Page 1
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Rosemount 2140:SIS Füllstandsdetektor
Handbuch zur funktionalen Sicherheit
November 2017
Page 2
Page 3
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Inhalt
1Abschnitt 1: Einleitung
1.1 Anwendungsbereich und Verwendungszweck des Sicherheitshandbuchs. . . . . 1
1.2 Begriffe und Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.3 Kompetenzanforderung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.4 Dokumentation und Normen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2Abschnitt 2: Produktbeschreibung
2.1 Funktionsweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 Verwendungszweck des Füllstandsdetektors. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.3 Bestellinformationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3Abschnitt 3: Konzipieren einer Sicherheitsfunktion mit dem
Inhalt
November 2017
Rosemount 2140:SIS
3.1 Sicherheitsfunktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.2 Umgebungsgrenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.3 Anwendungsgrenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.4 SIL-Fähigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.4.1 Systematische Fähigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.4.2 Beliebige Fähigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.4.3 Fehlerraten in FIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.5 Sicherheitszertifizierte Kennzeichnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.6 Designprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.7 Abnahmeprüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.7.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.7.2 Ausführliche Abnahmeprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.7.3 Teil-Abnahmeprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.7.4 Abnahmeprüfungsintervall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.7.5 Erforderliche Hilfsmittel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.7.6 Erforderliche Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.8 Anschluss des Füllstandsdetektors am SIS-Logikbaustein . . . . . . . . . . . . . . . . . . 13
Inhalt
3.9 Allgemeine Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4Abschnitt 4: Installation und Inbetriebnahme
4.1 Sicherheitshinweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.2 Einbau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4.3 Physikalischer Ort und Platzierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
iii
Page 4
Inhalt
November 2017
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
4.4 Elektrische Anschlüsse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.5 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.5.1 Hardware-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.5.2 Software-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
5Abschnitt 5: Betrieb und Wartung
5.1 Anforderung der Abnahmeprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
5.2 Reparatur und Austausch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
5.3 Fehlermeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
AAnhang A: Technische Daten
A.1 Allgemeines. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
A.2 Nutzungsdauer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
A.3 Standzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
BAnhang B: Vorgeschlagenes Verfahren der ausführlichen
Abnahmeprüfung
B.1 Empfohlene Abnahmeprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
B.2 Einfluss auf SIF und Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
B.3 Dauer der ausführlichen Abnahmeprüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
B.4 Bedenken bzgl. der persönlichen Sicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
CAnhang C: Vorgeschlagenes Verfahren für die
Teil-Abnahmeprüfung
C.1 Empfohlene Abnahmeprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
C.2 Einfluss auf SIF und Prozess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
C.3 Dauer der Teil-Abnahmeprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
C.4 Bedenken bzgl. der persönlichen Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
DAnhang D: PFDAVG-Berechnung
D.1 Mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung (PFDAVG). . . . . . . 31
EAnhang E: PFH-Berechnung
E.1 Wahrscheinlichkeit eines gefährlichen Fehlers pro Stunde (PFH) . . . . . . . . . . . . 35
FAnhang F: Diagnoseintervalle
F.1 Diagnoseprüfungen und -intervalle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
iv
Inhalt
Page 5
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Einleitung
November 2017
Abschnitt 1 Einleitung
1.1 Anwendungsbereich und Verwendungszweck des Sicherheitshandbuchs
Dieses Sicherheitshandbuch enthält Informationen für die Planung, Installation, Verifizierung und
Wartung einer Sicherheits-Instrumentierungsfunktion (SIF) mit dem Rosemount 2140:SIS
Füllstandsdetektor („Füllstandsdetektor“).
Das Handbuch bietet die notwendigen Anforderungen, um die Integration des Füllstandsdetektors zu
ermöglichen, wenn eine Konformität mit den Normen für die funktionale Sicherheit IEC 61508 oder
IEC 61511 besteht. Dies zeigt alle Voraussetzungen, die bzgl. der Nutzung des Füllstandsdetektors
gesetzt wurden. Wenn diese Voraussetzungen nicht durch die Anwendung erfüllt werden können,
kann es sein, dass die SIL-Fähigkeit des Füllstandsdetektors nachteilig beeinflusst wird.
Hinweis
Verwenden Sie für den Produkt-Support die Kontaktinformationen auf der Rückseite.
1.2 Begriffe und Definitionen
Tabelle 1-1. Begriffe und Definitionen
Begriff Definition
λDD Gefährlich, erkannt
λDU Gefährlich, unerkannt
λSD Sicher, erkannt
λSU Sicher, unerkannt
BPCS Prozessleitsystem (Basic Process Control System)
CPT Ausführliche Abnahmeprüfung
DD Gerätebeschreibung
Eine Benutzerschnittstelle des Gerätes, die innerhalb einer
DD-Interpreter-Anwendung gehostet wird.
Diagnoseumfang
(Diagnostic Coverage)
Diagnose-Testintervall
(Diagnostic Test Interval)
DTM Gerätetyp-Manager (Device Type Manager)
Gefährlicher Fehler
(Fail dangerous)
Gefährlicher Fehler erkannt
(Fail Dangerous Detected)
Gefährlicher Fehler
unerkannt (Fail Dangerous
Undetected)
[DC] Prozentanteil von erkennbaren Fehlern zu nicht erkennbaren Fehlern.
Die Zeit, in der alle internen Diagnosen mindestens einmal ausgeführt
werden.
Eine Geräteanwendung mit Benutzerschnittstelle, die innerhalb von
DTM-Hostanwendungen gehostet wird.
Ein Fehler, der nicht auf eine Eingabe vom Prozess reagiert (d. h. es wird nicht
in den ausfallsicheren Zustand geschaltet).
Ein Fehler, der gefährlich ist, aber erkannt wurde.
Ein Fehler, der gefährlich ist und nicht erkannt wurde.
Einleitung
1
Page 6
Einleitung
November 2017
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Tabelle 1-1. Begriffe und Definitionen
Ausfall ohne Auswirkung
(Fail No Effect)
Ausfallsicher (Fail Safe) Ein Fehler, der veranlasst, dass der Schalter in den definierten ausfallsicheren
Ausfallsicherer Zustand
(Fail-Safe State)
FIT Fehler in Zeit pro Milliarde Stunden
FMEDA Fehlermodus, Effekte und Diagnoseanalyse (Failure Modes, Effects and
Funktionale Sicherheit Teil der allgemeinen Sicherheit, die sich auf den Prozess und das
®
HART
HFT Hardware-Fehlertoleranz wie durch 61508-2 7.4.4.1.1 definiert.
HHT Handterminal Ein mobiles Gerät mit Benutzerschnittstelle.
Modus mit hoher
Anforderungsrate (High
Demand Mode)
Antwortzeit des
Füllstandsdetektors
LOI Bedieninterface. Die eingebaute Geräteanzeige und die Knöpfe.
Modus mit niedriger
Anforderungsrate (Low
Demand Mode)
PFD
AVG
PFH Die Wahrscheinlichkeit eines gefährlichen Ausfalls pro Stunde.
PPT Teil-Abnahmeprüfung
Proof Test Coverage
(Umfang der
Abnahmeprüfung)
Random Integrity
(Zufällige Integrität)
Safety Demand Interval
(Intervall der
Sicherheitsanforderungen)
SFF Safe Failure Fraction (Anteile ungefährlicher Fehler)
SIF Safety Instrumented Function (Sicherheits-Instrumentierungsfunktion)
SIL Sicherheitsintegritätslevel (Safety Integrity Level) — eine diskrete Ebene (eine
Ein Fehler einer Komponente, die Teil der Sicherheitsfunktion ist, aber die
keine Auswirkung auf die Sicherheitsfunktion hat.
Zustand übergeht, ohne Eingabe vom Prozess.
Ein Zustand, in dem der Schalterausgang sich in einem Zustand befindet,
der einem Alarmzustand entspricht. In diesem Zustand sind die
Schaltkontakte normalerweise geöffnet.
Diagnostic Analysis)
Prozessleitsystem (BPCS) beziehen, das von der korrekten Funktion des
SIS und anderen Schutzschichten abhängt.
Highway Addressable Remote Transducer (Protokoll für busadressierte
Feldgeräte)
Die Sicherheitsfunktion wird nur bei Anforderung ausgeführt, um die EUC
(Equipment Under Control) in einen spezifizierten, sicheren Zustand zu
versetzen. Die Häufigkeit der Anforderungen ist größer als einmal pro Jahr
(IEC 61508-4).
Die Zeit von einer schrittweisen Änderung des Prozesses bis zum Erreichen
von 90 % des endgültigen stationären Wertes des Füllstandsdetektors
(Sprungantwortzeit gemäß IEC 61298-2).
Die Sicherheitsfunktion wird nur bedarfsgemäß ausgeführt, um die EUC in
einen spezifizierten, sicheren Zustand zu versetzen. Die Häufigkeit der
Anforderungen ist nicht größer als einmal pro Jahr (IEC 61508-4).
Mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung
Der Umfang der Abnahmeprüfung gibt den Prozentanteil von gefährlichen,
unerkannten Fehlern an, die durch die Ausführung der Abnahmeprüfung
festgestellt werden.
Die SIL-Grenze, welche durch die architektonischen Anforderungen auferlegt
werden, die für jedes Element erfüllt werden müssen.
Die erwartete Zeit zwischen Sicherheitsanforderungen.
von vier) zur Spezifizierung der Sicherheitsintegritätsanforderungen der
Sicherheits-Instrumentierungsfunktionen, die den sicherheitsgerichteten
Systemen zuzuordnen sind. SIL 4 hat die höchste Sicherheitsintegrität un d SIL
1 hat die niedrigste Stufe.
2
Einleitung
Page 7
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Tabelle 1-1. Begriffe und Definitionen
SIS Sicherheitsgerichtete Systeminstrumentierung — eine
Systeminstrumentierung zur Implementierung von einer oder mehreren
Sicherheits-Instrumentierungsfunktionen. Ein SIS setzt sich aus einer
beliebigen Kombination aus Sensoren, Logikbausteinen und Endgeräten
zusammen.
Systematic Capability
(Systematische Fähigkeit)
Typ B-Gerät Komplexes Gerät, das Steuerungen oder ei ne programmierbare Logik gemäß
Eine Maßnahme (ausgedrückt auf einer Skala von SC 1 bis SC 4), dass die
systematische Sicherheitsintegrität eines Elements die Anforderungen
der spezifizierten SIL-Stufe bezüglich der spezifizierten
Elementsicherheitsfunktion erfüllt, wenn das Element gemäß 61508-4 und
den Anweisungen angewandt wird, die in der entsprechenden
Sicherheitsanweisung für das Element festgelegt sind.
der Norm IEC 61508 verwendet.
1.3 Kompetenzanforderung
Planung, Installation, Inbetriebnahme, Reparatur und Wartung müssen durch entsprechend
qualifiziertes Personal durchgeführt werden.
Einleitung
November 2017
1.4 Dokumentation und Normen
Dieser Abschnitt listet die Dokumentation und Normen, auf die sich dieses Sicherheitshandbuch bezieht.
Tabelle 1-2. Zugehörige Dokumentation
Dokumente Verwendungszweck der Dokumente
00813-0205-4140 Rosemount 2140:SIS Füllstandsdetektor - Produktdatenblatt
00809-0100-4140 Rosemount 2140 Füllstandsdetektor - Betriebsanleitung
IEC 61508-2: 2010 Funktionale Sicherheit von elektrischen/elektronischen/programmierbaren
elektronischen sicherheitsgerichteten Systemen
MOB 15-08-12 R001 V1R1
FMEDA 2140:SIS.pdf
Tabelle 1-3. Zugehörige Normen
Normen Verwendungszweck der Normen
HRD 5:1994 Handbuch der Zuverlässigkeitsdaten für Komponenten, die in
IEC 60664-1 Isolationskoordination für Ausrüstung mit Niederspannungssystemen
IEC 61508: 2010 Funktionale Sicherheit elektrischer/elektronischer/programmierbarer
IEC 61511
(ANSI/ISA 84.00.01-2004)
FMEDA-Bericht Version V1, Revision R1 oder aktueller, für den
Rosemount 2140:SIS Füllstandsdetektor
Telekommunikationssystemen eingesetzt werden
elektronischer sicherheitsgerichteter Systeme
Funktionale Sicherheit — Sicherheitsgerichtete Systeme für die Prozessindustrie
Einleitung
3
Page 8
Einleitung
November 2017
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
4
Einleitung
Page 9
Ergänzung zur Betriebsanleitung
Hoch- und
Niedrigalarm
Überfüllsicherung
Pumpensteuerung
00809-0205-4140, Rev. BA
Produktbeschreibung
Abschnitt 2 Produktbeschreibung
2.1 Funktionsweise
Der Rosemount 2140:SIS Füllstandsdetektor („Füllstandsdetektor“) besteht aus einer Schwinggabel
mit einem Treiber- und Empfängerelement sowie einer integrierten Elektronik. Der Füllstandsdetektor
basiert auf dem Prinzip, dass sich die resonante Frequenz einer Schwinggabel ändert, wenn diese in eine
Flüssigkeit eingetaucht wird. Die Frequenzänderung wird erkannt und verwendet, um einen
elektronischen Ausgang zu schalten.
Der Geräteausgang beträgt 4—20 mA.
Hinweis
Alle Produktinformationen und Downloads für Dokumentationen finden Sie auf Emerson.com/Rosemount.
2.2 Verwendungszweck des Füllstandsdetektors
November 2017
Der Füllstandsdetektor zeigt mit einem elektronischen Ausgangs an, ob der Füllstand einer
Prozessflüssigkeit über oder unter einem bestimmten Punkt (dem Schaltpunkt) liegt.
Abbildung 2-1. Beispielanwendungen
2.3 Bestellinformationen
Typische Modellnummer: 2140 F H A 1 M S 1 NN B A 0000 1 NA Q4 Q8
Der erste Optionscode nach „2140“ kennzeichnet den Profiltyp:
F = Funktionale Sicherheit/SIS-Anwendungen
Produktbeschreibung
Ein Füllstandsdetektor mit Profiltyp F hat eine SIL-Klassifizierung erreicht. Siehe Tabelle 3-1 auf Seite 9
bzgl. der Parameter für sicherheitsgerichtete Systeminstrumentierung (SIS).
Die anderen Optionscodes in der Modellnummer beziehen sich auf Werkstoffe, Anschlüsse und andere
mechanische Optionen, welche die SIS-Parameter nicht beeinflussen.
Modelle mit dem Optionscode QS werden mit „Prior-Use“-Herstellerzertifikat der FMEDA-Daten geliefert.
Modelle mit der Option QT (falls verfügbar) werden mit einem Zertifikat von Drittparteien bzgl. der
SIL-Fähigkeit geliefert.
5
Page 10
Produktbeschreibung
November 2017
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
6
Produktbeschreibung
Page 11
Ergänzung zur Betriebsanleitung
WARNUNG
00809-0205-4140, Rev. BA
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
Abschnitt 3 Konzipieren einer
Sicherheitsfunktion mit dem
Rosemount 2140:SIS
3.1 Sicherheitsfunktion
Bei Verwendung in sicherheitsgerichteten Systemen wird der 4—20 mA-Analogausgang als primäre
Sicherheitsvariable verwendet. Er wird so konfiguriert, dass die Alarmfunktion aktiviert wird, wenn
ein Fehler auftritt. Der Rosemount 2140:SIS Füllstandsdetektor („Füllstandsdetektor“) kann in
sicherheitsbezogenen Anwendungen für hohen oder niedrigen Füllstand eingesetzt werden. Es ist
wichtig, dass der Füllstandsdetektor für die richtige Anwendung vom Benutzer konfiguriert wird.
Das vom Logikbaustein verwendete Messsignal muss den zur Wiedergabe des Sensorzustandes am
Instrumentenausgang eingestellten diskreten Stromwerten entsprechen. Berührt eine Änderung des
Flüssigkeitsfüllstandes den Schaltpunkt des Füllstandsdetektors, stellt das Instrument den vom Benutzer
konfigurierten diskreten Stromwert am Ausgang ein.
November 2017
Das HART-Protokoll darf nur für Einrichtung, Kalibrierung und Diagnosezwecke verwendet werden und
nicht für den sicherheitsrelevanten Einsatz.
3.2 Umgebungsgrenzen
Der Designer der sicherheitsgerichteten Instrumentierungsfunktion (SIF) muss prüfen, dass der
Füllstandsdetektor für den Einsatz innerhalb der voraussichtlichen Umgebungsgrenzen klassifiziert ist.
Siehe Produktdatenblatt
Hinweis
Alle Produktinformationen und Downloads für Dokumentationen finden Sie online auf der
Webseite des Rosemount 2140:SIS unter Emerson.com/Rosemount.
des Rosemount 2140:SIS Füllstandsdetektors bzgl. der Umgebungsgrenzen.
3.3 Anwendungsgrenzen
Bei Nichtbeachtung der folgenden Anforderungen erlischt die Sicherheitszulassung der Produkte.
Prüfen Sie das Risiko von Medienablagerungen an der Schwinggabel. Vermeiden Sie Situationen,
in denen austrocknende und beschichtende Produkte zu übermäßigen Ablagerungen führen
können (siehe Abbildung 3-1) oder richten Sie Programme zur vorbeugenden Wartung ein, um
sicherzustellen, dass die Medienablagerungen nicht zu einer Beeinträchtigung der Leistung des
Gerätes führen.
Stellen Sie sicher, dass die Schwinggabeln nicht überbrückt werden. Beispiele für Produkte,
bei denen es zu einer Brückenbildung an den Schwinggabeln kommt, sind schwere
Papierbreie und Bitumen.
