© Siemens Ⓟ2010
A5E03263547-02, 08/2010 1
SITRANS T
Temperaturmessumformer
Funktionale Sicherheit für SITRANS TH200/300
Produktinformation
Einleitung
Zweck dieser Produktinformation
Diese Dokumentation ergänzt folgende Anleitungen:
● Betriebsanleitung SITRANS TH200/TH300: Ausgabe 02, 03/2008
● Betriebsanleitung SITRANS TH200/TH300: Ausgabe 03, 06/2010
Die vorliegende Dokumentation enthält zusätzliche Informationen zur "Funktionalen Sicherheit", die Sie für die
Inbetriebnahme und die Nutzung des Geräts benötigen.
Vor Montage und Inbetriebnahme lesen Sie diese Dokumentation sorgfältig durch!
Historie
Die nachfolgende Tabelle enthält Informationen zu den Ausgabeständen der vorliegenden Dokumentation.
Ausgabe Bemerkung
01
06/2010
Erstausgabe
02
08/2010
Integration von Inhalten zum Thema SIL3.
Funktionale Sicherheit für SITRANS TH200/300
2 A5E03263547-02, 08/2010
Allgemeine Sicherheitshinweise
Sicherheitsbezogenes System
Dieses Kapitel beschreibt die funktionale Sicherheit allgemein und nicht gerätespezifisch. Die Geräte in den Beispielen sind
stellvertretend gewählt. Die gerätespezifischen Informationen folgen im nächsten Kapitel.
Beschreibung
Sensor, Logikeinheit/Leitsystem und Aktor bilden zusammen ein sicherheitsbezogenes System, das eine Sicherheitsfunktion
ausführt.
P$
6HQVRU
P$
6
)
P$RGHU
!P$
0HVVXPIRUPHU
$NWRU
9HQWLOPLW$QWULHEXQG
6WHOOXQJVUHJOHU
/
H
L
WV\VWHP
636
SF Ausfallsignal
Bild 1 Beispiel für ein sicherheitsbezogenes System
Funktionsweise des Beispiels
Der Messumformer erzeugt ein prozessbezogenes analoges Signal. Das nachgeschaltete Leitsystem überwacht dieses
Signal auf Unterschreiten oder Überschreiten eines voreingestellten Grenzwerts. Im Störfall erzeugt das Leitsystem ein
Ausfallsignal von < 3,6 mA oder > 22 mA für den angeschlossenen Stellungsregler, der das zugehörige Ventil in die
vorgegebene Sicherheitsstellung bringt.
Funktionale Sicherheit für SITRANS TH200/300
A5E03263547-02, 08/2010 3
Safety Integrity Level (SIL)
Die internationale Norm IEC 61508 definiert vier diskrete Safety Integrity Level (SIL) von SIL 1 bis SIL 4. Jeder Level
entspricht einem Wahrscheinlichkeitsbereich für das Versagen einer Sicherheitsfunktion.
Beschreibung
Die folgende Tabelle zeigt die Abhängigkeit des SIL von der "mittleren Wahrscheinlichkeit gefahrbringender Ausfälle einer
Sicherheitsfunktion des gesamten sicherheitsbezogenen Systems" (PFDAVG). Dabei wird der "Low demand mode"
betrachtet, d. h. die Sicherheitsfunktion wird durchschnittlich maximal einmal im Jahr angefordert.
Tabelle 1 Safety Integrity Level
SIL Intervall
4 10-5 ≤ PFDAVG < 10-4
3 10-4 ≤ PFDAVG < 10-3
2 10-3 ≤ PFDAVG < 10-2
1 10-2 ≤ PFDAVG < 10-1
Die "mittlere Wahrscheinlichkeit gefahrbringender Ausfälle des gesamten sicherheitsbezogenen Systems" (PFDAVG) teilt sich
üblicherweise auf die drei Teilsysteme des folgenden Bildes auf.
6HQVRU
]%
'UXFN
7HPSHUDWXUXVZ
/HLWV\VWHPE]Z
/RJLNHLQKHLW
]%
636
3)'
$9*
$QWHLO
$NWRU
]%
9HQWLOPLW$QWULHE
XQG6WHOOXQJVUHJOHU
Bild 2 Beispiel PFD-Aufteilung
Die folgende Tabelle zeigt den erreichbaren Safety Integrity Level (SIL) des gesamten sicherheitsbezogenen Systems für
Teilsysteme vom Typ B abhängig vom Anteil ungefährlicher Ausfälle (SFF) und der Hardwarefehler-Toleranz (HFT).
