instrucciones de transmisor de presión de las series … · instrucciones para la seguridad...

Instrucciones de seguridad SILSM 265/7/9 SIL-ES Rev. 02

Transmisor de presión de las series 2000T y265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx

Instrucciones para la seguridad funcional

2

Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional

ÍndicePágina

1 Campo de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 Ventajas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

3 Abreviaturas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

4 Normas relevantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

5 Conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

6 Determinación del Safety Integrity Level (SIL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

7 Datos para la función de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

8 Documentación del aparato aplicable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

9 Comportamiento durante el manejo y en caso de fallo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

10 Pruebas periódicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

11 Ajustes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

12 Parámetros de seguridad técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

13 Declaración de conformidad SIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

14 Management Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11


1 Campo de aplicación

Mediciones de presión diferencial, presión relativa y presión absoluta, que deben satisfacer las exigencias de losestándares técnicos de seguridad según IEC 61508/ IEC 61511-1.

El equipo de medición cumple las exigencias • de seguridad funcional según IEC 61508/IEC 61511-1• de protección contra explosión (según la versión)• de compatibilidad electromagnética según EN 61326 y recomendación NAMUR NE 21.

2 Ventajas

Utilización en • control de la presión límite• medición continua• puesta en funcionamiento simple

3 Abreviaturas

Abreviatura Caracterización Descripción

HFT Hardware Fault Tolerance Tolerancia a fallos de hardwareCapacidad de una unidad funcional para seguir ejecutando una función solicitada con la existencia de fallos o desviaciones.

MTBF Mean Time Between Failures Duración media entre dos fallos

MTTR Mean Time To Repair Duración media entre la aparición de un fallo en un aparato o sistema y la reparación

PFD Probability of Failure on Demand Probabilidad de fallos, que pueden conllevar peligro, de una función de seguridad si se demanda

PFDav Average Probability of Failure on Demand

Probabilidad media de fallos, que pueden conllevar peligro, de una función de seguridad si se demanda

SIL Safety Integrity Level Safety Integrity LevelLa norma internacional IEC 61508 define cuatro Safety Integrity Level discretos (SIL 1 a SIL 4). Cada nivel corresponde a un área de probabilidad para la avería de una función de seguridad. Cuanto mayor es el Safety Integrity Level de los sistemas referidos a la seguridad, menor es la probabilidad de que éstos no ejecuten las funciones de seguridad solicitadas.

SFF Safe Failure Fraction Parte de fallos no peligrosos, es decir, la parte de fallos sin potencial para poner el sistema referido a la seguridad en un estado de funcionamiento peligroso o inadmisible.

TI Test Interval between life testing of the safety function

Intervalo de prueba entre las pruebas de funcionamiento de la función de protección

XooY "X out of Y" Voting (e.g. 2oo3) Clasificación y descripción de los sistemas referidos a la seguridad en cuanto a redundancia y proceso de selección aplicado."Y" indica cuántas veces se ejecuta la función de seguridad (redundancia)."X" determina cuántos canales tienen que trabajar correctamente.Ejemplo de medición de presión: arquitectura 1oo2. Un sistema referido a la seguridad decide que se ha excedido un límite de presión fijado, cuando uno de dos sensores alcanza este límite. En una arquitectura 1oo1 existe sólo un sensor de presión.

3


4 Normas relevantes

5 Conceptos

6 Determinación del Safety Integrity Level (SIL)

El Safety Integrity Level alcanzable se determina por los siguientes parámetros de seguridad técnica:

• Probabilidad media de fallos, que pueden conllevar peligro, de una función de seguridad si se demanda (PFDav)• Tolerancia a fallos de hardware (HFT) y• Parte de fallos no peligrosos (SFF).

Los parámetros de seguridad técnica específicos para el transmisor, como parte de la función de seguridad, seespecifican en el capítulo "Parámetros de seguridad técnica".

