Funktionale Sicherheit Erste Trennbarriere für analoge SIL3-Aktoren im Ex-Bereich

Autor / Redakteur: Andreas Grimsehl* / Dr. Jörg Kempf

Stellungsregler, elektrische Ventile und Hart-I/P-Konverter in eigensicheren SIL3-Anwendungen können jetzt über eine einzige Trennbarriere angesteuert werden. Die ersten Interface-Module für die Übermittlung analoger Signale in solchen Applikationen überhaupt vermeiden den aufwändigen Workaround mit redundanten SIL2-Geräten.

Firmen zum Thema

In der Prozessautomation gibt es zahlreiche Anwendungen, bei denen analoge Feldgeräte im explosionsgefährdeten Bereich angesteuert werden müssen.
In der Prozessautomation gibt es zahlreiche Anwendungen, bei denen analoge Feldgeräte im explosionsgefährdeten Bereich angesteuert werden müssen.
(Bild: ©Jürgen Feldhaus - stock.adobe.com)

In der Prozessautomation gibt es zahlreiche Anwendungen, bei denen analoge Feldgeräte im explosionsgefährdeten Bereich angesteuert werden müssen. Viele Signalkreise unterliegen dabei den Anforderungen nach SIL3, beispielsweise die Steuerung von Turbogeneratoren und Kompressoren sowie der Betrieb von Brennern.

Obwohl es auf dem Markt mittlerweile eine ganze Reihe von Stellungsreglern mit SIL3-Eignung gibt, standen bislang keine geeigneten Trennbarrieren für die Übertragung der Signale zwischen Steuerung und den Feldgeräten zur Verfügung. Daher wurden solche Signalkreise bislang aufgebaut, indem zwei SIL2-Geräte redundant eingesetzt wurden. Dies ist möglich, wenn entsprechende normative Voraussetzungen eingehalten werden. Allerdings bedeutet eine redundante Struktur immer einen erhöhten Aufwand im Vergleich zu einem geeigneten Einzelmodul. Nicht zuletzt können Trennbarrieren mit SIL3-Eignung sogar in SIL2-Anwendungen sinnvoll sein, wenn beispielsweise eine möglichst lange Proof-Zeit erreicht werden soll.

Bildergalerie

Plan B: SIL3-Anwendungen durch SIL2-Redundanz

Steht keine SIL3-fähige Trennbarriere zur Verfügung, kann eine entsprechende Anwendung auch mit zwei redundanten SIL2-Modulen realisiert werden, sofern gewährleistet ist, dass systematische Fehler so weit wie möglich ausgeschlossen bleiben. Dies kann durch zwei unterschiedliche Ansätze erreicht werden:

  • Die Nutzung von zwei Trennbarrieren unterschiedlicher Bauart als eine heterogene Redundanz vermeidet systematische Fehler. Diese können durch Schwächen im Design des Gerätes bei der Nutzung von systematisch fehlerhaften Bauteilen einer Charge entstehen.
  • Auch der Einsatz baugleicher Typen, also eine homogene Redundanz, ist zum Aufbau von SIL3-Anwendungen möglich. Dafür müssen die verwendeten Module über eine systematische Eignung (SCx für „Systematic Capability“) verfügen. SIL2-Module mit SC3 können für den Aufbau eines SIL3-Signalkreises genutzt werden. Die systematische Eignung kann durch ein FSM-Zertifikat (Functional Safety Management) nachgewiesen werden, da das FSM-System systematische Fehler durch organisatorische Maßnahmen reduziert. Dies wird vom TÜV-Rheinland anerkannt. Die SIL2-Module von Pepperl+Fuchs verfügen in der Regel über SC3.

In Fällen, in denen auch die Maschinenrichtlinie relevant ist, kommt zusätzlich die EMV-Norm EN 61326-3-1 zur Anwendung (Störfestigkeitsanforderungen für sicherheitsbezogene Systeme und für Geräte, die für sicherheitsbezogene Funktionen (funktionale Sicherheit) bestimmt sind – Allgemeine industrielle Anwendungen). Diese Norm gibt vor, dass bei einigen Gerätetests ein SIL2-Gerät drei- bis fünfmal länger als die Testdauer geprüft werden muss, wenn es für SIL3-Anwendungen eingesetzt werden soll. In der entsprechenden Norm für den PA-Bereich ist diese Forderung nicht enthalten (EMV-Norm EN 61326-3-2: Störfestigkeitsanforderungen an sicherheitsbezogene Systeme und Geräte, die für sicherheitsbezogene Funktionen (funktionale Sicherheit) vorgesehen sind – Industrielle Anwendungen in spezifizierten elektromagnetischen Umgebungen).

Trotz einiger Möglichkeiten, SIL3-Feldgeräte auch mit SIL2-Interface-Bausteinen anzusteuern, gehört eine Trennbarriere mit SIL3-Eignung unabdingbar ins Portfolio:

  • Der Aufwand bei der Nutzung eines einzelnen Moduls ist im Vergleich zu einer redundanten Struktur geringer.
  • Die normativen Randbedingungen für eine SIL2-Struktur sind je nach Aufgabenstellung möglicherweise gar nicht einhaltbar.
  • Sogar für SIL2-Anwendungen kann eine SIL3-Trennbarriere sinnvoll sein, wenn eine möglichst lange Proof-Zeit erreicht werden soll.

