Proof-Tests sind ein wesentlicher Bestandteil der Aufrechterhaltung der Sicherheitsintegrität unserer sicherheitstechnischen Systeme (SIS) und sicherheitsrelevanten Systeme (z. B. kritische Alarme, Feuer- und Gassysteme, instrumentierte Verriegelungssysteme usw.). Ein Proof-Test ist ein regelmäßiger Test, um gefährliche Ausfälle zu erkennen, sicherheitsrelevante Funktionen zu testen (z. B. Zurücksetzen, Bypässe, Alarme, Diagnose, manuelle Abschaltung usw.) und sicherzustellen, dass das System den Unternehmens- und externen Standards entspricht. Die Ergebnisse der Proof-Tests sind auch ein Maß für die Wirksamkeit des mechanischen Integritätsprogramms des SIS und die Zuverlässigkeit des Systems im Feldeinsatz.
Die Verfahren der Wiederholungsprüfung umfassen die Prüfschritte von der Einholung von Genehmigungen, der Meldung und der Außerbetriebnahme der Anlage zur Prüfung bis hin zur Sicherstellung einer umfassenden Prüfung, der Dokumentation der Wiederholungsprüfung und ihrer Ergebnisse, der Wiederinbetriebnahme der Anlage sowie der Auswertung der aktuellen Prüfergebnisse und bisherigen Nachweise Testergebnisse.
ANSI/ISA/IEC 61511-1, Abschnitt 16, behandelt SIS-Proof-Tests. Der technische ISA-Bericht TR84.00.03 – „Mechanical Integrity of Safety Instrumented Systems (SIS)“ befasst sich mit Proof-Tests und wird derzeit überarbeitet. Eine neue Version wird in Kürze erwartet. Der technische ISA-Bericht TR96.05.02 – „In-situ Proof Testing of Automated Valves“ befindet sich derzeit in der Entwicklung.
Der britische HSE-Bericht CRR 428/2002 – „Grundsätze für die Wiederholungsprüfung von sicherheitstechnischen Systemen in der chemischen Industrie“ bietet Informationen zu Wiederholungsprüfungen und den Aktivitäten von Unternehmen im Vereinigten Königreich.
Ein Proof-Test-Verfahren basiert auf einer Analyse der bekannten gefährlichen Fehlermodi für jede der Komponenten im Auslösepfad der sicherheitsinstrumentierten Funktion (SIF), der SIF-Funktionalität als System und der Art und Weise (und ob) der Prüfung auf gefährliche Fehler Modus. Die Verfahrensentwicklung sollte in der SIF-Entwurfsphase mit dem Systementwurf, der Auswahl der Komponenten und der Festlegung, wann und wie Tests durchgeführt werden sollen, beginnen. SIS-Instrumente weisen unterschiedliche Schwierigkeitsgrade bei der Überprüfung auf, die bei der Konstruktion, dem Betrieb und der Wartung von SIF berücksichtigt werden müssen. Blendenmessgeräte und Druckmessumformer sind beispielsweise einfacher zu prüfen als Coriolis-Massendurchflussmessgeräte, Mag-Meter oder Luftradar-Füllstandsensoren. Die Anwendung und das Ventildesign können sich auch auf die Vollständigkeit des Ventiltests auswirken, um sicherzustellen, dass gefährliche und beginnende Ausfälle aufgrund von Verschlechterung, Verstopfung oder zeitabhängigen Ausfällen nicht zu einem kritischen Ausfall innerhalb des ausgewählten Testintervalls führen.
Während Proof-Test-Verfahren in der Regel während der SIF-Engineering-Phase entwickelt werden, sollten sie auch von der technischen Behörde des SIS vor Ort, dem Betrieb und den Instrumententechnikern, die die Tests durchführen, überprüft werden. Außerdem sollte eine Arbeitssicherheitsanalyse (JSA) durchgeführt werden. Es ist wichtig, die Zustimmung des Werks dazu einzuholen, welche Tests wann durchgeführt werden und ob sie physisch und sicherheitstechnisch machbar sind. Es nützt beispielsweise nichts, Partial-Stroke-Tests zu spezifizieren, wenn die Operations-Gruppe dem nicht zustimmt. Es wird außerdem empfohlen, die Proof-Test-Verfahren von einem unabhängigen Fachexperten (KMU) überprüfen zu lassen. Die typischen Tests, die für einen vollständigen Funktionsnachweistest erforderlich sind, sind in Abbildung 1 dargestellt.
