Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Sistemi operativi

Safety Manual Trasmettitore di pressione di processo IPT-1*

Safety Manual
Trasmettitore di pressione di processo IPT-1*
4 … 20 mA/HART
Trasmettitore di pressione di processo IPT-1*
Sommario
Sommario
1
Sicurezza funzionale
1.1 Informazioni generali ........................................................................................................ 3
1.2 Progettazione ................................................................................................................... 4
1.3 Parametrizzazione apparecchi ......................................................................................... 6
1.4 Messa in servizio.............................................................................................................. 7
1.5 Comportamento durante il funzionamento e in caso d'avaria ........................................... 8
1.6 Test periodico di funzionamento ....................................................................................... 8
1.7 Caratteristiche tecniche di sicurezza ................................................................................ 9
2
Appendice
2
Safety Manual - Trasmettitore di pressione di processo IPT-1*
1 Sicurezza funzionale
1
Area di validità
Sicurezza funzionale
1.1
Informazioni generali
Questo manuale di sicurezza vale per sistemi di misura costituiti dal
trasduttore di pressione IPT-1* nell'esecuzione 4 … 20 mA/HART:
IPT-10 Vers. 2.0/3.0
IPT-11 Vers. 3.0/4.0
Nota: IPT-1* vers. 3.0 fino a max. 1000 bar
Versioni hardware e software valide:
•
•
Campo d'impiego
Numero di serie dell'elettronica > 14138614
Software del sensore da Rev. 3.50
Il sistema di misura esegue la misura di pressione di processo e/o
di livello su gas, vapori e liquidi che soddisfano le esigenze della
sicurezza tecnica.
Grazie all'efficienza operativa questo è possbile in un'architettura
monocanale (1oo1D) fino a SIL2 ed in un'architettura a più canali
diversificata ridondante fino a SIL3.
E' escluso l'impiego del sistema di misura in un'architettura a più
canali, ridondante omogenea.
Conformità SIL
Abbreviazioni, significati
La dichiarazione di conformità SIL può essere scaricata dal nostro
sito Internet.
SIL
Safety Integrity Level
HFT
Hardware Fault Tolerance
SFF
Safe Failure Fraction
PFDavg
Average Probability of dangerous Failure on Demand
PFH
Probability of a dangerous Failure per Hour
FMEDA
Failure Mode, Effects and Diagnostics Analysis
λsd
Rate for safe detected failure
λdd
Rate for dangerous detected failure
DCS
Diagnostic Coverage of safe failures; DCS = λsd/(λsd+λsu)
FIT
Failure In Time (1 FIT = 1 failure/109 h)
MTBF
Mean Time Between Failure
MTTF
Mean Time To Failure
MTTR
Mean Time To Repair
λsu
Rate for safe undetected failure
λdu
Rate for dangerous undetected failure
DCD
Principali norme
Diagnostic Coverage of dangerous failures; DCD = λdd/(λdd+λdu)
Ulteriori abbreviazioni e significati sono elencati nella IEC 61508-4.
•
IEC 61508
Safety Manual - Trasmettitore di pressione di processo IPT-1*
3
1 Sicurezza funzionale
•
Esigenze di sicurezza
– Functional safety of electrical/electronic/programmable electronic safety-related systems
IEC 61511-1
– Functional safety - safety instrumented systems for the process
industry sector - Part 1: Framework, definitions, system, hardware and software requirements
Valore limite di guasto per una funzione di sicurezza, determinato
dalla classe SIL (IEC 61508-1, 7.6.2)
Livello d'integrità di si- Funzione con esigenza Funzione con esigencurezza
limitata
za elevata
SIL
PFH
PFDavg
4
≥ 10 … < 10
-4
3
≥ 10 … < 10
-3
≥ 10-8 … < 10-7
2
≥ 10 … < 10
-2
≥ 10-7 … < 10-6
1
≥ 10-2 … < 10-1
≥ 10-6 … < 10-5
-5
-4
-3
≥ 10-9 … < 10-8
Integrità di sicurezza dell'hardware per sistemi parziali relativi alla
sicurezza di tipo B (IEC 61508-2, 7.4.3)
Comprovata efficienza
operativa
Quota di guasti non pericolosi
Tolleranza agli errori dell'hardware
SFF
HFT = 0
HFT = 1
(0)
HFT = 2
< 60 %
non autorizzato
SIL1
SIL2
60 % … < 90 %
SIL1
SIL2
SIL3
90 % … < 99 %
SIL2
SIL3
(SIL4)
≥ 99 %
SIL3
(SIL4)
(SIL4)
Secondo IEC 61511-1, capitolo 11.4.4 la tolleranza ai guasti HFTdi
sistemi parziali di comprovata effcienza può essere ridotta di uno, se
si rispettano le seguenti condizioni:
•
•
•
•
L'efficienza dell'apparecchio é comprovata
Sull'apparecchio possono essere modificati solo parametri
rilevanti per il processo (ad esempio campo di misura, uscita in
corrente in caso di avaria …)
La modifica di questi parametri rilevanti per il processo è protetta
(ad es. password, …)
Funzione di sicurezza richiesta inferiore a SIL4
La valutazione del sistema di modifica costituisce un elemento di
prova dell'efficienza operativa.
