View
221
Download
0
Category
Preview:
Citation preview
Instrucciones de seguridad SILSM 265/7/9 SIL-ES Rev. 02
Transmisor de presión de las series 2000T y265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx
Instrucciones para la seguridad funcional
2
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
ÍndicePágina
1 Campo de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 Ventajas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3 Abreviaturas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
4 Normas relevantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5 Conceptos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
6 Determinación del Safety Integrity Level (SIL) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
7 Datos para la función de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8 Documentación del aparato aplicable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
9 Comportamiento durante el manejo y en caso de fallo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
10 Pruebas periódicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
11 Ajustes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
12 Parámetros de seguridad técnica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
13 Declaración de conformidad SIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
14 Management Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
1 Campo de aplicación
Mediciones de presión diferencial, presión relativa y presión absoluta, que deben satisfacer las exigencias de losestándares técnicos de seguridad según IEC 61508/ IEC 61511-1.
El equipo de medición cumple las exigencias • de seguridad funcional según IEC 61508/IEC 61511-1• de protección contra explosión (según la versión)• de compatibilidad electromagnética según EN 61326 y recomendación NAMUR NE 21.
2 Ventajas
Utilización en • control de la presión límite• medición continua• puesta en funcionamiento simple
3 Abreviaturas
Abreviatura Caracterización Descripción
HFT Hardware Fault Tolerance Tolerancia a fallos de hardwareCapacidad de una unidad funcional para seguir ejecutando una función solicitada con la existencia de fallos o desviaciones.
MTBF Mean Time Between Failures Duración media entre dos fallos
MTTR Mean Time To Repair Duración media entre la aparición de un fallo en un aparato o sistema y la reparación
PFD Probability of Failure on Demand Probabilidad de fallos, que pueden conllevar peligro, de una función de seguridad si se demanda
PFDav Average Probability of Failure on Demand
Probabilidad media de fallos, que pueden conllevar peligro, de una función de seguridad si se demanda
SIL Safety Integrity Level Safety Integrity LevelLa norma internacional IEC 61508 define cuatro Safety Integrity Level discretos (SIL 1 a SIL 4). Cada nivel corresponde a un área de probabilidad para la avería de una función de seguridad. Cuanto mayor es el Safety Integrity Level de los sistemas referidos a la seguridad, menor es la probabilidad de que éstos no ejecuten las funciones de seguridad solicitadas.
SFF Safe Failure Fraction Parte de fallos no peligrosos, es decir, la parte de fallos sin potencial para poner el sistema referido a la seguridad en un estado de funcionamiento peligroso o inadmisible.
TI Test Interval between life testing of the safety function
Intervalo de prueba entre las pruebas de funcionamiento de la función de protección
XooY "X out of Y" Voting (e.g. 2oo3) Clasificación y descripción de los sistemas referidos a la seguridad en cuanto a redundancia y proceso de selección aplicado."Y" indica cuántas veces se ejecuta la función de seguridad (redundancia)."X" determina cuántos canales tienen que trabajar correctamente.Ejemplo de medición de presión: arquitectura 1oo2. Un sistema referido a la seguridad decide que se ha excedido un límite de presión fijado, cuando uno de dos sensores alcanza este límite. En una arquitectura 1oo1 existe sólo un sensor de presión.
3
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
4 Normas relevantes
5 Conceptos
6 Determinación del Safety Integrity Level (SIL)
El Safety Integrity Level alcanzable se determina por los siguientes parámetros de seguridad técnica:
• Probabilidad media de fallos, que pueden conllevar peligro, de una función de seguridad si se demanda (PFDav)• Tolerancia a fallos de hardware (HFT) y• Parte de fallos no peligrosos (SFF).
Los parámetros de seguridad técnica específicos para el transmisor, como parte de la función de seguridad, seespecifican en el capítulo "Parámetros de seguridad técnica".
La tabla siguiente muestra la dependencia del "Safety Integrity Level" (SIL) de la probabilidad media de fallos, quepueden conllevar peligro, de una función de seguridad de todo el sistema referido a la seguridad (PFDav). Seconsidera el "Low demand mode", es decir, la tasa de demanda al sistema referido a la seguridad es como máximouna vez al año.
El sensor, la unidad lógica y el activador forman juntos un sistema referido a la seguridad que realiza una funciónde seguridad. La "probabilidad media de fallos, que pueden conllevar peligro, de todo el sistema referido a laseguridad" (PFDav) suele dividirse entre los subsistemas: sensor, unidad lógica y activador como se muestra acontinuación.
