperatursensors in Kategorien (λS, λDD, λDU) unterteilt werden und die Funktion des
Diagnosetransmitters sollte sein berücksichtigt. Daher kann der SFF-Wert nach folgender Formel berechnet werden:
Daher sollten Temperatursensoren, die als Typ-A-Komponenten in der Einkanalarchitektur (HFT = 0) definiert sind, in sicherheitsgerichteten
Systemen unter SIL 2 verwendet werden, und SFF ≥ 60% sollten gemäß Tabelle 5 beibehalten werden. Als B-Typ-Komponente S20
Temperaturmessumformer, SFF ≥ 90% ist erforderlich.
7/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
SIL-Grenze des gesamten Sicherheitssystems
Die Norm IEC 61508 legt den Wert des Sicherheitsintegritätsniveaus des gesamten Sicherheitssystems fest.
Je nachdem, wie oft Sie das Sicherheitssystem verwenden müssen, unterscheiden Sie zwei charakteristische Werte:
PFH(Möglichkeit eines gefährlichen Ausfalls pro Stunde)
Bei Betriebsarten mit hohen oder kontinuierlichen Bedarfsraten
(hoher Bedarf ) die durchschnittliche Häufigkeit gefährlicher
Ausfälle von Sicherheitsfunktionen. Diese Modelle sind besonders
für den Maschinenbau relevant.
PFDavg(Ausfallwahrscheinlichkeit bei Bedarf)
In einer Betriebsart mit niedriger Anforderungsrate
(geringer Bedarf ) die durchschnittliche Wahrscheinlichkeit eines
gefährlichen Ausfalls gemäß den Anforderungen der
Sicherheitsfunktion.
Tproof repräsentiert das Intervall zwischen wiederholten Tests. Nach
diesem Intervall wird das System durch geeignete Tests
(Verifikationstests) innerhalb der angegebenen Lebensdauer in
einen fast "neuen" Zustand versetzt.
Durch diesen Test können auch gefährliche und nicht nachweisbare
Fehler erkannt werden. Bei elektronischen Thermometern kann
durch regelmäßige Kalibrierung sichergestellt werden, dass der
gemessene Wert immer noch innerhalb des erforderlichen
Genauigkeitsbereichs liegt. Dies schließt auch eine unannehmbar
hohe Drift aus.
Im einjährigen Überprüfungstestintervall (Tproof = 8.760 h) für
Das an den S20-Temperaturmessumformer angeschlossene
Widerstandsthermometer gibt den folgenden PFDavg-Wert an:
-Umgebungsbedingungen: niedriger Druck
-Anschluss zwischen Messpunkt und Messumformer:
enge Kupplung
-Fehlerrate λDU = 16 FIT
Tabelle 6: Grenzwerte von PFDavg und PFH für SIL des Sicherheitssystems
Sicherheitsintegritätsstufe (SIL)Die durchschnittliche Wahrscheinlichkeit eines gefährlichen
Ausfalls der erforderlichen Sicherheitsfunktion (PFDavg)Durchschnittliche Häufigkeit
gefährlicher Ausfälle pro Stunde (PFH)
4
3
2
1
-5 -4 ≥ 10 to < 10-4 -3≥ 10 to < 10-3 -2≥ 10 to < 10-2 -1≥ 10 to < 10
-9 -1≥ 10 to < 10-8 h-8 -1≥ 10 to < 10-7 h-7 -1≥ 10 to < 10-6 h-6 -1≥ 10 to < 10-5 h
In Bezug auf die Anforderungen des PFDavg-Werts ist diese
Kombination daher für Sicherheitssysteme mit einem
Sicherheitsniveau von SIL 2 geeignet, jedoch aufgrund der
Einkanalstruktur (siehe "Sicherheitsintegritätsniveau für
begrenzte Komponenten") und SFF beschränkt auf SIL 2.
Die oben beschriebene Formel leitet sich aus IEC 61508 ab.
Es wird angenommen, dass die für die Systemaktualisierung
erforderliche Zeit von 8 Stunden im Vergleich zum
Verifikationstestintervall von 8760 Stunden vernachlässigbar ist.