La tabla siguiente muestra la dependencia del "Safety Integrity Level" (SIL) de la probabilidad media de fallos, quepueden conllevar peligro, de una función de seguridad de todo el sistema referido a la seguridad (PFDav). Seconsidera el "Low demand mode", es decir, la tasa de demanda al sistema referido a la seguridad es como máximouna vez al año.

El sensor, la unidad lógica y el activador forman juntos un sistema referido a la seguridad que realiza una funciónde seguridad. La "probabilidad media de fallos, que pueden conllevar peligro, de todo el sistema referido a laseguridad" (PFDav) suele dividirse entre los subsistemas: sensor, unidad lógica y activador como se muestra acontinuación.

Figura 6-1: Distribución normal de la "probabilidad media de fallos, que pueden conllevar peligro, de una función de seguridad si se demanda" (PFDav) entre los subsistemas

Norma Caracterización Descripción

IEC 61508,de la parte 1 a la 7

Functional safety of electrical/electronic/programmable electronic safety-related systems (Target group: Manufacturers and Suppliers of Devices)

Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables referidos a la seguridad (grupo destinatario: fabricantes y proveedores de aparatos)

IEC 61511,parte 1

Functional safety – Safety Instrumented Systems for the process industry sector (Target group: Safety Instrumented Systems Designers, Integrators and Users)

Seguridad funcional − Sistemas de seguridad técnica para la industria de procesos (Grupo destinatario: planificadores, constructores y usuarios)

Concepto Explicación

Fallo que puede conllevar peligro Fallo con el potencial para poner el sistema referido a la seguridad en un estado peligroso o incapaz de funcionar.

Sistema referido a la seguridad Un sistema referido a la seguridad ejecuta las funciones de seguridad que son necesarias para conseguir o mantener un estado seguro, p. ej., en una instalación. Ejemplo: un aparato de medición de presión, una unidad lógica (p.ej., un controlador de límite) y una válvula forman un sistema referido a la seguridad.

Función de seguridad Función definida que será ejecutada por un sistema referido a la seguridad con el objetivo de conseguir o mantener un estado de seguridad para la instalación, considerando un incidente peligroso fijado. Ejemplo: control de la presión límite

Safety Integrity Level (SIL) (Low demand mode)

4 PFDav ≥ 10-5...< 10-4

3 ≥ 10-4...< 10-3

2 ≥ 10-3...< 10-2

1 ≥ 10-2...< 10-1

Sensor p. ej., un aparato de medición de presión

Unidad lógicap. ej., CLP

Activadorp. ej., una válvula

≤ 35 % ≤ 50 %≤ 15 %

4


IMPORTANTEEsta documentación trata el transmisor 265xx como parte de una función de seguridad.La tabla siguiente muestra el "Safety Integrity Level" (SIL) alcanzable de todo el sistema referido a la seguridad parasistemas de tipo B dependiendo de la "parte de fallos no peligrosos" (SFF) y de la "tolerancia a fallos de hardware"(HFT). Sistemas de tipo B son p. ej., sensores con componentes complejos como p. ej., microprocesadores (véasetambién IEC 61508, parte 2).

1) Según IEC 61511-1, apartado 11.4.3, la "tolerancia a fallos de hardware" (HFT) en sensores y activadores con componentes complejos puede reducirse en uno (valor entre paréntesis), si se reúnen los siguientes requisitos para el aparato:

– El funcionamiento del aparato se ha probado.

– El usuario sólo puede configurar parámetros referidos al proceso, p. ej., la gama de medición, la dirección de la señal en caso de error, etc.

– El nivel de configuración del aparato está protegido, p. ej., por una pasarela o una contraseña(aquí: código numérico o combinación de teclas).

– La función tiene un "Safety Integrity Level" (SIL) exigido menor que 4.

El transmisor reúne todos los requisitos.

Figura 6-2: Función de seguridad (p. ej. para el control de la presión límite) con 265DS como subsistema1) 265DS con manejo local, posibilidad de ajustar el comienzo y el fin de medición, así como la amortiguación2) Ordenador con una interfaz de usuario, p. ej., SmartVision, para ajustar todos los parámetros, como, p.ej., el

funcionamiento de alarma, alarma máx., el modo de operación, etc.

