Sicherheitsleitfaden
LLS 4000/4000U
Sicherheitsleitfaden | LLS 4000/4000U
Inhalt Einführung ...................................................................................................................................................................................3
Geltungsbereich dieses Dokuments ....................................................................................................................................................... 3
Gerätebeschreibung .........................................................................................................................................................................................3
Gerätevarianten ....................................................................................................................................................................................................4
Zugehörige Dokumentation ........................................................................................................................................................................4
Begriffe und Definitionen ..............................................................................................................................................................................5
Spezifikation der Sicherheitsfunktion ................................................................................................................................6
Vorläufige Anforderungen .............................................................................................................................................................................6
Definition der Sicherheitsfunktion ........................................................................................................................................................... 6
Allgemeine Hinweise .............................................................................................................................................................................6
Definition der Sicherheitsfunktion ...................................................................................................................................................6
Fehleransprechzeit ..................................................................................................................................................................................6
Eigenschaften der Sicherheitsfunktion ..........................................................................................................................................7
Sicherheitsbezogene Anwendungsbedingungen (Safety Application Conditions, SAC) .....................................7
Betrieb ...........................................................................................................................................................................................9
Nutzungsbedingungen ..................................................................................................................................................................................9
Fehlerstatus .............................................................................................................................................................................................................9
Schaltausgang – Relais ........................................................................................................................................................................9
Fehlerbedingungen ...........................................................................................................................................................................................9
Grenzen für die Änderung der Parameter ........................................................................................................................................10
Service ........................................................................................................................................................................................ 11
Regelmäßige Wartung .................................................................................................................................................................................. 11
Betriebsmodi und Eignungsprüfungen ............................................................................................................................................. 11
Betriebsmodus mit hoher/kontinuierlicher Anforderungsrate .........................................................................................11
Betriebsmodus mit niedriger Anforderungsrate .....................................................................................................................11
Eignungsprüfungen ............................................................................................................................................................................ 11
Erforderliche Ausrüstung .................................................................................................................................................................. 12
Sicherstellung der korrekten Geräteinstallation ......................................................................................................................12
Sicherstellung der Relaisausgangskapazität ........................................................................................................................... 13
Sicherstellung des korrekten Geräteverhaltens .......................................................................................................................13
Fehlerdiagnose ..................................................................................................................................................................................................14
Technische Daten ................................................................................................................................................................... 15
Eigenschaften für die Gerätesicherheitsfunktion ......................................................................................................................... 15
Annahmen............................................................................................................................................................................................................16
FMEDA gilt für die folgenden Bedingungen: ............................................................................................................................ 16
Unterstützung für SIL-zugelassene Geräte .......................................................................................................................................16
Anhang....................................................................................................................................................................................... 17
Berichtsformular zur Eignungsprüfung (zum Kopieren) ..........................................................................................................17
2 | BH331633043895de-000301
© Danfoss | DCS (ms) | 2020.09
Sicherheitsleitfaden | LLS 4000/4000U
Einführung Geltungsbereich dieses Dokuments
Dieses Dokument enthält Funktionssicherheitsdaten zum Gerät. Diese Daten entsprechen der Norm
IEC 61508.
Allgemeiner Hinweis
Dieser Füllstandsdetektor ist ein funktionssicherer Füllstandsdetektor. Er kann in sicherheitskritischen
Systemen eingesetzt werden, für die die Sicherheitsfunktion erforderlich ist (weitere Daten siehe
Spezifikation der Sicherheitsfunktion auf Seite 7), und zwar auf Sicherheitsintegritätsstufe 2 (SIL 2).
Im Falle eines erkannten potenziell gefährlichen Fehlers führt das System eine Sicherheitsreaktion durch,
um das Gerät in einen sicheren Zustand zu versetzen, der durch eine sichere Position am Ausgangsrelais
angezeigt wird. Abhängig von der Fehlerklasse nimmt das Gerät entweder den Detektormodus
wieder auf, sobald die Fehlerursache verschwindet (anwendungsabhängiger Fehler), oder es verbleibt
im Fehlermodus (interner Systemfehler). Im letzteren Fall ist die Interaktion des Bedieners erforderlich,
um den Detektormodus neu zu starten.
Für einen sicheren Betrieb muss der Bediener/Integrator einige Bedingungen erfüllen.
Diese Bedingungen werden als Sicherheitsbezogene Anwendungsbedingungen (Safety
Application Conditions, SAC) definiert. Weitere Daten finden Sie unter Sicherheitsbezogene
Anwendungsbedingungen (Safety Application Conditions, SAC) auf Seite 7.
INFORMATION!
Die Daten in diesem Nachtrag enthalten nur die Daten, die für die SIL-Zulassung gelten. Die technischen
Daten für die Standardversion im Datenblatt (Dokument [N1]) sind gültig, sofern sie nicht für ungültig
erklärt oder durch diesen Nachtrag ersetzt werden. Erforderlichenfalls wird hier auf Teile des Dokuments
[N1] verwiesen.
INFORMATION!
Installation, Inbetriebnahme und Wartung dürfen nur von zugelassenem Personal durchgeführt werden.
