▼
Scroll to page 2
of
12
OPTISOUND 30*0 C Transmetteur de niveau à ultrasons 4 … 20 mA/HART - deux fils 4 … 20 mA/HART - quatre fils Safety Manual Table des matières Table des matières 1 Sécurité fonctionnelle 1.1 Généralités........................................................................................................................ 3 1.2 Conception........................................................................................................................ 4 1.3 Paramétrage des appareils............................................................................................... 7 1.4 Mise en service................................................................................................................. 8 1.5 Comportement au cours du fonctionnement et en cas de pannes.................................... 8 1.6 Test de fonctionnement périodique................................................................................... 8 1.7 Caractéristiques techniques relatives à la sécurité............................................................ 9 48375-FR-160118 2 OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 1 Sécurité fonctionnelle 1 Domaine de validité Sécurité fonctionnelle 1.1 Généralités Ce manuel de sécurité est valable pour les systèmes de mesure comprenant des capteurs à ultrasons OPTISOUND 3010 C, 3020 C, 3030 C en versions 2 et 4 fils 4 … 20 mA/HART : OPTISOUND 3010 C OPTISOUND 3020 C OPTISOUND 3030 C Versions hardware et software valables : • • Domaine d'application Numéro de série de l'électronique > 14455153 Logiciel du capteur à partir de la rév. 3.26 Le système de mesure peut être utilisé pour la mesure de niveau de liquides et solides en vrac/pulvérulents, satisfaisant aux exigences particulières fonctionnelle de sécurité. De part le retour d'expérience, ils pourront être utilisés en architecture à un canal (1oo1D) jusqu'à SIL2 et en architecture multi-canaux en version diversitaire redondante jusqu'à SIL3. L'utilisation du système de mesure dans une architecture à plusieurs canaux, homogène et redondante est exclue. Conformité SIL 48375-FR-160118 Abréviations, termes Vous pouvez télécharger la déclaration de conformité SIL à partir de notre page d'accueil sur internet. SIL Safety Integrity Level HFT Hardware Fault Tolerance SFF Safe Failure Fraction PFDavg Average Probability of dangerous Failure on Demand PFH Probability of a dangerous Failure per Hour FMEDA Failure Mode, Effects and Diagnostics Analysis λsd Rate for safe detected failure λdd Rate for dangerous detected failure DCS Diagnostic Coverage of safe failures; DCS = λsd/(λsd+λsu) FIT Failure In Time (1 FIT = 1 failure/109 h) λsu Rate for safe undetected failure λdu Rate for dangerous undetected failure DCD Diagnostic Coverage of dangerous failures; DCD = λdd/(λdd+λdu) MTBF Mean Time Between Failure MTTF Mean Time To Failure MTTR Mean Time To Repair D'autres abréviations et termes sont indiqués dans la norme IEC 61508-4. OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 3 1 Sécurité fonctionnelle Normes concernées • • Exigences de sécurité IEC 61508 –– Functional safety of electrical/electronic/programmable electronic safety-related systems IEC 61511-1 –– Functional safety - safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements Valeurs limites de défaillance pour une fonction de sécurité, selon la classe SIL (IEC 61508-1, 7.6.2) Niveau d'intégrité de sécurité Mode faible demande Mode demande élevée PFDavg PFH 4 ≥ 10-5 … < 10-4 ≥ 10-9 … < 10-8 3 ≥ 10-4 … < 10-3 ≥ 10-8 … < 10-7 2 ≥ 10-3 … < 10-2 ≥ 10-7 … < 10-6 1 ≥ 10 … < 10 ≥ 10-6 … < 10-5 SIL -2 -1 Intégrité de sécurité du matériel (hardware) pour les systèmes partiels relatifs à la sécurité de type B (IEC 61508-2, 7.4.3) Retour d'expérience Proportion de défaillances en sécurité Tolérance aux anomalies matérielles (hardware) SFF HFT = 0 HFT = 1 (0) HFT = 2 < 60 % non autorisé