Testowanie kontrolne jest integralną częścią utrzymania integralności bezpieczeństwa naszych systemów bezpieczeństwa (SIS) i systemów związanych z bezpieczeństwem (np. alarmów krytycznych, systemów przeciwpożarowych i gazowych, systemów blokad pomiarowych itp.). Test kontrolny to okresowy test mający na celu wykrycie niebezpiecznych awarii, sprawdzenie funkcjonalności związanych z bezpieczeństwem (np. resetowania, obejść, alarmów, diagnostyki, ręcznego wyłączania itp.) oraz zapewnienie zgodności systemu z normami firmowymi i zewnętrznymi. Wyniki testów kontrolnych są również miarą skuteczności programu integralności mechanicznej SIS oraz niezawodności systemu w terenie.
Procedury testów kontrolnych obejmują następujące kroki testowe: od uzyskania pozwoleń, wysłania powiadomień i wycofania systemu z eksploatacji w celu przeprowadzenia testów, po zapewnienie kompleksowych testów, udokumentowanie testu kontrolnego i jego wyników, ponowne oddanie systemu do eksploatacji oraz ocenę bieżących i poprzednich wyników testów kontrolnych.
Norma ANSI/ISA/IEC 61511-1, klauzula 16, obejmuje testy kontrolne systemów SIS. Raport techniczny ISA TR84.00.03 – „Integralność mechaniczna systemów bezpieczeństwa (SIS)” obejmuje testy kontrolne i jest obecnie w trakcie rewizji, a nowa wersja jest spodziewana wkrótce. Raport techniczny ISA TR96.05.02 – „Testowanie kontrolne zaworów automatycznych na miejscu” jest obecnie w fazie opracowywania.
Raport brytyjskiego Urzędu ds. Bezpieczeństwa i Higieny Pracy CRR 428/2002 – „Zasady testowania kontrolnego systemów bezpieczeństwa w przemyśle chemicznym” zawiera informacje na temat testowania kontrolnego i działań podejmowanych przez firmy w Wielkiej Brytanii.
Procedura testu sprawdzającego opiera się na analizie znanych niebezpiecznych trybów awarii dla każdego z komponentów ścieżki zadziałania funkcji bezpieczeństwa (SIF), funkcjonalności SIF jako systemu oraz sposobu (i czy) testowania pod kątem niebezpiecznego trybu awarii. Opracowywanie procedury powinno rozpocząć się w fazie projektowania SIF od projektu systemu, doboru komponentów oraz określenia, kiedy i jak przeprowadzić test sprawdzający. Przyrządy SIS charakteryzują się różnym stopniem trudności testów sprawdzających, który należy uwzględnić przy projektowaniu, obsłudze i konserwacji SIF. Na przykład przepływomierze kryzowe i przetworniki ciśnienia są łatwiejsze do testowania niż przepływomierze masowe Coriolisa, przepływomierze magnetyczne lub radarowe czujniki poziomu powietrza. Zastosowanie i konstrukcja zaworu mogą również wpływać na kompleksowość testu sprawdzającego zaworu, aby zapewnić, że niebezpieczne i początkowe awarie spowodowane degradacją, zatkaniem lub awariami zależnymi od czasu nie doprowadzą do awarii krytycznej w wybranym przedziale czasowym testu.
Chociaż procedury testów kontrolnych są zazwyczaj opracowywane na etapie projektowania SIF, powinny one również zostać zweryfikowane przez organ nadzoru technicznego SIS, dział operacyjny oraz techników ds. instrumentów, którzy będą przeprowadzać testy. Należy również przeprowadzić analizę bezpieczeństwa pracy (JSA). Ważne jest, aby uzyskać akceptację zakładu co do rodzaju testów, ich terminu oraz ich wykonalności pod względem fizycznym i bezpieczeństwa. Na przykład, nie ma sensu określać testów skoku częściowego, jeśli dział operacyjny nie wyrazi na to zgody. Zaleca się również, aby procedury testów kontrolnych zostały zweryfikowane przez niezależnego eksperta branżowego (SME). Typowe testy wymagane do przeprowadzenia testu kontrolnego pełnej funkcjonalności przedstawiono na rysunku 1.