3) Ordenador de bolsillo para ajustar todos los parámetros como, p.ej., el funcionamiento de alarma, alarma máx., el modo de operación, etc.

El transmisor 2000T / 2600T produce una señal analógica (4...20 mA) proporcional a la presión diferencial o a lapresión relativa / presión absoluta. La señal analógica es dirigida a una unidad lógica conectada a continuacióncomo, p. ej., un CPL o un controlador de límite y allí se controla que ésta no exceda un valor máximo. La unidadlógica ha de poder reconocer tanto alarmas HI (ajustables 21...22,5 mA) como alarmas LO (3,6 mA) para controlarfallos.

Parte de fallos no peligrosos Tolerancia a fallos de hardware (HFT)

0 1 (0)1) 2 (1)1)

< 60 % no permitido SIL 1 SIL 2

60...< 90 % SIL 1 SIL 2 SIL 3

90...< 99 % SIL 2 SIL 3 –

≥ 99 % SIL 3 – –

1)

3)

2)

PC con interfaz gráfica de usuariop. ej. DSV401 (SMART VISION)

Módem FSK

Ordenador de bolsillo

Transmisor 265DS

Unidad lógicap. ej., CLP, emisores del valor límite, etc.

4...20 mA

Accionamiento

5


7 Datos para la función de seguridad

ATENCIÓNLos ajustes y datos obligatorios para las funciones de seguridad se recogen en el capítulo "Ajustes" y "Parámetrosde seguridad técnica".

Véase la ficha técnica para el tiempo de respuesta del transmisor.

IMPORTANTESe ha fijado un MTTR de 8 horas.

Los sistemas referidos a la seguridad sin una función de autobloqueo deben ponerse en un estado controlado opor otros medios seguro dentro del MTTR tras la ejecución de la función de seguridad.

8 Documentación del aparato aplicable

La siguiente documentación debe estar disponible para el transmisor, dependiendo del modelo:

Tipo Instrucciones de servicio Tipo Instrucciones de servicio265Dx/Vx IM 265 D/V 2010TD/TA 42/15-712265Gx/Ax IM 265 G/A 2020TG/TA 42/15-753267/269Cx IM 267C/269C 2010TC 42/15-714

Para las versiones de aparatos con protección contra explosión ha de estar disponible el certificado CE dehomologación de modelos de construcción correspondiente.

9 Comportamiento durante el manejo y en caso de fallo

IMPORTANTEEl comportamiento durante el manejo y en caso de fallo se describe en las instrucciones de servicio.

10 Pruebas periódicas

La operatividad del transmisor ha de comprobarse en intervalos adecuados, p. ej. mediante un control de lacalibración (véase para ello el capítulo de las instrucciones de servicio correspondiente relativo a manejo/calibración, mantenimiento y reparación). Le recomendamos realizar la comprobación como mínimo una vez al año.Es responsabilidad del propietario definir el tipo de comprobación y los intervalos en el periodo de tiempomencionado.

Envíe los transmisores/componentes defectuosos al departamento de reparaciones indicando, a ser posible, elfallo y la causa. Para solicitar piezas o equipos de repuesto, indique el número de fabricación (S/N) y el año delequipo original.

Dirección:

ABB Automation GmbH

Abteilung Parts & Repair

Schillerstraße 72

32425 Minden

ALEMANIA

6


11 Ajustes

11.1 Funcionamiento de alarma y salida de corriente

En caso de fallo, el valor de corriente se situará en el valor seleccionado por usted. Puede realizar los ajustesmediante la interfaz de usuario DSV401 (SMART VISION) de ABB o mediante el ordenador de bolsillo.

ATENCIÓNCompruebe la función de seguridad tras introducir todos los parámetros. El transmisor ofrece la posibilidad desimular una corriente de señal independientemente de la presión medida a través de los parámetros "Simulación"y "Simular corriente". Puede acceder a estos parámetros a través de la interfaz DSV401 (SMART VISION) y delordenador de bolsillo HART.