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
Es ist äußerst wichtig, dass der SIF-Designer auf Werkstoffverträglichkeit prüft, indem er
Prozessflüssigkeiten und chemische Verunreinigungen vor Ort in Betracht zieht. Wenn der
7
Page 12
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
OK
November 2017
Füllstandsdetektor außerhalb der Anwendungsgrenzen oder mit unverträglichen Werkstoffen
eingesetzt wird, werden die Zuverlässigkeitsdaten und die vorausgesagte SIL-Fähigkeit ungültig.
Die Konstruktionswerkstoffe eines Füllstandsdetektors werden im Produktdatenblatt und in der
Betriebsanleitung des Produktes angegeben. Verwenden Sie den Modellcode auf dem
Produkt-Typenschild und die Tabelle der Bestellinformationen sowie die Angaben in diesem
Produktdokument, um die Konstruktionswerkstoffe zu bestimmen.
Abbildung 3-1. Produktablagerungen
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
3.4 SIL-Fähigkeit
Die folgenden Unterabschnitte beschreiben die von Drittparteien bemessenen SIS-Parameter des
Rosemount 2140:SIS Füllstandsdetektors („Füllstandsdetektor“). Eine sicherheitsgerichtete
Instrumentierungsfunktion (SIF), die mit diesem Produkt konzipiert wurde, darf nicht auf einer
höheren SIL-Stufe als angegeben verwendet werden.
3.4.1 Systematische Fähigkeit
Der Füllstandsdetektor erfüllte die Anforderungen des Hersteller-Designprozesses des
Sicherheitsintegritätslevels (SIL) 2. Diese sind für das Erreichen einer ausreichenden Integrität
gegenüber systematischen Designfehlern durch den Hersteller gedacht.
3.4.2 Beliebige Fähigkeit
Der Füllstandsdetektor ist gemäß IEC61508 als Typ B-Gerät klassifiziert. Es verfügt über eine
Hardware-Fehlertoleranz (HFT) von Null.
8
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
Page 13
Ergänzung zur Betriebsanleitung
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
00809-0205-4140, Rev. BA
Beliebige Integrität für Typ B-Geräte:
Niedrige und hohe Anforderung: Typ B-Element
SIL 2 für beliebige Integrität bei HFT=0
3.4.3 Fehlerraten in FIT
Tabelle 3-1 auf Seite 9 fasst die Fehlerraten des Füllstandsdetektors zusammen. Für detaillierte
Informationen bzgl. der Fehlerrate, einschließlich PFD
den Rosemount 2140:SIS.
Tabelle 3-1. Bemessene Werte
Modell l
SD
Fehlerrate (FIT)
l
SU
l
DD
l
- und MTTR-Daten, siehe FMEDA-Bericht für
AVG
SFF (%) DC (%)
DU
November 2017
2140:SIS T0
Trocken Ein
2140:SIS T0
Nass Ein
2140:SIS T1
Trocken Ein
2140:SIS T1
Nass Ein
0 12 522 18 96,7 94,5
0 14 525 13 97,6 95,1
0 23 526 18 96,8 92,7
0 24 529 13 97,7 93,4
Hinweis
Der FMEDA-Bericht ist auf der Webseite des Rosemount 2140 Füllstandsdetektors unter
Emerson.com/Rosemount
erhältlich. Im Dokumentationsabschnitt gibt es SIL-Dokumente,
einschließlich FMEDA-Bericht und dieses Sicherheitshandbuch.
3.5 Sicherheitszertifizierte Kennzeichnung
Alle Rosemount 2140:SIS Füllstandsdetektoren dürfen nur in SIS-Systeme eingebaut werden, wenn sie
über eine Sicherheitszertifizierung verfügen. Folgendes sicherstellen:
1. Der Modellcode beginnt mit 2140F.
2. Ein gelbes Typenschild ist außen am Füllstandsdetektor befestigt.
3. Um das Sensormodul ist eine gelbe Markierung angebracht.
4. Die Software (SW) ist V01.01.00 oder aktueller.
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
9
Page 14
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
SERIAL No. XXXXXXXXXXXX
HW XX . XX . XX
SW XX . XX . XX
MODEL: 2140FXXXXXXXXXX
November 2017
Abbildung 3-2. Sicherheitszertifizierte Kennzeichnung
3.6 Designprüfung
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Der FMEDA-Bericht (Fehlermodus, Effekte und Diagnoseanalyse) für den Rosemount 2140:SIS
Füllstandsdetektor detailliert alle Fehlerraten und Fehlermodi sowie auch die erwartete Lebensdauer.
Das erreichte Sicherheitsintegritätslevel (SIL) eines ganzen Designs einer sicherheitsgerichteten
Instrumentierungsfunktion (SIF) muss vom Designer anhand einer PFD
Berücksichtigung der Architektur, des Intervalls der Abnahmeprüfung, der Wirksamkeit der
Abnahmeprüfung, jeder automatischen Diagnose, der durchschnittlichen Reparaturzeit und der
spezifischen Fehlerraten der ganzen Ausrüstung (einschließlich SIF) geprüft werden.
Jedes Subsystem muss geprüft werden, um die Konformität mit den minimalen Anforderungen für
die Hardware-Fehlertoleranz (HFT) sicherzustellen. Beim Einsatz des Füllstandsdetektors in einer
redundanten Konfiguration sollte bei den Berechnungen der Sicherheitsintegrität ein Faktor für
häufige Ursachen von mindestens 5 % miteinbezogen werden.
Die im FMEDA-Bericht aufgelisteten Fehlerratendaten sind nur für die Nutzungsdauer des
Füllstandsdetektors gültig. Die Fehlerraten nehmen zu, nachdem diese Nutzungsdauer abgelaufen ist.
Zuverlässigkeitsberechnungen basieren auf den Daten, die im FMEDA-Bericht aufgelistet sind. Für
Einsatzzeiten jenseits der Lebensdauer können sich zu optimistische Ergebnisse ergeben, d.h. die
berechnete SIL-Stufe wird nicht erreicht.
3.7 Abnahmeprüfung
3.7.1 Übersicht
-Berechnung unter
AVG
10
Der Rosemount 2140:SIS Füllstandsdetektor („Füllstandsdetektor“) muss in regelmäßigen Abständen
geprüft werden, um jegliche Störungen festzustellen, die durch die automatische Online-Diagnose nicht
erkannt wurden (d. h. gefährliche Fehler, Diagnosefehler, parametrische Fehler), sodass das
Gerät repariert und in einen dem Neuzustand entsprechenden Zustand zurückgesetzt werden kann.
Es liegt in der Verantwortung des Benutzers, den Prüfungstyp zu wählen, der innerhalb ihres
Sicherheitssystems an der Einheit angewandt wird.
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
Page 15
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Wenn ein Fehler in der Sicherheitsfunktion festgestellt wird, muss der Detektor außer Betrieb
genommen und der Prozess durch andere Maßnahmen in einem sicheren Zustand gehalten werden,
bis ein repariertes Gerät oder Austauschgerät installiert und in Betrieb genommen werden kann.
Die folgenden Abnahmeprüfungen werden empfohlen.
Ausführliche („Behälter“) Prüfung
Teil-Abnahmeprüfung
Tabelle 3-2 auf Seite 11 kann als Ratgeber zur Auswahl einer geeigneten Abnahmeprüfung verwendet
werden.
Tabelle 3-2. Empfohlene Abnahmeprüfungen
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
November 2017
Umfang der
(1)
C
P
Abnahme-
prüfung
(% von
(2)
DU)
55 8
59 5
54 8
56 6
20 14
26 10
21 14
26 10
Abnahmeprü-
fung –
Gerät
2140:SIS T0
Trocken Ein
2140:SIS T0
Nass Ein
2140:SIS T1
Trocken Ein
2140:SIS T1
Nass Ein
2140:SIS T0
Trocken Ein
2140:SIS T0
Nass Ein
2140:SIS T1
Trocken Ein
2140:SIS T1
Nass Ein
1. Abnahmeprüfung — Typen: C (ausführlich) und P (teilweise).
2. Der Umfang der Abnahmeprüfung gibt den Prozentanteil von gefährlichen, nicht erfassten Fehlern an, die durch die Ausführung der
Abnahmeprüfung festgestellt wurden.
Typ
Verblei-
bende
gefährliche,
nicht erfas-
ste Fehler
Testumfang
Ausgangsschaltkreis
Ja Ja Ja Nein
Ja Ja Nein Ja
Messelektronik Sensor
Kann extern
durchge-
führt
werden
3.7.2 Ausführliche Abnahmeprüfung
Die ausführliche Abnahmeprüfung führt eine vollständige Prüfung der Systemelemente durch. Der
Sensor, die Messelektronik und die Ausgangsstufe werden alle anhand einer Sensorzustandsänderung
mit Ausgangsbeobachtung überprüft.