Gerätebeschreibung
Die Erkennung erfolgt über 1 Ausgangsoptionen:
• Schaltausgang – Relais
Erkennungen können auch über eine Anwendung auf einem Smart-Gerät mit Bluetooth-Verbindung
angezeigt werden. Schaltausgang – Relais ist die Sicherheitsfunktion.
Wenn das Gerät einen Messfehler erkennt, schaltet es das Ausgangsrelais in die Position „sicher“.
Die Position „sicher“ ist der Zustand GEÖFFNET.
Siehe auch „Gerätebeschreibung“ im Datenblatt (Dokument [N1]).
© Danfoss | DCS (ms) | 2020.09
BH331633043895de-000301 | 3
Sicherheitsleitfaden | LLS 4000/4000U
x
Gerätevarianten
Der Modellname für die Niveausonde und ihre Optionen werden durch den VF-Typcode auf dem
Typenschild des Geräts identifiziert.
Die SIL-Variante des Geräts zeigt ein SIL2-Logo auf dem Typenschild des Geräts. Wenn dieses Logo
auf dem Typenschild des Geräts angezeigt wird, wird das Gerät für Sicherheitsanwendungen geliefert.
Wenn dieses Logo nicht auf dem Typenschild des Geräts angezeigt wird, darf das Gerät nicht für
Sicherheitsanwendungen verwendet werden.
Abbildung 1-1: Die Position des SIL-Logos auf dem Typenschild des Geräts befindet sich in der Mitte rechts
Zugehörige Dokumentation
[N1] LLS 4000 Datenblatt AI323832972563
[N2] IEC 61508-1 bis 7: 2010 Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/
programmierbarer elektronischer Systeme
[N3] Flüssigkeitsstandsschalter Installationsanleitung/Schnellstart AN317523977313
xxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx
xxxxxxxxx
xxxxxxxx
xxxxxxx
S/N: xxxxxxxxxxxxxxxx
Supply: 24 V DC 80 mA
Connection type: xxxxxxxx / xxxx
MWP (PS): 65 bars
Process temp.: -50°C to +120°C
MD: xxxx/xx IP66/IP67
FCC ID:
IC: 1991D-SWSILBT01 CMIIT: xxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxx xxxx
xxxx/xx
Q6BSWSILBT01
xxx PV01
xxxxxxxxxxx
MADE IN FRANCE
lbl. nr. FZ 4007312201
Danfoss A/S, 6430 Nordborg, Denmark
4 | BH331633043895de-000301
© Danfoss | DCS (ms) | 2020.09
Sicherheitsleitfaden | LLS 4000/4000U
Begriffe und Definitionen
DC
D
Diagnostic Coverage of dangerous failures (Diagnostische Abdeckung gefährlicher Fehler)
Firmware Im Gerät eingebettete Software
FIT Failure In Time (Ausfallrate) (1×10-9 Fehler pro Stunde)
FMEDA
Failure Modes, Effects and Diagnostics Analysis (Fehlermöglichkeits-, Einfluss- und
Diagnoseanalyse)
FRT Fault Response Time (Fehleransprechzeit) (Diagnosetestintervall + Fehlerreaktionszeit)
HFT Hardware Fault Tolerance (Hardwarefehlertoleranz)
Betriebsmodus mit hoher
oder kontinuierlicher
Anforderungsrate
λ
DD
λ
DU
λ
SD
λ
SU
Betriebsmodus
mit niedriger
Anforderungsrate
Wenn die Häufigkeit der Anforderungen an den Betrieb eines sicherheitsrelevanten
Systems mehr als einmal pro Jahr beträgt
Rate für gefährliche erkannte Fehler
Rate für gefährliche nicht erkannte Fehler
Rate für sichere erkannte Fehler
Rate für sichere nicht erkannte Fehler
Wenn die Häufigkeit der Anforderungen an den Betrieb eines sicherheitsrelevanten
Systems nicht mehr als einmal pro Jahr beträgt
MTBF Mean Time Between Failures (Durchschnittliche Zeit zwischen Fehlern)
MTTF Mean Time To Failure (Durchschnittliche Zeit bis zum Fehler)
MTTR Mean Time To Recovery (Durchschnittliche Zeit bis zur Wiederherstellung)
PFD
AVG
PFH
Prozesssicherheitszeit
Sicherheitsbezogene
Anwendungsbedingungen
Average Probability of Failure on Demand (Durchschnittliche Ausfallwahrscheinlichkeit
im Bedarfsfall)
Probability of a dangerous Failure per Hour (Wahrscheinlichkeit eines gefahrbringenden
Ausfalls pro Stunde)
Das Zeitintervall zwischen einem potenziell gefährlichen Fehler und einem Fehlerwert
aus dem Stromausgang
Bedingungen, die bei Verwendung eines sicherheitsrelevanten Systems oder Subsystems
zu beachten sind
SFF Safe Failure Fraction (Anteil sicherer Fehler)
SIL Sicherheitsintegritätsstufe
SIS Safety Instrumented System (Sicherheitsinstrumentiertes System)
Maß (ausgedrückt auf einer Skala von SC 1 bis SC 3) des Vertrauens, dass die systematische
Systematische Kapazität
Sicherheitsintegrität eines Elements die Anforderungen der spezifizierten SIL in Bezug
auf die spezifizierte Elementsicherheitsfunktion erfüllt, wenn das Element gemäß den
Anweisungen angewendet wird
System Typ A
System Typ B
„Nicht komplexes“ System (alle Fehlermodi sind genau definiert). Weitere Daten finden
Sie in Unterabschnitt 7.4.3.1.2 der IEC 61508-2
„Komplexes“ System (alle Fehlermodi sind nicht genau definiert). Weitere Daten finden
Sie in Unterabschnitt 7.4.3.1.2 der IEC 61508-2
T[Proof] Eignungsprüfungsintervall
T[Reparatur] Zeit bis zur Reparatur
T[Test] Intervall interne Diagnosetests
2oo2 2-von-2-Kanalarchitektur
© Danfoss | DCS (ms) | 2020.09
BH331633043895de-000301 | 5
Sicherheitsleitfaden | LLS 4000/4000U
Spezifikation der
Sicherheitsfunktion
Vorläufige Anforderungen
Das Gerät muss unter den im Datenblatt (Dokument [N1]) des Geräts angegebenen Prozess-
und Umgebungsbedingungen betrieben werden.