11.2 Bloquear/desbloquear

ADVERTENCIACualquier cambio en el sistema de medición y sus ajustes después de la puesta en marcha puede perjudicar lafunción de seguridad. Por ello debe bloquear el manejo del transmisor mediante las teclas del aparato después dehaber introducido todos los parámetros y haber comprobado la función de seguridad. Así protege sus ajustes contracambios no deseados y no autorizados. El bloqueo realizado mediante las teclas en el aparato, solamente puededesbloquearse mediante las mismas teclas.

Figura 11-1:

12 Parámetros de seguridad técnica

12.1 Suposiciones

– La comunicación con el protocolo HART se utilizará únicamente para configurar o calibrar el aparato o para realizar funciones de diagnóstico, pero no para operaciones de seguridad técnica críticas.

– La autodiagnosis cíclica se realiza en una hora y a continuación se reinicia automáticamente.

– El tiempo de reparación tras un fallo del aparato es de 8 horas.

– La temperatura media a largo plazo es de 40°C.

– El transmisor se utilizará sólo en aplicaciones con una tasa de demanda baja (low demand mode).

– Sólo la señal de corriente 4...20 mA se analizará por el dispositivo de protección.

– Un fallo que puede conllevar peligro es un fallo en el que la corriente de salida no reacciona más a la señal de entrada o se desvía más del 2 % en relación al alcance de medición.

– El CLP de seguridad tiene que estar diseñado de tal forma que reconozca de forma segura los errores que llevan tanto a la alarma alta como a la alarma baja.

7


12.2 Parámetros de seguridad técnica específicos

Véase el Management Summary para información detallada

Tipo de transmisor Gama de medición SFF PFDav λdd + λs λdu

2010TD 10 mbar 75 % 8,54 × 10-4 614 FIT 195 FIT

2010TC 10 mbar 76 % 9,43 × 10-4 699 FIT 216 FIT

2010TD2010TA

60 mbar hasta 20 bar400 mbar hasta 20 bar

73 % 8,65 × 10-4 535 FIT 198 FIT

2010TC 60 mbar hasta 20 bar 73 % 9,54 × 10-4 620 FIT 218 FIT

2010TD 100 bar 74 % 24,4 × 10-4 1652 FIT 558 FIT

2020TA / 2020TG 60 mbar, 400 mbar 75 % 13,1 × 10-4 917 FIT 300 FIT

2020TA2020TG

≥ 2,5 bar≥ 2,5 bar

69 % 9,71 × 10-4 518 FIT 222 FIT

λdd + λs: Tasa de fallos de fallos peligrosos descubiertos y fallos segurosλdu: Tasa de fallos de fallos peligrosos no descubiertos

Las letras entre paréntesis indican el código de pedido para la gama de medición

Tipo de transmisor Gama de medición SFF PFDav λdd + λs λdu

265Dx (A)265Jx (A)

10 mbar 75,9 % 8,54 × 10-4 614 FIT 195 FIT

267Cx (A)269Cx (A)

10 mbar 76,4 % 9,43 × 10-4 699 FIT 216 FIT

265Dx (C,F,L,N)265Jx (C,F,L,N)265Vx (F,L,N)

60 mbar hasta 20 bar60 mbar hasta 20 bar

400 mbar hasta 20 bar

73,0 % 8,65 × 10-4 535 FIT 198 FIT

267Cx (C,F,L,N)269Cx (C,F,L,N)

60 mbar hasta 20 bar 74,0 % 9,54 × 10-4 620 FIT 218 FIT

265Dx (R) 100 bar 74,8 % 24,4 × 10-4 1652 FIT 558 FIT

265Ax (C,F)265Gx (C,F)

60 mbar y 400 mbar60 mbar y 400 mbar

75,3 % 13,1 × 10-4 917 FIT 300 FIT

265Ax (L,U)265Gx (L,U,R,V)

≥ 2,5 bar≥ 2,5 bar

70,0 % 9,71 × 10-4 518 FIT 222 FIT

λdd + λs: Tasa de fallos de fallos peligrosos descubiertos y fallos segurosλdu: Tasa de fallos de fallos peligrosos no descubiertos

Las letras entre paréntesis indican el código de pedido para la gama de medición

8


13 Declaración de conformidad SIL

9


10


14 Management Summary

The document was prepared using best effort. The authors make no warranty of any kind and shall not be liable in

any event for incidental or consequential damages in connection with the application of the document.