Teilsysteme vom Typ B sind z. B. analoge Messumformer und Abschaltventile mit komplexen Komponenten, z. B.
Mikroprozessoren (siehe auch IEC 61508, Teil 2).
HFT
SFF
0 1 (0) 1) 2 (1)
1)
< 60 % Nicht zulässig SIL 1 SIL 2
60 bis 90 % SIL 1 SIL 2 SIL 3
90 bis 99 % SIL 2 SIL 3 SIL 4
> 99 % SIL 3 SIL 4 SIL 4
1) Nach IEC 61511-1, Abschnitt 11.4.4
Nach IEC 61511-1, Abschnitt 11.4.4 kann bei Sensoren und Aktoren mit komplexen Komponenten die Hardwarefehler-
Toleranz (HFT) um eins reduziert werden (Werte in Klammern), wenn für das Gerät folgende Bedingungen zutreffen:
● Das Gerät ist betriebsbewährt.
● Der Anwender kann nur prozessbezogene Parameter konfigurieren, z. B. Stellbereich, Signalrichtung im Fehlerfall,
Grenzwerte usw.
● Die Konfigurationsebene der Firmware wird gegen unbefugte Bedienung gesperrt.
● Die Funktion hat einen geforderten SIL von weniger als 4.
Das Gerät erfüllt diese Bedingungen.
Funktionale Sicherheit für SITRANS TH200/300
4 A5E03263547-02, 08/2010
Gerätespezifische Sicherheitshinweise für den einkanaligen Betrieb
(SIL2)
Sicherheitsfunktion
Die Sicherheitsfunktion bei den Temperaturmessumformern ist das Messen von Temperatur.
Sie bezieht sich auf den Ausgangsstrom von 4 bis 20 mA und gewährleistet in diesem Bereich eine Genauigkeit von ±2 %
der maximalen Mess-Spanne.
Der Ausgabewert wird mindestens alle 620 ms aktualisiert (Filterzeitkonstante der elektrischen Dämpfung = 0 s).
Das Teilsystem ist vom Typ B. Die Berechnungen sind gültig für die Betriebsart mit niedriger Anforderungsrate im
einkanaligen Betrieb. Die detaillierten Werte entnehmen Sie bitte der Herstellererklärung des Produktes (Declaration of
Conformity, Functional Safety according to IEC 61508 and IEC 61511):
Zertifikate (http://www.siemens.de/prozessinstrumentierung/zertifikate) .
Anforderungen
Der Temperaturmessumformer erfüllt folgende Anforderungen:
● Funktionale Sicherheit bis SIL 2 nach IEC 61508 bzw. IEC 61511-1, ab der Firmware-Version FW: ab 01.01.04 (nur mit
Bestelloption C20)
● Explosionsschutz bei entsprechenden Varianten
● Elektromagnetische Verträglichkeit nach EN 61326
● EG-Konformitätserklärung
Einstellungen
VORSICHT
Stromgeberfunktion / Simulation
Der Einsatz der Stromgeberfunktion und der Simulation kann in Sicherheitsanwendungen zu unerwünschten
Betriebszuständen führen.
Der Einsatz beider Funktionen ist in Sicherheitsanwendungen verboten!
Bedienen/Projektieren
Achten Sie bei der Bedienung/Projektierung darauf, dass die technischen Daten des Temperaturmessumformers in der
jeweiligen Geräteausführung eingehalten sind.
Sicherheitsfunktion überprüfen
Wir empfehlen:
● Kontrollieren Sie den Status auf Warnungen und Fehlermeldungen.
● Kontrollieren Sie den oberen und unteren Alarmstromwert.
● Führen Sie eine 2-Punkt-Kalibrierung durch.
● Kontrollieren Sie die Messgenauigkeit, die für die Sicherheitsfunktion im Bereich von ±2 % liegen muss. Sie kontrollieren
die Messgenauigkeit z. B. durch einen Sensorabgleich.
Hinweis
Konfigurationsänderungen bei nicht passwortgeschützten SITRANS TH300
Ein fehlender Passwortschutz kann zu unerwünschten Konfigurationsänderungen an Ihrem Gerät führen.
