Preizkusi varnosti so sestavni del vzdrževanja varnostne integritete naših varnostnih instrumentalnih sistemov (SIS) in varnostnih sistemov (npr. kritični alarmi, požarni in plinski sistemi, instrumentalni sistemi za blokiranje itd.). Preizkus varnosti je periodični preizkus za odkrivanje nevarnih napak, preizkušanje varnostnih funkcij (npr. ponastavitev, obvodi, alarmi, diagnostika, ročni izklop itd.) in zagotavljanje, da sistem izpolnjuje standarde podjetja in zunanje standarde. Rezultati preizkusov varnosti so tudi merilo učinkovitosti programa mehanske integritete SIS in zanesljivosti sistema na terenu.
Postopki preizkusov dokazil zajemajo vse korake testiranja, od pridobitve dovoljenj, obveščanja in ustavitve sistema zaradi testiranja do zagotavljanja celovitega testiranja, dokumentiranja preizkusa dokazil in njegovih rezultatov, ponovne vzpostavitve sistema v obratovanje ter ocenjevanja trenutnih in prejšnjih rezultatov preizkusov dokazil.
ANSI/ISA/IEC 61511-1, člen 16, zajema dokazno testiranje SIS. Tehnično poročilo ISA TR84.00.03 – »Mehanska integriteta varnostnih instrumentalnih sistemov (SIS)« zajema dokazno testiranje in je trenutno v reviziji, nova različica pa se pričakuje kmalu. Tehnično poročilo ISA TR96.05.02 – »Dokazno testiranje avtomatiziranih ventilov na kraju samem« je trenutno v razvoju.
Poročilo britanskega ministrstva za zdravje in varnost (HSE) CRR 428/2002 – »Načela za dokazno testiranje varnostnih instrumentalnih sistemov v kemični industriji« vsebuje informacije o dokaznem testiranju in o tem, kaj podjetja počnejo v Združenem kraljestvu.
Postopek preizkusa trdnosti temelji na analizi znanih nevarnih načinov odpovedi za vsako komponento v izklopni poti varnostne instrumentalne funkcije (SIF), funkcionalnosti SIF kot sistema in kako (in če) preizkusiti nevarni način odpovedi. Razvoj postopka se mora začeti v fazi načrtovanja SIF z načrtovanjem sistema, izbiro komponent in določitvijo, kdaj in kako izvesti preizkus trdnosti. Instrumenti SIS imajo različne stopnje težavnosti pri preizkusu trdnosti, ki jih je treba upoštevati pri načrtovanju, delovanju in vzdrževanju SIF. Na primer, merilnike zaslonke in tlačne oddajnike je lažje preizkusiti kot Coriolisove merilnike masnega pretoka, magnetne merilnike ali zračne radarske senzorje nivoja. Uporaba in zasnova ventila lahko vplivata tudi na celovitost preizkusa trdnosti ventila, da se zagotovi, da nevarne in začetne odpovedi zaradi degradacije, zamašitve ali časovno odvisnih odpovedi ne povzročijo kritične odpovedi v izbranem preskusnem intervalu.
Čeprav se postopki preizkusov varnosti običajno razvijejo med fazo inženiringa SIF, jih morajo pregledati tudi tehnični organ SIS na lokaciji, operativni oddelki in tehniki instrumentov, ki bodo izvajali preizkuse. Izvesti je treba tudi analizo varnosti pri delu (JSA). Pomembno je pridobiti soglasje obrata glede tega, kateri preizkusi bodo izvedeni in kdaj ter kakšna je njihova fizična in varnostna izvedljivost. Na primer, ni smiselno določiti preizkusa delnega hoda, če se operativna skupina s tem ne strinja. Priporočljivo je tudi, da postopke preizkusov varnosti pregleda neodvisni strokovnjak za zadevno področje (SME). Tipično testiranje, potrebno za preizkus popolne funkcionalnosti, je prikazano na sliki 1.
Zahteve za preizkus popolne funkcionalnosti Slika 1: Specifikacija preizkusa popolne funkcionalnosti za varnostno instrumentalno funkcijo (SIF) in njen varnostni instrumentalni sistem (SIS) mora podrobno navesti ali se sklicevati na korake v zaporedju, od priprav na preizkuse in postopkov preizkusa do obvestil in dokumentacije.