Die empfohlene ausführliche Abnahmeprüfsequenz für den Rosemount 2140:SIS wird in Anhang B:
Vorgeschlagenes Verfahren der ausführlichen Abnahmeprüfung beschrieben.
3.7.3 Teil-Abnahmeprüfung
Der Füllstandsdetektor besitzt die Fähigkeit, eine Teil-Abnahmeprüfung durchzuführen. Diese Prüfung
hat im Vergleich zur ausführlichen Abnahmeprüfung einen reduzierten Diagnoseumfang, der auf das
Aktivieren der Elektronik sowie das Verifizieren von Fehlern, die einen höheren Ausgangsstrom als
gewünscht verursachen können, beschränkt ist oder Probleme erkennt, die das Gerät daran hindern,
höhere Analogwerte anzusteuern.
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
11
Page 16
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
November 2017
Die Teil-Abnahmeprüfung bietet folgende Vorteile:
Da nur ein Prozentsatz des ganzen Geräteumfangs geprüft wird, kann die effektive PFD bei der Prüfung
um diesen Prozentanteil reduziert werden.
Siehe Anhang D: PFDAVG-Berechnung bzgl. eines Beispiels für Vorteile der Teil-Abnahmeprüfung bei
System-PFD-Berechnungen.
Falls erforderlich kann sie lokal mit integrierten Drucktasten oder dem Bedieninterface (LOI)
eingeleitet werden.
Sie kann mit der HART
Die Fernaktivierung bietet für die Ausführenden der Prüfung eine sicherere Umgebung.
Es ist keine zusätzliche Hardware erforderlich; eliminiert das Risiko, dass das falsche Gerät geprüft oder
die falsche Taste versehentlich gedrückt wird.
Ausgang schaltet durch Störungs-, Nass- und Trockenzustand und kehrt anschließend wieder in den
aktuellen Zustand zurück.
Beim Auftreten eines Fehlers wird dem Benutzer über das Bedieninterface (LOI) oder DD des Produkts
ein Alarm gemeldet.
Die Prüfung kann bei laufendem Prozess durchgeführt werden und wird in weniger als einer Minute
abgeschlossen.
Bietet die Fähigkeit, ausführliche Prüfungen hinauszuziehen, um sie an die standardmäßigen
Wartungspläne der Anlage anzupassen.
Kann dem Benutzer die Flexibilität bieten, das Intervall für die ausführliche Abnahmeprüfung so zu
legen, dass es dem Arbeitszeitplan vor Ort entspricht.
®
-Schnittstelle extern ausgeführt werden.
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Ein empfohlenes Schema einer Teil-Abnahmeprüfung ist in Anhang C: Vorgeschlagenes Verfahren für die
Teil-Abnahmeprüfung zu finden.
3.7.4 Abnahmeprüfungsintervall
Die Zeitintervalle für Abnahmeprüfungen werden durch die SIL-Verifikationsberechnung definiert
(gemäß PFDAVG). Die Abnahmeprüfungen müssen mindestens in der gemäß Berechnung spezifizierten
Frequenz durchgeführt werden, um die erforderliche Integrität der Sicherheit für die
Sicherheits-Instrumentierungsfunktion (SIF) zu erhalten.
Die Ergebnisse regelmäßiger Abnahmeprüfungen müssen aufgezeichnet und regelmäßig überprüft werden.
Für die Spezifikation von Kundenanforderungen zur Erfüllung dieser SIS-Anforderung, siehe 61511.
Hinweis
Um ein gültiges Ergebnis zu erhalten, ist die Abnahmeprüfung immer bei laufendem Gerät und mit dem
im Tank gelagerten Produktmedium und seinen Zuständen durchzuführen.
3.7.5 Erforderliche Hilfsmittel
HART Host/oder Feldkommunikator
mA-Messgerät
Sicherheitslogikbaustein
3.7.6 Erforderliche Daten
12
Das Datum, die Zeit und der Name des Bedieners, der die Prüfung durchgeführt hat, oder das System,
das die Abnahmeprüfung ausgelöst hat. Die Ansprechzeit und das Ergebnis der Abnahmeprüfung werden
für die Pflege der Abnahmeprüfungs-Historie des Gerätes für PFDAVG-Berechnungen dokumentiert.
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
Page 17
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
November 2017
3.8 Anschluss des Füllstandsdetektors am SIS-Logikbaustein
Der Rosemount 2140:SIS Füllstandsdetektor sollte am sicherheitsbewerteten Logikbaustein
angeschlossen werden, der die Sicherheitsfunktion sowie die automatische Diagnose (falls vorhanden)
ausführt, die konzipiert wurde, um potenziell gefährliche Fehler innerhalb des Füllstandsdetektors zu
diagnostizieren. In einigen Fällen kann er auch direkt an das Schlusselement angeschlossen werden.
Die Bedienungsanleitung
zur Installation des Füllstandsdetektors. Die Auslösewerte des Logikbausteins müssen mit den
Sensor-Alarmwerten (oder höher) kompatibel sein, die im Abschnitt „Technische Daten“ dieses
Handbuchs angegeben sind.
Hinweis
Alle Produktinformationen und Downloads für Dokumentationen finden Sie online auf der
Webseite des Rosemount 2140:SIS unter Emerson.com/Rosemount.
des Rosemount 2140:SIS Füllstandsdetektors bietet vollständige Einzelheiten
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
13
Page 18
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
November 2017
3.9 Allgemeine Anforderungen
Die Ansprechzeit von System und Funktion sollte geringer als die Prozess-Sicherheitszeit sein.
Der Füllstandsdetektor wird in weniger als dieser Zeit (in Bezug auf das spezifische Gefahrenszenario)
seinen definierten Sicherheitszustand einnehmen.
Alle SIS-Komponenten, einschließlich Füllstandsdetektor, müssen vor dem Einschalten des Prozesses
funktionstüchtig sein.
Der Benutzer muss verifizieren, dass der Füllstandsdetektor für den Einsatz in
Sicherheitsanwendungen geeignet ist, indem er bestätigt, dass Typenschild und Modellnummer des
Füllstandsdetektors ordnungsgemäß gekennzeichnet sind.
Personal, das Wartung und Prüfung am Füllstandsdetektor durchführt, sollte für diese Arbeit zuerst als
kompetent beurteilt werden.
Die Ergebnisse regelmäßiger Abnahmeprüfungen müssen aufgezeichnet und regelmäßig überprüft
werden.
Der Füllstandsdetektor sollte nicht ohne Überholung oder Austausch über seine im Abschnitt
„Technische Daten“ der Betriebsanleitung des Produkts aufgeführte Nutzungsdauer betrieben werden.
Hinweis
Alle Produktinformationen und Downloads für Dokumentationen finden Sie online auf der Webseite des
Rosemount 2140:SIS unter Emerson.com/Rosemount.
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
14
Konzipieren einer Sicherheitsfunktion mit dem Rosemount 2140:SIS
Page 19
Ergänzung zur
WARNUNG
Betriebsanleitung
Installation und Inbetriebnahme
November 2017
Abschnitt 4 Installation und Inbetriebnahme
Hinweis
Alle Produktinformationen und Downloads für Dokumentationen finden Sie online auf der Webseite des
Rosemount 2140:SIS unter Emerson.com/Rosemount.
4.1 Sicherheitshinweise
Die in diesem Abschnitt beschriebenen Anleitungen und Verfahren können besondere
Vorsichtsmaßnahmen erforderlich machen, um die Sicherheit des Bedienpersonals zu gewährleisten.
Informationen, die eine erhöhte Sicherheit erfordern, sind mit einem Warnsymbol ( ) markiert. Die
folgenden Sicherheitshinweise lesen, bevor ein durch dieses Symbol gekennzeichnetes Verfahren
durchgeführt wird.
Nichtbeachtung dieser Richtlinien kann zu schweren oder tödlichen Verletzungen führen.
Die Installation darf nur von Fachpersonal durchgeführt werden.
Explosionen können zu schweren oder tödlichen Verletzungen führen.
Sicherstellen, dass die Betriebsumgebung des Füllstandsdetektors den Ex-Zulassungen
entspricht.
Vor dem Anschluss eines Feldkommunikators in einer explosionsgefährdeten Atmosphäre
sicherstellen, dass die Geräte im Messkreis in Übereinstimmung mit den Vorschriften für
eigensichere oder keine Funken erzeugende Feldverkabelung installiert sind.
In explosionsgefährdeten Umgebungen den Deckel des Füllstandsdetektors nicht
abnehmen, wenn der Stromkreis unter Spannung steht.
Beide Deckel des Füllstandsdetektors müssen vollständig geschlossen sein, um die
Ex-Schutz-Anforderungen zu erfüllen.
Elektrische Schläge können zu schweren oder tödlichen Verletzungen führen.
Den Kontakt mit Leitungsadern und Anschlussklemmen meiden. Elektrische Spannung an
den Leitungsadern kann zu elektrischen Schlägen führen.
