AUMA Actuators SA.2/SAEx.2/SA.1/SAEx.1 mit AC(V) 01.2/AC(V)ExC 01.2 Manuale utente
- Tipo
- Manuale utente
Attuatori multigiro
SA(R) 07.2 – SA(R) 16.2/SA(R)Ex 07.2 – SA(R)Ex 16.2
SA(R) 25.1 – SA(R)30.1/SA 35.1 – SA 40.1
SA(R)Ex 25.1 – SA(R)Ex 30.1/SAEx 35.1 – SAEx 40.1
con unità di controllo attuatore
AC(V) 01.2/AC(V)ExC 01.2
Versione SFC
Sicurezza funzionaleManuale
NOTA sull'utilizzo!
Il presente documento fa riferimento unicamente al Manuale di istruzioni aggiornato allegato al dispositivo, al
manuale allegato, alla dichiarazione del produttore specifica dell'ordine allegata e ai relativi dati tecnici ed elettrici.
Suddetti documenti sono parimenti validi.
Finalità del documento:
Il presente documento indica le misure che devono essere necessariamente adottate per l'utilizzo del dispositivo
all'interno di sistemi di sicurezza ai sensi delle norme IEC 61508 / IEC 61511.
Documentazioni di riferimento:
●Report exida num. AUMA 10-12-035 R005E
●Manuale di istruzioni (Montaggio, utilizzo e messa in servizio) dell'attuatore
●Manuale (Funzionamento e impostazione) Unità di comando attuatore AC 01.2/ACExC 01.2
●Manuale (Funzionamento e impostazione) Unità di comando attuatore ACV 01.2/ACVExC 01.2
●Manuale (Integrazione dispositivo bus di campo) AC 01.2/ACExC 01.2 / ACV 01.2/ACVExC 01.2
La documentazione di riferimento è disponibile su Internet all'indirizzo http://www.auma.com.
Indice del contenuto Pagina
41. Terminologia........................................................................................................................... 41.1. Abbreviazioni e termini
62. Applicazione e validità........................................................................................................... 62.1. Campo di applicazione 62.2. Norme 62.3. Tipi di dispositivi validi
83. Progettazione, configurazione e condizioni di utilizzo....................................................... 83.1. Progettazione (impostazione attuatore) 83.2. Configurazione (impostazione) 83.3. Protezione contro il movimento incontrollato (blocco interno/freno) 93.4. Modo operativo (low/high demand mode) 103.5. Ulteriori note e indicazioni per la progettazione 103.6. Condizioni di utilizzo (condizioni ambientali)
114. Sistemi tecnici di sicurezza e funzioni di sicurezza............................................................
125. Installazione, messa in servizio e funzionamento.............................................................. 125.1. Installazione 125.2. Messa in servizio 125.3. Funzionamento 125.4. Durata 135.5. Spegnimento
146. Verifiche e assistenza............................................................................................................ 146.1. Controllo delle infrastrutture di sicurezza 146.2. Proof-test (controllo del funzionamento sicuro dell'attuatore) 146.2.1. Verifiche preliminari 146.2.2. Controllo e convalida della funzione di sicurezza "Segnalazione sicura di posizione
finale" 156.2.3. Controllo del segnale cumulativo di anomalia 156.3. Partial Valve Stroke Test (PVST) 166.4. Manutenzione
2
Attuatori multigiro
Indice del contenuto SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
177. Indicatori tecnici di sicurezza............................................................................................... 177.1. Definizione degli indicatori
188. Dichiarazione di conformità SIL (esempio)..........................................................................
21Indice analitico.......................................................................................................................
22Indirizzi....................................................................................................................................
3
Attuatori multigiro
SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2 Indice del contenuto
1. Terminologia
Fonti delle informazioni ●IEC 61508-4, Sicurezza funzionale dei sistemi di sicurezza elettrici / elettronici
/ elettronici programmabili – Parte 4:Termini e abbreviazioni
●IEC 61511-1, Sicurezza funzionale – Sistemi tecnici di sicurezza per l'industria
di processo – Parte 1: Informazioni generali, termini, requisiti del sistema,
software e hardware
1.1. Abbreviazioni e termini
Per la valutazione delle funzioni di sicurezza sono necessari in primo luogo i valori
lambda o il valore PFD (Probability of Dangerous Failure on Demand), nonché il
valore SFF (Safe Failure Fraction). Per la valutazione dei singoli componenti sono
necessari altri indicatori. La seguente tabella presenta una breve spiegazione degli
indicatori.
Tabella 1: Abbreviazioni indicatori tecnici di sicurezza
DescrizioneIngleseIndicatore Numero di errori sicuriLambda SafeλSNumero di errori pericolosiLambda DangerousλDNumero di errori pericolosi non rilevatiLambda Dangerous UndetectedλDU Numero di errori pericolosi rilevatiLambda Dangerous DetectedλDD Grado di copertura della diagnosi -
Rapporto tra il tasso di errore degli
errori pericolosi riconosciuti dal test
diagnostico e il tasso complessivo degli
errori pericolosi dei componenti o del
sottosistema. Il grado di copertura della
diagnosi non include le anomalie
rilevate durante il controllo ripetuto (test
prova)
Diagnostic CoverageDC
Intervallo di tempo medio tra il
verificarsi di due errori consecutivi
Mean Time Between FailuresMTBF
Quota di errori sicuri e pericolosi che
possono essere rilevati
Safe Failure FractionSFF
Probabilità media degli errori pericolosi
di una funzione di sicurezza in caso di
richiesta
Average Probability of dangerous
Failure on Demand
PFDavg
Capacità di un'unità funzionale di
continuare ad eseguire la funzione
richiesta in presenza di errori o
discrepanze. HFT = n significa che la
funzione può continuare ad essere
eseguita in modo sicuro fino al
manifestarsi di n errori
contemporaneamente.
