KROHNE OPTISWITCH 3x00 C 2wire SIL Manuel du propriétaire

Safety Manual
OPTISWITCH série 3000
- Deux fils
Document
ID: 32745
Table des matières
Table des matières
1
Sécurité fonctionnelle
1.1 Généralité......................................................................................................................... 3
1.2 Conception........................................................................................................................ 4
1.3 Consignes de réglage....................................................................................................... 6
1.4 Mise en service................................................................................................................. 7
1.5 Comportement au cours du fonctionnement et en cas de pannes.................................... 7
1.6 Test de fonctionnement périodique................................................................................... 7
1.7 Caractéristiques techniques relatives à la sécurité............................................................ 8
32745-FR-131125
Date de rédaction : 2013-11-13
2
OPTISWITCH série 3000 • - Deux fils
1 Sécurité fonctionnelle
1
Domaine de validité
Sécurité fonctionnelle
1.1
Généralité
Ce manuel de sécurité est valable pour les systèmes de mesure
comprenant le détecteur vibrant OPTISWITCH de la série 3000 avec
préamplificateur intégré VB60Z :
OPTISWITCH 3100 C, 3200 C, 3300 C
Versions hardware et software valables :
•
•
Domaine d'utilisation
Numéro de série de l'électronique > 14215176
Logiciel du capteur à partir de rév. 1.03
Le système de mesure peut être utilisé pour la détection de niveau de
pulvérulents ou granulés, satisfaisant aux exigences particulières de
la technique de sécurité.
Dans une architecture à un canal (1oo1D), il est possible de l'utiliser
jusqu'à SIL2 et dans une architecture redondante à multi-canaux,
jusqu'à SIL3.
Remarque:
Par un réglage spécial en usine, le système de mesure sera également approprié à la détection sous l'eau de solides décantés (voir
notice de "Mise en service").
Conformité SIL
32745-FR-131125
Abréviations, termes
Vous pouvez télécharger la déclaration de conformité SIL à partir de
notre page d'accueil sur internet.
SIL
Safety Integrity Level
HFT
Hardware Fault Tolerance
SFF
Safe Failure Fraction
PFDavg
Average Probability of dangerous Failure on Demand
PFH
Probability of a dangerous Failure per Hour
FMEDA
Failure Mode, Effects and Diagnostics Analysis
λsd
Rate for safe detected failure
λdd
Rate for dangerous detected failure
DCS
Diagnostic Coverage of safe failures; DCS = λsd/(λsd+λsu)
FIT
Failure In Time (1 FIT = 1 failure/109 h)
λsu
Rate for safe undetected failure
λdu
Rate for dangerous undetected failure
DCD
Diagnostic Coverage of dangerous failures; DCD = λdd/(λdd+λdu)
MTBF
Mean Time Between Failure
MTTF
Mean Time To Failure
MTTR
Mean Time To Repair
D'autres abréviations et termes sont indiqués dans la norme
IEC 61508-4.
OPTISWITCH série 3000 • - Deux fils
3
1 Sécurité fonctionnelle
Normes concernées
•
Exigences de sécurité
Valeurs limites de défaillance pour une fonction de sécurité, selon la
classe SIL (IEC 61508-1, 7.6.2)
IEC 61508 (disponible également comme DIN EN)
–– Functional safety of electrical/electronic/programmable electronic safety-related systems
Niveau d'intégrité de
sécurité
Mode demande faible
Mode demande élevée
SIL
PFDavg
PFH
4
≥ 10-5 … < 10-4
≥ 10-9 … < 10-8
3
≥ 10 … < 10
-3
≥ 10-8 … < 10-7
2
≥ 10 … < 10
-2
≥ 10-7 … < 10-6
1
≥ 10 … < 10
-1
≥ 10-6 … < 10-5
-4
-3
-2
Intégrité de sécurité du matériel (hardware) pour les systèmes partiels
relatifs à la sécurité de type B (IEC 61508-2, 7.4.3)
Fonction de sécurité
Proportion de défaillances en sécurité
Tolérance aux anomalies matérielles
(hardware)
SFF
HFT = 0
HFT = 1
HFT = 2
< 60 %
non autorisé
SIL1
SIL2
60 % … < 90 %
SIL1
SIL2
SIL3
90 % … < 99 %
SIL2
SIL3
(SIL4)
≥ 99 %
SIL3
(SIL4)
(SIL4)
1.2
Conception
La fonction de sécurité de ce système de mesure est la reconnaissance et la signalisation de l'état de l'élément vibrant.