Wymagania dotyczące pełnego testu sprawdzającego funkcjonalność Rysunek 1: Pełna specyfikacja testu sprawdzającego funkcjonalność dla funkcji bezpieczeństwa wspomaganego instrumentami (SIF) i powiązanego z nią systemu bezpieczeństwa wspomaganego instrumentami (SIS) powinna szczegółowo określać lub odwoływać się do kolejnych kroków, począwszy od przygotowań do testów i procedur testowych, a skończywszy na powiadomieniach i dokumentacji.
Rysunek 1: Pełna specyfikacja testu sprawdzającego funkcjonalność funkcji bezpieczeństwa wspomaganego instrumentami (SIF) i powiązanego z nią systemu bezpieczeństwa wspomaganego instrumentami (SIS) powinna szczegółowo określać lub odwoływać się do kolejnych kroków, począwszy od przygotowań do testu i procedur testowych, a skończywszy na powiadomieniach i dokumentacji.
Testowanie kontrolne to planowana czynność konserwacyjna, którą powinien wykonywać kompetentny personel przeszkolony w zakresie testowania SIS, procedury testowania oraz pętli SIS, które będą testowane. Przed rozpoczęciem wstępnego testu kontrolnego należy przeprowadzić instruktaż, a następnie przekazać informację zwrotną do organu technicznego ds. SIS w celu wprowadzenia ulepszeń lub poprawek.
Istnieją dwa główne tryby awarii (bezpieczny i niebezpieczny), które dzielą się na cztery tryby: niebezpieczny niewykryty, niebezpieczny wykryty (diagnostycznie), bezpieczny niewykryty i bezpieczny wykryty. W niniejszym artykule terminy „niebezpieczna” i „niebezpieczna niewykryta awaria” są używane zamiennie.
W testach kontrolnych SIF interesują nas przede wszystkim niebezpieczne, niewykryte tryby awarii, ale jeśli istnieją diagnostyki użytkownika, które wykrywają niebezpieczne awarie, należy je poddać testom kontrolnym. Należy pamiętać, że w przeciwieństwie do diagnostyki użytkownika, diagnostyka wewnętrzna urządzenia zazwyczaj nie może zostać zweryfikowana przez użytkownika jako funkcjonalna, co może mieć wpływ na filozofię testów kontrolnych. Jeśli w obliczeniach SIL uwzględniane są diagnostyka, alarmy diagnostyczne (np. alarmy poza zakresem) powinny zostać przetestowane w ramach testu kontrolnego.
Tryby awarii można dalej podzielić na te, które są testowane podczas testów kontrolnych, te, które nie są testowane, oraz awarie początkowe lub zależne od czasu. Niektóre niebezpieczne tryby awarii mogą nie być bezpośrednio testowane z różnych powodów (np. trudności, decyzji inżynieryjnych lub operacyjnych, ignorancji, niekompetencji, zaniechania lub popełnienia błędów systematycznych, niskiego prawdopodobieństwa wystąpienia itp.). Jeśli istnieją znane tryby awarii, które nie będą testowane, należy dokonać kompensacji w projekcie urządzenia, procedurze testowania, okresowej wymianie lub przebudowie urządzenia i/lub przeprowadzić testy inferencyjne, aby zminimalizować wpływ braku testów na integralność SIF.