Hardware Fault ToleranceHFT
Intervallo per il controllo ripetutoProof test intervalTproof
SIL Livello di integrità di sicurezza (Safety Integrity Level).
La norma internazionale IEC 61508 definisce 4 livelli (da SIL 1 a SIL 4).
Funzione di sicurezza Funzione che viene eseguita da un SIS o da un sistema di sicurezza per il
contenimento del rischio con l'obiettivo di ripristinare o mantenere lo stato sicuro
dell'impianto / dell'infrastruttura in caso di un evento pericoloso effettivo.
Funzione tecnica di
sicurezza (SIF) Funzione con un livello di integrità di sicurezza (SIL) preimpostato, necessaria per
il raggiungimento della sicurezza funzionale.
Sistema tecnico di
sicurezza (SIS) Sistema tecnico di sicurezza per l'esecuzione di una o più funzioni tecniche di
sicurezza. Un SIS è costituito da uno o più sensori, dal sistema logistico e da uno o
più attori.
4
Attuatori multigiro
Terminologia SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
Sistema di sicurezza Un sistema di sicurezza comprende tutto ciò (hardware, software, fattori umani) che
è necessario per l'esecuzione di una o più funzioni di sicurezza. Gli errori della
funzione di sicurezza comporterebbero un significativo aumento del rischio di
sicurezza per le persone e/o per l'ambiente.
Un sistema di sicurezza può essere un impianto proprio per l'esecuzione di una
determinata funzione di sicurezza, oppure essere integrato in un altro impianto.
Controllo ripetuto Controllo ripetuto per la copertura degli errori in un sistema di sicurezza affinché il
sistema possa essere riportato se necessario a uno stato "come nuovo" o quanto
più possibile vicino a questo stato da un punto di vista pratico.
MTTR (Mean Time To
Restoration) Intervallo di tempo medio per il ripristino dopo che si è manifestato un errore. Dipende
dalla durata media del ripristino del sistema. Rappresenta un parametro importante
per la disponibilità del sistema. Questo intervallo comprende anche l'intervallo di
tempo necessario per il rilevamento di un errore, per la progettazione dei compiti e
per il funzionamento.Tale intervallo dovrebbe essere più breve possibile.
MRT (Mean Repair Time) La durata media di riparazione indica l'intervallo di tempo mediamente necessario
per riparare il sistema. L'MRT è importante per definire l'affidabilità e la disponibilità
del sistema. L'MRT dovrebbe essere più breve possibile.
Tipo di dispositivo (tipo
A e tipo B) L'unità di comando dell'attuatore può essere considerata un dispositivo di tipo A se
tutti i componenti necessari per l'esecuzione di una funzione di sicurezza soddisfano
i seguenti requisiti:
●Definizione precisa dei tipi di errore relativi a tutti i componenti interessati.
●Previsione completa del comportamento del sistema in caso di errore.
●Presenza di una quantità di dati d'errore relativa al campo sufficiente per provare
che il tasso di errore indicato è effettivo (Confidence Level min. 70%).
L'unità di comando dell'attuatore deve essere considerata un dispositivo di tipo B
se si presentano una o più condizioni di seguito indicate:
●Mancata definizione chiara dell'errore di almeno un componente.
●Riconoscimento incompleto del comportamento dell'errore.
●Assenza di dati d'errore affidabili per i dispositivi di campo per sostenere il tasso
di errore relativo per gli errori pericolosi determinati e non rilevati.
PTC (Proof Test
Coverage) Il Proof Test Coverage descrive la quota di errori che è possibile rilevare con un
Proof-test.
5
Attuatori multigiro
SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2 Terminologia
2. Applicazione e validità
2.1. Campo di applicazione
Gli attuatori e le unità di comando per attuatori AUMA con le funzioni di sicurezza
menzionate in questo manuale sono destinati all'azionamento di rubinetti industriali
e sono adatti all'impiego all'interno di sistemi tecnici di sicurezza secondo le norme
IEC 61508 / IEC 61511.
2.2. Norme
Gli attuatori e le unità di comando per attuatori soddisfano i seguenti requisiti:
Per le funzioni di sicurezza "Feedback sicuro di finecorsa": IEC 61508-2:2010
Gli indicatori tecnici di sicurezza dei dispositivi descritti soddisfano i requisiti della
norma IEC 61508 nel livello SIL corrispondente per quanto riguarda i tassi di errore
e i requisiti dell'architettura.Tuttavia, questo non significa che tutti gli altri requisiti
della IEC 61508 siano soddisfatti.
2.3. Tipi di dispositivi validi
Le indicazioni relative alla sicurezza funzionale contenute nel presente Manuale
sono valide per i tipi di dispositivi qui indicati.
