يُعد اختبار الإثبات جزءًا لا يتجزأ من الحفاظ على سلامة أنظمة السلامة المُجهزة بأجهزة (SIS) والأنظمة المتعلقة بها (مثل أجهزة الإنذار الحرجة، وأنظمة الحريق والغاز، وأنظمة القفل المُجهزة بأجهزة، وغيرها). ويُجرى اختبار الإثبات دوريًا للكشف عن الأعطال الخطيرة، واختبار وظائف السلامة (مثل إعادة الضبط، والتجاوزات، وأجهزة الإنذار، والتشخيصات، والإغلاق اليدوي، وغيرها)، والتأكد من استيفاء النظام لمعايير الشركة والمعايير الخارجية. كما تُمثل نتائج اختبار الإثبات مقياسًا لفعالية برنامج السلامة الميكانيكية لنظام SIS وموثوقية النظام ميدانيًا.
تشمل إجراءات اختبار الإثبات خطوات الاختبار من الحصول على التصاريح، وإرسال الإخطارات وإخراج النظام من الخدمة للاختبار إلى ضمان الاختبار الشامل، وتوثيق اختبار الإثبات ونتائجه، وإعادة النظام إلى الخدمة، وتقييم نتائج الاختبار الحالية ونتائج اختبار الإثبات السابقة.
يغطي البند 16 من معيار ANSI/ISA/IEC 61511-1 اختبار إثبات أنظمة السلامة الآلية (SIS). ويغطي التقرير الفني لـ ISA رقم TR84.00.03 - "السلامة الميكانيكية لأنظمة السلامة الآلية (SIS)" - اختبار الإثبات، وهو قيد المراجعة حاليًا، ومن المتوقع صدور نسخة جديدة قريبًا. ويجري حاليًا تطوير التقرير الفني لـ ISA رقم TR96.05.02 - "اختبار الإثبات في الموقع للصمامات الآلية".
يقدم تقرير هيئة الصحة والسلامة في المملكة المتحدة CRR 428/2002 - "مبادئ اختبار الإثبات لأنظمة الأجهزة الأمنية في الصناعة الكيميائية" معلومات حول اختبار الإثبات وما تفعله الشركات في المملكة المتحدة.
يعتمد إجراء اختبار الإثبات على تحليل أوضاع الفشل الخطيرة المعروفة لكل مكون من مكونات مسار رحلة وظيفة السلامة الآلية (SIF)، ووظيفة SIF كنظام، وكيفية (وإن وُجد) اختبار وضع الفشل الخطير. يجب أن يبدأ تطوير الإجراء في مرحلة تصميم SIF بتصميم النظام، واختيار المكونات، وتحديد متى وكيف يتم اختبار الإثبات. تتميز أجهزة SIS بدرجات متفاوتة من صعوبة اختبار الإثبات التي يجب مراعاتها في تصميم SIF وتشغيله وصيانته. على سبيل المثال، يكون اختبار عدادات الفتحات وأجهزة إرسال الضغط أسهل من اختبار مقاييس تدفق كتلة كوريوليس، أو عدادات المغناطيسية، أو مستشعرات مستوى الرادار عبر الهواء. يمكن أن يؤثر تصميم التطبيق والصمام أيضًا على شمولية اختبار إثبات الصمام لضمان ألا تؤدي الأعطال الخطيرة والناشئة الناتجة عن التدهور أو الانسداد أو الأعطال المرتبطة بالوقت إلى فشل حرج خلال فترة الاختبار المحددة.
بينما تُطوَّر إجراءات اختبار الإثبات عادةً خلال مرحلة هندسة SIF، ينبغي أيضًا مراجعتها من قِبل الهيئة الفنية SIS في الموقع، وقسم العمليات، وفنيي الأجهزة الذين سيجرون الاختبار. كما ينبغي إجراء تحليل سلامة العمل (JSA). من المهم الحصول على موافقة المصنع على الاختبارات التي سيتم إجراؤها وتوقيتها، وجدواها المادية والسلامة. على سبيل المثال، لا جدوى من تحديد اختبار الشوط الجزئي عندما لا توافق مجموعة العمليات على إجرائه. يُوصى أيضًا بمراجعة إجراءات اختبار الإثبات من قِبل خبير متخصص مستقل (SME). يوضح الشكل 1 الاختبارات النموذجية المطلوبة لاختبار إثبات كامل الوظيفة.
متطلبات اختبار إثبات الوظيفة الكاملة الشكل 1: يجب أن توضح مواصفات اختبار إثبات الوظيفة الكاملة لوظيفة الأجهزة الآمنة (SIF) ونظام الأجهزة الآمنة (SIS) الخاص بها أو تشير إلى الخطوات بالتسلسل من تحضيرات الاختبار وإجراءات الاختبار إلى الإخطارات والتوثيق.