Anforderungen an Vollfunktionsnachweistests Abbildung 1: Eine Vollfunktionsnachweistestspezifikation für eine sicherheitsinstrumentierte Funktion (SIF) und ihr sicherheitsinstrumentiertes System (SIS) sollte die Schritte in der Reihenfolge von Testvorbereitungen und Testverfahren bis hin zu Benachrichtigungen und Dokumentation darlegen oder darauf verweisen .
Abbildung 1: Eine vollständige funktionssichere Testspezifikation für eine sicherheitsinstrumentierte Funktion (SIF) und ihr sicherheitsinstrumentiertes System (SIS) sollte die Schritte in der Reihenfolge von Testvorbereitungen und Testverfahren bis hin zu Benachrichtigungen und Dokumentation darlegen oder darauf verweisen.
Proof-Tests sind geplante Wartungsmaßnahmen, die von kompetentem Personal durchgeführt werden sollten, das in SIS-Tests, dem Proof-Verfahren und den zu testenden SIS-Schleifen geschult ist. Vor der Durchführung des ersten Abnahmetests sollte eine Durchsicht des Verfahrens erfolgen und anschließend eine Rückmeldung an die technische SIS-Behörde vor Ort für Verbesserungen oder Korrekturen erfolgen.
Es gibt zwei primäre Fehlermodi (sicher oder gefährlich), die in vier Modi unterteilt sind: gefährlich unentdeckt, gefährlich erkannt (durch Diagnose), sicher unentdeckt und sicher erkannt. In diesem Artikel werden die Begriffe „gefährlich“ und „gefährlicher unerkannter Ausfall“ synonym verwendet.
Beim SIF-Proof-Test sind wir in erster Linie an gefährlichen, nicht erkannten Fehlermodi interessiert. Wenn es jedoch Benutzerdiagnosen gibt, die gefährliche Fehler erkennen, sollten diese Diagnosen einem Proof-Test unterzogen werden. Beachten Sie, dass geräteinterne Diagnosen im Gegensatz zur Benutzerdiagnose in der Regel nicht vom Benutzer als funktionsfähig validiert werden können und dies die Philosophie des Proof-Tests beeinflussen kann. Wenn in den SIL-Berechnungen die Diagnose berücksichtigt wird, sollten die Diagnosealarme (z. B. Bereichsüberschreitungsalarme) im Rahmen des Wiederholungstests getestet werden.
Die Fehlermodi können weiter unterteilt werden in solche, auf die während einer Wiederholungsprüfung geprüft wird, solche, auf die nicht geprüft wird, und beginnende Ausfälle oder zeitabhängige Ausfälle. Einige gefährliche Fehlermodi können aus verschiedenen Gründen möglicherweise nicht direkt getestet werden (z. B. Schwierigkeit, technische oder betriebliche Entscheidung, Unwissenheit, Inkompetenz, systematische Unterlassung oder Beauftragung von Fehlern, geringe Eintrittswahrscheinlichkeit usw.). Wenn es bekannte Fehlermodi gibt, auf die nicht getestet wird, sollte eine Kompensation durch Gerätedesign, Testverfahren, regelmäßigen Geräteaustausch oder -neuaufbau erfolgen und/oder inferenzielle Tests durchgeführt werden, um die Auswirkungen einer Nichtprüfung auf die SIF-Integrität zu minimieren.
