Danfoss LLS 4000, LLS 4000U Safety guide [de]

Sicherheitsleitfaden

LLS 4000/4000U

Sicherheitsleitfaden | LLS 4000/4000U

Inhalt Einführung ...................................................................................................................................................................................3

Geltungsbereich dieses Dokuments ....................................................................................................................................................... 3

Gerätebeschreibung .........................................................................................................................................................................................3

Gerätevarianten ....................................................................................................................................................................................................4

Zugehörige Dokumentation ........................................................................................................................................................................4

Begriffe und Definitionen ..............................................................................................................................................................................5

Spezifikation der Sicherheitsfunktion ................................................................................................................................6

Vorläufige Anforderungen .............................................................................................................................................................................6

Definition der Sicherheitsfunktion ........................................................................................................................................................... 6

Allgemeine Hinweise .............................................................................................................................................................................6

Definition der Sicherheitsfunktion ...................................................................................................................................................6

Fehleransprechzeit ..................................................................................................................................................................................6

Eigenschaften der Sicherheitsfunktion ..........................................................................................................................................7

Sicherheitsbezogene Anwendungsbedingungen (Safety Application Conditions, SAC) .....................................7

Betrieb ...........................................................................................................................................................................................9

Nutzungsbedingungen ..................................................................................................................................................................................9

Fehlerstatus .............................................................................................................................................................................................................9

Schaltausgang – Relais ........................................................................................................................................................................9

Fehlerbedingungen ...........................................................................................................................................................................................9

Grenzen für die Änderung der Parameter ........................................................................................................................................10

Service ........................................................................................................................................................................................ 11

Regelmäßige Wartung .................................................................................................................................................................................. 11

Betriebsmodi und Eignungsprüfungen ............................................................................................................................................. 11

Betriebsmodus mit hoher/kontinuierlicher Anforderungsrate .........................................................................................11

Betriebsmodus mit niedriger Anforderungsrate .....................................................................................................................11

Eignungsprüfungen ............................................................................................................................................................................ 11

Erforderliche Ausrüstung .................................................................................................................................................................. 12

Sicherstellung der korrekten Geräteinstallation ......................................................................................................................12

Sicherstellung der Relaisausgangskapazität ........................................................................................................................... 13

Sicherstellung des korrekten Geräteverhaltens .......................................................................................................................13

Fehlerdiagnose ..................................................................................................................................................................................................14

Technische Daten ................................................................................................................................................................... 15

Eigenschaften für die Gerätesicherheitsfunktion ......................................................................................................................... 15

Annahmen............................................................................................................................................................................................................16

FMEDA gilt für die folgenden Bedingungen: ............................................................................................................................ 16

Unterstützung für SIL-zugelassene Geräte .......................................................................................................................................16

Anhang....................................................................................................................................................................................... 17

Berichtsformular zur Eignungsprüfung (zum Kopieren) ..........................................................................................................17

2 | BH331633043895de-000301

© Danfoss | DCS (ms) | 2020.09

Sicherheitsleitfaden | LLS 4000/4000U

Einführung Geltungsbereich dieses Dokuments

Dieses Dokument enthält Funktionssicherheitsdaten zum Gerät. Diese Daten entsprechen der Norm
IEC 61508.

Allgemeiner Hinweis

Dieser Füllstandsdetektor ist ein funktionssicherer Füllstandsdetektor. Er kann in sicherheitskritischen
Systemen eingesetzt werden, für die die Sicherheitsfunktion erforderlich ist (weitere Daten siehe
Spezifikation der Sicherheitsfunktion auf Seite 7), und zwar auf Sicherheitsintegritätsstufe 2 (SIL 2).

Im Falle eines erkannten potenziell gefährlichen Fehlers führt das System eine Sicherheitsreaktion durch,
um das Gerät in einen sicheren Zustand zu versetzen, der durch eine sichere Position am Ausgangsrelais
angezeigt wird. Abhängig von der Fehlerklasse nimmt das Gerät entweder den Detektormodus
wieder auf, sobald die Fehlerursache verschwindet (anwendungsabhängiger Fehler), oder es verbleibt
im Fehlermodus (interner Systemfehler). Im letzteren Fall ist die Interaktion des Bedieners erforderlich,
um den Detektormodus neu zu starten.

