Was sagt die Norm zum Thermometer?
SIL-konforme Temperaturmessstellen – Empfehlungen für den Anwender
Besonders die Temperatur als häufigste Messgröße in verfahrenstechnischen Prozessen eignet sich dazu, gefährliche Zustände einer Anlage frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten. Wenn es keine konstruktiven oder logistischen Maßnahmen gibt, eine Gefahr abzuwehren, so muss die Temperaturmessstelle nach den Regeln der funktionalen Sicherheit für die Prozesstechnik ausgelegt werden.
Die Norm IEC 61508 beschreibt Anforderungen an SIL-Geräte, z. B.:
- Gerätefehler, möglichst vermeiden,
- unvermeidbare Fehler, wenn möglich entdecken,
- gefundene Fehler signalisieren.
Hier lohnt sich der Blick in die Norm EN/IEC 61508-4, die zeigt, dass eine SIL-Klassifizierung nur möglich ist, wenn das Gerät in der Lage ist, eine Beurteilung durchzuführen. Die Norm zeigt aber auch, dass sich der Sensor (RTD oder TC) außerhalb der definierten Systemgrenzen befindet.
Ein Temperaturfühler ohne Transmitter ist nicht in der Lage sich selber zu beurteilen. Vereinfacht gesprochen handelt es bei einem Thermometer nur um ein Stück Draht (RTD = sehr langer dünner Platindraht oder TC = zwei unterschiedlicher Drähte). Wie sollte auch ein „Stück Draht" eine Aussage über sich selbst generieren?
SIL-klassifizierte Temperaturfühler kann es also nicht geben, aber auch ein elektronischer Temperaturtransmitter ohne angeschlossenen Fühler hat keine sinnvolle Funktion. Konsequenterweise kann man die Beurteilung einer Temperaturmessstelle somit nur aus der Kombination aus Sensor und Elektronik ableiten.
Fehlermöglichkeiten an Temperaturfühlern
Bei der sicherheitstechnischen Betrachtung können 4 Fehlerarten unterschieden werden.
- (s = safe) Sichere Fehler haben keinen unmittelbaren Einfluss auf das Messergebnis.
- (d = dangerous) Unsichere Fehler verfälschen das Ergebnis oder führen zum sofortigen Ausfall.
- (d = detectable) Erkennbare Fehler können mit den Mitteln der angeschlossenen Auswerteelektronik detektiert werden.
- (u = undetectable) Nichterkennbare Fehler können gar nicht oder nur mit externen Hilfsmitteln entdeckt werden.
Durch Überlastung kann es zu einem Bruch der Zuleitung oder zum Verlust des Sensorelementes kommen. Der angeschlossene Temperaturtransmitter kann diesen Fall leicht erkennen. Daher handelt es sich beim Sensorbruch, um einen gefährlichen aber erkennbaren Fehler, für den die Abkürzung λ dd verwendet wird.
Die meist schleichenden Veränderungen des Sensorelementes werden ebenfalls durch mechanische oder thermische Überbelastung aber auch durch chemischen Angriff verursacht. Einem Temperaturtransmitter ist es nicht möglich zu unterscheiden, ob die Änderung des Sensormesswertes durch eine Änderung der Temperatur oder durch einen Fehler hervorgerufen wurde. Daher handelt es sich bei der Drift um den gefährlichen und nicht erkennbaren Fehler λdu, der für die SIL-Betrachtung von besonderer Bedeutung ist.
Spezifische Fehlermöglichkeiten an Widerstandsthermometern
Ein Kurzschluss am Sensor, an der Anschlussleitung oder am Stecker eines Widerstandsthermometers kann von einem Transmitter relativ leicht erkannt werden. Daher handelt es sich um einen gefährlichen aber erkennbaren Fehler, der zu λ dd gezählt wird.
Die häufigsten Fehler an Widerstandsthermometern treten an Klemmen, Anschlussleitungen und Steckverbindern auf. Diese können in Abhängigkeit von der Schaltungsart direkt auf das Messergebnis einwirken. Erhöht sich der Übergangswiderstand bei einer 2-Leiter-Schaltung, so erhöht sich auch der angezeigte Messwert. Damit zählt dieser Fehler zu λdu. Wenn sich bei einer 3-Leiterschaltung nur einer der Leitungs- und Übergangswiderstände ändert, kann dies den Messwert nach oben oder unten verfälschen, das zählt auch zu λdu.
