SIL-Sicherheitshinweise - FOXBORO ECKARDT GmbH

SIL - Sicherheitshinweise 01.05 DOKT 556 966 014(de)
144LD / 244LD Intelligenter Messumformer für
Füllstand, Trennschicht und Dichte
Funktionale Sicherheit
Safety Integrity Level
SIL 2 certified
acc. to IEC 61508 / IEC 61511
Der intelligente Messumformer 144LD / 244LD misst Füllstand, Trennschicht und Dichte von
Flüssigkeiten kontinuierlich im Prozess von allen Industrieanwendungen, welche den besonderen
Anforderungen der Sicherheitstechnik nach IEC 61508 / IEC 61511-1 genügen sollen.
MERKMALE
N Funktionale Sicherheit gemäß IEC 61508 / IEC 61511-1
N Einsetzbar bis SIL 2, unabhängig beurteilt durch exida.com
N
N
Explosionsschutz (je nach Version)
Elektromagnetische Verträglichkeit nach EN 61326 und NAMUR-Empfehlung NE21

2 144LD / 244LD DOKT 556 966 014 (de)
INHALTSVERZEICHNIS
1 ANWENDUNGSBEREICH 3
1.1 Allgemein 3
1.2 Voraussetzungen 3
2 ALLGEMEIN 4
2.1 Relevante Normen 4
2.2 Begriffe 4
2.3 Abkürzungen 5
2.4 Auslegungstabellen 5
2.4.1 Mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung (PFD avg ) 5
2.4.2 Wahrscheinlichkeit eines gefahrbringenden Ausfalls (PFH) 6
2.4.3 Sicherheitsintegrität der Hardware 6
2.4.4 Sicherheitsbezogenes System 7
3 VERHALTEN IM BETRIEB UND BEI STÖRUNG 8
4 WIEDERKEHRENDE PRÜFUNGEN DES MESSUMFORMERS 8
4.1 Sicherheitsüberprüfung 8
4.2 Funktionsüberprüfung 8
4.3 Reparaturen 8
5 SICHERHEITSTECHNISCHE KENNGRÖSSEN 9
5.1 Annahmen 9
5.2 Kenngrössen 9
6 LITERATURVERZEICHNIS 10
7 KONFORMITÄTSERKLÄRUNG 11
8 MANAGEMENT SUMMARY 12

DOKT 556 966 014 (de) 144LD / 244LD 3
1 ANWENDUNGSBEREICH
1.1 Allgemein
Der Anwendungsbereich erstreckt sich auf die intelligenten Messumformer für Füllstand, Trennschicht
und Dichte vom Typ 144LD und 244LD (HART und 4-20mA ohne Kommunikation) für kontinuierliche
Messung.
Die Messung basiert auf dem archimedischen Auftriebsprinzip. Mit PC oder Handterminal lassen sich
die Geräte bequem und sicher fernabfragen und einstellen; sie können aber auch konventionell über
Drucktasten eingestellt werden. Die Messumformer sind für den Einsatz in explosionsgefährdeten
Bereichen geeignet.
Weitere Merkmale:
S kontinuierliche Selbstdiagnose
S konfigurierbarer Sicherheitswert
S Softwareplombe für Tasten und Umkonfigurierung
S einfache Inbetriebnahme
S Messung ist nahezu unabhängig von Produkteigenschaften
1.2 Voraussetzungen
Für den Einsatz unter den besonderen Anforderungen der Sicherheitstechnik nach IEC 61508 /
IEC 61511-1 sind folgende Voraussetzungen zu beachten:
c Bei der Projektierung der Anlage ist darauf zu achten, dass die in [Ref. 5] spezifizierten
technischen Daten, insbesondere bzgl. Einsatz- und Umgebungsbedingungen, der Messumformer
eingehalten werden.
c Die mittlere Einsatztemperatur über einen längeren Zeitraum ist nicht grösser als 40°C.
c Nach der Projektierung der Messumformer ist eine Funktionsprüfung durchzuführen. Der
erforderliche Prüfumfang ist im Sicherheitshandbuch der Anlage festzulegen. Folgende Prüfungen
sollten durchgeführt werden:
c Nullpunktkontrolle
c Messwertkontrolle
c Simulation verschiedener Messwerte
c Überprüfung der eingestellten Sicherheitswerte
c Auch bei Ferneinstellung der messrelevanten Parameter ist die oben genannte Funktionsprüfung
durchzuführen.
c Vor Inbetriebnahme des sicheren Prozesses ist die HART-Kommunikation und die lokale
Bedienung zu verriegeln (Schreibschutz aktivieren).
c Die regelmässige Funktionsprüfung (siehe Wiederkehrende Prüfung) ist durchzuführen
c Die intelligenten Messumformer für Füllstand, Trennschicht und Dichte 144LD / 244LD können
sowohl in Anwendungen mit niedriger als auch mit hoher Anforderungsrate eingesetzt werden.