Funzione di sicurezza
1.2
Progettazione
Il sistema di misura produce sulla sua uscita in corrente un segnale
corrispondente alla pressione di processo ovvero al livello tra 3,8 mA
e 20,5 mA.
Questo segnale analogico perviene ad un'unità di elaborazione collegata a valle per controllare le seguenti condizioni:
4
Safety Manual - Trasmettitore di pressione di processo IPT-1*
1 Sicurezza funzionale
•
•
•
Superamento di un valore di pressione predefinito
Essere al di sotto di un valore di pressione predefinito
Abbandonare un valore di pressione predefinito
Al raggiungimento del punto d'intervento impostato sull'unità di elaborazione viene emesso un segnale.
Condizione sicura
La condizione di sicurezza è dipendente dal modo operativo:
Sorveglianza del valore superiore di
pressione
Sorveglianza del valore inferiore di
pressione
Condizione sicura
Superamento verso l'alto Superamento verso il
del punto d'intervento
basso del punto d'intervento
Corrente d'uscita nella
condizione sicura
> Punto d'intervento (1 %)
< Punto d'intervento
(+1 %)
Corrente di disturbo
"fail low"
< 3,6 mA
< 3,6 mA
Corrente di disturbo "fail
high"
> 21,5 mA
> 21,5 mA
La tolleranza di corrente ±1 % si riferisce all'intero campo di misura
pari di 16 mA.
Descrizione dell'errore
Si verifica un guasto non pericoloso (safe failure) quando il sistema
di misura commuta sulla condizione di sicurezza definita o sul modo
avaria senza che venga richiesto dal processo.
Se il sistema interno di diagnostica riconosce un errore, il sistema di
misura salta nel modo disturbo.
Esiste un pericoloso guasto non identificato (dangerous undetected
failure), quando il sistema di misura, durante una esigenza del processo, non commuta nè sulla condizione di sicurezza definita, nè sul
modo avaria.
Configurazione dell'unità
di elaborazione
Se il sistema di misura fornisce correnti in uscita di "fail low" o "fail
high", si deve dedurre che sia presente un'avaria.
L'unità d'elaborazione deve perciò interpretare queste correnti come
disturbi e fornire un'adeguata segnalazione.
Se non è questo il caso, allora le relative quote degli indici di guasto
devono essere assegnate ai guasti pericolosi. In questo modo i valori
numerici contenuti nel capitolo "Caratteristiche tecniche di sicurezza"
possono peggiorare.
L'unità di elaborazione deve corrispondere al SIL-Level della catena
di misura.
Funzione con esigenza
limitata
Se l'esigenza non supera una volta all'anno, allora il sistema di misura
può essere impiegato come sistema parziale rilevante per la sicurezza nel modo operativo "low demand mode" (IEC 61508-4, 3.5.12).
Se il rapporto fra gli indici interni di diagnostica del sistema di misura
e il tipo d'esigenza supera il valore 100, potete usare il sistema di
Safety Manual - Trasmettitore di pressione di processo IPT-1*
5
1 Sicurezza funzionale
misura come se si trattasse di una funzione di sicurezza nel modo
operativo a esigenza limitata (IEC 61508-2, 7.4.3.2.5).
Il parametro associato é il valore PFDavg (average Probability of dangerous Failure on Demand). Il valore dipende dall'intervallo di prova
TProof fra i test di funzionamento della funzione di sicurezza.
Valore numerico vedi capitolo"Caratteristiche tecniche di sicurezza ".
