Vous êtes sur la page 1sur 25

Manuel de scurit SIS Ovation OW331_45

Version 2 juillet 2011 (Certifi SIL3 juillet 2009)

Notice de droit d'auteur En raison de l'tendue des applications de l'quipement dcrit dans ce document, l'utilisateur et les personnes responsables de son utilisation devront se contenter des informations relatives ses diffrentes utilisations. Emerson Process Management n'acceptera en aucun cas de responsabilit quant aux dgts, directs ou indirects, causs par l'utilisation ou l'application, correcte ou incorrecte, de cet quipement. Le texte, les illustrations, les tableaux et les exemples figurant dans ce manuel ont pour unique TM objet d'expliquer l'utilisation et l'application de la solution Ovation . En raison du nombre important de variables associes aux diffrentes utilisations et applications de ce produit, Emerson Process Management n'est pas en mesure d'accepter quelque responsabilit que ce soit quant son utilisation base sur les donnes figurant dans le prsent manuel. Emerson Process Management n'accepte aucune responsabilit quant l'utilisation des circuits, informations, quipements ou logiciels dcrits dans ce manuel. Toute reproduction, tout enregistrement dans un systme de rcupration ou toute transmission de quelque forme ou sur quelque support que ce soit, y compris les supports lectroniques ou mcaniques, photocopie, enregistrement ou autre de cette publication, en partie ou en totalit, est strictement interdit sauf autorisation crite expresse de la part d'Emerson Process Management. Tout comme les informations qu'il contient, ce document est la proprit d'Emerson Process Management et/ou de ses sous-traitants et fournisseurs. Ils sont fournis dans la plus grande confiance l'utilisateur, qui accepte de les traiter dans le plus grand respect des modalits de l'accord sous lequel ils ont t fournis. Ce manuel imprim aux Etats-Unis est sujet modifications sans aucun pravis. Ovation est la marque de Emerson Process Management. Les autres marques sont la proprit exclusive de leurs propritaires respectifs. Copyright Emerson Process Management Power & Water Solutions, Inc. Tous droits rservs. Emerson Process Management Power & Water Solutions 200 Beta Drive Pittsburgh, PA 15238 Etats-Unis E-Mail : Technical.Communications@Emerson.com Site web : https://www.ovationusers.com

Table des matires


1
1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8

Manuel de scurit SIS Ovation

Prsentation du manuel de scurit SIS Ovation ............................................................... 1 Certification ......................................................................................................................... 2 Gestion de la scurit fonctionnelle .................................................................................... 3 Restrictions spcifiques au module SIS.............................................................................. 3 Restrictions applicables tous les systmes Logic Solver................................................. 4 Caractristiques spcifiques au module SIS ...................................................................... 4 Pratiques de conception...................................................................................................... 5 Pratiques d'utilisation et de maintenance............................................................................ 6

2
2.1 2.2 2.3

Caractristiques du produit

Taux de dfaillance pour la vrification SIL ........................................................................ 7 Temps de rponse .............................................................................................................. 7 Limites ................................................................................................................................. 8

3
3.1 3.2 3.3

Pratiques ncessaires

3.4

3.5 3.6 3.7 3.8

Pratiques ncessaires prsentation................................................................................. 9 Installation et test d'aptitude du site .................................................................................... 9 Gestion des changements dans le systme d'excution SIS Ovation................................ 9 3.3.1 Chargement du Logic Solver........................................................................... 10 3.3.2 Test de fonctionnement aprs le chargement initial........................................ 10 3.3.3 Enregistrement des valeurs de CRC............................................................... 10 3.3.4 Chargements supplmentaires ....................................................................... 11 3.3.5 Chargement dans un processus en cours ...................................................... 13 3.3.6 Test de fonctionnement aprs le chargement dans un processus en cours ..... 14 Utilisation du Logic Solver dans des applications normalement hors tension .................. 15 3.4.1 Applications de dclenchement alimentes (avec logique inverse).............. 16 3.4.2 Applications de dclenchement alimentes (avec relais auxiliaire) ................ 17 Applications concernant les incendies et le gaz ............................................................... 18 Applications du systme pour la gestion de brleur ......................................................... 18 Utilisation des canaux de sortie deux tats HART et des contrleurs de soupape numriques ....................................................................................................................... 19 Utilisation de rfrences de paramtres non scuriss dans les modules SIS................ 19 3.8.1 Applications non critiques pour la scurit...................................................... 20 3.8.2 Utilisations critiques pour la scurit............................................................... 20

Index

21

OW331_45

E C T I O N

Manuel de scurit SIS Ovation


DANS CETTE SECTION
Prsentation du manuel de scurit SIS Ovation ............................................................... 1 Certification ......................................................................................................................... 2 Gestion de la scurit fonctionnelle .................................................................................... 3 Restrictions spcifiques au module SIS.............................................................................. 3 Restrictions applicables tous les systmes Logic Solver................................................. 4 Caractristiques spcifiques au module SIS ...................................................................... 4 Pratiques de conception...................................................................................................... 5 Pratiques d'utilisation et de maintenance............................................................................ 6

1.1

Prsentation du manuel de scurit SIS Ovation


Ce document contient des informations importantes sur la manire dont SIS Ovation doit tre utilis dans un systme d'instrumentation de scurit destin placer et/ou garder l'quipement sous contrle dans un tat appropri, lorsque cela est prvu. Vous devez suivre les instructions contenues dans ce document lorsque vous utilisez SIS Ovation dans des applications critiques pour la scurit. Pour savoir si ce document est la version la plus rcente applicable une rvision particulire de Logic Solver, comparez les informations concernant la version indiques sur la couverture de ce document avec les informations fournies sur le site web suivant : http://www.emersonprocess-powerwater.com/ovationsis/

OW331_45

1.2 Certification

1.2

Certification
Les informations contenues dans ce document s'appliquent aux composants matriels et logiciels SIS Ovation. Composants SIS
VALEURS NOM IN ALES Normes de scurit COM POS ANT Module matriel Logic Solver, rvision 4.xx. Microprogramme Logic Solver, rvision 1.xx.xx.xx cr. Microprogramme Logic Solver, rvision 2.xx.xx.xx cr. Module de relais ETA, KJ2231X1 - BA1 Module de relais DTA, KJ2231X1 - BB1 Diode du module de relais, KJ2231X1 - BC1 Appareil de surveillance du voltage, KJ2231X1 - EB1 Module matriel du rpteur SISNet. Microprogramme du rpteur SISNet. Bloc de raccordement simplexe Logic Solver. Bloc de raccordement redondant Logic Solver. Matriel pour serveur de donnes SIS Ovation. Microprogramme pour serveur de donnes SIS Ovation. Ovation Developer Studio. Ovation Control Builder dans le contexte du module SIS. Tous les autres composants matriels, logiciels et de microprogrammes Ovation et SIS Ovation non indiqus ci-dessus.

Normes de scurit applicables

Aucune interfrence

Exida a certifi que le matriel et le microprogramme SIS Ovation Logic Solver taient compatibles avec un niveau d'intgrit de la scurit maximal de 3 (SIL3), conformment la norme CEI 61508. La valeur de fonctionnalit SIL3 s'applique la fois aux Logic Solvers simplexes et redondants. La redondance permet d'augmenter la disponibilit, non la scurit. SIS Ovation Logic Solver est certifi pour une utilisation en frquence de sollicitation basse ou leve comme cela est dfini dans la norme CEI 61508.