Aktivieren Sie daher nach einer Überprüfung der Sicherheitsfunktion immer den Passwortschutz Ihres Geräts.
Funktionale Sicherheit für SITRANS TH200/300
A5E03263547-02, 08/2010 5
Verhalten bei Störungen
Reparatur
Defekte Geräte sind mit Angabe der Störung und Ursache an die Reparaturabteilung einzusenden. Bei Bestellung von
Ersatzgeräten bitte die Seriennummer des Originalgeräts angeben. Die Seriennummer finden Sie auf dem Typenschild.
Anschrift der zuständigen SIEMENS Reparaturstelle, Ansprechpartner, Ersatzteillisten usw. finden Sie im Internet.
Wartung/Überprüfung
Intervall
Wir empfehlen, die Funktionsfähigkeit des Temperaturmessumformers in regelmäßigen Zeitabständen von einem Jahr zu
überprüfen.
Sicherheitsfunktion überprüfen
Wir empfehlen:
● Kontrollieren Sie den Status auf Warnungen und Fehlermeldungen.
● Kontrollieren Sie den oberen und unteren Alarmstromwert.
● Führen Sie eine 2-Punkt-Kalibrierung durch.
● Kontrollieren Sie die Messgenauigkeit, die für die Sicherheitsfunktion im Bereich von ±2 % liegen muss. Sie kontrollieren
die Messgenauigkeit z. B. durch einen Sensorabgleich.
Sicherheit überprüfen
Prüfen Sie regelmäßig die Sicherheitsfunktion des gesamten Sicherheitskreises gemäß IEC 61508/61511. Die Testintervalle
werden unter anderem bei der Berechnung jedes einzelnen Sicherheitskreises einer Anlage (PFDAVG) bestimmt.
Sicherheitstechnische Kenndaten
Die für den Systemeinsatz erforderlichen sicherheitstechnischen Kenndaten sind in der "SIL Konformitätserklärung"
aufgelistet. Diese Werte gelten unter den folgenden Bedingungen:
● Die Temperaturmessumformer SITRANS TH200 / TH300 werden nur in Anwendungen mit niedriger Anforderungsrate
für die Sicherheitsfunktion eingesetzt (low demand mode).
● Die Kommunikation dient ausschließlich folgenden Zwecken:
– Gerätekonfiguration
– Auslesen von Diagnosewerten
● Die Geräte werden unterschiedlich bedient:
– SITRANS TH200: Bedienung über SIPROM T
– SITRANS TH300: Bedienung über SIMATIC PDM oder Handheld-Communicator
● Die Sicherheitsfunktions-Prüfung ist erfolgreich abgeschlossen.
● Der Messumformer wird gegen ungewollte und unbefugte Veränderungen/Bedienung gesperrt.
● Für den Messumformer gilt folgende Voraussetzung:
– Das Stromsignal wird von einem sicheren System ausgewertet.
● Die aufgeführten Fehlerraten gelten für typische Beanspruchung einer industriellen Umgebung wie in IEC 60654-1
Klasse C. Die IEC 60654-1 Klasse C bedeutet, geschützter Einsatzort, mit einer mittleren Temperatur über einen
längeren Zeitraum von maximal 40 °C.
● Die Berechnung der Fehlerrate basiert auf einer MTTR von 72 Stunden.
Die maximale Einsatzzeit eines SITRANS TH200 bzw. TH300 in einer Sicherheitsanwendung beträgt 20 Jahre. Ersetzen Sie
das Gerät nach dieser Zeit.
Funktionale Sicherheit für SITRANS TH200/300
6 A5E03263547-02, 08/2010
Gerätespezifische Sicherheitshinweise für den redundanten Betrieb
(SIL3)
Sicherheitsfunktion
Die Sicherheitsfunktion bei den Temperaturmessumformern ist das Messen von Temperatur.
Sie bezieht sich auf den Ausgangsstrom von 4 bis 20 mA und gewährleistet in diesem Bereich eine Genauigkeit von ±2 %
der maximalen Mess-Spanne.
Der Ausgabewert wird mindestens alle 620 ms aktualisiert (Filterzeitkonstante der elektrischen Dämpfung = 0 s).
