AUMA Multi-turn actuators SA.2/SAEx.2 Manual do usuário

Marca: AUMA

Modelo: Multi-turn actuators SA.2/SAEx.2

Tipo: Manual do usuário

Atuadores multivoltas

SA 07.2 – SA 16.2/SAR07.2 – SAR 16.2

SAEx 07.2 – SAEx 16.2/SAREx 07.2 – SAREx 16.2

com controlo do atuador

AC 01.2-SIL/ACExC 01.2-SIL

Versão SIL

Segurança funcionalManual

NOTA sobre a utilização!

Este documento apenas é válido em conjunto com as instruções de operação atuais que acompanham o

dispositivo, o manual em anexo e os respetivos dados técnicos e elétricos. Estes devem ser entendidos como

documentos complementares.

Objetivo da documentação:

Este documento apresenta informações sobre as medidas necessárias para a utilização do dispositivo em

sistemas de segurança de acordo com a norma IEC 61508 ou IEC 61511.

Documentos de referência:

●Instruções de operação (Montagem e colocação em funcionamento) do atuador

●Manual (Operação e ajuste) do controlo do atuador AC 01.2/ACExC 01.2

●Manual (Integração de dispositivos) do controlo do atuador AC(V) 01.2/AC(V)ExC 01.2

●Dados técnicos sobre o atuador multivoltas e o controlo do atuador.

Os documentos de referência podem ser encontrados na Internet, no endereço http://www.auma.com.

Índice Página

51. Terminologia........................................................................................................................... 51.1. Abreviaturas e termos

72. Aplicação e validade.............................................................................................................. 72.1. Área de aplicação 72.2. Normas 72.3. Tipos de dispositivos válidos

83. Planeamento, configuração e condições de utilização...................................................... 83.1. Planeamento (conceção do atuador) 93.2. Configuração (ajuste)/versão 113.3. Proteção contra movimento descontrolado (autobloqueio/travão) 123.4. Modo de operação (low/high demand mode) 123.5. Outras indicações e especificações sobre o planeamento 123.6. Condições de utilização (condições ambientais)

144. Sistemas de segurança técnica e funções de segurança.................................................. 144.1. Sistema de segurança técnica com um atuador 144.2. Funções de segurança 154.3. Entradas e saídas seguras 154.4. Configuração redundante do sistema 164.5. Exemplos de utilização 184.6. Representação do sistema

195. Instalação, colocação em funcionamento e operação....................................................... 195.1. Instalação 215.2. Colocação em funcionamento 215.3. Operação 225.4. Vida útil 225.5. Desativação

236. Indicações no mostrador....................................................................................................... 236.1. Indicações de estado sobre as funções SIL 246.2. Aviso de configuração SIL 246.3. Iluminação de fundo

Atuadores multivoltas

Índice SA .2 com AC 01.2-SIL/ACExC 01.2-SIL

257. Mensagens.............................................................................................................................. 257.1. Mensagens sobre o módulo SIL 257.2. Mensagem do Erro SIL através do mostrador do controlo do atuador padrão (para ajudar na

resolução de problemas) 277.3. Mensagens de estado através de relés de aviso (saídas digitais) do controlo do atuador

padrão 277.4. Mensagens através de bus de campo do controlo do atuador padrão

298. Inspeções e manutenção....................................................................................................... 298.1. Verificar o dispositivo de segurança 298.2. Monitorização interna do atuador do dispositivo com comando através do controlador padrão 298.3. Executar o Partial Valve Stroke Test (PVST) 328.4. Proof-Test (verificação do funcionamento seguro do atuador) 338.4.1. Inspeção prévia 338.4.2. Verificar o movimento de segurança ESD seguro «ABRIR/FECHAR em segurança» 348.4.3. Verificar a mensagem de erro SIL «Monitorização do atuador» 348.4.4. Verificar a reação ESD seguro às mensagens «Proteção do motor (erro térmico)» 358.4.5. Verificar a reação ESD seguro à «Paragem em função do fim de curso com proteção

contra sobrecarga» (avaliação do curso e/ou do binário) 378.4.6. Verificar a reação ESD seguro à «Paragem na posição final do curso» (avaliação do

curso) – para atuadores com unidade de controlo eletromecânica 388.4.7. Verificar a reação ESD seguro à «Paragem na posição final do curso» (avaliação do

curso) – para atuadores com unidade de controlo eletrónica e interruptores fim de

curso 388.4.8. Verificar a reação ESD seguro à «Paragem na posição final do binário» (avaliação do

binário após curso) 398.4.9. Verificar a reação ESD seguro a «sem paragem» (sem avaliação do curso e do

binário) 418.4.10. Verificar a função PARAGEM segura 428.4.11. Verificar a combinação de função ESD seguro e PARAGEM segura 438.5. Manutenção

449. Códigos característicos de segurança................................................................................ 449.1. Determinação dos códigos característicos 459.2. Códigos característicos específicos para o controlo do atuador AC 01.2 na versão SIL com

atuadores da série SA .2

4810. Certificado SIL........................................................................................................................