OW331_45

1.3 Gestion de la scurit fonctionnelle

1.3

Gestion de la scurit fonctionnelle


SIS Ovation a t conu pour une utilisation conforme un cycle de vie de scurit dfini identique la description figurant dans la norme CEI 61511. Emerson Process Management recommande les exigences de gestion de la scurit fonctionnelle supplmentaires suivantes : Comptence des personnes physiques : ingnierie Toutes les personnes participant la mise en uvre initiale ou la modification du logiciel d'application doivent tre formes de manire approprie. Les possibilits de formation qui s'offrent vous sont les suivantes : lecture de ce manuel, lecture des manuels des produits SIS Ovation et participation un cours de formation dispens par un membre du personnel qualifi. Comptence des personnes physiques : installation et entretien du matriel Toutes les personnes participant toute activit d'installation et de maintenance du matriel doivent avoir reu les formations appropries. Les possibilits de formation qui s'offrent vous sont les suivantes : lecture de ce manuel, lecture des manuels des produits SIS Ovation et participation un cours de formation dispens par un membre du personnel qualifi. Comptence des personnes physiques : gnral Toutes les personnes participant tout aspect de l'utilisation de SIS Ovation, y compris les ingnieurs, les oprateurs, les superviseurs, le personnel charg de la maintenance et les administrateurs systme devraient recevoir une formation sur l'importance des systmes d'instrumentation de scurit. Toutes ces personnes doivent recevoir une formation spcifique concernant les procdures dont ils sont responsables. Les administrateurs systme Ovation doivent s'assurer que tous les individus qui possdent des cls de scurit pour les activits SIS Ovation sont forms et comptents.

1.4

Restrictions spcifiques au module SIS


Il n'existe aucune restriction spcifique au module SIS.

OW331_45

1.5 Restrictions applicables tous les systmes Logic Solver

1.5

Restrictions applicables tous les systmes Logic Solver


Comme pour tout systme Logic Solver de scurit, SIS Ovation doit tre utilis conformment aux pratiques requises par les normes CEI 61508 et CEI 61511 (voir rsum ci-dessous). Chaque sujet est examin de manire plus dtaille dans la section Pratiques ncessaires (voir page 9). Comme pour tout systme Logic Solver de scurit, vous devez effectuer un test de fonctionnement complet de la configuration SIS Ovation Logic Solver avant que Logic Solver ne soit autoris fournir la fonctionnalit de protection dans un processus de fonctionnement. Aprs le chargement supplmentaire et avant que Logic Solver ne continue fournir sa fonction de protection sans surveillance, vous devez valuer les changements de Logic Solver depuis le dernier test de fonctionnement en examinant les valeurs CRC dans Ovation Developer Studio. Tout module SIS ou tout canal d'E/S qui indique un changement doit tre revalid, c'est--dire qu'un test de fonctionnement doit tre effectu. Vous tes autoris charger Logic Solver pendant qu'il fournit la fonction de protection lors d'un processus de fonctionnement, dans les cas suivants : 1. L'quipement sous surveillance de Logic Solver doit tre supervis pendant la charge et jusqu' ce que le test de fonctionnement soit termin (ou que l'on dtermine qu'un test de fonctionnement n'est pas requis). 2. La dure de scurit du processus le plus court associ Logic Solver doit tre suffisante pour que les oprateurs puissent effectuer une surveillance et ragir, et ainsi fournir manuellement la fonction de protection pendant la charge et le test de fonctionnement. Tous les changements apports aux paramtres oprationnels doivent tre valids avant que le systme ne fournisse la fonction de protection sans surveillance. Les applications concernant les incendies et le gaz doivent tre conformes aux normes anti-incendie locales et respecter toutes les normes exiges par les autorits comptentes telles que la norme EN54 en Europe et la norme NFPA72 aux Etats-Unis. Reportez-vous la section Pratiques ncessaires (voir page 9) pour plus d'informations. Les systmes de gestion de brleur doivent tre conformes aux rglementations locales et respecter toutes les normes tablies par les autorits comptentes, telles que NFPA85 aux Etats-Unis et EN50156-1 en Europe.

1.6

Caractristiques spcifiques au module SIS


Le Logic Solver est conu pour une utilisation avec mise hors tension pour le dclenchement ou mise sous tension pour le dclenchement. Reportez-vous la section Pratiques ncessaires (voir page 9) pour plus d'informations. L'utilisation d'un canal de sortie deux tats HART est prvue pour certains lments finaux. Vous ne devez connecter physiquement un canal de ce type qu' un contrleur numrique de vanne Fisher Controls DVC6000 avec niveau ESD (microprogramme rvision 6 ou suprieure) ou un contrleur numrique de vanne certifi comme tant quivalent par Emerson Process Management. La section Pratiques ncessaires (voir 9) contient d'avantage d'informations concernant l'utilisation de contrleurs numriques de vanne avec le Logic Solver. Les rfrences de paramtre non scuris sont dfinies par l'utilisateur et disponibles dans les modules SIS pour une application non critique pour la scurit. Si un paramtre de ce type est impliqu dans une action de commande critique pour la scurit, il convient de prendre les mesures ncessaires dans la logique du module SIS pour valider la valeur de ce paramtre. Le programmeur responsable de l'application doit systmatiquement s'assurer que la valeur d'une rfrence de paramtre non scuris ne pose aucun risque de scurit. Reportez-vous la section Pratiques ncessaires (voir page 9) pour plus d'informations.

OW331_45

1.7 Pratiques de conception

1.7

Pratiques de conception
Hormis les rfrences de paramtre non scuris, il est possible d'utiliser tous les lments de configuration disponibles dans les modules SIS sans prendre de mesures particulires lors d'applications critiques pour la scurit, jusqu'au niveau de scurit SIL3 inclus. Cela comprend le langage arithmtique de calcul et de logique variabilit limite. A l'exception des rfrences de paramtre non scuris, l'environnement du module SIS vous empche de raliser toute action interdite. Par exemple, le module SIS bloque l'accs direct aux variables numriques HART. Vous pouvez nanmoins accder aux variables numriques HART depuis les canaux du Logic Solver en utilisant une rfrence de paramtre non scuris. Vous pouvez introduire des donnes de diagnostic HART dans un module SIS en choisissant les options listes sous les en-ttes d'erreurs HART sur les canaux HART du Logic Solver. Il vous est possible de choisir quelles conditions d'erreur HART de l'appareil entranent l'association de l'tat Incorrect et de la valeur analogique sur le canal. La configuration de la logique du module SIS permet de paramtrer la rponse du Logic Solver face certaines dfaillances dtectes dans le Logic Solver lui-mme ou dans les appareils de terrain. En prsence de dfaillances rencontres couramment sur les canaux E/S, comme le dysfonctionnement d'un processeur ou les problmes de mmoire, le Logic Solver met automatiquement tous les canaux de sortie hors tension. En cas d'utilisation de Logic Solver redondants, cette action transmet la commande des priphriques de sortie au partenaire. Pour des dfaillances spcifiques un canal E/S ou un appareil de terrain, le Logic Solver associe l'tat Incorrect la valeur correspondante sur le canal. Dans le module SIS, il est ncessaire de configurer les actions raliser en prsence de l'tat Incorrect conformment aux besoins de l'application. Cette configuration est intuitive. Le Logic Solver propage l'tat des canaux E/S et les paramtres d'entre et de sortie des algorithmes de manire prdfinie. La configuration du comportement du systme face un tat Incorrect revient choisir les options de statut, les options d'tat de panne et certaines valeurs de dure suivant les besoins de l'application. Notez qu'une dfaillance survenant sur un canal de sortie n'empche pas la mise hors tension en cas de demande de dclenchement sur ce canal. En cas de besoin, il existe un moyen automatique secondaire pour la mise hors tension. Reportez-vous la section Pratiques de conception du Guide de l'utilisateur SIS Ovation pour plus d'informations sur la configuration du comportement du systme en cas de dtection d'une dfaillance ainsi que sur d'autres sujets supplmentaires. Pour plus de dtails sur la dtection des dfaillances et sur leur gestion par Logic Solver et SIS Ovation, reportez-vous la section Pratiques d'utilisation et de maintenance du Guide de l'utilisateur SIS Ovation. Le Guide de l'utilisateur SIS Ovation contient des informations dtailles concernant les caractristiques des algorithmes disponibles sur les modules SIS.