Figura 6-1: Distribución normal de la "probabilidad media de fallos, que pueden conllevar peligro, de una función de seguridad si se demanda" (PFDav) entre los subsistemas
Norma Caracterización Descripción
IEC 61508,de la parte 1 a la 7
Functional safety of electrical/electronic/programmable electronic safety-related systems (Target group: Manufacturers and Suppliers of Devices)
Seguridad funcional de sistemas eléctricos/electrónicos/electrónicos programables referidos a la seguridad (grupo destinatario: fabricantes y proveedores de aparatos)
IEC 61511,parte 1
Functional safety – Safety Instrumented Systems for the process industry sector (Target group: Safety Instrumented Systems Designers, Integrators and Users)
Seguridad funcional − Sistemas de seguridad técnica para la industria de procesos (Grupo destinatario: planificadores, constructores y usuarios)
Concepto Explicación
Fallo que puede conllevar peligro Fallo con el potencial para poner el sistema referido a la seguridad en un estado peligroso o incapaz de funcionar.
Sistema referido a la seguridad Un sistema referido a la seguridad ejecuta las funciones de seguridad que son necesarias para conseguir o mantener un estado seguro, p. ej., en una instalación. Ejemplo: un aparato de medición de presión, una unidad lógica (p.ej., un controlador de límite) y una válvula forman un sistema referido a la seguridad.
Función de seguridad Función definida que será ejecutada por un sistema referido a la seguridad con el objetivo de conseguir o mantener un estado de seguridad para la instalación, considerando un incidente peligroso fijado. Ejemplo: control de la presión límite
Safety Integrity Level (SIL) (Low demand mode)
4 PFDav ≥ 10-5...< 10-4
3 ≥ 10-4...< 10-3
2 ≥ 10-3...< 10-2
1 ≥ 10-2...< 10-1
Sensor p. ej., un aparato de medición de presión
Unidad lógicap. ej., CLP
Activadorp. ej., una válvula
≤ 35 % ≤ 50 %≤ 15 %
4
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
IMPORTANTEEsta documentación trata el transmisor 265xx como parte de una función de seguridad.La tabla siguiente muestra el "Safety Integrity Level" (SIL) alcanzable de todo el sistema referido a la seguridad parasistemas de tipo B dependiendo de la "parte de fallos no peligrosos" (SFF) y de la "tolerancia a fallos de hardware"(HFT). Sistemas de tipo B son p. ej., sensores con componentes complejos como p. ej., microprocesadores (véasetambién IEC 61508, parte 2).
1) Según IEC 61511-1, apartado 11.4.3, la "tolerancia a fallos de hardware" (HFT) en sensores y activadores con componentes complejos puede reducirse en uno (valor entre paréntesis), si se reúnen los siguientes requisitos para el aparato:
– El funcionamiento del aparato se ha probado.
– El usuario sólo puede configurar parámetros referidos al proceso, p. ej., la gama de medición, la dirección de la señal en caso de error, etc.
– El nivel de configuración del aparato está protegido, p. ej., por una pasarela o una contraseña(aquí: código numérico o combinación de teclas).
– La función tiene un "Safety Integrity Level" (SIL) exigido menor que 4.
El transmisor reúne todos los requisitos.
Figura 6-2: Función de seguridad (p. ej. para el control de la presión límite) con 265DS como subsistema1) 265DS con manejo local, posibilidad de ajustar el comienzo y el fin de medición, así como la amortiguación2) Ordenador con una interfaz de usuario, p. ej., SmartVision, para ajustar todos los parámetros, como, p.ej., el
funcionamiento de alarma, alarma máx., el modo de operación, etc.
3) Ordenador de bolsillo para ajustar todos los parámetros como, p.ej., el funcionamiento de alarma, alarma máx., el modo de operación, etc.
El transmisor 2000T / 2600T produce una señal analógica (4...20 mA) proporcional a la presión diferencial o a lapresión relativa / presión absoluta. La señal analógica es dirigida a una unidad lógica conectada a continuacióncomo, p. ej., un CPL o un controlador de límite y allí se controla que ésta no exceda un valor máximo. La unidadlógica ha de poder reconocer tanto alarmas HI (ajustables 21...22,5 mA) como alarmas LO (3,6 mA) para controlarfallos.
Parte de fallos no peligrosos Tolerancia a fallos de hardware (HFT)
0 1 (0)1) 2 (1)1)
< 60 % no permitido SIL 1 SIL 2
60...< 90 % SIL 1 SIL 2 SIL 3
90...< 99 % SIL 2 SIL 3 –
≥ 99 % SIL 3 – –
1)
3)
2)
PC con interfaz gráfica de usuariop. ej. DSV401 (SMART VISION)
Módem FSK
Ordenador de bolsillo
Transmisor 265DS
Unidad lógicap. ej., CLP, emisores del valor límite, etc.