4911. Listas de verificação.............................................................................................................. 4911.1. Lista de verificação da colocação em funcionamento 4911.2. Listas de verificação Proof-Test 4911.2.1. Movimento de segurança ESD seguro (ABRIR/FECHAR em segurança) –

independentemente da unidade de controlo selecionada 4911.2.2. Mensagem de erro SIL «monitorização do atuador» – independente da unidade de

controlo selecionada 5011.2.3. Reação ESD seguro às mensagens «Proteção do motor (erro térmico)» –

independentemente da unidade de controlo selecionada 5111.2.4. Reação ESD seguro à «Paragem em função do fim de curso com proteção contra

sobrecarga» (avaliação do curso e/ou do binário) – para atuadores com unidade de

controlo eletromecânica 5211.2.5. Reação ESD seguro à «Paragem na posição final do curso» (avaliação do curso) –

para atuadores com unidade de controlo eletromecânica

Atuadores multivoltas

SA .2 com AC 01.2-SIL/ACExC 01.2-SIL Índice

5211.2.6. Reação ESD seguro à «Paragem na posição final do curso» (avaliação do curso) –

para atuadores com unidade de controlo eletrónica e interruptores fim de curso 5311.2.7. Reação ESD seguro à Paragem na posição final do binário (avaliação do binário após

curso) – para atuadores com unidade de controlo eletromecânica 5411.2.8. Reação ESD seguro a «sem paragem» – para atuadores com unidade de controlo

eletromecânica ou com unidade de controlo eletrónica com interruptores fim de curso 5511.2.9. Função PARAGEM segura – independente da unidade de controlo selecionada 5511.2.10. Combinação de ESD seguro e PARAGEM segura – independentemente da unidade

de controlo selecionada

59Índice alfabético.....................................................................................................................

Atuadores multivoltas

Índice SA .2 com AC 01.2-SIL/ACExC 01.2-SIL

1. Terminologia

Fontes de informação ●IEC 61508-4, Segurança funcional relativa à segurança de sistemas

elétricos/eletrónicos/programáveis – parte 4: termos e abreviaturas

●IEC 61511-1, Segurança funcional – Sistemas técnicos de segurança para a

indústria de processos – parte 1: aspetos gerais, termos, requisitos dos

sistemas, software e hardware

1.1. Abreviaturas e termos

Para avaliar as funções de segurança, são necessários fundamentalmente os valores

lambda ou o valor PFD (Probability of Dangerous Failure on Demand) e o valor de

SFF (Safe Failure Fraction). Para avaliar os componentes individuais, são necessários

outros códigos característicos. Estes são explicados sucintamente na seguinte

tabela.

Tabela 1: Abreviaturas de códigos característicos de segurança

DescriçãoInglêsCódigo

característico Número de falhas segurasLambda SafeλSNúmero de falhas perigosasLambda DangerousλDNúmero de falhas perigosas não

detetadas

Lambda Dangerous UndetectedλDU

Número de falhas perigosas detetadasLambda Dangerous DetectedλDD Grau de cobertura de diagnóstico –

proporção da taxa de falha dos erros

perigosos detetados por testes de

diagnóstico face à taxa total de erros

perigosos do componente ou

subsistema. O grau de cobertura de

diagnóstico não inclui erros

determinados nas repetições das

inspeções (proof tests)

Diagnostic CoverageDC

Tempo médio entre a ocorrência de

dois erros seguidos

Mean Time Between FailuresMTBF

Proporção de falhas seguras e

perigosas detetáveis

Safe Failure FractionSFF

Probabilidade média de falhas que

acarretam perigo de uma função de

segurança no caso de ser exigido

Average Probability of dangerous

Failure on Demand

PFDavg

Capacidade que uma unidade funcional

tem de continuar a executar uma

função exigida em caso de erros ou

desvios. Uma HFT = n significa que a

função ainda pode ser executada com

segurança no caso de ocorrerem até

n erros simultaneamente.

Hardware Fault ToleranceHFT

Intervalo para a repetição da inspeçãoProof test intervalTproof

SIL Nível de integridade de segurança (Safety Integrity Level).

A norma internacional IEC 61508 define 4 níveis (SIL 1 a SIL 4).

Função de segurança Função que é executada por um SIS ou um sistema de segurança para a redução

dos riscos com o objetivo de alcançar ou manter um estado seguro para a

instalação/equipamento em caso de determinação de um incidente perigoso.

Função de segurança

(SIF) Função com nível de integridade de segurança (SIL) definido que é necessária para

alcançar a segurança funcional.

Sistema técnico de

segurança (SIS) Sistema técnico de segurança para a execução de uma ou várias funções de

segurança. Um SIS consiste em sensor(es), sistema lógico e atuador(es).

Atuadores multivoltas

SA .2 com AC 01.2-SIL/ACExC 01.2-SIL Terminologia

Sistema de segurança Um sistema de segurança abrange tudo (hardware, software, fatores humanos) o

que é necessário para a execução de uma ou várias funções de segurança. As

falhas da função de segurança significariam um aumento significativo do risco para

a segurança de pessoas e/ou do meio ambiente.

Um sistema de segurança pode ser uma instalação autónoma para a execução de

uma determinada função de segurança ou pode estar integrado noutra instalação.

Repetição da inspeção Uma inspeção recorrente para detetar falhas num sistema de segurança para que,

se necessário, o sistema possa ser colocado num estado "como novo" ou o mais

próximo possível desse estado do ponto de vista prático.

