Funktionale Sicherheit IEC 61508 SIL 2 - Gestra AG

GESTRA
GESTRA Steam Systems
Funktionale
Sicherheit
IEC 61508 SIL 2
DE
Deutsch
Zusatzbetriebsanleitung 808908-00
für die Geräte
Niveauelektrode NRG 16-40, NRG 17-40, NRG 19-40, NRG 111-40
Niveauelektrode NRG 16-41, NRG 17-41, NRG 19-41, NRG 111-41
Niveauelektrode NRG 16-41.1, NRG 17-41.1, NRG 19-41.1, NRG 111-41.1
Niveauschalter NRS 1-40
Niveauschalter NRS 1-41
Niveauschalter NRS 1-40.1
Niveauschalter NRS 1-40.2
Temperaturtransmitter TRV 5-40 mit
Temperaturfühler TRG 5-63, TRG 5-64, TRG 5-65, TRG 5-66,
TRG 5-67 oder TRG 5-68
SPECTORbus
1

Inhalt
Wichtige Hinweise
Seite
Systembeschreibung NRG 1..-40, NRG 1..-41, NRS 1-40, NRS 1-41........................................................3
Systembeschreibung NRG 1..-40, NRG 1..-41, NRG 1..-41.1, TRV 5-40, NRS 1-40.1, NRS 1-40.2, ..........3
Funktionale Sicherheit nach EN 61508
Sicherheitstechnische Kenngrößen der Teilsysteme.................................................................................4
Sicherheitstechnische Kenngrößen der Teilsysteme NRG 1..-40, NRG 1..-41, NRS 1-40, NRS 1-41..........4
Begriffe und Abkürzungen........................................................................................................................4
Sicherheitstechnische Kenngrößen der Teilsysteme
NRG 1..-40, NRG 1..-41, NRG 1..-41.1, NRS 1-40.1, NRS 1-40.2, TRG 5-6., TRV 5-40..............................5
Bestimmung des Safety Integrity Level (SIL) für sicherheitsbezogene Systeme.........................................6
Richtlinien und Normen
EG-Druckgeräte-Richtlinie 97/23/EG........................................................................................................7
Funktionale Sicherheit EN 61508.............................................................................................................7
VdTÜV-Merkblatt Wasserstand 100..........................................................................................................7
DIN EN 14597..........................................................................................................................................7
NSP (Niederspannungsrichtlinie) und EMV (Elektromagnetische Verträglichkeit).......................................7
ATEX (Atmosphère Explosible)..................................................................................................................7
Hinweis zur Konformitätserklärung / Herstellererklärung ...................................................................7
2

Wichtige Hinweise
Systembeschreibung NRG 1..-40, NRG 1..-41, NRS 1-40, NRS 1-41
Das Steuergerät NRS 1-40 ist ausgelegt für zwei Begrenzerfunktionen zur Überwachung der MIN-
Wasserstände in Dampfkessel- und Heißwasseranlagen nach TRD und EN 12952 sowie EN 12953.
Das Steuergerät NRS 1-41 ist dagegen ausgelegt für eine Begrenzerfunktion zur Überwachung des
MAX-Wasserstandes.
Die Messwerte für die Wasserstände werden durch die Niveauelektroden NRG 1..-40 und NRG 1..-41
erfasst und als Datentelegramm im CAN-Bus zur Verfügung gestellt.
Diese Datenübertragung über den CAN-Bus erfolgt unter Anwendung des Protokolls CANopen.
Je CAN-Bus-Netz darf nur je ein Steuergerät NRS 1-40 und NRS 1-41 eingesetzt werden.
Durch den Einsatz der Steuergeräte NRS 1-40 bzw. NRS 1-41 ist es möglich, unterschiedliche
Stromkreise abzuschalten, z. B. den Sicherheitsstromkreis für die Beheizung und den Steuerstromkreis
für die Speisepumpen bzw. für die Umwälzpumpen.
Systembeschreibung NRG 1..-40, NRG 1..-41, NRG 1..-41.1, TRV 5-40, NRS 1-40.1, NRS 1-40.2,
Die Steuergeräte NRS 1-40.1 / NRS 1-40.2 sind ausgelegt für jeweils vier Begrenzerfunktionen zur
Überwachung der MIN/MAX Wasserstände und der MAX Temperatur in Dampfkessel- und Heißwasseranlagen
nach TRD und EN 12952 sowie EN 12953.
Die Messwerte für Wasserstand und Temperatur werden durch die Niveauelektroden NRG 1..-40,
NRG 1..-41, NRG 1..-41.1 und die Temperaturtransmitter TRV 5-40 erfasst und als Datentelegramm
im CAN-Bus zur Verfügung gestellt.
Diese Datenübertragung über den CAN-Bus erfolgt unter Anwendung des Protokolls CANopen.
Je CAN-Bus-Netz darf nur je ein Steuergerät NRS 1-40.1 und NRS 1-40.2 eingesetzt werden.
Durch den Einsatz der Steuergeräte NRS 1-40.1 bzw. NRS 1-40.2 ist es möglich, unterschiedliche
Stromkreise abzuschalten, z. B. den Sicherheitsstromkreis für die Beheizung und den Steuerstromkreis
für die Speisepumpen bzw. für die Umwälzpumpen.
3