Slika 1: Specifikacija preizkusa delovanja za varnostno instrumentalno funkcijo (SIF) in njen varnostno instrumentalni sistem (SIS) mora podrobno opredeliti ali se sklicevati na korake v zaporedju, od priprav na preizkuse in postopkov preizkusa do obvestil in dokumentacije.
Preizkus dokazila je načrtovan vzdrževalni ukrep, ki ga mora izvajati usposobljeno osebje, usposobljeno za testiranje SIS, postopek dokazila in zanke SIS, ki jih bo testiralo. Pred izvedbo začetnega preizkusa dokazila je treba izvesti pregled postopka, nato pa tehničnemu organu za SIS na lokaciji posredovati povratne informacije za izboljšave ali popravke.
Obstajata dva glavna načina odpovedi (varna ali nevarna), ki sta razdeljena na štiri načine – nevarna neodkrita, nevarna odkrita (z diagnostiko), varna neodkrita in varna odkrita. Izraza nevarna in nevarna neodkrita odpoved se v tem članku uporabljata sopomenki.
Pri preizkusu SIF nas zanimajo predvsem nevarni neodkriti načini odpovedi, če pa obstajajo uporabniške diagnostike, ki zaznajo nevarne odpovedi, je treba te diagnostike preizkusiti. Upoštevajte, da za razliko od uporabniške diagnostike uporabnik običajno ne more potrditi funkcionalnosti notranje diagnostike naprave, kar lahko vpliva na filozofijo preizkusa. Ko se v izračunih SIL upoštevajo zasluge za diagnostiko, je treba diagnostične alarme (npr. alarme izven območja) preizkusiti kot del preizkusa.
Načine odpovedi lahko nadalje razdelimo na tiste, ki se preizkušajo med preizkusom, tiste, ki se ne preizkušajo, in začetne odpovedi ali časovno odvisne odpovedi. Nekaterih nevarnih načinov odpovedi ni mogoče neposredno preizkusiti iz različnih razlogov (npr. težavnost, inženirska ali operativna odločitev, nevednost, nesposobnost, sistematične napake pri opustitvi ali naročanju, nizka verjetnost pojava itd.). Če obstajajo znani načini odpovedi, ki se ne bodo preizkusili, je treba to kompenzirati pri zasnovi naprave, preskusnem postopku, periodični zamenjavi ali obnovi naprave in/ali izvesti sklepno testiranje, da se čim bolj zmanjša vpliv netestiranja na integriteto SIF.
Začetna napaka je poslabšano stanje ali pogoj, pri katerem je razumno pričakovati kritično, nevarno napako, če se korektivni ukrepi ne sprejmejo pravočasno. Običajno se odkrijejo s primerjavo delovanja z nedavnimi ali začetnimi primerjalnimi preizkusi (npr. podpisi ventilov ali odzivni časi ventilov) ali s pregledom (npr. zamašena procesna odprtina). Začetne napake so običajno časovno odvisne – dlje ko je naprava ali sklop v uporabi, bolj se poslabša; pogoji, ki omogočajo naključno napako, postanejo bolj verjetni, zamašitev procesne odprtine ali kopičenje usedlin na senzorjih sčasoma, potekla je uporabna doba itd. Zato je večja verjetnost začetne ali časovno odvisna napake, daljši kot je interval preizkusa. Preizkusiti je treba tudi vse zaščite pred začetnimi napakami (prepihovanje odprtin, sledenje toplote itd.).
Postopki morajo biti napisani za preverjanje nevarnih (neodkritih) napak. Tehnike analize načina in posledic napak (FMEA) ali analize načina, posledic in diagnostike napak (FMEDA) lahko pomagajo prepoznati nevarne neodkrite napake in področja, kjer je treba izboljšati pokritost s preverjanjem.
Številni postopki preizkusov dokazil so pisni in temeljijo na izkušnjah in predlogah iz obstoječih postopkov. Novi postopki in bolj zapleteni SIF-i zahtevajo bolj inženirski pristop z uporabo FMEA/FMEDA za analizo nevarnih napak, določitev, kako bo preskusni postopek preizkusil te napake ali ne, in pokritost testov. Blokovni diagram analize načina napak na makro ravni za senzor je prikazan na sliki 2. FMEA je običajno treba izvesti le enkrat za določeno vrsto naprave in jo ponovno uporabiti za podobne naprave ob upoštevanju njihovih zmogljivosti procesne storitve, namestitve in testiranja na lokaciji.
