KROHNE OPTISWITCH 5xx0 C Transistor SIL Manuel du propriétaire

Safety Manual
OPTISWITCH série 5000
- Transistor (NPN/PNP)
1 Sommaire
Sommaire
1
Sécurité fonctionnelle
1.1
1.2
1.3
1.4
1.5
1.6
1.7
Général . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Conception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Consignes de réglage. . . . . . . . . . . . . . . . . . . . . . . .
Mettre en service . . . . . . . . . . . . . . . . . . . . . . . . . . .
Comportement au cours du fonctionnement et en cas
de pannes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Test de fonctionnement périodique . . . . . . . . . . . . . .
Caractéristiques techniques relatives à la sécurité . . .
3
5
7
7
7
8
8
32749-FR-100128
2
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
1 Sécurité fonctionnelle
1 Sécurité fonctionnelle
1.1 Général
Matériel concerné
Ce manuel de sécurité est valable pour les systèmes de mesure
comprenant le détecteur vibrant OPTISWITCH de la série 5000 avec
préamplificateur SWE60T :
OPTISWITCH 5100 C, 5150 C, 5200 C, 5250 C
Pour les appareils avec lames vibrantes émaillées, il vous faudra le
préamplificateur SWE60T.E ou SWE60T.E1.
Domaine d'application
Le système de mesure peut être utilisé pour la détection de niveau de
liquides, satisfaisant aux exigences particulières de la technique de
sécurité.
Dans une architecteure à un canal (1oo1D), il est possible de l'utiliser
jusqu'à SIL2 et dans une architecture redondante à multi-canaux,
jusqu'à SIL3.
Conformité SIL
32749-FR-100128
Abréviations, termes
Vous pouvez télécharger la déclaration de conformité SIL à partir de
notre page d'accueil sur internet.
SIL
Safety Integrity Level
HFT
Hardware Fault Tolerance
SFF
Safe Failure Fraction
PFDavg
Average Probability of dangerous Failure on Demand
PFH
Probability of a dangerous Failure per Hour
FMEDA
Failure Mode, Effects and Diagnostics Analysis
λsd
Rate for safe detected failure
λsu
Rate for safe undetected failure
λdd
Rate for dangerous detected failure
λdu
Rate for dangerous undetected failure
DCS
Diagnostic Coverage of safe failures; DCS = λsd/(λsd+λsu)
DCD
Diagnostic Coverage of dangerous failures; DCD = λdd/(λdd+λdu)
FIT
Failure In Time (1 FIT = 1 failure/109 h)
MTBF
Mean Time Between Failure
MTTF
Mean Time To Failure
MTTR
Mean Time To Repair
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
3
1 Sécurité fonctionnelle
D'autres abréviations et termes sont indiqués dans la norme
IEC 61508-4.
Normes concernées
Exigences de sécurité
l
IEC 61508
- Functional safety of electrical/electronic/programmable electronic safety-related systems
l
IEC 61511-1
- Functional safety - safety instrumented systems for the
process industry sector - Part 1: Framework, definitions,
system, hardware and software requirements
Valeurs limites de défaillance pour une fonction de sécurité, selon la
classe SIL (IEC 61508-1, 7.6.2)
Niveau d'intégrité de
sécurité
Mode demande faible
SIL
Mode demande élevée
PFH
PFDavg
4
-4
≥ 10 … < 10
≥ 10 … < 10-8
3
≥ 10-4 … < 10-3
≥ 10-8 … < 10-7
2
≥ 10-3 … < 10-2
≥ 10-7 … < 10-6
1
-5
-2
-9
-1
≥ 10-6 … < 10-5
≥ 10 … < 10
Intégrité de sécurité du matériel (hardware) pour les systèmes partiels
relatifs à la sécurité de type A (IEC 61508-2, 7.4.3)
Validité en utilisation
Proportion de défaillances en sécurité
Tolérance
aux anomalies matérielles
HFT = 0
HFT = 1
HFT = 2
SIL1
SIL2
SIL3
60 % … < 90 %
SIL2
SIL3
(SIL4)
90 % … < 99 %
SIL3
(SIL4)
(SIL4)
≥ 99 %
SIL3
(SIL4)
(SIL4)
Selon IEC 61511-1, paragraphe 11.4.4, la tolérance aux anomalies
HFT pour les systèmes partiels validés en utilisation peut être réduite
de un si les conditions suivantes sont satisfaites:
l
L'appareil est validé en utilisation
A l'appareil, il n'est possible de modifier que les paramètres
importants au process (p. ex. plage de mesure, sortie courant en
cas de défaut …)
La modification de ces paramètres importants au process est
protégée (p. ex. par un mot de passe, …)
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
32749-FR-100128
l
l
4
SFF
< 60 %
1 Sécurité fonctionnelle
l
La fonction de sécurité requiert un niveau inférieur à SIL4
L'évaluation du service de modifications a fait partie de la preuve de la
validité en utilisation.
