การทดสอบการพิสูจน์เป็นส่วนสำคัญของการรักษาความสมบูรณ์ด้านความปลอดภัยของระบบเครื่องมือวัดความปลอดภัย (SIS) และระบบที่เกี่ยวข้องกับความปลอดภัยของเรา (เช่น สัญญาณแจ้งเตือนเหตุวิกฤติ ระบบอัคคีภัยและก๊าซ ระบบอินเทอร์ล็อกแบบใช้อุปกรณ์ ฯลฯ) การทดสอบเพื่อพิสูจน์เป็นการทดสอบเป็นระยะเพื่อตรวจจับความล้มเหลวที่เป็นอันตราย ทดสอบการทำงานที่เกี่ยวข้องกับความปลอดภัย (เช่น การรีเซ็ต การบายพาส การแจ้งเตือน การวินิจฉัย การปิดระบบด้วยตนเอง ฯลฯ) และให้แน่ใจว่าระบบเป็นไปตามมาตรฐานของบริษัทและภายนอก ผลการทดสอบการพิสูจน์ยังเป็นตัวชี้วัดประสิทธิผลของโปรแกรมความสมบูรณ์ทางกลของ SIS และความน่าเชื่อถือในภาคสนามของระบบอีกด้วย
ขั้นตอนการทดสอบการพิสูจน์ครอบคลุมขั้นตอนการทดสอบตั้งแต่การได้รับใบอนุญาต การแจ้งเตือน และการนำระบบออกจากการให้บริการสำหรับการทดสอบ เพื่อให้มั่นใจว่ามีการทดสอบที่ครอบคลุม บันทึกการทดสอบการพิสูจน์และผลลัพธ์ การนำระบบกลับมาให้บริการอีกครั้ง และการประเมินผลการทดสอบปัจจุบันและการพิสูจน์ก่อนหน้า ผลการทดสอบ
ANSI/ISA/IEC 61511-1 ข้อ 16 ครอบคลุมการทดสอบการพิสูจน์ SIS รายงานทางเทคนิคของ ISA TR84.00.03 – “ความสมบูรณ์ทางกลไกของระบบเครื่องมือวัดความปลอดภัย (SIS)” ครอบคลุมการทดสอบเชิงพิสูจน์และขณะนี้อยู่ระหว่างการแก้ไขโดยคาดว่าจะมีเวอร์ชันใหม่ออกเร็วๆ นี้ รายงานทางเทคนิคของ ISA TR96.05.02 – “การทดสอบการพิสูจน์ในแหล่งกำเนิดของวาล์วอัตโนมัติ” อยู่ระหว่างการพัฒนา
รายงาน HSE ของสหราชอาณาจักร CRR 428/2002 – “หลักการทดสอบระบบเครื่องมือวัดความปลอดภัยในอุตสาหกรรมเคมี” ให้ข้อมูลเกี่ยวกับการทดสอบพิสูจน์และสิ่งที่บริษัทต่างๆ กำลังดำเนินการในสหราชอาณาจักร
ขั้นตอนการทดสอบพิสูจน์จะขึ้นอยู่กับการวิเคราะห์โหมดความล้มเหลวที่เป็นอันตรายที่ทราบสำหรับแต่ละส่วนประกอบในเส้นทางการเดินทางของฟังก์ชันเครื่องมือวัดความปลอดภัย (SIF) ฟังก์ชันการทำงานของ SIF ในฐานะระบบ และวิธีการ (และหาก) ที่จะทดสอบความล้มเหลวที่เป็นอันตราย โหมด. การพัฒนาขั้นตอนควรเริ่มต้นในขั้นตอนการออกแบบ SIF ด้วยการออกแบบระบบ การเลือกส่วนประกอบ และการกำหนดเวลาและวิธีพิสูจน์การทดสอบ เครื่องมือ SIS มีระดับความยากในการทดสอบการพิสูจน์ที่แตกต่างกันไป ซึ่งจะต้องพิจารณาในการออกแบบ SIF การใช้งาน และการบำรุงรักษา ตัวอย่างเช่น เครื่องวัดออริฟิซและเครื่องส่งสัญญาณความดันจะทดสอบได้ง่ายกว่าเครื่องวัดอัตราการไหลมวลโบลิทาร์ เครื่องวัดแม็ก หรือเซ็นเซอร์ระดับเรดาร์ผ่านอากาศ การออกแบบการใช้งานและวาล์วยังสามารถส่งผลต่อความครอบคลุมของการทดสอบการพิสูจน์วาล์ว เพื่อให้มั่นใจว่าความล้มเหลวที่เป็นอันตรายและเกิดขึ้นเนื่องจากการเสื่อมสภาพ การเสียบปลั๊ก หรือความล้มเหลวขึ้นอยู่กับเวลา จะไม่นำไปสู่ความล้มเหลวร้ายแรงภายในช่วงการทดสอบที่เลือก
แม้ว่าขั้นตอนการทดสอบการพิสูจน์โดยทั่วไปจะได้รับการพัฒนาในระหว่างขั้นตอนวิศวกรรม SIF แต่ควรได้รับการตรวจสอบโดยหน่วยงานด้านเทคนิคของ SIS ฝ่ายปฏิบัติการ และช่างเทคนิคเครื่องมือที่จะทำการทดสอบของไซต์ด้วย ควรมีการวิเคราะห์ความปลอดภัยของงาน (JSA) ด้วย สิ่งสำคัญคือต้องได้รับความเห็นชอบจากโรงงานว่าการทดสอบใดจะดำเนินการและเมื่อใด รวมถึงความเป็นไปได้ทางกายภาพและความปลอดภัย ตัวอย่างเช่น การระบุการทดสอบแบบกึ่งจังหวะนั้นไม่ดีเลย เมื่อกลุ่มปฏิบัติการไม่ยินยอมที่จะทำ ขอแนะนำให้ตรวจสอบขั้นตอนการทดสอบการพิสูจน์โดยผู้เชี่ยวชาญอิสระ (SME) การทดสอบทั่วไปที่จำเป็นสำหรับการทดสอบการพิสูจน์ฟังก์ชันเต็มรูปแบบแสดงไว้ในรูปที่ 1
ข้อกำหนดการทดสอบการพิสูจน์ฟังก์ชันเต็มรูปแบบ รูปที่ 1: ข้อกำหนดการทดสอบการพิสูจน์ฟังก์ชันเต็มรูปแบบสำหรับฟังก์ชันเครื่องมือวัดความปลอดภัย (SIF) และระบบเครื่องมือวัดความปลอดภัย (SIS) ควรสะกดหรืออ้างอิงถึงขั้นตอนตามลำดับ ตั้งแต่การเตรียมการทดสอบและขั้นตอนการทดสอบ ไปจนถึงการแจ้งเตือนและเอกสารประกอบ .