Für einen sicheren Betrieb muss der Bediener/Integrator einige Bedingungen erfüllen.
Diese Bedingungen werden als Sicherheitsbezogene Anwendungsbedingungen (Safety
Application Conditions, SAC) definiert. Weitere Daten finden Sie unter Sicherheitsbezogene
Anwendungsbedingungen (Safety Application Conditions, SAC) auf Seite 7.

INFORMATION!

Die Daten in diesem Nachtrag enthalten nur die Daten, die für die SIL-Zulassung gelten. Die technischen
Daten für die Standardversion im Datenblatt (Dokument [N1]) sind gültig, sofern sie nicht für ungültig
erklärt oder durch diesen Nachtrag ersetzt werden. Erforderlichenfalls wird hier auf Teile des Dokuments
[N1] verwiesen.

INFORMATION!

Installation, Inbetriebnahme und Wartung dürfen nur von zugelassenem Personal durchgeführt werden.

Gerätebeschreibung

Die Erkennung erfolgt über 1 Ausgangsoptionen:

• Schaltausgang – Relais
Erkennungen können auch über eine Anwendung auf einem Smart-Gerät mit Bluetooth-Verbindung

angezeigt werden. Schaltausgang – Relais ist die Sicherheitsfunktion.
Wenn das Gerät einen Messfehler erkennt, schaltet es das Ausgangsrelais in die Position „sicher“.

Die Position „sicher“ ist der Zustand GEÖFFNET.
Siehe auch „Gerätebeschreibung“ im Datenblatt (Dokument [N1]).

© Danfoss | DCS (ms) | 2020.09

BH331633043895de-000301 | 3

Sicherheitsleitfaden | LLS 4000/4000U

x

Gerätevarianten

Der Modellname für die Niveausonde und ihre Optionen werden durch den VF-Typcode auf dem
Typenschild des Geräts identifiziert.

Die SIL-Variante des Geräts zeigt ein SIL2-Logo auf dem Typenschild des Geräts. Wenn dieses Logo
auf dem Typenschild des Geräts angezeigt wird, wird das Gerät für Sicherheitsanwendungen geliefert.
Wenn dieses Logo nicht auf dem Typenschild des Geräts angezeigt wird, darf das Gerät nicht für
Sicherheitsanwendungen verwendet werden.

Abbildung 1-1: Die Position des SIL-Logos auf dem Typenschild des Geräts befindet sich in der Mitte rechts

Zugehörige Dokumentation
[N1] LLS 4000 Datenblatt AI323832972563

[N2] IEC 61508-1 bis 7: 2010 Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/

programmierbarer elektronischer Systeme
[N3] Flüssigkeitsstandsschalter Installationsanleitung/Schnellstart AN317523977313

xxxxxxxxxxxxxxxx

xxxxxxxxxxxxxxx

xxxxxxxxx

xxxxxxxx

xxxxxxx

S/N: xxxxxxxxxxxxxxxx
Supply: 24 V DC 80 mA
Connection type: xxxxxxxx / xxxx
MWP (PS): 65 bars
Process temp.: -50°C to +120°C
MD: xxxx/xx IP66/IP67
FCC ID:

IC: 1991D-SWSILBT01 CMIIT: xxxxxxxxxxx

xxxxxxxxxxxxxxxx

xxxxxxxx xxxx

xxxx/xx

Q6BSWSILBT01

xxx PV01

xxxxxxxxxxx

MADE IN FRANCE

lbl. nr. FZ 4007312201

Danfoss A/S, 6430 Nordborg, Denmark

4 | BH331633043895de-000301

© Danfoss | DCS (ms) | 2020.09

Sicherheitsleitfaden | LLS 4000/4000U

Begriffe und Definitionen

DC

D

Diagnostic Coverage of dangerous failures (Diagnostische Abdeckung gefährlicher Fehler)
Firmware Im Gerät eingebettete Software
FIT Failure In Time (Ausfallrate) (1×10-9 Fehler pro Stunde)

FMEDA

Failure Modes, Effects and Diagnostics Analysis (Fehlermöglichkeits-, Einfluss- und