© All rights reserved.

FMEDA and Prior-use Assessment

Project:

Pressure Transmitter 2600T / 2000T Series with 4..20 mA output

Customer:

ABB Automation Products GmbH

Minden

Germany

Contract No.: ABB 03/09-13

Report No.: ABB 03/09-13 R001

Version V1, Revision R1.2, March 2004

Stephan Aschenbrenner

11


© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004

Stephan Aschenbrenner Page 2 of 11

Management summary

This report summarizes the results of the hardware assessment with prior-use consideration

according to IEC 61508 / IEC 61511 carried out on the pressure transmitter 2600T / 2000T

Series with 4..20 mA output and software version V0.24. Table 1 gives an overview of the

different types that belong to the considered pressure transmitter 2600T / 2000T Series.

The hardware assessment consists of a Failure Modes, Effects and Diagnostics Analysis

(FMEDA). A FMEDA is one of the steps taken to achieve functional safety assessment of a

device per IEC 61508. From the FMEDA, failure rates are determined and consequently the

Safe Failure Fraction (SFF) is calculated for the device. For full assessment purposes all

requirements of IEC 61508 must be considered.

Table 1: Version overview

Type Application Sensor Electronics

265D*A

2010TD

Differential pressure 10mbar 2-6187 P1 (3)

2-6195 P1 (2)

764913_P1

V1.1

265J*A Differential and absolute pressure 10mbar 2-6187 P1 (3)

2-6195 P1 (2)

764913_P1

V1.2 267C*A

269C*A

2010TC

Mass flow / Differential pressure 10mbar 2-6187 P1 (3)

2-6195 P1 (2)

764913_P1

9280 039 P1 (3)

265D*(C,F,L,N)

2010TD

Differential pressure 60mbar to 20bar 2-6187 P1 (3)

2-6195 P1 (2)

2-6186 P1 (3)

265J*(C,F,L,N) Differential and absolute pressure 60mbar to 20bar 2-6187 P1 (3)

2-6195 P1 (2)

2-6186 P1 (3)

V2.1

265V*(F,L,N)

2010TA

Absolute pressure 400mbar to 20bar 2-6187 P1 (3)

2-6195 P1 (2)

2-6186 P1 (3)

V2.2 267C*(C,F,L,N)

269C*(C,F,L,N)

2010TC

Mass flow / Differential pressure 60mbar to 20bar 2-6187 P1 (3)

2-6195 P1 (2)

2-6186 P1 (3)

9280 039 P1 (3)

V3 265D*R

2010TD

Differential pressure 100bar 2-6187 P1 (3)

2-6195 P1 (2)

0764 908 P1 (3)

265A* (C,F)

2020TA

Absolute pressure 60mbar and 400mbar 2-6187 P1 (3)

2-6195 P1 (2)

0764 892 P1 (3)

V4

265G* (C,F)

2020TG

Gauge 60mbar and 400mbar 2-6187 P1 (3)

2-6195 P1 (2)

0764 892 P1 (3)

265A*(L,U)

2020TA

Absolute pressure 2,5bar 2-6187 P1 (3)

2-6195 P1 (2)

2-6149 P1 (3)

V5

265G*(L,U,R,V)

2020TG

Gauge 2,5bar 2-6187 P1 (3)

2-6195 P1 (2)

2-6149 P1 (3)

12




For safety applications only the 4..20 mA output was considered. All other possible output

variants or electronics are not covered by this report. The different devices can be equipped

with or without display.

The failure rates used in this analysis are the basic failure rates from the Siemens standard

SN 29500.