Ein beginnender Fehler ist ein sich verschlechternder Zustand oder Zustand, bei dem vernünftigerweise davon ausgegangen werden kann, dass ein kritischer, gefährlicher Fehler auftritt, wenn nicht rechtzeitig Korrekturmaßnahmen ergriffen werden. Sie werden typischerweise durch einen Leistungsvergleich mit kürzlich durchgeführten oder ersten Benchmark-Proof-Tests (z. B. Ventilsignaturen oder Ventilreaktionszeiten) oder durch Inspektion (z. B. ein verstopfter Prozessanschluss) erkannt. Beginnende Ausfälle sind in der Regel zeitabhängig – je länger das Gerät oder die Baugruppe in Betrieb ist, desto stärker verschlechtert es sich; Bedingungen, die einen zufälligen Ausfall begünstigen, werden wahrscheinlicher, Prozessanschlussverstopfungen oder Sensorablagerungen im Laufe der Zeit, die Nutzungsdauer ist abgelaufen usw. Je länger das Prüftestintervall ist, desto wahrscheinlicher ist daher ein beginnender oder zeitabhängiger Ausfall. Alle Schutzmaßnahmen gegen beginnende Ausfälle müssen ebenfalls nachweislich getestet werden (Anschlussspülung, Begleitheizung usw.).
Es müssen Verfahren geschrieben werden, um Tests auf gefährliche (unentdeckte) Fehler durchzuführen. Techniken zur Fehlermöglichkeits- und Auswirkungsanalyse (FMEA) oder zur Fehlermöglichkeits-, Auswirkungs- und Diagnoseanalyse (FMEDA) können dabei helfen, gefährliche, unerkannte Ausfälle zu identifizieren und festzustellen, wo die Abdeckung von Proof-Tests verbessert werden muss.
Viele Proof-Test-Verfahren basieren auf schriftlichen Erfahrungen und Vorlagen bestehender Verfahren. Neue Verfahren und kompliziertere SIFs erfordern einen ausgefeilteren Ansatz mit FMEA/FMEDA, um gefährliche Ausfälle zu analysieren, zu bestimmen, wie das Testverfahren auf diese Ausfälle prüft und wie die Tests abdecken. Ein Blockdiagramm zur Fehlermodusanalyse auf Makroebene für einen Sensor ist in Abbildung 2 dargestellt. Die FMEA muss normalerweise nur einmal für einen bestimmten Gerätetyp durchgeführt und für ähnliche Geräte unter Berücksichtigung ihrer Prozessservice-, Installations- und Standorttestfunktionen wiederverwendet werden .
Fehleranalyse auf Makroebene Abbildung 2: Dieses Blockdiagramm zur Fehlermodusanalyse auf Makroebene für einen Sensor und einen Drucktransmitter (PT) zeigt die Hauptfunktionen, die normalerweise in mehrere Mikrofehleranalysen unterteilt werden, um die potenziellen Fehler, die behoben werden müssen, vollständig zu definieren in den Funktionstests.
Abbildung 2: Dieses Blockdiagramm zur Fehlermodusanalyse auf Makroebene für einen Sensor und einen Drucktransmitter (PT) zeigt die Hauptfunktionen, die typischerweise in mehrere Mikrofehleranalysen unterteilt werden, um die potenziellen Fehler vollständig zu definieren, die in den Funktionstests behandelt werden müssen.
Der Prozentsatz der bekannten, gefährlichen und unentdeckten Fehler, die einem Proof-Test unterzogen werden, wird als Proof-Test-Coverage (PTC) bezeichnet. PTC wird üblicherweise in SIL-Berechnungen verwendet, um das Versäumnis zu „kompensieren“, das SIF umfassender zu testen. Die Menschen glauben fälschlicherweise, dass sie ein zuverlässiges SIF entwickelt haben, weil sie bei ihrer SIL-Berechnung die mangelnde Testabdeckung berücksichtigt haben. Die einfache Tatsache ist: Wenn Ihre Testabdeckung 75 % beträgt und Sie diese Zahl in Ihre SIL-Berechnung einbeziehen und Dinge testen, die Sie bereits häufiger testen, können statistisch gesehen immer noch 25 % der gefährlichen Ausfälle auftreten. Ich möchte sicher nicht zu diesen 25 % gehören.
Die FMEDA-Zulassungsberichte und Sicherheitshandbücher für Geräte bieten in der Regel ein Mindestmaß an Prüfverfahren und eine Mindestabdeckung der Prüfprüfungen. Diese bieten lediglich Orientierungshilfen und nicht alle Testschritte, die für ein umfassendes Proof-Test-Verfahren erforderlich sind. Andere Arten der Fehleranalyse, wie etwa die Fehlerbaumanalyse und die zuverlässigkeitsorientierte Wartung, werden ebenfalls zur Analyse gefährlicher Fehler verwendet.
