KROHNE OPTISWITCH 3x00 C NAMUR SIL Manuel du propriétaire

Safety Manual
OPTISWITCH série 3000
- NAMUR
Sommaire
Sommaire
1
Sécurité fonctionnelle
1.1
1.2
1.3
1.4
1.5
1.6
1.7
Généralité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Conception . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Consignes de réglage . . . . . . . . . . . . . . . . . . . 7
Mise en service . . . . . . . . . . . . . . . . . . . . . . . . 7
Comportement au cours du fonctionnement et
en cas de pannes . . . . . . . . . . . . . . . . . . . . . . 8
Test de fonctionnement périodique . . . . . . . . . . 8
Caractéristiques techniques relatives à la
sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
32742-FR-080414
2
OPTISWITCH série 3000 • - NAMUR
Sécurité fonctionnelle
1 Sécurité fonctionnelle
1.1 Généralité
Matériel concerné
Ce manuel de sécurité est valable pour les systèmes de
mesure comprenant le détecteur vibrant OPTISWITCH de la
série 3000 avec préamplificateur intégré VB60N :
OPTISWITCH 3100 C, 3200 C, 3300 C
Versions hardware et software valables :
l
l
Domaine d'application
Numéro de série de l'électronique >14642206
Logiciel du capteur à partir de rév. 1.00
Le système de mesure peut être utilisé pour la détection de
niveau de pulvérulents ou granulés, satisfaisant aux exigences
particulières de la technique de sécurité.
Dans une architecteure à un canal (1oo1D), il est possible de
l'utiliser jusqu'à SIL2 et dans une architecture redondante à
plusieurs canaux, jusqu'à SIL3.
32742-FR-080414
Remarque:
Par un réglage spécial en usine, le système de mesure sera
également approprié à la détection sous l'eau de solides
décantés (voir notice de "Mise en service").
Conformité SIL
Vous pouvez télécharger la déclaration de conformité SIL à
partir de notre page d'accueil sur internet.
Abréviations, termes
D'autres abréviations et termes sont indiqués dans la norme
IEC 61508-4.
SIL
Safety Integrity Level
HFT
Hardware Fault Tolerance
SFF
Safe Failure Fraction
PFDavg
Average Probability of dangerous Failure on Demand
PFH
Probability of a dangerous Failure per Hour
FMEDA
Failure Mode, Effects and Diagnostics Analysis
λsd
Rate for safe detected failure
λsu
Rate for safe undetected failure
λdd
Rate for dangerous detected failure
λdu
Rate for dangerous undetected failure
DCS
Diagnostic Coverage of safe failures; DCS = λsd/(λsd+λsu)
OPTISWITCH série 3000 • - NAMUR
3
Sécurité fonctionnelle
DCD
Diagnostic Coverage of dangerous failures; DCD = λdd/(λdd+λdu)
FIT
Failure In Time (1 FIT = 1 failure/109 h)
MTBF
Mean Time Between Failure
MTTF
Mean Time To Failure
MTTR
Mean Time To Repair
IEC 61508 (disponible également comme DIN EN)
- Functional safety of electrical/electronic/programmable
electronic safety-related systems
Normes concernées
l
Exigences de sécurité
Valeurs limites de défaillance pour une fonction de sécurité,
selon la classe SIL (IEC 61508-1, 7.6.2)
Niveau d'intégrité de
sécurité
Mode demande faible
SIL
Mode demande élevée
PFDavg
-5
PFH
4
-4
≥ 10 … < 10
≥ 10 … < 10-8
3
≥ 10-4 … < 10-3
≥ 10-8 … < 10-7
-3
-9
2
≥ 10
-2
≥ 10-7 … < 10-6
1
≥ 10-2 … < 10-1
≥ 10-6 … < 10-5
… < 10
Intégrité de sécurité du matériel (hardware) pour les systèmes
partiels relatifs à la sécurité de type B (IEC 61508-2, 7.4.3)
Proportion de défaillances en sécurité
Tolérance
aux anomalies matérielles
SFF
HFT = 0
HFT = 1
HFT = 2
< 60 %
non autorisé
SIL1
SIL2
60 % … < 90 %
SIL1
SIL2
SIL3
90 % … < 99 %
SIL2
SIL3
(SIL4)
≥ 99 %
SIL3
(SIL4)
(SIL4)
1.2 Conception
4
La fonction de sécurité de ce système de mesure est la
reconnaissance et la signalisation de l'état de l'élément
vibrant.
OPTISWITCH série 3000 • - NAMUR
32742-FR-080414
Fonction de sécurité
Sécurité fonctionnelle
On différenciera entre les deux états "immergé" et "émergé".
Etat de sécurité
L'état de sécurité dépend du mode de fonctionnement :
Protection antidébordement (fonctionnement maxi.)