4...20 mA
Accionamiento
5
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
7 Datos para la función de seguridad
ATENCIÓNLos ajustes y datos obligatorios para las funciones de seguridad se recogen en el capítulo "Ajustes" y "Parámetrosde seguridad técnica".
Véase la ficha técnica para el tiempo de respuesta del transmisor.
IMPORTANTESe ha fijado un MTTR de 8 horas.
Los sistemas referidos a la seguridad sin una función de autobloqueo deben ponerse en un estado controlado opor otros medios seguro dentro del MTTR tras la ejecución de la función de seguridad.
8 Documentación del aparato aplicable
La siguiente documentación debe estar disponible para el transmisor, dependiendo del modelo:
Tipo Instrucciones de servicio Tipo Instrucciones de servicio265Dx/Vx IM 265 D/V 2010TD/TA 42/15-712265Gx/Ax IM 265 G/A 2020TG/TA 42/15-753267/269Cx IM 267C/269C 2010TC 42/15-714
Para las versiones de aparatos con protección contra explosión ha de estar disponible el certificado CE dehomologación de modelos de construcción correspondiente.
9 Comportamiento durante el manejo y en caso de fallo
IMPORTANTEEl comportamiento durante el manejo y en caso de fallo se describe en las instrucciones de servicio.
10 Pruebas periódicas
La operatividad del transmisor ha de comprobarse en intervalos adecuados, p. ej. mediante un control de lacalibración (véase para ello el capítulo de las instrucciones de servicio correspondiente relativo a manejo/calibración, mantenimiento y reparación). Le recomendamos realizar la comprobación como mínimo una vez al año.Es responsabilidad del propietario definir el tipo de comprobación y los intervalos en el periodo de tiempomencionado.
Envíe los transmisores/componentes defectuosos al departamento de reparaciones indicando, a ser posible, elfallo y la causa. Para solicitar piezas o equipos de repuesto, indique el número de fabricación (S/N) y el año delequipo original.
Dirección:
ABB Automation GmbH
Abteilung Parts & Repair
Schillerstraße 72
32425 Minden
ALEMANIA
6
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
11 Ajustes
11.1 Funcionamiento de alarma y salida de corriente
En caso de fallo, el valor de corriente se situará en el valor seleccionado por usted. Puede realizar los ajustesmediante la interfaz de usuario DSV401 (SMART VISION) de ABB o mediante el ordenador de bolsillo.
ATENCIÓNCompruebe la función de seguridad tras introducir todos los parámetros. El transmisor ofrece la posibilidad desimular una corriente de señal independientemente de la presión medida a través de los parámetros "Simulación"y "Simular corriente". Puede acceder a estos parámetros a través de la interfaz DSV401 (SMART VISION) y delordenador de bolsillo HART.
11.2 Bloquear/desbloquear
ADVERTENCIACualquier cambio en el sistema de medición y sus ajustes después de la puesta en marcha puede perjudicar lafunción de seguridad. Por ello debe bloquear el manejo del transmisor mediante las teclas del aparato después dehaber introducido todos los parámetros y haber comprobado la función de seguridad. Así protege sus ajustes contracambios no deseados y no autorizados. El bloqueo realizado mediante las teclas en el aparato, solamente puededesbloquearse mediante las mismas teclas.
Figura 11-1:
12 Parámetros de seguridad técnica
12.1 Suposiciones
– La comunicación con el protocolo HART se utilizará únicamente para configurar o calibrar el aparato o para realizar funciones de diagnóstico, pero no para operaciones de seguridad técnica críticas.
– La autodiagnosis cíclica se realiza en una hora y a continuación se reinicia automáticamente.
– El tiempo de reparación tras un fallo del aparato es de 8 horas.
– La temperatura media a largo plazo es de 40°C.
– El transmisor se utilizará sólo en aplicaciones con una tasa de demanda baja (low demand mode).
– Sólo la señal de corriente 4...20 mA se analizará por el dispositivo de protección.
– Un fallo que puede conllevar peligro es un fallo en el que la corriente de salida no reacciona más a la señal de entrada o se desvía más del 2 % en relación al alcance de medición.
– El CLP de seguridad tiene que estar diseñado de tal forma que reconozca de forma segura los errores que llevan tanto a la alarma alta como a la alarma baja.