SIL1 SIL2 60 % … < 90 % SIL1 SIL2 SIL3 90 % … < 99 % SIL2 SIL3 (SIL4) ≥ 99 % SIL3 (SIL4) (SIL4) Selon IEC 61511-1, paragraphe 11.4.4, la tolérance aux anomalies HFT pour les systèmes partiels validés en utilisation peut être réduite de un si les conditions suivantes sont satisfaites: • • • • L'appareil est validé en utilisation Seuls les paramètres importants pour le process sont modifiables (p. ex. plage de mesure, sortie courant en cas de défaut …) La modification de ces paramètres importants au process est protégée (p. ex. par un mot de passe, …) La fonction de sécurité requiert un niveau inférieur à SIL4 L'expertise des modifications est prise en compte dans L'évaluation du retour d'expérience. 1.2 Conception Le système de mesure génère sur sa sortie courant un signal correspondant au niveau compris entre 3,8 mA et 20,5 mA. Ce signal analogique est transmis à une unité d'exploitation connectée en aval pour surveiller les états suivants : 4 OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 48375-FR-160118 Fonction de sécurité 1 Sécurité fonctionnelle • • Dépassement vers le haut d'un niveau prédéterminé. Dépassement vers le bas d'un niveau prédéterminé L'atteinte du point de commutation réglé génère un signal. État de sécurité L'état de sécurité dépend du mode de fonctionnement : Surveillance du niveau Surveillance du nihaut veau bas État de sécurité Dépassement du point de commutation vers le haut Dépassement du point de commutation vers le bas Courant de sortie à l'état > point de commutation (-1 %) de sécurité positive < point de commutation (+1 %) Courant défaut " fail low " < 3,6 mA < 3,6 mA Courant défaut " fail high " > 21,5 mA > 21,5 mA La tolérance du courant ±1 % se rapporte à la plage de mesure complète de 16 mA. Description de l'erreur Il y a défaillance non dangereuse (safe failure) si le système de mesure bascule à l'état de sécurité défini ou en mode défaut sans requête du process. Si le système de diagnostic interne détecte une anomalie, le système de mesure passera alors en mode défaut. Il y a défaillance dangereuse non détectée (dangerous undetected failure), si le système de mesure ne passe ni à l'état de sécurité défini, ni en mode défaut suite à une requête du process. Configuration de l'unité d'exploitation Si le système de mesure délivre des courants de sortie de " fail low " ou de " fail high ", il faut alors considérer qu'il y a présence d'une défaillance. C'est pourquoi l'unité d'exploitation doit interpréter de tels courants comme défaut et délivrer une signalisation de défauts adéquate. Si ce n'est pas le cas, il faudra attribuer les parts correspondantes des taux de défaillance aux anomalies dangereuses. Ce qui peut conduire à une dégradation des valeurs indiquées au chapitre " Caractéristiques techniques relatives à la sécurité ". L'unité d'exploitation doit correspondre au niveau SIL de la chaîne de mesure. 48375-FR-160118 Mode faible demande Si la fréquence du mode de sollicitation ne dépasse pas une fois par an, le système de mesure pourra être utilisé comme système partiel de sécurité en mode " low demand mode " (IEC 61508-4, 3.5.12). Si le rapport entre le taux de tests de diagnostic du système de mesure et le mode de demande dépasse la valeur 100, le système de mesure pourra être traité comme effectuant une fonction de sécurité en mode faible demande (IEC 61508-2, 7.4.3.2.5). Le paramètre associé est la valeur PFDavg (average Probability of dangerous Failure on Demand). La valeur dépend de l'intervalle de OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 5 1 Sécurité fonctionnelle vérification TProof entre les tests de fonctionnement de la fonction de sécurité. Vous trouverez la valeur au chapitre " Caractéristiques techniques relatives à la sécurité ". Mode demande élevée Si le " mode faible demande " ne convient pas, il faudra utiliser le système de mesure comme système partiel de sécurité en mode " high demand mode " (IEC 61508-4, 3.5.12). Le temps de tolérance de défaillance de tout le système doit être ici supérieur à la somme des temps de réaction et/ou des durées de test de diagnostic de tous les composants de la chaîne de mesure de sécurité. Le paramètre associé est la valeur PFH (taux de défaillance). Vous trouverez la valeur au chapitre " Caractéristiques techniques relatives à la sécurité ". Postulats La réalisation de la FMEDA repose sur les postulats suivants : • • • • • • • • • Remarques générales et restrictions Les taux de défaillance sont constants, l'usure des composants mécaniques n'a pas été prise en considération Les taux de défaillance des alimentations courant externes n'ont pas été pris en compte dans le calcul Les erreurs multiples n'ont pas été considérées La température ambiante moyenne pendant la durée de fonctionnement 40 °C (104 °F) Les conditions environnementales correspondent à un environnement industriel moyen La durée d'utilisation des composants est comprise entre 8 et 12 ans (IEC 61508-2, 7.4.7.4, Note 3) La durée de réparation (remplacement du système de mesure) après une défaillance de sécurité est de huit heures (MTTR = 8 h) L'unité d'exploitation peut interpréter les défaillances " fail low " et " fail high " comme panne et délivrer une signalisation de défaut adéquate Les interfaces de communication existantes (p. ex. HART, bus I²C) ne seront pas utilisées pour la transmission des informations relatives à la sécurité. Il faudra veiller à une utilisation du système de mesure conforme à l'application en tenant compte de la pression, de la température, de la densité et des propriétés chimiques du produit. Les limites spécifiques à l'application sont à respecter. Il ne faut pas aller au-delà des spécifications de la notice de mise en service. Les situations critiques de process et de cuves suivantes peuvent entraînter des erreurs de mesure : 6 Colmatage de produit au transducteur Obstacles plats ou à angles vifs Réflexions parasites lors de l'utilisation d'agitateurs Formation de mousse au-dessus du produit Différents gaz au-dessus du produit (en particulier CO2) Ecart de température important au-dessus du produit OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 48375-FR-160118 • • • • • • 1 Sécurité fonctionnelle Il est possible que de plus courts intervalles de test proof soient nécessaires ! Outils de réglage 1.3 Paramétrage des appareils Si les conditions d'implantation ont une influence sur la sécurité du système de mesure, il faudra régler les paramètres des appareils en fonction de l'application. Ceci se fait avec les outils suivants : • • Le DTM approprié au OPTISOUND 3010 C, 3020 C, 3030 C en liaison avec le logiciel de configuration selon le standard FDT/ DTM, p.ex. PACTware Module de réglage et d'affichage Remarque: Veillez à utiliser le catalogue DTM 10/2005 ou une version plus récente. Créer une voie de mesure Si le système de mesure n'a pas été commandé spécialement pour une application dans des systèmes instrumentés de sécurité (SIS), il faudra activer le paramètre "Capteur selon SIL" dans le menu "Réglage de base" de logiciel de configuration. Dans le cas d'utilisation du module de réglage et d'affichage est utilisé, il faudra activer dans la zone de menus "Service" le paramètre "SIL". Comportement en cas de panne Le paramétrage du courant de défaut influence les caractéristiques techniques relatives à la sécurité. C'est pourquoi seuls les courants de défauts suivants sont tolérés pour les applications de sécurité : • • Atténuation du signal de sortie L'atténuation du signal de sortie doit être adaptée à la durée de sécurité du process. Modes de fonctionnement non autorisés La transmission des valeurs de mesure au moyen de signaux HART ainsi que le mode de fonctionnement HART multidrop ne sont pas autorisés. Possibilités de vérification L'efficacité des paramètres réglés doit être vérifiée