Protection contre la
marche à vide (fonctionnement mini.)
immergé
émergé
Courant de sortie à l'état
de sécurité positive
0,4 … 1 mA
0,4 … 1 mA
Courant défaut "fail low"
< 1 mA
< 1 mA
Courant défaut "fail high"
> 6,5 mA
> 6,5 mA
Elément vibrant à l'état
de sécurité positive
Description d'une anomalie
Il y a défaillance en sécurité (safe failure) si le système de
mesure passe à l'état de sécurité défini ou au mode défaut
sans une requête du process.
Si le système de diagnostic interne reconnaît une anomalie, le
système de mesure passera alors au mode défaut.
Il y a défaillance dangereuse non détectée (dangerous
undetected failure), si le système de mesure ne passe ni à
l'état de sécurité défini, ni au mode défaut à une requête du
process.
Configuration de l'unité
d'exploitation
Si le système de mesure délivre des courants de sortie de "fail
low" ou de "fail high", il faut alors partir du fait qu'il y a
uprésence d'une défaillance.
C'est pourquoi l'unité d'exploitation doit interpréter de tels
courants comme défaut et délivrer une signalisation de défauts
adéquate.
Si ce n'est pas le cas, il faudra attribuer les parts correspondantes des taux de défaillance aux anomalies dangereuses.
Ce qui peut conduire à une dégradation des valeurs indiquées
au chapitre "Caractéristiques techniques relatives à la
sécurité".
32742-FR-080414
L'unité d'exploitation doit correspondre au niveau SIL de la
chaîne de mesure.
Le mode de fonctionnement à l'amplificateur-séparateur de
commutation NAMUR doit être réglé conformément à
IEC 60947-5-6 de telle sorte que sa sortie de commutation
passe à un état de sécurité positive avec un courant d'entrée
< 1,2 mA.
OPTISWITCH série 3000 • - NAMUR
5
Sécurité fonctionnelle
Mode demande faible
Si la fréquence du mode de sollicitation ne dépasse pas une
fois par an, le système de mesure pourra être utilisé comme
système partiel de sécurité en mode "low demand mode"
(IEC 61508-4, 3.5.12).
Si le rapport entre le taux de tests de diagnostic du système de
mesure et le mode de demande dépasse la valeur 100, le
système de mesure pourra être traité comme effectuant une
fonction de sécurité en mode de demande faible (IEC 61508-2,
7.4.3.2.5).
Le paramètre associé est la valeur PFDavg (average Probability of dangerous Failure on Demand). La valeur dépend
de l'intervalle de vérification TProof entre les tests de
fonctionnement de la fonction de sécurité.
Vous trouverez la valeur au chapitre "Caractéristiques
techniques relatives à la sécurité".
Mode demande élevée
Si le "mode demande faible" ne convient pas, il faudra utiliser
le système de mesure comme système partiel de sécurité en
mode "high demand mode" (IEC 61508-4, 3.5.12).
Le temps de tolérance aux anomalies de tout le système doit
être ici supérieur à la somme des temps de réaction et/ou des
durées de test de diagnostic de tous les composants de la
chaîne de mesure de sécurité.
Le paramètre associé est la valeur PFH (taux de défaillance).
Vous trouverez la valeur au chapitre "Caractéristiques
techniques relatives à la sécurité".
Suppositions
La réalisation de la FMEDA repose sur les suppositions
suivantes :
l
l
l
l
l
6
OPTISWITCH série 3000 • - NAMUR
32742-FR-080414
l
les taux de défaillance sont constants, l'usure des
composants mécaniques n'a pas été prise en considération
les taux de défaillance des alimentations courant externes
n'ont pas été pris en compte dans le calcul
les erreurs multiples n'ont pas été considérées
La température ambiante moyenne pendant la durée de
fonctionnement 40 °C (104 °F)
les conditions environnementales correspondent à un
environnement industriel moyen
la durée d'utilisation des composants est comprise entre 8
et 12 ans (IEC 61508-2, 7.4.7.4, Note 3)
Sécurité fonctionnelle
l
l
l
l
Remarques générales et
restrictions
la durée de réparation (remplacement du système de
mesure) après une défaillance en sécurité est de huit
heures (MTTR = 8 h)
l'unité d'exploitation peut interpréter les défaillances "fail
low" et "fail high" comme panne et délivrer une signalisation de défaut adéquate
l'intervalle de scrutation d'une unité de commande et
d'exploitation raccordée s'élève à 1 heure maximum pour
réagir à des défaillances dangereuses reconnaissables
Les interfaces de communication existantes (p. ex. HART,
bus I²C) ne seront pas utilisées pour la transmission des
informations relatives à la sécurité.
Il faudra veiller à une utilisation du système de mesure
conforme à l'application en tenant compte de la pression, de la
température, de la densité et des propriétés chimiques du
produit.