OW331_45

1.8 Pratiques d'utilisation et de maintenance

1.8

Pratiques d'utilisation et de maintenance


Le systme SIS Ovation dispose d'une fonction intgre de drivation pour la gestion des drivations de maintenance. Cette drivation permet de raliser des oprations de maintenance comme l'talonnage, les tests et les rparations d'un transmetteur ou d'un autre capteur, tout en limitant les risques de dclenchement inopin. Depuis les postes de travail Ovation, vous pouvez rgler et supprimer les drivations de la logique du module SIS du Logic Solver l'aide de la fonction d'criture SIS Write. Notez que l'utilisateur doit s'assurer du bon fonctionnement du Logic Solver aprs toute opration d'criture SIS Write. Reportez-vous la section Pratiques d'utilisation et de maintenance du Guide de l'utilisateur SIS pour plus d'informations sur la fonction de drivation de SIS Ovation. L'utilisateur se doit de contrler tous les paramtres du Logic Solver pouvant tre changs en cours d'excution depuis un poste de travail Ovation. Cela inclut, entre autres, les rinitialisations par l'oprateur ainsi que les drivations de maintenance. Les oprations d'criture SIS Write se droulent en deux tapes. D'abord, une personne saisit des donnes ou clique sur un lment de l'affichage du poste de travail Ovation pour initialiser la procdure d'criture. S'affiche ensuite une bote de dialogue de confirmation mentionnant les donnes crire. Lorsque la personne confirme la valeur saisie, le systme envoie un paquet contenant les donnes d'origine et celles confirmes au Logic Solver. L'opration d'criture russit si le Logic Solver reconnat les informations d'origine et celles confirmes comme tant les mmes et si la destination est correcte. Remarque : Il est ncessaire de conduire un test fonctionnel aprs chaque opration d'criture SIS Write afin de s'assurer que la valeur de paramtre du Logic Solver correspond bien la valeur confirme. La procdure d'criture SIS Write est soumise des restrictions de scurit Ovation. L'utilisateur connect au poste de travail Ovation doit disposer des permissions ncessaires pour changer les oprations de scurit. Vous devez tester rgulirement chaque Logic Solver afin de dceler des dfaillances dangereuses non dtectes par les diagnostics continus raliss en cours d'excution. La frquence des tests dpend de la probabilit de dfaillance dangereuse fixe pour les fonctions instrumentes de scurit associes au Logic Solver. La procdure consiste contraindre le Logic Solver se soumettre des tests de rinitialisation et de mise sous tension. Ce test est accessible depuis une commande du menu contextuel d'Ovation Developer Studio et n'a aucun impact indsirable sur un processus en cours d'excution en cas d'utilisation de systmes Logic Solver redondants. Les diagnostics de puissance amliors sont facultatifs pour les Logic Solver redondants s'appuyant sur un intervalle de diagnostics configur. D'aprs une analyse dtaille, le taux de couverture d'un diagnostic de puissance amlior s'lve 80 %. Pour les tests manuels raliss en suivant la procdure dcrite dans ce guide de scurit, cette valeur est de 99,9 %. Reportez-vous la section Pratiques d'utilisation et de maintenance du Guide de l'utilisateur SIS Ovation pour plus d'informations sur les procdures de test. Ce manuel traite galement de sujets supplmentaires relatifs aux pratiques de maintenance et d'utilisation recommandes pour le systme SIS Ovation.

OW331_45

E C T I O N

Caractristiques du produit
DANS CETTE SECTION
Taux de dfaillance pour la vrification SIL ........................................................................ 7 Temps de rponse .............................................................................................................. 7 Limites ................................................................................................................................. 8

2.1

Taux de dfaillance pour la vrification SIL


Afin de vrifier qu'une fonction instrumente de scurit (SIF) atteint le niveau d'intgrit de scurit (SIL) requis, vous devez : 1. Evaluer la probabilit de dfaillance dangereuse de la fonction SIF. 2. Justifier tous les quipements de la fonction SIF (certification SIL ou utilisation antrieure). 3. Rpondre aux contraintes architecturales. Le rapport FMEDA SIS Ovation prsente les taux de dfaillance ainsi que d'autres informations qui vous seront utiles pour vrifier que le systme remplit les critres de scurit. Il contient galement les renseignements ncessaires aux calculs de vrification SIL pour le sous-systme Logic Solver des fonctions SIF et indique entre autres les taux de dfaillance par catgorie de dfaillance, les taux de couverture des diagnostics, ainsi que les causes principales, la tolrance la dfaillance du matriel et les types d'appareils. Nous prconisons l'utilisation d'outils de vrification SIL afin d'obtenir les rsultats les plus prcis possibles. Emerson Process Management recommande l'outil exida exSILentia (SILVer) dont la vrification SIL s'appuie sur des donnes du rapport FMEDA SIS Ovation et tire parti de l'analyse de Markov.

2.2

Temps de rponse
Le temps de rponse d'une fonction SIF doit tre infrieur au temps de scurit du processus. Il est li aux sous-systmes des capteurs, du Logic Solver et des lments finaux. La somme des temps de rponse doit tre infrieure au temps de scurit du processus. Le temps de rponse du sous-systme du Logic Solver correspond l'intervalle entre le moment o un changement devant occasionner un dclenchement a lieu sur un canal d'entre SIF et celui o le ou les canaux de sortie basculent vers l'tat dclench. On mesure ce temps de bornier vis bornier vis. Le temps de rponse dpend de la vitesse d'analyse de la fonction SIF configure dans la logique du module SIS contenant le Logic Solver ainsi que de la prsence ou non d'une dfaillance dans le Logic Solver. L'alignement du changement au niveau du bornier vis d'entre et l'analyse E/S dans le Logic Solver sont galement sources de variation du temps de rponse. Le tableau suivant prsente les temps de rponse maximaux.