7
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
12.2 Parámetros de seguridad técnica específicos
Véase el Management Summary para información detallada
Tipo de transmisor Gama de medición SFF PFDav λdd + λs λdu
2010TD 10 mbar 75 % 8,54 × 10-4 614 FIT 195 FIT
2010TC 10 mbar 76 % 9,43 × 10-4 699 FIT 216 FIT
2010TD2010TA
60 mbar hasta 20 bar400 mbar hasta 20 bar
73 % 8,65 × 10-4 535 FIT 198 FIT
2010TC 60 mbar hasta 20 bar 73 % 9,54 × 10-4 620 FIT 218 FIT
2010TD 100 bar 74 % 24,4 × 10-4 1652 FIT 558 FIT
2020TA / 2020TG 60 mbar, 400 mbar 75 % 13,1 × 10-4 917 FIT 300 FIT
2020TA2020TG
≥ 2,5 bar≥ 2,5 bar
69 % 9,71 × 10-4 518 FIT 222 FIT
λdd + λs: Tasa de fallos de fallos peligrosos descubiertos y fallos segurosλdu: Tasa de fallos de fallos peligrosos no descubiertos
Las letras entre paréntesis indican el código de pedido para la gama de medición
Tipo de transmisor Gama de medición SFF PFDav λdd + λs λdu
265Dx (A)265Jx (A)
10 mbar 75,9 % 8,54 × 10-4 614 FIT 195 FIT
267Cx (A)269Cx (A)
10 mbar 76,4 % 9,43 × 10-4 699 FIT 216 FIT
265Dx (C,F,L,N)265Jx (C,F,L,N)265Vx (F,L,N)
60 mbar hasta 20 bar60 mbar hasta 20 bar
400 mbar hasta 20 bar
73,0 % 8,65 × 10-4 535 FIT 198 FIT
267Cx (C,F,L,N)269Cx (C,F,L,N)
60 mbar hasta 20 bar 74,0 % 9,54 × 10-4 620 FIT 218 FIT
265Dx (R) 100 bar 74,8 % 24,4 × 10-4 1652 FIT 558 FIT
265Ax (C,F)265Gx (C,F)
60 mbar y 400 mbar60 mbar y 400 mbar
75,3 % 13,1 × 10-4 917 FIT 300 FIT
265Ax (L,U)265Gx (L,U,R,V)
≥ 2,5 bar≥ 2,5 bar
70,0 % 9,71 × 10-4 518 FIT 222 FIT
λdd + λs: Tasa de fallos de fallos peligrosos descubiertos y fallos segurosλdu: Tasa de fallos de fallos peligrosos no descubiertos
Las letras entre paréntesis indican el código de pedido para la gama de medición
8
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
13 Declaración de conformidad SIL
9
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
10
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
14 Management Summary
The document was prepared using best effort. The authors make no warranty of any kind and shall not be liable in
any event for incidental or consequential damages in connection with the application of the document.
© All rights reserved.
FMEDA and Prior-use Assessment
Project:
Pressure Transmitter 2600T / 2000T Series with 4..20 mA output
Customer:
ABB Automation Products GmbH
Minden
Germany
Contract No.: ABB 03/09-13
Report No.: ABB 03/09-13 R001
Version V1, Revision R1.2, March 2004
Stephan Aschenbrenner
11
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 2 of 11
Management summary
This report summarizes the results of the hardware assessment with prior-use consideration
according to IEC 61508 / IEC 61511 carried out on the pressure transmitter 2600T / 2000T
Series with 4..20 mA output and software version V0.24. Table 1 gives an overview of the
different types that belong to the considered pressure transmitter 2600T / 2000T Series.
The hardware assessment consists of a Failure Modes, Effects and Diagnostics Analysis
(FMEDA). A FMEDA is one of the steps taken to achieve functional safety assessment of a
device per IEC 61508. From the FMEDA, failure rates are determined and consequently the
Safe Failure Fraction (SFF) is calculated for the device. For full assessment purposes all
requirements of IEC 61508 must be considered.