Awaria wstępna to stan degradacji lub stan, w którym można zasadnie oczekiwać wystąpienia krytycznej, niebezpiecznej awarii, jeśli działania naprawcze nie zostaną podjęte w odpowiednim czasie. Zazwyczaj są one wykrywane poprzez porównanie wydajności z niedawnymi lub początkowymi testami kontrolnymi (np. sygnatury zaworów lub czasy reakcji zaworów) lub poprzez inspekcję (np. zatkany port procesowy). Awarie wstępne są zazwyczaj zależne od czasu – im dłużej urządzenie lub zespół jest w użyciu, tym bardziej ulega degradacji; warunki sprzyjające przypadkowej awarii stają się bardziej prawdopodobne, zatkanie portu procesowego lub nagromadzenie się czujników z upływem czasu, upływ okresu użytkowania itp. Dlatego im dłuższy odstęp między testami kontrolnymi, tym bardziej prawdopodobne jest wystąpienie awarii wstępnej lub zależnej od czasu. Wszelkie zabezpieczenia przed awariami wstępnymi również muszą zostać poddane testom kontrolnym (przepłukiwanie portów, śledzenie termiczne itp.).
Należy opracować procedury testowania pod kątem niebezpiecznych (niewykrytych) awarii. Techniki analizy trybu i skutków awarii (FMEA) lub analizy trybu, skutku i diagnostyki awarii (FMEDA) mogą pomóc w identyfikacji niebezpiecznych, niewykrytych awarii i określeniu obszarów, w których należy zwiększyć zakres testów sprawdzających.
Wiele procedur testów kontrolnych opiera się na doświadczeniu i szablonach z istniejących procedur. Nowe procedury i bardziej skomplikowane modele SIF wymagają bardziej zaawansowanego podejścia z wykorzystaniem analizy FMEA/FMEDA do analizy niebezpiecznych awarii, określenia sposobu, w jaki procedura testowa będzie lub nie będzie testować tych awarii, oraz zakresu testów. Schemat blokowy analizy trybów awarii czujnika na poziomie makro przedstawiono na rysunku 2. Analiza FMEA zazwyczaj musi być przeprowadzona tylko raz dla danego typu urządzenia i ponownie wykorzystana dla podobnych urządzeń, z uwzględnieniem ich procesu obsługi, instalacji i możliwości testowania w miejscu instalacji.
Analiza awarii na poziomie makro Rysunek 2: Ten blokowy schemat analizy trybu awarii na poziomie makro czujnika i przetwornika ciśnienia (PT) przedstawia główne funkcje, które zazwyczaj są dzielone na wiele analiz mikroawarii w celu pełnego zdefiniowania potencjalnych awarii, które należy omówić podczas testów funkcjonalnych.
Rysunek 2: Ten blokowy schemat analizy trybów awarii na poziomie makro dla czujnika i przetwornika ciśnienia (PT) przedstawia główne funkcje, które zazwyczaj są rozbijane na wiele analiz mikroawarii w celu pełnego zdefiniowania potencjalnych awarii, które należy omówić podczas testów funkcjonalnych.
Odsetek znanych, niebezpiecznych, niewykrytych awarii, które zostały poddane testom dowodowym, nazywa się pokryciem testowym (ang. proof test coverage – PTC). PTC jest powszechnie używane w obliczeniach SIL do „kompensowania” braku możliwości pełniejszego przetestowania SIF. Ludzie błędnie sądzą, że uwzględnienie braku pokrycia testowego w obliczeniach SIL pozwoliło im zaprojektować wiarygodny SIF. Prawda jest taka, że jeśli pokrycie testowe wynosi 75%, a uwzględni się tę liczbę w obliczeniach SIL i będzie się częściej testować elementy, które już się testuje, statystycznie nadal może wystąpić 25% niebezpiecznych awarii. Z pewnością nie chcę znaleźć się w tych 25%.
Raporty FMEDA dotyczące zatwierdzenia i instrukcje bezpieczeństwa urządzeń zazwyczaj zawierają minimalną procedurę testów sprawdzających i zakres testów sprawdzających. Stanowią one jedynie wskazówki, a nie wszystkie kroki testowe wymagane w ramach kompleksowej procedury testów sprawdzających. Do analizy niebezpiecznych awarii stosuje się również inne rodzaje analizy awarii, takie jak analiza drzewa błędów i konserwacja zorientowana na niezawodność.