OW331_45

2.3 Limites

Temps de rponse maximal du Logic Solver en l'absence de dfaillance


VITESSE D'ANALYSE DU LOGIC SOLVER (MILLISECONDES) 50 100 150 200 TEMPS
DE REPONSE M AXIMAL EN L' ABSENCE DE DEFAILLANCE (M ILLISECONDES)

175 275 375 475

Bien qu'il soit trs peu probable qu'une dfaillance soit prsente au moment de la demande, vous devez considrer cette possibilit lors de l'allocation du temps de rponse pour le sous-systme du Logic Solver. Au moment de la requte, une dfaillance telle que le blocage en position Activ d'un canal de sortie peut retarder le dclenchement, ce qui entrane un dlai supplmentaire correspondant au laps de temps ncessaire au Logic Solver pour dtecter que le canal ne s'est pas dsactiv et pour entamer une rinitialisation avec mise hors tension. Le temps maximal de dtection/raction de dfaillance est de 400 millisecondes quelle que soit l'analyse. Il convient donc d'attribuer un temps de rponse de 575 millisecondes au sous-systme du Logic Solver pour un Logic Solver dont la vitesse d'analyse est de 50 millisecondes. Veuillez prendre connaissance des points suivants concernant les temps de rponse des sous-systmes du Logic Solver : 1. Le temps de rponse n'augmente pas si un canal d'entre de la fonction SIF est sur un Logic Solver autre que celui qui commande les sorties. 2. Lorsque plusieurs modules SIS interviennent dans une fonction SIF tablissant une communication avec des paramtres scuriss, le temps de rponse maximal est li la vitesse d'analyse du Logic Solver contenant les paramtres scuriss (et non la rfrence de paramtres scuriss). Par exemple, deux modules SIS possdant une vitesse d'analyse de 50 millisecondes entranent une augmentation du temps de rponse maximal de 175 225 millisecondes. 3. Si un module SIS prsente un dlai comme un retard au dclenchement dans les algorithmes de votant, le temps de rponse est augment de ces dlais.

2.3

Limites
Dure de vie du produit La dure de vie limite du Logic Solver est de 20 ans pour les conditions d'usure des composants les plus mauvaises. Conditions environnementales Reportez-vous la section Caractristiques environnementales SIS du Guide de l'utilisateur SIS Ovation pour connatre les limites dues aux conditions environnementales. Limites de configuration de l'application Les limites de configuration de l'application relvent de l'Ovation Control Builder. Aucune mesure spcifique n'est ncessaire pour viter le dpassement des limites fixes. Reportez-vous la section Limitations de SIS du Guide de l'utilisateur SIS Ovation pour plus d'informations sur les limites d'application de SIS.

OW331_45

E C T I O N

Pratiques ncessaires
DANS CETTE SECTION
Pratiques ncessaires prsentation................................................................................. 9 Installation et test d'aptitude du site .................................................................................... 9 Gestion des changements dans le systme d'excution SIS Ovation................................ 9 Utilisation du Logic Solver pour des applications gnralement hors tension.................. 15 Applications concernant les incendies et le gaz ............................................................... 18 Applications du systme pour la gestion de brleur ......................................................... 18 Utilisation des canaux de sortie deux tats HART et des contrleurs de soupape numriques........................................................................................................................ 19 Utilisation de rfrences de paramtres non scuriss dans les modules SIS................ 19

3.1

Pratiques ncessaires prsentation


Cette section propose des informations supplmentaires sur les pratiques ncessaires relatives aux restrictions d'utilisation de SIS Ovation.

3.2

Installation et test d'aptitude du site


L'installation d'un systme SIS Ovation doit tre conforme aux instructions figurant dans le Guide de l'utilisateur SIS Ovation. Vos procdures de tests d'aptitude doivent inclure des tests fonctionnels des programmes d'application fonctionnant sur les Logic Solver. La section Gestion des changements dans le systme d'excution SIS Ovation (voir page 9) dcrit les conditions de chargement et de test du Logic Solver.

3.3

Gestion des changements dans le systme d'excution SIS Ovation


Vous pouvez modifier le systme d'excution SIS Ovation en utilisant une des mthodes suivantes : Charger l'application sur un Logic Solver l'aide d'Ovation Developer Studio. Changer une des valeurs paramtres dans le Logic Solver en ralisant une opration d'criture SIS Write depuis Ovation Signal Viewer ou depuis l'interface utilisateur. Vous devez raliser un test fonctionnel aprs tout chargement ou changement d'une valeur de paramtre fonctionnel via une opration d'criture SIS Write.

OW331_45

3.3 Gestion des changements dans le systme d'excution SIS Ovation

3.3.1 Chargement du Logic Solver


Le systme SIS Ovation permet de dceler les changements raliss sur le systme en cours d'excution suite au chargement du Logic Solver. Vous pouvez ainsi dterminer quel sous-ensemble de la logique du Logic Solver ncessite une nouvelle validation, c'est--dire, un test fonctionnel aprs chargement. Le chargement d'un Logic Solver intervient toujours sur demande d'un utilisateur. Aprs le chargement initial, aucun chargement supplmentaire n'est ncessaire sauf en cas de changements de configuration s'appliquant au Logic Solver. Les Logic Solver requirent un chargement supplmentaire lorsqu'ils restent hors tension pendant plus de 10 jours ou aprs leur retrait de la porteuse. La mise sous tension d'un appareil dont l'alimentation a t coupe pendant moins de 10 jours donne lieu un chargement initial du programme de l'application dans le Logic Solver.

3.3.2 Test de fonctionnement aprs le chargement initial


AVERTISSEMENT ! Avant d'autoriser le Logic Solver scuriser un processus en cours d'excution via une fonction de protection, vous devez soumettre la configuration du Logic Solver un test fonctionnel complet. Aprs le chargement initial du Logic Solver, vous devez vous assurer que tous les canaux de sortie ragissent correctement lorsque vous manipulez la valeur des canaux d'entre de ce Logic Solver (et des autres Logic Solver le cas chant). Le test initial doit tre ralis de bornier vis bornier vis, de prfrence du capteur l'lment final.

3.3.3 Enregistrement des valeurs de CRC


Le Logic Solver calcule un certain nombre de valeurs de Contrle par Redondance Cyclique (CRC) lors de l'excution d'un script de chargement. Les valeurs de CRC sont visibles dans Ovation Developer Studio et aident vrifier si des chargements successifs engendrent une logique dans le Logic Solver identique ce qui a t excut prcdemment. Une valeur de CRC diffrente pour un module SIS ou un canal E/S donn aprs chargement indique une diffrence dans la logique en cous d'excution dans le Logic Solver. La valeur de CRC calcule par le Logic Solver reflte avec prcision les processus en cours d'excution dans le Logic Solver lors de l'application du script de chargement. Parmi les valeurs calcules par le Logic Solver et indiques dans Ovation Developer Studio, on retrouve les CRC suivants : Un CRC gnral pour l'appareil. Un CRC pour chaque module SIS. Un CRC combin pour tous les canaux E/S. Un CRC pour chaque canal E/S individuel. Le CRC gnral de l'appareil lors du chargement prcdent. Remarque : A chaque fois que vous soumettez la logique du Logic Solver un test fonctionnel, indiquez les valeurs de CRC concernes avec les rsultats des tests dans vos procdures de gestion du cycle de vie de scurit.