Diagnoseanalyse)
FRT Fault Response Time (Fehleransprechzeit) (Diagnosetestintervall + Fehlerreaktionszeit)
HFT Hardware Fault Tolerance (Hardwarefehlertoleranz)
Betriebsmodus mit hoher

oder kontinuierlicher
Anforderungsrate

λ

DD

λ

DU

λ

SD

λ

SU

Betriebsmodus
mit niedriger
Anforderungsrate

Wenn die Häufigkeit der Anforderungen an den Betrieb eines sicherheitsrelevanten

Systems mehr als einmal pro Jahr beträgt

Rate für gefährliche erkannte Fehler

Rate für gefährliche nicht erkannte Fehler

Rate für sichere erkannte Fehler

Rate für sichere nicht erkannte Fehler

Wenn die Häufigkeit der Anforderungen an den Betrieb eines sicherheitsrelevanten

Systems nicht mehr als einmal pro Jahr beträgt

MTBF Mean Time Between Failures (Durchschnittliche Zeit zwischen Fehlern)
MTTF Mean Time To Failure (Durchschnittliche Zeit bis zum Fehler)
MTTR Mean Time To Recovery (Durchschnittliche Zeit bis zur Wiederherstellung)

PFD

AVG

PFH

Prozesssicherheitszeit

Sicherheitsbezogene
Anwendungs­bedingungen

Average Probability of Failure on Demand (Durchschnittliche Ausfallwahrscheinlichkeit

im Bedarfsfall)

Probability of a dangerous Failure per Hour (Wahrscheinlichkeit eines gefahrbringenden

Ausfalls pro Stunde)

Das Zeitintervall zwischen einem potenziell gefährlichen Fehler und einem Fehlerwert

aus dem Stromausgang

Bedingungen, die bei Verwendung eines sicherheitsrelevanten Systems oder Subsystems

zu beachten sind

SFF Safe Failure Fraction (Anteil sicherer Fehler)
SIL Sicherheitsintegritätsstufe
SIS Safety Instrumented System (Sicherheitsinstrumentiertes System)

Maß (ausgedrückt auf einer Skala von SC 1 bis SC 3) des Vertrauens, dass die systematische

Systematische Kapazität

Sicherheitsintegrität eines Elements die Anforderungen der spezifizierten SIL in Bezug

auf die spezifizierte Elementsicherheitsfunktion erfüllt, wenn das Element gemäß den

Anweisungen angewendet wird

System Typ A

System Typ B

„Nicht komplexes“ System (alle Fehlermodi sind genau definiert). Weitere Daten finden

Sie in Unterabschnitt 7.4.3.1.2 der IEC 61508-2

„Komplexes“ System (alle Fehlermodi sind nicht genau definiert). Weitere Daten finden

Sie in Unterabschnitt 7.4.3.1.2 der IEC 61508-2
T[Proof] Eignungsprüfungsintervall
T[Reparatur] Zeit bis zur Reparatur
T[Test] Intervall interne Diagnosetests
2oo2 2-von-2-Kanalarchitektur

© Danfoss | DCS (ms) | 2020.09

BH331633043895de-000301 | 5

Sicherheitsleitfaden | LLS 4000/4000U

Spezifikation der
Sicherheitsfunktion

Vorläufige Anforderungen

Das Gerät muss unter den im Datenblatt (Dokument [N1]) des Geräts angegebenen Prozess-
und Umgebungsbedingungen betrieben werden.

Das folgende Kapitel definiert zusätzliche Bedingungen, die für Sicherheitsanwendungen
eingehalten werden müssen

Definition der Sicherheitsfunktion
Allgemeine Hinweise

Das Gerät enthält eine Sicherheitsfunktion, die der internationalen Norm IEC 61508 (Dokument [N2])
entspricht.
Diese Sicherheitsfunktion wird betätigt, wenn das Gerät eine Flüssigkeit vor sich erkennt.

Definition der Sicherheitsfunktion

Innerhalb einer maximalen Fehleransprechzeit von 10 s setzt das Gerät sein Ausgangsrelais auf
seinen Grundzustand (geöffnet), wenn der Füllstand einer bestimmten Flüssigkeit in einem Tank
die Mitte der Sensorschnittstelle ± 5 mm Toleranz erreicht hat.

Die Sicherheitsintegritätsstufe dieser Sicherheitsfunktion ist SIL2.

Fehleransprechzeit

Die Fehleransprechzeit ist die Zeit, die erforderlich ist, um das Gerät in den sicheren Zustand zu
versetzen, nachdem ein Fehler in der Sicherheitsfunktion aufgetreten ist.

Die maximale Zeit beträgt zehn Sekunden, da das Gerät so lange braucht, um alle seine internen
Diagnosetests zu durchlaufen.

6 | BH331633043895de-000301

© Danfoss | DCS (ms) | 2020.09