Sicherstellen, dass die Hauptspannungsversorgung zum Füllstandsdetektor ausgeschaltet
ist und die Leitungen zu allen anderen externen Spannungsquellen abgeklemmt wurden
bzw. nicht unter Spannung stehen, solange der Füllstandsdetektor verkabelt wird.
Hinweis
Der Kunde muss den „Anwendungsgrenzen“ auf Seite 7 folgen.
4.2 Einbau
Installation und Inbetriebnahme
Der Rosemount 2140:SIS Füllstandsdetektor („Füllstandsdetektor“) muss wie im Abschnitt „Einbau“ in
der Betriebsanleitung des Produktes beschrieben installiert werden. Umweltbedingungen dürfen die
Angaben im Abschnitt „Technische Daten“ nicht überschreiten.
Der Füllstandsdetektor muss für die physikalische Inspektion zugänglich sein.
15
Page 20
Installation und Inbetriebnahme
Bürde (Ωs)
0
500
1 000
1 387
10,5 20
30
42,4
Max. Messkreisbürde = 43,5 * (Externe Spannungsversorgung — 10,5)
November 2017
4.3 Physikalischer Ort und Platzierung
Der Füllstandsdetektor muss mit genügend Platz für das Entfernen des Deckels und den elektrischen
Anschluss zugänglich sein und eine manuelle Abnahmeprüfung ermöglichen.
Der Schaltpunkt wird durch den Einbauort des Füllstandsdetektors bestimmt und es muss berücksichtigt
werden, dass eine sichere Abnahmeprüfung des Füllstandsdetektors möglich ist, indem Flüssigkeit
gezwungen wird, den Schalter in den ausfallsicheren Zustand zu versetzen.
4.4 Elektrische Anschlüsse
Die Verkabelung muss für die Anwendung ausgelegt sein und darf keine Anfälligkeit gegenüber
mechanischen Beschädigungen aufweisen. Die Verwendung von Kabelschutzrohren zum Schutz der
Verkabelung wird empfohlen. Bei der Verkabelung zu diesem Gerät müssen die Kriechstrecken
Schutzabstände eingehalten werden. Daher darf die abisolierte Leiterlänge nicht mehr als 6 mm
betragen und es dürfen keine Litzen freiliegen.
Für eine gute Kommunikation abgeschirmte Kabel mit paarweise verdrillten Adern verwenden. Für eine
ordnungsgemäße Kommunikation ein Kabel von 24 AWG bis maximal 14 AWG verwenden. Es sollte
Kabel mit einer maximalen Länge von 1 500 m (5 000 ft.) verwendet werden. Die Kabellänge wird durch
die Auswahl von Widerstandsüberwachung und Kabelquerschnitt begrenzt.
Ergänzung zur
Betriebsanleitung
(1)
und
Die Spannungsversorgung für den Messumformer erfolgt ausschließlich über die Signalleitungen.
Die Signalleitungen müssen nicht abgeschirmt sein, es sollten jedoch verdrillte Paare für optimale
Ergebnisse verwendet werden. Die nicht abgeschirmten Signalleitungen nicht zusammen mit
Stromleitungen in einem offenen Kabelkanal oder einem Schutzrohr und nicht in der Nähe von
Starkstromgeräten verlegen. In Umgebungen mit starken elektromagnetischen/hochfrequenten
Störungen (EMI/RFI) sollten abgeschirmte, verdrillte Adernpaare verwendet werden.
Abbildung 4-1. Bürdengrenzen
1. Die Kriechstreckenmessung wird gewöhnlich verwendet, um die Bahn des Elektrizitätsflusses zu bestimmen.
16
Installation und Inbetriebnahme
Page 21
Ergänzung zur
A
B
Betriebsanleitung
4.5 Konfiguration
4.5.1 Hardware-Konfiguration
Die folgenden Optionen sind physikalische Konfigurationsoptionen.
Alarmwertschalter
Unter Alarmbedingungen wird der Stromausgang durch das Gerät auf einen vom Benutzer definierten
hohen (H) oder niedrigen (L) Wert jenseits des standardmäßigen 4 bis 20 mA-Betriebsbereichs gesetzt.
Mit der Einstellung des Alarmwertschalters in die Stellung „H“ oder „L“ wird bestimmt, ob der
Stromausgang den hohen oder niedrigen Alarmstrom liefern soll.
Schreibschutzschalter
Der Schreibschutzschalter wird auf die verriegelte Stellung gesetzt, um Änderungen an der
Gerätekonfiguration über das Bedieninterface (LOI) oder die HART-Schnittstellen zu verhindern.
Abbildung 4-2 die Position des Alarmwert- und Schreibschutzschalters.
Abbildung 4-2. Schaltstellungen des Alarmwert- und Schreibschutzschalters
Installation und Inbetriebnahme
November 2017
A. Alarmwertschalter
B. Schreibschutzschalter
Installation und Inbetriebnahme
17
Page 22
Installation und Inbetriebnahme
November 2017
4.5.2 Software-Konfiguration
Folgendes wird über die Software-Konfiguration erreicht.
Auswahl der Mediendichte
Der Rosemount 2140:SIS kann mit Mediendichten von 400 bis 1 000 kg/m3 betrieben werden.
Die Auswahlparameter der Mediendichte (Media Density Selection) werden verwendet, um den
Dichtebereich des Prozessmediums auszuwählen, der den Punkt sicherstellt, bei dem ein
gleichbleibender „Nass“-Zustand angezeigt wird. Mögliche Einstellungen werden in Tabelle 4-1 gezeigt.
Tabelle 4-1. Mediendichte – Auswahleinstellung
Mediendichte – Auswahleinstellung Mediendichte – Auswahlbereich (kg/m3)
0,4—0,6 SG 400—600
0,5—0,9 SG 500—900
0,8—1,3 SG 800—1 000
Hohe und niedrige Alarmwerte
Ergänzung zur
Betriebsanleitung
Diese Einstellungen werden verwendet, um den Stromwert zu spezifizieren, der am Stromausgang
im Falle von Alarmbedingungen gesetzt wird. Wenn „kundenspezifische“ (Custom) Alarmwerte
ausgewählt werden, müssen für den im Falle von Alarmbedingungen als Stromausgang gesetzten
Stromwert Werte spezifiziert werden. Diese werden über die Stromparameter für Hoch- und
Niedrigalarm konfiguriert (High/Low Alarm Current).
Diese Einstellungen arbeiten in Verbindung mit der Einstellung des Alarmwertschalters (beschrieben
in Tabelle 4-2) zur Bestimmung, welcher Strom verwendet werden soll. Zulässige Stromwerte sind in
Tabelle 4-2 aufgeführt.
Tabelle 4-2. Alarm-Stromwerte
Alarm- und Sättigungstyp Wert Niedrigalarm (mA) Wert Hochalarm (mA)
NAMUR <= 3,6 >= 22,5
Rosemount <= 3,75 >= 21,75
Kundenspezifisch 3,6—3,8 20,2—23
Betriebsmodus des Stromausgangs
Die Parameter für den Betriebsmodus des Stromausgangs (Current Output Operating Mode) werden
verwendet, um abhängig vom Sensorzustand den Zustand des Ausgangs (entweder ON (Ein) oder
OFF (Aus)) zu bestimmen.
Der Sensorzustand wird als „nass“ (Wet) bezeichnet, wenn er in ein Medium eingetaucht ist. Dagegen
wird der Sensorzustand als „trocken“ (Dry) bezeichnet, wenn er nicht in ein Medium eingetaucht ist.
18
Die fundamentalen Betriebsmodi des Systems werden als „Nass Ein“ (Wet On) und als „Trocken Ein“ (Dry
On) bezeichnet. Das heißt, der Benutzer konfiguriert das System so, dass der Ausgang aktiviert wird (den
höheren von zwei diskreten Stromwerten erhält), wenn sich der Sensor im Zustand „nass“ oder im
Zustand „trocken“ befindet. Abbildung 4-3 zeigt eine Anwendung, in der Hoch- und Niedrigalarme
gemeldet werden, indem der zugehörige Messumformer seinen Ausgang ausschaltet.
Installation und Inbetriebnahme
Page 23
Ergänzung zur
A
Betriebsanleitung
Abbildung 4-3. Hohe und niedrige Füllstandsalarme mit „Nass Ein“- und „Trocken
A
B
Installation und Inbetriebnahme
November 2017
Ein“-Konfigurationsanwendung
A. Im Modus „Trocken Ein“ konfiguriert. Wenn das Medium über diesen Punkt ansteigt, wird der Systemausgang ausgeschaltet.
B. Im Modus „Nass Ein“ konfiguriert. Wenn das Medium unter diesen Punkt abfällt, wird der Systemausgang ausgeschaltet.
Abbildung 4-4 zeigt eine Anwendung, bei der durch Abschaltung des Ausgangs entweder ein Alarm bei
hohem Füllstand oder ein Alarm bei niedrigem Füllstand gemeldet werden kann, je nachdem, ob das
System für den Modus „Nass Ein“ oder „Trocken Ein“ konfiguriert ist.