On différenciera entre les deux états "immergé" et "émergé".
État de sécurité
L'état de sécurité dépend du mode de fonctionnement :
Elément vibrant à l'état
de sécurité positive
Protection contre la
marche à vide (fonctionnement mini.)
immergé
émergé
Courant de sortie à l'état 12,5 … 23,5 mA
de sécurité positive si
l'inverseur du mode de
fonctionnement au capteur est sur "maxi."
2,3 … 11,5 mA
Courant de sortie à l'état 2,3 … 11,5 mA
de sécurité positive si
l'inverseur du mode de
fonctionnement au capteur est sur "mini."
12,5 … 23,5 mA
OPTISWITCH série 3000 • - Deux fils
32745-FR-131125
4
Protection antidébordement
(fonctionnement
maxi.)
1 Sécurité fonctionnelle
Protection antidébordement
(fonctionnement
maxi.)
Description de l'erreur
Protection contre la
marche à vide (fonctionnement mini.)
Courant défaut " fail low " < 2,3 mA
< 2,3 mA
Courant défaut " fail
high "
> 23,5 mA
> 23,5 mA
Il y a défaillance en sécurité (safe failure) si le système de mesure
passe à l'état de sécurité défini ou au mode défaut sans une requête
du process.
Si le système de diagnostic interne reconnaît une anomalie, le système de mesure passera alors au mode défaut.
Il y a défaillance dangereuse non détectée (dangerous undetected
failure), si le système de mesure ne passe ni à l'état de sécurité défini, ni au mode défaut à une requête du process.
Configuration de l'unité
d'exploitation
Si le système de mesure délivre des courants de sortie de " fail low
" ou de " fail high ", il faut alors partir du fait qu'il y a présence d'une
défaillance.
C'est pourquoi l'unité d'exploitation doit interpréter de tels courants
comme défaut et délivrer une signalisation de défauts adéquate.
Si ce n'est pas le cas, il faudra attribuer les parts correspondantes
des taux de défaillance aux anomalies dangereuses. Ce qui peut
conduire à une dégradation des valeurs indiquées au chapitre "
Caractéristiques techniques relatives à la sécurité ".
L'unité d'exploitation doit correspondre au niveau SIL de la chaîne de
mesure.
Si un SU 501 Ex est utilisé pour l'exploitation des données, il faudra
mettre l'inverseur du mode de fonctionnement au capteur sur "maxi.".
Mode demande faible
Si la fréquence du mode de sollicitation ne dépasse pas une fois par
an, le système de mesure pourra être utilisé comme système partiel
de sécurité en mode " low demand mode " (IEC 61508-4, 3.5.12).
Si le rapport entre le taux de tests de diagnostic du système de
mesure et le mode de demande dépasse la valeur 100, le système de
mesure pourra être traité comme effectuant une fonction de sécurité
en mode de demande faible (IEC 61508-2, 7.4.3.2.5).
32745-FR-131125
Le paramètre associé est la valeur PFDavg (average Probability of
dangerous Failure on Demand). La valeur dépend de l'intervalle de
vérification TProof entre les tests de fonctionnement de la fonction de
sécurité.
Vous trouverez la valeur au chapitre " Caractéristiques techniques
relatives à la sécurité ".
Mode demande élevée
Si le " mode demande faible " ne convient pas, il faudra utiliser le
système de mesure comme système partiel de sécurité en mode "
high demand mode " (IEC 61508-4, 3.5.12).