MTTR (Mean Time To

Restoration) Tempo médio para a recuperação após a ocorrência de um erro. Este indica, em

média, quanto tempo demora o sistema a recuperar.Trata-se, assim, de um

parâmetro importante para a disponibilidade do sistema. Este tempo também inclui

o tempo até à descoberta do erro e o planeamento das tarefas e dos equipamentos.

Deve ser o mais breve possível.

MRT (Mean Repair Time) O tempo médio de reparação indica o período de tempo médio necessário para

reparar um sistema. O MRT é importante para determinar a fiabilidade e a

disponibilidade de um sistema. O MRT deve ser o mais curto possível.

Tipo de dispositivo (tipo

A e tipo B) O controlo do atuador pode ser considerado um dispositivo do tipo A se todas as

condições que se seguem forem cumpridas em todos os componentes necessários

para assegurar a função de segurança:

●Os modos de falha de todos os componentes envolvidos estão bem definidos.

●O comportamento em caso de erro pode ser totalmente previsto.

●Existem dados de falha dependentes suficientes do campo para demonstrar

que as taxas de falha indicadas foram cumpridas (Confidence Level mín. 70

%).

O controlo do atuador deve ser considerado um dispositivo do tipo B, caso se aplique

uma ou mais das condições que se seguem:

●A falha de pelo menos um elemento não está bem definida.

●O comportamento em caso de erro não é totalmente conhecido.

●Não há informações fiáveis sobre os erros dos dispositivos de campo para

fundamentar a taxa de falha relativa às falhas perigosas identificadas e não

detetadas.

PTC (Proof Test

Coverage) A Proof Test Coverage descreve a proporção de falhas que podem ser detetadas

por um Proof-Test.

Atuadores multivoltas

Terminologia SA .2 com AC 01.2-SIL/ACExC 01.2-SIL

2. Aplicação e validade

2.1. Área de aplicação

Os atuadores e os controlos dos atuadores AUMA na versão SIL com as funções

de segurança mencionadas neste manual destinam-se à operação de válvulas

industriais e são adequados para utilização em sistemas técnicos de segurança de

acordo com a norma IEC 61508 ou IEC 61511.

2.2. Normas

Os atuadores e os controlos dos atuadores cumprem os seguintes requisitos:

●IEC 61508 ED.2: Segurança funcional relativa à segurança de sistemas

elétricos/eletrónicos/programáveis

2.3. Tipos de dispositivos válidos

As informações sobre segurança funcional contidas neste manual são válidas para

os tipos de dispositivos aqui especificados.

Tabela 2:Visão geral dos tipos de dispositivos adequados

Alimentação elétricaTipo MotorControlo do atuadorAtuador Corrente trifásicaAC 01.2 em versão SILSA 07.2 – SA 16.2 Corrente trifásicaAC 01.2 em versão SILSAR 07.2 – SAR 16.2 Corrente trifásicaACExC 01.2 em versão SILSAEx 07.2 – SAEx 16.2 Corrente trifásicaACExC 01.2 em versão SILSAREx 07.2 – SAREx 16.2

O hardware, software e a configuração do atuador e/ou do controlo do atuador não

podem ser alterados sem consentimento por escrito da AUMA. Alterações não

autorizadas podem afetar negativamente os códigos de segurança e a capacidade

SIL dos produtos.

Informação Em aplicações com requisitos de segurança funcional apenas podem ser utilizados

controlos dos atuadores e atuadores AUMA na versão SFC ou SIL.

Os controlos dos atuadores e atuadores AUMA na versão SIL podem ser

identificados, entre outros aspetos, pelas letras «SIL» que se encontram na chapa

de características.

Figura 1: Exemplo de uma chapa de características AC com a identificação «SIL»

Figura 2: Exemplo de uma chapa de características SA com a identificação «SIL»

Atuadores multivoltas

SA .2 com AC 01.2-SIL/ACExC 01.2-SIL Aplicação e validade

3. Planeamento, configuração e condições de utilização

3.1. Planeamento (conceção do atuador)

Para o planeamento (conceção) dos atuadores, são considerados principalmente

os binários e binários de funcionamento máximos necessários, bem como os tempos

de operação.

O dimensionamento incorreto do atuador pode provocar danos no sistema

de segurança dos dispositivos!

As eventuais consequências são, por exemplo: danos na válvula, sobreaquecimento

do motor, contactores colados, danos no sistema eletrónico, aquecimento ou danos

nos cabos.

→É fundamental ter em conta os dados técnicos dos atuadores aquando do

dimensionamento dos mesmos.

→É necessário planear uma reserva suficiente para garantir que os atuadores

conseguem fechar ou abrir a válvula de forma fiável mesmo em caso de falha

e em condições de subtensão.

Planeamento utilizando a função PARAGEM segura

Informação A função PARAGEM segura desliga o motor, eventualmente dando origem a um

movimento em roda livre!

Possibilidade de danos na válvula em caso de movimento em roda livre!

→Para a função PARAGEM segura (SS), deve ter-se em conta o movimento em

roda livre da disposição (atuador, caixa redutora, válvula) e o tempo de reação.

→Se o tipo de aplicação exigir um autobloqueio do atuador, isso deve ser

esclarecido com a AUMA.