10

OW331_45

3.3 Gestion des changements dans le systme d'excution SIS Ovation

3.3.4 Chargements supplmentaires


Aprs le chargement initial, le Logic Solver ncessite un chargement supplmentaire lorsqu'il a subi des changements de configuration et lorsque le moment permet d'appliquer ces changements. Lors du chargement du Logic Solver, celui-ci reoit un script de chargement complet et non un script partiel des changements qui ont t effectus. Le Logic Solver excute le script, copie certaines informations de paramtres et remplace la totalit de la configuration en cours, limitant ainsi tout risque de perturbation pendant les changements en ligne (reportez-vous la section Chargement lors d'un processus en cours d'excution (voir page 13)). AVERTISSEMENT ! Aprs un chargement supplmentaire et avant d'autoriser le Logic Solver excuter sa fonction de protection, vous devez dterminer les changements apports au Logic Solver depuis le dernier test fonctionnel l'aide des valeurs de CRC indiques dans Ovation Developer Studio. Chaque module SIS ou canal d'E/S indiquant un changement doit tre valid nouveau. Si la valeur CRC globale du Logic Solver correspond la valeur du chargement prcdent, c'est que la mme configuration est applique dans le Logic Solver avec le chargement. En revanche, la valeur CRC globale doit tre la mme que votre dernire valeur CRC globale teste indique, sinon un test de fonctionnement est ncessaire. Comparez la valeur CRC globale avec votre dernire valeur teste indique. Si elles ne sont pas identiques, recherchez les diffrences entre la valeur CRC actuelle pour chacun des quatre modules SIS potentiels et la dernire valeur teste indique pour chaque module SIS. Vrifiez galement les diffrences entre la valeur CRC d'E/S combine avec votre dernire valeur CRC d'E/S teste et combine. Attention ! Ds que vous chargez un Logic Server, comparez la nouvelle valeur CRC globale calcule avec votre dernire valeur teste indique, y compris si vous ne prvoyez aucune diffrence. Chaque module SIS dont la valeur CRC diffre de la dernire valeur teste doit faire l'objet d'un test de fonctionnement avant de pouvoir assurer sa fonction de protection dans un processus en cours. A moins que le chargement soit ralis en ligne, c'est--dire lorsque le processus est en cours, votre procdure de test standard applicable ce module SIS doit tre applique. Pour les changements apports la procdure de test standard suite un chargement en ligne, consultez Test de fonctionnement aprs chargement dans un processus en cours (voir page 14). Si la valeur CRC d'E/S combine est diffrente de votre dernire valeur teste indique, contrlez les valeurs CRC des 16 canaux individuels pour savoir d'o provient la diffrence avec la dernire valeur teste indique. La moindre diffrence implique un changement de la valeur du paramtre de canal d'E/S configurable. Pour les canaux dont la valeur CRC a t modifie, ralisez des tests en respectant le tableau suivant bas sur le type de canal.

OW331_45

11

3.3 Gestion des changements dans le systme d'excution SIS Ovation

Quand raliser le test des paramtres de canal lorsque la valeur CRC est modifie aprs un chargement
TYPE
DE CANAL

P ARAM ETRE

CONFIGURABLE

QUAND

RE ALISER LE TEST

Entre analogique

Activer l'alarme NAMUR Gamme suprieure analogique pct Gamme infrieure analogique pct

Testez si configur sur Vrai. Testez le canal s'il est rfrenc par un algorithme d'entre analogique (dans ce Logic Solver ou dans un autre) avec le paramtre SOP8 ( Status Opt : Bad if Limited ) activ. Identique l'entre analogique de canal.

Entre analogique HART

Activer l'alarme NAMUR Gamme suprieure analogique pct Gamme infrieure analogique pct Ignorer le PV hors de limites Ignorer l'incompatibilit analogique-numrique Ignorer la sortie PV sature Ignorer la sortie PV fixe Ignorer la perte des comm. numriques Ignorer le dysfonctionnement du priphrique de terrain Boucler la dtection d'incompatibilit relle

Non requis ; la communication HART n'est pas critique pour la scurit.

Entre numrique Sortie numrique Sortie deux tats HART

Dtecter les circuits ouverts et les courts-circuits Dtecter les circuits ouverts et les courts-circuits Boucler la dtection d'incompatibilit relle Le code priphrique de l'encoche n de la carte AO Encoche n HART active

Testez si configur sur Vrai. Testez si configur sur Vrai. Non requis ; la communication HART n'est pas critique pour la scurit.

12

OW331_45

3.3 Gestion des changements dans le systme d'excution SIS Ovation

3.3.5 Chargement dans un processus en cours


Il est prfrable d'viter les changements de configuration d'un Logic Solver une fois qu'il protge un processus en cours et d'viter encore plus de charger ces changements avant la prochaine coupure planifie. AVERTISSEMENT ! Vous pouvez charger un Logic Solver pendant qu'il assure sa fonction de protection dans un processus en cours en respectant les restrictions suivantes : 1. L'quipement command par le Logic Solver doit tre supervis durant le chargement et ce jusqu' la fin du test de fonctionnement (ou jusqu' ce qu'un test de fonctionnement ne soit plus requis). 2. Le temps de scurit du processus le plus court associ au Logic Solver doit tre suffisamment long pour permettre aux oprateurs de contrler, de ragir et donc d'assurer manuellement la fonction de protection durant le chargement et le test de fonctionnement. Pour devenir effectifs, certains changements ncessitent un chargement du Logic Solver. Certains changements ncessitent un chargement du Logic Solver mais n'entranent pas une modification de la valeur CRC globale du Logic Solver une fois que le chargement est termin. Le tableau suivant numre les diffrents changements possibles, les pr-requis pour appliquer les changements au systme d'excution et l'impact sur la valeur CRC globale du Logic Solver.

Comment appliquer les changements de configuration de Logic Solver au systme d'excution


CHANGEMENT
APPORTE A LA B ASE DE DONNEES DE CONFIGURATION

COMMENT AP PLIQUER LE CH ANGEMENT AU SYSTEM E D'EXECUTION ET QUELS SONT LES IMPACTS SUR LE LOGIC SOLVER Ncessite un chargement du Logic Solver pour devenir effectif. Modifie la valeur CRC du Logic Solver.

Ajouter/supprimer un algorithme. Ajouter/supprimer un paramtre dfini par l'utilisateur ou modifier sa dfinition. Ajouter/supprimer une ligne de signal. Modifier une valeur de paramtre du module SIS configurable mais pas modifiable en excution. Modifier une valeur de paramtre du canal d'E/S configurable. Modifier la vitesse d'analyse ou la proprit de publication globale du Logic Solver. Modifier une proprit du Logic Solver autre que la vitesse d'analyse ou la publication globale. Modifier une proprit du module SIS. Modifier une proprit du priphrique HART. Modifier une valeur de paramtre du module SIS modifiable en excution.

Ncessite un chargement du Logic Solver pour devenir effectif mais ne modifie pas la valeur CRC du Logic Solver.

Peut tre modifi par une criture SIS ou un chargement ; si modifi par un chargement, la valeur CRC du Logic Solver est modifie mais pas si le changement est fait par une criture SIS. Modifie la valeur CRC du Logic Solver sur le chargement suivant si le changement est fait par l'criture SIS, puis synchronis. Peut tre modifi en utilisant une criture SIS ou un chargement ; ne modifie pas la valeur CRC du Logic Server dans les deux cas.

