SITRANS T Temperaturmessumformer Funktionale Sicherheit fur SITRANS TH200/300 Produktinformation Einleitung Zweck dieser Produktinformation Diese Dokumentation erganzt folgende Anleitungen: Betriebsanleitung SITRANS TH200/TH300: Ausgabe 02, 03/2008 Betriebsanleitung SITRANS TH200/TH300: Ausgabe 03, 06/2010 Die vorliegende Dokumentation enthalt zusatzliche Informationen zur "Funktionalen Sicherheit", die Sie fur die Inbetriebnahme und die Nutzung des Gerats benotigen. Vor Montage und Inbetriebnahme lesen Sie diese Dokumentation sorgfaltig durch! Historie Die nachfolgende Tabelle enthalt Informationen zu den Ausgabestanden der vorliegenden Dokumentation. Ausgabe Bemerkung 01 06/2010 Erstausgabe 02 08/2010 Integration von Inhalten zum Thema SIL3. (c) Siemens 2010 A5E03263547-02, 08/2010 1 Allgemeine Sicherheitshinweise Sicherheitsbezogenes System Dieses Kapitel beschreibt die funktionale Sicherheit allgemein und nicht geratespezifisch. Die Gerate in den Beispielen sind stellvertretend gewahlt. Die geratespezifischen Informationen folgen im nachsten Kapitel. Beschreibung Sensor, Logikeinheit/Leitsystem und Aktor bilden zusammen ein sicherheitsbezogenes System, das eine Sicherheitsfunktion ausfuhrt. /HLWV\VWHP 636 $NWRU 9HQWLOPLW$QWULHEXQG 6WHOOXQJVUHJOHU 6HQVRU 0HVVXPIRUPHU P$ SF Bild 1 P$ 6)P$RGHU !P$ Ausfallsignal Beispiel fur ein sicherheitsbezogenes System Funktionsweise des Beispiels Der Messumformer erzeugt ein prozessbezogenes analoges Signal. Das nachgeschaltete Leitsystem uberwacht dieses Signal auf Unterschreiten oder Uberschreiten eines voreingestellten Grenzwerts. Im Storfall erzeugt das Leitsystem ein Ausfallsignal von < 3,6 mA oder > 22 mA fur den angeschlossenen Stellungsregler, der das zugehorige Ventil in die vorgegebene Sicherheitsstellung bringt. 2 Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547-02, 08/2010 Safety Integrity Level (SIL) Die internationale Norm IEC 61508 definiert vier diskrete Safety Integrity Level (SIL) von SIL 1 bis SIL 4. Jeder Level entspricht einem Wahrscheinlichkeitsbereich fur das Versagen einer Sicherheitsfunktion. Beschreibung Die folgende Tabelle zeigt die Abhangigkeit des SIL von der "mittleren Wahrscheinlichkeit gefahrbringender Ausfalle einer Sicherheitsfunktion des gesamten sicherheitsbezogenen Systems" (PFDAVG). Dabei wird der "Low demand mode" betrachtet, d. h. die Sicherheitsfunktion wird durchschnittlich maximal einmal im Jahr angefordert. Tabelle 1 Safety Integrity Level SIL Intervall 4 10-5 PFDAVG < 10-4 3 10-4 PFDAVG < 10-3 2 10-3 PFDAVG < 10-2 1 10-2 PFDAVG < 10-1 Die "mittlere Wahrscheinlichkeit gefahrbringender Ausfalle des gesamten sicherheitsbezogenen Systems" (PFDAVG) teilt sich ublicherweise auf die drei Teilsysteme des folgenden Bildes auf. 6HQVRU ]% 'UXFN 7HPSHUDWXUXVZ 3)'$9*$QWHLO Bild 2 /HLWV\VWHPE]Z /RJLNHLQKHLW ]% 636 $NWRU ]% 9HQWLOPLW$QWULHE XQG6WHOOXQJVUHJOHU Beispiel PFD-Aufteilung Die folgende Tabelle zeigt den erreichbaren Safety Integrity Level (SIL) des gesamten sicherheitsbezogenen Systems fur Teilsysteme vom Typ B abhangig vom Anteil ungefahrlicher Ausfalle (SFF) und der Hardwarefehler-Toleranz (HFT). Teilsysteme vom Typ B sind z. B. analoge Messumformer und Abschaltventile mit komplexen Komponenten, z. B. Mikroprozessoren (siehe auch IEC 61508, Teil 2). SFF HFT 0 1 (0) 1) 2 (1) 1) < 60 % Nicht zulassig SIL 1 SIL 2 60 bis 90 % SIL 1 SIL 2 SIL 3 90 bis 99 % SIL 2 SIL 3 SIL 4 > 99 % SIL 3 SIL 4 SIL 4 1) Nach IEC 61511-1, Abschnitt 11.4.4 Nach IEC 61511-1, Abschnitt 11.4.4 kann bei Sensoren und Aktoren mit komplexen Komponenten die HardwarefehlerToleranz (HFT) um eins reduziert werden (Werte in Klammern), wenn fur das Gerat folgende Bedingungen zutreffen: Das Gerat ist betriebsbewahrt. Der Anwender kann nur prozessbezogene Parameter konfigurieren, z. B. Stellbereich, Signalrichtung im Fehlerfall, Grenzwerte usw. Die Konfigurationsebene der Firmware wird gegen unbefugte Bedienung gesperrt. Die Funktion hat einen geforderten SIL von weniger als 4. Das Gerat erfullt diese Bedingungen. Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547-02, 08/2010 3 Geratespezifische Sicherheitshinweise fur den einkanaligen Betrieb (SIL2) Sicherheitsfunktion Die Sicherheitsfunktion bei den Temperaturmessumformern ist das Messen von Temperatur. Sie bezieht sich auf den Ausgangsstrom von 4 bis 20 mA und gewahrleistet in diesem Bereich eine Genauigkeit von 2 % der maximalen Mess-Spanne. Der Ausgabewert wird mindestens alle 620 ms aktualisiert (Filterzeitkonstante der elektrischen Dampfung = 0 s). Das Teilsystem ist vom Typ B. Die Berechnungen sind gultig fur die Betriebsart mit niedriger Anforderungsrate im einkanaligen Betrieb. Die detaillierten Werte entnehmen Sie bitte der Herstellererklarung des Produktes (Declaration of Conformity, Functional Safety according to IEC 61508 and IEC 61511): Zertifikate (http://www.siemens.de/prozessinstrumentierung/zertifikate) . Anforderungen Der Temperaturmessumformer erfullt folgende Anforderungen: Funktionale Sicherheit bis SIL 2 nach IEC 61508 bzw. IEC 61511-1, ab der Firmware-Version FW: ab 01.01.04 (nur mit Bestelloption C20) Explosionsschutz bei entsprechenden Varianten Elektromagnetische Vertraglichkeit nach EN 61326 EG-Konformitatserklarung Einstellungen VORSICHT Stromgeberfunktion / Simulation Der Einsatz der Stromgeberfunktion und der Simulation kann in Sicherheitsanwendungen zu unerwunschten Betriebszustanden fuhren. Der Einsatz beider Funktionen ist in Sicherheitsanwendungen verboten! Bedienen/Projektieren Achten Sie bei der Bedienung/Projektierung darauf, dass die technischen Daten des Temperaturmessumformers in der jeweiligen Gerateausfuhrung eingehalten sind. Sicherheitsfunktion uberprufen Wir empfehlen: Kontrollieren Sie den Status auf Warnungen und Fehlermeldungen. Kontrollieren Sie den oberen und unteren Alarmstromwert. Fuhren Sie eine 2-Punkt-Kalibrierung durch. Kontrollieren Sie die Messgenauigkeit, die fur die Sicherheitsfunktion im Bereich von 2 % liegen muss. Sie kontrollieren die Messgenauigkeit z. B. durch einen Sensorabgleich. Hinweis Konfigurationsanderungen bei nicht passwortgeschutzten SITRANS TH300 Ein fehlender Passwortschutz kann zu unerwunschten Konfigurationsanderungen an Ihrem Gerat fuhren. Aktivieren Sie daher nach einer Uberprufung der Sicherheitsfunktion immer den Passwortschutz Ihres Gerats. 4 Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547-02, 08/2010 Verhalten bei Storungen Reparatur Defekte Gerate sind mit Angabe der Storung und Ursache an die Reparaturabteilung einzusenden. Bei Bestellung von Ersatzgeraten bitte die Seriennummer des Originalgerats angeben. Die Seriennummer finden Sie auf dem Typenschild. Anschrift der zustandigen SIEMENS Reparaturstelle, Ansprechpartner, Ersatzteillisten usw. finden Sie im Internet. Wartung/Uberprufung Intervall Wir empfehlen, die Funktionsfahigkeit des Temperaturmessumformers in regelmaigen Zeitabstanden von einem Jahr zu uberprufen. Sicherheitsfunktion uberprufen Wir empfehlen: Kontrollieren Sie den Status auf Warnungen und Fehlermeldungen. Kontrollieren Sie den oberen und unteren Alarmstromwert. Fuhren Sie eine 2-Punkt-Kalibrierung durch. Kontrollieren Sie die Messgenauigkeit, die fur die Sicherheitsfunktion im Bereich von 2 % liegen muss. Sie kontrollieren die Messgenauigkeit z. B. durch einen Sensorabgleich. Sicherheit uberprufen Prufen Sie regelmaig die Sicherheitsfunktion des gesamten Sicherheitskreises gema IEC 61508/61511. Die Testintervalle werden unter anderem bei der Berechnung jedes einzelnen Sicherheitskreises einer Anlage (PFDAVG) bestimmt. Sicherheitstechnische Kenndaten Die fur den Systemeinsatz erforderlichen sicherheitstechnischen