Planeamento utilizando a função ESD seguro

Atuadores com unidade de controlo eletromecânica:

As mensagens de posição final (interruptor de fim de curso) e a mensagem do binário

da unidade de controlo eletromecânica são mensagens seguras que podem ser

incorporadas num sistema de segurança se estiverem diretamente cabladas à saída

do cliente do controlo XK. No entanto, esta mensagem não faz parte da certificação

da TÜV Nord. Para mais detalhes sobre este mensagem, consulte o manual de

segurança separado.

Na configuração «Tipo de paragem SIL» = «sem paragem» (sem proteção da posição

final), recomendamos:

●Para evitar danos na válvula durante um movimento de segurança,

recomendamos que a válvula seja projetada para 3 – 5 vezes o binário máximo

do atuador, dependendo da rigidez.

●Para evitar danos térmicos causados por correntes demasiado altas,

recomendamos uma monitorização (avaliação) da proteção do motor.

Atuadores com unidade de controlo eletrónica MWG:

Informação A mensagem da posição final (interruptor de fim de curso) e a mensagem do binário

através da unidade de controlo eletrónica MWG, bem como todas as mensagens

através da interface E/S padrão e da interface de bus de campo não são mensagens

seguras.

●Se forem necessárias mensagens seguras, estas devem ser realizadas por

outros meios, por exemplo, através de interrutores na válvula.

●Para evitar danos na válvula durante um movimento de segurança,

recomendamos que a válvula seja projetada para 3 – 5 vezes o binário máximo

do atuador, dependendo da rigidez.

Atuadores multivoltas

Planeamento, configuração e condições de utilização SA .2 com AC 01.2-SIL/ACExC 01.2-SIL

●Para evitar danos térmicos causados por correntes demasiado altas,

recomendamos uma monitorização (avaliação) da proteção do motor.

Atuadores com unidade de controlo eletrónica MWG com interruptores fim de

curso:

Informação A sinalização segura é garantida neste versão apenas através dos interruptores fim

de curso, se estes estiverem diretamente cablados à saída do cliente do controlo

do atuador XK. No entanto, esta mensagem não faz parte da certificação da TÜV

Nord. Para mais detalhes sobre este mensagem, consulte o manual de segurança

separado.

Na configuração «Tipo de paragem SIL» = «sem paragem» (sem proteção da posição

final), recomendamos:

●Para evitar danos na válvula durante um movimento de segurança,

recomendamos que a válvula seja projetada para 3 – 5 vezes o binário máximo

do atuador, dependendo da rigidez.

●Para evitar danos térmicos causados por correntes demasiado altas,

recomendamos uma monitorização (avaliação) da proteção do motor.

Informação Na configuração «Tipo de paragem SIL» = «paragem na posição final do curso», a

paragem ocorre na posição final através dos interruptores fim de curso. Como cada

interrutor tem uma histerese, o atuador abandona a posição final antes que o

interruptor fim de curso seja novamente libertado. Como resultado, existe uma área

das posições do atuador adjacente à posição de segurança na qual o interruptor

fim de curso ainda é acionado quando se retira da posição de segurança e, por isso,

a função ESD seguro NÃO se encontra disponível. O acionamento da função de

segurança leva, neste caso, à paragem do atuador. Se a área em questão for

alcançada na direção oposta, a limitação descrita não se aplica. Normalmente, esta

área é pequena, mas em configurações desfavoráveis (número reduzido de rotações

por curso) pode ser de até mais de 10 % do curso total.

Se, devido a condições adversas, o efeito descrito em cima representar uma limitação

inaceitável para a função de segurança, recomendamos a configuração «Paragem

na posição final do binário» ou «não usar nenhuma» paragem para o movimento

de segurança.

Alimentação de energia

Informação O explorador da instalação é responsável por garantir a alimentação de energia.

3.2. Configuração (ajuste)/versão

A configuração (ajuste) das funções de segurança é definida na fábrica durante a

montagem do controlo do atuador e validada posteriormente durante o fornecimento

ao cliente. O explorador da instalação não pode alterar a configuração

posteriormente.

O ajuste de funções gerais deve ser realizado conforme descrito nas instruções de

operação ou conforme descrito no manual (Operação e ajuste) AUMATIC AC 01.2.

A configuração das funções de segurança deve constar da folha de dados técnicos

do contrato.

Atuadores multivoltas

SA .2 com AC 01.2-SIL/ACExC 01.2-SIL Planeamento, configuração e condições de utilização

Possibilidades de configuração da função de segurança

Tabela 3:

Possibilidades de configuração da função de segurança

Descrição resumidaConfiguração

Função SIL

FECHAR em segurançaESD seguro FECHAR/FECHAR

ABRIR em segurançaESD seguro ABRIR/ABRIR

PARAGEM em segurança na direção FECHAR e na direção

ABRIR

PARAGEM segura FECHAR/ABRIR

FECHAR em segurança e PARAGEM em segurança na

direção FECHAR e na direção ABRIR

ESD seguro FECHAR/FECHAR +

PARAGEM segura FECHAR/ABRIR

ABRIR em segurança e PARAR em segurança na direção

FECHAR e na direção ABRIR

ESD seguro ABRIR/ABRIR + PARAGEM

segura FECHAR/ABRIR

Ao configurar uma função ESD seguro e uma função PARAGEM segura, ao mesmo

tempo que é pedido ambas as funções de segurança, a função ESD seguro tem

sempre prioridade sobre a função PARAGEM segura.