4 144LD / 244LD DOKT 556 966 014 (de)
2 ALLGEMEIN
2.1 Relevante Normen
c DIN EN 61508 Teil 1 bis 7: Funktionale Sicherheit sicherheitsbezogener
elektrischer/elektonischer/programmierbarer elektronischer Systeme
c DIN IEC 61511 Teil 1 bis 3: Funktionale Sicherheit – Sicherheitstechnische Systeme für die
Prozessindustrie
2.2 Begriffe
Die hier aufgeführten Begriffe sind gemäß [Ref. 1], Teil 4 und [Ref. 2], Teil 1 definiert.
Name
Aktor
Ausfall
Diagnosedeckungsgrad
Fehler
Funktionale
Sicherheit
Funktionseinheit
Beschreibung
Teil eines sicherheitstechnischen Systems, das die Eingriffe in den Prozess
ausführt, um einen sicheren Zustand zu errichen.
Beendigung der Fähigkeit einer Funktionseinheit, eine geforderte Funktion
auszuführen.
Verhältnis der Ausfallrate der durch Diagnosetests erkannten Fehler zur
Gesamtausfallrate der Komponente oder Teilsystems. Der Diagnosegrad
beinhaltet keine bei Wiederholungsprüfungen festgestellten Fehler.
Anomaler Zustand, der eine Verminderung oder Verlust der Fähigkeit einer
Funktionseinheit verursachen kann, eine geforderte Funktion auszuführen.
Teil der Gesamtsicherheit, der sich auf den Prozess und das BPCS bezieht und
der von der bestimmungsgemäßen Funktion des SIS und anderer
Sicherheitsebenen abhängt.
Einheit aus Hardware oder Software oder beidem, die zur Durchführung einer
festgelegten Aufgabe geeignet ist.
Gefährlicher Ausfall Ausfall mit dem Potential, das sicherheitstechnische System in einen
gefahrbringenden oder funktionsunfähigen Zustand zu versetzen.
Sicherheit
Freiheit von unvertretbaren Risiken
Sicherheitsfunktion Funktion, die von einem SIS, einem sicherheitsbezogenen System anderer
Technologie oder von externen Einrichtungen zur Risikominderung ausgeführt
wird, mit dem Ziel, unter Berücksichtigung eines festgelegten gefährlichen
Vorfalls einen sicheren Zustand für den Prozeß zu erreichen oder aufrecht zu
erhalten.
Sicherheitsintegrität Mittlere Wahrscheinlichkeit, dass ein sicherheitstechnisches System die geforderten
sicherheitstechnischen Funktionen unter allen festgelegten Bedingungen
innerhalb eines festgelegten Zeitraumes anforderungsgemäß ausführt.
Sicherheits-
Integritätslevel (SIL)
Sicherheitstechnisches
System
(SIS)
Ungefährlicher
Ausfall
Eine von vier diskreten Stufen zur Spezifikation der Anforderungen für die Sicherheitsintegrität
der Sicherheitsfunktionen, die dem sicherheitstechnischen System
zugeordnet werden, wobei der Sicherheits-Integritätslevel 4 den höchsten Grad
der Sicherheitsintegrität, der Sicherheits-Integritätslevel 1 den niedrigsten
darstellt.
Sicherheitstechnisches System zur Ausführung einer oder mehrerer sicherheitstechnischer
Funktionen. Ein SIS besteht aus Sensor(en), Logiksystem und
Aktor(en).
Ausfall ohne das Potential, das sicherheitstechnische System in einen gefahrbringenden
oder funktionsunfähigen Zustand zu setzen.