Das folgende Kapitel definiert zusätzliche Bedingungen, die für Sicherheitsanwendungen
eingehalten werden müssen
Definition der Sicherheitsfunktion
Allgemeine Hinweise
Das Gerät enthält eine Sicherheitsfunktion, die der internationalen Norm IEC 61508 (Dokument [N2])
entspricht.
Diese Sicherheitsfunktion wird betätigt, wenn das Gerät eine Flüssigkeit vor sich erkennt.
Definition der Sicherheitsfunktion
Innerhalb einer maximalen Fehleransprechzeit von 10 s setzt das Gerät sein Ausgangsrelais auf
seinen Grundzustand (geöffnet), wenn der Füllstand einer bestimmten Flüssigkeit in einem Tank
die Mitte der Sensorschnittstelle ± 5 mm Toleranz erreicht hat.
Die Sicherheitsintegritätsstufe dieser Sicherheitsfunktion ist SIL2.
Fehleransprechzeit
Die Fehleransprechzeit ist die Zeit, die erforderlich ist, um das Gerät in den sicheren Zustand zu
versetzen, nachdem ein Fehler in der Sicherheitsfunktion aufgetreten ist.
Die maximale Zeit beträgt zehn Sekunden, da das Gerät so lange braucht, um alle seine internen
Diagnosetests zu durchlaufen.
6 | BH331633043895de-000301
© Danfoss | DCS (ms) | 2020.09
Sicherheitsleitfaden | LLS 4000/4000U
Eigenschaften der Sicherheitsfunktion
Die Sicherheitsfunktion verwendet nur ein digitales binäres Ausgangssignal, um das Vorhandensein
des Produkts anzuzeigen und den Gerätestatus anzugeben.
WARNHINWEIS!
Das Gerät muss über die entsprechenden Optionen und Einstellungen für die Anwendung
verfügen. Die Umgebungs- und Prozessbedingungen müssen mit den technischen Daten im
Datenblatt (Dokument [N1]) und in diesem Dokument (Sicherheitsleitfaden) übereinstimmen.
Sie müssen die Installationsanweisungen im Datenblatt (Dokument [N1]) befolgen.
Funktionseingang Keiner
Funktionsausgang Schaltausgang – Relais
Wenn das Gerät einen Fehler erkennt:
Ausgangsrelais,
sicherer Zustand
Wenn ein Logic Solver verwendet wird, muss er den sicheren Zustand des Ausgangsrelais verwenden,
um sich selbst in einen störungssicheren Zustand zu versetzen.
Sicherheitsbezogene Anwendungsbedingungen (Safety Application Conditions, SAC)
Installation (siehe Installationsanleitung - AN317523977313)
• Das Gerät muss mit einem Mindestabstand zu einem Objekt (z. B. einer TDR-Sonde) vor dem Sensorteil
installiert werden. Der Mindestabstand beträgt 25 mm.
• Das Gerät muss mit einem maximalen Winkel zur Horizontalen installiert werden, um Flüssigkeitsspeicher
zu vermeiden. Der maximale Winkel beträgt 10°.
• Das Gerät muss so installiert werden, dass ein Überlauf aufgrund einer möglichen dickeren
Fremdflüssigkeitsschicht auf dem Fokusmedium (wie Öl auf Kältemittel) verhindert wird.
Fremdflüssigkeit wird möglicherweise nicht erkannt und könnte zu einem Überlauf führen.
• Der mechanische Teil des Geräts darf nicht vom elektronischen Teil des Geräts getrennt werden. Der
elektronische Teil darf nicht ausgetauscht werden, da dies zu einem erheblichen Genauigkeitsverlust
führen würde, sodass das Gerät das Produkt nicht ordnungsgemäß erfassen würde.