Possibilidades de configuração do tipo de paragem

Informação O tipo de paragem do controlador padrão deve ser configurado como nas seguintes

tabelas.

Tabela 4:

no caso de atuadores com unidade de controlo eletromecânica

Configuração

Tipo de paragem

Controlador padrão

Descrição resumidaConfiguração

Tipo de paragem SIL

Livremente selecionávelSem paragem por interruptores de fim de curso

ou de binário durante um movimento de

segurança

1: sem paragem

Em função do binárioO movimento de segurança é parado através da

ativação conjunta do interruptor fim de curso ou

de binário

2: paragem na posição

final do binário

Em função do cursoO movimento de segurança é parado através da

ativação dos interruptores fim de curso

3: paragem na posição

final do curso

Em função do cursoO movimento de segurança é parado através da

ativação dos interruptores fim de curso e/ou dos

interruptores de binário (proteção contra

sobrecarga)

4: paragem em função do

curso com proteção

contra sobrecarga

Tabela 5:

no caso de atuadores com unidade de controlo eletrónica MWG

Configuração

Tipo de paragem

Controlador padrão

Descrição resumidaConfiguração

Tipo de paragem SIL

Livremente selecionávelSem paragem por interruptores de fim de curso

ou de binário durante um movimento de

segurança

1: sem paragem

Tabela 6:

no caso de atuadores com unidade de controlo eletrónica MWG com interruptores fim de curso

Configuração

Tipo de paragem

Controlador padrão

Descrição resumidaConfiguração

Tipo de paragem SIL

Em função do cursoO movimento de segurança é parado através da

ativação dos interruptores fim de curso

3: paragem na posição

final do curso

Atuadores multivoltas

Planeamento, configuração e condições de utilização SA .2 com AC 01.2-SIL/ACExC 01.2-SIL

Possibilidades de configuração da avaliação da proteção do motor

Tabela 7:

Possibilidades de configuração da avaliação da proteção do motor

Descrição resumidaConfiguração

Proteção do motor SIL

A ativação da proteção do motor (erro térmico) para ou impede um movimento

de segurança

ativo

A proteção do motor não influencia o movimento de segurançainativo

Informação A configuração «Proteção do motor SIL» = «inativo» só é configurada a pedido

explícito. Esta versão não cumpre a aprovação Ex.

Informação Se houver interruptores de fim de curso ou de binário para as posições finais, o seu

ajuste exato é absolutamente necessário para garantir o funcionamento correto da

«Mensagem de verificação de posição final segura» ou da «Função ESD». Os

detalhes sobre o ajuste dos respetivos interruptores podem ser consultados nas

instruções de operação.

Configuração dos diagnósticos «Monitorização da reação» e «Partial Valve

Stroke Test (PVST)»

Consoante o tipo de diagnóstico previsto, as configurações da monitorização da

reação via pisca-pisca ou Partial Valve Stroke Test devem ser verificadas e, se

necessário, adaptadas.

Pode encontrar as possibilidades de configuração detalhadas e informações sobre

o Partial Valve Stroke Test (PVST) no manual (Operação e ajuste) AUMATIC

AC 01.2. Por favor, preste atenção que a monitorização da reação só pode ser feita

através da comutação intermitente/mensagem de erro SIL e não através da

monitoração da reação do firmware AC .2.

3.3. Proteção contra movimento descontrolado (autobloqueio/travão)

Nos atuadores AUMA autobloqueantes, pode-se pressupor que em caso de carga

até ao binário máximo, não ocorre qualquer movimento descontrolado da válvula

quando esta se encontra parada devido à carga de binário da mesma. Neste sentido,

não é absolutamente necessária uma proteção adicional contra movimento

descontrolado nestes casos. Isso poderá ser necessário se, por exemplo, o

autobloqueio não estiver porventura garantido ou não for suficiente devido às

vibrações. No entanto, certas aplicações podem ainda exigir uma proteção ativa da

posição, por exemplo, através de um travão. Além disso, existem normas específicas

das aplicações que assim o exigem. Por este motivo, deve verificar-se em função

de cada projeto se é obrigatória uma proteção adicional. Em qualquer caso, esta é

obrigatória em atuadores sem autobloqueio.

Tabela 8:Visão geral do autobloqueio em atuadores AUMA (no momento da impressão deste manual)

AutobloqueioVelocidade de saídaTipo

60 Hz50 Hz

Autobloqueante≤ 108 rpm≤ 90 rpmSA 07.2 – SA 16.2

SAR 07.2 – SAR 16.2

SAEx 07.2 – SAEx 16.2

SAREx 07.2 – SAREx 16.2

NÃO autobloqueante≥ 150 rpm≥ 125 rpm

Se não forem utilizados suficientes atuadores autobloqueantes em combinação com

o tipo de paragem SIL «paragem na posição final do binário» para a função de

segurança, então pode ocorrer o seguinte efeito: Em caso de ESD, o atuador

movimenta-se para a posição final e desliga-se porque alcançou a posição do curso

e o binário de paragem. Em seguida, a transmissão é aliviada e o binário desce

para baixo do valor limite ajustado. O atuador reconhece isso – de forma correta –

como o abandono das condições ESD e volta a ligar o atuador. Este volta a

estabelecer o binário até que a condição de paragem esteja alcançada, etc. O

atuador efetua um designado «bombear».