Testy kontrolne można podzielić na pełne testy funkcjonalne (od końca do końca) lub częściowe testy funkcjonalne (rysunek 3). Częściowe testy funkcjonalne są powszechnie przeprowadzane, gdy komponenty SIF mają różne interwały testowe w obliczeniach SIL, które nie pokrywają się z planowanymi wyłączeniami lub remontami. Ważne jest, aby procedury częściowych testów kontrolnych funkcjonalnych nakładały się na siebie, tak aby łącznie testowały wszystkie funkcje bezpieczeństwa SIF. W przypadku częściowych testów funkcjonalnych nadal zaleca się, aby SIF miał początkowy, kompleksowy test kontrolny, a następnie kolejne w trakcie remontów.
Częściowe testy dowodowe powinny obejmować wszystkie funkcjonalności pełnego funkcjonalnego testu dowodowego (góra).
Rysunek 3: Połączone częściowe testy dowodowe (u dołu) powinny obejmować wszystkie funkcjonalności pełnego funkcjonalnego testu dowodowego (u góry).
Częściowy test sprawdzający sprawdza tylko pewien procent trybów awarii urządzenia. Typowym przykładem jest testowanie zaworu o częściowym skoku, gdzie zawór jest przesuwany o niewielką wartość (10–20%) w celu sprawdzenia, czy się nie zacina. Ten test ma mniejszy zasięg niż test sprawdzający w głównym interwale testowym.
Procedury testów kontrolnych mogą różnić się stopniem złożoności w zależności od złożoności SIF i filozofii procedur testowych firmy. Niektóre firmy opracowują szczegółowe procedury testowe krok po kroku, podczas gdy inne stosują dość krótkie procedury. Odniesienia do innych procedur, takich jak kalibracja standardowa, są czasami stosowane w celu zmniejszenia rozmiaru procedury testu kontrolnego i zapewnienia spójności testowania. Dobra procedura testu kontrolnego powinna zawierać wystarczająco dużo szczegółów, aby zagwarantować prawidłowe wykonanie i udokumentowanie wszystkich testów, ale nie na tyle dużo szczegółów, aby zniechęcić techników do pomijania kroków. Obecność technika odpowiedzialnego za wykonanie kroku testowego, który inicjuje ukończony krok testowy, może pomóc w zapewnieniu, że test zostanie wykonany poprawnie. Podpisanie ukończonego testu kontrolnego przez Kierownika ds. Instrumentów i przedstawicieli Działu Operacyjnego również podkreśli wagę i zapewni prawidłowe wykonanie testu kontrolnego.
Zawsze należy prosić techników o opinie, aby pomóc w udoskonaleniu procedury. Sukces procedury testowania kontrolnego w dużej mierze leży w rękach technika, dlatego zdecydowanie zaleca się współpracę.
Większość testów kontrolnych jest zazwyczaj przeprowadzana w trybie off-line podczas wyłączania lub przestoju. W niektórych przypadkach, aby spełnić obliczenia SIL lub inne wymagania, testy kontrolne mogą być wymagane online. Testowanie online wymaga planowania i koordynacji z Działem Operacyjnym, aby umożliwić bezpieczne przeprowadzenie testu kontrolnego, bez zakłóceń procesu i bez powodowania przypadkowego zadziałania. Wystarczy jedno przypadkowe zadziałanie, aby wyczerpać wszystkie zasoby attaboy. Podczas tego typu testów, gdy SIF nie jest w pełni dostępny do realizacji swoich zadań bezpieczeństwa, klauzula 11.8.5 § 61511-1 stanowi, że „środki kompensacyjne zapewniające ciągłą bezpieczną pracę powinny być zapewnione zgodnie z § 11.3, gdy SIS jest w trybie bypass (naprawa lub testowanie)”. Procedura zarządzania sytuacjami awaryjnymi powinna być dołączona do procedury testu kontrolnego, aby pomóc w jej prawidłowym przeprowadzeniu.