Kenndaten sind in der "SIL Konformitatserklarung" aufgelistet. Diese Werte gelten unter den folgenden Bedingungen: Die Temperaturmessumformer SITRANS TH200 / TH300 werden nur in Anwendungen mit niedriger Anforderungsrate fur die Sicherheitsfunktion eingesetzt (low demand mode). Die Kommunikation dient ausschlielich folgenden Zwecken: - Geratekonfiguration - Auslesen von Diagnosewerten Die Gerate werden unterschiedlich bedient: - SITRANS TH200: Bedienung uber SIPROM T - SITRANS TH300: Bedienung uber SIMATIC PDM oder Handheld-Communicator Die Sicherheitsfunktions-Prufung ist erfolgreich abgeschlossen. Der Messumformer wird gegen ungewollte und unbefugte Veranderungen/Bedienung gesperrt. Fur den Messumformer gilt folgende Voraussetzung: - Das Stromsignal wird von einem sicheren System ausgewertet. Die aufgefuhrten Fehlerraten gelten fur typische Beanspruchung einer industriellen Umgebung wie in IEC 60654-1 Klasse C. Die IEC 60654-1 Klasse C bedeutet, geschutzter Einsatzort, mit einer mittleren Temperatur uber einen langeren Zeitraum von maximal 40 C. Die Berechnung der Fehlerrate basiert auf einer MTTR von 72 Stunden. Die maximale Einsatzzeit eines SITRANS TH200 bzw. TH300 in einer Sicherheitsanwendung betragt 20 Jahre. Ersetzen Sie das Gerat nach dieser Zeit. Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547-02, 08/2010 5 Geratespezifische Sicherheitshinweise fur den redundanten Betrieb (SIL3) Sicherheitsfunktion Die Sicherheitsfunktion bei den Temperaturmessumformern ist das Messen von Temperatur. Sie bezieht sich auf den Ausgangsstrom von 4 bis 20 mA und gewahrleistet in diesem Bereich eine Genauigkeit von 2 % der maximalen Mess-Spanne. Der Ausgabewert wird mindestens alle 620 ms aktualisiert (Filterzeitkonstante der elektrischen Dampfung = 0 s). Das Teilsystem ist vom Typ B. Die Berechnungen sind gultig fur die Betriebsart mit niedriger Anforderungsrate im redundanten Betrieb. Die detaillierten Werte entnehmen Sie bitte der Herstellererklarung des Produktes (Declaration of Conformity, Functional Safety according to IEC 61508 and IEC 61511): Zertifikate (http://www.siemens.de/prozessinstrumentierung/zertifikate) . 6 Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547-02, 08/2010 Anforderungen Anforderungen Die Temperaturmessumformer erfullen folgende Anforderungen: Fur den redundanten Betrieb nach SIL 3 sind zwei Messumformer erforderlich. Der Betrieb mit einem Messumformer ist nicht zulassig. Funktionale Sicherheit bis SIL 3 nach IEC 61508 bzw. IEC 61511-1, ab der Firmware-Version FW: ab 01.01.04 (nur mit Bestelloption C23) Explosionsschutz bei entsprechenden Varianten Elektromagnetische Vertraglichkeit nach EN 61326 EG-Konformitatserklarung Beschreibung Sensor, Logikeinheit/Leitsystem und Aktor bilden zusammen ein sicherheitsbezogenes System, das eine Sicherheitsfunktion ausfuhrt. Der Schwerpunkt dieser Beschreibung liegt auf dem Sensor. Anforderung an die SPS bzw. den Aktor entnehmen Sie den entsprechenden Normen. /HLWV\VWHP 636 $NWRU 9HQWLOPLW$QWULHEXQG 6WHOOXQJVUHJOHU 6HQVRU 0HVVXPIRUPHU P$ P$ 6)P$ P$ Bild 3 Sicherheitsbezogenes System im redundanten Betrieb (Beispiel: Messumformer TH300) Das Programm der SPS muss die Messwerte beider Messumformer uberwachen. Sobald sich die Messwerte z. B. 2 % oder mehr unterscheiden, muss das System in den sicheren Zustand gebracht werden und der Fehler lokalisiert werden. ACHTUNG Abschaltung des Systems bei hoher Uberwachungsgenauigkeit Beide Messumformer sind an unterschiedlichen Stellen mit dem Prozess verbunden. Beim Hochfahren des Prozesses oder bei anderen Temperaturschwankungen kann es zu realen Temperaturunterschieden von 2 % kommen. Temperaturunterschiede von 2 % fuhren zur Abschaltung des Systems. Passen Sie die Uberwachungsgenauigkeit der SPS an den Prozess an. Montieren Sie beide Messumformer nach gleichen Bedingungen. Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547-02, 08/2010 7 Einstellungen VORSICHT Stromgeberfunktion / Simulation Der Einsatz der Stromgeberfunktion und der Simulation kann in Sicherheitsanwendungen zu unerwunschten Betriebszustanden fuhren. Der Einsatz beider Funktionen ist in Sicherheitsanwendungen verboten! Bedienen/Projektieren Achten Sie bei der Bedienung/Projektierung darauf, dass die technischen Daten des Temperaturmessumformers in der jeweiligen Gerateausfuhrung eingehalten sind. Sicherheitsfunktion uberprufen Wir empfehlen fur beide Messumformer: Kontrollieren Sie den Status auf Warnungen und Fehlermeldungen. Kontrollieren Sie den oberen und unteren Alarmstromwert. Fuhren Sie eine 2-Punkt-Kalibrierung durch. Kontrollieren Sie die Messgenauigkeit, die fur die Sicherheitsfunktion im Bereich von 2 % liegen muss. Sie kontrollieren die Messgenauigkeit z. B. durch einen Sensorabgleich. Kontrollieren Sie das Auslosen der Sicherheitsfunktion. Hinweis Konfigurationsanderungen bei nicht passwortgeschutzten SITRANS TH300 Ein fehlender Passwortschutz kann zu unerwunschten Konfigurationsanderungen an Ihrem Gerat fuhren. Aktivieren Sie daher nach einer Uberprufung der Sicherheitsfunktion immer den Passwortschutz Ihres Gerats. Verhalten bei Storungen Reparatur Defekte Gerate sind mit Angabe der Storung und Ursache an die Reparaturabteilung einzusenden. Bei Bestellung von Ersatzgeraten bitte die Seriennummer des Originalgerats angeben. Die Seriennummer finden Sie auf dem Typenschild. Anschrift der zustandigen SIEMENS Reparaturstelle, Ansprechpartner, Ersatzteillisten usw. finden Sie im Internet. 8 Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547-02, 08/2010 Wartung/Uberprufung Intervall Wir empfehlen, die Funktionsfahigkeit des Temperaturmessumformers in regelmaigen Zeitabstanden von einem Jahr zu uberprufen. Sicherheitsfunktion uberprufen Wir empfehlen fur beide Messumformer: Kontrollieren Sie den Status auf Warnungen und Fehlermeldungen. Kontrollieren Sie den oberen und unteren Alarmstromwert. Fuhren Sie eine 2-Punkt-Kalibrierung durch. Kontrollieren Sie die Messgenauigkeit, die fur die Sicherheitsfunktion im Bereich von 2 % liegen muss. Sie kontrollieren die Messgenauigkeit z. B. durch einen Sensorabgleich. Kontrollieren Sie das Auslosen der Sicherheitsfunktion. Sicherheit uberprufen Prufen Sie regelmaig die Sicherheitsfunktion des gesamten Sicherheitskreises gema IEC 61508/61511. Die Testintervalle werden unter anderem bei der Berechnung jedes einzelnen Sicherheitskreises einer Anlage (PFDAVG) bestimmt. Sicherheitstechnische Kenndaten Die fur den Systemeinsatz erforderlichen sicherheitstechnischen Kenndaten sind in der "SIL Konformitatserklarung" aufgelistet. Diese Werte gelten unter den folgenden Bedingungen: Die Temperaturmessumformer SITRANS TH200 / TH300 werden nur in Anwendungen mit niedriger Anforderungsrate fur die Sicherheitsfunktion eingesetzt (low demand mode). Die Kommunikation dient ausschlielich folgenden Zwecken: - Geratekonfiguration - Auslesen von Diagnosewerten Die Gerate werden unterschiedlich bedient: - SITRANS TH200: Bedienung uber SIPROM T - SITRANS TH300: Bedienung uber SIMATIC PDM oder Handheld-Communicator Die Sicherheitsfunktions-Prufung ist erfolgreich abgeschlossen. Der Messumformer wird gegen ungewollte und unbefugte Veranderungen/Bedienung gesperrt. Fur den Messumformer gilt folgende Voraussetzung: - Das Stromsignal wird von einem sicheren System ausgewertet. Die aufgefuhrten Fehlerraten gelten fur typische Beanspruchung einer industriellen Umgebung wie in IEC 60654-1 Klasse C. Die IEC 60654-1 Klasse C bedeutet, geschutzter Einsatzort, mit einer mittleren Temperatur uber einen langeren Zeitraum von maximal 40 C. Die Berechnung der Fehlerrate basiert auf einer MTTR von 72 Stunden. Die maximale Einsatzzeit eines SITRANS TH200 bzw. TH300 in einer Sicherheitsanwendung betragt 20 Jahre. Ersetzen Sie das Gerat nach dieser Zeit. Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547-02, 08/2010 9 Siemens AG Industry Sector Postfach 48 48 90026 NURNBERG Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547, 08/2010 10 Funktionale Sicherheit fur SITRANS TH200/300 A5E03263547-02, 08/2010 SITRANS T Temperature transducer Functional safety for SITRANS TH200/300 Product Information Introduction Purpose of this product information This documentation amends the following instructions: Operating instructions SITRANS TH200/TH300: Edition 02, 03/2008 Operating instructions SITRANS TH200/TH300: Release 03, 06/2010 This documentation includes additional information on "Functional safety" that you need for commissioning and using the device. Read this document carefully prior to installation and commissioning. History The following table includes information on the different editions of this documentation. Edition Remark 01 06/2010 First edition 02 08/2010 Integration of contents on the topic SIL3. (c) Siemens 2010 A5E03263547-02, 08/2010 11 General safety notes Safety-instrumented system This chapter describes the functional safety in general and not specific to a device. The devices in the examples are selected as representative examples. The device-specific information follows in the next chapter. Description The sensor, logic unit/control system and final controlling element combine to form a safety-instrumented system, which executes a safety function. &RQWUROV\VWHP 3/& )LQDOFRQWUROOLQJ HOHPHQW 9DOYHZLWKGULYHDQG SRVLWLRQHU 6HQVRU 7UDQVPLWWHU P$ SF Figure 1 P$ 6)P$RU !P$ Failure signal Example of a safety-instrumented system Functioning of the system as shown in the example The transmitter generates a process-specific analog signal. The downstream control system monitors this signal to ensure that it does not fall below or exceed a set limit value. In case of a fault, the control system generates a failure signal of < 3.6 mA or > 22 mA for the connected positioner, which switches the associated valve to the specified safety position. 12 Functional safety for SITRANS TH200/300 A5E03263547-02, 08/2010 Safety Integrity Level (SIL) The international standard IEC 61508 defines four discrete Safety Integrity Levels (SIL) from SIL 1 to SIL 4. Each level corresponds to the probability range for the failure of a safety function. Description The following table shows the dependency of the SIL on the "average probability of dangerous failures of a safety function of the entire safety-instrumented system" (PFDAVG) The table deals with "Low demand mode", i.e. the safety function is required a maximum of once per year on average. Table 1 Safety Integrity Level SIL Interval 4 10-5 PFDAVG < 10-4 3 10-4 PFDAVG < 10-3 2 10-3 PFDAVG < 10-2 1 10-2 PFDAVG < 10-1 The "average probability of dangerous failures of the entire safety-instrumented system" (PFDAVG) is normally split between the three sub-systems in the following figure. 6HQVRU HJ 3UHVVXUH WHPSHUDWXUHHWF 3)'$9*SHUFHQWDJH Figure 2 &RQWUROV\VWHPRU /RJLFXQLW HJ 3/& )LQDOFRQWUROOLQJ HOHPHQW HJ 9DOYHZLWKDFWXDWRU DQGSRVLWLRQHU Example of PFD distribution The following table shows the achievable Safety Integrity Level (SIL) for the entire safety-instrumented system for type B subsystems depending on the safe failure fraction (SFF) and the hardware fault tolerance (HFT). Type B subsystems include analog transmitters and shut-off valves without complex components, e.g. microprocessors (also see IEC 61508, Section 2). SFF HFT 0 1 (0) 1) 2 (1) 1) < 60 % Not permitted SIL 1 SIL 2 60 to 90 % SIL 1 SIL 2 SIL 3 90 to 99 % SIL 2 SIL 3 SIL 4 > 99 % SIL 3 SIL 4 SIL 4 1) As per IEC 61511-1, Section 11.4.4 According to IEC 61511-1, Section 11.4.4, the hardware