Funzione con esigenza
elevata
Se la "Funzione con esigenza limitata" non si applica, allora il sistema
di misura deve essere impiegato come sistema parziale rilevante per
la sicurezza nel modo operativo "high demand mode" (IEC 61508-4,
3.5.12).
La durata di tolleranza agli errori dell'intero sistema deve essere
superiore alla durata della reazione e/o dei test di diagnostica di tutti i
componenti della catena di misura di sicurezza.
Il parametro associato é il valore PFH (indice di guasto).
Valore numerico vedi capitolo"Caratteristiche tecniche di sicurezza ".
Presupposti
Durante l'esecuzione della FMEDA (Failure Mode, Effects and Diagnostics Anlyses) sono stati stabiliti i seguenti presupposti:
•
•
•
•
•
•
•
•
•
•
Informazioni generali e
limitazioni
Gli indici di guasto sono costanti, non si tiene conto dell'usura
delle parti meccaniche
Non si tiene conto degli indici di guasto di alimentazioni in corrente
esterne
Non si tiene conto di errori multipli
La temperatura ambiente media durante il funzionamento é pari a
40 °C (104 °F)
Le condizioni ambientali corrispondono ad un ambiente industriale
medio
La durata dei componenti é di ca. 8-12 anni (IEC 61508-2, 7.4.7.4,
Nota 3)
Il tempo di riparazione (sostituzione del sistema di misura) dopo
un guasto non pericoloso ammonta a otto ore (MTTR = 8 h)
L'unità di elaborazione può interpretare avarie "fail low"e "fail high"
come disturbo ed emettere un'apposita segnalazione di disturbo.
L'intervallo di campionatura di un'unità di controllo e d'elaborazione é di massimo un'ora, per poter reagire a pericolosi errori
riconoscibili.
Interfacce di comunicazione presenti (ad es. HART, I²C-Bus) non
sono usate per l'inoltro di informazioni rilevanti per la sicurezza
Il sistema di misura deve essere essere usato in modo appropriato,
tenendo conto della pressione, temperatura, densità e delle caratteristiche chimiche del prodotto.
Rispettate i limiti specifici dell'applicazione e non superate le specifiche delle istruzioni d'uso.
Tool di servizio
6
1.3
Parametrizzazione apparecchi
Poiché le condizioni dell'impianto influiscono sulla sicurezza del
sistema di misura, i parametri dell'apparecchio devono corrispondere
alle esigenze operative.
Safety Manual - Trasmettitore di pressione di processo IPT-1*
1 Sicurezza funzionale
Sono qui ammessi come strumenti ausiliari:
•
•
Il DTM idoneo al IPT-1* DTM accoppiato ad un software di servizio conforme allo standard FDT/DTM, per es. PACTware
Tastierino di taratura con display
Avviso:
Fate attenzione ad utilizzare il DTM WIKA IPT 04/2006 o una versione
più recente.
Preparazione del punto di Nel software di servizio, alla voce di menu "Impostazione di base" si
misura
deve selezionare il parametro "Sensore secondo SIL".
Se si utilizza il tastierino di taratura con display, nella voce di menu
"Service" si deve attivare il parametro "SIL".
Comportamento in caso
di disturbo
La parametrizzazione della corrente di disturbo influisce sulle caratteristiche tecniche di sicurezza. Per applicazioni rilevanti per la sicurezza sono quindi ammesse solo le seguenti correnti di disturbo:
•
•
fail low = < 3,6 mA (valore default)
fail high = 22 mA
Attenuazione del segnale
d'uscita
L'attenuazione del segnale d'uscita deve essere adeguata alla durata
di sicurezza di processo
Modi operativi non ammessi
Non sono ammessi la trasmissione del segnale HART e il modo
operativo HART-Multidrop
Possibilità di verifica
Controlli da eseguire per verificare l'efficacia dei parametri impostati:
•
•
Accesso interdetto
Dopo il collegamento dell'apparecchio, terminata la fase d'avviamento, il segnale d'uscita salta sulla corrente di disturbo impostata
Nel modo operativo "Simulazione" la corrente del segnale può
essere simulata indipendentemente dalla pressione o dal livello
attuali.
Per proteggere i parametri impostati da modifiche involontarie o non
autorizzate, bloccate la possibilità d'accesso.