1.2 Conception
Fonction de sécurité
La fonction de sécurité de ce système de mesure est la reconnaissance et la signalisation de l'état de l'élément vibrant.
On différenciera entre les deux états "immergé" et "émergé".
Etat de sécurité
L'état de sécurité dépend du mode de fonctionnement :
Protection antidébordement (fonctionnement maxi.)
Protection contre la
marche à vide (fonctionnement mini.)
Elément vibrant à l'état
de sécurité positive
immergé
émergé
Circuit de sortie à l'état
de sécurité positive
désexcité/hors tension
désexcité/hors tension
L'état de sécurité du système de mesure est l'état hors circuit (principe
du courant repos) :
l
l
l
Description d'une anomalie
Electronique C : sortie électronique statique ouverte
Electronique R : sortie relais désexcitée
Electronique T : sortie transistor ne commute pas
Il y a défaillance en sécurité (safe failure) si le système de mesure
passe à l'état de sécurité défini ou au mode défaut sans une requête
du process.
Il y a défaillance dangereuse non détectée (dangerous undetected
failure), si le système de mesure ne passe ni à l'état de sécurité défini,
ni au mode défaut à une requête du process.
Configuration de l'unité
d'exploitation
L'unité de traitement doit exploiter le circuit de sortie du système de
mesure en respectant le principe du courant repos.
L'unité d'exploitation doit correspondre au niveau SIL de la chaîne de
mesure.
32749-FR-100128
Mode demande faible
Si la fréquence du mode de sollicitation ne dépasse pas une fois par
an, le système de mesure pourra être utilisé comme système partiel
de sécurité en mode "low demand mode" (IEC 61508-4, 3.5.12).
Si le rapport entre le taux de tests de diagnostic du système de
mesure et le mode de demande dépasse la valeur 100, le système de
mesure pourra être traité comme effectuant une fonction de sécurité
en mode de demande faible (IEC 61508-2, 7.4.3.2.5).
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
5
1 Sécurité fonctionnelle
Le paramètre associé est la valeur PFDavg (average Probability of
dangerous Failure on Demand). La valeur dépend de l'intervalle de
vérification TProof entre les tests de fonctionnement de la fonction de
sécurité.
Vous trouverez la valeur au chapitre "Caractéristiques techniques
relatives à la sécurité".
Mode demande élevée
Si le "mode demande faible" ne convient pas, il faudra utiliser le
système de mesure comme système partiel de sécurité en mode "high
demand mode" (IEC 61508-4, 3.5.12).
Le temps de tolérance aux anomalies de tout le système doit être ici
supérieur à la somme des temps de réaction et/ou des durées de test
de diagnostic de tous les composants de la chaîne de mesure de
sécurité.
Le paramètre associé est la valeur PFH (taux de défaillance).
Vous trouverez la valeur au chapitre "Caractéristiques techniques
relatives à la sécurité".