Les limites spécifiques à l'application sont à respecter. Il ne
faut pas aller au-delà des spécifications de la notice de mise
en service.
A tenir compte lors de l'utilisation en tant que protection conte
la marche à vide :
l
l
Eviter tout colmatage de produit au système vibrant (il se
peut que de plus petits intervalles de test Proof soient
nécessaires)
Version lames vibrantes : éviter une granulométrie du
produit > 15 mm (0.6 in)
1.3 Consignes de réglage
Eléments de réglage
Les conditions dans l'installation ayant une influence sur la
sécurité du système de mesure, il faudra régler les éléments
de réglage en fonction de l'application :
l
l
Commutateur DIL pour l'adaptation du point de commutation
Commutateur DIL pour inversion du mode de fonctionnement
32742-FR-080414
La fonction des éléments de réglage vous sera décrite dans la
notice de mise en service.
1.4 Mise en service
Montage et installation
Respectez les consignes de montage et d'installation de la
notice de mise en service.
OPTISWITCH série 3000 • - NAMUR
7
Sécurité fonctionnelle
Dans le cadre de la mise en oeuvre de l'appareil, nous vous
recommandons de vérifier la fonction de sécurité en procédant
à un premier remplissage.
1.5 Comportement au cours du fonctionnement et
en cas de pannes
Les éléments de réglage et/ou les paramètres des appareils
ne doivent pas être modifiés durant le fonctionnement.
En cas de changements apparaissant pendant le fonctionnement, respectez les fonctions de sécurité.
Les signalisations de défaut se manifestant durant le
fonctionnement sont décrites dans la notice technique de mise
en service de l'appareil.
En présence d'anomalies détectées ou de signalisations de
défaut, il faudra mettre tout le système de mesure hors service
et maintenir le process dans un état de sécurité par d'autres
dispositions.
Un remplacement de l'électronique est tout simple. Il est décrit
dans la notice de mise en service de l'appareil.
Si vous remplacez l'électronique ou le capteur complet en
raison d'une anomalie constatée, vous aurez à le signaler au
fabricant de l'appareil (y compris une description de l'anomalie).
1.6 Test de fonctionnement périodique
Généralité
Le test de fonctionnement périodique sert à vérifier la fonction
de sécurité et à déceler les anomalies ou défaillances
dangereuses potentielles non reconnaissables. C'est pourquoi
le bon fonctionnement du système de mesure doit être vérifié à
des intervalles périodiques appropriés.
C'est à l'exploitant de l'installation qu'il incombe de définir le
type de vérification. Les intervalles de temps sont fonction de
la valeur PFDavg utilisée au tableau et diagramme indiqués au
chapitre "Caractéristiques techniques relatives à la sécurité".
8
OPTISWITCH série 3000 • - NAMUR
32742-FR-080414
En mode de demande élevée, un test de fonctionnement
périodique n'est pas prévu dans la norme IEC 61508. On
considère ici comme preuve de bon fonctionnement l'utilisation
fréquente du système de mesure. Cependant, dans les
Sécurité fonctionnelle
architectures à deux canaux, il est judicieux de prouver l'effet
de la redondance par des tests de fonctionnement périodiques
dans des intervalles de temps appropriés.
Le test doit prouver le parfait fonctionnement de la fonction de
sécurité en corrélation avec tous les composants asservis.
Ceci est garanti en faisant monter le niveau jusqu'au seuil de
commutation dans le cadre d'un remplissage de cuve. Si un
remplissage jusqu'au seuil de commutation n'est pas praticable, le système de mesure doit alors être déclenché par une
simulation adéquate du niveau ou d'un effet de mesure
physique.
Les méthodes et procédés utilisés au cours des tests doivent
être spécifiés tout comme leur degré d'aptitude. Les contrôles
sont à documenter.
Si le test de fonctionnement décèle des défauts, mettez tout le
système de mesure hors service et maintenez le process dans
un état de sécurité avec d'autres mesures de protection.
Ceci est valable séparément pour chacun des deux canaux en
architecture à deux canaux 1oo2D.
Test de fonctionnement
au mode protection
contre la marche à vide
Si le système de mesure est utilisé comme protection
antidébodement, la preuve du bon fonctionnement est assurée
par un simple test de fonctionnement qui peut être déclenché
et surveillé manuellement ou par une commande installée en
aval.
Ce test de fonctionnement se déclenchera par une interruption
de la ligne d'alimentation d'au moins deux secondes. Il
s'ensuira un comportement de démarrage spécial de la sortie
courant qu'il vous faudra noter.
Le déroulement du test vous sera décrit en détail dans la
notice de mise en service de l'appareil.
Touche de simulation :
32742-FR-080414
L'appui sur la touche de simulation simule une coupure de
ligne entre capteur et unité d'exploitation.
Remarque:
Ce test ne pourra s'effectuer qu'avec un élément vibrant
émergé.