According to table 2 of IEC 61508-1 the average PFD for systems operating in low demand

mode has to be 10-3

to < 10-2

for SIL 2 safety functions. A generally accepted distribution of

PFDAVG values of a SIF over the sensor part, logic solver part, and final element part assumes

that 35% of the total SIF PFDAVG value is caused by the sensor part. For a SIL 2 application the

total PFDAVG value of the SIF should be smaller than 1,00E-02, hence the maximum allowable

PFDAVG value for the sensor part would then be 3,50E-03.

The pressure transmitter 2600T / 2000T Series with 4..20 mA output is considered to be a Type

B1 component with a hardware fault tolerance of 0.

Type B components with a SFF of 60% to < 90% must have a hardware fault tolerance of 1

according to table 3 of IEC 61508-2 for SIL 2 (sub-) systems.

As the pressure transmitter 2600T / 2000T Series with 4..20 mA output is supposed to be a

proven-in-use device, an assessment of the hardware with additional prior-use demonstration

for the device and its software was carried out. The prior-use investigation was based on field

return data collected and analyzed by ABB Automation Products GmbH. This data cannot cover

the process connection. The prior-use justification for the process connection still needs to be

done by the end-user.

According to the requirements of IEC 61511-1 First Edition 2003-01 section 11.4.4 and the

assessment described in section 5.1 the Type B pressure transmitter 2600T / 2000T Series with

a hardware fault tolerance of 0 and a SFF of 60% to < 90% is considered to be suitable for use

in SIL 2 safety functions The decision on the usage of prior-use devices, however, is always

with the end-user.

Failure rates that are assigned to the various failure modes of the sensor part of the pressure

transmitter 2600T / 2000T Series were obtained from field failure data using only operational

hours from the warranty period of operation. Confidence Interval calculations were done using a

chi-square distribution and an upper limit failure rate based on a 70% confidence factor per

IEC 61508. The failure rate results were compared with industry databases [N6] and found to be

within a reasonable range considering the much higher amount of operational hours.

Assuming that a connected logic solver can detect both over-range (fail high) and under-range

(fail low), high and low failures can be classified as safe detected failures or dangerous detected

failures depending on whether the pressure transmitter 2600T / 2000T Series with 4..20 mA

output is used in an application for “low level monitoring”, “high level monitoring” or “range

monitoring”. For these applications the following tables show how the above stated

requirements are fulfilled.

Type B component: “Complex” component (using micro controllers or programmable logic); for details

see 7.4.3.1.3 of IEC 61508-2.

13




Table 2: Summary for version V1.1 – Failure rates

Failure category (Failure rates in FIT) Fail-safe state =

“fail high”

Fail-safe state =

“fail low”

Fail High (detected by the logic solver)

Fail detected (int. diag.) 216

Fail high (inherently) 245

461

245

Fail Low (detected by the logic solver)


Fail low (inherently) 15 15

231

Fail Dangerous Undetected 195 195

No Effect 137 137

Annunciation Undetected 1 1

Not part 54 54

MTBF = MTTF + MTTR 132 years 132 years

Transmitter configured fail-safe state = “fail high” – Failure rates according to IEC 61508

Failure Categories sd su dd du SFF DCS

2 DCD ²

low = Sd

high = dd

15 FIT 138 FIT 462 FIT 195 FIT 75% 10% 70%

low = dd

high = sd

461 FIT 138 FIT 15 FIT 195 FIT 75% 77% 7%

low = sd

high = sd

476 FIT 138 FIT 0 FIT 195 FIT 75% 78% 0%

Transmitter configured fail-safe state = “fail low” – Failure rates according to IEC 61508

Failure Categories sd su dd du SFF DCS ² DCD ²

low = sd

high = dd

231 FIT 138 FIT 245 FIT 195 FIT 75% 63% 56%

low = dd

high = sd

245 FIT 138 FIT 231 FIT 195 FIT 75% 64% 54%

low = sd

high = sd

476 FIT 138 FIT 0 FIT 195 FIT 75% 78% 0%

Table 3: Summary for version V1.1 – PFDAVG values

T[Proof] = 1 year T[Proof] = 5 years T[Proof] = 10 years

PFDAVG = 8,54E-04 PFDAVG = 4,26E-03 PFDAVG = 8,50E-03

2 DC means the diagnostic coverage (safe or dangerous) of the safety logic solver for pressure

transmitter 2600T / 2000T Series with 4..20 mA output.