Suppositions
La réalisation de la FMEDA repose sur les suppositions suivantes :
l
l
l
l
l
l
l
l
l
Remarques générales et
restrictions
les taux de défaillance sont constants, l'usure des composants
mécaniques n'a pas été prise en considération
les taux de défaillance des alimentations courant externes n'ont
pas été pris en compte dans le calcul
les erreurs multiples n'ont pas été considérées
La température ambiante moyenne pendant la durée de fonctionnement 40 °C (104 °F)
les conditions environnementales correspondent à un environnement industriel moyen
la durée d'utilisation des composants est comprise entre 8 et 12
ans (IEC 61508-2, 7.4.7.4, Note 3)
la durée de réparation (remplacement du système de mesure)
après une défaillance en sécurité est de huit heures (MTTR = 8 h)
l'unité d'exploitation évalue le circuit de sortie du système de
mesure selon le principe du courant repos
l'intervalle de scrutation d'une unité de commande et d'exploitation
raccordée s'élève à 1 heure maximum pour réagir à des
défaillances dangereuses reconnaissables
Il faudra veiller à une utilisation du système de mesure conforme à
l'application en tenant compte de la pression, de la température, de la
densité et des propriétés chimiques du produit.
Les limites spécifiques à l'application sont à respecter. Il ne faut pas
aller au-delà des spécifications de la notice de mise en service.
l
6
Eviter tout colmatage de produit au système vibrant (il se peut que
de plus petits intervalles de test Proof soient nécessaires)
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
32749-FR-100128
A tenir compte lors de l'utilisation en tant que protection conte la
marche à vide :
1 Sécurité fonctionnelle
l
l
Eviter la présence de solides dans le produit > 5 mm (0.2 in)
Eviter la formation de mousse d'une densité > 0,5 g/cm³ (0.018 lbs/
in³)
1.3 Consignes de réglage
Éléments de réglage
Les conditions dans l'installation ayant une influence sur la sécurité du
système de mesure, il faudra régler les éléments de réglage en
fonction de l'application :
l
l
Commutateur DIL pour inversion du mode de fonctionnement
Commutateur DIL pour le réglage de la sensibilité
La fonction des éléments de réglage vous sera décrite dans la notice
de mise en service.
1.4 Mettre en service
Montage et installation
Respectez les consignes de montage et d'installation de la notice de
mise en service.
Dans le cadre de la mise en oeuvre de l'appareil, nous vous
recommandons de vérifier la fonction de sécurité en procédant à un
premier remplissage.
1.5 Comportement au cours du fonctionnement et
en cas de pannes
Fonctionnement et
panne
Les éléments de réglage et/ou les paramètres des appareils ne
doivent pas être modifiés durant le fonctionnement.
En cas de changements apparaissant pendant le fonctionnement,
respectez les fonctions de sécurité.
Les signalisations de défaut se manifestant durant le fonctionnement
sont décrites dans la notice technique de mise en service de l'appareil.
En présence d'anomalies détectées ou de signalisations de défaut, il
faudra mettre tout le système de mesure hors service et maintenir le
process dans un état de sécurité par d'autres dispositions.
Le changement de l'électronique est simple. Il vous sera décrit dans la
notice de mise en service. Respectez pour cela les indications
concernant le paramétrage et la mise en oeuvre.
32749-FR-100128
Si vous remplacez l'électronique ou le capteur complet en raison d'une
anomalie constatée, vous aurez à le signaler au fabricant de l'appareil
(y compris une description de l'anomalie).
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
7
1 Sécurité fonctionnelle
1.6 Test de fonctionnement périodique
Motif et exécution
Le test de fonctionnement périodique sert à vérifier la fonction de
sécurité et à déceler les anomalies ou défaillances dangereuses
potentielles non reconnaissables. C'est pourquoi le bon fonctionnement du système de mesure doit être vérifié à des intervalles
périodiques appropriés.
C'est à l'exploitant de l'installation qu'il incombe de définir le type de
vérification. Les intervalles de temps sont fonction de la valeur PFDavg
utilisée au tableau et diagramme indiqués au chapitre "Caractéristiques techniques relatives à la sécurité".
En mode de demande élevée, un test de fonctionnement périodique
n'est pas prévu dans la norme IEC 61508. On considère ici comme
preuve de bon fonctionnement l'utilisation fréquente du système de
mesure. Cependant, dans les architectures à deux canaux, il est
judicieux de prouver l'effet de la redondance par des tests de
fonctionnement périodiques dans des intervalles de temps appropriés.
Le test doit prouver le parfait fonctionnement de la fonction de sécurité
en corrélation avec tous les composants asservis.
Ceci est garanti en faisant monter le niveau jusqu'au seuil de
commutation dans le cadre d'un remplissage de cuve. Si un
remplissage jusqu'au seuil de commutation n'est pas praticable, le
système de mesure doit alors être déclenché par une simulation
adéquate du niveau ou d'un effet de mesure physique.