SIF zazwyczaj dzieli się na trzy główne części: czujniki, układy logiczne i elementy końcowe. Zazwyczaj w każdej z tych trzech części można również skojarzyć urządzenia pomocnicze (np. bariery iskrobezpieczne, wzmacniacze wyzwalające, przekaźniki pośredniczące, elektromagnesy itp.), które również wymagają przetestowania. Kluczowe aspekty testowania każdej z tych technologii można znaleźć w ramce „Testowanie czujników, układów logicznych i elementów końcowych” (poniżej).
Niektóre rzeczy są łatwiejsze do przetestowania niż inne. Wiele nowoczesnych i kilka starszych technologii pomiaru przepływu i poziomu należy do tej kategorii. Należą do nich przepływomierze Coriolisa, przepływomierze wirowe, przepływomierze magnetyczne, radary napowietrzne, ultradźwiękowe czujniki poziomu i czujniki procesowe in-situ, żeby wymienić tylko kilka. Na szczęście wiele z nich posiada teraz ulepszoną diagnostykę, która pozwala na lepsze testowanie.
Trudność testowania takiego urządzenia w terenie musi być uwzględniona w projekcie SIF. Inżynierowie mogą łatwo wybrać urządzenia SIF bez dokładnego rozważenia, co będzie wymagane do przeprowadzenia testów, ponieważ to nie oni będą je testować. Dotyczy to również testów skoku częściowego, które są powszechnym sposobem na poprawę średniego prawdopodobieństwa awarii na żądanie (PFDavg) SIF, ale później dział operacyjny zakładu nie chce tego robić i często może tego nie robić. Zawsze należy zapewnić zakładowemu nadzorowi nad projektowaniem SIF w zakresie testów kontrolnych.
Test kontrolny powinien obejmować inspekcję instalacji i naprawę SIF, w zakresie niezbędnym do spełnienia wymogów klauzuli 16.3.2 paragrafu 61511-1. Należy przeprowadzić kontrolę końcową w celu upewnienia się, że wszystko jest dopięte na ostatni guzik, oraz dwukrotne sprawdzenie, czy SIF został prawidłowo oddany do użytku.
Opracowanie i wdrożenie prawidłowej procedury testowej to ważny krok w celu zapewnienia integralności SIF przez cały okres jego eksploatacji. Procedura testowa powinna zawierać wystarczająco szczegółowe informacje, aby zapewnić spójne i bezpieczne przeprowadzanie oraz dokumentowanie wymaganych testów. Niebezpieczne awarie, które nie zostały przetestowane testami kontrolnymi, powinny zostać skompensowane, aby zapewnić odpowiednie utrzymanie integralności bezpieczeństwa SIF przez cały okres jego eksploatacji.
Opracowanie dobrej procedury testów sprawdzających wymaga logicznego podejścia do analizy inżynieryjnej potencjalnie niebezpiecznych awarii, doboru środków i opracowania kroków testów sprawdzających, które mieszczą się w możliwościach testowych zakładu. Po drodze należy uzyskać akceptację zakładu na wszystkich poziomach testowania oraz przeszkolić techników w zakresie wykonywania i dokumentowania testów sprawdzających, a także zrozumieć ich znaczenie. Należy pisać instrukcje tak, jakbyś był technikiem od przyrządów pomiarowych, który będzie musiał wykonać tę pracę, i pamiętać, że od prawidłowego wykonania testów zależy życie – bo tak właśnie jest.