รูปที่ 1: ข้อกำหนดการทดสอบการพิสูจน์ฟังก์ชันเต็มรูปแบบสำหรับฟังก์ชันเครื่องมือวัดความปลอดภัย (SIF) และระบบเครื่องมือวัดความปลอดภัย (SIS) ควรระบุหรืออ้างอิงถึงขั้นตอนตามลำดับ ตั้งแต่การเตรียมการทดสอบและขั้นตอนการทดสอบ ไปจนถึงการแจ้งเตือนและเอกสารประกอบ
การทดสอบการพิสูจน์คือการดำเนินการบำรุงรักษาตามแผนที่ควรดำเนินการโดยบุคลากรที่มีความสามารถที่ได้รับการฝึกอบรมในการทดสอบ SIS ขั้นตอนการพิสูจน์ และลูป SIS ที่พวกเขาจะทำการทดสอบ ควรมีการแนะนำขั้นตอนก่อนที่จะดำเนินการทดสอบการพิสูจน์เบื้องต้น และแสดงความคิดเห็นไปยังไซต์หน่วยงานด้านเทคนิคของ SIS ในภายหลังเพื่อการปรับปรุงหรือแก้ไข
มีโหมดความล้มเหลวหลักสองโหมด (ปลอดภัยหรือเป็นอันตราย) ซึ่งแบ่งออกเป็นสี่โหมด ได้แก่ ตรวจไม่พบอันตราย ตรวจพบอันตราย (โดยการวินิจฉัย) ตรวจไม่พบอย่างปลอดภัย และตรวจพบอย่างปลอดภัย เงื่อนไขความล้มเหลวที่ตรวจไม่พบที่เป็นอันตรายและเป็นอันตรายจะใช้สลับกันได้ในบทความนี้
ในการทดสอบการพิสูจน์ SIF เราสนใจโหมดความล้มเหลวที่ตรวจไม่พบอันตรายเป็นหลัก แต่หากมีการวินิจฉัยผู้ใช้ที่ตรวจพบความล้มเหลวที่เป็นอันตราย การวินิจฉัยเหล่านี้ควรได้รับการทดสอบการพิสูจน์ โปรดทราบว่าการวินิจฉัยภายในของอุปกรณ์นั้นแตกต่างจากการวินิจฉัยผู้ใช้ตรงที่ผู้ใช้ไม่สามารถตรวจสอบได้ว่าการวินิจฉัยภายในของอุปกรณ์ทำงานได้ตามปกติ และอาจส่งผลต่อหลักปรัชญาการทดสอบการพิสูจน์ได้ เมื่อให้เครดิตสำหรับการวินิจฉัยในการคำนวณ SIL สัญญาณเตือนการวินิจฉัย (เช่น สัญญาณเตือนนอกช่วง) ควรได้รับการทดสอบโดยเป็นส่วนหนึ่งของการทดสอบพิสูจน์
โหมดความล้มเหลวสามารถแบ่งเพิ่มเติมได้เป็นโหมดที่ได้รับการทดสอบในระหว่างการทดสอบเพื่อพิสูจน์ โหมดที่ไม่ได้ทดสอบ และความล้มเหลวเริ่มแรกหรือความล้มเหลวขึ้นอยู่กับเวลา โหมดความล้มเหลวที่เป็นอันตรายบางโหมดอาจไม่ได้รับการทดสอบโดยตรงด้วยเหตุผลหลายประการ (เช่น ความยาก การตัดสินใจทางวิศวกรรมหรือการปฏิบัติงาน ความไม่รู้ การไร้ความสามารถ การละเลยหรือคอมมิชชันข้อผิดพลาดอย่างเป็นระบบ ความน่าจะเป็นที่จะเกิดขึ้นต่ำ เป็นต้น) หากมีโหมดความล้มเหลวที่ทราบว่าจะไม่ได้รับการทดสอบ ควรทำการชดเชยในการออกแบบอุปกรณ์ ขั้นตอนการทดสอบ การเปลี่ยนหรือสร้างอุปกรณ์ใหม่เป็นระยะ และ/หรือการทดสอบเชิงอนุมานควรทำเพื่อลดผลกระทบต่อความสมบูรณ์ของ SIF จากการไม่ทดสอบ
ความล้มเหลวที่เกิดขึ้นครั้งแรกคือสภาวะหรือสภาวะที่เสื่อมโทรมซึ่งสามารถคาดหวังความล้มเหลวขั้นวิกฤตและเป็นอันตรายได้อย่างสมเหตุสมผล หากไม่มีการดำเนินการแก้ไขอย่างทันท่วงที โดยทั่วไปจะถูกตรวจพบโดยการเปรียบเทียบประสิทธิภาพกับการทดสอบการพิสูจน์เกณฑ์มาตรฐานล่าสุดหรือเบื้องต้น (เช่น ลักษณะเฉพาะของวาล์วหรือเวลาตอบสนองของวาล์ว) หรือโดยการตรวจสอบ (เช่น พอร์ตกระบวนการที่เสียบปลั๊ก) ความล้มเหลวในช่วงเริ่มต้นมักขึ้นอยู่กับเวลา ยิ่งอุปกรณ์หรือชุดประกอบใช้งานนานเท่าใดก็ยิ่งเสื่อมคุณภาพมากขึ้นเท่านั้น สภาวะที่เอื้อต่อความล้มเหลวแบบสุ่มมีแนวโน้มมากขึ้น การเสียบพอร์ตของกระบวนการหรือการสะสมของเซ็นเซอร์เมื่อเวลาผ่านไป อายุการใช้งานหมดลง ฯลฯ ดังนั้น ยิ่งช่วงการทดสอบการพิสูจน์พิสูจน์ยาวนานขึ้น โอกาสที่จะเกิดความล้มเหลวเริ่มต้นหรือขึ้นอยู่กับเวลาก็จะมากขึ้นเท่านั้น การป้องกันใดๆ จากความล้มเหลวที่เกิดขึ้นในช่วงแรกจะต้องผ่านการทดสอบเชิงพิสูจน์ด้วย (การล้างพอร์ต การติดตามความร้อน ฯลฯ)
ขั้นตอนจะต้องเขียนเพื่อพิสูจน์การทดสอบความล้มเหลวที่เป็นอันตราย (ตรวจไม่พบ) โหมดความล้มเหลวและการวิเคราะห์ผลกระทบ (FMEA) หรือโหมดความล้มเหลว เทคนิคการวิเคราะห์ผลกระทบและการวินิจฉัย (FMEDA) สามารถช่วยระบุความล้มเหลวที่เป็นอันตรายซึ่งตรวจไม่พบได้ และในกรณีที่ต้องปรับปรุงความครอบคลุมของการทดสอบการพิสูจน์
ขั้นตอนการทดสอบการพิสูจน์หลักฐานหลายขั้นตอนเป็นประสบการณ์ที่เป็นลายลักษณ์อักษรและแม่แบบจากขั้นตอนที่มีอยู่ ขั้นตอนใหม่และ SIF ที่ซับซ้อนมากขึ้นจำเป็นต้องมีแนวทางเชิงวิศวกรรมมากขึ้นโดยใช้ FMEA/FMEDA เพื่อวิเคราะห์ความล้มเหลวที่เป็นอันตราย กำหนดว่าขั้นตอนการทดสอบจะทดสอบหรือไม่ทดสอบความล้มเหลวเหล่านั้นอย่างไร และความครอบคลุมของการทดสอบ แผนภาพบล็อกการวิเคราะห์โหมดความล้มเหลวระดับมหภาคสำหรับเซ็นเซอร์แสดงในรูปที่ 2 โดยทั่วไป FMEA จะต้องดำเนินการเพียงครั้งเดียวสำหรับอุปกรณ์ประเภทใดประเภทหนึ่ง และนำกลับมาใช้ใหม่สำหรับอุปกรณ์ที่คล้ายกัน โดยคำนึงถึงบริการกระบวนการ การติดตั้ง และความสามารถในการทดสอบสถานที่ .