fault tolerance (HFT) can be reduced by one (values in brackets) for sensors and final controlling elements with complex components if the following conditions are applicable for the device: The device is proven-in-use. The user can configure only the process-related parameters, e.g. control range, signal direction in case of a fault, limiting values, etc. The configuration level of the firmware is blocked against unauthorized operation. The function requires SIL of less than 4. The device fulfills these conditions. Functional safety for SITRANS TH200/300 A5E03263547-02, 08/2010 13 Device-specific safety information for single-channel operation (SIL 2) Safety function Measuring temperature is the safety function with the temperature transmitters. It is applicable for output currents from 4 to 20 mA and ensures an accuracy of 2% in the maximum measurement range. The output value will be updated at least every 620 ms (filter time constant of the electrical damping = 0 s). The partial system is of type B. The calculations are valid for the operating mode with low demand rate in single-channel operation. The specific values are listed in the manufacturer declaration for the product (Declaration of Conformity, Functional Safety according to IEC 61508 and IEC 61511): Certificates (http://www.siemens.com/processinstrumentation/certificates) . Requirements The temperature transmitter meets the following requirements: Functional safety to SIL 2 under IEC 61508 or IEC 61511-1, from firmware version FW: as of 1/1/2004 (with order option C20 only) Explosion protection for corresponding versions Electromagnetic compatibility in compliance with EN 61326 EC Declaration of Conformity Settings CAUTION Current sensor function / Simulation The use of the current sensor function and the simulation in safety applications can result in undesirable operating states. The use of both functions is not permitted in safety applications. Operation/configuration While operating/configuring, ensure that the technical data of the temperature transmitter are adhered to in their respective version. Checking the safety function We recommend that: You check the status for warnings and alarms. Check the upper and lower alarm current value. Perform a 2-point calibration. You check the measuring accuracy that must be in the range of 2% for the safety function. You check the measuring accuracy, for example, with a sensor calibration. Note Configuration changes in SITRANS TH300 not protected by passwords If there is no password protection, you may have to deal with undesirable changes in the configuration of the device. We recommend that you enable password protection for your device after checking the safety function. 14 Functional safety for SITRANS TH200/300 A5E03263547-02, 08/2010 Behavior in case of faults Repairs Defective devices should be sent in to the repair department with details of the fault and the cause. When ordering replacement devices, please specify the serial number of the original device. The serial number can be found on the rating plate. The address of the responsible SIEMENS repair center, contacts, spare parts lists, etc. can be found on the Internet. Maintenance/Checking Interval We recommend that the functioning of the temperature transmitter is checked at regular intervals of one year. Checking the safety function We recommend that: You check the status for warnings and alarms. Check the upper and lower alarm current value. Perform a 2-point calibration. You check the measuring accuracy that must be in the range of 2% for the safety function. You check the measuring accuracy, for example, with a sensor calibration. Checking safety You should regularly check the safety function of the entire safety circuit in line with IEC 61508/61511. The testing intervals are determined during