Proof-Tests können in vollständige Funktionstests (End-to-End) oder Teilfunktionstests unterteilt werden (Abbildung 3). Teilfunktionstests werden häufig durchgeführt, wenn die Komponenten des SIF in den SIL-Berechnungen unterschiedliche Testintervalle aufweisen, die nicht mit geplanten Abschaltungen oder Turnarounds übereinstimmen. Es ist wichtig, dass sich die Testverfahren zum Teilfunktionsnachweis überschneiden, sodass sie gemeinsam die gesamte Sicherheitsfunktionalität des SIF testen. Bei teilweisen Funktionstests wird weiterhin empfohlen, dass das SIF einen ersten End-to-End-Proof-Test durchführt und anschließend während der Turnarounds weitere Tests durchführt.
Abbildung 3: Die kombinierten Teil-Proof-Tests (unten) sollten alle Funktionalitäten eines vollständigen Funktions-Proof-Tests (oben) abdecken.
Abbildung 3: Die kombinierten Teil-Proof-Tests (unten) sollten alle Funktionalitäten eines vollständigen Funktions-Proof-Tests (oben) abdecken.
Bei einem teilweisen Proof-Test wird nur ein Prozentsatz der Fehlermodi eines Geräts getestet. Ein häufiges Beispiel ist die Teilhubventilprüfung, bei der das Ventil um einen kleinen Betrag (10–20 %) bewegt wird, um sicherzustellen, dass es nicht festsitzt. Dies hat eine geringere Proof-Test-Abdeckung als der Proof-Test im primären Testintervall.
Die Komplexität von Proof-Test-Verfahren kann je nach Komplexität des SIF und der Testverfahrensphilosophie des Unternehmens variieren. Einige Unternehmen schreiben detaillierte Schritt-für-Schritt-Testverfahren vor, während andere eher kurze Verfahren haben. Verweise auf andere Verfahren, beispielsweise eine Standardkalibrierung, werden manchmal verwendet, um den Umfang des Proof-Test-Verfahrens zu reduzieren und dabei zu helfen, die Konsistenz der Tests sicherzustellen. Ein gutes Proof-Test-Verfahren sollte genügend Details enthalten, um sicherzustellen, dass alle Tests ordnungsgemäß durchgeführt und dokumentiert werden, aber nicht so viele Details, dass die Techniker Schritte überspringen möchten. Wenn der Techniker, der für die Durchführung des Testschritts verantwortlich ist, den abgeschlossenen Testschritt initialisiert, kann sichergestellt werden, dass der Test korrekt durchgeführt wird. Die Freigabe des abgeschlossenen Abnahmetests durch den Geräteleiter und Betriebsvertreter unterstreicht ebenfalls die Bedeutung und gewährleistet einen ordnungsgemäß abgeschlossenen Abnahmetest.
Um das Verfahren zu verbessern, sollte stets Feedback von Technikern eingeholt werden. Der Erfolg eines Proof-Test-Verfahrens liegt zu einem großen Teil in den Händen der Techniker, daher ist eine Zusammenarbeit dringend zu empfehlen.
Die meisten Proof-Tests werden in der Regel offline während eines Stillstands oder einer Revision durchgeführt. In manchen Fällen kann es erforderlich sein, die Wiederholungsprüfung online während des Betriebs durchzuführen, um die SIL-Berechnungen oder andere Anforderungen zu erfüllen. Online-Tests erfordern eine Planung und Koordination mit dem operativen Geschäft, um eine sichere Durchführung des Proof-Tests zu ermöglichen, ohne dass es zu Prozessstörungen und ohne Fehlauslösungen kommt. Es ist nur eine einzige falsche Fahrt erforderlich, um alle Ihre Attaboys zu verbrauchen. Bei dieser Art von Tests, wenn das SIF nicht vollständig zur Erfüllung seiner Sicherheitsaufgabe zur Verfügung steht, heißt es in Abschnitt 11.8.5 von 61511-1: „Kompensationsmaßnahmen, die einen kontinuierlichen sicheren Betrieb gewährleisten, müssen gemäß 11.3 bereitgestellt werden, wenn das SIS in Betrieb ist.“ Bypass (Reparatur oder Prüfung).“ Ein Verfahren zur Bewältigung abnormaler Situationen sollte mit dem Proof-Test-Verfahren einhergehen, um sicherzustellen, dass dies ordnungsgemäß durchgeführt wird.