Analiza odpovedi na makro ravni Slika 2: Ta blokovni diagram analize načina odpovedi na makro ravni za senzor in tlačni oddajnik (PT) prikazuje glavne funkcije, ki bodo običajno razčlenjene na več analiz mikro odpovedi, da se v celoti opredelijo potencialne odpovedi, ki jih je treba obravnavati v funkcionalnih preizkusih.
Slika 2: Ta blokovni diagram analize načina odpovedi na makro ravni za senzor in tlačni oddajnik (PT) prikazuje glavne funkcije, ki bodo običajno razčlenjene na več analiz mikro odpovedi, da se v celoti opredelijo potencialne odpovedi, ki jih je treba obravnavati v funkcionalnih preizkusih.
Odstotek znanih, nevarnih, neodkritih napak, ki so preizkušene, se imenuje pokritost s preizkusnimi testi (PTC). PTC se pogosto uporablja v izračunih SIL za "kompenzacijo" neuspeha pri popolnejšem testiranju SIF. Ljudje zmotno verjamejo, da so zasnovali zanesljiv SIF, ker so pri izračunu SIL upoštevali pomanjkanje pokritosti s testi. Preprosto dejstvo je, da če je vaša pokritost s testi 75 % in če ste to številko upoštevali pri izračunu SIL ter pogosteje testirali stvari, ki jih že testirate, se lahko statistično še vedno pojavi 25 % nevarnih napak. Jaz zagotovo ne želim biti v teh 25 %.
Poročila o odobritvi FMEDA in varnostni priročniki za naprave običajno zagotavljajo minimalni postopek preizkusa in obseg preizkusa. Ti zagotavljajo le smernice, ne pa vseh korakov preizkusa, potrebnih za celovit postopek preizkusa. Za analizo nevarnih napak se uporabljajo tudi druge vrste analize napak, kot sta analiza drevesa napak in vzdrževanje, osredotočeno na zanesljivost.
Preizkuse delovanja lahko razdelimo na popolne funkcionalne (od začetka do konca) ali delne funkcionalne preizkuse (slika 3). Delni funkcionalni preizkus se običajno izvaja, kadar imajo komponente sistema SIF različne preskusne intervale v izračunih SIL, ki se ne ujemajo z načrtovanimi zaustavitvami ali remonti. Pomembno je, da se postopki delnih funkcionalnih preizkusov delovanja prekrivajo, tako da skupaj preizkusijo vse varnostne funkcije sistema SIF. Pri delnih funkcionalnih preizkusih je še vedno priporočljivo, da se za sistem SIF izvede začetni celovit preskus delovanja, nadaljnje pa med remonti.
Delni preizkusi dokazov bi morali sešteti Slika 3: Kombinirani delni preizkusi dokazov (spodaj) bi morali zajemati vse funkcionalnosti popolnega funkcionalnega preizkusa dokazov (zgoraj).
Slika 3: Kombinirani delni preizkusi (spodaj) bi morali zajemati vse funkcionalnosti popolnega funkcionalnega preizkusa (zgoraj).
Delni preizkus preizkusa preveri le odstotek načinov odpovedi naprave. Pogost primer je testiranje ventila z delnim hodom, kjer se ventil premakne za majhno količino (10–20 %), da se preveri, ali ni zataknjen. Ta preizkus ima manjšo pokritost s preizkusom preizkusa kot preizkus preizkusa v primarnem preskusnem intervalu.