الشكل 1: يجب أن توضح مواصفات اختبار إثبات الوظيفة الكاملة لوظيفة الأجهزة الآمنة (SIF) ونظام الأجهزة الآمنة (SIS) الخاص بها أو تشير إلى الخطوات بالتسلسل من تحضيرات الاختبار وإجراءات الاختبار إلى الإخطارات والتوثيق.
اختبار الإثبات هو إجراء صيانة مُخطط له، يُنفَّذ بواسطة فريق مؤهل مُدرَّب على اختبار نظام SIS، وإجراءات الإثبات، وحلقات SIS التي سيختبرونها. يجب إجراء جولة تعريفية شاملة للإجراءات قبل إجراء اختبار الإثبات الأولي، وتقديم الملاحظات إلى الهيئة الفنية لنظام SIS في الموقع بعد ذلك لإجراء التحسينات أو التصحيحات.
هناك وضعان رئيسيان للفشل (آمن وخطير)، يُقسَّمان إلى أربعة أوضاع: خطير غير مُكتَشَف، وخطير مُكتَشَف (عن طريق التشخيص)، وآمن غير مُكتَشَف، وآمن مُكتَشَف. يُستخدم مصطلحا الفشل الخطير والخطير غير المُكتَشَف بالتبادل في هذه المقالة.
في اختبار إثبات SIF، نركز بشكل أساسي على أنماط الأعطال الخطيرة غير المكتشفة، ولكن إذا وُجدت تشخيصات للمستخدم تكشف عن أعطال خطيرة، فيجب اختبار هذه التشخيصات. تجدر الإشارة إلى أنه بخلاف تشخيصات المستخدم، لا يمكن عادةً التحقق من صحة التشخيصات الداخلية للجهاز من قِبل المستخدم، وهذا قد يؤثر على فلسفة اختبار الإثبات. عند احتساب قيمة التشخيصات في حسابات SIL، يجب اختبار إنذارات التشخيص (مثل إنذارات الخروج عن النطاق) كجزء من اختبار الإثبات.
يمكن تقسيم أنماط الفشل إلى أنماط تم اختبارها أثناء اختبار الإثبات، وأنماط لم يتم اختبارها، وأعطال ناشئة أو أعطال مرتبطة بالوقت. قد لا يتم اختبار بعض أنماط الفشل الخطيرة مباشرةً لأسباب مختلفة (مثل الصعوبة، أو القرارات الهندسية أو التشغيلية، أو الجهل، أو عدم الكفاءة، أو الأخطاء المنهجية الناتجة عن الإهمال أو الإهمال، أو انخفاض احتمالية حدوثها، إلخ). في حال وجود أنماط فشل معروفة لن يتم اختبارها، يجب تعويضها في تصميم الجهاز، وإجراءات الاختبار، واستبداله أو إعادة بنائه دوريًا، و/أو إجراء اختبار استدلالي لتقليل تأثير عدم الاختبار على سلامة SIF.
العطل الوشيك هو حالة أو وضع متدهور يُتوقع فيه حدوث عطل حرج وخطير إذا لم تُتخذ إجراءات تصحيحية في الوقت المناسب. عادةً ما تُكتشف هذه الأعطال بمقارنة الأداء باختبارات الإثبات المعيارية الحديثة أو الأولية (مثل بصمات الصمامات أو أوقات استجابة الصمامات) أو بالفحص (مثل انسداد منفذ عملية). عادةً ما تكون الأعطال الوشيكة مرتبطة بالوقت - فكلما طالت مدة تشغيل الجهاز أو التجميع، زاد تدهوره؛ وتزداد احتمالية حدوث ظروف تُسهّل حدوث عطل عشوائي، مثل انسداد منفذ العملية أو تراكم المستشعرات بمرور الوقت، أو انتهاء العمر الافتراضي، وما إلى ذلك. لذلك، كلما طالت فترة اختبار الإثبات، زاد احتمال حدوث عطل وشيك أو مرتبط بالوقت. يجب أيضًا اختبار أي حماية ضد الأعطال الوشيكة (تطهير المنفذ، والتتبع الحراري، وما إلى ذلك).
يجب كتابة الإجراءات لاختبار الإثبات للكشف عن الأعطال الخطيرة (غير المكتشفة). تساعد تقنيات تحليل نمط الفشل وتأثيره (FMEA) أو تحليل نمط الفشل وتأثيره وتشخيصه (FMEDA) في تحديد الأعطال الخطيرة غير المكتشفة، وتحديد المجالات التي يجب فيها تحسين تغطية اختبار الإثبات.