การวิเคราะห์ความล้มเหลวระดับมหภาค รูปที่ 2: แผนภาพบล็อกการวิเคราะห์โหมดความล้มเหลวระดับมหภาคสำหรับเซ็นเซอร์และเครื่องส่งสัญญาณแรงดัน (PT) แสดงฟังก์ชันหลักที่โดยทั่วไปจะแบ่งออกเป็นการวิเคราะห์ความล้มเหลวระดับไมโครหลายรายการ เพื่อระบุความล้มเหลวที่อาจเกิดขึ้นที่ต้องแก้ไขอย่างครบถ้วน ในการทดสอบการทำงาน
รูปที่ 2: แผนภาพบล็อกการวิเคราะห์โหมดความล้มเหลวระดับมหภาคสำหรับเซ็นเซอร์และเครื่องส่งสัญญาณแรงดัน (PT) แสดงฟังก์ชันหลักที่โดยทั่วไปจะแบ่งออกเป็นการวิเคราะห์ความล้มเหลวระดับไมโครหลายรายการ เพื่อระบุความล้มเหลวที่อาจเกิดขึ้นได้อย่างสมบูรณ์ซึ่งต้องระบุในการทดสอบฟังก์ชัน
เปอร์เซ็นต์ของความล้มเหลวที่ทราบ เป็นอันตราย และตรวจไม่พบซึ่งได้รับการทดสอบด้วยการพิสูจน์เรียกว่าความครอบคลุมการทดสอบการพิสูจน์ (PTC) โดยทั่วไปจะใช้ PTC ในการคำนวณ SIL เพื่อ "ชดเชย" สำหรับความล้มเหลวในการทดสอบ SIF ให้สมบูรณ์ยิ่งขึ้น ผู้คนมีความเชื่อผิดๆ ว่าเนื่องจากพวกเขาได้พิจารณาการขาดความครอบคลุมของการทดสอบในการคำนวณ SIL พวกเขาจึงได้ออกแบบ SIF ที่เชื่อถือได้ ข้อเท็จจริงง่ายๆ ก็คือ หากความครอบคลุมการทดสอบของคุณคือ 75% และหากคุณนำตัวเลขดังกล่าวมาคำนวณ SIL และทดสอบสิ่งที่คุณกำลังทดสอบบ่อยขึ้น ความล้มเหลวที่เป็นอันตราย 25% ยังคงสามารถเกิดขึ้นได้ทางสถิติ ฉันไม่ต้องการที่จะอยู่ใน 25% นั้นอย่างแน่นอน
รายงานการอนุมัติของ FMEDA และคู่มือด้านความปลอดภัยสำหรับอุปกรณ์โดยทั่วไปจะมีขั้นตอนการทดสอบการพิสูจน์ขั้นต่ำและครอบคลุมการทดสอบการพิสูจน์ ข้อมูลเหล่านี้เป็นเพียงแนวทางเท่านั้น ไม่ใช่ทุกขั้นตอนการทดสอบที่จำเป็นสำหรับขั้นตอนการทดสอบการพิสูจน์ที่ครอบคลุม การวิเคราะห์ความล้มเหลวประเภทอื่นๆ เช่น การวิเคราะห์แผนผังข้อบกพร่อง และการบำรุงรักษาที่เน้นความน่าเชื่อถือเป็นศูนย์กลาง ก็ถูกนำมาใช้ในการวิเคราะห์หาความล้มเหลวที่เป็นอันตรายเช่นกัน
การทดสอบการพิสูจน์สามารถแบ่งออกเป็นการทดสอบการทำงานเต็มรูปแบบ (จากต้นทางถึงปลายทาง) หรือการทดสอบการทำงานบางส่วน (รูปที่ 3) โดยทั่วไปการทดสอบการทำงานบางส่วนจะดำเนินการเมื่อส่วนประกอบของ SIF มีช่วงการทดสอบที่แตกต่างกันในการคำนวณ SIL ซึ่งไม่สอดคล้องกับการปิดระบบหรือการหยุดซ่อมบำรุงตามแผน สิ่งสำคัญคือขั้นตอนการทดสอบการพิสูจน์ฟังก์ชันการทำงานบางส่วนจะทับซ้อนกัน โดยที่ทั้งสองขั้นตอนจะทดสอบฟังก์ชันการทำงานด้านความปลอดภัยทั้งหมดของ SIF ร่วมกัน สำหรับการทดสอบการทำงานบางส่วน เรายังคงแนะนำให้ SIF มีการทดสอบพิสูจน์อักษรตั้งแต่ต้นทางถึงปลายทางในขั้นต้น และทดสอบครั้งต่อไปในระหว่างการซ่อมบำรุง
การทดสอบการพิสูจน์บางส่วนควรรวมกัน รูปที่ 3: การทดสอบการพิสูจน์บางส่วนแบบรวม (ด้านล่าง) ควรครอบคลุมฟังก์ชันทั้งหมดของการทดสอบการพิสูจน์ฟังก์ชันเต็มรูปแบบ (ด้านบน)
รูปที่ 3: การทดสอบการพิสูจน์บางส่วนแบบรวม (ด้านล่าง) ควรครอบคลุมฟังก์ชันทั้งหมดของการทดสอบการพิสูจน์ฟังก์ชันเต็มรูปแบบ (ด้านบน)
การทดสอบการพิสูจน์บางส่วนจะทดสอบเฉพาะเปอร์เซ็นต์ของโหมดความล้มเหลวของอุปกรณ์เท่านั้น ตัวอย่างทั่วไปคือการทดสอบวาล์วแบบไม่เต็มจังหวะ โดยที่วาล์วถูกขยับเล็กน้อย (10-20%) เพื่อตรวจสอบว่าไม่ติดขัด สิ่งนี้มีความครอบคลุมการทดสอบการพิสูจน์ต่ำกว่าการทดสอบการพิสูจน์ในช่วงการทดสอบหลัก
ขั้นตอนการทดสอบการพิสูจน์อาจแตกต่างกันไปตามความซับซ้อนตามความซับซ้อนของ SIF และปรัชญาขั้นตอนการทดสอบของบริษัท บริษัทบางแห่งเขียนขั้นตอนการทดสอบทีละขั้นตอนโดยละเอียด ในขณะที่บริษัทอื่นๆ มีขั้นตอนที่ค่อนข้างสั้น การอ้างอิงถึงขั้นตอนอื่นๆ เช่น การสอบเทียบมาตรฐาน บางครั้งใช้เพื่อลดขนาดของขั้นตอนการทดสอบการพิสูจน์หลักฐาน และเพื่อช่วยรับประกันความสม่ำเสมอในการทดสอบ ขั้นตอนการทดสอบการพิสูจน์ที่ดีควรให้รายละเอียดเพียงพอเพื่อให้แน่ใจว่าการทดสอบทั้งหมดเสร็จสิ้นและจัดทำเป็นเอกสารอย่างเหมาะสม แต่ไม่มีรายละเอียดมากนักจนทำให้ช่างเทคนิคต้องการข้ามขั้นตอนต่างๆ การมีช่างเทคนิคที่รับผิดชอบในการดำเนินการขั้นตอนการทดสอบ เริ่มต้นขั้นตอนการทดสอบที่เสร็จสมบูรณ์สามารถช่วยให้แน่ใจว่าการทดสอบจะดำเนินการอย่างถูกต้อง การลงนามการทดสอบพิสูจน์อักษรที่เสร็จสมบูรณ์โดยผู้ดูแลเครื่องมือและตัวแทนฝ่ายปฏิบัติการจะเน้นย้ำถึงความสำคัญและรับประกันว่าการทดสอบพิสูจน์อักษรจะเสร็จสมบูรณ์อย่างเหมาะสม