Ein SIF ist typischerweise in drei Hauptteile unterteilt: Sensoren, Logiklöser und Endelemente. In der Regel gibt es auch Zusatzgeräte, die jedem dieser drei Teile zugeordnet werden können (z. B. IS-Barrieren, Auslöseverstärker, Zwischenrelais, Magnetspulen usw.), die ebenfalls getestet werden müssen. Kritische Aspekte des Proof-Tests jeder dieser Technologien finden Sie in der Seitenleiste „Testen von Sensoren, Logiklösern und Endelementen“ (unten).
Manche Dinge lassen sich leichter prüfen als andere. Viele moderne und einige ältere Strömungs- und Niveautechnologien gehören zur schwierigeren Kategorie. Dazu gehören unter anderem Coriolis-Durchflussmesser, Wirbelmesser, magnetische Messgeräte, Luftradar, Ultraschall-Füllstandsmessgeräte und In-situ-Prozessschalter. Glücklicherweise verfügen viele davon inzwischen über verbesserte Diagnosemöglichkeiten, die verbesserte Tests ermöglichen.
Die Schwierigkeit, ein solches Gerät vor Ort einer Probeprüfung zu unterziehen, muss beim SIF-Design berücksichtigt werden. Für Ingenieure ist es einfach, SIF-Geräte auszuwählen, ohne ernsthaft darüber nachzudenken, was für einen Probetest des Geräts erforderlich wäre, da sie nicht die Personen sind, die sie testen. Dies gilt auch für Partial-Stroke-Tests, die eine gängige Methode zur Verbesserung der SIF-Durchschnittswahrscheinlichkeit eines Ausfalls bei Bedarf (PFDavg) sind, aber später möchte der Anlagenbetrieb dies nicht tun, und oft auch nicht. Sorgen Sie stets für die Werksaufsicht über die Entwicklung von SIFs im Hinblick auf die Wiederholungsprüfung.
Der Wiederholungstest sollte eine Inspektion der SIF-Installation und -Reparatur nach Bedarf umfassen, um 61511-1, Abschnitt 16.3.2 zu erfüllen. Es sollte eine Endkontrolle erfolgen, um sicherzustellen, dass alles zugeknöpft ist, und eine doppelte Kontrolle, ob das SIF ordnungsgemäß wieder in den Prozessbetrieb überführt wurde.
Das Schreiben und Implementieren eines guten Testverfahrens ist ein wichtiger Schritt, um die Integrität des SIF über seine gesamte Lebensdauer sicherzustellen. Das Testverfahren sollte ausreichende Details enthalten, um sicherzustellen, dass die erforderlichen Tests konsistent und sicher durchgeführt und dokumentiert werden. Gefährliche Ausfälle, die nicht durch Proof-Tests getestet wurden, sollten kompensiert werden, um sicherzustellen, dass die Sicherheitsintegrität des SIF über seine Lebensdauer hinweg angemessen erhalten bleibt.
Das Verfassen eines guten Prüftestverfahrens erfordert einen logischen Ansatz für die technische Analyse potenziell gefährlicher Ausfälle, die Auswahl der Mittel und das Schreiben der Prüftestschritte, die innerhalb der Testkapazitäten der Anlage liegen. Sorgen Sie nebenbei dafür, dass sich das Werk auf allen Ebenen für die Prüfung einsetzt, und schulen Sie die Techniker darin, die Abnahmeprüfung durchzuführen und zu dokumentieren sowie die Bedeutung der Prüfung zu verstehen. Schreiben Sie Anweisungen, als wären Sie der Instrumententechniker, der die Arbeit erledigen muss, und als ob das Leben davon abhängt, dass die Tests richtig durchgeführt werden, denn das tun sie.