تُكتب العديد من إجراءات اختبار الإثبات بناءً على الخبرة والنماذج المُستمدة من الإجراءات الحالية. تتطلب الإجراءات الجديدة وأنظمة SIF الأكثر تعقيدًا نهجًا هندسيًا أكثر دقة باستخدام تحليل FMEA/FMEDA لتحليل الأعطال الخطيرة، وتحديد كيفية اختبار إجراء الاختبار لتلك الأعطال، ونطاق الاختبارات. يوضح الشكل 2 مخططًا كتليًا لتحليل نمط الفشل على المستوى الكلي لأحد المستشعرات. عادةً ما يُجرى تحليل FMEA مرة واحدة فقط لنوع معين من الأجهزة، ويُعاد استخدامه لأجهزة مماثلة مع مراعاة إمكانيات خدمة العملية والتركيب واختبار الموقع.
تحليل الفشل على المستوى الكلي الشكل 2: يوضح مخطط كتلة تحليل نمط الفشل على المستوى الكلي لجهاز استشعار وناقل ضغط (PT) الوظائف الرئيسية التي سيتم تقسيمها عادةً إلى تحليلات فشل دقيقة متعددة لتحديد حالات الفشل المحتملة التي يجب معالجتها في اختبارات الوظائف بشكل كامل.
الشكل 2: يوضح مخطط تحليل نمط الفشل على المستوى الكلي لجهاز استشعار وناقل ضغط (PT) الوظائف الرئيسية التي سيتم تقسيمها عادةً إلى تحليلات فشل دقيقة متعددة لتحديد حالات الفشل المحتملة التي يجب معالجتها في اختبارات الوظائف بشكل كامل.
تُسمى نسبة الأعطال المعروفة والخطيرة وغير المكتشفة التي تخضع لاختبارات الإثبات بتغطية اختبار الإثبات (PTC). تُستخدم PTC عادةً في حسابات SIL لتعويض الفشل في اختبار SIF بشكل أكثر شمولاً. يعتقد البعض خطأً أنه بمراعاة نقص تغطية الاختبار في حساب SIL، فقد صمموا SIF موثوقًا. الحقيقة البسيطة هي أنه إذا كانت تغطية الاختبار لديك 75%، وإذا أخذت هذا الرقم في الاعتبار في حساب SIL واختبرت أشياءً تختبرها بالفعل بشكل متكرر، فإن 25% من الأعطال الخطيرة لا تزال تحدث إحصائيًا. أنا بالتأكيد لا أريد أن أكون ضمن هذه النسبة 25%.
عادةً ما توفر تقارير اعتماد FMEDA وأدلة السلامة للأجهزة إجراءً لاختبار الإثبات الأدنى وتغطيةً له. هذه الأدلة إرشادية فقط، وليست شاملةً لجميع خطوات الاختبار اللازمة لإجراء اختبار إثبات شامل. كما تُستخدم أنواع أخرى من تحليل الأعطال، مثل تحليل شجرة الأعطال والصيانة المتمركزة حول الموثوقية، لتحليل الأعطال الخطيرة.
يمكن تقسيم اختبارات الإثبات إلى اختبارات وظيفية كاملة (من البداية إلى النهاية) أو اختبارات وظيفية جزئية (الشكل 3). يُجرى الاختبار الوظيفي الجزئي عادةً عندما تختلف فترات اختبار مكونات SIF في حسابات SIL، والتي لا تتوافق مع عمليات الإغلاق أو عمليات إعادة التشغيل المخطط لها. من المهم أن تتداخل إجراءات اختبار الإثبات الوظيفي الجزئي بحيث تختبر معًا جميع وظائف السلامة في SIF. مع الاختبار الوظيفي الجزئي، يُوصى بإجراء اختبار إثبات أولي شامل لـ SIF، واختبارات لاحقة أثناء عمليات إعادة التشغيل.
يجب أن تتراكم اختبارات الإثبات الجزئية (الشكل 3): يجب أن تغطي اختبارات الإثبات الجزئية المجمعة (أسفل) جميع وظائف اختبار الإثبات الوظيفي الكامل (أعلى).
الشكل 3: يجب أن تغطي اختبارات الإثبات الجزئية المجمعة (أسفل) جميع وظائف اختبار الإثبات الوظيفي الكامل (أعلى).
اختبار الإثبات الجزئي يختبر نسبة مئوية فقط من حالات فشل الجهاز. ومن الأمثلة الشائعة على ذلك اختبار الصمام ذي الشوط الجزئي، حيث يُحرك الصمام قليلاً (10-20%) للتحقق من عدم انحشاره. يغطي هذا الاختبار نطاقًا أقل من اختبار الإثبات في فترة الاختبار الأساسية.