Modifier un champ configurable d'un paramtre d'alarme. Modifier la valeur d'un paramtre d'algorithme non associ au Logic SIS.

OW331_45

13

3.3 Gestion des changements dans le systme d'excution SIS Ovation Chaque chargement complet et russi sur un Logic Solver remplace le programme d'application fonctionnant dans le Logic Solver. N'oubliez pas qu'aprs la synchronisation du changement de paramtre avec la base de donnes, un chargement supplmentaire entrane un changement de la valeur CRC globale du Logic Solver. Il n'est pas ncessaire de raliser un chargement supplmentaire suite au changement de paramtre d'excution. Cependant, si le changement d'excution est synchronis lors du chargement suivant, un test de fonction est ncessaire y compris si aucun changement n'a t apport la base de donnes.

3.3.6 Test de fonctionnement aprs le chargement dans un processus en cours


Vous pouvez modifier votre procdure de test standard lorsque le processus est en cours afin de rduire la probabilit d'une interruption du processus provoque par le test. Vous pouvez utiliser Ovation Signal Viewer et la fonction d'application SIS pour isoler les sections du Logic Solver. Le Logic Solver au sein d'un module SIS peut tre test de cette faon en respectant les valeurs de paramtre sans manipuler l'E/S au niveau des borniers vis. Cependant, un moment du test, vous devez confirmer que les algorithmes E/S sont correctement relis aux borniers vis et que les rfrences de paramtre de scurit sont correctement relies leurs paramtres de scurit rfrencs. Les procdures de test conseilles sont dcrites dans le tableau suivant.

Procdures de test conseilles aprs le chargement vers un processus en cours d'excution


ELEMENT Canal d'entre numrique PROCEDURE
DE TEST POUR

LIE

CORRECTEMENT

Si la valeur de sortie ( Sortie numrique avec statut ) de l'algorithme LSDI est de 1, effectuez une opration d'application SIS sur la destination de la ligne de signal partir de la sortie. Dbranchez le fil physique sur le canal d'entre. Assurez-vous que la valeur de sortie devient 0. Effectuez une restauration. Remarque 1 : Pour les applications de dclenchement alimentes ou lorsque l'option E/S Inverse est utilise, il peut s'avrer ncessaire de manipuler le canal d'entre pour confirmer le lien. Remarque 2 : Rptez cette opration pour tous les algorithmes LSDI de tous les modules SIS dans ce Logic Solver, et ce que le canal physique se trouve sur ce Logic Solver ou sur un autre.

Canal d'entre analogique Canal d'entre analogique HART

Mesurez le courant au niveau des bornes de vis d'entre. Calculez la valeur escompte sur la sortie de l'algorithme LSAI en utilisant la valeur du LTYP ( Type de linarisation ) et les paramtres d'chelle de sortie TPSC ( Echelle de sortie : haut ) et BTSC ( Echelle de sortie : bas ). Confirmez que la valeur escompte correspond bien la valeur de sortie. Remarque 1 : Rptez cette opration pour tous les algorithmes LSAI de tous les modules SIS dans ce Logic Solver, et ce que le canal physique se trouve sur ce Logic Solver ou sur un autre. Remarque 2 : Si la valeur de sortie est la mme pour plusieurs algorithmes LSAI, il est ncessaire de manipuler un ou plusieurs canaux d'entre pour confirmer.

14

OW331_45

3.4 Utilisation du Logic Solver pour des applications normalement hors tension

ELEMENT Rfrence de paramtre scuris

PROCEDURE

DE TEST POUR

LIE

CORRECTEMENT

Effectuez une application SIS sur la destination de la ligne de signal partir du paramtre. En utilisant l'afficheur de signal Ovation pour le module SIS source, effectuez une application SIS sur le paramtre scuris rfrenc. Modifiez la valeur sur le paramtre scuris et confirmez que la valeur change dans le module de destination. Effectuez une restauration. Ouvrez la vanne de drivation de processus pour l'lment final. Faites changer la valeur de CASND ( Entre ) de l'algorithme LSDO/LSDVC en manipulant la logique l'aide de l'application SIS ou par tout autre moyen. Vrifiez visuellement que l'lment final change d'tat (ou mesurez la tension/le courant au niveau de la borne de vis). Effectuez une restauration. Remarque : S'il n'existe pas de fonctionnalit de drivation de processus, il est acceptable de bloquer provisoirement l'actionnement de l'lment final. Dans tous les cas, vous devez pouvoir fournir manuellement la fonction de protection.

Canal de sortie numrique Canal de sortie deux tats HART

3.4

Utilisation du Logic Solver pour des applications normalement hors tension


AVERTISSEMENT ! Vous tes autoris utiliser le Logic Solver dans des applications normalement hors tension (alimentes pour fonctionner) en respectant les informations des sections suivantes : Applications de dclenchement alimentes (avec logique inverse) (voir page 16) et Applications de dclenchement alimentes (avec relais auxiliaire) (voir page 17). Les niveaux d'intgrit de scurit maximum pour le SLS 1508 dans les applications de dclenchement alimentes sont les suivants :
Simple Avec logique inverse Mode demande faible Mode demande leve Avec relais auxiliaire SIL2 SIL3 SIL3 SIL1 SIL2 Redondant

OW331_45

15

3.4 Utilisation du Logic Solver pour des applications normalement hors tension

3.4.1 Applications de dclenchement alimentes (avec logique inverse)


Lorsque l'tat de scurit d'un canal de sortie SLS 1508 est activ/lev, l'application est alimente pour tre dclenche partir de la perspective du canal de sortie. Les canaux de sortie aliments pour dclenchement ncessitent la configuration du module SIS pour entraner la valeur du canal de sortie SLS 1508 activ/lev vers l'tat de scurit. La logique du module SIS inverse principalement les signaux de sortie en comparaison la logique de mise hors tension pour dclenchement. Si le SLS 1508 retire l'alimentation en rponse la dtection d'une panne dangereuse dans une application avec logique du module SIS inverse, le matriel sous contrle reste en tat de fonctionnement normal. Le systme Ovation annonce une panne dangereuse dans un SLS 1508 via une alarme matrielle. En rponse cette alarme, les oprateurs peuvent manuellement mettre le processus en tat de scurit si la rparation ne peut pas tre effectue dans le dlai moyen de rparation (MTTR : Mean Time To Repair) utilis pour la vrification SIL. Utilisation de la logique inverse en mode de demande faible Lorsque le fonctionnement est en mode de demande faible, le temps est amplement suffisant pour rpondre manuellement une panne dangereuse annonce. Un crdit peut tre pris pour les diagnostics du SLS 1508 de sorte que les pannes dangereuses dtectes sont incluses dans la fraction de panne en toute scurit. Le SLS 1508 respecte les conditions d'architecture SIL 3 (simple ou redondant). Utilisation de la logique inverse en mode de demande leve En mode de demande leve, le temps de scurit de processus ou le taux de demande peuvent ne pas permettre une rponse manuelle suite l'annonce d'une panne dangereuse. Emerson Process Management recommande qu'aucun crdit ne soit pris pour les diagnostics lors de l'utilisation de la logique inverse en mode de demande leve. Une configuration matrielle redondante est requise pour les applications nominales de scurit. Dans une configuration redondante, l'un des deux modules matriel peut entraner le canal de sortie activ/lev, permettant ainsi la tolrance de dfaillance matrielle et la fraction de panne en toute scurit de correspondre aux conditions architecturales SIL 1. Le temps de fonctionnement sans partenaire SLS 1508 disponible doit tre limit au MTTR utilis dans la vrification SIL.