OPTISWITCH série 3000 • - Deux fils
5
1 Sécurité fonctionnelle
Le temps de tolérance aux anomalies de tout le système doit être ici
supérieur à la somme des temps de réaction et/ou des durées de
test de diagnostic de tous les composants de la chaîne de mesure de
sécurité.
Le paramètre associé est la valeur PFH (taux de défaillance).
Vous trouverez la valeur au chapitre " Caractéristiques techniques
relatives à la sécurité ".
Suppositions
La réalisation de la FMEDA repose sur les suppositions suivantes :
•
•
•
•
•
•
•
•
•
•
Remarques générales et
restrictions
les taux de défaillance sont constants, l'usure des composants
mécaniques n'a pas été prise en considération
Les taux de défaillance des alimentations courant externes n'ont
pas été pris en compte dans le calcul
Les erreurs multiples n'ont pas été considérées
La température ambiante moyenne pendant la durée de fonctionnement 40 °C (104 °F)
Les conditions environnementales correspondent à un environnement industriel moyen
La durée d'utilisation des composants est comprise entre 8 et 12
ans (IEC 61508-2, 7.4.7.4, Note 3)
La durée de réparation (remplacement du système de mesure)
après une défaillance en sécurité est de huit heures (MTTR = 8 h)
L'unité d'exploitation peut interpréter les défaillances " fail low " et
" fail high " comme panne et délivrer une signalisation de défaut
adéquate
l'intervalle de scrutation d'une unité de commande et d'exploitation
raccordée s'élève à 1 heure maximum pour réagir à des défaillances dangereuses reconnaissables
Les interfaces de communication existantes (p. ex. HART, bus
I²C) ne seront pas utilisées pour la transmission des informations
relatives à la sécurité.
Il faudra veiller à une utilisation du système de mesure conforme à
l'application en tenant compte de la pression, de la température, de la
densité et des propriétés chimiques du produit.
Les limites spécifiques à l'application sont à respecter. Il ne faut pas
aller au-delà des spécifications de la notice de mise en service.
A tenir compte lors de l'utilisation en tant que protection conte la
marche à vide :
•
•
1.3
•
6
Consignes de réglage
Les conditions dans l'installation ayant une influence sur la sécurité
du système de mesure, il faudra régler les éléments de réglage en
fonction de l'application :
Potentiomètre d'adaptation du point de commutation
OPTISWITCH série 3000 • - Deux fils
32745-FR-131125
Éléments de réglage
Eviter tout colmatage de produit au système vibrant (il se peut que
de plus petits intervalles de test Proof soient nécessaires)
Version lames vibrantes : éviter une granulométrie du produit
> 15 mm (0.6 in)
1 Sécurité fonctionnelle
•
Commutateur DIL pour inversion du mode de fonctionnement
La fonction des éléments de réglage vous sera décrite dans la notice
de mise en service.
Montage et installation
1.4
Mise en service
Respecter les consignes de montage et d'installation de la notice de
mise en service.
Dans le cadre de la mise en oeuvre de l'appareil, nous vous recommandons de vérifier la fonction de sécurité en procédant à un premier
remplissage.
1.5
Comportement au cours du fonctionnement
et en cas de pannes
Fonctionnement et panne Les éléments de réglage et/ou les paramètres des appareils ne
doivent pas être modifiés durant le fonctionnement.
En cas de changements apparaissant pendant le fonctionnement,
respectez les fonctions de sécurité.
Les signalisations de défaut se manifestant durant le fonctionnement sont décrites dans la notice technique de mise en service de
l'appareil.
En présence d'anomalies détectées ou de signalisations de défaut, il
faudra mettre tout le système de mesure hors service et maintenir le
process dans un état de sécurité par d'autres dispositions.
Le changement de l'électronique est simple. Il vous sera décrit dans
la notice de mise en service. Respectez pour cela les indications
concernant le paramétrage et la mise en oeuvre.
Si vous remplacez l'électronique ou le capteur complet en raison
d'une anomalie constatée, vous aurez à le signaler au fabricant de
l'appareil (y compris une description de l'anomalie).