DOKT 556 966 014 (de) 144LD / 244LD 5
2.3 Abkürzungen
Abkürzung Beschreibung (englisch) Beschreibung (deutsch)
BPCS Basic process control system Betriebs- und Überwachungseinrichtungen als
ein System
DC Diagnostic coverage Diagnose-Deckungsgrad
HFT Hardware fault tolerance Hardware-Fehlertoleranz
PFD Probability of failure on demand Wahrscheinlichkeit eines Ausfalls bei
Anforderung
PFD avg
Average probability of failure on demand Mittlere Wahrscheinlichkeit eines Ausfalls bei
Anforderung
SFF Safe failure fraction Anteil ungefährlicher Ausfälle
SIL Safety integrity level Sicherheits-Integritätslevel
SIS Safety instrumented system Sicherheitstechnisches System
2.4 Auslegungstabellen
Die nachfolgenden Tabellen dienen zur Bestimmung des Sicherheits-Integritätslevels (SIL).
2.4.1 Mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung (PFD avg )
Diese Tabelle gibt den erreichbaren Sicherheits-Integritätslevel (SIL) in Abhängigkeit von der mittleren
Wahrscheinlichkeit eines Ausfalls bei Anforderung wieder. Die angegebenen Ausfallgrenzwerte sind
hierbei gültig für eine Sicherheitsfunktion, die in der Betriebsart mit niedriger Anforderungsrate
betrieben wird (siehe [Ref. 1] Teil 1, Kapitel 7.6.2.9).
Sicherheits-
Integritätslevel (SIL)
PFD avg mit niedriger Anforderungsrate
4 J 10 -5 bis < 10 -4
3 J 10 -4 bis < 10 -3
2 J 10 -3 bis < 10 -2
1 J 10 -2 bis < 10 -1

6 144LD / 244LD DOKT 556 966 014 (de)
2.4.2 Wahrscheinlichkeit eines gefahrbringenden Ausfalls pro Stunde (PFH)
Ist die Anforderungsrate mehr als ein mal pro Jahr oder grösser als die doppelte Frequenz der
Wiederholungsprüfung, so ist das Messsystem in der Betriebsart mit hoher Anforderungsrate
einzusetzen (siehe [Rev 1] Teil1, Kapitel 3.5.12).
Sicherheits-
Integritätslevel (SIL)
PFH mit hoher Anforderungsrate
Wahrscheinlichkeit eines gefahrbringenden
Ausfalls pro Stunde
4 J 10 -9 bis < 10 -8
3 J 10 -8 bis < 10 -7
2 J 10 -7 bis < 10 -6
1 J 10 -6 bis < 10 -5
2.4.3 Sicherheitsintegrität der Hardware
Diese Tabelle gibt den erreichbaren Sicherheits-Integritätslevel (SIL) in Abhängigkeit vom Anteil der
ungefährlichen Ausfälle (SFF) und der Fehlertoleranz der Hardware (HFT) für sicherheitsbezogene
Typ B-Teilsysteme (siehe [Ref. 1] Teil 2, Kapitel 7.4.3.1.4).
Anteil ungefährlicher
Ausfälle (SFF)
Fehlertoleranz der Hardware (HFT)
0 1 (0) 1 2
< 60% Nicht erlaubt SIL 1 SIL 2
60% - < 90% SIL 1 SIL 2 SIL 3
90% - < 99% SIL 2 SIL 3 SIL 4
J 99% SIL 3 SIL 4 SIL 4