16

OW331_45

3.4 Utilisation du Logic Solver pour des applications normalement hors tension

3.4.2 Applications de dclenchement alimentes (avec relais auxiliaire)


Si une sortie discrte davantage alimente est requise pour une application de dclenchement alimente, un module relais auxiliaire d'inversion DTA et diode de relais auxiliaire peut tre combin au SLS 1508. Dans ce cas, l'inversion du signal de sortie se fait via un quipement externe. Le module SIS est configur pour que les sorties dsactives/faibles atteignent l'tat de scurit, de la mme faon que dans une application de dclenchement hors tension. Le sous-systme Logic Solver respecte les conditions architecturales d'un SIL2 avec un SLS 1508 simple ou redondant en mode de demande faible ou lev. Le module de relais d'inversion DTA est install prs du Logic Solver et cbl la fois au canal de sortie numrique et au canal d'entre numrique supplmentaire. Le module de diode est install prs de l'lment final et cbl au module de relais d'inversion DTA et l'lment final. Le module de relais d'inversion DTA ajoute 30 millisecondes au temps de rponse du SIF. Reportez-vous au Guide de l'utilisateur de SIS Ovation pour obtenir des dtails relatifs l'installation. Une paire de modules de relais d'inversion DTA et diode fournit les fonctions suivantes : Inverse la sortie du canal de sortie numrique Logic Solver. Lorsque le canal de sortie numrique est dsactiv, l'lment final reoit une alimentation de 24 V. Lorsque le canal de sortie numrique est activ, l'lment final ne reoit pas une alimentation de 24 V. Fournit une sortie de 5 A maximum en continu l'lment final lorsque le canal de sortie numrique est dsactiv. Fournit un retour l'aide du canal d'entre numrique supplmentaire indiquant si le cblage sur site est connect aux entres 24 V du module de relais d'inversion DTA. Lorsque le canal de sortie numrique est activ et qu'aucune alimentation de 24 V n'est fournie l'lment final via le module de relais d'inversion DTA, le retour au canal d'entre supplmentaire indique qu'il est activ (et vice versa). Fournit un contrle des pannes de ligne du Logic Solver au module de diode l'aide du canal d'entre numrique supplmentaire. Lorsque le canal de sortie numrique est activ et qu'aucune alimentation de 24 V n'est fournie via le module de relais d'inversion DTA, le circuit d'induction prsente une continuit via le canal d'entre numrique pour rechercher d'ventuelles coupures ou des courts-circuits. Lorsqu'une alimentation de 24 V est applique par le module de relais DTA, aucun contrle de panne de ligne n'est effectu. Le tableau suivant prsente un rsum des fonctions du relais d'inversion DTA. Rsum des fonctions du relais d'inversion DTA
ETAT
DE TRAITEM ENT

CANAL LOGIC SOLVER DO On (activ) Off (dsactiv)

SORTIE

RELAIS

CANAL LOGIC SOLVER DI On (activ) Off (dsactiv)

DETECTION D'UNE P ANNE LIGNE ? Oui Non

DE

Normal Tripped (dclench)

Off (dsactiv) On (activ)

OW331_45

17

3.5 Applications concernant les incendies et le gaz Les instructions de configuration suivantes doivent tre suivies pour les applications normalement hors tension : La dtection d'une panne de ligne "Detect open and short circuit" ( Dtection d'une coupure et d'un court circuit ) des canaux d'entre numrique utiliss pour le retour des modules de relais d'inversion DTA doit tre active. Si la valeur de fonctionnement normale d'un canal d'entre numrique utilis dans l'application est Off (dsactive), la dtection d'une panne de ligne du canal doit tre active. Cela exige que les rsistances de fin de ligne soient installes selon les instructions contenues dans le Guide de l'utilisateur SIS Ovation. La dtection d'une panne de ligne doit tre active sur les canaux de sortie numrique. La logique de module SIS doit utiliser la mme approche de mise hors tension de dclenchement que celle qui est utilise dans les applications mises sous tension normalement. Par exemple, les entres vers un vote numrique (LSDVTR) ou l'algorithme de matrice de cause et effet (LSCEM) doivent tre gaux 1 en tat de fonctionnement normal et 0 pour une condition de dclenchement de traitement. Si la valeur de fonctionnement normale sur un canal d'entre numrique est Off (dsactive), l'option Invers doit tre active via le paramtre IOP1 ("Inverted", Invers ) de l'algorithme d'entre numrique (LSDI). L'entre d'un algorithme de sortie numrique (LSDO) doit tre gale 1 pour un tat de fonctionnement normal et gale 0 pour piloter le processus vers l'tat dclench ou attnuer les consquences des accidents. Le module de relais d'inversion DTA inverse la sortie vers l'lment final. La logique de module SIS doit fournir des informations de retour concernant l'tat de l'lment final. Ces informations peuvent provenir de l'lment final lui-mme, grce un interrupteur de limite ou des contacts auxiliaires. Les informations de retour peuvent galement provenir du canal d'entre numrique supplmentaire du module de relais d'inversion DTA, qui indique si l'alimentation a t achemine vers le module des diodes. Nous suggrons une approche pour l'utilisation des informations de retour dans le module SIS, qui consiste connecter la sortie OUT ("Digital Output with Status", Sortie numrique avec statut ) de l'algorithme d'entre numrique (LSDI) au RDBK ( Entre d'information en retour d'lment rel ) de l'algorithme de sortie numrique (LSDO). Assurez-vous de dsactiver le paramtre FOP4 ( FState Opt : FaultDetectbyPVD ) sur l'algorithme de sortie numrique (LSDO) pour cette application.

3.5

Applications concernant les incendies et le gaz


Les applications concernant les incendies et le gaz doivent tre conformes aux normes anti-incendie locales et respecter toutes les normes exiges par les autorits comptentes telles que la norme EN54 en Europe et la norme NFPA72 aux Etats-Unis. En fonction des exigences de la norme NFPA72 pour tous les systmes Logic Solvers : Les numros de version logicielle et matrielle doivent tre enregistrs. La programmation doit tre protge contre les modifications non autorises. Les administrateurs systme Ovation doivent s'assurer que seuls les individus autoriss possdent les cls de scurit qui permettent de configurer et de tlcharger le SLS 1508.

3.6

Applications du systme pour la gestion de brleur


Les systmes de gestion de brleur doivent tre conformes aux normes locales et respecter toutes les normes exiges par les autorits comptentes telles que la norme NFPA 85 aux Etats-Unis et la norme EN 50156-1 en Europe.