Testing sensors, logic solvers and final elements A SIF is typically divided up into three main parts, sensors, logic solvers and final elements. There also typically are auxiliary devices that can be associated within each of these three parts (e.g. I.S. barriers, trip amps, interposing relays, solenoids, etc.) that must also be tested.Sensor proof tests: The sensor proof test must ensure that the sensor can sense the process variable over its full range and transmit the proper signal to the SIS logic solver for evaluation. While not inclusive, some of the things to consider in creating the sensor portion of the proof test procedure are given in Table 1. Table 1: Sensor proof test considerations Process ports clean/process interface check, significant buildup noted Internal diagnostics check, run extended diagnostics if available Sensor calibration (5 point) with simulated process input to sensor, verified through to the DCS, drift check Trip point check High/High-High/Low/Low-Low alarms Redundancy, voting degradation Out of range, deviation, diagnostic alarms Bypass and alarms, restrike User diagnostics Transmitter Fail Safe configuration verified Test associated systems (e.g. purge, heat tracing, etc.) and auxiliary components Physical inspection Complete as-found and as-left documentation Logic solver proof test: When full-function proof testing is done, the logic solver’s part in accomplishing the SIF’s safety action and related actions (e.g. alarms, reset, bypasses, user diagnostics, redundancies, HMI, etc.) are tested. Partial or piecemeal function proof tests must accomplish all these tests as part of the individual overlapping proof tests. The logic solver manufacturer should have a recommended proof test procedure in the device safety manual. If not and as a minimum, the logic solver power should be cycled, and the logic solver diagnostic registers, status lights, power supply voltages, communication links and redundancy should be checked. These checks should be done prior to the full-function proof test.Don’t make the assumption that the software is good forever and the logic need not be tested after the initial proof test as undocumented, unauthorized and untested software and hardware changes and software updates can creep into systems over time and must be factored into your overall proof test philosophy. The management of change, maintenance, and revision logs should be reviewed to ensure they are up to date and properly maintained, and if capable, the application program should be compared to the latest backup.Care should also be taken to test all the user logic solver auxiliary and diagnostic functions (e.g. watchdogs, communication links, cybersecurity appliances, etc.).Final element proof test: Most final elements are valves, however, rotating equipment motor starters, variable-speed drives and other electrical components such as contactors and circuit breakers are also used as final elements and their failure modes must be analyzed and proof tested.The primary failure modes for valves are being stuck, response time too slow or too fast, and leakage, all of which are affected by the valve’s operating process interface at trip time. While testing the valve at operating conditions is the most desirable case, Operations would generally be opposed to tripping the SIF while the plant is operating. Most SIS valves are typically tested while the plant is down at zero differential pressure, which is the least demanding of operating conditions. The user should be aware of the worst-case operational differential pressure and the valve and process degradation effects, which should be factored into the valve and actuator design and sizing.Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).Ambient temperatures can also affect valve friction loads, so that testing valves in warm weather will generally be the least demanding friction load when compared to cold weather operation. As a result, proof testing of valves at a consistent temperature should be considered to provide consistent data for inferential testing for the determination of valve performance degradation.Valves with smart positioners or a digital valve controller generally have capability to create a valve signature that can be used to monitor degradation in valve performance. A baseline valve signature can be requested as part of your purchase order or you can create one during the initial proof test to serve as a baseline. The valve signature should be done for both opening and closing of the valve. Advanced valve diagnostic should also be used if available. This can help tell you if your valve performance is deteriorating by comparing subsequent proof test valve signatures and diagnostics with your baseline. This type of test can help compensate for not testing the valve at worst case operating