Das Teilsystem ist vom Typ B. Die Berechnungen sind gültig für die Betriebsart mit niedriger Anforderungsrate im
redundanten Betrieb. Die detaillierten Werte entnehmen Sie bitte der Herstellererklärung des Produktes (Declaration of
Conformity, Functional Safety according to IEC 61508 and IEC 61511):
Zertifikate (http://www.siemens.de/prozessinstrumentierung/zertifikate) .
Funktionale Sicherheit für SITRANS TH200/300
A5E03263547-02, 08/2010 7
Anforderungen
Anforderungen
Die Temperaturmessumformer erfüllen folgende Anforderungen:
● Für den redundanten Betrieb nach SIL 3 sind zwei Messumformer erforderlich. Der Betrieb mit einem Messumformer ist
nicht zulässig.
● Funktionale Sicherheit bis SIL 3 nach IEC 61508 bzw. IEC 61511-1, ab der Firmware-Version FW: ab 01.01.04 (nur mit
Bestelloption C23)
● Explosionsschutz bei entsprechenden Varianten
● Elektromagnetische Verträglichkeit nach EN 61326
● EG-Konformitätserklärung
Beschreibung
Sensor, Logikeinheit/Leitsystem und Aktor bilden zusammen ein sicherheitsbezogenes System, das eine Sicherheitsfunktion
ausführt. Der Schwerpunkt dieser Beschreibung liegt auf dem Sensor. Anforderung an die SPS bzw. den Aktor entnehmen
Sie den entsprechenden Normen.
P$
6HQVRU
P$
6
)
P$
0HVVXPIRUPHU
$NWRU
9HQWLOPLW$QWULHEXQG
6WHOOXQJVUHJOHU
/
H
L
WV\VWHP
636
P$
Bild 3 Sicherheitsbezogenes System im redundanten Betrieb (Beispiel: Messumformer TH300)
Das Programm der SPS muss die Messwerte beider Messumformer überwachen. Sobald sich die Messwerte z. B. 2 % oder
mehr unterscheiden, muss das System in den sicheren Zustand gebracht werden und der Fehler lokalisiert werden.
ACHTUNG
Abschaltung des Systems bei hoher Überwachungsgenauigkeit
Beide Messumformer sind an unterschiedlichen Stellen mit dem Prozess verbunden. Beim Hochfahren des Prozesses
oder bei anderen Temperaturschwankungen kann es zu realen Temperaturunterschieden von ≥ 2 % kommen.
Temperaturunterschiede von ≥ 2 % führen zur Abschaltung des Systems.
● Passen Sie die Überwachungsgenauigkeit der SPS an den Prozess an.
● Montieren Sie beide Messumformer nach gleichen Bedingungen.
Funktionale Sicherheit für SITRANS TH200/300
8 A5E03263547-02, 08/2010
Einstellungen
VORSICHT
Stromgeberfunktion / Simulation
Der Einsatz der Stromgeberfunktion und der Simulation kann in Sicherheitsanwendungen zu unerwünschten
Betriebszuständen führen.
Der Einsatz beider Funktionen ist in Sicherheitsanwendungen verboten!
Bedienen/Projektieren
Achten Sie bei der Bedienung/Projektierung darauf, dass die technischen Daten des Temperaturmessumformers in der
jeweiligen Geräteausführung eingehalten sind.
Sicherheitsfunktion überprüfen
Wir empfehlen für beide Messumformer:
● Kontrollieren Sie den Status auf Warnungen und Fehlermeldungen.
● Kontrollieren Sie den oberen und unteren Alarmstromwert.
● Führen Sie eine 2-Punkt-Kalibrierung durch.
● Kontrollieren Sie die Messgenauigkeit, die für die Sicherheitsfunktion im Bereich von ±2 % liegen muss. Sie kontrollieren
die Messgenauigkeit z. B. durch einen Sensorabgleich.
● Kontrollieren Sie das Auslösen der Sicherheitsfunktion.
Hinweis
Konfigurationsänderungen bei nicht passwortgeschützten SITRANS TH300
Ein fehlender Passwortschutz kann zu unerwünschten Konfigurationsänderungen an Ihrem Gerät führen.
Aktivieren Sie daher nach einer Überprüfung der Sicherheitsfunktion immer den Passwortschutz Ihres Geräts.