DOKT 556 966 014 (de) 144LD / 244LD 7
1) Nach [Ref. 2] Teil 1, Kapitel 11.4.4 dürfen bei Teilsystemen wie z.B. Sensoren und Aktoren die
Fehlertoleranz der Hardware (HFT) um eins reduziert werden (Werte in Klammern), wenn das
verwendete Gerät alle folgenden Bedingungen erfüllt:
Das Gerät ist betriebsbewährt
Am Gerät können nur prozessrelevante Parameter geändert werden
Die Veränderung der prozessrelevanten Parameter ist geschützt (z.B. Passwort, Jumper,
usw.)
Die Funktion hat einen geforderten Sicherheits-Integritätslevel von weniger als 4.
Diese genannten Bedingungen treffen auf die intelligenten Messumformer für Füllstand, Trennschicht
und Dichte 144LD / 244LD zu.
2.4.4 Sicherheitsbezogenes System
Ein sicherheitsbezogenes System besteht üblicherweise aus den drei Teilsystemen Eingangs-
Teilsystem (Sensor), Logik-Teilsystem (SPS oder Leitsystem) und Ausgangs-Teilsystem (Stellgerät).
Die mittlere Wahrscheinlichkeit eines Ausfalls bei Anforderung wird dabei üblicherweise wie folgt
aufgeteilt:
Eingangs-Teilsystem
(Sensor)
Logik-Teilsystem
(z.B. DCS)
Ausgangs-
Teilsystem (Aktor)
@ 35% @ 15% @ 50%

8 144LD / 244LD DOKT 556 966 014 (de)
3 VERHALTEN IM BETRIEB UND BEI STÖRUNG
Das Verhalten im Betrieb und bei Störungen ist in den Inbetriebnahme- und Wartungsanleitungen
MI EML0610 A-(de) und MI EML0710 A-(de) [Ref. 4] beschrieben.
4 WIEDERKEHRENDE PRÜFUNGEN DES MESSUMFORMERS FÜR
FÜLLSTAND, TRENNSCHICHT UND DICHTE
4.1 Sicherheitsüberprüfung
Gemäß IEC 61508/61511 ist die Sicherheitsfunktion des gesamten Sicherheitskreises regelmäßig zu
überprüfen. Die hierfür notwendigen Testintervalle werden bei der Berechnung des jeweiligen
Sicherheitskreises bestimmt.
4.2 Funktionsüberprüfung
Die ordnungsgemäße Funktionsfähigkeit des Messumformers für Füllstand, Trennschicht und Dichte
ist regelmäßig alle 5 Jahre zu überprüfen. Die Überprüfung kann nur durch der Hersteller oder eine
authorisierte Werkstatt durchgeführt werden. Hierbei sind folgende Arbeiten auszuführen:
c Aufnehmerteil zerlegen (MI EML0610 A-de, Kapitel 10.6 ff, MI EML0710 A-de, Kapitel 10.7 ff).
c Prüfen des Torsionsrohres auf Korrosion und Dichtheit (ev. austauschen)
c Prüfen des Sandwich-Gehäuselagers (195-197) auf Verschmutzung Kap. 10.12 ff (ev. reinigen
oder austauschen)
c Prüfen des Kugellagers in Trägerplatte (163) auf Leichtgängigkeit
c Dichtringe im Aufnehmerteil ersetzen (Cu-haltiges Fett verwenden)
c Dichtringe im Verstärkerteil prüfen und bei Bedarf ersetzen (einfetten)
c Beim Zusammenbau die in der MI angegebenen Schrauben-Anzugsdrehmomente beachten
c Einstellen des Messumformers nach MI EML0610 A-de / MI EML0710 A-de, Kapitel 8
c Einstellen des Sicherheitsbereiches
c Überprüfung aller Einstellungen durch Anfahren des Nullpunktes, des Endwertes, eines
Mittelwertes (z.B. 50%-Wert) und der Sicherheitseinstellungen
c Verriegelung der Einstellungen (Hardware-Schreibschutz, MI EML0610 A-de / MI EML0710 A-de,
Kap. 8.2)
Der Messumformer für Füllstand, Trennschicht und Dichte vom Typ 144LD und 244LD unterliegt der
Druckgeräterichtlinie (DGRL 97/23/EG). Es sind daher auch die in der sicherheitstechnischen
Betriebsanleitung Ex EML0010 A-(de) genannten Fristen für die wiederkehrende Prüfung (nach
BertrSichV vom 27.09.2002) zu beachten.[Rev.6]
4.3 Reparaturen
Defekte Geräte sollten unter Angabe der genauen Störung bzw. Ursache an die Reparaturabteilung
der Fa. Foxboro Eckardt GmbH gesandt werden.