ควรเชิญข้อเสนอแนะจากช่างเทคนิคเพื่อช่วยปรับปรุงขั้นตอนเสมอ ความสำเร็จของขั้นตอนการทดสอบการพิสูจน์จะขึ้นอยู่กับฝีมือของช่างเทคนิคเป็นส่วนใหญ่ ดังนั้นจึงขอแนะนำอย่างยิ่งให้ร่วมมือกัน
โดยทั่วไปการทดสอบพิสูจน์หลักฐานส่วนใหญ่จะดำเนินการแบบออฟไลน์ในระหว่างการปิดระบบหรือดำเนินการซ่อมบำรุง ในบางกรณี อาจจำเป็นต้องทำการทดสอบพิสูจน์ทางออนไลน์ขณะทำงานเพื่อให้เป็นไปตามการคำนวณ SIL หรือข้อกำหนดอื่นๆ การทดสอบออนไลน์ต้องมีการวางแผนและการประสานงานกับฝ่ายปฏิบัติการเพื่อให้การทดสอบพิสูจน์อักษรทำได้อย่างปลอดภัย โดยไม่ทำให้กระบวนการหงุดหงิด และไม่ก่อให้เกิดการเดินทางปลอม ใช้เวลาเดินทางปลอมเพียงครั้งเดียวเพื่อใช้ attaboy ทั้งหมดของคุณ ในระหว่างการทดสอบประเภทนี้ เมื่อ SIF ไม่พร้อมให้บริการอย่างเต็มที่ในการปฏิบัติงานด้านความปลอดภัย 61511-1 ข้อ 11.8.5 ระบุว่า "จะต้องจัดให้มีมาตรการชดเชยที่รับรองการทำงานที่ปลอดภัยอย่างต่อเนื่องตามข้อ 11.3 เมื่อ SIS อยู่ใน บายพาส (ซ่อมแซมหรือทดสอบ)” ขั้นตอนการจัดการสถานการณ์ที่ผิดปกติควรควบคู่ไปกับขั้นตอนการทดสอบการพิสูจน์เพื่อช่วยให้แน่ใจว่าสิ่งนี้จะทำได้อย่างเหมาะสม
โดยทั่วไป SIF จะแบ่งออกเป็นสามส่วนหลัก: เซ็นเซอร์ ตัวแก้ปัญหาลอจิก และองค์ประกอบสุดท้าย โดยทั่วไปแล้วยังมีอุปกรณ์เสริมที่สามารถเชื่อมโยงภายในแต่ละส่วนจากสามส่วนเหล่านี้ (เช่น สิ่งกีดขวาง IS, ทริปแอมป์, รีเลย์อินเทอร์โพส, โซลินอยด์ ฯลฯ) ที่ต้องทดสอบด้วย ลักษณะที่สำคัญของการทดสอบการพิสูจน์แต่ละเทคโนโลยีเหล่านี้อาจพบได้ในแถบด้านข้าง “การทดสอบเซ็นเซอร์ ตัวแก้ปัญหาลอจิก และองค์ประกอบสุดท้าย” (ด้านล่าง)
บางสิ่งสามารถพิสูจน์การทดสอบได้ง่ายกว่าสิ่งอื่น เทคโนโลยีการไหลและระดับที่ทันสมัยและเก่าบางส่วนจำนวนมากอยู่ในหมวดหมู่ที่ยากกว่า ซึ่งรวมถึงเครื่องวัดอัตราการไหลโบลิทาร์ เครื่องวัดกระแสน้ำวน เครื่องวัดแม็ก เรดาร์ผ่านอากาศ ระดับอัลตราโซนิก และสวิตช์กระบวนการในแหล่งกำเนิด และอื่นๆ อีกมากมาย โชคดีที่ตอนนี้หลายๆ รายการมีการวินิจฉัยที่ได้รับการปรับปรุงซึ่งช่วยให้ทำการทดสอบได้ดีขึ้น
ความยากในการทดสอบการพิสูจน์อุปกรณ์ดังกล่าวในภาคสนามต้องได้รับการพิจารณาในการออกแบบ SIF เป็นเรื่องง่ายสำหรับฝ่ายวิศวกรรมในการเลือกอุปกรณ์ SIF โดยไม่ต้องคำนึงถึงสิ่งที่จำเป็นในการพิสูจน์การทดสอบอุปกรณ์อย่างจริงจัง เนื่องจากอุปกรณ์เหล่านั้นจะไม่ใช่คนที่ทำการทดสอบ กรณีนี้เกิดขึ้นกับการทดสอบระยะชักบางส่วน ซึ่งเป็นวิธีทั่วไปในการปรับปรุงความน่าจะเป็นโดยเฉลี่ยของความล้มเหลวตามความต้องการ (PFDavg) ของ SIF แต่ต่อมาฝ่ายปฏิบัติการในโรงงานไม่ต้องการทำเช่นนั้น และในหลายๆ ครั้งก็อาจไม่ทำเช่นนั้น ให้การควบคุมดูแลโรงงานด้านวิศวกรรมของ SIF เสมอในเรื่องการทดสอบการพิสูจน์
การทดสอบการพิสูจน์ควรรวมถึงการตรวจสอบการติดตั้งและการซ่อมแซม SIF ตามความจำเป็นเพื่อให้เป็นไปตาม 61511-1 ข้อ 16.3.2 ควรมีการตรวจสอบขั้นสุดท้ายเพื่อให้แน่ใจว่าทุกอย่างติดกระดุมแล้ว และตรวจสอบอีกครั้งว่า SIF ได้รับการวางกลับเข้าสู่บริการกระบวนการอย่างถูกต้องแล้ว
การเขียนและการนำขั้นตอนการทดสอบที่ดีไปใช้ถือเป็นขั้นตอนสำคัญในการรับรองความสมบูรณ์ของ SIF ตลอดอายุการใช้งาน ขั้นตอนการทดสอบควรให้รายละเอียดที่เพียงพอเพื่อให้แน่ใจว่าการทดสอบที่จำเป็นได้รับการดำเนินการและจัดทำเป็นเอกสารอย่างสม่ำเสมอและปลอดภัย ความล้มเหลวที่เป็นอันตรายที่ไม่ได้ทดสอบโดยการทดสอบเชิงพิสูจน์ควรได้รับการชดเชยเพื่อให้แน่ใจว่าความสมบูรณ์ด้านความปลอดภัยของ SIF จะได้รับการดูแลอย่างเพียงพอตลอดอายุการใช้งาน