Bei einer 4-Leiterschaltung werden alle Einflüsse von Anschlussleitung, Klemmen und Steckverbindern kompensiert. Damit wird aus allen Widerstandsänderungen ein ungefährlicher aber nicht zu entdeckender Fehler λ su. In einer sicherheitstechnischen Betrachtung schneidet diese Schaltungsart daher am besten ab.
Spezifische Fehlermöglichkeiten an Thermoelementen
Ein Kurzschluss in Anschlussleitung oder Stecker kann nicht vom Zustand „Anlage ist aus, innen und außen herrschen gleiche Temperaturen" unterschieden werden. Daher handelt es sich um einen besonders gefährlichen nicht entdeckbaren Fehler: λdu.
Alle Einflüsse von Anschlussleitung, Klemmen und Steckverbindern werden beim Thermoelement kompensiert. Damit wird aus allen Widerstandsänderungen ein ungefährlicher aber nicht zu entdeckender Fehler λsu.
Fehlerhäufigkeiten von Thermometern
SIL-Thermometer werden bevorzugt bei harten Bedingungen eingesetzt. Hohe Temperaturen, aggressive, giftige oder brennbare Medien und auch Vibration erschweren den Einsatz. Die Angabe der statistischen Fehlerhäufigkeit erfolgt in der Einheit FIT (FIT = Failure in Time,
λ = 10-9 h-1). Ein FIT bedeutet einen erwartbaren Fehler innerhalb von einer Milliarde Betriebsstunden aller im Feld eingesetzten Geräte einer Bauform.
In verfahrenstechnischen Anwendungen muss man zumeist von Vibrationen ausgehen, denn fast jede Anlage wird durch Pumpen, Kompressoren und Wind zu Schwingungen angeregt. In der Literatur werden diese Bedingungen als „high stress environment" bezeichnet. [3]
Literaturwerte für die erwarteten Fehlerhäufigkeiten
Durch Verwendung von Widerstandsthermometern in 4-Leiterschaltung kann die Häufigkeit von gefährlichen unerkennbaren Fehlern auf ein Minimum reduziert werden.
Real ermittelte Fehlerwahrscheinlichkeit
Ein großer Hersteller hat dazu die Produktionsmenge mehrerer Jahre analysiert. In diesem Zeitraum wurden mehrere Zehntausend Fühler mit Pt100 in 3-Leiterschaltung ausgeliefert. Nur sehr wenige Geräte wurden mit dem Fehler „Messabweichung" ans Werk retourniert. Damit konnte für diesen Herstellungsort eine λdu in realen Anwendungen ermittelt werden, die deutlich besser ist, als der erwartete Literaturwert.
λ du = 60 FIT (Kli, Pt100/3L)
Ermittlung der SIL-Klassifizierung des Thermometers mit Transmitter
Zur Ermittlung der SIL-Einstufung von Thermometer und Transmitter wird die Fehlerwahrscheinlichkeit PFD (Probability of Failure on Demand) und der Anteil der sicheren Fehler SFF (Safe Failure Fraction) berechnet. In die Formeln aus der Norm wird dabei jeweils die Summe der Fehlerwahrscheinlichkeiten von Transmitter und Fühler eingesetzt: z. B. für 3-Leiter WIKA Pt100 real stress λ du = 60 FIT + für T32.1S (ohne Sensor) [5] l du = 14 FIT = 74 FIT (T32.1S + Pt100)
Bei einem Kalibrierintervall von zwei Jahren liefert die Berechnung die in der Tabelle gezeigte SIL-Klassifizierung.
Empfehlung für den Anwender
Die Instrumentierung von Temperaturmessstellen in sicherheitskritischen Applikationen sollte bis 600 °C mit Pt100 in 4-Leiterschaltung und modernen SIL-zertifizierten Temperaturtransmittern erfolgen. Um die Sensordrift zu erkennen sollte das Thermometer in einem Schutzrohr eingebaut werden, damit es regelmäßig und fachgerecht kalibriert werden kann.
Literatur
[1] EN 61508-4:2001
[2] Dr. A. Hildebrand - Unterlagen zur SIL-Schulung TÜV-Süd Akademie, 2008
[3] EXIDA Safety Equipment Reliability Handbook 2003
[4] EXIDA-Report: WIKA T32.10: 02/3-10 R002
[5] Sicherheitshandbuch WIKA T32.1S, 2010
Kontakt
Wika Alexander Wiegand SE & Co. KG
Alexander-Wiegand-Straße 30
63911 Klingenberg
Deutschland
+49 9372 132 0