Abbildung 4-4. Hoch- oder Niedrigalarm je nach Einstellung „Nass Ein“ oder „Trocken Ein“
A. Bei Konfiguration für den Modus „Nass Ein“ schaltet der Ausgang ab, wenn das Medium unter diesen Punkt abfällt. Bei
Konfiguration für den Modus „Trocken Ein“ schaltet der Ausgang ab, wenn das Medium über diesen Punkt ansteigt.
Installation und Inbetriebnahme
19
Page 24
Installation und Inbetriebnahme
November 2017
Sensor-Betriebsmodus
Der Sensor-Betriebsmodus kann so konfiguriert werden, dass er im Falle von ungültigen
Sensor-Frequenzwerten entweder einen Hinweis auf Trocken (Erweiterter Fehler = Trocken) oder
Nass (Erweiterter Fehler = Nass) ausgibt. Zusätzlich wird in diesem Fall ein Sensoralarm gemeldet.
Stromausgangstyp
Der Stromausgang (Current Output) kann so konfiguriert werden, dass er zwischen den
Standard-Instrumentenwerten 8 und 16 mA sowie 4 und 20 mA umschaltet. Außerdem ist ein
kundenspezifischer Modus (Custom) vorhanden, mit dem der Benutzer kundenspezifische Werte über
die Parameter „Custom On Current“ (Kundenspezifisch Strom „Ein“) und „Custom Off Current“
(Kundenspezifisch Strom „Aus“) zwischen 4 und 20 mA definieren kann, um je nach Einstellung des
Stromausgangs-Betriebsmodus die Zustände „Nass“ (Wet) oder „Trocken“ (Dry) anzuzeigen.
8 und 16 mA, 4 und 20 mA und kundenspezifische Einstellungen
Dieser Abschnitt beschreibt im Detail und zusätzlich zu den Alarmwerten, Hoch- und Niedrigalarm,
Betriebsmodus des Stromausgangs, Sensor-Betriebsmodus und Parameter des Stromausgangstyps,
die Auswirkungen der Einstellungskombinationen des Alarmwertschalters.
Abbildung 4-5 zeigt die Auswirkungen am Stromausgang, wenn der Stromausgangstyp (Current Output
Type) auf 4 und 20 mA eingestellt ist. Beachten Sie, dass zum Erreichen des gezeigten
Ausgangsverhaltens der Betriebsmodus des Stromausgangs (Current Output Operating Mode) auf
„Dry On“ (Trocken Ein), die Alarmwerte (Alarm Levels) auf „Custom“ (kundenspezifisch), der Strom des
Niedrigalarms (Low Alarm Current) auf 3,6 mA und der Alarmwertschalter auf „L“ gesetzt werden muss.
Ergänzung zur
Betriebsanleitung
Abbildung 4-5. Stromausgangstyp ist auf 4 und 20 mA eingestellt
24
20
16
8
4
3,6
Trocken StörungNass
Schaltzustand
20
Installation und Inbetriebnahme
Page 25
Ergänzung zur
4
8
16
20
28
3,6
Trocken
Störung
Nass
Schaltzustand
Betriebsanleitung
Abbildung 4-6 zeigt die Auswirkungen am Produktausgang, wenn der Stromausgangstyp auf 8 und
16 mA eingestellt ist. Beachten Sie, dass zum Erreichen des gezeigten Ausgangsverhaltens der
Betriebsmodus des Stromausgangs auf „Wet On“ (Nass Ein), die Alarmwerte auf „Custom“
(kundenspezifisch), der Strom des Hochalarms (High Alarm Current) auf 23 mA und der
Alarmwertschalter auf „H“ gesetzt werden muss.
Abbildung 4-6. Stromausgangstyp ist auf 8 und 16 mA eingestellt
Installation und Inbetriebnahme
November 2017
Abbildung 4-7 zeigt die Auswirkungen am Produktausgang, wenn der Stromausgangstyp auf „Custom“
(kundenspezifisch) eingestellt ist. Um dieses Verhalten zu erreichen, wird der Betriebsmodus des
Stromausgangs auf „Wet On“ (Nass Ein), der „Custom Off Current“ (Kundenspezifisch Strom „Aus“)
auf 5 mA, der „Custom On Current“ (Kundenspezifisch Strom „Ein“) auf 15 mA, Alarmwerte auf
„Rosemount“ und der Alarmwertschalter auf „H“ gesetzt.
Abbildung 4-7. Stromausgangstyp ist auf „Custom“ (kundenspezifisch) eingestellt
24
20
16
8
4
3,6
Trocken
Nass
Schaltzustand
Störung
Installation und Inbetriebnahme
21
Page 26
Installation und Inbetriebnahme
November 2017
Ausgangsverzögerung
Output Delay (Ausgangsverzögerung) ist ein vom Benutzer konfigurierbarer Parameter, der verwendet
wird, um eine Verzögerung in Sekunden zwischen einer Anforderung und der Ausführung der
Anforderung zu erzwingen. Wenn eine Anforderung auftritt, muss der Sensorzustand, der diese
Anforderung hervorruft, für die Zeit der Ausgangsverzögerung konsistent sein. Ändert sich der Zustand
so, dass eine Änderung des Ausgangszustands die Folge wäre, wird die Verzögerungszeit erneut
gestartet.
Fehlerverzögerung
Fault Delay (Fehlerverzögerung) ist ein vom Benutzer konfigurierbarer Parameter, der verwendet wird,
um eine Verzögerung in Sekunden zwischen einem erkannten Sensorfehler und der Fehlermaßnahme
(Alarmmeldung) zu erzwingen. Wenn der Sensorfehler auftritt, muss er für den Zeitraum der
Fehlerverzögerung bestehen bleiben, bis die Fehlermaßnahme durchgeführt wird. Im Fehlermodus
wird die Fehlerverzögerung für Übergänge in gültige Sensorzustände nicht angewandt und die
Fehlermaßnahme wird sofort zurückgesetzt.
Ergänzung zur
Betriebsanleitung
22
Installation und Inbetriebnahme
Page 27
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Abschnitt 5 Betrieb und Wartung
5.1 Anforderung der Abnahmeprüfung
Während des Betriebs muss ein SIF-Modus mit niedriger Anforderungsrate einer Abnahmeprüfung
unterzogen werden. Das Ziel der Abnahmeprüfung ist, innerhalb der Ausrüstung in der SIF Fehler
zu erkennen, die nicht durch automatische Diagnosefunktionen des Systems erkannt wurden.
Das Hauptanliegen sind unerkannte Fehler, die die SIF an der Ausführung der beabsichtigten
Funktion hindern.
Regelmäßige Abnahmeprüfungen sollten gemäß der SIL-Verifizierungsberechnung definierten Frequenz
(oder Intervall) stattfinden. Die Abnahmeprüfungen müssen mindestens gemäß der in der Berechnung
spezifizierten Frequenz durchgeführt werden, um die erforderliche Integrität der Sicherheit für die
Sicherheits-Instrumentierungsfunktion (SIF) zu erhalten.
Ein Beispielverfahren ist in Anhang B: Vorgeschlagenes Verfahren der ausführlichen Abnahmeprüfung zu
finden.
Die Ergebnisse regelmäßiger Abnahmeprüfungen müssen aufgezeichnet und regelmäßig überprüft
werden.
Betrieb und Wartung
November 2017
5.2 Reparatur und Austausch
Die Reparaturverfahren in der Betriebsanleitung des Rosemount 2140 Füllstandsdetektors müssen
befolgt werden.
5.3 Fehlermeldung
Im Falle einer Fehlfunktion des Systems oder der Sicherheits-Instrumentierungsfunktion (SIF) muss der
Rosemount 2140:SIS Füllstandsdetektor außer Betrieb gesetzt werden und der Prozess sollte durch
andere Maßnahmen in einem sicheren Zustand gehalten werden.
Emerson muss informiert werden, wenn es erforderlich ist, den Rosemount 2140:SIS aufgrund eines
Fehlers auszutauschen. Der aufgetretene Fehler sollte dokumentiert und an Emerson anhand der
Kontaktinformationen auf der Rückseite dieses Sicherheitshandbuchs gemeldet werden. Dies ist ein
wichtiger Bestandteil des Emerson SIS-Managementprozesses.
Betrieb und Wartung
23
Page 28
Betrieb und Wartung
November 2017
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
24
Betrieb und Wartung
Page 29
Technische Daten
November 2017
Anhang A Technische Daten
A.1 Allgemeines
In Tabelle A-1 ist die Sicherheits-Ansprechzeit für alle Ausgangstypen größer als 10 Sekunden oder die
ausgewählte Sekundenverzögerung für die Einstellung der Ausgangsverzögerung.
Hinweis
Siehe „Ausgangsverzögerung“ auf Seite 22 bzgl. der Funktion für die Schalt-Ausgangsverzögerung.