Table 1: Version overview
Type Application Sensor Electronics
265D*A
2010TD
Differential pressure 10mbar 2-6187 P1 (3)
2-6195 P1 (2)
764913_P1
V1.1
265J*A Differential and absolute pressure 10mbar 2-6187 P1 (3)
2-6195 P1 (2)
764913_P1
V1.2 267C*A
269C*A
2010TC
Mass flow / Differential pressure 10mbar 2-6187 P1 (3)
2-6195 P1 (2)
764913_P1
9280 039 P1 (3)
265D*(C,F,L,N)
2010TD
Differential pressure 60mbar to 20bar 2-6187 P1 (3)
2-6195 P1 (2)
2-6186 P1 (3)
265J*(C,F,L,N) Differential and absolute pressure 60mbar to 20bar 2-6187 P1 (3)
2-6195 P1 (2)
2-6186 P1 (3)
V2.1
265V*(F,L,N)
2010TA
Absolute pressure 400mbar to 20bar 2-6187 P1 (3)
2-6195 P1 (2)
2-6186 P1 (3)
V2.2 267C*(C,F,L,N)
269C*(C,F,L,N)
2010TC
Mass flow / Differential pressure 60mbar to 20bar 2-6187 P1 (3)
2-6195 P1 (2)
2-6186 P1 (3)
9280 039 P1 (3)
V3 265D*R
2010TD
Differential pressure 100bar 2-6187 P1 (3)
2-6195 P1 (2)
0764 908 P1 (3)
265A* (C,F)
2020TA
Absolute pressure 60mbar and 400mbar 2-6187 P1 (3)
2-6195 P1 (2)
0764 892 P1 (3)
V4
265G* (C,F)
2020TG
Gauge 60mbar and 400mbar 2-6187 P1 (3)
2-6195 P1 (2)
0764 892 P1 (3)
265A*(L,U)
2020TA
Absolute pressure 2,5bar 2-6187 P1 (3)
2-6195 P1 (2)
2-6149 P1 (3)
V5
265G*(L,U,R,V)
2020TG
Gauge 2,5bar 2-6187 P1 (3)
2-6195 P1 (2)
2-6149 P1 (3)
12
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 3 of 11
For safety applications only the 4..20 mA output was considered. All other possible output
variants or electronics are not covered by this report. The different devices can be equipped
with or without display.
The failure rates used in this analysis are the basic failure rates from the Siemens standard
SN 29500.
According to table 2 of IEC 61508-1 the average PFD for systems operating in low demand
mode has to be 10-3
to < 10-2
for SIL 2 safety functions. A generally accepted distribution of
PFDAVG values of a SIF over the sensor part, logic solver part, and final element part assumes
that 35% of the total SIF PFDAVG value is caused by the sensor part. For a SIL 2 application the
total PFDAVG value of the SIF should be smaller than 1,00E-02, hence the maximum allowable
PFDAVG value for the sensor part would then be 3,50E-03.
The pressure transmitter 2600T / 2000T Series with 4..20 mA output is considered to be a Type
B1 component with a hardware fault tolerance of 0.
Type B components with a SFF of 60% to < 90% must have a hardware fault tolerance of 1
according to table 3 of IEC 61508-2 for SIL 2 (sub-) systems.
As the pressure transmitter 2600T / 2000T Series with 4..20 mA output is supposed to be a
proven-in-use device, an assessment of the hardware with additional prior-use demonstration
for the device and its software was carried out. The prior-use investigation was based on field
return data collected and analyzed by ABB Automation Products GmbH. This data cannot cover
the process connection. The prior-use justification for the process connection still needs to be
done by the end-user.
According to the requirements of IEC 61511-1 First Edition 2003-01 section 11.4.4 and the
assessment described in section 5.1 the Type B pressure transmitter 2600T / 2000T Series with
a hardware fault tolerance of 0 and a SFF of 60% to < 90% is considered to be suitable for use
in SIL 2 safety functions The decision on the usage of prior-use devices, however, is always
with the end-user.
Failure rates that are assigned to the various failure modes of the sensor part of the pressure
transmitter 2600T / 2000T Series were obtained from field failure data using only operational
hours from the warranty period of operation. Confidence Interval calculations were done using a
chi-square distribution and an upper limit failure rate based on a 70% confidence factor per
IEC 61508. The failure rate results were compared with industry databases [N6] and found to be
within a reasonable range considering the much higher amount of operational hours.
Assuming that a connected logic solver can detect both over-range (fail high) and under-range
(fail low), high and low failures can be classified as safe detected failures or dangerous detected
failures depending on whether the pressure transmitter 2600T / 2000T Series with 4..20 mA
output is used in an application for “low level monitoring”, “high level monitoring” or “range
monitoring”. For these applications the following tables show how the above stated
requirements are fulfilled.
Type B component: “Complex” component (using micro controllers or programmable logic); for details
see 7.4.3.1.3 of IEC 61508-2.
