SIL3 ohne Limit
Anwender können nun aus einem einzigen Portfolio sicherheitsgerichtete Anwendungen aufbauen
Ob beim Brennermanagement oder der Steuerung von Turbomaschinen oder Kompressoren – SIL3-Applikationen sind auch bei solchen sicherheitsgerichteten Anwendungen verbreitet, bei denen ein Feldgerät im explosionsgefährdeten Bereich mit analogen Signalen angesteuert werden muss. Bislang standen dafür allerdings keine geeigneten Trennbarrieren für die Übertragung der Signale zwischen Steuerung und Feldgeräten zur Verfügung. Ein Workaround mit redundanten SIL2-Geräten ist zwar unter bestimmten Bedingungen möglich.
Allerdings vereinfacht ein SIL3-taugliches Interfacemodul den Aufbau nicht nur, indem auf ein zweites redundantes Modul verzichtet werden kann. Trennbarrieren mit SIL3-Eignung können sogar in SIL2-Anwendungen sinnvoll sein, wenn bspw. eine möglichst lange Proof-Zeit erreicht werden soll.
„Im Prinzip ja...“: SIL3-Anwendungen durch SIL2-Redundanz
Prinzipiell kann eine SIL3-Anwendung unter bestimmten Bedingungen mit zwei redundanten SIL2-Modulen realisiert werden. Dabei muss gewährleistet sein, dass systematische Fehler so weit wie möglich ausgeschlossen werden. Dies kann durch zwei unterschiedliche Ansätze erreicht werden.
Eine heterogene Redundanz, also die Nutzung von zwei unterschiedlichen Trennbarrieren vermeidet systematische Fehler, wie sie durch Schwächen in der Konstruktion oder bei der Nutzung von systematisch fehlerhaften Bauteilen einer Charge entstehen können.
Aber selbst die homogene Redundanz ist zum Aufbau von SIL3-Anwendungen möglich, sofern die verwendeten Module über eine systematische Eignung (SC für „Systematic Capability“) verfügen. Diese systematische Eignung kann durch ein FSM-Zertifikat (Functional Safety
Management) nachgewiesen werden, da das FSM-System systemische Fehler durch organisatorische Maßnahmen reduziert. Dies wird vom TÜV-Rheinland anerkannt. Die SIL2-Module von Pepperl+Fuchs verfügen in der Regel über SC3.
In den Fällen, in denen auch die Maschinenrichtlinie gilt, gilt zusätzlich die EMV-Norm EN 61326-3-1, nach der bei einigen Tests ein SIL2-Gerät 3–5 mal länger als die Testdauer geprüft werden muss, wenn es für SIL3-Anwendungen eingesetzt werden soll. Diese Forderung ist in der entsprechenden Norm für den PA-Bereich, der EMV-Norm EN 61326- 3- 2, nicht enthalten.
Zusammengefasst:
- Systematische Fähigkeit (SC): Sie soll sicherstellen, dass eine Komponente prinzipiell für ein Sicherheitssystem mit einer spezifischen SIL-Anforderung geeignet ist.
- SC3: SIL3-fähig
- EMV-Norm EN 61326-3-1: Störfestigkeitsanforderungen für sicherheitsbezogene Systeme und für Geräte, die für sicherheitsbezogene Funktionen (funktionale Sicherheit) bestimmt sind – Allgemeine industrielle Anwendungen.
- EMV-Norm EN 61326-3-2: Störfestigkeitsanforderungen an sicherheitsbezogene Systeme und Geräte, die für sicherheitsbezogene Funktionen (funktionale Sicherheit) vorgesehen sind – Industrielle Anwendungen in spezifizierten elektromagnetischen Umgebungen.
Je nach Ausgangslage ist also vor dem Hintergrund der Randbedingungen der Einsatz eines einzelnen SIL3-Modul sinnvoller.
SIL3 ist nicht gleich SIL3
Die Übertragung eines Signals aus dem explosionsgefährdeten Bereich zur Steuerung oder umgekehrt erfolgt über eine Trennbarriere. Ein solches Modul gewährleistet den Explosionsschutz und trennt steuerungs- und feldseitige Kreise galvanisch, unter anderem um Signalverfälschungen durch Ausgleichsströme zu verhindern. Für SIL3-Anwendungen gemäß IEC 61508 sind geeignete Interfacebausteine zu verwenden. Das bedeutet, dass diese Module eine gewisse Versagenswahrscheinlichkeit im Anforderungsfall (PFD, „probability of dangerous failure on demand“) nicht überschreiten dürfen. Für den in der Prozessautomation typischen Low Demand Mode, also eine geringe Anforderungsrate der Sicherheitsfunktion, spielt die PFD als Wahrscheinlichkeit, dass ein sicherheitstechnisches System seine Funktion im Bedarfsfall nicht ausführt, eine zentrale Rolle. SIL ist funktionsorientiert, das bedeutet, ein SIL-Level wird einer sicherheitstechnischen Funktion zugeordnet, die verschiedene Funktionsbaugruppen umfasst. In einem Regelkreis sind diesen Funktionsgruppen „Fehlerbudgets“ zugeordnet. Typisch sind:
- Sensorik: 40 %
- Signalweg: 10 %
- Steuerung: 15 %
- Signalweg: 10 %
- Aktorik: 25 %
Bei der Auswahl einer für eine SIL3-Anwendung geeigneten Trennbarriere lohnt sich in jedem Fall ein Blick in das Sicherheitshandbuch, inwieweit sich die PFD-Werte in das Gesamtsystem einfügen. Anwender sollten, darauf achten, dass bei Modulen, denen eine SIL3-Eignung attestiert wird, nicht womöglich vorausgesetzt wird, dass andere Komponenten des Regelkreises schlechte PFD-Werte kompensieren.
Portfolio
Grundsätzlich werden vier Arten von Signalen unterschieden, je nachdem, ob es sich um digitale (D) oder analoge (A) Signale handelt und ob sie als Eingang vom Feldgerät zur Steuerung (I) oder umgekehrt (O) übertragen werden. Die Signaltypen sind in verschiedenen Gerätetypen zu finden, bspw::
- DI: Schaltverstärker
- DO: Relaisbausteine und
- Ventilsteuerbausteine
- AI: Transmitterspeisegeräte, Repeater
- AO: Ausgangstreiber
Mit den neuen, einkanaligen Ausgangstreibern wird das Portfolio von Trennbarrieren für sicherheitsgerichtete Anwendungen nun komplettiert. Sowohl das K-System (Hutschienenmontage) als auch das H-System (Termination-Boards) verfügen über Module mit SIL-Level 2 und 3 für alle Signalarten. Der Trennbaustein für das K-System (KCD2-SCDEX1.ES) ist wahlweise mit Schraub- oder Federklemmen ausgestattet. Diese Geräte wie auch die Trennbarriere für das H-System (HIC2031.ES) verfügen über eine Baubreite von 12,5 mm, eine Leitungsfehlererkennung sowie ein separater Fehlerausgang.
Damit können Anwender aus einem einzigen Portfolio sicherheitsgerichtete Anwendungen aufbauen. Und zwar unabhängig, ob SIL3-Anwendungen mit SIL3-Trennbarrieren oder mit redundanten, SC3-fähigen Modulen aufgebaut werden sollen. Über einen Produktselektor für Safety-Produkte auf www.pepperl-fuchs.com/safety-hub können geeignete Geräte nach Funktion, Signalart, SIL-Level oder bei Bedarf Performance Level (Sicherheitsrelais zum sicheren Abschalten verfügen bspw. über SIL- und PL-Level) ausgewählt werden.
Autor: