RSX-7900 Gebrauchsanleitung
RSX-7900 User Manual
2018/09 Änderungen vorbehalten / subject to change
P/N 402519795_04
Seite / page 7 / 8
6.3.2 Sichere Zustände
a. Fehlerloser Normalbetrieb
Ein sicherer Zustand liegt vor, wenn die
Ausgangskennlinien beider Ausgangskanäle fehlerlos im
definierten gültigen Bereich liegen (s. Kennlinien auf
Zeichnung Z001-2841).
b. Sicherer Ausfall (safe failure)
Jeder Kanal des Sensors verfügt über ein internes
Diagnosesystem zur Erkennung von diversen internen
Fehlern. Wird ein interner Fehler erkannt, so wechselt das
Ausgangssignal in den Diagnosebereich (<3,5 mA).
c. Sicherer Ausfall (safe failure) durch Bewertung des
Summensignals im Steuergerät
Durch Kreuzvergleich (Summenbildung beider Signale)
können weitere Fehler erkannt werden (Gleichtaktfehler).
Für die Bewertung des Summensignals ist eine
Toleranzgrenze festzulegen, welche
applikationsspezifisch ermittelt werden muss.
6.3.3 Unsichere Zustände
Gefährlicher unentdeckter Ausfall (dangerous
undetected failure)
Ein gefährlicher unentdeckter Fehler liegt vor, wenn beide
Ausgangssignale innerhalb der definierten Kennlinien
einen Fehler aufweisen, welcher nicht durch o.g.
Methoden diagnostiziert werden kann (Gegentaktfehler).
6.3.4
Konfiguration der Logikeinheiten
Die Logikeinheiten
müssen die Ausgangskreise des
Winkelaufnehmers auswerten.
Die Logikeinheiten
müssen mindestens dem Performance
Level des Systems entsprechen.
6.4 Annahmen für Sicherheitsbetrachtung
Bei der Durchführung der Sicherheitsbetrachtungen
(FMEAs, FMEDA, etc.) wurden folgende Annahmen
zugrunde gelegt:
•
Ausfallraten sind konstant
•
Abnützung der mechanischen Teile, Ausfallraten von
externen Stromversorgungen und Mehrfachfehler
wurden nicht betrachtet
•
Die mittlere Umgebungstemperatur während der
Betriebszeit beträgt 40 °C (104 °F)
•
Die Umweltbedingungen entsprechen einer
durchschnittlichen industriellen Umgebung
•
Die Gebrauchsdauer der Bauteile liegt im Bereich von
8 bis 12 Jahren (IEC 61508-2, 7.4.7.4, Anmerkung 3)
•
Die die Sensordaten auswertende Logik bewertet die
Plausibilität des Ausgangssignales jedes einzelnen
Kanals sowie die Summe beider Ausgangsignale
•
Die Grenzwerte für den maximal akzeptablen Fehler
des Einzelsignales sowie der Summe der Kanäle
wurden in der FMEDA-Excel-Datei als
vom Kunden
variierbar angelegt,
um die spezifisch für die
jeweilige Applikation im Ergebnis MTTFd- und DCavg-
Werte zu erhalten.
6.5 Verhalten im Betrieb und bei Störungen
Bei festgestellten Fehlern muss das gesamte Messsystem
außer Betrieb genommen und der Prozess durch andere
Maßnahmen im sicheren Zustand gehalten werden.
Wird aufgrund eines festgestellten Fehlers der
Winkelaufnehmer ausgetauscht, so ist dies dem Hersteller
zu melden (inklusive einer Fehlerbeschreibung).
6.6 Wiederkehrender Funktionstest
Der wiederkehrende Funktionstest dient dazu, die
Sicherheitsfunktion zu überprüfen, um mögliche, nicht
erkennbare gefährliche Fehler aufzudecken. Die
Funktionsfähigkeit des Messsystems ist deshalb vom
Betreiber in angemessenen Zeitabständen nach DIN EN
ISO 13849 zu prüfen.
6.3.2 Safe states
a. Error free normal operation
A safe state is present when the output signals of both
channels are inside the diagnostic range, see diagram on
drawing Z001-2841.
b. Safe failure
Every sensor channel has an internal diagnostics to detect
various internal malfunctions. When an an error is
detected, the output signal changes into the diagnostic
range (<3.5 mA).
c. Safe failure by evaluation of both channels in ECU
By cross comparison (sum of channel 1 and channel 2),
further errors can be detected (common cause failure).
For the evaluation of the sum signal, a tolerance limit has
to be defined that has to be determined application
specific.
6.3.3 Unsafe states
Dangerous undetected failure
A dangerous undetected failure is present when both
output signals are along the defined output curves and still
have an error or deviation that cannot be detected by the
above described methods (reverse mode error).
6.3.4 Configuration of Logical Units
The logical units must process the output curcuits of the
transducer.
The logical units must at minimum comply to the intended
Performance Level of the system.
6.4 Presumptions for safety examinations
During processing of the safety examinations (FMEAs,
FMEDA, etc.), the following presumptions were met:
•
Failure rates are constant
•
Wear on mechanical parts, failure rates of external
power supplies and multiple faults were not taken into
account
•
The mean temperature during working time is 40 °C
(104 °F)
•
The environmental conditions correspond the ones
from an average industrial environment
•
The useage time of components lies in the range of 8
to 12 Years (IEC 61508-2, 7.4.7.4, remark 3)
•
The logic unit that processes the sensor‘s data checks
for the plausibility of each channel as well as the total
of both channels.
•
The limit values for the max. acceptable error of a
single channel and the total of both channels are in
the FMEDA Excel document
adjustable by the
customer
to the needs of his application, resulting in
a variation of resulting MTTFd and DCavg values.
6.5 Behaviour during operation and during
disturbances
When errors are found, the complete system has to be
taken out of use and the process has to be kept in safe
condition by lternative means.
When the transducer is taken out of the system
(Replacement) the manufacturer needs to be informed
and the transducer needs to be sent to the manufacturer.
A failure description needs to be issued.
6.6 Periodic Function Verification
The periodic function verification serves for checking the
safety function in order to find possible, non observable
dangerous failures. Hence the functionality of the
transducer is to be checked periodically by the user in
appropriate time periods acc. to DIN EN ISO 13849.