Atuadores multivoltas

SA .2 com AC 01.2-SIL/ACExC 01.2-SIL Planeamento, configuração e condições de utilização

Para evitar este efeito, recomendamos que utilize atuadores ou outros elementos

com um autobloqueio suficiente na transmissão ou – se o processo e a segurança

o permitir – selecione a «paragem na posição final do curso» como função de

segurança.

3.4. Modo de operação (low/high demand mode)

As funções de segurança dos atuadores fornecidos pela AUMA são concebidas

para o modo de operação com baixa taxa de exigência (low demand mode) e só

podem ser utilizadas neste modo de operação. Se, além da função de segurança,

também for executada uma função não associada à segurança do equipamento de

operação e monitorização através do mesmo atuador, é necessário garantir que,

mesmo tendo em consideração a soma da função não associada à segurança,

testes necessários e função de segurança, não é excedido o número máximo

permitido de ciclos de comutação1) definido para o respetivo atuador nem o número

máximo permitido de arranques2) durante a utilização do atuador num sistema técnico

de segurança.

3.5. Outras indicações e especificações sobre o planeamento

A HFT é 0.

A aptidão sistemática é 3 (SC=3).

Para a ligação da válvula apenas podem ser utilizadas flanges dos tamanhos F07

ou FA07, ou superiores.

Quaisquer transmissores de posição MWG, RWG ou EWG eventualmente instalados

no atuador não podem ser integrados num sistema técnico de segurança.

As funções de segurança do atuador podem ser consideradas como dispositivo de

tipo A.

O tempo de operação para o curso completo deve ser superior a 4 segundos.

ATENÇÃO: uma alteração do curso nominal altera também o tempo de operação.

A(s) função(ões) de segurança e as suas mensagens de verificação devem ser

transmitidas exclusivamente através das entradas e saídas digitais do módulo SIL.

A mensagem através da saída Erro SIL devem ser avaliadas continuamente.

Se esta comunicar um erro, presume-se que o função de segurança não está

disponível. A função de segurança deve ser imediatamente verificada. Poderão ser

necessárias mais medidas de proteção até que o função de segurança volte a

funcionar corretamente.

3.6. Condições de utilização (condições ambientais)

Durante o planeamento e a utilização dos atuadores em sistemas técnicos de

segurança, garantir que os dispositivos circundantes cumprem as condições de

utilização permitidas e os requisitos CEM. As condições de utilização estão indicadas

na folha de dados técnicos:

●Grau de proteção

●Proteção anticorrosão

●Temperatura ambiente

●Resistência a oscilações (vibração)

Se as temperaturas ambiente reais apresentarem uma temperatura média superior

a +40 °C, deve ser aplicado um fator de segurança aos valores lambda. Em caso

de uma temperatura média de +60 °C, este fator é de 2,5.

Para a avaliação ambiental, o atuador com controlo do atuador foi submetido às

seguintes normas:

●Calor seco: EN 60068-2-2

●Calor húmido: EN 60068-2-30

●Frio: EN 60068-2-1

●Ensaio de oscilações: IEC 60068-2-6

1) Definição de "ciclos de comutação" de acordo com a norma DIN EN 15714-2:2010

2) Definição de "arranques" de acordo com a norma DIN EN 15714-2:2010

Atuadores multivoltas

Planeamento, configuração e condições de utilização SA .2 com AC 01.2-SIL/ACExC 01.2-SIL

●Vibração induzida (sismo): IEC 60068-3-33)

●Teste de grau de proteção IP68: EN 60529

●Teste de névoa salgada: EN ISO 12944-6

●Resistência à interferência: DIN EN 61326-3-1

●Emissão de interferências: DIN EN 61000-6-4

3) apenas na versão Tirístor

Atuadores multivoltas

SA .2 com AC 01.2-SIL/ACExC 01.2-SIL Planeamento, configuração e condições de utilização

4. Sistemas de segurança técnica e funções de segurança

4.1. Sistema de segurança técnica com um atuador

Normalmente, um sistema de segurança técnica com um atuador consiste nos

componentes apresentados na imagem.

Figura 3: Sistema de segurança técnica típico

[1] Sensor

[2] Controlo (PLC de segurança)

[3] Atuador com controlo do atuador

[4] Válvula

[5] Sistema de controlo do processo

O Safety Integrity Level é sempre atribuído a um sistema de segurança técnica

completo, não a um componente individual.

Os códigos característicos de segurança são determinados para um único

componente (por exemplo, um atuador). Estes códigos característicos permitem

atribuir os dispositivos a um possível Safety Integrity Level (SIL). No entanto, a

classificação final do sistema de segurança técnica resulta apenas após a

consideração e o cálculo de todos os subsistemas.

4.2. Funções de segurança

Para o sistema do atuador, foram tidas em consideração as seguintes funções de

segurança para o cálculo dos códigos característicos de segurança:

●Função ESD seguro (Emergency Shut Down): ABRIR/FECHAR em segurança

- Graças aos sinais redundantes ESDa seguro e ESDb seguro (padrão:

Low ativo), o atuador desloca-se na direção configurada (ABRIR/FECHAR)

independentemente da posição do seletor.

Atuadores multivoltas

Sistemas de segurança técnica e funções de segurança SA .2 com AC 01.2-SIL/ACExC 01.2-SIL

●Função PARAGEM segura: PARAR em segurança

- Um comando de operação do controlo padrão (na direção ABRIR ou

FECHAR) só é executado se existir um sinal de habilitação adicional para

o comando de operação.