การเขียนขั้นตอนการทดสอบการพิสูจน์ที่ดีต้องใช้วิธีเชิงตรรกะในการวิเคราะห์ทางวิศวกรรมของความล้มเหลวที่เป็นอันตรายที่อาจเกิดขึ้น การเลือกวิธีการ และการเขียนขั้นตอนการทดสอบการพิสูจน์ที่อยู่ในความสามารถในการทดสอบของโรงงาน ระหว่างทาง รับการซื้อจากโรงงานในทุกระดับเพื่อทำการทดสอบ และฝึกอบรมช่างเทคนิคให้ดำเนินการและบันทึกการทดสอบเพื่อพิสูจน์ รวมทั้งเข้าใจถึงความสำคัญของการทดสอบ เขียนคำแนะนำราวกับว่าคุณเป็นช่างเทคนิคเครื่องมือที่จะต้องทำงาน และชีวิตนั้นขึ้นอยู่กับการทำการทดสอบให้ถูกต้อง เพราะพวกเขาทำ
Testing sensors, logic solvers and final elements A SIF is typically divided up into three main parts, sensors, logic solvers and final elements. There also typically are auxiliary devices that can be associated within each of these three parts (e.g. I.S. barriers, trip amps, interposing relays, solenoids, etc.) that must also be tested.Sensor proof tests: The sensor proof test must ensure that the sensor can sense the process variable over its full range and transmit the proper signal to the SIS logic solver for evaluation. While not inclusive, some of the things to consider in creating the sensor portion of the proof test procedure are given in Table 1. Table 1: Sensor proof test considerations Process ports clean/process interface check, significant buildup noted Internal diagnostics check, run extended diagnostics if available Sensor calibration (5 point) with simulated process input to sensor, verified through to the DCS, drift check Trip point check High/High-High/Low/Low-Low alarms Redundancy, voting degradation Out of range, deviation, diagnostic alarms Bypass and alarms, restrike User diagnostics Transmitter Fail Safe configuration verified Test associated systems (e.g. purge, heat tracing, etc.) and auxiliary components Physical inspection Complete as-found and as-left documentation Logic solver proof test: When full-function proof testing is done, the logic solver’s part in accomplishing the SIF’s safety action and related actions (e.g. alarms, reset, bypasses, user diagnostics, redundancies, HMI, etc.) are tested. Partial or piecemeal function proof tests must accomplish all these tests as part of the individual overlapping proof tests. The logic solver manufacturer should have a recommended proof test procedure in the device safety manual. If not and as a minimum, the logic solver power should be cycled, and the logic solver diagnostic registers, status lights, power supply voltages, communication links and redundancy should be checked. These checks should be done prior to the full-function proof test.Don’t make the assumption that the software is good forever and the logic need not be tested after the initial proof test as undocumented, unauthorized and untested software and hardware changes and software updates can creep into systems over time and must be factored into your overall proof test philosophy. The management of change, maintenance, and revision logs should be reviewed to ensure they are up to date and properly maintained, and if capable, the application program should be compared to the latest backup.Care should also be taken to test all the user logic solver auxiliary and diagnostic functions (e.g. watchdogs, communication links, cybersecurity appliances, etc.).Final element proof test: Most final elements are valves, however, rotating equipment motor starters, variable-speed drives and other electrical components such as contactors and circuit breakers are also used as final elements and their failure modes must be analyzed and proof tested.The primary failure modes for valves are being stuck, response time too slow or too fast, and leakage, all of which are affected by the valve’s operating process interface at trip time. While testing the valve at operating conditions is the most desirable case, Operations would generally be opposed to tripping the SIF while the plant is operating. Most SIS valves are typically tested while the plant is down at zero differential pressure, which is the least demanding of operating conditions. The user should be aware of the worst-case operational differential pressure and the valve and process degradation effects, which should be factored into the valve and actuator design and sizing.Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).Ambient temperatures can also affect valve friction loads, so that testing valves in warm weather will generally be the least demanding friction load when compared to cold weather operation. As a result, proof testing of valves at a consistent temperature should be considered to provide consistent data for inferential testing for the determination of valve performance degradation.Valves with smart positioners or a digital valve controller generally have capability to create a valve signature that can be used to monitor degradation in valve performance. A baseline valve signature can be requested as part of your purchase order or you can create one during the initial proof test to serve as a baseline. The valve signature should be done for both opening and closing of the valve. Advanced valve diagnostic should also be used if available. This can help tell you if your valve performance is deteriorating by comparing subsequent proof test valve signatures and diagnostics with your baseline. This type of test can help compensate for not testing the valve at worst case operating pressures.The valve signature during a proof test may also be able to record the response time with time stamps, removing the need for a stopwatch. Increased response time is a sign of valve deterioration and increased friction load to move the valve. While there are no standards regarding changes in valve response time, a negative pattern of changes from proof test to proof test is indicative of the potential loss of the valve’s safety margin and performance. Modern SIS valve proof testing should include a valve signature as a matter of good engineering practice.The valve instrument air supply pressure should be measured during a proof test. While the valve spring for a spring-return valve is what closes the valve, the force or torque involved is determined by how much the valve spring is compressed by the valve supply pressure (per Hooke’s Law, F = kX). If your supply pressure is low, the spring will not compress as much, hence less force will be available to move the valve when needed. While not inclusive, some of the things to consider in creating the valve portion of the proof test procedure are given in Table 2. Table 2: Final element valve assembly considerations Test valve safety action at process operating pressure (best but typically not done), and time the valve’s response time. Verify redundancy Test valve safety action at zero differential pressure and time valve’s response time. Verify redundancy Run valve signature and diagnostics as part of proof test and compare to baseline and previous test Visually observe valve action (proper action without unusual vibration or noise, etc.). Verify the valve field and position indication on the DCS Fully stroke the valve a minimum of five times during the proof test to help ensure valve reliability. (This is not intended to fix significant degradation effects or incipient failures). Review valve maintenance records to ensure any changes meet the