Postopki preizkusa dokazila se lahko razlikujejo po kompleksnosti glede na kompleksnost SIF in filozofijo preizkusnih postopkov podjetja. Nekatera podjetja pišejo podrobne preizkusne postopke po korakih, druga pa imajo dokaj kratke postopke. Sklicevanja na druge postopke, kot je standardna kalibracija, se včasih uporabljajo za zmanjšanje obsega postopka preizkusa dokazila in za zagotavljanje doslednosti pri testiranju. Dober postopek preizkusa dokazila mora zagotoviti dovolj podrobnosti, da se zagotovi, da so vsi preizkusi pravilno izvedeni in dokumentirani, vendar ne toliko podrobnosti, da bi tehniki želeli preskočiti korake. Če tehnik, ki je odgovoren za izvedbo koraka preizkusa, parafira dokončan korak preizkusa, se lahko zagotovi pravilna izvedba preizkusa. Podpis opravljenega preizkusa dokazila s strani nadzornika instrumenta in predstavnikov poslovanja bo prav tako poudaril pomen in zagotovil pravilno opravljen preizkus dokazila.
Vedno je treba povabiti tehnike k povratnim informacijam, da bi izboljšali postopek. Uspeh postopka preizkusa je v veliki meri v rokah tehnikov, zato je sodelovanje zelo priporočljivo.
Večina preizkusov dokazovanja se običajno izvaja brez povezave med zaustavitvijo ali premorom. V nekaterih primerih je morda treba preizkus dokazovanja izvesti s povezavo med delovanjem, da se izpolnijo izračuni SIL ali druge zahteve. Spletno testiranje zahteva načrtovanje in usklajevanje z oddelkom za operacije, da se omogoči varna izvedba preizkusa dokazovanja brez motenj v procesu in brez povzročitve lažnega izklopa. Že en lažni izklop je potreben, da porabite vse svoje moči. Med tovrstnim preizkusom, ko SIF ni v celoti na voljo za izvajanje svoje varnostne naloge, 61511-1, klavzula 11.8.5, določa, da "je treba zagotoviti kompenzacijske ukrepe, ki zagotavljajo nadaljnje varno delovanje v skladu z 11.3, ko je SIS v obvodu (popravilo ali testiranje)." Postopek preizkusa dokazovanja mora spremljati postopek za upravljanje nenormalnih situacij, da se zagotovi pravilna izvedba tega.
SIF je običajno razdeljen na tri glavne dele: senzorje, logične reševalce in končne elemente. Običajno so v vsakem od teh treh delov tudi pomožne naprave, ki jih je mogoče povezati (npr. IS bariere, sprožilni ojačevalniki, vmesni releji, solenoidi itd.), ki jih je prav tako treba preizkusiti. Kritične vidike dokaznega testiranja vsake od teh tehnologij najdete v stranski vrstici »Testiranje senzorjev, logičnih reševalcev in končnih elementov« (spodaj).
Nekatere stvari je lažje preizkusiti kot druge. Številne sodobne in nekaj starejših tehnologij pretoka in nivoja spada v težjo kategorijo. Sem spadajo Coriolisovi merilniki pretoka, vrtinčni merilniki, magnetni merilniki, radarji skozi zrak, ultrazvočni merilniki nivoja in procesna stikala na terenu, če naštejemo le nekatere. Na srečo imajo mnoge od teh zdaj izboljšano diagnostiko, ki omogoča izboljšano testiranje.
Pri načrtovanju SIF je treba upoštevati težavnost preizkusa delovanja takšne naprave na terenu. Inženirji zlahka izberejo SIF naprave, ne da bi resno razmislili o tem, kaj bi bilo potrebno za preizkus delovanja naprave, saj jih ne bodo preizkušali oni. To velja tudi za preizkušanje delnega hoda, kar je običajen način za izboljšanje povprečne verjetnosti okvare na zahtevo (PFDavg) SIF, vendar ga kasneje obratovanje elektrarne ne želi izvajati in ga pogosto tudi ne sme izvajati. Vedno zagotovite nadzor elektrarne nad inženiringom SIF v zvezi s preizkusom delovanja.
Preizkus mora vključevati pregled namestitve in popravila SIF, kot je potrebno za izpolnjevanje določbe 16.3.2 standarda 61511-1. Opraviti je treba končni pregled, da se zagotovi, da je vse pravilno nameščeno, in dvojno preverjanje, ali je bil SIF pravilno spet vklopljen v procesno delovanje.
Pisanje in izvajanje dobrega postopka testiranja je pomemben korak za zagotovitev integritete SIF skozi celotno življenjsko dobo. Postopek testiranja mora vsebovati dovolj podrobnosti, da se zagotovi dosledno in varno izvajanje ter dokumentiranje zahtevanih testov. Nevarne napake, ki niso bile preizkušene s preizkusi dokazila, je treba nadomestiti, da se zagotovi ustrezno vzdrževanje varnostne integritete SIF skozi celotno življenjsko dobo.