Der PFDavg-Wert entspricht nahezu linear dem Proof-Testintervall
Tproof. Je kürzer das Verifikationstestintervall ist, desto besser
kann der PFDavg-Wert erhalten werden. Wenn der PFDavg-Wert
des gesamten Systems unter dem zulässigen Grenzwert liegt,
kann das Überprüfungstestintervall ebenfalls erhöht werden.
Ist der Proof-Test
Intervall wird auf 0,5 Jahre verkürzt, der PFDavg-Wert wird halbiert,
und wenn es auf 2 Jahre verlängert wird, wird es verdoppelt.
Je kleiner der PFDavg- oder PFH-Wert ist, desto größer ist der SIL,
den das gesamte System erreichen kann. In Tabelle 6 wird dem
PFDavgor PFH-Kennwert eine Sicherheitsintegritätsstufe
zugewiesen.
8/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
Für den Betreiber des Systems ist es immer der PFDavg-Wert von
das gesamte Sicherheitssystem, nicht der Wert des jeweiligen Einzelelements.
Zu Bewertungszwecken die folgende Verteilung der PFDavg-Werte
des Sicherheitssystems wurde als Kriterium festgelegt:
Actuator 50%
Die Verteilung von Sensoren, Steuerungen und Aktoren in
der Gesamt-PFD-Wert von SIS
sensor
(Electronic
thermometer)
35%
Control
system 15%
Gerätebetreiber können unterschiedliche Verteilungen von
Komponenten festlegen. Wenn die Sicherheit des Sensors
weniger als 35% des vom Sicherheitssystem zulässigen
maximalen PFDavg-Werts beträgt, z. B. des elektronischen
Thermometers des S20-Temperaturmessumformers, kann
der Bediener die Steuerung und den Stellantrieb verwenden
mit einem relativ schlechten PFDavg-Wert.
Strukturelle Einschränkungen
Die strukturellen Eigenschaften des sicherheitsgerichteten Systems
können den maximal erreichbaren SIL einschränken. In einer
Einkanalarchitektur wird das maximale SIL durch das schwächste Glied
bestimmt. In dem gezeigten Sicherheitssystem sind die Subsysteme
"Sensor" und "Logik" für SIL 2 geeignet, während das Subsystem
"Aktuator" nur für SIL 1 geeignet ist. Daher kann das gesamte
Sicherheitssystem höchstens SIL 1 erreichen.
Sensor-Subsystem
SIL 2
Komponenten sicherheitsrelevanter Systeme
Logik-Subsystem
SIL 2
Actuator subsystem
SIL 1
9/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
Redundantes System
Wenn zwei elektronische Thermometer mit S20-Temperaturmessumformern parallel installiert sind,
müssen häufige Fehlerursachen berücksichtigt werden. Wenn beispielsweise Umgebungsbedingungen
oder EMV-Störungen mehrere Kanäle gleichzeitig betreffen, können Fehler aufgrund häufiger Ursachen
auftreten. Diese Fehler betreffen alle Kanäle des redundanten Systems gleichzeitig.
Zuverlässigkeitsblockdiagramm: Elektronisches Thermometer in redundanter Konfiguration
Kanal 1
Kanal 1
Sensor
Elektronisches Thermometer 1
(Mit Temperaturmessumformer)
Häufige Gründe
für den Ausfall
在这种情况下,上图中的电子温度计代表一个两通道体系结构(1oo2)系
统。这种结构称为MooN系统。MooN系统(N个中的M个)由N个独立的
通道组成,其中M个通道必须安全运行,以便整个系统可以执行安全功能。
如果使用的两个带有温度变送器的电子温度计在结构,测量原理和软件方
面尽可能不同,则不太可能发生常见原因故障。因此,例如,电阻温度计
可以用于一个通道,而热电偶可以用于另一通道。为了进行测量,可以将
一个热电偶套管用于电阻温度计,将另一个热电偶套管用于热电偶,也可
以将单个热电偶套管用于两者。当使用单个热电偶套管时,相应原因引起
故障的可能性更大。当所使用的温度变送器来自不同的制造商,并且其结
构和软件不同时,还可以实现更高的多样性。
尤其是,S20型温度变送器的优点是可以用于SIL 3以下的同类冗余系统中。
这意味着,带有S20型温度变送器的电子温度计与第二个温度计并联连接。
在结构上相同的发射器上在单通道体系结构中,变送器适用于SIL 2级。由
于S20型温度变送器已完全开发并通过了IEC 61508标准的所有要素的认证
(全面评估开发),因此变送器也是适用于SIL 3应用的均匀冗余组件。即
使在开发过程中,软件中的避免故障措施也已设计用于SIL 3应用程序。因
此,S20型温度变送器不同于在早期使用的基础上仅适用于SIL应用的经操
作验证的仪器。
两通道架构中经实践证明的现场仪器最大程度地达到了单个仪器的SIL。与
S20型温度变送器不同,这些仪器的系统性故障首先无法得到防止或减少,
例如 在仪器开发过程中。In order to solve the impact of common cause failures, a "β factor"
is needed to calculate the PFD value of the redundant system.