14






“fail high”

Fail-safe state =

“fail low”




516

260




272


No Effect 166 166


Not part 54 54




low = sd

high = dd

16 FIT 167 FIT 516 FIT 216 FIT 76% 9% 70%

low = dd

high = sd

516 FIT 167 FIT 16 FIT 216 FIT 76% 76% 7%

low = sd

high = sd

532 FIT 167 FIT 0 FIT 216 FIT 76% 76% 0%



low = sd

high = dd

272 FIT 167 FIT 260 FIT 216 FIT 76% 62% 55%

low = dd

high = sd

260 FIT 167 FIT 572 FIT 216 FIT 76% 61% 73%

low = sd

high = sd

532 FIT 167 FIT 0 FIT 216 FIT 76% 76% 0%




15






“fail high”

Fail-safe state =

“fail low”




391

202




204


No Effect 127 127


Not part 54 54




low = sd

high = dd

15 FIT 128 FIT 391 FIT 198 FIT 73% 10% 66%

low = dd

high = sd

391 FIT 128 FIT 15 FIT 198 FIT 73% 75% 7%

low = sd

high = sd

406 FIT 128 FIT 0 FIT 198 FIT 73% 76% 0%



low = sd

high = dd

204 FIT 128 FIT 202 FIT 198 FIT 73% 61% 51%

low = dd

high = sd

202 FIT 128 FIT 204 FIT 198 FIT 73% 61% 51%

low = sd

high = sd

406 FIT 128 FIT 0 FIT 198 FIT 73% 76% 0%




16






“fail high”

Fail-safe state =

“fail low”




446

217




245


No Effect 156 156


Not part 54 54




low = sd

high = dd

16 FIT 157 FIT 446 FIT 218 FIT 73% 9% 67%

low = dd

high = sd

446 FIT 157 FIT 16 FIT 218 FIT 73% 74% 7%

low = sd

high = sd

462 FIT 157 FIT 0 FIT 218 FIT 73% 75% 0%



low = sd

high = dd

245 FIT 157 FIT 217 FIT 218 FIT 73% 61% 50%

low = dd

high = sd

217 FIT 157 FIT 245 FIT 218 FIT 73% 58% 53%

low = sd

high = sd

462 FIT 157 FIT 0 FIT 218 FIT 73% 75% 0%




17




Table 10: Summary for version V3 – Failure rates


“fail high”

Fail-safe state =

“fail low”




1510

1300




225


No Effect 124 124


Not part 54 54




low = sd

high = dd

15 FIT 125 FIT 1510 FIT 558 FIT 74% 11% 73%

low = dd

high = sd

1510 FIT 125 FIT 15 FIT 558 FIT 74% 92% 3%

low = sd

high = sd

1525 FIT 125 FIT 0 FIT 558 FIT 74% 92% 0%



low = sd

high = dd

225 FIT 125 FIT 1300 FIT 558 FIT 74% 64% 70%

low = dd

high = sd

1300 FIT 125 FIT 225 FIT 558 FIT 74% 91% 29%

low = sd

high = sd

1525 FIT 125 FIT 0 FIT 558 FIT 74% 92% 0%

Table 11: Summary for version V3 – PFDAVG values



18






“fail high”

Fail-safe state =

“fail low”