Funktionale Sicherheit nach EN 61508
Sicherheitstechnische Kenngrößen der Teilsysteme
Die aufgeführten Gerätekombinationen sind zulässig und erfüllen die anwendbaren technischen
Anforderungen der IEC 61508 für Sicherheitsfunktionen bis zum Sicherheits-Integritäts-Level SIL 2.
Bei einer Reihenschaltung der Schließerkontakte der Ausgangsrelais der(s) Steuergeräte(s) und unter
Annahme eines Wiederholungs-Prüfintervalls (Proof-Test-Intervall) von 20 Jahren ergeben sich die in der
Fig. 1 und 3 aufgeführten sicherheitstechnischen Parameter.
Die Kombinationen entsprechen einem Teilsystem vom Typ B, was bedeutet, dass das Ausfallverhalten
der eingesetzten Bauteilen nur teilweise bekannt ist. Die funktionale Sicherheit der Gerätekombination
bezieht sich auf die Erfassung und Auswertung des Wasserstandes bzw. der Temperatur und auf die sich
daraus ergebende Kontaktstellung der Ausgangsrelais.
Die Kombinationen entsprechen in ihrem Aufbau der Architektur 1oo2. Diese Architektur besteht aus
zwei Kanälen mit gegenseitiger Fehlerdiagnose. Wird dabei ein Fehler erkannt, schaltet die Kombination
in den sicheren Zustand, d.h. die Kontakte der beiden Ausgangsrelais öffnen den Sicherheitsstromkreis.
Sicherheitstechnische Kenngrößen der Teilsysteme NRG 1..-40, NRG 1..-41, NRS 1-40, NRS 1-41
Sicherheitstechnische Kenngrößen SIL Architektur Lifetime
(a)
Proof-Test-
Intervall (a)
Allgemeine Werte 2 1oo2 20 20
Gerätekombinationen PFH D SFF
1x Niveauelektrode NRG 1..-40 + 1x Steuergerät NRS 1-40 (NW) 1,01x10 -7 1/h (101 fit) 97 %
2x Niveauelektrode NRG 1..-40 + 1x Steuergerät NRS 1-40 (NW) 8,12x10 -8 1/h (81 fit) 97 %
1x Niveauelektrode NRG 1..-40 + 1x Steuergerät NRS 1-40 (NW)
1x Niveauelektrode NRG 1..-41 + 1x Steuergerät NRS 1-41 (HW)
2x Niveauelektrode NRG 1..-40 + 1x Steuergerät NRS 1-40 (NW)
1x Niveauelektrode NRG 1..-41 + 1x Steuergerät NRS 1-41 (HW)
2,02x10 -7 1/h (202 fit) 96 %
1,82x10 -7 1/h (182 fit) 96 %
Fig. 1
Begriffe und Abkürzungen
Begriffe
Beschreibung
Abkürzung
Safety Integrity Level SIL Einstufung der Sicherheitsintegrität nach IEC 61508
Proof-Test-Intervall (a) Wiederholungs-Prüfintervall in Jahren
Safe Failure Fraction SFF Anteil sicherer Ausfälle in %
Probability Failure per Hour PFH D Wahrscheinlichkeit eines gefährlichen Ausfalls
Fig. 2
4