Tabella 2: Panoramica dei tipi di dispositivi adatti
Unità di comandoModo operativoMotore
Tensione di
alimentazione
Tipo
Unità di comando
attuatore
Tipo
Attuatore
Feedback sicuro di finecorsaS2-15 min
S2-30 min
S4-25 %
S4-50 %
Qualsiasi
posizione
AC 01.2
in versione SFC
SA 07.2 – SA 16.2
SAR 07.2 – SAR 16.2
in versione SFC
Feedback sicuro di finecorsaS2-15 min
S2-30 min
S4-25 %
S4-50 %
Qualsiasi
posizione
AC 01.2
in versione SFC
SA 25.1 – SA 40.1
SAR 25.1 – SAR 30.1
in versione SFC
Feedback sicuro di finecorsaS2-15 min
S2-30 min
S4-25 %
S4-50 %
Qualsiasi
posizione
ACExC 01.2
in versione SFC
SAEx 07.2 – SAEx 16.2
SAREx 07.2 – SAREx 16.2
in versione SFC
Feedback sicuro di finecorsaS2-15 min
S2-30 min
S4-25 %
S4-50 %
Qualsiasi
posizione
ACExC 01.2
in versione SFC
SAEx 25.1 – SAEx 40.1
SAREx 25.1 – SAREx 30.1
in versione SFC
Feedback sicuro di finecorsaS2-15 min
S2-30 min
S4-25 %
S4-50 %
Qualsiasi
posizione
ACV/ACVExC 01.2
in versione SFC
SAV/SARV 07.2 – 16.2
SAVEx/SARVEx 07.2 – 16.2
in versione SFC
Non è consentita la modifica dell'hardware, del software e della configurazione
dell'attuatore e/o dell'unità di comando attuatore senza l'autorizzazione scritta di
AUMA. Modifiche non autorizzate possono compromettere gli indicatori di sicurezza
e la funzionalità SIL dei prodotti.
Informazione Per le applicazioni per le quali è richiesta la sicurezza funzionale è consentito
utilizzare solo unità di comando degli attuatori e attuatori AUMA delle versioni SFC
o SIL. SFC è l'acronimo di "Safety Figure Calculated".Viene usato per identificare
i prodotti AUMA per i quali gli indicatori tecnici di sicurezza sono stati determinati
con l'aiuto di una FMEDA dai dati sul campo e dai dati generici (per i dettagli fare
riferimento al capitolo <Definizione degli indicatori>).
Le unità di comando degli attuatori e gli attuatori AUMA della versione SFC si
riconoscono, tra le altre caratteristiche, per la presenza dell'acronimo "SFC" sulla
targhetta dietro la denominazione del tipo.
6
Attuatori multigiro
Applicazione e validità SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
Figura 1: Esempio di targhetta con l'acronimo "SFC"
7
Attuatori multigiro
SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2 Applicazione e validità
3. Progettazione, configurazione e condizioni di utilizzo
3.1. Progettazione (impostazione attuatore)
Per la progettazione (impostazione dell'attuatore) degli attuatori vengono considerate
in primo luogo le coppie massime consentite, i momenti di corsa e i tempi di azione.
Un'impostazione scorretta può provocare danni ai dispositivi all'interno del
sistema di sicurezza!
Tra le possibili conseguenze figurano: danni al rubinetto, surriscaldamento del
motore, incollamento delle protezioni, danni ai componenti elettronici,
surriscaldamento e danneggiamento dei tubi.
→Nell'impostazione rispettare obbligatoriamente i dati tecnici degli attuatori.
→Pianificare una riserva sufficiente per assicurare che gli attuatori siano in grado
di chiudere e aprire in modo affidabile i rubinetti anche in caso di guasto e in
mancanza di tensione sufficiente.
Informazione Con la funzione di sicurezza "Feedback sicuro di finecorsa", occorre notare che la
segnalazione avviene tramite interruttori meccanici. Poiché questi elementi hanno
un'isteresi inevitabile, l'attuatore lascia la posizione finale subito prima che la
segnalazione della posizione finale venga cancellata. Di conseguenza esiste un
campo di posizioni dell'attuatore immediatamente attiguo alla posizione di sicurezza
in cui la posizione finale viene ancora segnalata con lo spostamento dalla posizione
di sicurezza, ma con l'attuatore che ha già lasciato questa posizione. Il raggiungimento
del campo incerto corrispondente nella direzione opposta non comporta la limitazione
descritta. Solitamente questo campo è ridotto, ma in configurazioni poco propizie
(numero ridotto di rotazioni per giro) può superare anche del 10 % la rotazione
completa.
Se, a causa di condizioni sfavorevoli, l'effetto descritto sopra rappresenta una
limitazione inaccettabile per la funzione di sicurezza, raccomandiamo di valutare sia
l'interruttore di finecorsa che il limitatore di coppia per la segnalazione posizione
finale.
Alimentazione energetica
Informazione Il gestore dell'impianto è responsabile della sicurezza dell'alimentazione energetica.
3.2. Configurazione (impostazione)
La configurazione (impostazione) delle funzioni relative alla sicurezza viene eseguita
come descritto nel manuale di istruzioni o come descritto nel presente manuale
(Sicurezza funzionale).
Informazione Un'esatta impostazione di interruttore di finecorsa e limitatore di coppia per le posizioni
finali è assolutamente necessaria per assicurare un corretto funzionamento del
"Feedback sicuro di finecorsa". I dettagli sull'impostazione degli interruttori
corrispondenti sono riportati nel manuale di istruzioni.
Configurazione delle attività di diagnosi del monitoraggio della reazione e del
Partial Valve Stroke Test (PVST).
A seconda del tipo di diagnostica richiesta, le configurazioni per il monitoraggio della
reazione o il Partial Valve Stroke Test devono essere controllate e regolate se
necessario.