Motif et exécution
1.6
Test de fonctionnement périodique
Le test de fonctionnement périodique sert à vérifier la fonction de
sécurité et à déceler les anomalies ou défaillances dangereuses potentielles non reconnaissables. C'est pourquoi le bon fonctionnement
du système de mesure doit être vérifié à des intervalles périodiques
appropriés.
32745-FR-131125
C'est à l'exploitant de l'installation qu'il incombe de définir le type de
vérification. Les intervalles de temps sont fonction de la valeur PFDavg
utilisée au tableau et diagramme indiqués au chapitre " Caractéristiques techniques relatives à la sécurité ".
En mode de demande élevée, un test de fonctionnement périodique
n'est pas prévu dans la norme IEC 61508. On considère ici comme
preuve de bon fonctionnement l'utilisation fréquente du système de
mesure. Cependant, dans les architectures à deux canaux, il est judicieux de prouver l'effet de la redondance par des tests de fonctionnement périodiques dans des intervalles de temps appropriés.
Le test doit prouver le parfait fonctionnement de la fonction de sécurité en corrélation avec tous les composants asservis.
OPTISWITCH série 3000 • - Deux fils
7
1 Sécurité fonctionnelle
Ceci est garanti en faisant monter le niveau jusqu'au seuil de commutation dans le cadre d'un remplissage de cuve. Si un remplissage
jusqu'au seuil de commutation n'est pas praticable, le système de
mesure doit alors être déclenché par une simulation adéquate du
niveau ou d'un effet de mesure physique.
Les méthodes et procédés utilisés au cours des tests doivent être
spécifiés tout comme leur degré d'aptitude. Les contrôles sont à
documenter.
Si le test de fonctionnement décèle des défauts, mettez tout le système de mesure hors service et maintenez le process dans un état de
sécurité avec d'autres mesures de protection.
Dans une architecture à plusieurs canaux, ceci est valable séparément pour chaque canal.
Test de fonctionnement
simple
Si les conditions des remarques suivantes sont remplies, un test de
fonctionnement peut être déclenché par une interruption de l'alimentation tension d'au moins deux secondes.
Cela peut se faire par :
•
•
•
une interruption manuelle de la ligne d'alimentation
une interruption de la ligne d'alimentation au moyen d'une commande en aval (APS)
Pression de la touche Touche de test sur un transmetteur en aval
(vous trouverez les transmetteurs appropriés au chapitre "Caractéristiques techniques" du manuel de mise en service)
Remarque:
Conditions pour le test de fonctionnement simple :
•
•
•
•
Une détérioration mécanique de la lame vibrante ainsi que de la
corrosion sont exclues
La formation de colmatages sur la lame vibrante conduisant à une
atténuation importante de la fréquence de vibration est exclue
Le produit ne doit contenir aucune matière solide pouvant se
coincer dans la lame vibrante
Ce test ne pourra s'effectuer qu'avec un élément vibrant émergé
1.7
Bases
Caractéristiques techniques relatives à la
sécurité
Les taux de défaillance de l'électronique, des parties mécaniques de
l'élément de mesure ainsi que du raccord process ont été calculés
par une FMEDA selon IEC 61508. La base de ces calculs repose
sur les taux de défaillance des composants selon SN 29500. Toutes
ces valeurs numériques se rapportent à une température ambiante
moyenne de 40 °C (104 °F) pendant la durée de fonctionnement.
Les calculs s'appuient toujours sur les remarques indiquées au chapitre " Conception ".
8
OPTISWITCH série 3000 • - Deux fils
32745-FR-131125
L'expérience nous a montré que pour une température moyenne plus
élevée de 60 °C, les taux de défaillance doivent être multipliés par un
facteur de 2,5. En cas de variations de température fréquentes, il faut
calculer avec un facteur similaire.
1 Sécurité fonctionnelle
Durée d'utilisation
Après 8 à 12 ans, les taux de défaillance des composants électroniques vont augmenter, conduisant à une dégradation des valeurs
PFD et PFH qui en découlent (IEC 61508-2, 7.4.7.4, note 3).