Geöffnet
(Hinweis: Das Relais gilt auch dann als geöffnet, wenn der Ausgang zwischen geschlossen
und geöffnet schwingt)
Betrieb
• Das Gerät darf nicht für Produkte mit einer Viskosität über 5000 cP (Centipoise) verwendet werden
• Das Gerät darf nicht mit Fremdpartikeln im Medium verwendet werden. Fremdpartikel können
dazu führen, dass das Gerät das Medium nicht ordnungsgemäß erfasst
• Das Gerät muss nach der Installation getestet werden, um seine ordnungsgemäße Funktionalität
sicherzustellen. Informationen zur Definition der Eignungsprüfungen siehe Kapitel 5.3.
• Das Gerät erkennt weder das Vorhandensein von Gas noch die Blasen eines flüssigen Mediums.
Das Gerät ist so parametrisiert, dass nur eine flüssige Phase eines Produkts erfasst wird
• Wenn das Gerät beim Erkennen eines Fehlers einen Reset durchführt, bleibt das Relais mindestens
100 Millisekunden in einer sicheren Position
© Danfoss | DCS (ms) | 2020.09
BH331633043895de-000301 | 7
Sicherheitsleitfaden | LLS 4000/4000U
Funktionssichere Konfiguration
• Das Gerät muss entsprechend dem tatsächlichen Produkt im Tank konfiguriert werden. Diese
Einstellung befindet sich im Parameter „Produkttyp“. Standardmäßig ist dieser Parameter auf
Ammoniak eingestellt
• Die Sicherheitsfunktion kann nur unter folgenden Bedingungen verwendet werden:
• Das Relais für den sicheren Zustand ist auf „GEÖFFNET“ eingestellt. Die Relaiseinstellung
„stromlos geöffnet“ kann die Sicherheitsfunktion der Geräte nicht garantieren.
• Gerät schützt vor Produktüberfüllung. Das Gerät kann den Leerzustand eines Tanks nicht
sicher genug schützen.
• Wenn Sie das Gerät im Dauerbetrieb oder im Betriebsmodus mit hoher Anforderungsrate
verwenden, muss die Prozesssicherheitszeit mehr als 10 Sekunden betragen. Diese Mindestzeit
entspricht der internationalen Norm IEC 61508 Teil 2 (Dokument [N2]), Abschnitt 7.4. 4.1.4
• Wenn Sie das Gerät in einem Positionsmodus mit hoher Anforderungsrate verwenden, beträgt
die maximale Anforderungsfrequenz 1 Anforderung alle 17 Minuten. Diese Frequenz entspricht
der internationalen Norm IEC 61508 Teil 2 (Dokument [N2]), Abschnitt 7.4. 4.1.4
Funktionssichere Nutzung der Bluetooth-Kommunikation
Die Kommunikation mit dem Gerät wird über die Bluetooth-Kommunikation und die spezielle
Anwendung mit den folgenden Einschränkungen autorisiert.
• Der Standard-PIN-Code eines Geräts lautet 0000. Dieser Code muss beim Start geändert werden.
Um diesen Code zu ändern, lesen Sie bitte die Installationsanleitung (Dokument [N3])
• Die spezielle Anwendung ermöglicht das Ändern der Geräteeinstellungen. Aus Sicherheitsgründen
kann der Parameter „Produkttyp“ nur innerhalb der ersten 15 Minuten nach dem Start des Geräts
geändert werden.
Nach der Änderung des/der Parameter(s) fährt das Gerät mit einem Warm-Reset fort und startet mit
neuen Parametern neu. Das Relais ist so eingestellt, dass es zwei Sekunden im sicheren Zustand bleibt
Wenn ein Gerät an einen Logic Solver angeschlossen ist, sollte der Logic Solver in diesem Fall eine
Diagnose implementieren
• Die spezielle Anwendung kann in einem bestimmten Modus zum Testen der gesamten
Sicherheitsschleife verwendet werden (Eignungsprüfungen).
Für diesen Test muss das Relais auf GEÖFFNET oder GESCHLOSSEN eingestellt werden.
Dies bedeutet, dass die Sicherheitsinformationen des Geräts während dieses Teils der Eignungsprüfung
nicht garantiert werden
• Die Bluetooth-Kommunikation wird nur zu Einrichtungs-, Kalibrierungs- und Diagnosezwecken
verwendet. Sie wird im Sicherheitsbetriebsmodus nicht verwendet
8 | BH331633043895de-000301
© Danfoss | DCS (ms) | 2020.09
Sicherheitsleitfaden | LLS 4000/4000U
Betrieb
Nutzungsbedingungen
WARNHINWEIS!
Nur zugelassenes Personal kann Geräteeinstellungen ändern. Erstellen Sie einen Bericht über
Änderungen an den Geräteeinstellungen. Diese Berichte müssen das Datum, den Menüpunkt,
den alten Parameter und den neuen Parameter enthalten.
Die Konfiguration ist mit einem Passwort geschützt. Weitere Daten zum Passwortschutz und zur
Gerätekonfiguration finden Sie im Kapitel „Konfiguration“ im Installationshandbuch (Dokument [N3]).