The beta factor refers to the proportion of undetected common
cause failures. According to IEC 61508-6 and considering that the
8 h period required for system refurbishment is negligible
compared with the verification test interval of 8760 h, the PFD
value of the 1oo2 structure is calculated using the following
simplified formula:
In order to determine the β factor, measures to reduce the
occurrence of common cause failures must first be defined.
Through engineering evaluation, it is necessary to work with
Rodriguez to determine to what extent each measure reduces
the occurrence of common cause failures.
In der Praxis in einer Zweikanalarchitektur bewährte Feldinstrumente erreichen den SIL eines einzelnen Instruments in höchstem Maße. Im
Gegensatz zu S20-Temperaturmessumformern können systembedingte Ausfälle dieser Instrumente beispielsweise während der
Geräteentwicklung nicht verhindert oder verringert werden.
Wenn zwei elektronische Thermometer mit Temperaturmessumformern hinsichtlich Struktur, Messprinzip und Software so
unterschiedlich wie möglich verwendet werden, ist es unwahrscheinlich, dass Fehler aufgrund häufiger Ursachen auftreten. So kann
beispielsweise ein Widerstandsthermometer für einen Kanal und ein Thermoelement für den anderen Kanal verwendet werden. Zur
Durchführung der Messung kann ein Schutzrohr für Widerstandsthermometer verwendet werden, ein anderes Schutzrohr kann für
Thermoelemente verwendet werden oder ein einzelnes Schutzrohr kann für beide verwendet werden. Wenn ein einzelnes Schutzrohr
verwendet wird, ist es wahrscheinlicher, dass die entsprechende Ursache zu einem Ausfall führt. Wenn die verwendeten
Temperaturmessumformer von verschiedenen Herstellern stammen und ihre Struktur und Software unterschiedlich sind, kann eine
höhere Diversität erreicht werden.
Der Vorteil des S20-Temperaturmessumformers besteht insbesondere darin, dass er in ähnlichen redundanten Systemen unterhalb von
SIL 3 verwendet werden kann. Dies bedeutet, dass das elektronische Thermometer mit S20-Temperaturmessumformer parallel zum
zweiten Thermometer geschaltet ist. In einer einkanaligen Architektur auf einem Messumformer mit derselben Struktur ist der
Messumformer für SIL Level 2 geeignet. Da der S20-Temperaturmessumformer vollständig entwickelt wurde und die Zertifizierung aller
Elemente der Norm IEC 61508 bestanden hat (vollständige Bewertung und Entwicklung) Der Sender ist auch eine einheitliche redundante
Komponente, die für SIL 3-Anwendungen geeignet ist. Bereits während des Entwicklungsprozesses wurden Maßnahmen zur
Fehlervermeidung in der Software für SIL 3-Anwendungen entwickelt. Daher unterscheidet sich der S20-Temperaturmessumformer von
einem Instrument, das nur für SIL-Anwendungen geeignet ist und sich aufgrund seiner frühen Verwendung im Betrieb bewährt hat.
In diesem Fall repräsentiert das elektronische Thermometer in der obigen Abbildung ein System mit Zweikanalarchitektur (1oo2). Diese
Struktur wird als MooN-System bezeichnet. Das MooN-System (M von N) besteht aus N unabhängigen Kanälen, von denen M Kanäle
sicher betrieben werden müssen, damit das gesamte System Sicherheitsfunktionen ausführen kann.