Funktionale Sicherheit nach EN 61508
Fortsetzung
Sicherheitstechnische Kenngrößen der Teilsysteme
NRG 1..-40, NRG 1..-41, NRG 1..-41.1, NRS 1-40.1, NRS 1-40.2, TRG 5-6., TRV 5-40
Sicherheitstechnische Kenngrößen SIL Architektur Lifetime
(a)
Proof-Test-
Intervall (a)
Allgemeine Werte 2 1oo2 20 20
Gerätekombinationen PFH D SFF
1x Niveauelektrode NRG 1..-40 + 1x Steuergerät NRS 1-40.1 (NW) 1,01x10 -7 1/h (101 fit) 97 %
2x Niveauelektrode NRG 1..-40 + 1x Steuergerät NRS 1-40.1 (NW) 8,12x10 -8 1/h (81 fit) 97 %
2x Niveauelektrode NRG 1..-40 + 1x Niveauelektrode NRG 1..-41.1
+ 1x Steuergerät NRS 1-40.1 (NW/HW)
2x Niveauelektrode NRG 1..-40 + 1x Niveauelektrode NRG 1..-41.1
+ 1x Temperaturtransmitter TRV 5-40 mit Temperaturfühler TRG 5-6..
+ 1x Steuergerät NRS 1-40.1 (NW/HW/STW/STB)
1x Niveauelektrode NRG 1..-40 + 2x Temperaturtransmitter TRV 5-40
mit Temperaturfühler TRG 5-6.. + 1x Steuergerät NRS 1-40.1
(NW/STW/STB)
2x Niveauelektrode NRG 1..-40 + 1x Temperaturtransmitter TRV 5-40
mit Temperaturfühler TRG 5-6.. + 1x Steuergerät NRS 1-40.1
(NW/STW/STB)
2x Niveauelektrode NRG 1..-40 + 2x Temperaturtransmitter TRV 5-40
mit Temperaturfühler TRG 5-6.. + 1x Steuergerät NRS 1-40.1
(NW/STW/STB)
1x Temperaturtransmitter TRV 5-40 mit Temperaturfühler TRG 5-6.. +
1x Steuergerät NRS 1-40.1 (STW/STB)
2x Temperaturtransmitter TRV 5-40 mit Temperaturfühler TRG 5-6.. +
1x Steuergerät NRS 1-40.1 (STW/STB)
1,49x10 -7 1/h (149 fit) 97 %
2,19x10 -7 1/h (219 fit) 97 %
1,60x10 -7 1/h (160 fit) 97 %
1,52x10 -7 1/h (152 fit) 97 %
1,39x10 -7 1/h (139 fit) 98 %
1,05x10 -7 1/h (105 fit) 96 %
9,23x10 -8 1/h (92 fit) 97 %
1x Niveauelektrode NRG 1..-41 + 1x Steuergerät NRS 1-40.2 (HW) 1,01x10 -7 1/h (101 fit) 97 %
1x Niveauelektrode NRG 1..-41 + 1x Temperaturtransmitter TRV 5-40
mit Temperaturfühler TRG 5-6.. + 1x Steuergerät NRS 1-40.2
(HW/STW/STB)
1x Niveauelektrode NRG 1..-41 + 2x Temperaturtransmitter TRV 5-40
mit Temperaturfühler TRG 5-6.. + 1x Steuergerät NRS 1-40.2
(HW/STW/STB)
1x Temperaturtransmitter TRV 5-40 mit Temperaturfühler TRG 5-6.. +
1x Steuergerät NRS 1-40.2 (HW/STW/STB)
2x Temperaturtransmitter TRV 5-40 mit Temperaturfühler TRG 5-6.. +
1x Steuergerät NRS 1-40.2 (HW/STW/STB)
1,72x10 -7 1/h (172 fit) 96 %
1,60x10 -7 1/h (160 fit) 97 %
1,05x10 -7 1/h (105 fit) 96 %
9,23x10 -8 1/h (92 fit) 97 %
Fig. 3
5

Funktionale Sicherheit nach EN 61508
Fortsetzung
Bestimmung des Safety Integrity Level (SIL) für sicherheitsbezogene Systeme
Niveauelektroden, Temperaturtransmitter, Steuergeräte und Aktoren (Hilfsschütze im Sicherheitsstromkreis)
sind Teilsysteme und bilden zusammen ein sicherheitsbezogenes System, welches eine Sicherheitsfunktion
ausführt.
Die Angabe der sicherheitstechnischen Kenngrößen Fig. 1 und 3 bezieht sich auf die Niveauelektrode
bzw. auf den Temperaturtransmitter und auf den Niveauschalter einschließlich der Ausgangskontakte.
Der Aktor (z.B. ein Hilfsschütz im Sicherheitsstromkreis) ist anlagenbezogen und muss im Sinne der
EN 61508 für das gesamte sicherheits bezogene System separat betrachtet werden.
Die Tabelle Fig. 4 zeigt die Abhängigkeit des Sicherheits-Integritätslevel (SIL) von der mittleren Ausfallwahrscheinlichkeit
bei Anforderung einer Sicherheitsfunktion des gesamten sicherheitsbezogenen
Systems (PFD sys ). Betrachtet wird bei einem Wasserstandbegrenzer die Anforderung „Low demand
mode“, d.h. die Anforderungsrate an das sicherheitsbezogene System ist durchschnittlich einmal im
Jahr.
Fig. 4
Betriebsart mit niedriger Anforderungsrate PFD sys
(Low demand mode).
Sicherheits-Integritätslevel
(SIL)
≥ 10 -5 ... < 10 -4 4
≥ 10 -4 ... < 10 -3 3
≥ 10 -3 ... < 10 -2 2
≥ 10 -2 ... < 10 -1 1
Die Tabelle Fig. 5 gibt den erreichbaren Sicherheits-Integritätslevel (SIL) an in Abhängigkeit vom Anteil
der ungefährlichen Ausfälle (SFF) und der Fehlertoleranz der Hardware (HFT) für sicherheitsbezogene
Systeme.
Fig. 5
Fehlertoleranz der Hardware (HFT) für Typ B
0 1 2
Anteil ungefährlicher Fehler
(SFF)
SIL 1 SIL 2 < 60 %
SIL 1 SIL 2 SIL 3 60 % - < 90 %
SIL 2 SIL 3 SIL 4 90 % - < 99 %
SIL 3 SIL 4 SIL 4 ≥ 99 %
6