Fehlerstatus
Schaltausgang – Relais
Status des Ausgangsrelais Beschreibung
GESCHLOSSEN
GEÖFFNET
Informationen zur sicheren Messung, das Gerät erkennt Produkt
nicht
Die Sicherheitsfunktion ändert den Wert in den „sicheren Zustand“,
wenn das Gerät ein Produkt erkennt oder die interne Diagnose
einen sicheren oder gefährlichen erkannten Fehler ermittelt.
Fehlerbedingungen
Das Gerät kann die Fehlerbedingungen in der folgenden Tabelle erkennen. Wenn das Gerät einen
Messfehler erkennt, stellt es das Ausgangsrelais in die Position „sicher“ um.
Fehlerbedingung Mögliche Ursache
Gerät startet nicht sofort
Hardwarefehler der Komponenten
Umgebungstemperatur ist zu hoch Die Umgebungstemperatur beträgt mehr als 80 °C (176 °F)
Umgebungstemperatur ist zu niedrig Die Umgebungstemperatur beträgt weniger als -40 °C (-40 °F)
Signal falsche Erkennung Das Gerät kann das Produkt nicht richtig erfassen
Dieser Fehler tritt auf, wenn mehr als 5 Sekunden erforderlich sind,
um das Gerät zu starten
Geräteinterner Speicherfehler
Geräteinterner Spannungsausfall
Kein Signal zur Produkterkennung
Interner Fehler Ausfall des Mikrocontrollers
Antennenresonanz ist nicht korrekt
© Danfoss | DCS (ms) | 2020.09
BH331633043895de-000301 | 9
Sicherheitsleitfaden | LLS 4000/4000U
Benutzerparameter INFORMATION!
Wenn Sie einen Parameter in einem oder mehreren der folgenden Menüpunkte ändern, wirkt sich dies auf
die Sicherheitsfunktion aus.
Grenzen für die Änderung der Parameter
ACHTUNG!
Wenn Sie die Werte eines oder mehrerer der im Abschnitt „Benutzerparameter”“angegebenen Parameter ändern,
kann sich dies nachteilig auf die Sicherheitsfunktion auswirken. Überprüfen Sie die Sicherheitsfunktion nach jeder
Änderung eines Parameters.
RECHTLICHER HINWEIS!
Der Hersteller lehnt jede Verantwortung für den ordnungsgemäßen Betrieb der Sicherheitsfunktion ab,
wenn diese Parameter vom Kunden mit Supervisor-Zugriffsrechten geändert werden.
Parametername Funktionsbeschreibung Auswahlliste
Medientyp
Schaltzustand
Auswahl des Medientyps,
den das Gerät misst.
Status des Relais, wenn das
Gerät das Vorhandensein des
Mediums nicht erkennt
Ammoniak,
Freon
Stromlos geschlossen
Stromlos geöffnet
Standardwert und
Anmerkungen
Ammoniak
Stromlos geschlossen
Dieser Wert kann für SILGeräte nicht geändert
werden
10 | BH331633043895de-000301
© Danfoss | DCS (ms) | 2020.09
Sicherheitsleitfaden | LLS 4000/4000U
Service Regelmäßige Wartung
Sie müssen die Wartungsanweisungen im Datenblatt (Dokument [N1]) befolgen.
Betriebsmodi und Eignungsprüfungen
Betriebsmodus mit hoher/kontinuierlicher Anforderungsrate
Wenn Sie die Niveausonde unter den angegebenen Umgebungsgrenzwerten im Dauerbetrieb oder
im Betriebsmodus mit hoher Anforderungsrate betreiben, müssen Sie die Frequenz zur Durchführung
der erforderlichen Eignungsprüfungen während ihrer Nutzungsdauer berechnen (weitere Daten
finden Sie unter Eigenschaften für die Gerätesicherheitsfunktionen auf Seite 15). Halten Sie die
sicherheitsbezogenen Anwendungsbedingungen (SAC) ein, die sich auf die Nutzungsdauer und
die konstanten Ausfallraten beziehen.
Betriebsmodus mit niedriger Anforderungsrate
Die Niveausonde enthält eine umfassende Reihe von Online-Diagnosetests, die schnell und häufig
ausgeführt werden, wodurch eine sehr geringe mittlere Ausfallzeit erzielt wird. Unter der Annahme
angemessener niedriger Reparatur- und Wiederherstellungszeiten erfüllt das Gerät SIL2-kompatible
PFD-Werte.
Eignungsprüfungen
Es müssen Eignungsprüfungen durchgeführt werden, um sicherzustellen, dass die Sicherheitsfunktion
auf die Produkterkennung anwendbar ist.
• Die Geräteeinstellungen müssen korrekt sein. Ist ein Parameter nicht korrekt, kann das Gerät Produkte
nicht ordnungsgemäß erkennen
• Die elektronischen Komponenten dürfen nicht defekt sein
• Die Softwareprogramme (Firmware usw.) müssen ordnungsgemäß funktionieren
• Die mechanische Installation des Geräts darf keine Auswirkungen auf die Leistung des Sensorteils
haben
Wir empfehlen, dass Sie eine Eignungsprüfung durchführen:
• Unmittelbar nach der Installation und dem Start des Geräts
• Unmittelbar, nachdem Sie die Parameter des Geräts geändert haben
© Danfoss | DCS (ms) | 2020.09
BH331633043895de-000301 | 11
Sicherheitsleitfaden | LLS 4000/4000U
WARNHINWEIS!