SIL3-Interface-Bausteine müssen sich mit ihren charakteristischen Werten in das Gesamtsystem „Signalkreis“ einfügen. Für SIL3-Anwendungen gemäß IEC 61508 bedeutet das, dass diese Module eine gewisse Versagenswahrscheinlichkeit im Anforderungsfall (PFD, „probability of dangerous failure on demand“) nicht überschreiten dürfen. Für den in der Prozessautomation typischen Low Demand Mode, also eine geringe Anforderungsrate der Sicherheitsfunktion, spielt die PFD als Wahrscheinlichkeit, dass ein sicherheitstechnisches System seine Funktion im Bedarfsfall nicht ausführt, eine zentrale Rolle.

Event-Tipp der Redaktion

Funktionale Sicherheit ist in der Prozessindustrie von entscheidender Bedeutung. PROCESS widmet diesem Thema daher am 22. Juni in Form des SIL-Forums eine eigene Plattform. Im Fokus stehen Lösungsansätze und Experten-Tipps für den beruflichen Alltag sowie der Erfahrungsaustausch, begleitet von einer Fachausstellung sowie Exklusiv-Workshops zu ausgewählten Themen..

SIL ist funktionsorientiert, das bedeutet, ein SIL-Level wird einer sicherheitstechnischen Funktion zugeordnet, die verschiedene Funktionsbaugruppen umfasst. In einem Signalkreis sind diesen Funktionsgruppen „Fehlerbudgets“ zugeordnet. Typisch sind für die Sensorik 40 %, für die Aktorik 25 % und für die Steuerung 15 %. Auf die Signalwege zwischen Feldgerät und Steuerung bzw. umgekehrt sollen jeweils 10 % entfallen.

Bei der Auswahl einer für eine SIL3-Anwendung geeigneten Trennbarriere lohnt sich in jedem Fall ein Blick in das Sicherheitshandbuch, inwieweit sich deren PFD-Werte in das Gesamtsystem einfügen. Anwender sollten darauf achten, dass bei Modulen, denen eine SIL3-Eignung attestiert wird, die typischen Werte möglichst nicht überschritten werden. Ansonsten müssen andere Geräte im Loop dies durch bessere Werte ausgleichen.

Lückenschluss im SIL3-Portfolio

Grundsätzlich werden vier Signal-Arten unterschieden, je nachdem, ob es sich um digitale oder analoge Signale handelt und ob sie vom Feldgerät zur Steuerung oder umgekehrt übertragen werden. Die Signaltypen sind in verschiedenen Gerätetypen zu finden. Digitale Signale aus dem Feld zur Steuerung werden mit Schaltverstärkern übertragen, in umgekehrter Richtung durch Ventilsteuer- und Relaisbausteine. Transmitterspeisegeräte und Repeater eignen sich für analoge Messsignale, während Ausgangstreiber analoge Aktoren ansteuern.

Mit den neuen, einkanaligen Ausgangstreibern komplettiert Pepperl+Fuchs das Portfolio von Trennbarrieren für sicherheitsgerichtete Anwendungen. Sowohl das K-System (Hutschienenmontage) als auch das H-System (Termination-Boards) verfügen über Module mit SIL-Level 2 und 3 für alle Signalarten.

Der Trennbaustein für das K-System (KCD2-SCD-EX1.ES) ist wahlweise mit Schraub- oder Federklemmen ausgestattet. Diese Geräte wie auch die Trennbarriere für das H-System (HIC2031.ES) ­verfügen über eine Baubreite von 12,5 mm, eine Leitungsfehlererkennung sowie einen separaten Fehlerausgang. Ein Fehler wird zudem über LEDs angezeigt und über eine separate Sammelfehlermeldung ausgegeben.

Die Grundfunktion der Geräte besteht darin, das Eingangssignal des Steuerungssystems zu verstärken, um im explosionsgefährdeten Bereich Aktoren anzusteuern. Dem analogen Messwert können auf der Feld- oder Steuerungsseite digitale Signale überlagert werden, die bidirektional übertragen werden (Hart). In die Geräteklemmen sind Prüfbuchsen für den Anschluss von Hart-Kommunikatoren integriert. Damit können Anwender aus einem einzigen Portfolio sicherheitsgerichtete Anwendungen aufbauen, und zwar unabhängig, ob SIL3-Anwendungen mit SIL3- Trennbarrieren oder mit redundanten, SC3-fähigen SIL2-Modulen aufgebaut werden sollen.

Über einen Produktselektor für Safety-Produkte auf www.pepperl-fuchs.com/safety-hub können geeignete Geräte nach Funktion, Signalart, SIL-Level oder bei Bedarf Performance Level (Sicherheitsrelais zum sicheren Abschalten verfügen beispielsweise über SIL- und PL-Level) ausgewählt werden.

* Der Autor ist Product Marketing Manager Interface Technology, Pepperl+Fuchs SE, Mannheim.

(ID:47177957)