d'une manière appropriée. • • 48375-FR-160118 fail low = <3,6 mA (valeur Default) fail high = 22 mA Blocage d'accès Après le raccordement de l'appareil, le signal de sortie bascule sur le courant de défaut réglé à la fin de la phase de mise en route. En mode "Simulation", le signal courant peut être simulé indépendamment du niveau actuel Pour protéger l'appareil contre des modifications involontaires ou non autorisées, les paramètres réglés doivent être sauvegardés contre un accès intempestif : • • Activer la protection par mot de passe via le logiciel de configuration Activer le code PIN via le module de réglage et d'affichage OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 7 1 Sécurité fonctionnelle L'accès à l'aide d'une console HART ou similaire n'est pas admis. La protection contre un déréglage involontaire ou non autorisé peut se faire par exemple en scellant le couvercle du boîtier. Avertissement ! Après avoir restauré les paramètres d'origine par un reset, il est nécessaire de les contrôler et/ou de les régler à nouveau. Montage et installation 1.4 Mise en service Respecter les consignes de montage et d'installation de la notice de mise en service. Dans le cadre de la mise en oeuvre de l'appareil, nous vous recommandons de vérifier la fonction de sécurité en procédant à un premier remplissage. 1.5 Comportement au cours du fonctionnement et en cas de pannes Fonctionnement et panne Les éléments de réglage et/ou les paramètres des appareils ne doivent pas être modifiés durant le fonctionnement. En cas de changements apparaissant pendant le fonctionnement, respectez les fonctions de sécurité. Les signalisations de défaut se manifestant durant le fonctionnement sont décrites dans la notice technique de mise en service de l'appareil. En présence d'anomalies détectées ou de signalisations de défaut, il faudra mettre tout le système de mesure hors service et maintenir le process dans un état de sécurité par d'autres dispositions. Le changement de l'électronique est simple. Il vous est décrit dans la notice de mise en service. Respectez pour cela les indications concernant le paramétrage et la mise en oeuvre. Si vous remplacez l'électronique ou le capteur complet en raison d'une anomalie constatée, vous aurez à le signaler au fabricant de l'appareil (y compris une description de l'anomalie). Raison 1.6 Test de fonctionnement périodique En mode de demande élevée, un test de fonctionnement périodique n'est pas prévu dans la norme IEC 61508. On considère ici comme preuve de bon fonctionnement l'utilisation fréquente du système de mesure. Cependant, dans les architectures à deux canaux, il est judicieux de prouver l'effet de la redondance par des tests de fonctionnement périodiques dans des intervalles de temps appropriés. 8 OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 48375-FR-160118 Le test de fonctionnement périodique sert à vérifier la fonction de sécurité et à déceler les anomalies ou défaillances dangereuses potentielles non détectables. C'est pourquoi le bon fonctionnement du système de mesure doit être vérifié à des intervalles périodiques adéquats. C'est à l'exploitant de l'installation qu'il incombe de définir le type de vérification. Les intervalles de temps sont fonction de la valeur PFDavg utilisée aux tableau et diagramme indiqués au chapitre " Caractéristiques techniques relatives à la sécurité ". 1 Sécurité fonctionnelle Exécution Le test doit prouver le parfait fonctionnement de la fonction de sécurité en corrélation avec tous les composants asservis. Ceci est garanti en faisant monter le niveau jusqu'au seuil de commutation dans le cadre d'un remplissage de cuve. Si un remplissage jusqu'au seuil de commutation n'est pas praticable, le système de mesure doit alors être déclenché par une simulation adéquate du niveau ou par moyen physique. Les méthodes et procédés utilisés au cours des tests doivent être spécifiés tout comme leur degré d'efficacité. Les contrôles sont à documenter. Si le test de fonctionnement décèle des défauts, mettez tout le système de mesure hors service et maintenez le process dans un état de sécurité avec d'autres mesures de protection. Dans une architecture à plusieurs canaux, ceci est valable séparément pour chaque canal. 