13
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 4 of 11
Table 2: Summary for version V1.1 – Failure rates
Failure category (Failure rates in FIT) Fail-safe state =
“fail high”
Fail-safe state =
“fail low”
Fail High (detected by the logic solver)
Fail detected (int. diag.) 216
Fail high (inherently) 245
461
245
Fail Low (detected by the logic solver)
Fail detected (int. diag.) 216
Fail low (inherently) 15 15
231
Fail Dangerous Undetected 195 195
No Effect 137 137
Annunciation Undetected 1 1
Not part 54 54
MTBF = MTTF + MTTR 132 years 132 years
Transmitter configured fail-safe state = “fail high” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS
2 DCD ²
low = Sd
high = dd
15 FIT 138 FIT 462 FIT 195 FIT 75% 10% 70%
low = dd
high = sd
461 FIT 138 FIT 15 FIT 195 FIT 75% 77% 7%
low = sd
high = sd
476 FIT 138 FIT 0 FIT 195 FIT 75% 78% 0%
Transmitter configured fail-safe state = “fail low” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
231 FIT 138 FIT 245 FIT 195 FIT 75% 63% 56%
low = dd
high = sd
245 FIT 138 FIT 231 FIT 195 FIT 75% 64% 54%
low = sd
high = sd
476 FIT 138 FIT 0 FIT 195 FIT 75% 78% 0%
Table 3: Summary for version V1.1 – PFDAVG values
T[Proof] = 1 year T[Proof] = 5 years T[Proof] = 10 years
PFDAVG = 8,54E-04 PFDAVG = 4,26E-03 PFDAVG = 8,50E-03
2 DC means the diagnostic coverage (safe or dangerous) of the safety logic solver for pressure
transmitter 2600T / 2000T Series with 4..20 mA output.
14
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 5 of 11
Table 4: Summary for version V1.2 – Failure rates
Failure category (Failure rates in FIT) Fail-safe state =
“fail high”
Fail-safe state =
“fail low”
Fail High (detected by the logic solver)
Fail detected (int. diag.) 256
Fail high (inherently) 260
516
260
Fail Low (detected by the logic solver)
Fail detected (int. diag.) 256
Fail low (inherently) 16 16
272
Fail Dangerous Undetected 216 216
No Effect 166 166
Annunciation Undetected 1 1
Not part 54 54
MTBF = MTTF + MTTR 118 years 118 years
Transmitter configured fail-safe state = “fail high” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
16 FIT 167 FIT 516 FIT 216 FIT 76% 9% 70%
low = dd
high = sd
516 FIT 167 FIT 16 FIT 216 FIT 76% 76% 7%
low = sd
high = sd
532 FIT 167 FIT 0 FIT 216 FIT 76% 76% 0%
Transmitter configured fail-safe state = “fail low” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
272 FIT 167 FIT 260 FIT 216 FIT 76% 62% 55%
low = dd
high = sd
260 FIT 167 FIT 572 FIT 216 FIT 76% 61% 73%
low = sd
high = sd
532 FIT 167 FIT 0 FIT 216 FIT 76% 76% 0%
Table 5: Summary for version V1.2 – PFDAVG values
T[Proof] = 1 year T[Proof] = 5 years T[Proof] = 10 years
PFDAVG = 9,43E-04 PFDAVG = 4,70E-03 PFDAVG = 9,38E-03
15
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 6 of 11
Table 6: Summary for version V2.1 – Failure rates
Failure category (Failure rates in FIT) Fail-safe state =
“fail high”
Fail-safe state =
“fail low”
Fail High (detected by the logic solver)
Fail detected (int. diag.) 189
Fail high (inherently) 202
391
202
Fail Low (detected by the logic solver)
Fail detected (int. diag.) 189
Fail low (inherently) 15 15
204
Fail Dangerous Undetected 198 198
No Effect 127 127
Annunciation Undetected 1 1
Not part 54 54
MTBF = MTTF + MTTR 145 years 145 years
Transmitter configured fail-safe state = “fail high” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
15 FIT 128 FIT 391 FIT 198 FIT 73% 10% 66%
low = dd
high = sd
391 FIT 128 FIT 15 FIT 198 FIT 73% 75% 7%
low = sd
high = sd
406 FIT 128 FIT 0 FIT 198 FIT 73% 76% 0%
Transmitter configured fail-safe state = “fail low” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
204 FIT 128 FIT 202 FIT 198 FIT 73% 61% 51%
low = dd
high = sd
202 FIT 128 FIT 204 FIT 198 FIT 73% 61% 51%
low = sd
high = sd
406 FIT 128 FIT 0 FIT 198 FIT 73% 76% 0%
Table 7: Summary for version V2.1 – PFDAVG values
T[Proof] = 1 year T[Proof] = 5 years T[Proof] = 10 years
PFDAVG = 8,65E-04 PFDAVG = 4,31E-03 PFDAVG = 8,60E-03
16