Testing sensors, logic solvers and final elements A SIF is typically divided up into three main parts, sensors, logic solvers and final elements. There also typically are auxiliary devices that can be associated within each of these three parts (e.g. I.S. barriers, trip amps, interposing relays, solenoids, etc.) that must also be tested.Sensor proof tests: The sensor proof test must ensure that the sensor can sense the process variable over its full range and transmit the proper signal to the SIS logic solver for evaluation. While not inclusive, some of the things to consider in creating the sensor portion of the proof test procedure are given in Table 1. Table 1: Sensor proof test considerations Process ports clean/process interface check, significant buildup noted Internal diagnostics check, run extended diagnostics if available Sensor calibration (5 point) with simulated process input to sensor, verified through to the DCS, drift check Trip point check High/High-High/Low/Low-Low alarms Redundancy, voting degradation Out of range, deviation, diagnostic alarms Bypass and alarms, restrike User diagnostics Transmitter Fail Safe configuration verified Test associated systems (e.g. purge, heat tracing, etc.) and auxiliary components Physical inspection Complete as-found and as-left documentation Logic solver proof test: When full-function proof testing is done, the logic solver’s part in accomplishing the SIF’s safety action and related actions (e.g. alarms, reset, bypasses, user diagnostics, redundancies, HMI, etc.) are tested. Partial or piecemeal function proof tests must accomplish all these tests as part of the individual overlapping proof tests. The logic solver manufacturer should have a recommended proof test procedure in the device safety manual. If not and as a minimum, the logic solver power should be cycled, and the logic solver diagnostic registers, status lights, power supply voltages, communication links and redundancy should be checked. These checks should be done prior to the full-function proof test.Don’t make the assumption that the software is good forever and the logic need not be tested after the initial proof test as undocumented, unauthorized and untested software and hardware changes and software updates can creep into systems over time and must be factored into your overall proof test philosophy. The management of change, maintenance, and revision logs should be reviewed to ensure they are up to date and properly maintained, and if capable, the application program should be compared to the latest backup.Care should also be taken to test all the user logic solver auxiliary and diagnostic functions (e.g. watchdogs, communication links, cybersecurity appliances, etc.).Final element proof test: Most final elements are valves, however, rotating equipment motor starters, variable-speed drives and other electrical components such as contactors and circuit breakers are also used as final elements and their failure modes must be analyzed and proof tested.The primary failure modes for valves are being stuck, response time too slow or too fast, and leakage, all of which are affected by the valve’s operating process interface at trip time. While testing the valve at operating conditions is the most desirable case, Operations would generally be opposed to tripping the SIF while the plant is operating. Most SIS valves are typically tested while the plant is down at zero differential pressure, which is the least demanding of operating conditions. The user should be aware of the worst-case operational differential pressure and the valve and process degradation effects, which should be factored into the valve and actuator design and sizing.Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).Ambient temperatures can also affect valve friction loads, so that testing valves in warm weather will generally be the least demanding friction load when compared to cold weather operation. As a result, proof testing of valves at a consistent temperature should be considered to provide consistent data for inferential testing for the determination of valve performance degradation.Valves with smart positioners or a digital valve controller generally have capability to create a valve signature that can be used to monitor degradation in valve performance. A baseline valve signature can be requested as part of your purchase order or you can create one during the initial proof test to serve as a baseline. The valve signature should be done for both opening and closing of the valve. Advanced valve diagnostic should also be used if available. This can help tell you if your valve performance is deteriorating by comparing subsequent proof test valve signatures and diagnostics with your baseline. This type of test can help compensate for not testing the valve at worst case operating pressures.The valve signature during a proof test may also be able to record the response time with time stamps, removing the need for a stopwatch. Increased response time is a sign of valve deterioration and