18

OW331_45

3.7 Utilisation des canaux de sortie deux tats HART et des contrleurs de soupape numriques

3.7

Utilisation des canaux de sortie deux tats HART et des contrleurs de soupape numriques
AVERTISSEMENT ! L'utilisation des canaux de sortie deux tats HART sur le systme Logic Solver est destine certains lments finaux. Vous ne devriez connecter physiquement un canal de ce type qu' un contrleur numrique de vanne Fisher Controls DVC6000 avec un niveau ESD (rvision du microprogramme 6 ou suprieure) ou un contrleur numrique de vanne certifi par Emerson Process Management comme quivalent. Un canal de sortie deux tats HART est manipul par la logique du module SIS au moyen de l'algorithme du contrleur de vanne numrique (LSDVC). Le systme Logic Server applique une intensit de 20 milliampres sur le canal lorsque le paramtre OUT ("Output Value", Valeur de sortie ) de l'algorithme est gal 1. La valeur du paramtre OFCUR ( Contrleur de vanne hors tension ) de l'algorithme LSDVC dtermine la tension applique lorsque la valeur du paramtre OUT est gale 0. Les options du paramtre OFCUR sont de "0 milliamps" ( 0 milliampres ) et de "4 milliamps" ( 4 milliampres ). Le tableau suivant rsume les caractristiques des options OFCUR. Caractristiques des options du contrleur de vanne hors tension
0
MILLI AMPERES

MILLI AM PERES

L'alimentation est retire entirement du contrleur numrique de vanne lorsque la logique du module SIS pilote le canal en position hors tension. Le contrleur numrique de vanne place l'lment final en tat dclench.

Le contrleur numrique de vanne place l'lment final en tat dclench lorsque la logique de module SIS pilote le canal en position hors tension. La communication HART avec le contrleur numrique de vanne se poursuit pendant que l'lment final est en tat dclench.

3.8

Utilisation de rfrences de paramtres non scuriss dans les modules SIS


La rfrence de paramtre non-scurise est un type de paramtre dfini par l'utilisateur disponible dans le dossier SIS d'Ovation Control Builder lorsqu'un fichier SIS a t ouvert. Ce type de paramtre est utilis pour lire un paramtre situ dans un module SIS diffrent ou sur une fiche de contrle Ovation. La communication du temps de fonctionnement implique l'infrastructure situe entre le contrleur Ovation et le systme Logic Solver, dont le niveau de scurit n'a pas t valu. La lecture d'un paramtre dans un autre module SIS l'aide d'une rfrence non-scurise repose sur l'utilisation du fond de panier SIS ou sur la communication SIS LAN, mme si le module SIS est situ dans le mme systme Logic Solver. Il est prfrable d'utiliser un paramtre scuris et une rfrence de paramtre scuris pour communiquer entre les modules SIS, car ils utilisent le bus pair dont le niveau de scurit n'a pas t valu et la frquence de mise jour correspond la vitesse d'analyse du systme Logic Solver (la frquence de mise jour non-scurise est gale 1 seconde). Cependant, les communications des paramtres scuriss sont effectues l'aide de types de donnes boolennes. Pour des types de donnes autres que des donnes boolennes, l'utilisation d'une rfrence de paramtre non-scurise peut tre plus facile si elle n'est pas critique pour la scurit.

OW331_45

19

3.8 Utilisation de rfrences de paramtres non scuriss dans les modules SIS

3.8.1 Applications non critiques pour la scurit


Une rfrence de paramtre non-scurise peut tre utilise sans cas particulier lorsque la valeur ne contribue pas une action de contrle critique pour la scurit. Un exemple d'application non critique pour la scurit est par exemple : la lecture de l'tat command d'un moteur ou de la vanne discrte d'une fiche de contrle Ovation, en appliquant ensuite un interverrouillage de scurit et en pilotant un canal de sortie du systme Logic Solver. Cette utilisation n'est pas considre comme critique pour la scurit car l'interverrouillage de scurit est toujours prioritaire sur la valeur de l'tat command.

3.8.2 Utilisations critiques pour la scurit


Si une rfrence de paramtre non-scurise contribue une action de contrle critique pour la scurit, un cas particulier est requis dans la logique du module SIS pour valider la valeur du paramtre. La personne charge de la configuration ne doit pas autoriser la fonction de scurit tre compromise par la valeur d'une rfrence de paramtre non-scurise. Si une rfrence de paramtre non-scurise est utilise dans le cadre d'une action de contrle critique de la scurit, il est important de valider la valeur lue dans le module SIS de manire indpendante. Un exemple de confirmation indpendante est constitu par l'utilisation d'autres entres de processus des canaux ou d'autres systmes Logic Solvers comme moyen de validation de la valeur du paramtre non-scuris. Si la valeur de la rfrence du paramtre non-scurise ne peut pas tre valide par une mthode indpendante, les valeurs limites classiques de dclenchement devraient tre appliques. Une rfrence de paramtre non-scurise possde une valeur et un tat. Normalement, l'tat est celui du paramtre rfrenc. S'il existe un problme de communication entre le contrleur Ovation et le systme Logic Solver, l'tat du paramtre non-scuris sera "Bad" ( Mauvais ), ce qui amnera le systme Logic Solver le traiter comme une perte de communication. Si le paramtre de la source prsente un tat Bad ou que le systme Logic Solver n'est pas en mesure de lire cette valeur, la rfrence du paramtre non-scurise prsente l'tat "Bad". Par consquent, la logique du module SIS doit prendre la mesure approprie lorsque l'tat indiqu est "Bad", dans le cas d'une utilisation critique pour la scurit. Pour plus d'informations, consultez la section Utilisation de l'tat "Bad" dans le module SIS du Guide de l'utilisateur SIS Ovation. L'algorithme de limite (LSLIM) peut tre utilis en aval, partir d'une rfrence de paramtre non-scurise, afin de limiter cette valeur une plage valide. L'algorithme possde un paramtre d'option LMOPT qui dtermine la valeur de sortie lorsque l'entre n'appartient pas une plage valide. Les choix possibles comprennent la limitation de la valeur la limite, en utilisant la dernire valeur avant la violation de limite et la valeur par dfaut configurable.

20

OW331_45

Index
A
Applications concernant les incendies et le gaz 18 Applications de dclenchement alimentes (avec logique inverse) 16 Applications de dclenchement alimentes (avec relais auxiliaire) 17 Applications du systme pour la gestion de brleur 18 Applications non critiques pour la scurit 20

T
Taux de dfaillance pour la vrification SIL 7 Temps de rponse 7 Test de fonctionnement aprs le chargement dans un processus en cours 14 Test de fonctionnement aprs le chargement initial 10

U
Utilisation de rfrences de paramtres non scuriss dans les modules SIS 19 Utilisation des canaux de sortie deux tats HART et des contrleurs de soupape numriques 19 Utilisation du Logic Solver dans des applications normalement hors tension 15 Utilisations critiques pour la scurit 20

C
Caractristiques du produit 7 Caractristiques spcifiques au module SIS 4 Certification 2 Chargement dans un processus en cours 13 Chargement du Logic Solver 10 Chargements supplmentaires 11

E
Enregistrement des valeurs de CRC 10

G
Gestion de la scurit fonctionnelle 3 Gestion des changements dans le systme d'excution SIS Ovation 9

I
Installation et test d'aptitude du site 9

L
Limites 8

P
Pratiques de conception 5 Pratiques d'utilisation et de maintenance 6 Pratiques ncessaires 9 Pratiques ncessaires prsentation 9 Prsentation du manuel de scurit SIS Ovation 1

R
Restrictions applicables tous les systmes Logic Solver 4 Restrictions spcifiques au module SIS 3

OW331_45

21