Das Intervall der Eignungsprüfungen muss von SIS-Ingenieuren berechnet werden. Dieses Intervall
muss dem angegebenen PFD
weniger als 5 Jahre betragen, aber das Intervall zwischen den Prüfungen muss auch dem vor Ort
verwendeten Sicherheitssystem entsprechen.
Bereiten Sie das Gerät für die Eignungsprüfungen vor.
ACHTUNG!
• Vom Kunden durchgeführte Eignungsprüfungen müssen den in diesem Abschnitt beschriebenen
Prüfungen gleichwertig sein oder diese übertreffen
• Erstellen Sie einen Bericht über jede Eignungsprüfung Diese Berichte müssen das Datum, die Testergebnisse
(Leistung der Sicherheitsfunktion oder festgestellte Fehler), eine Liste der zugelassenen Mitarbeiter,
die den Test durchgeführt haben, und die Berichtsrevisionsnummer enthalten. Diese Berichte müssen
aufbewahrt und leicht zugänglich gemacht werden. Ein Berichtsformular für Eignungsprüfungen
(zum Kopieren) finden Sie auf Seite 18
• Wenn die Ergebnisse der Eignungsprüfung nicht korrekt sind, weil das Gerät nicht richtig eingestellt
ist oder das Produkt nicht erkennt, sprechen Sie mit dem Hersteller oder schreiben Sie ihn an
• Die Position des Geräts und die Art der Installation im Tank können sich auf die Leistung auswirken.
Stellen Sie sicher, dass Sie die Installationsanweisungen im Installationshandbuch (Dokument [N3])
einhalten
• Trennen Sie das Gerät von der SPS des Sicherheitssystems, wenn Sie Eignungsprüfungen durchführen,
da diese Systemkonfiguration den Leistungsschalter öffnen kann
entsprechen. Die Mindestzeit zwischen Eignungsprüfungen muss
AVG
Erforderliche Ausrüstung
• Auf dem Prozess installiertes Gerät
• Mit dem Gerät verbundene Smartphone-Anwendung
• Ohmmeter
• Referenzgerät: ein zugelassener Füllstandsmesser oder -anzeiger
Referenzgerät
4 3
1 2
Tank
Versorgungs-
spannung
Sicherstellung der korrekten Geräteinstallation
Führen Sie eine visuelle Überprüfung der Geräteposition durch
• Überprüfen Sie, ob das Gerät auf den Tank gestellt ist, um eine Überfüllung zu vermeiden
Führen Sie eine visuelle Überprüfung des Geräts durch
• Überprüfen Sie auf dem Typenschild des Geräts, ob das folgende SIL-Logo angezeigt wird
ohmmeter
12 | BH331633043895de-000301
SIL 2
© Danfoss | DCS (ms) | 2020.09
Sicherheitsleitfaden | LLS 4000/4000U
Überprüfen Sie den Produkttyp
• Schalten Sie das Gerät ein
• Schalten Sie das Smartphone ein und starten Sie die Anwendung
• Verbinden Sie das Gerät mit der Smartphone-Anwendung
• Gehen Sie zum Abschnitt KONFIGURATION
• Überprüfen Sie, ob der Parameter Produkttyp entsprechend dem Produkt im Tank richtig eingestellt ist
• Wenn der Parameter Produkttyp nicht richtig eingestellt ist, ist der Test ein Fehler
Überprüfen Sie die Konfiguration des Relaisstatus
• Verbinden Sie das Gerät mit der Smartphone-Anwendung
• Gehen Sie zum Abschnitt KONFIGURATION
• Überprüfen Sie, ob der Parameter „Schaltzustand“ auf „stromlos geschlossen (NC)“ eingestellt ist.
Wenn der Parameter nicht „stromlos geschlossen (NC)“ ist, ist der Test ein Fehler
Sicherstellung der Relaisausgangskapazität
Überprüfen Sie die Position „sicher“ des Ausgangsrelais
• Schalten Sie das Gerät ein
• Schalten Sie das Smartphone ein und starten Sie die Anwendung
• Verbinden Sie das Gerät mit der Smartphone-Anwendung
• Gehen Sie zum Abschnitt Zusätzliche Informationen
• Klicken Sie auf die Schaltfläche „RELAIS ÖFFNEN“
• Überprüfen Sie das Ausgangsrelais länger als zehn Sekunden:
• Wenn der Wert des Ohmmeters während der 10 Sekunden größer als 50 Ohm ist, gilt das
Ausgangsrelais als geöffnet. Dieser Test ist erfolgreich
• Wenn der Wert des Ohmmeters während der 10 Sekunden fälschlicherweise niedriger oder
gleich 50 Ohm ist, ist das Ausgangsrelais als geschlossen zu betrachten. Dieser Test ist ein Fehler
Klicken Sie auf „EXIT TEST“, um die Überprüfung des geöffneten Relaiszustands zu beenden.