increased friction load to move the valve. While there are no standards regarding changes in valve response time, a negative pattern of changes from proof test to proof test is indicative of the potential loss of the valve’s safety margin and performance. Modern SIS valve proof testing should include a valve signature as a matter of good engineering practice.The valve instrument air supply pressure should be measured during a proof test. While the valve spring for a spring-return valve is what closes the valve, the force or torque involved is determined by how much the valve spring is compressed by the valve supply pressure (per Hooke’s Law, F = kX). If your supply pressure is low, the spring will not compress as much, hence less force will be available to move the valve when needed. While not inclusive, some of the things to consider in creating the valve portion of the proof test procedure are given in Table 2. Table 2: Final element valve assembly considerations Test valve safety action at process operating pressure (best but typically not done), and time the valve’s response time. Verify redundancy Test valve safety action at zero differential pressure and time valve’s response time. Verify redundancy Run valve signature and diagnostics as part of proof test and compare to baseline and previous test Visually observe valve action (proper action without unusual vibration or noise, etc.). Verify the valve field and position indication on the DCS Fully stroke the valve a minimum of five times during the proof test to help ensure valve reliability. (This is not intended to fix significant degradation effects or incipient failures). Review valve maintenance records to ensure any changes meet the required valve SRS specifications Test diagnostics for energize-to-trip systems Leak test if Tight Shut Off (TSO) is required Verify the command disagree alarm functionality Inspect valve assembly and internals Remove, test and rebuild as necessary Complete as-found and as-left documentation Solenoids Evaluate venting to provide required response time Evaluate solenoid performance by a digital valve controller or smart positioner Verify redundant solenoid performance (e.g. 1oo2, 2oo3) Interposing Relays Verify correct operation, redundancy Device inspection
Ein SIF ist typischerweise in drei Hauptteile unterteilt: Sensoren, Logiklöser und Endelemente. In der Regel gibt es auch Hilfsgeräte, die jedem dieser drei Teile zugeordnet werden können (z. B. IS-Barrieren, Auslöseverstärker, Zwischenrelais, Magnetspulen usw.), die ebenfalls getestet werden müssen.
Sensor-Proof-Tests: Der Sensor-Proof-Test muss sicherstellen, dass der Sensor die Prozessvariable über ihren gesamten Bereich erfassen und das richtige Signal zur Auswertung an den SIS-Logiklöser übertragen kann. Obwohl dies nicht vollständig ist, sind in Tabelle 1 einige Dinge aufgeführt, die bei der Erstellung des Sensorteils des Prüftestverfahrens zu berücksichtigen sind.
Logiklöser-Beweisprüfung: Wenn eine vollständige Funktionsbeweisprüfung durchgeführt wird, wird die Rolle des Logiklösers bei der Durchführung der Sicherheitsmaßnahme des SIF und damit verbundener Maßnahmen (z. B. Alarme, Zurücksetzen, Umgehungen, Benutzerdiagnose, Redundanzen, HMI usw.) getestet. Teilweise oder stückweise durchgeführte Funktionsnachweistests müssen alle diese Tests als Teil der einzelnen überlappenden Beweistests durchführen. Der Hersteller des Logiklösers sollte im Gerätesicherheitshandbuch ein empfohlenes Prüftestverfahren enthalten. Ist dies nicht der Fall, sollten zumindest die Stromversorgung des Logic Solver aus- und wieder eingeschaltet und die Diagnoseregister, Statusleuchten, Stromversorgungsspannungen, Kommunikationsverbindungen und Redundanz des Logic Solver überprüft werden. Diese Prüfungen sollten vor dem vollständigen Funktionstest durchgeführt werden.
Gehen Sie nicht davon aus, dass die Software für immer gültig ist und die Logik nach dem ersten Proof-Test nicht getestet werden muss, da sich undokumentierte, nicht autorisierte und ungetestete Software- und Hardwareänderungen sowie Softwareaktualisierungen im Laufe der Zeit in Systeme einschleichen können und bei Ihrem Gesamtergebnis berücksichtigt werden müssen Proof-Test-Philosophie. Die Verwaltung von Änderungs-, Wartungs- und Revisionsprotokollen sollte überprüft werden, um sicherzustellen, dass sie auf dem neuesten Stand sind und ordnungsgemäß gepflegt werden. Wenn dies möglich ist, sollte das Anwendungsprogramm mit der neuesten Sicherung verglichen werden.
Es sollte auch darauf geachtet werden, alle Hilfs- und Diagnosefunktionen des Benutzerlogiklösers zu testen (z. B. Watchdogs, Kommunikationsverbindungen, Cybersicherheitsgeräte usw.).
Endelement-Proof-Test: Bei den meisten Endelementen handelt es sich um Ventile. Allerdings werden auch Motorstarter für rotierende Geräte, Antriebe mit variabler Drehzahl und andere elektrische Komponenten wie Schütze und Leistungsschalter als Endelemente verwendet und ihre Fehlerarten müssen analysiert und einer Probeprüfung unterzogen werden.