Le opzioni di configurazione dettagliate per il monitoraggio della reazione e le
informazioni sul Partial Valve Stroke Test (PVST) sono riportate nel Manuale
(Funzionamento e impostazione) AUMATIC AC 01.2.
3.3. Protezione contro il movimento incontrollato (blocco interno/freno)
Per gli attuatori AUMA con blocco interno è possibile presupporre che in presenza
di carico non superiore alla coppia massima non avvenga alcun movimento
incontrollato della valvola dalla posizione di riposo causato dal carico sulla coppia.
8
Attuatori multigiro
Progettazione, configurazione e condizioni di utilizzo SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
Per questo in suddetti casi non è necessaria un'ulteriore protezione contro il
movimento incontrollato. Ciò può essere necessario se, ad esempio, il bloccaggio
automatico non è garantito o non è sufficiente a causa delle vibrazioni. Determinate
applicazioni possono inoltre richiedere nonostante tutto una protezione attiva della
posizione tramite, ad esempio, un freno. Esistono altresì specifiche norme legate a
determinate applicazioni che ne richiedono la presenza. Per questo motivo è
necessario verificare in ogni caso se sia necessaria o meno un'ulteriore protezione.
La protezione è sempre necessaria negli attuatori privi di blocco interno.
Tabella 3: Panoramica blocco interno negli attuatori AUMA (al momento della stampa)
Bloccaggio automaticoVelocità di spostamentoTipo
60 Hz50 Hz
con blocco interno≤ 108 1/min.≤ 90 1/min.SA 07.2 – SA 16.2
SAR 07.2 – SAR 16.2
SAEx 07.2 – SAEx 16.2
SAREx 07.2 – SAREx 16.2
SENZA blocco interno≥ 150 1/min.≥ 125 1/min.
con blocco internoVelocità variabile 6 – 60 1/min e 12
– 120 1/min
SAV 07.2 – SAV 16.2
SARV 07.2 – SARV 16.2
SAVEx 07.2 – SAVEx 16.2
SARVEx 07.2 – SARVEx 16.2 SENZA blocco internoVelocità variabile 24 – 240 1/min
con blocco interno≤ 108 1/min.≤ 90 1/min.SA 25.1 – SA 30.1
SAR 25.1 – SAR 30.1
SAEx 25.1 – SAEx 30.1
SAREx 25.1 – SAREx 30.1
SENZA blocco interno≥ 150 1/min.≥ 125 1/min.
con blocco interno≤ 26 1/min.≤ 22 1/min.SA 35.1
SAEx 35.1 SENZA blocco interno≥ 38 1/min.≥ 32 1/min.
con blocco interno≤ 26 1/min.≤ 22 1/min.SA 40.1
SAEx 40.1 SENZA blocco interno≥ 38 1/min.≥ 32 1/min.
3.4. Modo operativo (low/high demand mode)
Le funzioni di sicurezza degli attuatori forniti da AUMA sono progettate per il modo
operativo con ridotto tasso di richiesta (low demand mode) e possono essere utilizzate
solo in questo modo operativo. Se oltre alla funzione di sicurezza tramite lo stesso
attuatore viene eseguita anche una funzione non tecnica di sicurezza del dispositivo
operativo di controllo, è necessario prestare attenzione a che, anche nel rispetto
della somma tra la funzione non tecnica di sicurezza, i test necessari e la funzione
di sicurezza, non vengano superati il numero massimo di cicli comando previsto per
il singolo attuatore1) e il numero massimo di avviamenti2) durante l'impiego
dell'attuatore in un sistema tecnico di sicurezza.
Solo la funzione di sicurezza Feedback sicuro di finecorsa può essere azionata,
oltre alle limitazioni sopra descritte, in determinate condizioni anche nel modo
operativo con elevato tasso di richiesta se vengono rispettate le condizioni e i limiti
imposti:
●Nel rispetto della somma tra funzione non tecnica di sicurezza, test necessari
e funzione di sicurezza, non vengono superati il numero massimo di cicli
comando dell'interruttore di finecorsa definito per il singolo attuatore e il numero
massimo di avviamenti durante l'impiego dell'attuatore in un sistema tecnico di
sicurezza.
●Nel rispetto della somma tra funzione non tecnica di sicurezza, test necessari
e funzione di sicurezza non vengono superati il numero massimo di cicli
comando1) o avviamenti2) permessi per il singolo attuatore nel rispetto delle
regole di misurazione.
●La lubrificazione viene controllata regolarmente e se necessario sostituita
almeno ogni 10 anni.
●Ogni 20 000 cicli comando1) o avviamenti2) (a seconda della condizione
raggiunta per prima) è necessario controllare ed eventualmente sostituire
l'ingranaggio guida e la ruota elicoidale per rilevare eventuali tracce di usura.
1) definizione di cicli comando secondo DIN EN 15714-2:2010
2) definizione di avviamenti secondo DIN EN 15714-2:2010
9
Attuatori multigiro
SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2 Progettazione, configurazione e condizioni di utilizzo
●L'utente finale assicura il raggiungimento di un tasso di prova (PVST) per la
funzione di sicurezza "Feedback sicuro di finecorsa" corrispondente alle norme
sul tasso di richiesta valide per la singola applicazione.
●Tutti i requisiti secondo la scheda tecnica "Dati tecnici per l'interruttore"
(Y004.619) devono essere rispettati. In particolar modo devono essere rispettate
corrente e tensione massima e minima.