Les méthodes et procédés utilisés au cours des tests doivent être
spécifiés tout comme leur degré d'aptitude. Les contrôles sont à
documenter.
Si le test de fonctionnement décèle des défauts, mettez tout le
système de mesure hors service et maintenez le process dans un état
de sécurité avec d'autres mesures de protection.
Ceci est valable séparément pour chacun des deux canaux en
architecture à deux canaux (1oo2D).
1.7 Caractéristiques techniques relatives à la
sécurité
Bases
L'expérience nous a montré que pour une température moyenne plus
élevée de 60 °C, les taux de défaillance doivent être multipliés par un
facteur de 2,5. En cas de variations de température fréquentes, il faut
calculer avec un facteur similaire.
8
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
32749-FR-100128
Les taux de défaillance de l'électronique, des parties mécaniques de
l'élément de mesure ainsi que du raccord process ont été calculés par
une FMEDA selon IEC 61508. La base de ces calculs repose sur les
taux de défaillance des composants selon SN 29500. Toutes ces
valeurs numériques se rapportent à une température ambiante
moyenne de 40 °C (104 °F) pendant la durée de fonctionnement.
1 Sécurité fonctionnelle
Les calculs s'appuient toujours sur les remarques indiquées au
chapitre "Conception".
Durée d'utilisation
Après 8 à 12 ans, les taux de défaillance des composants électroniques vont augmenter, conduisant à une dégradation des valeurs
PFD et PFH qui en découlent (IEC 61508-2, 7.4.7.4, note 3).
Taux de défaillance
Protection antidébordement (fonctionnement maxi./A)
Protection contre la
marche à vide (fonctionnement mini./B)
λsd
0 FIT
0 FIT
λsu
243 FIT
241 FIT
λdd
0 FIT
0 FIT
λdu
27 FIT
MTBF = MTTF + MTTR
Temps de réaction en
cas d'anomalie
30 FIT
6
3,7 x 106 h
3,7 x 10 h
< 1,5 sec.
Temps de réaction en cas d'anomalie
Architecture monocanale (1oo1D)
Caractéristiques spécifiques
SIL
SIL2
HFT
0
Type d'appareil
SFF
PFDavg
TProof = 1 an
TProof = 5 ans
TProof = 10 ans
PFH
32749-FR-100128
Déroulement en fonction
du temps de PFDavg
Type A
Protection antidébordement (fonctionnement maxi./A)
Protection contre la
marche à vide (fonctionnement mini./B)
89 %
89 %
< 0,012 x 10-2
< 0,06 x 10-2
< 0,12 x 10-2
< 0,013 x 10-2
< 0,065 x 10-2
< 0,13 x 10-2
< 0,027 x 10-6/h
< 0,03 x 10-6/h
Le déroulement temporel de PFDavg est presque linéaire à la durée de
fonctionnement pendant une période maximale de 10 ans. Les valeurs
indiquées précédemment sont valables uniquement pour l'intervalle
TProof après lequel un test de fonctionnement périodique doit être
effectuer.
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
9
1 Sécurité fonctionnelle
4
PFDavg
3
2
1
1
5
10
TProof
Fig. 1: Déroulement en fonction du temps de PFDavg (valeurs numériques voir
tableaux représentés ci-dessus)
1
2
3
4
PFDavg
PFDavg
PFDavg
PFDavg
=0
après 1 an
après 5 ans
après 10 ans
Architecture à plusieurs canaux
Caractéristiques spécifiques
Si le système de mesure est utilisé dans une architecture à plusieurs
canaux, il faudra à l'aide des taux de défaillance indiqués précédemment calculer spécialement pour l'application sélectionnée les valeurs
des caractéristiques relatifs à la sécurité de la structure sélectionnée
de la chaîne de mesure.
Il faudra tenir compte d'un facteur Common Cause approprié.
32749-FR-100128
10
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
32749-FR-100128
1 Sécurité fonctionnelle
OPTISWITCH série 5000 • - Transistor (NPN/PNP)
11
Sous réserve de modifications pour raisons techniques
32749-FR-100128
">