Verhalten bei Störungen
Reparatur
Defekte Geräte sind mit Angabe der Störung und Ursache an die Reparaturabteilung einzusenden. Bei Bestellung von
Ersatzgeräten bitte die Seriennummer des Originalgeräts angeben. Die Seriennummer finden Sie auf dem Typenschild.
Anschrift der zuständigen SIEMENS Reparaturstelle, Ansprechpartner, Ersatzteillisten usw. finden Sie im Internet.
Funktionale Sicherheit für SITRANS TH200/300
A5E03263547-02, 08/2010 9
Wartung/Überprüfung
Intervall
Wir empfehlen, die Funktionsfähigkeit des Temperaturmessumformers in regelmäßigen Zeitabständen von einem Jahr zu
überprüfen.
Sicherheitsfunktion überprüfen
Wir empfehlen für beide Messumformer:
● Kontrollieren Sie den Status auf Warnungen und Fehlermeldungen.
● Kontrollieren Sie den oberen und unteren Alarmstromwert.
● Führen Sie eine 2-Punkt-Kalibrierung durch.
● Kontrollieren Sie die Messgenauigkeit, die für die Sicherheitsfunktion im Bereich von ±2 % liegen muss. Sie kontrollieren
die Messgenauigkeit z. B. durch einen Sensorabgleich.
● Kontrollieren Sie das Auslösen der Sicherheitsfunktion.
Sicherheit überprüfen
Prüfen Sie regelmäßig die Sicherheitsfunktion des gesamten Sicherheitskreises gemäß IEC 61508/61511. Die Testintervalle
werden unter anderem bei der Berechnung jedes einzelnen Sicherheitskreises einer Anlage (PFDAVG) bestimmt.
Sicherheitstechnische Kenndaten
Die für den Systemeinsatz erforderlichen sicherheitstechnischen Kenndaten sind in der "SIL Konformitätserklärung"
aufgelistet. Diese Werte gelten unter den folgenden Bedingungen:
● Die Temperaturmessumformer SITRANS TH200 / TH300 werden nur in Anwendungen mit niedriger Anforderungsrate
für die Sicherheitsfunktion eingesetzt (low demand mode).
● Die Kommunikation dient ausschließlich folgenden Zwecken:
– Gerätekonfiguration
– Auslesen von Diagnosewerten
● Die Geräte werden unterschiedlich bedient:
– SITRANS TH200: Bedienung über SIPROM T
– SITRANS TH300: Bedienung über SIMATIC PDM oder Handheld-Communicator
● Die Sicherheitsfunktions-Prüfung ist erfolgreich abgeschlossen.
● Der Messumformer wird gegen ungewollte und unbefugte Veränderungen/Bedienung gesperrt.
● Für den Messumformer gilt folgende Voraussetzung:
– Das Stromsignal wird von einem sicheren System ausgewertet.
● Die aufgeführten Fehlerraten gelten für typische Beanspruchung einer industriellen Umgebung wie in IEC 60654-1
Klasse C. Die IEC 60654-1 Klasse C bedeutet, geschützter Einsatzort, mit einer mittleren Temperatur über einen
längeren Zeitraum von maximal 40 °C.
● Die Berechnung der Fehlerrate basiert auf einer MTTR von 72 Stunden.
Die maximale Einsatzzeit eines SITRANS TH200 bzw. TH300 in einer Sicherheitsanwendung beträgt 20 Jahre. Ersetzen Sie
das Gerät nach dieser Zeit.
Funktionale Sicherheit für SITRANS TH200/300
10 A5E03263547-02, 08/2010
Siemens AG
Industry Sector
Postfach 48 48
90026 NÜRNBERG
Funktionale Sicherheit für SITRANS TH200/300
A5E03263547, 08/2010
© Siemens Ⓟ2010
A5E03263547-02, 08/2010 11
SITRANS T
Temperature transducer
Functional safety for SITRANS TH200/300
Product Information
Introduction
Purpose of this product information
This documentation amends the following instructions:
● Operating instructions SITRANS TH200/TH300: Edition 02, 03/2008
● Operating instructions SITRANS TH200/TH300: Release 03, 06/2010
This documentation includes additional information on "Functional safety" that you need for commissioning and using the
device.
Read this document carefully prior to installation and commissioning.
History
The following table includes information on the different editions of this documentation.
Edition Remark
01
06/2010
First edition
02
08/2010
Integration of contents on the topic SIL3.