- Em caso de ausência do sinal de habilitação, o movimento na direção

ABRIR ou FECHAR é parado (o motor é desligado).

- A função PARAGEM segura atua em todos os comandos de operação

do controlo do atuador padrão, independentemente da sua fonte de

comando (por exemplo, Remoto ou Local).

●Função ESD seguro combinada com a função PARAGEM segura

- A função ESD seguro tem prioridade mais alta, ou seja, com a ativação

simultânea de ambas as funções, o atuador desloca-se na direção

configurada (ABRIR/FECHAR).

Informação As funções de segurança do AC .2-SIL/ACEXC .2-SIL são sempre controladas com

24 VCC.

A função «mensagem de verificação de posição final segura» não faz parte da

certificação da TÜV Nord, nem do presente manual de segurança. Existe um manual

de segurança separado para esta função.

As diferentes possibilidades de configuração das funções de segurança são descritas

no capítulo <Configuração (ajuste)/versão>.

4.3. Entradas e saídas seguras

Entradas seguras para ABRIR/FECHAR em segurança (função ESD seguro):

●ESDa seguro

●ESDb seguro

Entradas seguras para paragem em segurança (função PARAGEM segura):

●PARAGEM segura ABRIR

●PARAGEM segura FECHAR

Saídas seguras (indicação de que a função de segurança pode não ser executada:

●Erro SIL

●SIL pronto

Para obter mais informações sobre as entradas e saídas seguras, consulte o capítulo

<Configuração (ajuste)/versão> e o capítulo <Instalação>.

4.4. Configuração redundante do sistema

Para além do sistema de segurança técnica típico com um atuador já descrito, pode

ser integrado um segundo atuador redundante com controlo do atuador em versão

SIL no sistema de segurança de forma a aumentar a segurança. A variante que tem

de ser escolhida depende do sistema geral.

Informação Consoante a função de segurança e a tarefa de segurança dessa função de

segurança prevista para a unidade, deve verificar-se em cada caso de aplicação se

a utilização de vários atuadores produz efetivamente uma HFT>0 e, em caso

afirmativo, em que configuração. Isto aplica-se em particular – mas não apenas –

à função de segurança PARAGEM segura.

As figuras 3 e 4 mostram um possível exemplo para PARAR em segurança ou

ABRIR em segurança. Outro exemplo em que a redundância NÃO é alcançada por

vários atuadores é uma função PARAGEM segura que serve para excluir com

segurança o movimento de componentes mecânicos da unidade quando, em uma

situação de emergência, por exemplo, os bombeiros têm de entrar na instalação

em questão. A utilização de 2 atuadores geralmente não leva a um sistema 1oo2,

mas a um sistema 2oo2, no sentido do efeito de segurança a ser alcançado. Por

conseguinte, a HFT não será aumentada neste caso.

Atuadores multivoltas

SA .2 com AC 01.2-SIL/ACExC 01.2-SIL Sistemas de segurança técnica e funções de segurança

Figura 4: Sistema redundante com ESD seguro para FECHAR em segurança

Figura 5: Sistema redundante com ESD seguro para ABRIR em segurança

4.5. Exemplos de utilização

Abrir com segurança um recipiente pressurizado com a função ESD seguro

O PLC padrão controla todo o sistema. Se a pressão no sistema se tornar inaceitável,

deve presumir-se a existência de um erro no sistema. Neste caso, a PLC segura

abre imediatamente a válvula para reduzir a pressão com segurança.

Atuadores multivoltas

Sistemas de segurança técnica e funções de segurança SA .2 com AC 01.2-SIL/ACExC 01.2-SIL

Figura 6: Exemplo de utilização: reservatório de pressão

Paragem em segurança da eclusa como proteção contra a destruição com a

função PARAGEM segura

No domínio das eclusas marítimas, a segurança operacional (prevenção de perigos

para as pessoas e as instalações) é uma prioridade. Quando a eclusa estiver a

fechar, não deve haver mais nenhuma embarcação entre as comportas da eclusa.

Caso contrário, a função PARAGEM segura (por exemplo, via interrutor PARAGEM

DE EMERGÊNCIA) será executada.

Atuadores multivoltas

SA .2 com AC 01.2-SIL/ACExC 01.2-SIL Sistemas de segurança técnica e funções de segurança

Figura 7: Exemplo de utilização: eclusa

4.6. Representação do sistema

A seguinte representação ilustra uma estrutura simplificada de um AC 01.2/ACExC

01.2 na versão SIL.

Figura 8: Representação simplificada do sistema

Atuadores multivoltas

Sistemas de segurança técnica e funções de segurança SA .2 com AC 01.2-SIL/ACExC 01.2-SIL

5. Instalação, colocação em funcionamento e operação

Informação A instalação e a colocação em funcionamento devem ser documentadas através

de um relatório de montagem e um certificado de inspeção. A instalação e a

colocação em funcionamento apenas podem ser realizadas por técnicos

especializados e autorizados, com formação em segurança funcional.

O explorador da instalação é responsável por garantir o fornecimento de energia

com proteção contra sobretensão e subtensão durante a execução de uma função

de segurança.