Elektronisches Thermometer 2
(Mit Temperaturmessumformer)
Um die Auswirkungen von Fehlern aufgrund häufiger Ursachen zu lösen, wird ein "β-Faktor" benötigt, um den PFD-Wert des redundanten
Systems zu berechnen. Der Beta-Faktor bezieht sich auf den Anteil nicht erkannter Fehler aufgrund häufiger Ursachen. Gemäß IEC 61508-
6 und unter Berücksichtigung der Tatsache, dass der für die Systemüberholung erforderliche Zeitraum von 8 Stunden im Vergleich zum
Verifikationstestintervall von 8760 Stunden vernachlässigbar ist, wird der PFD-Wert der 1oo2-Struktur unter Verwendung der folgenden
vereinfachten Formel berechnet:
Um den β-Faktor zu bestimmen, müssen zunächst Maßnahmen zur Verringerung des Auftretens von Fehlern aufgrund häufiger Ursachen
definiert werden. Durch technische Evaluierung muss mit Rodriguez zusammengearbeitet werden, um festzustellen, inwieweit jede
Maßnahme das Auftreten von Fehlern aufgrund häufiger Ursachen verringert.
10/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
Zusammenfassung der Empfehlungen
Um das Messwerkzeug vor dem Prozessmedium zu schützen und
eine schnelle und einfache Kalibrierung des elektronischen
Thermometers zu erreichen, sollte ein
Schutzthermometerzubehör mit austauschbarem Messwerkzeug
verwendet werden. Entsprechend den Anforderungen des
Prozesses ist es wichtig, besonders auf die korrekte Auslegung
des Schutzrohrs zu achten
Um Temperaturmesspunkte für sicherheitsrelevante
Anwendungen optimal zu gestalten, müssen die Anforderungen
im Kapitel "Anforderungen an das Sicherheitssystem"
eingehalten werden.
Darüber hinaus wird für Sicherheitsanwendungen empfohlen,
den Temperaturmessumformer S20 (am Kopf oder auf der
Schiene) mit einem 4-Draht-
Verbindungswiderstandsthermometer oder Thermoelement zu
verwenden. Durch die umfangreichen Diagnosefunktionen von
S20 und die Vorteile der 4-Draht-Verbindung kann ein hohes
Maß an Sicherheit bei der Temperaturmessung gewährleistet
werden.
Abkürzungen und Definitionen
Abkürzung Definition
Eng verbunden
Gleichstrom
Erweiterung
Kabel
Passend für
Hochfrequenz
Hoher Druck
Niedriger
Druck
PFDavg
PFH
Wärmewiderstand
Stapelfaser
SIS
TC
TR
Der Temperaturmessumformer befindet
sich im Stecker (am Kopf montiert) des
elektronischen Thermometers.
Abdeckung
Der Temperaturmessumformer befindet sich außerhalb des Anschlusses des elektronischen klinischen Thermometers und befindet sich beispielsweise in einem Schrank außerhalb des Messpunkts (Ferninstallation).
Ausfallzeit
Hardwarefehlertoleranz
Vibrationsanwendung
(≥67% der maximalen Vibrationsfestigkeit
des elektronischen Thermometers)
Geringe Vibration
(<67% der maximalen Vibrationsfestigkeit
des elektronischen Thermometers)
Durchschnittliche Wahrscheinlichkeit eines gefährlichen Ausfalls gemäß den Anforderungen der Sicherheitsfunktion
Durchschnittliche Häufigkeit gefährlicher
Ausfälle von Sicherheitsfunktionen
"Widerstandstemperaturdetektor";
Widerstandsthermometer
Sicherheitsfehlerwerte von Hardwareelementen
Sicherheitsinstrumentiertes System
Thermoelement
"Temperaturbeständigkeit";
Widerstandsthermometer
11/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
Den Einfluss des Temperaturmessumformers Modell S20 (ab Firmware-Version 2.2.3)
auf sicherheitsrelevante Kennwerte neu bewerten
Im Rahmen der Neubewertung wurden keine sicherheitsrelevanten
Änderungen am Temperaturmessumformer vorgenommen.