Functional safety for SITRANS TH200/300
12 A5E03263547-02, 08/2010
General safety notes
Safety-instrumented system
This chapter describes the functional safety in general and not specific to a device. The devices in the examples are
selected as representative examples. The device-specific information follows in the next chapter.
Description
The sensor, logic unit/control system and final controlling element combine to form a safety-instrumented system, which
executes a safety function.
P$
6HQVRU
P$
6
)
P$RU
!P$
7UDQVPLWWHU
)LQDOFRQWUROOLQJ
HOHPHQW
9DOYHZLWKGULYHDQG
SRVLWLRQHU
&RQWUROV\VWHP
3/&
SF Failure signal
Figure 1 Example of a safety-instrumented system
Functioning of the system as shown in the example
The transmitter generates a process-specific analog signal. The downstream control system monitors this signal to ensure
that it does not fall below or exceed a set limit value. In case of a fault, the control system generates a failure signal of < 3.6
mA or > 22 mA for the connected positioner, which switches the associated valve to the specified safety position.
Functional safety for SITRANS TH200/300
A5E03263547-02, 08/2010 13
Safety Integrity Level (SIL)
The international standard IEC 61508 defines four discrete Safety Integrity Levels (SIL) from SIL 1 to SIL 4. Each level
corresponds to the probability range for the failure of a safety function.
Description
The following table shows the dependency of the SIL on the "average probability of dangerous failures of a safety function of
the entire safety-instrumented system" (PFDAVG) The table deals with "Low demand mode", i.e. the safety function is
required a maximum of once per year on average.
Table 1 Safety Integrity Level
SIL Interval
4 10-5 ≤ PFDAVG < 10-4
3 10-4 ≤ PFDAVG < 10-3
2 10-3 ≤ PFDAVG < 10-2
1 10-2 ≤ PFDAVG < 10-1
The "average probability of dangerous failures of the entire safety-instrumented system" (PFDAVG) is normally split between
the three sub-systems in the following figure.
6HQVRU
HJ
3UHVVXUH
WHPSHUDWXUHHWF
&RQWUROV\VWHPRU
/RJLFXQLW
HJ
3/&
3)'$9*SHUFHQWDJH
)LQDOFRQWUROOLQJ
HOHPHQW
HJ
9DOYHZLWKDFWXDWRU
DQGSRVLWLRQHU
Figure 2 Example of PFD distribution
The following table shows the achievable Safety Integrity Level (SIL) for the entire safety-instrumented system for type B
subsystems depending on the safe failure fraction (SFF) and the hardware fault tolerance (HFT). Type B subsystems include
analog transmitters and shut-off valves without complex components, e.g. microprocessors (also see IEC 61508, Section 2).
HFT SFF
0 1 (0) 1) 2 (1)
1)
< 60 % Not permitted SIL 1 SIL 2
60 to 90 % SIL 1 SIL 2 SIL 3
90 to 99 % SIL 2 SIL 3 SIL 4
> 99 % SIL 3 SIL 4 SIL 4
1) As per IEC 61511-1, Section 11.4.4
According to IEC 61511-1, Section 11.4.4, the hardware fault tolerance (HFT) can be reduced by one (values in brackets) for
sensors and final controlling elements with complex components if the following conditions are applicable for the device:
● The device is proven-in-use.
● The user can configure only the process-related parameters, e.g. control range, signal direction in case of a fault, limiting
values, etc.
● The configuration level of the firmware is blocked against unauthorized operation.
● The function requires SIL of less than 4.
The device fulfills these conditions.
Functional safety for SITRANS TH200/300
14 A5E03263547-02, 08/2010
Device-specific safety information for single-channel operation (SIL 2)
Safety function
Measuring temperature is the safety function with the temperature transmitters.
It is applicable for output currents from 4 to 20 mA and ensures an accuracy of ± 2% in the maximum measurement range.
The output value will be updated at least every 620 ms (filter time constant of the electrical damping = 0 s).
The partial system is of type B. The calculations are valid for the operating mode with low demand rate in single-channel
operation. The specific values are listed in the manufacturer declaration for the product (Declaration of Conformity,
Functional Safety according to IEC 61508 and IEC 61511):
Certificates (http://www.siemens.com/processinstrumentation/certificates) .