●Il numero di cicli comando1) e il numero di cicli comando di ogni interruttore di
finecorsa o di coppia non deve superare i valori indicati nella seguente tabella:
Tabella 4: Classe C (modulazione)Classe A e B
OroOroArgentoArgentoOroArgentoMateriale dei contatti
50 V/400 mA30 V/30 mA250 V AC/5 A30 V/30 mACarico elettrico massimo
< 20 000< 100 000< 20 000< 100 000< 20 000< 20 000Numero massimo di cicli comando
dell'interruttore di finecorsa e di cicli comando
secondo DIN EN 15714-2:2010
3.5. Ulteriori note e indicazioni per la progettazione
L'HFT è 0.
Come raccordo per le valvole è possibile utilizzare esclusivamente flange delle
dimensioni di F07, FA07 o superiori.
Per la "Segnalazione sicura di posizione finale", l'attuatore può essere considerato
come un dispositivo di tipo A.
Indicatori tecnici di sicurezza
Gli indicatori tecnici di sicurezza rilevanti per il rispettivo prodotto consegnato, così
come le possibili ulteriori restrizioni, sono riportate nella dichiarazione del produttore.
Questa dichiarazione del produttore è specifica dell'ordine e viene consegnata
direttamente con l'ordine.
3.6. Condizioni di utilizzo (condizioni ambientali)
Nella progettazione e nell'utilizzo degli attuatori all'interno di sistemi tecnici di
sicurezza è necessario fare attenzione a che le condizioni di impiego consentite,
così come i requisiti EMV, siano rispettate dai dispositivi circostanti. Le condizioni
di utilizzo sono indicate nella scheda dati tecnici:
●Grado di protezione
●Protezione anticorrosiva
●Temperatura ambiente
●Resistenza alle oscillazioni (vibrazione)
Se le temperature effettive dell'ambiente raggiungono un valore medio superiore ai
+40 °C, ai valori lambda deve essere applicato un fattore sicurezza. In presenza di
una temperatura media pari a +60 °C, suddetto fattore corrisponde a 2,5.
Per la prova ambientale l'attuatore unitamente all'unità di comando dell'attuatore
deve aver soddisfatto le seguenti norme:
●Caldo secco: EN 60068-2-2
●Caldo umido: EN 60068-2-30
●Freddo: EN 60068-2-1
●Prova oscillazioni: IEC 60068-2-6
●Scossa indotta (terremoto): IEC 60068-3-33)
●Prova tipo di protezione IP68: EN 60529
●Prova nebbia salina: EN ISO 12944-6
●Immunità: DIN EN 61326-3-1
●Emissioni: DIN EN 61000-6-4
1) definizione di cicli comando secondo DIN EN 15714-2:2010
3) solo nella versione tiristore
10
Attuatori multigiro
Progettazione, configurazione e condizioni di utilizzo SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
4. Sistemi tecnici di sicurezza e funzioni di sicurezza
Per il calcolo degli indicatori tecnici di sicurezza dell'attuatore è stata considerata la
seguente funzione di sicurezza:
●Feedback sicuro di finecorsa
È presente un segnale di posizione finale cablato direttamente all'attuatore. La
funzione di sicurezza è la segnalazione corretta che l'attuatore si trova o meno
nella posizione finale in questione dell'attuatore.4) Solo la segnalazione avvenuta
attraverso questo percorso di segnalazione è rilevante per la sicurezza. Una
segnalazione di posizione finale attraverso i relè dell'interfaccia I/O, tramite un
trasmettitore di posizione (RWG, MWG, potenziometro, ecc.) o attraverso
un'interfaccia bus di campo non rappresenta una segnalazione sicura di
posizione finale.
4) Si prega di notare che gli indicatori tecnici di sicurezza includono solo i componenti dell'attuatore.
Altri componenti da considerare (es. integrità delle unità di controllo esterne, riduttori, stelo della
valvola, altri componenti della valvola, ecc.) non sono inclusi negli indicatori di questo prodotto
come specificato da AUMA.
11
Attuatori multigiro
SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2 Sistemi tecnici di sicurezza e funzioni di sicurezza
5. Installazione, messa in servizio e funzionamento
Informazione L'installazione e la messa in servizio devono essere documentate mediante un
rapporto di montaggio e un certificato di collaudo. L'installazione e la messa in servizio
devono essere eseguite esclusivamente da personale tecnico autorizzato con
adeguata formazione nel campo della sicurezza funzionale.
5.1. Installazione
L'installazione generale (montaggio, collegamento elettrico) deve essere eseguita
conformemente al Manuale di istruzioni del dispositivo e allo schema elettrico allegato
su richiesta.
Figura 2: Esempio di schema elettrico con feedback sicuro di finecorsa
[1] Interruttore di finecorsa per il feedback sicuro di finecorsa
L'installazione e la messa in servizio devono essere documentate e deve essere
preparato un rapporto finale di installazione e messa in servizio.
Quando si collegano le unità di comando attuatore a un PLC di sicurezza e a un'unità
di controllo operativa, occorre assicurarsi che gli ingressi e le uscite utilizzati in ogni
caso abbiano potenziali di riferimento separati. È assolutamente necessario evitare
di stabilire una connessione tra il circuito del sistema di sicurezza e l'unità di controllo
operativa del processo attraverso ingressi o uscite con un potenziale di riferimento
comune. Questo è particolarmente importante quando si seleziona l'ingresso per il
segnale ESD, per gli ingressi e le uscite del PVST e per il messaggio di errore (e
altre segnalazioni di feedback, se applicabile).