Richtlinien und Normen
EG-Druckgeräte-Richtlinie 97/23/EG
Wasserstandbegrenzer und Sicherheitstemperaturbegrenzer / -wächter sind nach der EG-Druckgeräte-
Richtlinie Ausrüstungsteile mit Sicherheits funktion. Die aufgeführten Gerätekombinationen sind daher
EG-baumustergeprüft gemäß EN 12952/EN 12953. Diese Normen legen u. a. die Aus rüstung von Dampfkessel-
und Heißwasseranlagen und die Anforderungen an die Begrenzungseinrichtungen fest.
Funktionale Sicherheit EN 61508
Die Gerätekombinationen sind zertifiziert nach EN 61508. Diese Norm beschreibt die funktionale
Sicherheit von sicherheitsbezogenen elektrischen/elektronischen/programmierbaren Systemen.
Die Gerätekombinationen entsprechen einem Teilsystem vom Typ B mit dem Sicherheits-Integritäts-
Level SIL 2.
VdTÜV-Merkblatt Wasserstand 100
Die Gerätekombinationen sind bauteilgeprüft nach VdTÜV-Merkblatt Wasserstand 100. Das VdTÜV-
Merkblatt Wasserstand 100 beschreibt die Anforderungen an Wasserstandregel- und
-begrenzungseinrichtungen für Kessel.
DIN EN 14597
Die Gerätekombinationen sind typgeprüft nach DIN EN 14597. Die DIN EN 14597 beschreibt die Anforderungen
an Sicherheitstemperaturbegrenzer / -wächter.
NSP (Niederspannungsrichtlinie) und EMV (Elektromagnetische Verträglichkeit)
Die Gerätekombinationen entsprechen den Anforderungen der Niederspannungsrichtlinie 2006/95/EG
und der EMV-Richtlinie 2004/108/EG.
ATEX (Atmosphère Explosible)
Die Gerätekombinationen dürfen entsprechend der europäischen Richtlinie 94/9/EG nicht in explo sionsgefährdeten
Bereichen eingesetzt werden.
Hinweis zur Konformitätserklärung / Herstellererklärung
Einzelheiten zur Konformität der Gerätekombinationen nach europäischen Richtlinien entnehmen Sie
bitte unserer Konformitätserklärung oder unserer Herstellererklärung.
Die gültige Konformitätserklärung / Herstellererklärung ist im Internet unter www.gestra.de Dokumente
verfügbar oder kann bei uns angefordert werden.
7

GESTRA
Weltweite Vertretungen finden Sie unter:
www.gestra.de
Österreich
Eichler Flow Technology GmbH
Pernerstorfergasse 5
A-1101 Wien
Tel. 0043 1 / 6 01 64-0
Fax 0043 1 / 6 01 64 672
E-Mail info@eichler.at
Web www.eichler.at
Schweiz
André Ramseyer AG
Industriestr. 32
CH-3175 Flamatt
Tel. 0041 31 / 7 44 00 00
Fax 0041 31 / 7 41 25 55
E-Mail info@ramseyer.ch
Web www.ramseyer.ch
GESTRA AG
Postfach 10 54 60, D-28054 Bremen
Münchener Str. 77, D-28215 Bremen
Tel. 0049 (0) 421 / 35 03 - 0
Fax 0049 (0) 421 / 35 03 - 393
E-Mail gestra.ag@flowserve.com
Web www.gestra.de
808908-00/12-2012cl · GESTRA AG · Bremen · Printed in Germany
8