Pisanje dobrega postopka za preizkus dokazila zahteva logičen pristop k inženirski analizi potencialnih nevarnih napak, izbiro sredstev in pisanje korakov preizkusa dokazila, ki so v okviru zmožnosti testiranja v obratu. Med tem si zagotovite podporo obrata na vseh ravneh za testiranje in usposobite tehnike za izvajanje in dokumentiranje preizkusa dokazila ter razumevanje pomena preizkusa. Navodila pišite, kot da bi bili tehnik za instrumente, ki bo moral opraviti delo, in da so življenja odvisna od pravilnega izvajanja testiranja, saj so.
Testing sensors, logic solvers and final elements A SIF is typically divided up into three main parts, sensors, logic solvers and final elements. There also typically are auxiliary devices that can be associated within each of these three parts (e.g. I.S. barriers, trip amps, interposing relays, solenoids, etc.) that must also be tested.Sensor proof tests: The sensor proof test must ensure that the sensor can sense the process variable over its full range and transmit the proper signal to the SIS logic solver for evaluation. While not inclusive, some of the things to consider in creating the sensor portion of the proof test procedure are given in Table 1. Table 1: Sensor proof test considerations Process ports clean/process interface check, significant buildup noted Internal diagnostics check, run extended diagnostics if available Sensor calibration (5 point) with simulated process input to sensor, verified through to the DCS, drift check Trip point check High/High-High/Low/Low-Low alarms Redundancy, voting degradation Out of range, deviation, diagnostic alarms Bypass and alarms, restrike User diagnostics Transmitter Fail Safe configuration verified Test associated systems (e.g. purge, heat tracing, etc.) and auxiliary components Physical inspection Complete as-found and as-left documentation Logic solver proof test: When full-function proof testing is done, the logic solver’s part in accomplishing the SIF’s safety action and related actions (e.g. alarms, reset, bypasses, user diagnostics, redundancies, HMI, etc.) are tested. Partial or piecemeal function proof tests must accomplish all these tests as part of the individual overlapping proof tests. The logic solver manufacturer should have a recommended proof test procedure in the device safety manual. If not and as a minimum, the logic solver power should be cycled, and the logic solver diagnostic registers, status lights, power supply voltages, communication links and redundancy should be checked. These checks should be done prior to the full-function proof test.Don’t make the assumption that the software is good forever and the logic need not be tested after the initial proof test as undocumented, unauthorized and untested software and hardware changes and software updates can creep into systems over time and must be factored into your overall proof test philosophy. The management of change, maintenance, and revision logs should be reviewed to ensure they are up to date and properly maintained, and if capable, the application program should be compared to the latest backup.Care should also be taken to test all the user logic solver auxiliary and diagnostic functions (e.g. watchdogs, communication links, cybersecurity appliances, etc.).Final element proof test: Most final elements are valves, however, rotating equipment motor starters, variable-speed drives and other electrical components such as contactors and circuit breakers are also used as final elements and their failure modes must be analyzed and proof tested.The primary failure modes for valves are being stuck, response time too slow or too fast, and leakage, all of which are affected by the valve’s operating process interface at trip time. While testing the valve at operating conditions is the most desirable case, Operations would generally be opposed to tripping the SIF while the plant is operating. Most SIS valves are typically tested while the plant is down at zero differential pressure, which is the least demanding of operating conditions. The user should be aware of the worst-case operational differential pressure and the valve and process degradation effects, which should be factored into the valve and actuator design and sizing.Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).Ambient temperatures can also affect valve friction loads, so that testing valves in warm weather will generally be the least demanding friction load when compared to cold weather operation. As a result, proof testing of valves at a consistent temperature should be considered to provide consistent data for inferential testing for the determination of valve performance degradation.Valves with smart positioners or a digital valve controller generally have capability to create a valve signature that can be used to monitor degradation in valve performance. A baseline valve signature can be requested as part of your purchase order or you can create one during the initial proof test to serve as a baseline. The valve signature should be done for both opening and closing of the valve. Advanced valve diagnostic should also be used if available. This can help tell you if your valve performance is deteriorating by comparing subsequent proof test valve signatures and diagnostics with your baseline. This type of test can help compensate for not testing the valve at worst case operating pressures.The valve signature during a proof test may also be able to record the response time with time stamps, removing the need for a stopwatch. Increased response time is a sign of valve deterioration and increased friction load to move the valve. While there are no standards regarding changes in valve response time, a negative pattern of changes from proof test to proof test is indicative of the potential loss of the valve’s safety margin and performance. Modern SIS valve proof testing should include a valve signature as a matter of good engineering practice.The valve instrument air supply pressure should be measured during a proof test. While the valve spring for a spring-return valve is what closes the valve, the force or torque involved is determined by how much the valve spring is compressed by the valve supply pressure (per Hooke’s Law, F = kX). If your supply pressure is low, the spring will not compress as much, hence less force will be available to move the valve when needed. While not inclusive, some of the things to consider in creating the valve portion of the proof test procedure are given in Table 2. Table 2: Final element valve assembly considerations Test valve safety action at process operating pressure (best but typically not done), and time the valve’s response time. Verify redundancy Test valve safety action at zero differential pressure and time valve’s response time. Verify redundancy Run valve signature and diagnostics as part of proof test and compare to baseline and previous test Visually observe valve action (proper action without unusual vibration or noise, etc.). Verify the valve field and position indication on the DCS Fully stroke the valve a minimum of five times during the proof test to help ensure valve reliability. (This is not intended to fix significant degradation effects or incipient failures). Review valve maintenance records to ensure any changes meet the required valve SRS specifications Test diagnostics for energize-to-trip systems Leak test if Tight Shut Off (TSO) is required Verify the command disagree alarm functionality Inspect valve assembly and internals Remove, test and rebuild as necessary Complete as-found and as-left documentation Solenoids Evaluate venting to provide required response time Evaluate solenoid performance by a digital valve controller or smart positioner Verify redundant solenoid performance (e.g. 1oo2, 2oo3) Interposing Relays Verify correct operation, redundancy Device inspection
SIF je običajno razdeljen na tri glavne dele: senzorje, logične reševalce in končne elemente. Običajno so v vsak od teh treh delov vključene tudi pomožne naprave (npr. IS bariere, sprožilni ojačevalniki, vmesni releji, solenoidi itd.), ki jih je prav tako treba preizkusiti.
Preverjanje delovanja senzorjev: Preverjanje delovanja senzorjev mora zagotoviti, da lahko senzor zazna procesno spremenljivko v celotnem območju in odda ustrezen signal logičnemu reševalcu SIS za oceno. Čeprav to ni izčrpno, so nekatere stvari, ki jih je treba upoštevati pri ustvarjanju dela postopka preizkušanja, ki se nanaša na senzor, navedene v tabeli 1.
Preizkus logičnega reševalca: Pri preizkusu polne funkcionalnosti se preizkusi vloga logičnega reševalca pri izvajanju varnostnega ukrepa SIF in povezanih ukrepov (npr. alarmi, ponastavitev, obvodi, uporabniška diagnostika, redundance, HMI itd.). Delni ali posamezni preizkusi funkcionalnosti morajo opraviti vse te preizkuse kot del posameznih prekrivajočih se preizkusov funkcionalnosti. Proizvajalec logičnega reševalca mora imeti v varnostnem priročniku naprave priporočen postopek preizkusa funkcionalnosti. Če ni, je treba vsaj izklopiti in vklopiti napajanje logičnega reševalca ter preveriti diagnostične registre logičnega reševalca, lučke stanja, napajalne napetosti, komunikacijske povezave in redundanco. Ta preverjanja je treba opraviti pred preizkusom polne funkcionalnosti.
Ne domnevajte, da je programska oprema dobra za vedno in da logike po začetnem preizkusu ni treba preizkusiti, saj se lahko nedokumentirane, nepooblaščene in nepreizkušene spremembe programske in strojne opreme ter posodobitve programske opreme sčasoma prikradejo v sisteme in jih je treba upoštevati v celotni filozofiji preizkusa. Pregledati je treba upravljanje dnevnikov sprememb, vzdrževanja in revizij, da se zagotovi njihova ažurnost in pravilno vzdrževanje, in če je to mogoče, primerjati aplikacijski program z najnovejšo varnostno kopijo.