5.1. Instalação

Informação As ocupações PIN (XK ...) mencionadas nestes (e noutros) capítulos são as

ocupações padrão do AC 01.2-SIL/ACExC 01.2-SIL. No entanto, algumas

configurações se afastam desta ocupação típica para cumprir as necessidades

especiais do equipamento. Em caso de dúvida, aplica-se sempre a ocupação indicada

no esquema elétrico que pertence ao respetivo produto.

A instalação geral (montagem, ligação elétrica) deve ser realizada de acordo com

as instruções de operação do dispositivo e o esquema elétrico relativo ao pedido,

em anexo.

O sistema de aquecimento integrado deve ser alimentado com tensão durante o

funcionamento ou armazenamento a temperaturas ambiente inferiores a –25 °C.

As funções de segurança devem ser ligadas através do módulo SIL instalado no

controlo do atuador AC 01.2/ACExC 01.2.

O Erro SIL deve ser conectado e avaliado a uma entrada compatível de um CLP de

segurança de acordo com o nível SIL exigido.

Figura 9: Ligações para funções de segurança através do módulo SIL

[1] Ocupação típica da ligação em caso de comando paralelo

[2] Ocupação típica da ligação em caso de comando através do bus de campo

Comportamento de comutação das entradas ESDa/ESDb seguro e PARAGEM

segura ABRIR/FECHAR:

●Sinal de entrada = nível high (padrão: +24 VCC)

= sem movimento de segurança com a função ESD seguro ou

= sem paragem segura com a função PARAGEM segura

●Sinal de entrada = nível low (0 VCC ou entrada aberta)

= movimento de segurança com a função ESD seguro ou

= paragem segura com a função PARAGEM segura

Informação As entradas ESDa seguro e ESDb seguro são entradas redundantes para a mesma

função de segurança (ESD ABRIR ou ESD FECHAR, dependendo da configuração).

Por conseguinte, devem ter sempre o mesmo nível (high ou low). Se uma das duas

entradas ESDa e ESDb estiver em «high» e a outra estiver em «low», isso representa

um estado de erro do sistema de segurança. Neste caso, o motor comunica «Erro

SIL». Uma vez que não é claro se a entrada com «high» ou «low» é a defeituosa,

é executada, neste caso, a função de segurança por razões de segurança.

Atuadores multivoltas

SA .2 com AC 01.2-SIL/ACExC 01.2-SIL Instalação, colocação em funcionamento e operação

Informação As entradas PARAGEM segura FECHAR e PARAGEM segura ABRIR representam

duas entradas independentes com funcionalidade independente:

●Se PARAGEM segura FECHAR = nível low, a função de segurança impede

os movimentos na direção ABRIR (exceto ESD ABRIR)

●Se PARAGEM segura ABRIR = nível low, a função de segurança impede os

movimentos na direção FECHAR (exceto ESD FECHAR)

Gamas de tensões autorizada das entradas:

●Nível high: 15 – 30 VCC

●Nível low: máximo 5 VCC

Comportamento de sinalização das saídas SIL pronto e Erro SIL:

●SIL pronto/ Não há nenhum erro detetado pelo diagnóstico:

Saída NA (contacto normalmente aberto) = fechada

Saída NF (contacto normalmente fechado) = aberta

●Erro SIL/ Há um erro detetado pelo diagnóstico:

Saída NA (contacto normalmente aberto) = aberta

Saída NF (contacto normalmente fechado) = fechada

Chaves do cliente em caso de comando

(ocupação típica)

SinalDesignação

Esquema elétrico [2] Bus de campo[1] Paralelo XK 3XK 31Entrada digital para função ESD seguroESDa seguro XK 5XK 32Entrada redundante para função ESD seguroESDb seguro XK 7XK 33Potencial de referência para ESDa seguro e ESDb seguro0 V XK 8XK 35Entrada digital para a função PARAGEM segura na direção

FECHAR

PARAGEM segura

FECHAR XK 9XK 37Potencial de referência para PARAGEM segura FECHAR0 V XK 10XK 36Entrada digital para a função PARAGEM segura na direção

ABRIR

PARAGEM segura

ABRIR XK 11XK 38Potencial de referência para PARAGEM segura ABRIR0 V XK 15XK 40NA da mensagem Erro SILSIL pronto XK 14XK 39NF da mensagem Erro SILErro SIL XK 16XK 42Potencial de referência para a mensagem Erro SILCom.

Erros SIL exibidos através da saída Erro SIL

DescriçãoCausas dos erros

SIL Proteção do motor atuadaErro térmico Falha no binário ao deslocar-se na direção FECHAR e/ou ABRIRFalha no binário A mensagem de verificação da posição atual está fora do intervalo permitido.Erro da mensagem

de verificação da

posição Uma fase da alimentação elétrica falhou.

O controlo está sem tensão de alimentação.

Perda de fase

As ligações L1, L2 e L3 do condutor externo não estão na ordem correta.Erro da sequência

das fases O componente de segurança do controlo está sem alimentação elétrica.Erro de alimentação

elétrica Temperatura dentro da caixa do controlo demasiado elevada.

Falha do sistema de aquecimento a uma temperatura ambiente inferior a –25 °C.

Erro de temperatura

Atuador ou válvula bloqueado.Erro da

monitorização do

atuador Ambos os sinais ESDa seguro e ESDb seguro não estão simultaneamente no mesmo nível.Erro da cablagem