the calculation for each individual safety circuit in a system (PFDAVG). Safety characteristics The safety characteristics necessary for using the system are listed in the "SIL declaration of conformity". These values apply under the following conditions: The SITRANS TH200 / TH300 temperature transmitters are only used in applications with a low demand rate for the safety function (low demand mode). The communication is used for the following purposes only: - Device configuration - Reading diagnostic values The devices are operated differently: - SITRANS TH200: Operation via SIPROM T - SITRANS TH300: Operation via SIMATIC PDM or handheld communicator The safety function test has been concluded successfully. The transmitter is blocked against unwanted and unauthorized changes/operation. The following condition applies to the transmitter: - The current signal is evaluated by a safe system. The specified error rates apply to the typical demand of an industrial environment as in IEC 60654-1 class C. IEC 606541 class C means a protected place of application, with an average temperature of max. 40 C for an extended period of time. The calculation of error rates is based on a MTTR of 72 hours. The maximum application time of the SITRANS TH200 or TH300 in a safety application is 20 years. Replace the device after this time. Functional safety for SITRANS TH200/300 A5E03263547-02, 08/2010 15 Device-specific safety information for redundant operation (SIL 3) Safety function Measuring temperature is the safety function with the temperature transmitters. It applies to output currents from 4 to 20 mA and ensures an accuracy of 2% of the maximum span. The output value is updated at least every 620 ms (filter time constant of the electrical damping = 0 s). The partial system is of type B. The calculations are valid for the operating mode with low demand rate in redundant operation. The specific values are listed in the manufacturer declaration for the product (Declaration of Conformity, Functional Safety according to IEC 61508 and IEC 61511): Certificates (http://www.siemens.com/processinstrumentation/certificates) . 16 Functional safety for SITRANS TH200/300 A5E03263547-02, 08/2010 Requirements Requirements The temperature transmitters meet the following requirements: Two transmitters are required for redundant operation in accordance with SIL 3. Operation with one transmitter is not permissible. Functional safety to SIL 3 under IEC 61508 or IEC 61511-1, from firmware version FW: as of 1/1/2004 (with order option C23 only) Explosion protection for corresponding versions Electromagnetic compatibility in compliance with EN 61326 EC Declaration of Conformity Description The sensor, logic unit/control system and actuator combine to form a safety-instrumented system which executes a safety function. The focal point of this description is the sensor. Please refer to the corresponding standards for the requirements placed on the PLC and actuator. &RQWUROV\VWHP 3/& $FWXDWRU 9DOYHZLWKGULYHDQG SRVLWLRQHU 6HQVRU 7UDQVPLWWHU P$ P$ 6)P$ P$ Figure 3 Safety-instrumented system in redundant operation (example: TH300 transmitter) The PLC program must monitor the measured values of both transmitters. As soon as the measured values differ by e.g. 2% or more, the system must be brought into the safe state and the fault must be located. NOTICE Switching-off of system at high monitoring accuracy The two transmitters are connected to the process at different positions. Actual differences in temperature 2% can occur when starting-up the process or if there are other temperature variations. Differences in temperature 2 % shut down the system. Match the monitoring accuracy of the PLC to the process. Mount the two transmitters exposed to equal conditions. Functional safety for SITRANS TH200/300 A5E03263547-02, 