1.7 Bases Caractéristiques techniques relatives à la sécurité Les taux de défaillance de l'électronique, des parties mécaniques de l'élément de mesure ainsi que du raccord process ont été calculés par une FMEDA selon IEC 61508. La base de ces calculs repose sur les taux de défaillance des composants selon SN 29500. Toutes ces valeurs numériques se rapportent à une température ambiante moyenne de 40 °C (104 °F) pendant la durée de fonctionnement. L'expérience nous a montré que pour une température moyenne plus élevée de 60 °C, les taux de défaillance doivent être multipliés par un facteur de 2,5. En cas de variations de température fréquentes, il faut calculer avec un facteur similaire. 48375-FR-160118 Les calculs s'appuient toujours sur les remarques indiquées au chapitre " Conception ". Durée d'utilisation Après 8 à 12 ans, les taux de défaillance des composants électroniques vont augmenter, conduisant à une dégradation des valeurs PFD et PFH qui en découlent (IEC 61508-2, 7.4.7.4, note 3). Taux de défaillance Est valable pour la protection antidébordement et la contre la marche à vide : λsd 0 FIT λdd 668 FIT DCS 0% MTBF = MTTF + MTTR 0,6 x 106 h λsu 458 FIT λdu 193 FIT DCD 77 % OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 9 1 Sécurité fonctionnelle Temps de réaction en cas de défaillance E013 (aucune valeur de mesure existante) Application liquides Application solides en vrac/pulvérulents Caractéristiques spécifiques < 6 min < 14 min E013 (erreur de matériel/hardware) < 2 min E036/E037 (le logiciel du capteur ne fonctionne pas) < 25 h Architecture monocanale (1oo1D) SIL SIL2 HFT 0 Type d'appareil type B SFF 85 % Est valable pour la protection antidébordement et la contre la marche à vide : PFDavg TProof = 1 an < 0,085 x 10-2 TProof = 5 ans < 0,423 x 10-2 PFH L'évolution de PFDavg dans le temps < 0,193 x 10-6/h L'évolution de PFDavg dans le temps est presque linéaire à la durée de fonctionnement pendant une période maximale de 10 ans. Les valeurs indiquées précédemment sont valables uniquement pour l'intervalle TProof après lequel un test de fonctionnement périodique doit être effectué. 4 PFDavg 3 2 1 1 5 10 TProof 1 2 3 4 10 PFDavg = 0 PFDavg après 1 an PFDavg après 5 ans PFDavg après 10 ans OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 48375-FR-160118 Fig. 1: Evolution PFDavg dans le temps (valeurs numériques voir tableaux représentés ci-dessus) 1 Sécurité fonctionnelle Architecture à plusieurs canaux Caractéristiques spécifiques Si le système de mesure est utilisé dans une architecture à plusieurs canaux, il faudra calculer les valeurs des caractéristiques de sécurité de la chaîne de mesure spécialement pour l'application sélectionnée, en fonction des taux indiqués précédemment. Il faudra tenir compte d'un facteur Common Cause approprié. 48375-FR-160118 Le système de mesure ne doit être utilisé que dans une architecture diversitaire et redondante! OPTISOUND 30*0 C • 4 … 20 mA/HART - deux fils 11 2016-01-18 Sous réserve de modifications • • • • • • • • • • • Débitmètres électromagnétiques Débitmètres à section variable Débitmètres à ultrasons Débitmètres massiques Débitmètres Vortex Contrôleurs de débit Transmetteurs de niveau Sondes de température Capteurs de pression Matériel d'analyse Systèmes de mesure pour l'industrie pétrolière et gazière KROHNE Messtechnick GmbH & Co. KG Ludwig-Krohne-Straße 5 D-47058 Duisburg Tel.: +49 (0) 203 301 0 Tel.: +49 (0) 203 301 10389 [email protected] Consultez notre site Internet pour la liste des contacts KROHNE: www.krohne.com 48375-FR-160118 Gamme de produits KROHNE