pressures.The valve signature during a proof test may also be able to record the response time with time stamps, removing the need for a stopwatch. Increased response time is a sign of valve deterioration and increased friction load to move the valve. While there are no standards regarding changes in valve response time, a negative pattern of changes from proof test to proof test is indicative of the potential loss of the valve’s safety margin and performance. Modern SIS valve proof testing should include a valve signature as a matter of good engineering practice.The valve instrument air supply pressure should be measured during a proof test. While the valve spring for a spring-return valve is what closes the valve, the force or torque involved is determined by how much the valve spring is compressed by the valve supply pressure (per Hooke’s Law, F = kX). If your supply pressure is low, the spring will not compress as much, hence less force will be available to move the valve when needed. While not inclusive, some of the things to consider in creating the valve portion of the proof test procedure are given in Table 2. Table 2: Final element valve assembly considerations Test valve safety action at process operating pressure (best but typically not done), and time the valve’s response time. Verify redundancy Test valve safety action at zero differential pressure and time valve’s response time. Verify redundancy Run valve signature and diagnostics as part of proof test and compare to baseline and previous test Visually observe valve action (proper action without unusual vibration or noise, etc.). Verify the valve field and position indication on the DCS Fully stroke the valve a minimum of five times during the proof test to help ensure valve reliability. (This is not intended to fix significant degradation effects or incipient failures). Review valve maintenance records to ensure any changes meet the required valve SRS specifications Test diagnostics for energize-to-trip systems Leak test if Tight Shut Off (TSO) is required Verify the command disagree alarm functionality Inspect valve assembly and internals Remove, test and rebuild as necessary Complete as-found and as-left documentation Solenoids Evaluate venting to provide required response time Evaluate solenoid performance by a digital valve controller or smart positioner Verify redundant solenoid performance (e.g. 1oo2, 2oo3) Interposing Relays Verify correct operation, redundancy Device inspection
Układ SIF zazwyczaj składa się z trzech głównych części: czujników, układów logicznych i elementów końcowych. Zazwyczaj w każdej z tych trzech części znajdują się również urządzenia pomocnicze (np. bariery iskrobezpieczne, wzmacniacze wyzwalające, przekaźniki pośredniczące, elektromagnesy itp.), które również muszą zostać przetestowane.
Testy wytrzymałościowe czujników: Test wytrzymałościowy czujników musi zapewnić, że czujnik może wykrywać zmienną procesową w pełnym zakresie i przesyłać odpowiedni sygnał do modułu logicznego SIS w celu analizy. Choć nie jest to wyczerpujące, niektóre elementy, które należy wziąć pod uwagę podczas tworzenia części czujnika w procedurze testu wytrzymałościowego, podano w Tabeli 1.
Test weryfikacyjny modułu logicznego: Podczas przeprowadzania pełnego testu weryfikacyjnego, testowana jest rola modułu logicznego w realizacji działań bezpieczeństwa SIF i powiązanych z nimi działań (np. alarmów, resetowania, obejść, diagnostyki użytkownika, redundancji, interfejsu HMI itp.). Częściowe lub fragmentaryczne testy weryfikacyjne funkcji muszą obejmować wszystkie te testy w ramach indywidualnych, nakładających się testów weryfikacyjnych. Producent modułu logicznego powinien zamieścić zalecaną procedurę testu weryfikacyjnego w instrukcji bezpieczeństwa urządzenia. W przeciwnym razie, co najmniej, należy wyłączyć i włączyć zasilanie modułu logicznego oraz sprawdzić rejestry diagnostyczne, kontrolki stanu, napięcia zasilania, łącza komunikacyjne i redundancję modułu logicznego. Kontrole te należy przeprowadzić przed pełnym testem weryfikacyjnym.
Nie zakładaj, że oprogramowanie jest zawsze dobre i logika nie musi być testowana po wstępnym teście sprawdzającym, ponieważ nieudokumentowane, nieautoryzowane i nieprzetestowane zmiany w oprogramowaniu i sprzęcie oraz aktualizacje oprogramowania mogą z czasem przedostać się do systemów i muszą być uwzględnione w ogólnej filozofii testów sprawdzających. Należy dokonać przeglądu zarządzania dziennikami zmian, konserwacji i rewizji, aby upewnić się, że są aktualne i prawidłowo prowadzone. Jeśli to możliwe, program aplikacyjny należy porównać z najnowszą kopią zapasową.
Należy również zadbać o przetestowanie wszystkich pomocniczych i diagnostycznych funkcji rozwiązywania logiki użytkownika (np. mechanizmów nadzoru, łączy komunikacyjnych, urządzeń cyberbezpieczeństwa itp.).