Tabelle A-1. Allgemeine Spezifikationen
Art des
Ausgangs
4/20 mA 10,5 bis 42,4 VDC 3,6 mA min. 10 s 11 bis 15 mm 0 bis 30 mm
1. Die Auslösewerte des Logikbausteins sollten höher als diese Werte gesetzt werden, um ein sicheres Auslösen sicherzustellen.
2. Die Sicherheits-Ansprechzeit ist größer als 10 Sekunden oder die konfigurierte Sekundenverzögerung der Einstellung für die
Ausgangsverzögerung. Siehe „Ausgangsverzögerung“ auf Seite 22 bzgl. weiterer Einzelheiten dieser Einstellung.
3. Betriebspunkt (Schaltpunkt) gemessen vom niedrigsten Punkt der Gabel, wenn die Flüssigkeit Wasser ist.
4. Betriebspunkt (Schaltpunkt) gemessen vom niedrigsten Punkt der Gabel, wenn die Flüssigkeit kein Wasser ist.
Versorgungs-
spannung
Sicherheitsa-
larmwerte
(Kriechströme)
Sicherheits-
Ansprechzeit
(1)
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Schaltpunkt
(2)
– Wasser
(3)
Schaltpunkt
– andere
Flüssigkeit
(4)
A.2 Nutzungsdauer
Basierend auf allgemeinen Feld-Fehlerdaten und Komponentendaten des Herstellers kann für den
Rosemount 2140:SIS Füllstandsdetektor bei einer Umgebungstemperatur von 55 °C eine Nutzungsdauer
von ungefähr 89 Jahren erwartet werden. Dies nimmt um den Faktor zwei für jede zusätzlichen 10 °C ab
und nimmt um den Faktor zwei für jede Reduzierung von 10 °C zu.
A.3 Standzeit
Gemäß der Norm IEC 61508-2 sollte eine Standzeit basierend auf Erfahrungsdaten
angenommen werden.
Auch wenn eine konstante Fehlerrate durch die probabilistische Schätzungsmethode (siehe
FMEDA-Bericht) angenommen wird, trifft dies nur zu, wenn die Standzeit
überschritten wird. Über deren Standzeit hinaus ist das Ergebnis der probabilistischen Berechnung
bedeutungslos, da die Wahrscheinlichkeit eines Fehlers mit der Zeit bedeutend zunimmt.
Die Standzeit hängt entscheidend vom Subsystem selbst und seinen Betriebsbedingungen ab.
Die Ausrüstung enthält Elektrolytkondensatoren, deren Standzeit entscheidend von der
Umgebungstemperatur abhängt (siehe Sicherheitsdaten im FMEDA-Bericht).
(1)
der Komponenten nicht
1. Die Standzeit ist ein Begriff der Zuverlässigkeit, der d as Betriebszeitintervall beschreibt, in dem die Ausfallrate eines Gerätes re lativ konstant ist. Es handelt sich nicht um einen Begriff,
der die Alterung, die Garantie oder andere kommerzielle Probleme des Produkts umfasst.
25
Technische Daten
Page 30
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Diese Annahme einer konstanten Fehlerrate basiert auf der sogenannten „Badewannenkurve“.
Deshalb ist es offensichtlich, dass die PFDAVG-Berechnung nur für Komponenten gültig ist, welche diese
konstante Domäne haben, und dass die Gültigkeit der Berechnung sich auf die Standzeit jeder
Komponente beschränkt.
Es liegt in der Verantwortung des Endnutzers den Rosemount 2140:SIS Füllstandsdetektor gemäß den
Herstelleranweisungen zu warten und zu betreiben. Weiterhin sollten regelmäßige Inspektionen zeigen,
dass alle Komponenten sauber sind und keine Beschädigungen aufweisen.
Technische Daten
November 2017
Technische Daten und Referenzdaten
26
Page 31
Vorgeschlagenes Verfahren der ausführlichen Abnahmeprüfung
November 2017
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Anhang B Vorgeschlagenes Verfahren der
ausführlichen Abnahmeprüfung
B.1 Empfohlene Abnahmeprüfung
Gemäß Abschnitt 7.4.5.2 (f) der Norm IEC 61508-2 sollten Abnahmeprüfungen durchgeführt werden,
um gefährliche Fehler zu erkennen, die durch Diagnosetests nicht erkannt wurden. Dies bedeutet,
dass spezifiziert werden muss, wie gefährliche, unerkannte Fehler, die bei der FMEDA-Analyse
(Fehlermodus, Effekte und Diagnoseanalyse) festgestellt wurden, während der Abnahmeprüfung
erkannt werden können.
Die empfohlene Abnahmeprüfung für den Rosemount 2140:SIS Füllstandsdetektor ist unter Tabelle B-1
zu finden. Der Test besteht aus der Einstellung des Ausgangs auf einen Mindest- und Maximalwert und
einer Überprüfung der Kalibrierung.
Tabelle B-1. Empfohlene ausführliche Abnahmeprüfung
Schritt Maßnahme
1
2
3
4
5
6
7
8 Den Bypass entfernen und den Normalbetrieb wiederherstellen.
Die zugänglichen Teile des Flüssigkeits-Füllstandsdetektors auf jegliche Undichtigkeiten oder
Beschädigungen untersuchen.
Die Sicherheitsfunktion umgehen und entsprechende Maßnahmen einleiten, um eine falsche
Auslösung zu vermeiden.
DD, DTM, HHT, LOI oder andere Mittel für das Senden des HART-Befehls 40 verwenden, um den
unter der Niedrigalarm-Bedingung gesetzten Strom zu simulieren.
DD, DTM, HHT, LOI oder andere Mittel für das Senden des HART-Befehls 40 verwenden, um den
unter der Hochalarm-Bedingung gesetzten Strom zu simulieren.
DD, DTM, HHT, LOI oder andere Mittel für das Senden des HART-Befehls 40 verwenden, um
sicherzustellen, dass das Simulieren für den Stromausgang deaktiviert ist.
Prozessbedingungen so ändern, dass die Schwinggabel die konfigurierten Alarmbedingungen
erfährt und verifizieren, dass der Analogausgang den konfigurierten „Aus“-Analogstrom
innerhalb des erwarteten Zeitraums erreicht, der durch die Parametereinstellung der
Ausgangsverzögerung angezeigt wird.
Prozessbedingungen so ändern, dass die Schwinggabel die konfigurierte Normalbedingung
erfährt und verifizieren, dass der Analogausgang den konfigurierten „Ein“-Analogstrom
innerhalb des erwarteten Zeitraums erreicht, der durch die Parametereinstellung der
Ausgangsverzögerung angezeigt wird.
B.2 Einfluss auf SIF und Prozess
27
Um einen sicheren Produktzustand zu erreichen, muss der Sensor, abhängig vom Betriebsmodus,
entweder vom Prozessmedium entfernt oder in dieses eingetaucht werden. Der Prozess kann während
der Abnahmeprüfung nicht weiterbetrieben werden.
Vorgeschlagenes Verfahren der ausführlichen Abnahmeprüfung
Page 32
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Vorgeschlagenes Verfahren der ausführlichen Abnahmeprüfung
B.3 Dauer der ausführlichen Abnahmeprüfung
Die ausführliche Abnahmeprüfung dauert mit allen Sicherheitsmaßnahmen einige Stunden.
B.4 Bedenken bzgl. der persönlichen Sicherheit
Alle notwendigen Vorkehrungen sollten während der Ausführung der Abnahmeprüfung getroffen
werden.
November 2017
Vorgeschlagenes Verfahren der ausführlichen Abnahmeprüfung
28
Page 33
Vorgeschlagenes Verfahren für die Teil-Abnahmeprüfung
November 2017
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Anhang C Vorgeschlagenes Verfahren für die
Teil-Abnahmeprüfung
C.1 Empfohlene Abnahmeprüfung
Die empfohlene Teil-Abnahmeprüfung für den Rosemount 2140:SIS Füllstandsdetektor
(„Füllstandsdetektor“) finden Sie unte r Tabelle C-1. Sie betätigt die Signalverarbeitung und den Ausgang,
aber testet nicht den Sensor.
Tabelle C-1. Empfohlene Teil-Abnahmeprüfung
Schritt Maßnahme
1 Die zugänglichen Teile des Füllstandsdetektors auf jegliche Undichtigkeiten oder
2 Die Sicherheitsfunktion umgehen und entsprechende Maßnahmen einleiten, um eine
3 DD, DTM, HHT, LOI oder andere Mittel zum Senden des HART-Befehls 202 verwenden,
4 Verifizieren, dass der Strom des Analogausgangs den konfigurierten Stromwert für
5 Den Bypass entfernen und den Normalbetrieb wiederherstellen.
Beschädigungen untersuchen.
falsche Auslösung zu vermeiden.
um die Abnahmeprüfungsfunktion des Gerätes auszulösen.