Requirements
The temperature transmitter meets the following requirements:
● Functional safety to SIL 2 under IEC 61508 or IEC 61511-1, from firmware version FW: as of 1/1/2004 (with order option
C20 only)
● Explosion protection for corresponding versions
● Electromagnetic compatibility in compliance with EN 61326
● EC Declaration of Conformity
Settings
CAUTION
Current sensor function / Simulation
The use of the current sensor function and the simulation in safety applications can result in undesirable operating states.
The use of both functions is not permitted in safety applications.
Operation/configuration
While operating/configuring, ensure that the technical data of the temperature transmitter are adhered to in their respective
version.
Checking the safety function
We recommend that:
● You check the status for warnings and alarms.
● Check the upper and lower alarm current value.
● Perform a 2-point calibration.
● You check the measuring accuracy that must be in the range of ± 2% for the safety function. You check the measuring
accuracy, for example, with a sensor calibration.
Note
Configuration changes in SITRANS TH300 not protected by passwords
If there is no password protection, you may have to deal with undesirable changes in the configuration of the device.
We recommend that you enable password protection for your device after checking the safety function.
Functional safety for SITRANS TH200/300
A5E03263547-02, 08/2010 15
Behavior in case of faults
Repairs
Defective devices should be sent in to the repair department with details of the fault and the cause. When ordering
replacement devices, please specify the serial number of the original device. The serial number can be found on the rating
plate.
The address of the responsible SIEMENS repair center, contacts, spare parts lists, etc. can be found on the Internet.
Maintenance/Checking
Interval
We recommend that the functioning of the temperature transmitter is checked at regular intervals of one year.
Checking the safety function
We recommend that:
● You check the status for warnings and alarms.
● Check the upper and lower alarm current value.
● Perform a 2-point calibration.
● You check the measuring accuracy that must be in the range of ± 2% for the safety function. You check the measuring
accuracy, for example, with a sensor calibration.
Checking safety
You should regularly check the safety function of the entire safety circuit in line with IEC 61508/61511. The testing intervals
are determined during the calculation for each individual safety circuit in a system (PFDAVG).
Safety characteristics
The safety characteristics necessary for using the system are listed in the "SIL declaration of conformity". These values
apply under the following conditions:
● The SITRANS TH200 / TH300 temperature transmitters are only used in applications with a low demand rate for the
safety function (low demand mode).
● The communication is used for the following purposes only:
– Device configuration
– Reading diagnostic values
● The devices are operated differently:
– SITRANS TH200: Operation via SIPROM T
– SITRANS TH300: Operation via SIMATIC PDM or handheld communicator
● The safety function test has been concluded successfully.
● The transmitter is blocked against unwanted and unauthorized changes/operation.
● The following condition applies to the transmitter:
– The current signal is evaluated by a safe system.
● The specified error rates apply to the typical demand of an industrial environment as in IEC 60654-1 class C. IEC 60654-
1 class C means a protected place of application, with an average temperature of max. 40 °C for an extended period of
time.
● The calculation of error rates is based on a MTTR of 72 hours.
The maximum application time of the SITRANS TH200 or TH300 in a safety application is 20 years. Replace the device after
this time.
Functional safety for SITRANS TH200/300
16 A5E03263547-02, 08/2010
Device-specific safety information for redundant operation (SIL 3)
Safety function
Measuring temperature is the safety function with the temperature transmitters.
It applies to output currents from 4 to 20 mA and ensures an accuracy of ± 2% of the maximum span.
The output value is updated at least every 620 ms (filter time constant of the electrical damping = 0 s).
The partial system is of type B. The calculations are valid for the operating mode with low demand rate in redundant
operation. The specific values are listed in the manufacturer declaration for the product (Declaration of Conformity,
Functional Safety according to IEC 61508 and IEC 61511):
Certificates (http://www.siemens.com/processinstrumentation/certificates) .
Functional safety for SITRANS TH200/300
A5E03263547-02, 08/2010 17
Requirements
Requirements
The temperature transmitters meet the following requirements:
● Two transmitters are required for redundant operation in accordance with SIL 3. Operation with one transmitter is not
permissible.
● Functional safety to SIL 3 under IEC 61508 or IEC 61511-1, from firmware version FW: as of 1/1/2004 (with order option
C23 only)
● Explosion protection for corresponding versions
● Electromagnetic compatibility in compliance with EN 61326
● EC Declaration of Conformity
Description
The sensor, logic unit/control system and actuator combine to form a safety-instrumented system which executes a safety
function. The focal point of this description is the sensor. Please refer to the corresponding standards for the requirements
placed on the PLC and actuator.