Prav tako je treba paziti na testiranje vseh pomožnih in diagnostičnih funkcij uporabniškega logičnega reševalca (npr. nadzornih programov, komunikacijskih povezav, naprav za kibernetsko varnost itd.).
Preizkus končnega elementa: Večina končnih elementov so ventili, vendar se kot končni elementi uporabljajo tudi zaganjalniki motorjev vrtljive opreme, pogoni s spremenljivo hitrostjo in druge električne komponente, kot so kontaktorji in odklopniki, zato je treba analizirati in preizkusiti njihove načine odpovedi.
Primarni načini odpovedi ventilov so zatikanje, prepočasen ali prehiter odzivni čas in puščanje, na vse to pa vpliva vmesnik obratovalnega procesa ventila v času sprožitve. Čeprav je testiranje ventila v obratovalnih pogojih najbolj zaželen primer, bi obratovanje na splošno nasprotovalo sprožitvi SIF med delovanjem naprave. Večina ventilov SIS se običajno testira, ko je naprava v izpadu pri ničelnem diferenčnem tlaku, kar je najmanj zahteven obratovalni pogoj. Uporabnik se mora zavedati najslabšega možnega obratovalnega diferenčnega tlaka ter učinkov degradacije ventila in procesa, kar je treba upoštevati pri zasnovi in dimenzioniranju ventila in aktuatorja.
Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).
Tudi temperature okolice lahko vplivajo na trenje ventilov, zato bo preskušanje ventilov v toplem vremenu na splošno najmanj zahtevno zaradi trenja v primerjavi z delovanjem v hladnem vremenu. Zato je treba razmisliti o dokaznem preskusu ventilov pri konstantni temperaturi, da se zagotovijo dosledni podatki za sklepno preskušanje za ugotavljanje poslabšanja delovanja ventilov.
Ventili s pametnimi pozicionerji ali digitalnim krmilnikom ventilov imajo običajno zmožnost ustvarjanja podpisa ventila, ki ga je mogoče uporabiti za spremljanje poslabšanja delovanja ventila. Osnovni podpis ventila lahko zahtevate kot del naročilnice ali pa ga ustvarite med začetnim preizkusom, ki služi kot izhodišče. Podpis ventila je treba narediti tako za odpiranje kot zapiranje ventila. Uporabiti je treba tudi napredno diagnostiko ventilov, če je na voljo. To vam lahko pomaga ugotoviti, ali se delovanje vašega ventila slabša, tako da primerjate podpise in diagnostiko ventilov v poznejših preizkusih z vašim izhodiščem. Ta vrsta preizkusa lahko pomaga nadomestiti, da ventil ni bil preizkušen pri najslabšem možnem obratovalnem tlaku.
Podpis ventila med preizkusom dokazovanja lahko zabeleži tudi odzivni čas s časovnimi žigi, s čimer se odpravi potreba po štoparici. Podaljšan odzivni čas je znak obrabe ventila in povečane trenje za premikanje ventila. Čeprav ni standardov glede sprememb odzivnega časa ventila, negativen vzorec sprememb od preizkusa do preizkusa dokazovanja kaže na morebitno izgubo varnostne rezerve in delovanja ventila. Sodobno preizkusovanje dokazovanja ventilov SIS bi moralo vključevati podpis ventila kot del dobre inženirske prakse.
Tlak dovoda instrumentnega zraka ventila je treba izmeriti med preizkusom dokazovanja. Medtem ko vzmet ventila pri ventilu z vzmetnim povratkom zapira ventil, je sila ali navor določen s tem, koliko je vzmet ventila stisnjena zaradi tlaka dovoda ventila (po Hookejevem zakonu, F = kX). Če je tlak dovoda nizek, se vzmet ne bo stisnila toliko, zato bo na voljo manj sile za premikanje ventila, ko bo to potrebno. Čeprav to ni izčrpno, so nekatere stvari, ki jih je treba upoštevati pri ustvarjanju dela ventila v postopku preizkusa dokazovanja, navedene v tabeli 2.
Čas objave: 13. november 2019