WARNUNG: Wenn „EXIT TEST“ nicht betätigt wird, bleibt das Relais unabhängig von der
Produkterkennung geöffnet.
Überprüfen Sie die Normalposition des Ausgangsrelais
• Schalten Sie das Gerät ein
• Schalten Sie das Smartphone ein und starten Sie die Anwendung
• Verbinden Sie das Gerät mit der Smartphone-Anwendung
• Geben Sie in den Einstellungen die Service-Anmeldedaten des Geräts ein
• Gehen Sie zum Abschnitt Zusätzliche Informationen
• Klicken Sie auf die Schaltfläche „RELAIS SCHLIESSEN“
• Überprüfen Sie, ob das Ausgangsrelais geschlossen ist: Wenn der Wert des Ohmmeters niedriger
50 Ohm ist, ist das Relais des Geräts geschlossen
Klicken Sie auf „EXIT TEST“, um die Überprüfung des geschlossenen Relaiszustands zu beenden.
WARNUNG: Wenn „EXIT TEST“ nicht betätigt wird, bleibt das Relais unabhängig von der
Produkterkennung geschlossen und kann einen gefährlichen Zustand verbergen.
Sicherstellung des korrekten Geräteverhaltens
Führen Sie eine Funktionsprüfung des Geräts durch
• Schalten Sie das Gerät ein
• Verwenden Sie die Referenzfüllstandsanzeige, um den Füllstand unterhalb der Geräteposition
einzustellen
• Überprüfen Sie, ob das Ausgangsrelais geschlossen ist: Wenn der Wert des Ohmmeters niedriger
50 Ohm ist, ist das Relais des Geräts geschlossen
• Verwenden Sie die Referenzfüllstandsanzeige zum Befüllen des Tanks, bis der Füllstand höher
als die Geräteposition ist
• Überprüfen Sie, ob das Ausgangsrelais geöffnet ist: Wenn der Wert des Ohmmeters größer
als 50 Ohm ist, ist das Relais des Geräts geöffnet
• Verwenden Sie die Referenzfüllstandsanzeige zum Leeren des Tanks, bis der Füllstand niedriger
als die Geräteposition ist
• Überprüfen Sie, ob das Ausgangsrelais geschlossen ist: Wenn der Wert des Ohmmeters niedriger
50 Ohm ist, ist das Relais des Geräts geschlossen
• Wenn das Relais des Geräts bei den vorherigen Überprüfungen nicht richtig eingestellt wird,
ist der Test ein Fehler
© Danfoss | DCS (ms) | 2020.09
BH331633043895de-000301 | 13
Sicherheitsleitfaden | LLS 4000/4000U
ACHTUNG!
Führen Sie eine visuelle Überprüfung des Gehäuses, der Dichtungen und der elektrischen Kabel durch,
um sicherzustellen, dass sie gewartet werden können.
Wenn Sie die Tests in diesem Abschnitt durchführen, ist es möglich, diese Eignungsprüfungsabdeckung
zu erhalten:
Geräteinformationen Eignungsprüfungsabdeckung (Proof Test Coverage, PTC)
Ausgangsrelais 95 %
Fehlerdiagnose
INFORMATION!
Änderungen am Gerät sind nicht zulässig.
Nur zugelassenes Personal kann das Gerät reparieren.
Wenn Sie ein Problem feststellen, wenden Sie sich bitte an Ihren Danfoss-Vertriebspartner vor Ort.
Wenn das Gerät an den Hersteller zurückgesandt werden muss.
Senden Sie einen Bericht an den Hersteller, wenn ein Fehler im Zusammenhang mit der
Funktionssicherheit vorliegt. Wenn Sie ein Problem feststellen, wenden Sie sich bitte an Ihren DanfossVertriebspartner vor Ort.
14 | BH331633043895de-000301
© Danfoss | DCS (ms) | 2020.09
Sicherheitsleitfaden | LLS 4000/4000U
Technische Daten
Eigenschaften für die Gerätesicherheitsfunktion
Version LLS 4000
Produktversion PV01
Gerätetyp System Typ B
Systematische Kapazität 2
Sicherheitsintegritätsstufe
Zweikanal SIL 2
Architektur 2oo2
HFT 1
PFH 7,37 x 10
SFF 98 %
λ
SD
λ
SU
λ
DD
λ
DU
PFD
(T[Proof ] = 1 Jahr) 2,48 x 10
AVG
PFD
(T[Proof ] = 3 Jahre) 7,43 x 10
AVG
PFD
(T[Proof ] = 5 Jahre) 1,24 x 10
AVG
Eignungsprüfungsabdeckung 95 %
Diagnosetestintervall 10 s
Fehlerreaktionszeit < 1 s
MTBF 304 Jahre
5,1 x 10
160 x 10
165 x 10
5,65 x 10
-9
-9
-9
-9
-9
-5
-5
-4
© Danfoss | DCS (ms) | 2020.09
BH331633043895de-000301 | 15
Sicherheitsleitfaden | LLS 4000/4000U
Annahmen
FMEDA gilt für die folgenden Bedingungen:
• Die Verwendung des Geräts stimmt mit seinen Eigenschaften hinsichtlich Bauweise und Leistung
überein. Dies umfasst Umgebungs- und Prozessbedingungen
• Die Installation des Geräts muss den Anweisungen und Anforderungen der Anwendung entsprechen
• Der Verschleiß mechanischer Teile kann außer Acht gelassen werden. Fehlerraten sind konstant
• Fehler, die nacheinander auftreten, werden in dieselbe Gruppe eingeordnet wie der Fehler, der das
Problems verursacht
• Das Bluetooth-Protokoll wird nur zu Einrichtungs-, Kalibrierungs- und Diagnosezwecken verwendet.