P$
6HQVRU
P$
6)P$
7UDQVPLWWHU
$FWXDWRU
9DOYHZLWKGULYHDQG
SRVLWLRQHU
&RQWUROV\VWHP
3/&
P$
Figure 3 Safety-instrumented system in redundant operation (example: TH300 transmitter)
The PLC program must monitor the measured values of both transmitters. As soon as the measured values differ by e.g. 2%
or more, the system must be brought into the safe state and the fault must be located.
NOTICE
Switching-off of system at high monitoring accuracy
The two transmitters are connected to the process at different positions. Actual differences in temperature ≥ 2% can occur
when starting-up the process or if there are other temperature variations. Differences in temperature ≥ 2 % shut down the
system.
● Match the monitoring accuracy of the PLC to the process.
● Mount the two transmitters exposed to equal conditions.
Functional safety for SITRANS TH200/300
18 A5E03263547-02, 08/2010
Settings
CAUTION
Current sensor function / Simulation
The use of the current sensor function and the simulation in safety applications can result in undesirable operating states.
The use of both functions is not permitted in safety applications.
Operation/configuration
While operating/configuring, ensure that the technical data of the temperature transmitter are adhered to in their respective
version.
Checking the safety function
We recommend for both transmitters:
● You check the status for warnings and alarms.
● Check the upper and lower alarm current value.
● Perform a 2-point calibration.
● You check the measuring accuracy that must be in the range of ± 2% for the safety function. You check the measuring
accuracy, for example, with a sensor calibration.
● Check triggering of the safety function.
Note
Configuration changes in SITRANS TH300 not protected by passwords
If there is no password protection, you may have to deal with undesirable changes in the configuration of the device.
We recommend that you enable password protection for your device after checking the safety function.
Behavior in case of faults
Repairs
Defective devices should be sent in to the repair department with details of the fault and the cause. When ordering
replacement devices, please specify the serial number of the original device. The serial number can be found on the rating
plate.
The address of the responsible SIEMENS repair center, contacts, spare parts lists, etc. can be found on the Internet.
Functional safety for SITRANS TH200/300
A5E03263547-02, 08/2010 19
Maintenance/Checking
Interval
We recommend that the functioning of the temperature transmitter is checked at regular intervals of one year.
Checking the safety function
We recommend for both transmitters:
● Check the status for warnings and alarms.
● Check the upper and lower alarm current values.
● Perform a 2-point calibration.
● Check the measuring accuracy that must be in the range of ± 2% for the safety function. Check the measuring accuracy,
e.g. with a sensor calibration.
● Check triggering of the safety function.
Checking safety
You should regularly check the safety function of the entire safety circuit in line with IEC 61508/61511. The testing intervals
are determined during the calculation for each individual safety circuit in a system (PFDAVG).
Safety characteristics
The safety characteristics necessary for using the system are listed in the "SIL declaration of conformity". These values
apply under the following conditions:
● The SITRANS TH200 / TH300 temperature transmitters are only used in applications with a low demand rate for the
safety function (low demand mode).
● The communication is used for the following purposes only:
– Device configuration
– Reading diagnostic values
● The devices are operated differently:
– SITRANS TH200: Operation via SIPROM T
– SITRANS TH300: Operation via SIMATIC PDM or handheld communicator
● The safety function test has been concluded successfully.
● The transmitter is blocked against unwanted and unauthorized changes/operation.
● The following condition applies to the transmitter:
– The current signal is evaluated by a safe system.
● The specified error rates apply to the typical demand of an industrial environment as in IEC 60654-1 class C. IEC 60654-
1 class C means a protected place of application, with an average temperature of max. 40 °C for an extended period of
time.
● The calculation of error rates is based on a MTTR of 72 hours.
The maximum application time of the SITRANS TH200 or TH300 in a safety application is 20 years. Replace the device after
this time.
Functional safety for SITRANS TH200/300
20 A5E03263547-02, 08/2010
Siemens AG
Industry Sector
Postfach 48 48
90026 NÜRNBERG
Functional safety for SITRANS TH200/300
A5E03263547, 08/2010