Taux de défaillance
Inverseur du mode de fonctionnement au capteur sur "maxi."
Protection antidébordement
(fonctionnement
maxi.)
Protection contre la
marche à vide (fonctionnement mini.)
λsd
49 FIT
39 FIT
λsu
387 FIT
352 FIT
λdd
163 FIT
182 FIT
λdu
18 FIT
43 FIT
DCS
11 %
10 %
DCD
90 %
MTBF = MTTF + MTTR
1,59 x 10 h
1,59 x 106 h
Protection antidébordement
(fonctionnement
maxi.)
Protection contre la
marche à vide (fonctionnement mini.)
λsd
39 FIT
45 FIT
λsu
373 FIT
361 FIT
λdd
168 FIT
173 FIT
λdu
36 FIT
37 FIT
DCS
9%
11 %
DCD
82 %
82 %
MTBF = MTTF + MTTR
1,59 x 106 h
1,59 x 106 h
81 %
6
Inverseur du mode de fonctionnement au capteur sur "mini."
Temps de réaction en cas
d'anomalie
Caractéristiques spécifiques
Durée d'un test de diagnostic
< 100 sec.
Architecture monocanale (1oo1D)
SIL
SIL2
HFT
0
Type d'appareil
type B
32745-FR-131125
Inverseur du mode de fonctionnement au capteur sur "maxi."
SFF
OPTISWITCH série 3000 • - Deux fils
Protection antidébordement
(fonctionnement
maxi.)
Protection contre la
marche à vide (fonctionnement mini.)
97 %
93 %
9
1 Sécurité fonctionnelle
Protection antidébordement
(fonctionnement
maxi.)
Protection contre la
marche à vide (fonctionnement mini.)
TProof = 1 an
< 0,008 x 10-2
< 0,019 x 10-2
TProof = 10 ans
< 0,077 x 10
< 0,186 x 10-2
PFDavg
TProof = 5 ans
< 0,039 x 10-2
PFH
< 0,093 x 10-2
-2
< 0,018 x 10 /h
< 0,043 x 10-6/h
Protection antidébordement
(fonctionnement
maxi.)
Protection contre la
marche à vide (fonctionnement mini.)
94 %
94 %
-6
Inverseur du mode de fonctionnement au capteur sur "mini."
SFF
PFDavg
TProof = 1 an
< 0,016 x 10-2
< 0,016 x 10-2
TProof = 10 ans
< 0,156 x 10-2
< 0,162 x 10-2
TProof = 5 ans
< 0,078 x 10
< 0,036 x 10 /h
PFH
Déroulement en fonction
du temps de PFDavg
< 0,081 x 10-2
-2
-6
< 0,037 x 10-6/h
Le déroulement temporel de PFDavg est presque linéaire à la durée
de fonctionnement pendant une période maximale de 10 ans. Les
valeurs indiquées précédemment sont valables uniquement pour
l'intervalle TProof après lequel un test de fonctionnement périodique
doit être effectuer.
4
PFDavg
3
2
1
1
5
10
TProof
Fig. 1: Déroulement en fonction du temps de PFDavg (valeurs numériques voir
tableaux représentés ci-dessus)
PFDavg = 0
PFDavg après 1 an
PFDavg après 5 ans
PFDavg après 10 ans
Architecture à plusieurs canaux
Caractéristiques spécifiques
10
Si le système de mesure est utilisé dans une architecture à plusieurs
canaux, il faudra à l'aide des taux de défaillance indiqués précédemOPTISWITCH série 3000 • - Deux fils
32745-FR-131125
1
2
3
4
1 Sécurité fonctionnelle
ment calculer spécialement pour l'application sélectionnée les valeurs
des caractéristiques relatifs à la sécurité de la structure sélectionnée
de la chaîne de mesure.
32745-FR-131125
Il faudra tenir compte d'un facteur Common Cause approprié.
OPTISWITCH série 3000 • - Deux fils
11
Sous réserve de modifications pour raisons techniques
32745-FR-131125