775

557




233


No Effect 125 125


Not part 56 56




low = sd

high = dd

15 FIT 126 FIT 775 FIT 300 FIT 75% 11% 72%

low = dd

high = sd

775 FIT 126 FIT 15 FIT 300 FIT 75% 86% 5%

low = sd

high = sd

790 FIT 126 FIT 0 FIT 300 FIT 75% 86% 0%



low = sd

high = dd

233 FIT 126 FIT 557 FIT 300 FIT 75% 65% 65%

low = dd

high = sd

557 FIT 126 FIT 233 FIT 300 FIT 75% 82% 44%

low = sd

high = sd

790 FIT 126 FIT 0 FIT 300 FIT 75% 86% 0%




19






“fail high”

Fail-safe state =

“fail low”




386

197




204


No Effect 115 115


Not part 53 53




low = sd

high = dd

15 FIT 116 FIT 386 FIT 222 FIT 69% 11% 64%

low = dd

high = sd

386 FIT 116 FIT 15 FIT 222 FIT 69% 77% 6%

low = sd

high = sd

401 FIT 116 FIT 0 FIT 222 FIT 69% 78% 0%



low = sd

high = dd

204 FIT 116 FIT 197 FIT 222 FIT 69% 64% 47%

low = dd

high = sd

197 FIT 116 FIT 204 FIT 222 FIT 69% 63% 48%

low = sd

high = sd

401 FIT 116 FIT 0 FIT 222 FIT 69% 78% 0%




20




The boxes marked in yellow ( ) mean that the calculated PFDAVG values are within the

allowed range for SIL 2 according to table 2 of IEC 61508-1 but do not fulfill the requirement to

not claim more than 35% of this range, i.e. to be better than or equal to 3,50E-03. The boxes

marked in green ( ) mean that the calculated PFDAVG values are within the allowed range for

SIL 2 according to table 2 of IEC 61508-1 and table 3.1 of ANSI/ISA–84.01–1996 and do fulfill

the requirement to not claim more than 35% of this range, i.e. to be better than or equal to

3,50E-03. The boxes marked in red ( ) mean that the calculated PFDAVG values do not fulfill

the requirement for SIL 2 according to table 2 of IEC 61508-1.

The functional assessment has shown that transmitters of the pressure transmitter

2600T / 2000T Series with 4..20 mA output have a PFDAVG within the allowed range for

SIL 2 according to table 2 of IEC 61508-1 and table 3.1 of ANSI/ISA–84.01–1996 and a Safe

Failure Fraction (SFF) of more than 69%. Based on the verification of "prior use" they can

be used as a single device for SIL2 Safety Functions in terms of IEC 61511-1 First Edition

2003-01.

A user of the pressure transmitter 2600T / 2000T Series with 4..20 mA output can utilize these

failure rates along with the failure rates for an impulse line, when required, in a probabilistic

model of a safety instrumented function (SIF) to determine suitability in part for safety

instrumented system (SIS) usage in a particular safety integrity level (SIL). A full table of failure

rates for different operating conditions is presented in section 5.2 to 5.6 along with all

assumptions.

It is important to realize that the “don’t care” failures and the “annunciation” failures are included

in the “safe undetected” failure category according to IEC 61508. Note that these failures on its

own will not affect system reliability or safety, and should not be included in spurious trip

calculations.

21

SM

265

/7/9

SIL

-ES

Rev

. 02

ABB ofrece asesoramiento amplio y competente en más de 100 países en todo el mundo.

www.abb.com

ABB optimiza sus productos continuamente,por lo que nos reservamos el derecho de modificar los datos técnicos

indicados en este documento.

Printed in the Fed. Rep. of Germany (05.2007)

© ABB 2007

ABB Automation Products, S.A.División Instrumentaciónc/ Albarracín, 3528037 - MADRIDSpainTel: +34 91 581 93 93Fax: +34 91 581 93 93

ABB S.A.Av. Don Diego CisnerosEdif. ABB, Los RuicesCaracasVenezuelaTel: +58 (0)212 2031676Fax: +58 (0)212 2031827

ABB Automation Products GmbHSchillerstr. 7232425 MindenGermanyTel: +49 551 905-534Fax: +49 551 [email protected]

instrucciones de transmisor de presión de las series … · instrucciones para la seguridad...

Documents