08/2010 17 Settings CAUTION Current sensor function / Simulation The use of the current sensor function and the simulation in safety applications can result in undesirable operating states. The use of both functions is not permitted in safety applications. Operation/configuration While operating/configuring, ensure that the technical data of the temperature transmitter are adhered to in their respective version. Checking the safety function We recommend for both transmitters: You check the status for warnings and alarms. Check the upper and lower alarm current value. Perform a 2-point calibration. You check the measuring accuracy that must be in the range of 2% for the safety function. You check the measuring accuracy, for example, with a sensor calibration. Check triggering of the safety function. Note Configuration changes in SITRANS TH300 not protected by passwords If there is no password protection, you may have to deal with undesirable changes in the configuration of the device. We recommend that you enable password protection for your device after checking the safety function. Behavior in case of faults Repairs Defective devices should be sent in to the repair department with details of the fault and the cause. When ordering replacement devices, please specify the serial number of the original device. The serial number can be found on the rating plate. The address of the responsible SIEMENS repair center, contacts, spare parts lists, etc. can be found on the Internet. 18 Functional safety for SITRANS TH200/300 A5E03263547-02, 08/2010 Maintenance/Checking Interval We recommend that the functioning of the temperature transmitter is checked at regular intervals of one year. Checking the safety function We recommend for both transmitters: Check the status for warnings and alarms. Check the upper and lower alarm current values. Perform a 2-point calibration. Check the measuring accuracy that must be in the range of 2% for the safety function. Check the measuring accuracy, e.g. with a sensor calibration. Check triggering of the safety function. Checking safety You should regularly check the safety function of the entire safety circuit in line with IEC 61508/61511. The testing intervals are determined during the calculation for each individual safety circuit in a system (PFDAVG). Safety characteristics The safety characteristics necessary for using the system are listed in the "SIL declaration of conformity". These values apply under the following conditions: The SITRANS TH200 / TH300 temperature transmitters are only used in applications with a low demand rate for the safety function (low demand mode). The communication is used for the following purposes only: - Device configuration - Reading diagnostic values The devices are operated differently: - SITRANS TH200: Operation via SIPROM T - SITRANS TH300: Operation via SIMATIC PDM or handheld communicator The safety function test has been concluded successfully. The transmitter is blocked against unwanted and unauthorized changes/operation. The following condition applies to the transmitter: - The current signal is evaluated by a safe system. The specified error rates apply to the typical demand of an industrial environment as in IEC 60654-1 class C. IEC 606541 class C means a protected place of application, with an average temperature of max. 40 C for an extended period of time. The calculation of error rates is based on a MTTR of 72 hours. The maximum application time of the SITRANS TH200 or TH300 in a safety application is 20 years. Replace the device after this time. Functional safety for SITRANS TH200/300 A5E03263547-02, 08/2010 19 Siemens AG Industry Sector Postfach 48 48 90026 NURNBERG Functional safety for SITRANS TH200/300 A5E03263547, 08/2010 20 Functional safety for SITRANS TH200/300 A5E03263547-02, 08/2010