DOKT 556 966 014 (de) 144LD / 244LD 9
5 SICHERHEITSTECHNISCHE KENNGRÖSSEN
Über diese Zusammenfassung hinausgehende Informationen, sind in Kapitel 8 beinhaltet.
5.1 Annahmen
Die angegebenen Kenngrößen gelten unter folgenden Annahmen:
c Die Voraussetzungen aus Kapitel 1.2 sind erfüllt.
c Die Reparaturzeit (MTTR) nach einem Gerätefehler beträgt 8 Stunden.
c Prüfinterval: @ 5 Jahre.
c Diagnosezeit: < 5 min
c
c
5.2 Kenngrößen
Gerätetyp c HFT c SFF c PFD av c du c dd c su c sd
g
c B c 0 c 82% 3,3E-03 150 FIT 421 FIT 217 FIT 60 FIT
c

10 144LD / 244LD DOKT 556 966 014 (de)
6 LITERATURVERZEICHNIS
[Ref. 1] DIN EN 61508 Teil 1-7
Beuth-Verlag, Berlin
[Ref. 2] DIN IEC 61511 Teil 1-3
Beuth-Verlag, Berlin
[Ref. 3] Functional safety and IEC 61508 – A basic guide, November 2002
IEC
[Ref. 4]
[Ref. 5]
[Ref. 6]
144LD / 244LD Intelligenter Messumformer für Füllstand, Trennschicht und Dichte
Inbetriebnahme- und Wartungsanleitung
Foxboro Eckardt GmbH, MI EML0610 A-(de) / MI EML0710 A-(de)
Typenblatt PSS EML0610 A-(de), PSS EML0710 A-(de)
Sicherheitstechnische Betriebsanleitung 140er Serie Ex EML0010 A-(de)

12 144LD / 244LD DOKT 556 966 014 (de)
8 MANAGEMENT SUMMARY

DOKT 556 966 014 (de) 144LD / 244LD 13

14 144LD / 244LD DOKT 556 966 014 (de)

DOKT 556 966 014 (de) 144LD / 244LD 15
Änderungen vorbehalten - Nachdruck, Vervielfältigung und Übersetzung nicht gestattet. Die Nennung von
Waren oder Schriften erfolgt in der Regel ohne Erwähnung bestehender Patente, Gebrauchsmuster oder
Warenzeichen.Das Fehlen eines solchen Hinweises begründet nicht die Annahme, eine Ware oder ein
Zeichen seien frei.
FOXBORO ECKARDT GmbH
Postfach 50 03 47
D-70333 Stuttgart
Tel. # 49(0)711 502-0
Fax # 49(0)711 502-597
http://www.foxboro-eckardt.de DOKT 556 966 014