Informazione È possibile indicare la posizione della valvola tramite un potenziometro o un segnale
4-20 mA.Tuttavia, questo non fa parte dell'accertamento degli indicatori chiave di
sicurezza.
5.2. Messa in servizio
Per la messa in servizio generale seguire il Manuale di istruzioni del dispositivo.
Dopo la messa in servizio eseguire un controllo del funzionamento sicuro
dell'attuatore.
5.3. Funzionamento
La condizione necessaria per un funzionamento sicuro è la manutenzione regolare
e il controllo del dispositivo secondo gli intervalli di Tproof prefissati dal gestore
dell’impianto.
Per il funzionamento seguire il Manuale di istruzioni del dispositivo.
Il gestore dell'impianto è responsabile della sicurezza dell'alimentazione energetica.
In presenza di un'anomalia controllare immediatamente il sistema e se necessario
riportare l'impianto in sicurezza.
5.4. Durata
La durata di vita degli attuatori è descritta nei dati tecnici e nel Manuale di istruzioni.
12
Attuatori multigiro
Installazione, messa in servizio e funzionamento SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
Gli indicatori rilevanti per la sicurezza valgono per i cicli e i passaggi regolati prefissati
nei dati tecnici, nonché per un intervallo di procedura solitamente a 10 anni (conta
il criterio che viene raggiunto prima). In seguito il tasso di probabilità del verificarsi
di guasti aumenta.
In molti casi è generalmente possibile l'estensione dell'intervallo "tramite apposite
misure del produttore e del gestore" nel rispetto della nota nazionale ANNOTAZIONE
3 NOTA 3 della versione tedesca della IEC 61508-2:2010 7.4.9.5 b). Questa misura
è comunque responsabilità del gestore a cui spetta il compito di adottare le misure
adatte. Siamo a vostra disposizione per aiutarvi a identificare le misure adatte qualora
ne aveste bisogno.
5.5. Spegnimento
Se l'attuatore viene spento con la funzione di sicurezza, fare attenzione a quanto
segue:
●Devono essere valutate le conseguenze dello spegnimento sui dispositivi
collegati, sulle infrastrutture e sugli altri lavori.
●Devono essere rispettate le note di sicurezza e gli avvertimenti riportati nel
Manuale di istruzioni dell'attuatore.
●Lo spegnimento può essere affidato unicamente a elettricisti qualificati.
●Lo spegnimento deve essere documentato oggettivamente.
13
Attuatori multigiro
SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2 Installazione, messa in servizio e funzionamento
6. Verifiche e assistenza
Gli interventi di verifica e manutenzione devono essere affidati esclusivamente a
personale tecnico autorizzato con adeguata formazione nel campo della sicurezza
funzionale.
Gli strumenti di verifica e manutenzione devono essere calibrati.
Informazione L'esecuzione di una verifica / di un intervento di manutenzione deve essere
documentata da un verbale di verifica / manutenzione.
Devono essere valutate le conseguenze della verifica / dell'intervento di manutenzione
sui dispositivi collegati, sulle infrastrutture e sugli altri lavori.
6.1. Controllo delle infrastrutture di sicurezza
Tutte le funzioni di protezione di un'infrastruttura di sicurezza devono essere
controllate a intervalli regolari per la verifica della loro funzionalità e sicurezza.
L'intervallo del controllo dell'infrastruttura di sicurezza è definito dal gestore.
Per evitare anomalie sistematiche, il gestore dell'impianto deve predisporre un piano
di sicurezza per l'intero ciclo di vita di sicurezza del SIS. Al suo interno devono
figurare ad esempio le politiche e le strategie per il raggiungimento della sicurezza,
nonché le diverse attività durante il ciclo di vita di sicurezza.
6.2. Proof-test (controllo del funzionamento sicuro dell'attuatore)
Il Proof-test verifica le funzioni dell'attuatore e dell'unità di comando attuatore.
Il Proof-test serve a rivelare le anomalie pericolose che rimarrebbero altrimenti
ignorate fino all'avvio di una funzione di sicurezza e che potrebbero quindi costituire
un pericolo.
Per testare la funzione relativa alla sicurezza, l'uscita del feedback sicuro di finecorsa
viene testata di conseguenza.
Informazione Tutte le funzioni di sicurezza installate o utilizzate nell'attuatore devono essere
controllate e tutti i passaggi di controllo devono essere eseguite secondo le relative
checklist.
Intervallo:
L'intervallo del Proof-test descrive l'intervallo di tempo trascorso tra due Proof-test.
La funzionalità deve essere controllata a intervalli regolari. La definizione di tali
intervalli spetta al gestore.
In ogni caso le funzioni rilevanti per la sicurezza devono essere controllate dopo la
messa in funzione e dopo ogni intervento di manutenzione o riparazione, così come
negli intervalli Tproof stabiliti dal monitoraggio di sicurezza.
6.2.1. Verifiche preliminari
Il sistema di attuatori deve essere sottoposto a una verifica ottica. Il sistema deve
essere controllato per verificare la presenza di danni esterni e corrosione. Inoltre, i
collegamenti elettrici e meccanici devono essere controllati e l'attuatore deve essere
osservato per quanto riguarda i rumori percettibili mentre si sposta completamente
da CHIUSO ad APERTO e viceversa almeno una volta.
6.2.2. Controllo e convalida della funzione di sicurezza "Segnalazione sicura di posizione finale"
Procedura di controllo
(checklist) 1. Spostare l'attuatore nella posizione finale APERTO: la posizione finale APERTO
è segnalata dalla segnalazione sicura di posizione finale?