OPTISWITCH série 3000 • - NAMUR
9
Sécurité fonctionnelle
Test de fonctionnement
des appareils raccordés
en aval
Aux modes de fonctionnement „maxi.“ et „mini.“, vous pouvez
contrôler la capacité de fonctionnement des appareils raccordés en aval à l'aide de la "touche de simulation". Le
déroulement du test vous sera décrit en détail dans la notice
technique de mise en service.
Remarque:
Au cours de ce test, il faudra tenir compte de l'état de l'élément
vibrant :
l
l
Mode de fonctionnement "maxi." : élément vibrant "émergé"
Mode de fonctionnement "mini." : lément vibrant "immergé"
1.7 Caractéristiques techniques relatives à la
sécurité
Bases
Les taux de défaillance de l'électronique, des parties
mécaniques de l'élément de mesure ainsi que du raccord
process ont été calculés par une FMEDA selon IEC 61508. La
base de ces calculs repose sur les taux de défaillance des
composants selon SN 29500. Toutes ces valeurs numériques
se rapportent à une température ambiante moyenne de 40 °C
(104 °F) pendant la durée de fonctionnement.
L'expérience nous a montré que pour une température
moyenne plus élevée de 60 °C, les taux de défaillance doivent
être multipliés par un facteur de 2,5. En cas de variations de
température fréquentes, il faut calculer avec un facteur
similaire.
Les calculs s'appuient toujours sur les remarques indiquées au
chapitre "Conception".
Durée d'utilisation
Après 8 à 12 ans, les taux de défaillance des composants
électroniques vont augmenter, conduisant à une dégradation
des valeurs PFD et PFH qui en découlent (IEC 61508-2,
7.4.7.4, note 3).
Taux de défaillance
Protection contre la
marche à vide (fonctionnement mini.)
λsd
12 FIT
36 FIT
λsu
160 FIT
155 FIT
λdd
390 FIT
366 FIT
OPTISWITCH série 3000 • - NAMUR
32742-FR-080414
10
Protection antidébordement (fonctionnement maxi.)
Sécurité fonctionnelle
Protection antidébordement (fonctionnement maxi.)
Protection contre la
marche à vide (fonctionnement mini.)
47 FIT
52 FIT
λdu
DCS
7%
19 %
DCD
89 %
88 %
1,56 x 106 h
1,56 x 106 h
MTBF = MTTF + MTTR
Temps de réaction en
cas d'anomalie
< 100 sek.
Durée d'un test de diagnostic
Architecture monocanale (1oo1D)
Caractéristiques spécifiques
SIL
SIL2
0
HFT
Type d'appareil
SFF
PFDavg
TProof = 1 an
TProof = 5 ans
TProof = 10 ans
PFH
Protection antidébordement (fonctionnement maxi.)
Protection contre la
marche à vide (fonctionnement mini.)
92 %
91 %
< 0,021 x 10-2
< 0,104 x 10-2
< 0,207 x 10-2
< 0,023 x 10-2
< 0,114 x 10-2
< 0,228 x 10-2
< 0,047 x 10-6/h
< 0,052 x 10-6/h
Le déroulement temporel de PFDavg est presque linéaire à la
durée de fonctionnement pendant une période maximale de
10 ans. Les valeurs indiquées précédemment sont valables
uniquement pour l'intervalle TProof après lequel un test de
fonctionnement périodique doit être effectuer.
32742-FR-080414
Déroulement en fonction
du temps de PFDavg
type B
OPTISWITCH série 3000 • - NAMUR
11
Sécurité fonctionnelle
4
PFDavg
3
2
1
1
5
10
TProof
Fig. 1: Déroulement en fonction du temps de PFDavg (valeurs numériques voir
tableaux représentés ci-dessus)
1 PFDavg = 0
2 PFDavg après 1 an
3 PFDavg après 5 ans
4 PFDavg après 10 ans
Architecture à plusieurs canaux
Caractéristiques spécifiques
Si le système de mesure est utilisé dans une architecture à
plusieurs canaux, il faudra à l'aide des taux de défaillance
indiqués précédemment calculer spécialement pour l'application sélectionnée les valeurs des caractéristiques relatifs à la
sécurité de la structure sélectionnée de la chaîne de mesure.
Il faudra tenir compte d'un facteur Common Cause approprié.
32742-FR-080414
12
OPTISWITCH série 3000 • - NAMUR
32742-FR-080414
Sécurité fonctionnelle
OPTISWITCH série 3000 • - NAMUR
13
Sécurité fonctionnelle
32742-FR-080414
14
OPTISWITCH série 3000 • - NAMUR
32742-FR-080414
Sécurité fonctionnelle
OPTISWITCH série 3000 • - NAMUR
15
Sous réserve de modifications pour raisons techniques
32742-FR-080414