•
•
Attivare la password di protezione nel software di servizio
Attivare il PIN sul tastierino di taratura con display
Non é ammesso l'accesso col programmatore portatile HART o con
strumenti analoghi.
Per impedire una calibrazione involontaria o non autorizzata, potete
per esempio sigillare il coperchio della custodia.
Avvertimento:
Dopo il ripristino dei valori mediante un reset, é necessario controllare
o impostare nuovamente i parametri.
1.4
Messa in servizio
Montaggio e installazione Attenersi alle istruzioni di montaggio e installazione delle -Istruzioni
d'uso-.
Safety Manual - Trasmettitore di pressione di processo IPT-1*
7
1 Sicurezza funzionale
Durante la messa in servizio, controllate la funzione di sicurezza in
base ad un primo riempimento.
1.5
Funzionamento e avaria
Comportamento durante il funzionamento e
in caso d'avaria
Gli elementi di impostazione ovvero i parametri dell'apparecchio non
possono essere modificati durante il funzionamento.
In caso di cambiamenti durante il funzionamento é necessario rispettare le funzioni di sicurezza
Le segnalazioni di disturbo fornite durante il funzionamento sono
descritte nelle -Istruzioni d'uso-.
Se si riscontrano errori o segnalazioni di avaria l'intero sistema di misura deve essere messo fuori servizio ed il processo mantenuto nella
condizione di sicurezza ricorrendo ad altri provvedimenti.
L'elettronica si può sostituire facilmente seguendo le istruzioni d'uso.
Rispettate le indicazioni per la parametrizzazione e la messa in
servizio.
Se in base ad una constatazione d'errore sostituite l'intero sensore o
l'elettronica, dovete informare il costruttore, descrivendo anche il tipo
d'errore.
Motivazione ed esecuzione
1.6
Test periodico di funzionamento
Il test periodico di funzionamento consente di controllare la funzione
di sicurezza per identificare pericolose anomalie non riconoscibili.
Per tale ragione il corretto funzionamento del sistema di misura va
verificato a intervalli adeguati.
Spetta al gestore scegliere il tipo di test. Gli intervalli dipendono dal
valore PFDavg secondo la tabella e il diagramma nel paragrafo "Caratteristiche tecniche di sicurezza".
In caso di esigenza elevata non è previsto nella IEC 61508 alcun test
periodico di funzionamento. Il corretto funzionamento è qui provato
dall'utilizzo frequente del sistema di misura. Tuttavia, nelle architetture
a due canali ha senso verificare l'effetto della ridondanza effettuando
test periodici di funzionamento ad intervalli opportuni.
La prova deve dimostrare il perfetto funzionamento della funzione di
sicurezza in correlazione con tutti i componenti asserviti.
Questa garanzia si ottiene facendo salire il livello del prodotto fino alla
soglia d'intervento durante una operazione di carico. Nell'impossibilità
di riempire il serbatoio fino alla soglia d'intervento, occorre ottenere
l'intervento del sistema di misura con un'adeguata simulazione del
livello e dell'effetto fisico di misura.
I metodi e i procedimenti usati durante i test devono essere elencati,
specificando il loro grado d'idoneità. Documentare le prove.
Se il test di funzionamento ha un esito negativo, mettete fuori servizio
l'intero sistema di misura e mantenete il processo nella condizione di
sicurezza, ricorrendo ad altri sistemi di protezione.
In un'architettura a più canali, questo vale separatamente per ciascun
canale.
8
Safety Manual - Trasmettitore di pressione di processo IPT-1*
1 Sicurezza funzionale
Nozioni base
1.7
Caratteristiche tecniche di sicurezza
Gli indici di guasto dell'elettronica, delle parti meccaniche dell'elemento primario di misura, nonchè dell'attacco di processo sono stati
ottenuti mediante un'analisi FMEDA secondo IEC 61508. I calcoli si
basano sugli indici di guasto dei componenti secondo SN 29500. Tutti
i valori numerici si riferiscono ad una temperatura ambiente media,
durante il funzionamento, di 40°C (104°F).
Per una temperatura media più elevata di 60 °C (140 °F) l'esperienza
dice che gli indici di guasto dovrebbero essere moltiplicati con un
fattore di 2,5. Un fattore simile vale se ci si aspetta frequenti oscillazioni termiche.
I calcoli sono inoltre fondati sulle informazioni riportate nel capitolo
"Progettazione".