2. Spostare l'attuatore dalla posizione finale APERTO: la segnalazione sicura di
posizione finale APERTO è revocata?
3. Spostare nuovamente l'attuatore nella posizione finale APERTO: la posizione
finale APERTO è nuovamente segnalata dalla segnalazione sicura di posizione
finale?
14
Attuatori multigiro
Verifiche e assistenza SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
4. Spostare l'attuatore nella posizione finale CHIUSO: la posizione finale CHIUSO
è segnalata dalla segnalazione sicura di posizione finale?
5. Spostare l'attuatore dalla posizione finale CHIUSO: la segnalazione sicura di
posizione finale CHIUSO è revocata?
6. Spostare nuovamente l'attuatore nella posizione finale CHIUSO: la posizione
finale CHIUSO è nuovamente segnalata dalla segnalazione sicura di posizione
finale?
7. Nessun messaggio di errore al relè di segnale cumulativo di anomalia K1 durante
tutta la procedura?
6.2.3. Controllo del segnale cumulativo di anomalia
Configurazione Questo controllo si applica a tutte le funzioni di sicurezza.
Procedura di controllo Controllare se il segnale cumulativo di anomalia segnala correttamente l'anomalia.
Esecuzione del controllo ●Controllare separatamente il segnale cumulativo di anomalia (K1) simulando
un'anomalia.
- Il relè di segnalazione risponde all'anomalia simulata?
- Il relè di segnalazione reagisce alla revoca dell'anomalia simulata?
●Dopo il controllo, revocare la simulazione dell'anomalia.
6.3. Partial Valve Stroke Test (PVST)
— Optional —
Durante il Partial Valve Stroke Test (PVST), la mobilità della valvola viene controllata
dall'apertura o chiusura parziale entro un tempo prestabilito senza interrompere il
processo. Dopo un test concluso con successo, l'unità di comando attuatore riporta
l'attuatore nella sua posizione di partenza.
Il PVST viene utilizzato per verificare il funzionamento delle unità di controllo e degli
attuatori che non vengono utilizzati regolarmente e che quindi non possono utilizzare
il monitoraggio della reazione per la diagnosi.
La diagnosi con il PVST deve essere effettuata almeno 10 volte più frequentemente
del Proof test.
Il monitoraggio e la valutazione del PVST devono essere eseguiti dall'unità logica
del sistema tecnico di sicurezza. A tale scopo deve essere valutato il segnale
cumulativo di anomalia.
Funzione di sicurezza Feedback sicuro di finecorsa:
●Il movimento dell'attuatore può essere richiesto tramite qualsiasi ingresso.
●La valutazione del fatto che la funzione di sicurezza esegui la segnalazione
come richiesto deve essere effettuata per mezzo degli interruttori di finecorsa
cablati direttamente al collegamento cliente.
●L'attuatore deve essere in una delle seguenti posizioni:
- Prima dell'inizio della corsa di prova in una delle due posizioni finali.
La corsa di prova porta poi fuori dalla posizione finale e poi di nuovo dentro.
- Sufficientemente rimosso da entrambe le posizioni finali prima di iniziare
la corsa di prova.
La corsa di prova porta quindi in una posizione finale e poi di nuovo fuori.
In entrambi i casi, la corsa deve essere dimensionata in modo tale che ci si possa
aspettare un comando completo dell'interruttore di finecorsa. Occorre controllare se
l'interruttore di finecorsa segnala la posizione prevista sia prima dell'inizio della prova,
durante la prova e dopo il completamento della prova.
●Inoltre, deve essere eseguito un monitoraggio dinamico della corsa di prova,
vale a dire che occorre controllare in modo dinamico se il cambiamento del
segnale corrisponde alle aspettative.
15
Attuatori multigiro
SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2 Verifiche e assistenza
Informazione Se il PVST viene eseguito solo da o verso una delle due posizioni finali, viene testata
la funzionalità solamente dell'interruttore di questa posizione finale. Se entrambi gli
interruttori di finecorsa (APERTO/CHIUSO) sono rilevanti per la sicurezza, può essere
eseguito ad esempio un Full Stroke Test.
6.4. Manutenzione
Gli interventi di manutenzione e assistenza tecnica devono essere affidati
esclusivamente a personale tecnico autorizzato con adeguata formazione nel campo
della sicurezza funzionale.
Dopo ogni intervento di sicurezza e assistenza tecnica è obbligatorio eseguire, oltre
al controllo della funzionalità, anche una validazione della funzione di sicurezza che
comprenda almeno tutti i controlli descritti nei capitoli <Controllo delle infrastrutture
di sicurezza> e <Proof-test (controllo del funzionamento sicuro dell'attuatore)>.
Se durante l'intervento di manutenzione viene rilevato un errore, segnalarlo ad AUMA
Riester GmbH & Co. KG.
Informazione Negli attuatori AUMA il funzionamento a motore è preponderante rispetto al
funzionamento manuale. Questo significa che in caso di necessità l'attuatore si
commuta autonomamente nella modalità di funzionamento a motore. Consigliamo
inoltre di attivare il funzionamento a motore dopo ogni intervento di manutenzione
e assistenza tecnica.