Der Diagnosebereich des Senders bleibt unverändert.
Nur neue Bewertungsmethoden führen zu Änderungen der
sicherheitsrelevanten Kennwerte.
Neue Version der Norm IEC 61508
Seit der vorläufigen Bewertung der Grundnorm S20
Temperaturmessumformer für funktionale Sicherheit, IEC 61508
"Funktionssicherheit von elektrisch / elektronisch / programmierbar
Elektronische sicherheitsrelevante Systeme "wurde auf eine
überarbeitete Version von IEC 61508: 2010 aktualisiert.
Ab Firmware-Version 2.2.3 wird S20 anhand der Standards
dieser Version bewertet
Fehlerrate aktualisieren
In diesem Fall wird FMEDA (Fehlermodus, Auswirkungs- und
Diagnoseanalyse) auch mit der aktuellen Komponentenausfallrate
wiederholt. Gemäß SN29500 basiert die Berechnung auf der
Ausfallrate der Komponenten. Bei Temperaturwiderstandssensoren
und Thermoelementen, die an Temperaturmessumformer
angeschlossen sind, die Ausfallrate.
Bestimmt von exida.com LLC.
Elementanalyse des Subsystems "Sensor" Nach der Einführung
des Begriffs "Element" in Abschnitt 3.4.5 der IEC 61508-4: 2010,
die Verbindung von Temperaturmessumformer und Elektronik
Thermometer als "Sensor" -Subsystem wird berücksichtigt
und wie folgt bewertet:
Element1
Elektronisches Thermometer
ohne Sender
(Thermoelement oder
Widerstandsthermometer)
Für HFT = 0 und SIL 2 gilt
Typ A / SFF ≥ 60%
Element2
S20 Temperaturmessumformer
(Ohne Thermoelement
oder Widerstandsthermometer)
Für HFT = 0 und SIL 2 gilt
Typ B / SFF ≥ 90%
Diese separate Überlegung wirkt sich auf die Bewertung des
SFF-Werts aus. Beispielsweise wird der von einem Thermoelement
oder Widerstandsthermometer benötigte SIL 2 SFF auf 60% reduziert.
Anwendungsspezifische Ausfallrate
Durch die Neubewertung von S20 kann die Ausfallrate gemäß
der spezifischen Ausfallrate der Anwendung bestimmt werden,
die vom Vibrationspegel des installierten elektronischen
Thermometers abhängt und von der Verbindung des Thermometers
mit dem Messumformer abhängt. Zusätzlich wird die Ausfallrate
von "eigenständigen" Temperaturmessumformern für verschiedene
Konfigurationen berechnet.
Höhere Ausfallrate
Die Ausfallrate von S20-Sendern, die an Thermoelemente oder
Widerstandssensoren angeschlossen sind, hat einen
Verbesserungstrend gezeigt. Insbesondere für die Situation
"geringer Stress, eng gekoppelt" wird die Ausfallrate gefährlicher,
nicht nachweisbarer Ausfälle verringert.
Auswirkung auf den PFDavg-Wert
Insbesondere für "spannungsarme, eng gekoppelte"
Anwendungsbedingungen wurde der PFDavg-Wert verbessert.
Auf diese Weise können Benutzer bei Bedarf Logik- oder
Betriebssystemsubsysteme mit entsprechend größeren
PFDavg-Werten im sicherheitsgerichteten System verwenden oder
das Verifikationstestintervall verlängern.
Rodriguez-Repräsentanz in China
Rodriguez Automation Instrumentation (Guangzhou) Co., Ltd.
LUDWIG Internationaler Handel (Shanghai) Co., Ltd.
Telefon: 400-860-9760
E-Mail: [email protected]
Website: www.Ludwig-Schneider.com.cn
LUDWIG
SCHNEIDER
12/12
LUDWIG
SCHNEIDER
LUDWIG DATEN
TEL:400-860-9760
www.Ludwig-Schneider.com.cn
///////
20
20 JA
HR
00
50
7-0
52
7-1
01
3 C
h A
ufla
ge
///////
FunktionssicherheitSicherheitsbezogene Temperaturmessung nach IEC 61508
Top Related