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 7 of 11
Table 8: Summary for version V2.2 – Failure rates
Failure category (Failure rates in FIT) Fail-safe state =
“fail high”
Fail-safe state =
“fail low”
Fail High (detected by the logic solver)
Fail detected (int. diag.) 229
Fail high (inherently) 217
446
217
Fail Low (detected by the logic solver)
Fail detected (int. diag.) 229
Fail low (inherently) 16 16
245
Fail Dangerous Undetected 218 218
No Effect 156 156
Annunciation Undetected 1 1
Not part 54 54
MTBF = MTTF + MTTR 128 years 128 years
Transmitter configured fail-safe state = “fail high” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
16 FIT 157 FIT 446 FIT 218 FIT 73% 9% 67%
low = dd
high = sd
446 FIT 157 FIT 16 FIT 218 FIT 73% 74% 7%
low = sd
high = sd
462 FIT 157 FIT 0 FIT 218 FIT 73% 75% 0%
Transmitter configured fail-safe state = “fail low” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
245 FIT 157 FIT 217 FIT 218 FIT 73% 61% 50%
low = dd
high = sd
217 FIT 157 FIT 245 FIT 218 FIT 73% 58% 53%
low = sd
high = sd
462 FIT 157 FIT 0 FIT 218 FIT 73% 75% 0%
Table 9: Summary for version V2.2 – PFDAVG values
T[Proof] = 1 year T[Proof] = 5 years T[Proof] = 10 years
PFDAVG = 9,54E-04 PFDAVG = 4,76E-03 PFDAVG = 9,49E-03
17
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 8 of 11
Table 10: Summary for version V3 – Failure rates
Failure category (Failure rates in FIT) Fail-safe state =
“fail high”
Fail-safe state =
“fail low”
Fail High (detected by the logic solver)
Fail detected (int. diag.) 210
Fail high (inherently) 1300
1510
1300
Fail Low (detected by the logic solver)
Fail detected (int. diag.) 210
Fail low (inherently) 15 15
225
Fail Dangerous Undetected 558 558
No Effect 124 124
Annunciation Undetected 1 1
Not part 54 54
MTBF = MTTF + MTTR 50 years 50 years
Transmitter configured fail-safe state = “fail high” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
15 FIT 125 FIT 1510 FIT 558 FIT 74% 11% 73%
low = dd
high = sd
1510 FIT 125 FIT 15 FIT 558 FIT 74% 92% 3%
low = sd
high = sd
1525 FIT 125 FIT 0 FIT 558 FIT 74% 92% 0%
Transmitter configured fail-safe state = “fail low” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
225 FIT 125 FIT 1300 FIT 558 FIT 74% 64% 70%
low = dd
high = sd
1300 FIT 125 FIT 225 FIT 558 FIT 74% 91% 29%
low = sd
high = sd
1525 FIT 125 FIT 0 FIT 558 FIT 74% 92% 0%
Table 11: Summary for version V3 – PFDAVG values
T[Proof] = 1 year T[Proof] = 3 years T[Proof] = 5 years
PFDAVG = 2,44E-03 PFDAVG = 7,29E-03 PFDAVG = 1,21E-02
18
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 9 of 11
Table 12: Summary for version V4 – Failure rates
Failure category (Failure rates in FIT) Fail-safe state =
“fail high”
Fail-safe state =
“fail low”
Fail High (detected by the logic solver)
Fail detected (int. diag.) 218
Fail high (inherently) 557
775
557
Fail Low (detected by the logic solver)
Fail detected (int. diag.) 218
Fail low (inherently) 15 15
233
Fail Dangerous Undetected 300 300
No Effect 125 125
Annunciation Undetected 1 1
Not part 56 56
MTBF = MTTF + MTTR 90 years 90 years
Transmitter configured fail-safe state = “fail high” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
15 FIT 126 FIT 775 FIT 300 FIT 75% 11% 72%
low = dd
high = sd
775 FIT 126 FIT 15 FIT 300 FIT 75% 86% 5%
low = sd
high = sd
790 FIT 126 FIT 0 FIT 300 FIT 75% 86% 0%
Transmitter configured fail-safe state = “fail low” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
233 FIT 126 FIT 557 FIT 300 FIT 75% 65% 65%
low = dd
high = sd
557 FIT 126 FIT 233 FIT 300 FIT 75% 82% 44%
low = sd
high = sd
790 FIT 126 FIT 0 FIT 300 FIT 75% 86% 0%
Table 13: Summary for version V4 – PFDAVG values
T[Proof] = 1 year T[Proof] = 5 years T[Proof] = 10 years
PFDAVG = 1,31E-03 PFDAVG = 6,53E-03 PFDAVG = 1,30E-02
19
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 10 of 11
Table 14: Summary for version V5 – Failure rates
Failure category (Failure rates in FIT) Fail-safe state =
“fail high”
Fail-safe state =
“fail low”
Fail High (detected by the logic solver)