Test sprawdzający elementu końcowego: Większość elementów końcowych to zawory, jednak rozruszniki silników urządzeń obrotowych, napędy o zmiennej prędkości i inne elementy elektryczne, takie jak styczniki i wyłączniki, są również używane jako elementy końcowe, a ich tryby awarii muszą zostać przeanalizowane i poddane testom sprawdzającym.
Głównymi przyczynami awarii zaworów są zacinanie się, zbyt wolny lub zbyt szybki czas reakcji oraz wyciek, na które wpływ ma interfejs procesowy zaworu w momencie zadziałania. Chociaż testowanie zaworu w warunkach roboczych jest najbardziej pożądanym przypadkiem, dział operacyjny zazwyczaj sprzeciwia się wyzwalaniu SIF podczas pracy instalacji. Większość zaworów SIS jest zazwyczaj testowana przy zerowej różnicy ciśnień w instalacji, co jest najmniej wymagającym warunkiem pracy. Użytkownik powinien być świadomy najgorszego scenariusza różnicy ciśnień roboczych oraz wpływu na zawór i proces, które należy uwzględnić przy projektowaniu i doborze rozmiaru zaworu i siłownika.
Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).
Temperatura otoczenia może również wpływać na obciążenia tarcia zaworów, dlatego testowanie zaworów w ciepłych warunkach będzie zazwyczaj najmniej obciążające w porównaniu z pracą w niskich temperaturach. W związku z tym należy rozważyć przeprowadzenie testów kontrolnych zaworów w stałej temperaturze, aby uzyskać spójne dane do testów inferencyjnych w celu określenia degradacji działania zaworów.
Zawory z inteligentnymi pozycjonerami lub cyfrowym sterownikiem zaworów zazwyczaj posiadają funkcję generowania sygnatury zaworu, która może służyć do monitorowania degradacji wydajności zaworu. Bazową sygnaturę zaworu można zamówić w ramach zamówienia lub utworzyć ją podczas wstępnego testu sprawdzającego, aby służyła jako punkt odniesienia. Sygnatura zaworu powinna być generowana zarówno dla otwierania, jak i zamykania zaworu. Jeśli jest dostępna, należy również skorzystać z zaawansowanej diagnostyki zaworów. Pomoże to stwierdzić, czy wydajność zaworu się pogarsza, poprzez porównanie kolejnych sygnatur zaworów w testach sprawdzających i diagnostyki z punktem odniesienia. Ten rodzaj testu może pomóc w kompensacji braku testowania zaworu przy najgorszych ciśnieniach roboczych.
Sygnatura zaworu podczas testu sprawdzającego może również rejestrować czas reakcji za pomocą znaczników czasu, eliminując potrzebę stosowania stopera. Wydłużony czas reakcji świadczy o zużyciu zaworu i zwiększonym tarciu potrzebnym do jego przesunięcia. Chociaż nie ma norm dotyczących zmian czasu reakcji zaworu, negatywny wzorzec zmian między testami sprawdzającymi wskazuje na potencjalną utratę marginesu bezpieczeństwa i wydajności zaworu. Nowoczesne testy sprawdzające zaworów SIS powinny obejmować sygnaturę zaworu, zgodnie z dobrą praktyką inżynierską.
Ciśnienie powietrza zasilającego zawór należy zmierzyć podczas testu sprawdzającego. Chociaż sprężyna zaworu w zaworze sprężynowym zamyka zawór, siła lub moment obrotowy jest określany na podstawie stopnia ściśniętości sprężyny zaworu przez ciśnienie zasilania zaworu (zgodnie z prawem Hooke'a, F = kX). Przy niskim ciśnieniu zasilania sprężyna nie będzie się tak mocno ściskać, a zatem mniejsza siła będzie dostępna do poruszenia zaworu w razie potrzeby. Tabela 2, choć nie wyczerpuje wszystkich kwestii, przedstawia niektóre elementy, które należy wziąć pod uwagę podczas tworzenia części procedury testu sprawdzającego dotyczącej zaworu.
Czas publikacji: 13-11-2019