Niedrigalarm, „Aus“, „Ein“ und Hochalarm erreicht und dass jeder auf dem Wert für ein
Viertel des Parameters der Abnahmeprüfungsdauer gehalten wird.
C.2 Einfluss auf SIF und Prozess
Der Prozess kann während der Abnahmeprüfung nicht weiterbetrieben werden.
C.3 Dauer der Teil-Abnahmeprüfung
Die Teil-Abnahmeprüfung dauert mit allen Sicherheitsmaßnahmen weniger als eine Stunde.
C.4 Bedenken bzgl. der persönlichen Sicherheit
29
Alle notwendigen Vorkehrungen sollten während der Ausführung der Abnahmeprüfung getroffen werden.
Vorgeschlagenes Verfahren für die Teil-Abnahmeprüfung
Page 34
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Vorgeschlagenes Verfahren für die Teil-Abnahmeprüfung
November 2017
Vorgeschlagenes Verfahren für die Teil-Abnahmeprüfung
30
Page 35
PFDAVG-Berechnung
November 2017
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Anhang D PFDAVG-Berechnung
D.1 Mittlere Wahrscheinlichkeit eines Ausfalls bei
Anforderung (PFDAVG)
Die Auswirkungen der ausführlichen Abnahmeprüfung, Teil-Abnahmeprüfung oder eine
Kombination aus beiden Typen auf PFDavg sind in Abbildung D-1 auf Seite 32 dargestellt. Die Daten
der Fehlerrate, die in dieser Berechnung verwendet werden, können dem FMEDA-Bericht entnommen
werden. Eine Einsatzzeit von 10 Jahren wurde mit einer „Mean Time To Restoration“ (durchschnittliche
Zeit zur Instandsetzung) von 24 Stunden angenommen.
Hinweis
Die folgenden Zahlen dienen nur der Veranschaulichung und müssen auf einer Pro-SIF-Grundlage
ermittelt werden.
31
PFDAVG-Berechnung
Page 36
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
PFDAVG-Berechnung
November 2017
Abbildung D-1. Auswirkungen von Abnahmeprüfungen auf PFD und PFD
PFD und PFDavg des Systems, wenn keine
Abnahmeprüfung angewandt wurde.
0,0012
SIL2
0,0010
0,0008
0,0006
PFD
0,0004
0,0002
0246810
Einsatzzeit (Jahre)
PFD SIL2
Der Füllstandsdetektor muss jedes Jahr einer Teil-Abnahmeprüfung
und alle 3 Jahre einer ausführlichen Abnahmeprüfung unterzogen werden.
10 Jahre PFD
AVG
Der Füllstandsdetektor muss alle 5 Jahre einer ausführlichen
PFD
Der Füllstandsdetektor muss jedes Jahr einer Teil-Abnahmeprüfung
und alle 5 Jahre einer ausführlichen Abnahmeprüfung unterzogen werden.
Abnahmeprüfung unterzogen werden
0,012
SIL2
0,010
0,008
0,006
0,004
0,002
0246810
PFD
AVG
Einsatzzeit (Jahre)
10 Jahre PFD
AVG
SIL2
PFD
0,012
SIL2
0,010
0,008
0,006
0,004
0,002
0246810
Einsatzzeit (Jahre)
PFD
10 Jahre PFD
AVG
SIL2
PFD
0,012
SIL2
0,010
0,008
0,006
0,004
0,002
0246810
PFD
Einsatzzeit (Jahre)
10 Jahre PFD
AVG
SIL2
Abbildung D-2 auf Seite 33 zeigen die Auswirkungen der ausführlichen Abnahmeprüfung und
Teil-Abnahmeprüfung sowie auch eine Kombination der beiden Typen auf PFD und PFDavg, sodass die
Ergebnisse direkt verglichen werden können. Es wird nur der PFDavg-Wert der letzten 10 Jahre gezeigt.
Eine Einsatzzeit von 10 Jahren wurde mit einer „Mean Time To Restoration“ (durchschnittliche Zeit zur
Instandsetzung) von 24 Stunden angenommen.
PFDAVG-Berechnung
32
Page 37
PFDAVG-Berechnung
November 2017
Hinweis
PFDavg-Zahlen können nur für Anwendungen mit einer niedrigen Anforderungsrate verwendet werden.
Für Anwendungen mit einer hohen Anforderungsrate siehe Anhang E: PFH-Berechnung.
Abbildung D-2. Vergleich von Auswirkungen auf PFD und PFDAVG für Abnahmeprüfungstypen
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
0,012
PFD
0,000
0,008
0,006
0,004
0,002
SIL2
0246810
13579
Einsatzzeit (Jahre)
33
PFD, keine Abnahmeprüfung
PFD, jährliche Teil-Abnahmeprüfung
PFD, jährliche ausführliche Abnahmeprüfung
SIL2
10 Jahre PFD
10 Jahre PFD
10 Jahre PFD
, keine Abnahmeprüfung
AVG
, jährliche Teil-Abnahmeprüfung
AVG
, jährliche ausführliche Abnahmeprüfung
AVG
PFDAVG-Berechnung
Page 38
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
PFDAVG-Berechnung
November 2017
PFDAVG-Berechnung
34
Page 39
PFH-Berechnung
November 2017
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Anhang E PFH-Berechnung
E.1 Wahrscheinlichkeit eines gefährlichen Fehlers pro
Stunde (PFH)
Für Anwendungen mit einer hohen Anforderungsrate müssen die Produkt-PFH-Werte verwendet
werden, um die Tauglichkeit eines Produkts innerhalb einer SIF zu bestimmen.
Für eine SIF mit einem Sicherheits-Bedarfsintervall, das 100
wird der SIF-PFH-Wert mit folgender Gleichung berechnet:
Σλ
PFH =
Die gesamte Ausrüstung, die Bestandteil des Sicherheitssystems ist, trägt zum PFH-Endwert bei. Wenn die
Sicherheits-Bedarfsintervalle sich der Diagnosetestrate nähern, werden die Online-Diagnosefunktionen zur
Erkennung von gefährlichen Fehlern immer weniger nützlich. In diesem Fall sind gefährliche, erkannte Fehler
nicht in der PFH-Berechnung enthalten.
Falls das Sicherheits-Bedarfsintervall weniger als 100
SIF-PFH-Wert mit folgender Gleichung berechnet:
DU
(1)
mal größer als das Diagnoseintervall ist,
(1)
mal größer als das Diagnoseintervall ist, wird der
Σ(λ
PFH =
Auch hier trägt die gesamte Ausrüstung, die Bestandteil des Sicherheitssystems ist, zum PFH-Endwert
bei, aber in diesem Fall können gefährliche, erkannte Fehler zum PFH-Endwert beitragen.
DU
+ λDD)
1. Die Zahl 100 wird hier nur für illustrative Zwecke verwendet und variiert abhängig von der Benutzererfahrung und dem verfügbaren Wissen über die SIF.
35
PFH-Berechnung
Page 40
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
PFH-Berechnung
November 2017
PFH-Berechnung
36
Page 41
Diagnoseintervalle
November 2017
Ergänzung zur Betriebsanleitung
Anhang F Diagnoseintervalle
F.1 Diagnoseprüfungen und -intervalle
Alle Diagnoseprüfungen können ganzheitlich in einer Stunde abgeschlossen werden.
00809-0205-4140, Rev. BA
37
Diagnoseintervalle
Page 42
Ergänzung zur Betriebsanleitung
00809-0205-4140, Rev. BA
Diagnoseintervalle
November 2017
Diagnoseintervalle
38
Page 43
Page 44
Deutschland
Emerson Automation Solutions
Emerson Process Management
GmbH & Co. OHG
Katzbergstraße 1
40764 Langenfeld (Rhld.)
Deutschland
+49 (0) 2173 3348 - 0
+49 (0) 2173 3348 - 100
www.emersonprocess.de
Schweiz
Emerson Automation Solutions
Emerson Process Management AG
Blegistrasse 21
6341 Baar-Walterswil
Schweiz
+41 (0) 41 768 6111
+41 (0) 41 761 8740
www.emersonprocess.ch
Österreich
Emerson Automation Solutions
Emerson Process Management AG
Industriezentrum NÖ Süd
Straße 2a, Objekt M29
2351 Wr. Neudorf
Österreich
+43 (0) 2236-607
+43 (0) 2236-607 44
www.emersonprocess.at
Ergänzung zur Betriebsanleitung
00809-205-4140, Rev. BA
November 2017
Linkedin.com/company/Emerson-Automation-Solutions
Twitter.com/Rosemount_News
Facebook.com/Rosemount
Youtube.com/user/RosemountMeasurement
Google.com/+RosemountMeasurement
Das Emerson-Logo ist eine Marke und Dienstleistungsmarke der Emerson Electric Co.
Rosemount und das Rosemount-Logo sind Marken von Emerson.
Alle anderen Marken sind Eigentum ihres jeweiligen Inhabers.
© 2017 Emerson. Alle Rechte vorbehalten.
Loading...