required valve SRS specifications Test diagnostics for energize-to-trip systems Leak test if Tight Shut Off (TSO) is required Verify the command disagree alarm functionality Inspect valve assembly and internals Remove, test and rebuild as necessary Complete as-found and as-left documentation Solenoids Evaluate venting to provide required response time Evaluate solenoid performance by a digital valve controller or smart positioner Verify redundant solenoid performance (e.g. 1oo2, 2oo3) Interposing Relays Verify correct operation, redundancy Device inspection
โดยทั่วไป SIF จะแบ่งออกเป็นสามส่วนหลัก ได้แก่ เซ็นเซอร์ ตัวแก้ปัญหาลอจิก และองค์ประกอบสุดท้าย โดยทั่วไปแล้วยังมีอุปกรณ์เสริมที่สามารถเชื่อมโยงภายในแต่ละส่วนจากสามส่วนเหล่านี้ (เช่น สิ่งกีดขวาง IS, ทริปแอมป์, รีเลย์อินเทอร์โพส, โซลินอยด์ ฯลฯ) ที่ต้องทดสอบด้วย
การทดสอบการพิสูจน์เซ็นเซอร์: การทดสอบการพิสูจน์เซ็นเซอร์ต้องแน่ใจว่าเซ็นเซอร์สามารถตรวจจับตัวแปรกระบวนการได้ตลอดช่วงเต็ม และส่งสัญญาณที่เหมาะสมไปยังตัวแก้ปัญหาลอจิก SIS เพื่อการประเมิน แม้จะไม่รวมอยู่ แต่ก็มีบางสิ่งที่ต้องพิจารณาในการสร้างส่วนเซ็นเซอร์ของขั้นตอนการทดสอบการพิสูจน์แสดงไว้ในตารางที่ 1
การทดสอบพิสูจน์ตัวแก้ปัญหาลอจิก: เมื่อการทดสอบพิสูจน์ฟังก์ชันเต็มรูปแบบเสร็จสิ้น ส่วนของตัวแก้ปัญหาลอจิกในการบรรลุการดำเนินการด้านความปลอดภัยของ SIF และการดำเนินการที่เกี่ยวข้อง (เช่น การเตือน การรีเซ็ต การบายพาส การวินิจฉัยผู้ใช้ ความซ้ำซ้อน HMI ฯลฯ) จะถูกทดสอบ การทดสอบการพิสูจน์ฟังก์ชันบางส่วนหรือทีละน้อยจะต้องผ่านการทดสอบเหล่านี้ทั้งหมดโดยเป็นส่วนหนึ่งของการทดสอบการพิสูจน์การทับซ้อนกันแต่ละรายการ ผู้ผลิตตัวแก้ปัญหาลอจิกควรมีขั้นตอนการทดสอบการพิสูจน์ที่แนะนำในคู่มือความปลอดภัยของอุปกรณ์ หากไม่เป็นเช่นนั้นและอย่างน้อยที่สุด ควรหมุนเวียนกำลังของตัวแก้ปัญหาลอจิก และรีจิสเตอร์การวินิจฉัยของตัวแก้ปัญหาลอจิก ไฟแสดงสถานะ แรงดันไฟฟ้าของแหล่งจ่ายไฟ ลิงก์การสื่อสาร และความซ้ำซ้อนควรได้รับการตรวจสอบ การตรวจสอบเหล่านี้ควรทำก่อนการทดสอบการพิสูจน์ฟังก์ชันเต็มรูปแบบ
อย่าสันนิษฐานว่าซอฟต์แวร์จะใช้งานได้ดีตลอดไป และไม่จำเป็นต้องทดสอบตรรกะหลังจากการทดสอบพิสูจน์ครั้งแรก เนื่องจากการเปลี่ยนแปลงซอฟต์แวร์และฮาร์ดแวร์ที่ไม่มีเอกสาร ไม่ได้รับอนุญาต และยังไม่ผ่านการทดสอบ และการอัพเดตซอฟต์แวร์อาจคืบคลานเข้าไปในระบบเมื่อเวลาผ่านไป และจะต้องคำนึงถึงภาพรวมของคุณ ปรัชญาการทดสอบการพิสูจน์ การจัดการบันทึกการเปลี่ยนแปลง การบำรุงรักษา และการแก้ไขควรได้รับการตรวจสอบเพื่อให้แน่ใจว่าเป็นข้อมูลล่าสุดและบำรุงรักษาอย่างเหมาะสม และหากสามารถทำได้ ควรเปรียบเทียบแอปพลิเคชันแอปพลิเคชันกับการสำรองข้อมูลล่าสุด
ควรใช้ความระมัดระวังในการทดสอบฟังก์ชันเสริมและการวินิจฉัยของตัวแก้ลอจิกผู้ใช้ทั้งหมด (เช่น โปรแกรมเฝ้าระวัง ลิงก์การสื่อสาร อุปกรณ์รักษาความปลอดภัยทางไซเบอร์ ฯลฯ)
การทดสอบพิสูจน์องค์ประกอบขั้นสุดท้าย: องค์ประกอบสุดท้ายส่วนใหญ่เป็นวาล์ว อย่างไรก็ตาม อุปกรณ์สตาร์ทมอเตอร์แบบหมุน ไดรฟ์แบบปรับความเร็วได้ และส่วนประกอบทางไฟฟ้าอื่นๆ เช่น คอนแทคเตอร์และเซอร์กิตเบรกเกอร์ก็ใช้เป็นองค์ประกอบสุดท้ายเช่นกัน และโหมดความล้มเหลวจะต้องได้รับการวิเคราะห์และทดสอบพิสูจน์
โหมดความล้มเหลวหลักสำหรับวาล์วติดอยู่ เวลาตอบสนองช้าหรือเร็วเกินไป และการรั่วไหล ซึ่งทั้งหมดนี้ได้รับผลกระทบจากอินเทอร์เฟซกระบวนการทำงานของวาล์วในเวลาการเดินทาง แม้ว่าการทดสอบวาล์วในสภาวะการทำงานจะเป็นกรณีที่พึงปรารถนามากที่สุด แต่โดยทั่วไปแล้วการปฏิบัติงานจะต่อต้านการสะดุด SIF ในขณะที่โรงงานกำลังทำงาน โดยทั่วไปแล้ว วาล์ว SIS ส่วนใหญ่จะได้รับการทดสอบในขณะที่โรงงานหยุดทำงานที่ความดันแตกต่างเป็นศูนย์ ซึ่งเป็นเงื่อนไขการทำงานที่มีความต้องการน้อยที่สุด ผู้ใช้ควรตระหนักถึงแรงดันต่างการทำงานในกรณีที่เลวร้ายที่สุด และผลกระทบจากการย่อยสลายของวาล์วและกระบวนการ ซึ่งควรคำนึงถึงการออกแบบและขนาดของวาล์วและแอคชูเอเตอร์ด้วย
Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).