Fail detected (int. diag.) 189
Fail high (inherently) 197
386
197
Fail Low (detected by the logic solver)
Fail detected (int. diag.) 189
Fail low (inherently) 15 15
204
Fail Dangerous Undetected 222 222
No Effect 115 115
Annunciation Undetected 1 1
Not part 53 53
MTBF = MTTF + MTTR 144 years 144 years
Transmitter configured fail-safe state = “fail high” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
15 FIT 116 FIT 386 FIT 222 FIT 69% 11% 64%
low = dd
high = sd
386 FIT 116 FIT 15 FIT 222 FIT 69% 77% 6%
low = sd
high = sd
401 FIT 116 FIT 0 FIT 222 FIT 69% 78% 0%
Transmitter configured fail-safe state = “fail low” – Failure rates according to IEC 61508
Failure Categories sd su dd du SFF DCS ² DCD ²
low = sd
high = dd
204 FIT 116 FIT 197 FIT 222 FIT 69% 64% 47%
low = dd
high = sd
197 FIT 116 FIT 204 FIT 222 FIT 69% 63% 48%
low = sd
high = sd
401 FIT 116 FIT 0 FIT 222 FIT 69% 78% 0%
Table 15: Summary for version V5 – PFDAVG values
T[Proof] = 1 year T[Proof] = 5 years T[Proof] = 10 years
PFDAVG = 9,71E-04 PFDAVG = 4,84E-03 PFDAVG = 9,66E-03
20
Transmisor de presión de las series 2000T y 265Ax, 265Gx, 265Vx, 265Dx, 265Jx, 267Cx, 269Cx SM 265/7/9 SIL-ESInstrucciones para la seguridad funcional
© exida.com GmbH abb 03-09-13 r001 v1 r1.2, March 1, 2004
Stephan Aschenbrenner Page 11 of 11
The boxes marked in yellow ( ) mean that the calculated PFDAVG values are within the
allowed range for SIL 2 according to table 2 of IEC 61508-1 but do not fulfill the requirement to
not claim more than 35% of this range, i.e. to be better than or equal to 3,50E-03. The boxes
marked in green ( ) mean that the calculated PFDAVG values are within the allowed range for
SIL 2 according to table 2 of IEC 61508-1 and table 3.1 of ANSI/ISA–84.01–1996 and do fulfill
the requirement to not claim more than 35% of this range, i.e. to be better than or equal to
3,50E-03. The boxes marked in red ( ) mean that the calculated PFDAVG values do not fulfill
the requirement for SIL 2 according to table 2 of IEC 61508-1.
The functional assessment has shown that transmitters of the pressure transmitter
2600T / 2000T Series with 4..20 mA output have a PFDAVG within the allowed range for
SIL 2 according to table 2 of IEC 61508-1 and table 3.1 of ANSI/ISA–84.01–1996 and a Safe
Failure Fraction (SFF) of more than 69%. Based on the verification of "prior use" they can
be used as a single device for SIL2 Safety Functions in terms of IEC 61511-1 First Edition
2003-01.
A user of the pressure transmitter 2600T / 2000T Series with 4..20 mA output can utilize these
failure rates along with the failure rates for an impulse line, when required, in a probabilistic
model of a safety instrumented function (SIF) to determine suitability in part for safety
instrumented system (SIS) usage in a particular safety integrity level (SIL). A full table of failure
rates for different operating conditions is presented in section 5.2 to 5.6 along with all
assumptions.
It is important to realize that the “don’t care” failures and the “annunciation” failures are included
in the “safe undetected” failure category according to IEC 61508. Note that these failures on its
own will not affect system reliability or safety, and should not be included in spurious trip
calculations.
21
SM
265
/7/9
SIL
-ES
Rev
. 02
ABB ofrece asesoramiento amplio y competente en más de 100 países en todo el mundo.
www.abb.com
ABB optimiza sus productos continuamente,por lo que nos reservamos el derecho de modificar los datos técnicos
indicados en este documento.
Printed in the Fed. Rep. of Germany (05.2007)
© ABB 2007
ABB Automation Products, S.A.División Instrumentaciónc/ Albarracín, 3528037 - MADRIDSpainTel: +34 91 581 93 93Fax: +34 91 581 93 93
ABB S.A.Av. Don Diego CisnerosEdif. ABB, Los RuicesCaracasVenezuelaTel: +58 (0)212 2031676Fax: +58 (0)212 2031827
ABB Automation Products GmbHSchillerstr. 7232425 MindenGermanyTel: +49 551 905-534Fax: +49 551 905-555CCC-support.deapr@de.abb.com
Recommended