Die Hauptfehlerursachen für Ventile sind Festsitzen, zu langsame oder zu schnelle Reaktionszeit und Leckagen, die alle von der Betriebsschnittstelle des Ventils zum Auslösezeitpunkt beeinflusst werden. Während das Testen des Ventils unter Betriebsbedingungen der wünschenswerteste Fall ist, wäre Operations im Allgemeinen dagegen, das SIF während des Betriebs der Anlage auszulösen. Die meisten SIS-Ventile werden normalerweise getestet, während die Anlage bei einem Differenzdruck von Null steht, was die am wenigsten anspruchsvollen Betriebsbedingungen darstellt. Der Benutzer sollte sich des ungünstigsten Betriebsdifferenzdrucks und der Ventil- und Prozessbeeinträchtigungseffekte bewusst sein, die bei der Ventil- und Antriebskonstruktion und -dimensionierung berücksichtigt werden sollten.
Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).
Auch die Umgebungstemperatur kann sich auf die Reibungsbelastung der Ventile auswirken, so dass die Prüfung von Ventilen bei warmem Wetter im Vergleich zum Betrieb bei kaltem Wetter im Allgemeinen die am wenigsten anspruchsvolle Reibungsbelastung darstellt. Daher sollte eine Wiederholungsprüfung von Ventilen bei einer konstanten Temperatur in Betracht gezogen werden, um konsistente Daten für Inferenztests zur Bestimmung der Verschlechterung der Ventilleistung zu liefern.
Ventile mit intelligenten Stellungsreglern oder einem digitalen Ventilregler verfügen im Allgemeinen über die Fähigkeit, eine Ventilsignatur zu erstellen, die zur Überwachung der Verschlechterung der Ventilleistung verwendet werden kann. Eine Basis-Ventilsignatur kann im Rahmen Ihrer Bestellung angefordert werden oder Sie können eine solche während des ersten Abnahmetests erstellen, um als Basis zu dienen. Die Ventilsignatur sollte sowohl für das Öffnen als auch für das Schließen des Ventils erfolgen. Falls verfügbar, sollte auch eine erweiterte Ventildiagnose verwendet werden. Dies kann Ihnen dabei helfen, festzustellen, ob sich Ihre Ventilleistung verschlechtert, indem nachfolgende Ventilsignaturen und -diagnosen im Proof-Test mit Ihrem Ausgangswert verglichen werden. Diese Art von Prüfung kann dazu beitragen, die Tatsache zu kompensieren, dass das Ventil nicht bei ungünstigsten Betriebsdrücken getestet wird.
Die Ventilsignatur während eines Proof-Tests kann möglicherweise auch die Reaktionszeit mit Zeitstempeln aufzeichnen, sodass keine Stoppuhr erforderlich ist. Eine längere Reaktionszeit ist ein Zeichen für eine Verschlechterung des Ventils und eine erhöhte Reibungsbelastung beim Bewegen des Ventils. Zwar gibt es keine Standards für Änderungen der Ventilansprechzeit, ein negatives Änderungsmuster von Wiederholungsprüfung zu Wiederholungsprüfung weist jedoch auf einen möglichen Verlust der Sicherheitsmarge und Leistung des Ventils hin. Moderne SIS-Ventil-Proof-Tests sollten gemäß guter technischer Praxis eine Ventilsignatur umfassen.
Der Luftversorgungsdruck des Ventilinstruments sollte während einer Abnahmeprüfung gemessen werden. Während die Ventilfeder bei einem Federrückstellventil das Ventil schließt, wird die Kraft bzw. das Drehmoment dadurch bestimmt, wie stark die Ventilfeder durch den Ventilversorgungsdruck zusammengedrückt wird (gemäß dem Hookeschen Gesetz, F = kX). Wenn Ihr Versorgungsdruck niedrig ist, wird die Feder nicht so stark komprimiert, sodass weniger Kraft zur Verfügung steht, um das Ventil bei Bedarf zu bewegen. Obwohl dies nicht vollständig ist, sind in Tabelle 2 einige Dinge aufgeführt, die bei der Erstellung des Ventilteils des Prüftestverfahrens zu berücksichtigen sind.
Zeitpunkt der Veröffentlichung: 13. November 2019