อุณหภูมิโดยรอบยังส่งผลต่อภาระแรงเสียดทานของวาล์ว ดังนั้นการทดสอบวาล์วในสภาพอากาศที่อบอุ่นโดยทั่วไปจะมีภาระแรงเสียดทานที่ต้องการน้อยที่สุดเมื่อเปรียบเทียบกับการทำงานในสภาพอากาศหนาวเย็น ด้วยเหตุนี้ จึงควรพิจารณาการทดสอบการพิสูจน์วาล์วที่อุณหภูมิสม่ำเสมอเพื่อให้ข้อมูลที่สม่ำเสมอสำหรับการทดสอบเชิงอนุมานสำหรับการพิจารณาการเสื่อมประสิทธิภาพของวาล์ว
วาล์วที่มีตัวกำหนดตำแหน่งอัจฉริยะหรือตัวควบคุมวาล์วแบบดิจิทัลโดยทั่วไปมีความสามารถในการสร้างลายเซ็นวาล์วที่สามารถใช้เพื่อตรวจสอบการเสื่อมสภาพในประสิทธิภาพของวาล์ว คุณสามารถขอลายเซ็นวาล์วพื้นฐานเป็นส่วนหนึ่งของใบสั่งซื้อของคุณ หรือคุณสามารถสร้างลายเซ็นในระหว่างการทดสอบการพิสูจน์เริ่มแรกเพื่อใช้เป็นข้อมูลพื้นฐาน ควรทำลายเซ็นวาล์วทั้งการเปิดและปิดวาล์ว ควรใช้การวินิจฉัยวาล์วขั้นสูงหากมี สิ่งนี้สามารถช่วยบอกคุณได้ว่าประสิทธิภาพของวาล์วของคุณลดลงหรือไม่โดยการเปรียบเทียบลายเซ็นและการวินิจฉัยของวาล์วทดสอบที่ตามมาและการวินิจฉัยกับค่าพื้นฐานของคุณ การทดสอบประเภทนี้สามารถช่วยชดเชยการไม่ทดสอบวาล์วที่แรงดันใช้งานในกรณีที่เลวร้ายที่สุด
ลายเซ็นวาล์วระหว่างการทดสอบพิสูจน์อาจสามารถบันทึกเวลาตอบสนองด้วยการประทับเวลาได้ โดยไม่ต้องใช้นาฬิกาจับเวลา เวลาตอบสนองที่เพิ่มขึ้นเป็นสัญญาณของการเสื่อมสภาพของวาล์วและภาระแรงเสียดทานที่เพิ่มขึ้นในการเคลื่อนย้ายวาล์ว แม้ว่าจะไม่มีมาตรฐานเกี่ยวกับการเปลี่ยนแปลงเวลาตอบสนองของวาล์ว แต่รูปแบบเชิงลบของการเปลี่ยนแปลงจากการทดสอบการพิสูจน์ไปสู่การทดสอบการพิสูจน์นั้นบ่งชี้ถึงการสูญเสียขอบเขตความปลอดภัยของวาล์วและประสิทธิภาพของวาล์ว การทดสอบการพิสูจน์วาล์ว SIS สมัยใหม่ควรมีลายเซ็นของวาล์วเป็นแนวทางปฏิบัติทางวิศวกรรมที่ดี
ควรวัดแรงดันการจ่ายอากาศของอุปกรณ์วาล์วในระหว่างการทดสอบพิสูจน์หลักฐาน ในขณะที่สปริงวาล์วสำหรับวาล์วสปริง-กลับคือสิ่งที่ปิดวาล์ว แรงหรือแรงบิดที่เกี่ยวข้องจะถูกกำหนดโดยจำนวนสปริงวาล์วที่ถูกบีบอัดโดยแรงดันจ่ายของวาล์ว (ตามกฎของฮุค, F = kX) หากแรงดันจ่ายของคุณต่ำ สปริงจะไม่บีบอัดมากนัก จึงมีแรงในการเคลื่อนวาล์วน้อยลงเมื่อจำเป็น แม้จะไม่รวมอยู่ แต่ก็มีบางสิ่งที่ต้องพิจารณาในการสร้างส่วนวาล์วของขั้นตอนการทดสอบการพิสูจน์แสดงไว้ในตารางที่ 2
เวลาโพสต์: 13 พ.ย. 2019