16
Attuatori multigiro
Verifiche e assistenza SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
7. Indicatori tecnici di sicurezza
7.1. Definizione degli indicatori
●Il calcolo degli indicatori tecnici di sicurezza si basa sulle funzioni di sicurezza
menzionate. La valutazione dell'hardware è stata fatta sulla base di una FMEDA
(Failure Modes, Effects and Diagnostic Analysis; analisi della diagnostica, degli
effetti e delle modalità dei guasti). La FMEDA è uno dei passaggi per la
valutazione della sicurezza funzionale di un dispositivo secondo la norma IEC
61508. In base alla FMEDA vengono definiti i tassi di errore e la quota di errori
non pericolosi relativi al dispositivo.
●I tassi di errore relativi ai componenti meccanici derivano dai dati del feedback
di campo e dalla banca dati exida relativa ai componenti meccanici. I tassi di
errore elettronico corrispondono invece ai tassi di errore di base della norma
SIEMENS SN 29500.
●Secondo la tabella 2 della norma IEC 61508-1, il valore PFD medio per i sistemi
impostati per il Low Demand Mode si attesta sui seguenti parametri:
-Funzioni di sicurezza SIL 1: ≥ 10-2 fino a < 10-1
-Funzioni di sicurezza SIL 2: ≥ 10-3 fino a < 10-2
-Funzioni di sicurezza SIL 3: ≥ 10-4 fino a < 10-3
Dato però che gli attuatori rappresentano solo una parte della funzione di
sicurezza complessiva, il valore PFD dell'attuatore dovrebbe corrispondere a
un valore pari o inferiore al 25 % del valore complessivo consentito (PFDavg)
per una funzione di sicurezza. I valori che ne conseguono sono i seguenti:
-Attuatore PFD per impieghi SIL 1: ≲ 2,50E-02
●Il feedback sicuro di finecorsa tramite interruttori di finecorsa cablati direttamente
all'ingresso cliente può essere classificato come un componente di tipo A con
una tolleranza agli errori hardware pari a 0. Per i componenti di sistema di tipo
A, il valore SFF secondo la tabella 2 della norma IEC 61508-2 per SIL 1
(componenti di sistema con tolleranza di errore hardware pari a 0) dovrebbe
essere < 60 %. Per i componenti di sistema di tipo A, il valore SFF secondo la
tabella 2 della norma IEC 61508-2 per SIL 2 (componenti di sistema con
tolleranza di errore hardware pari a 0) dovrebbe essere compreso tra 60 % e
< 90 %.
●Per il calcolo dei valori PFD sono state ipotizzate le seguenti condizioni:
- MRT = 72 ore
- Td = 730 ore = intervallo di tempo PVST
- MTTR = MRT + Td = 802 ore
I valori PFD indicati nelle dichiarazioni del produttore e nel presente manuale di
sicurezza sono da considerarsi esempi e richiedono la presenza di determinate
condizioni come ad es. tramite Tproof, MTTR, ecc. Il calcolo PFD dovrebbe sempre
essere eseguito su misura dell'impianto in base ai parametri e alle condizioni quadro
valide per lo stesso. Come input si raccomanda l'utilizzo dei valori λDU e λDD. Se si
rispettano le procedure di Proof-test indicate nel presente manuale sulla sicurezza
si consiglia di calcolare una Proof-Test-Coverage (PTC) del 90 %5).
Come già menzionato in fase di progettazione, il gestore dell'impianto è responsabile
della sicurezza dell'alimentazione energetica e dei calcoli da essa derivanti.
Il gestore dell'impianto è inoltre responsabile di risolvere le anomalie nell'ambito del
MTTR poiché altrimenti i risultati in termini quantitativi non risultano più essere validi.
Gli indicatori tecnici di sicurezza indicati nel presente manuale sulla sicurezza
e nelle dichiarazioni del produttore sono validi solo se vengono rispettate tutte
le condizioni indicate nello stesso e se vengono eseguite le attività ivi descritte.
Allo stesso modo, devono essere osservate le restrizioni sulla validità e la
conformità alle norme indicate nelle dichiarazioni del produttore.
5) I calcoli di esempio in questo manuale e le dichiarazioni del produttore sono stati in parte basati
su altri valori di PTC
17
Attuatori multigiro
SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2 Indicatori tecnici di sicurezza
8. Dichiarazione di conformità SIL (esempio)
18
Attuatori multigiro
Dichiarazione di conformità SIL (esempio) SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
19
Attuatori multigiro
SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2 Dichiarazione di conformità SIL (esempio)
20
Attuatori multigiro
Dichiarazione di conformità SIL (esempio) SA .1/SA .2 con AC(V) 01.2/AC(V)ExC 01.2
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
La pagina sta caricando ...
-
1
-
2
-
3
-
4
-
5
-
6
-
7
-
8
-
9
-
10
-
11
-
12
-
13
-
14
-
15
-
16
-
17
-
18
-
19
-
20
-
21
-
22
-
23
-
24
AUMA Actuators SA.2/SAEx.2/SA.1/SAEx.1 mit AC(V) 01.2/AC(V)ExC 01.2 Manuale utente
- Tipo
- Manuale utente
Documenti correlati
Altri documenti
-
Miele APFD 102 Manuale utente
-
Bushnell 78-8840 Manuale utente
-
Tasco Spacestation 49076525/49114675 Manuale utente
-
Bushnell 78-8845 Manuale utente
-
Alfa Network Zeno Manuale utente
-
Bushnell 788945 Manuale utente
-
Güde GSZ 300 Translation Of Original Operating Instructions
-
CAME 64303800 Guida d'installazione
-
PRAXISDIENST EliteVue Istruzioni per l'uso
-
Krone BA Comprima F 125 (RP701-10) Istruzioni per l'uso