Sie wird im Sicherheitsbetriebsmodus nicht verwendet
• Alle Komponenten, die nicht Teil der Sicherheitsfunktion sind und die Sicherheitsfunktion nicht
beeinflussen können (Feedback-immun), sind nicht enthalten
• Das Ausgangsrelais wird für Sicherheitsanwendungen verwendet
• Die Mean Time To Recovery (durchschnittliche Zeit bis zur Wiederherstellung) nach einem sicheren
Fehler beträgt 72 Stunden (MTTR = 72 h)
• Externe Stromausfallraten sind nicht enthalten
INFORMATION!
Die FMEDA des Geräts wurde mit dem exida-Tool FMEDA v7.1.17 mit der folgenden Konfiguration berechnet:
Datenbank SN 29500
Umgebungstemperatur beträgt 40 °C
T [Proof] beträgt 1 bis 10 Jahre (87.600 Stunden)
T[Reparatur] beträgt 72 Stunden
T[Test] beträgt 10 Sekunden (alle internen Testfunktionen werden in diesem Zeitraum mindestens einmal
ausgeführt)
Unterstützung für SIL-zugelassene Geräte
Wenn der Hersteller eine Änderung vornimmt, die sich auf die Sicherheitsfunktion des Geräts auswirkt,
wird der Hersteller Sie unverzüglich über die Änderung informieren.
16 | BH331633043895de-000301
© Danfoss | DCS (ms) | 2020.09
Sicherheitsleitfaden | LLS 4000/4000U
Anhang Berichtsformular zur Eignungsprüfung (zum Kopieren)
ACHTUNG!
Füllen Sie das folgende Berichtsformular aus, wenn Sie eine Eignungsprüfung durchführen.
Weitere Daten finden Sie im Kapitel Eignungsprüfungen auf Seite 11.
Aufgezeichnet von: Datum:
Eindeutige Geräte-ID (z. B. Seriennummer):
Überprüfung Parameterwert
Ergebnisse Eignungsprüfungen
Aufgezeichneter Wert Korrekter Wert Zugelassen
Geräteeinbauposition Gerät schützt vor Überfüllung. [Ja] [Nein]
Visuelle Überprüfung
des SIL-Logos
Produkttyp Parameterwert Wert entsprechend dem Produkt im Tank [Ja] [Nein]
Relais Anf. Status
Parameterwert
Funktionsprüfung
Aufgezeichneter Wert Korrekter Wert Zugelassen
Überprüfung Ausgangsrelais
in Position „sicher“
Überprüfung Ausgangsrelais
in Normalposition
Wenn der Füllstand unter die
Geräteposition fällt, befindet
sich das Ausgangsrelais in der
Normalposition
Wenn der Füllstand über die
Geräteposition steigt, befindet
sich das Ausgangsrelais in der
Position „sicher“
Wenn der Füllstand unter die
Geräteposition fällt, befindet
sich das Ausgangsrelais in der
Normalposition
Das Logo
Typenschild
Wert eingestellt auf 0 (Null) [Ja] [Nein]
Ergebnisse Eignungsprüfungen
Ausgangsrelais ist geöffnet (Ohmmeter
gibt Fehler an oder beträgt >50 Ohm)
Ausgangsrelais ist geschlossen
(Ohmmeter gibt Fehler an oder
beträgt <50 Ohm)
Ausgangsrelais ist geschlossen
(Ohmmeter gibt Fehler an oder
beträgt <50 Ohm)
Ausgangsrelais ist geöffnet
(Ohmmeter gibt Fehler an oder
beträgt >50 Ohm)
Ausgangsrelais ist geschlossen
(Ohmmeter gibt Fehler an oder
beträgt <50 Ohm)
befindet sich auf dem
SIL 2
[Ja] [Nein]
[Ja] [Nein]
[Ja] [Nein]
[Ja] [Nein]
[Ja] [Nein]
[Ja] [Nein]
Fazit
Funktioniert das Gerät in sicherheitsrelevanten Systemen zufriedenstellend? [Ja] [Nein]
Unterschrift:
© Danfoss | DCS (ms) | 2020.09
BH331633043895de-000301 | 17
18 | BH331633043895de-000301
© Danfoss | DCS (ms) | 2020.09
Loading...