Durata d'utilizzo
Dopo 8 e fino a 12 anni gli indici di guasto dei componenti elettronici
aumentano, per cui i valori PFD e PFH che ne derivano peggiorano
(IEC 61508-2, 7.4.7.4, nota 3).
Indici di guasto
Le caratteristiche riportate nelle seguenti tabelle valgono per i modi
operativi:
•
•
•
Tempo di reazione all'errore
Caratteristiche specifiche
Protezione di troppo-pieno/Sorveglianza del valore superiore della
pressione
Protezione contro il funzionamento a secco/Sorveglianza del
valore inferiore della pressione
Sorveglianza di un campo di pressione predefinito
λsd
0 FIT
λdd
642 FIT
DCS
0%
MTBF = MTTF + MTTR
0,78 x 106 h
λsu
208 FIT
λdu
244 FIT
DCD
72 %
Errore E013 (non c'è alcun valore di misura)
< 10 s
Errore E041 (errore hardware)
< 20 s
Errore E036 (software del sensore non funzionante)
<1h
Architettura monocanale (1oo1D)
SIL
SIL2
HFT
0
Tipo di apparecchio
Tipo B
SFF
77 %
Safety Manual - Trasmettitore di pressione di processo IPT-1*
9
1 Sicurezza funzionale
PFDavg
TProof = 1 anno
< 0,107 x 10-2
TProof = 5 anni
< 0,533 x 10-2
TProof = 2 anni
< 0,214 x 10-2
PFH
Andamento dipendente
dal tempo di PFDavg
< 0,244 x 10-6/h
La sequenza cronologica di PFDavg è quasi lineare al periodo di
funzionamento in un lasso di tempo fino a 10 anni. I valori sopraccitati
valgono solo per il Tproof-interval, dopo il quale si deve effettuare un
test periodico di funzionamento.
4
PFDavg
3
2
1
1
5
10
TProof
Figura 1: Andamento dipendente dal tempo di PFDavg (valori numerici vedi le
tabelle qui sopra indicate)
1
2
3
4
PFDavg = 0
PFDavg dopo 1 anno
PFDavg dopo 5 anni
PFDavg dopo 10 anni
Architettura a più canali
Caratteristiche specifiche Se il sistema di misura è impiegato in una architettura a più canali,
bisognerà calcolare le caratteristiche tecniche di sicurezza della
struttura scelta della catena di misura in base agli indici di guasto qui
sopra indicati specifici per l'applicazione scelta.
E' necessario tenere conto di un idoneo fattore Common Cause.
Il sistema di misura può essere usato solo in un'architettura diversamente ridondante!
10
Safety Manual - Trasmettitore di pressione di processo IPT-1*
2 Appendice
2
Appendice
Safety Manual - Trasmettitore di pressione di processo IPT-1*
11
Finito di stampare:
Le informazioni contenute in questo manuale d'uso rispecchiano le conoscenze disponibili al momento della messa in
stampa.
12
32138-IT-140612
WIKA Alexander Wiegand SE & Co. KG
Alexander-Wiegand-Straße 30
63911 Klingenberg
Germany
Phone (+49) 9372/132-0
Fax (+49) 9372 132-406
E-mail: [email protected]
www.wika.de
Documenti correlati
Visione stampa - steute Schaltgeräte
Visione stampa - steute Schaltgeräte
SIL: Safety Integrity Level SIL: Safety Integrity
SIL: Safety Integrity Level SIL: Safety Integrity
ELCOMASTIC 85
ELCOMASTIC 85
C1155 Presentazione Nuova CEI 11.37 Picozzi 03
C1155 Presentazione Nuova CEI 11.37 Picozzi 03
1953-1954 - Docenti.unina
1953-1954 - Docenti.unina
Metodologia di valutazione dei SIL dei sistemi di blocco di sicurezza
Metodologia di valutazione dei SIL dei sistemi di blocco di sicurezza
COME CERTIFICARE LA SICUREZZA DI UN SOFTWARE
COME CERTIFICARE LA SICUREZZA DI UN SOFTWARE
richiesta assistenza laboratori
richiesta assistenza laboratori
sala de embarque sala de embarque
sala de embarque sala de embarque
TST01 Thyristorststack
TST01 Thyristorststack
scheda tecnica (doc - 44.5KB)
scheda tecnica (doc - 44.5KB)
Applicazione dei controllori a logica programmabile
Applicazione dei controllori a logica programmabile
Scarica