يمكن أن تختلف إجراءات اختبار الإثبات في التعقيد مع تعقيد SIF وفلسفة إجراءات اختبار الشركة. تكتب بعض الشركات إجراءات اختبار مفصلة خطوة بخطوة، بينما يكون لدى البعض الآخر إجراءات موجزة إلى حد ما. تُستخدم أحيانًا الإشارات إلى إجراءات أخرى، مثل المعايرة القياسية، لتقليل حجم إجراء اختبار الإثبات وللمساعدة في ضمان الاتساق في الاختبار. يجب أن يوفر إجراء اختبار الإثبات الجيد تفاصيل كافية لضمان إنجاز جميع الاختبارات وتوثيقها بشكل صحيح، ولكن ليس الكثير من التفاصيل التي تدفع الفنيين إلى الرغبة في تخطي الخطوات. يمكن أن يساعد قيام الفني، المسؤول عن إجراء خطوة الاختبار، بالتوقيع على خطوة الاختبار المكتملة في ضمان إجراء الاختبار بشكل صحيح. كما أن توقيع مشرف الجهاز وممثلي العمليات على اختبار الإثبات المكتمل سيؤكد أيضًا على أهمية اختبار الإثبات المكتمل ويضمن إكماله بشكل صحيح.
ينبغي دائمًا طلب رأي الفنيين للمساعدة في تحسين الإجراء. يعتمد نجاح إجراء اختبار الإثبات بشكل كبير على جهود الفنيين، لذا يُنصح بشدة ببذل جهد تعاوني.
عادةً ما تُجرى معظم اختبارات الإثبات دون اتصال بالإنترنت أثناء إيقاف التشغيل أو إعادة التشغيل. في بعض الحالات، قد يلزم إجراء اختبار الإثبات عبر الإنترنت أثناء التشغيل لتلبية حسابات مستوى سلامة المنتج (SIL) أو متطلبات أخرى. يتطلب الاختبار عبر الإنترنت التخطيط والتنسيق مع قسم العمليات لضمان إجراء اختبار الإثبات بأمان، دون أي خلل في العملية، ودون التسبب في انقطاع غير متوقع. يكفي انقطاع غير متوقع واحد فقط لاستنفاد جميع فرصك. خلال هذا النوع من الاختبارات، عندما لا يكون نظام SIF جاهزًا بالكامل لأداء مهمة السلامة الخاصة به، ينص البند 11.8.5 من المادة 61511-1 على أنه "يجب توفير تدابير تعويضية تضمن استمرار التشغيل الآمن وفقًا للبند 11.3 عندما يكون نظام SIS في مرحلة تجاوز (إصلاح أو اختبار)". يجب أن يُرافق إجراء اختبار الإثبات إجراء لإدارة الحالات غير الطبيعية للمساعدة في ضمان تنفيذه بشكل صحيح.
يُقسّم SIF عادةً إلى ثلاثة أجزاء رئيسية: المستشعرات، والمحللات المنطقية، والعناصر النهائية. كما توجد عادةً أجهزة مساعدة يمكن ربطها بكلٍّ من هذه الأجزاء الثلاثة (مثل حواجز IS، ومضخمات الانطلاق، والمرحلات البينية، والملفات اللولبية، إلخ) والتي يجب اختبارها أيضًا. يمكن الاطلاع على الجوانب الأساسية لاختبار كلٍّ من هذه التقنيات في الشريط الجانبي "اختبار المستشعرات، والمحللات المنطقية، والعناصر النهائية" (أدناه).
بعض الأشياء أسهل في اختبارها من غيرها. العديد من تقنيات التدفق والمستوى الحديثة، وبعضها قديم، تندرج ضمن فئة التقنيات الأكثر صعوبة. وتشمل هذه التقنيات مقاييس تدفق كوريوليس، ومقاييس الدوامات، ومقاييس المغناطيسية، والرادار الجوي، ومقاييس المستوى بالموجات فوق الصوتية، ومفاتيح العمليات في الموقع، على سبيل المثال لا الحصر. ولحسن الحظ، أصبح العديد منها الآن مزودًا بتشخيصات مُحسّنة تُتيح اختبارات أفضل.
يجب مراعاة صعوبة اختبار مثل هذا الجهاز ميدانيًا عند تصميم SIF. من السهل على المهندسين اختيار أجهزة SIF دون دراسة جادة لما يتطلبه اختبار الجهاز، لأنهم لن يكونوا هم من يختبرها. ينطبق هذا أيضًا على اختبار الشوط الجزئي، وهو طريقة شائعة لتحسين متوسط احتمالية فشل SIF عند الطلب (PFDavg)، ولكن لاحقًا، لا ترغب عمليات المصنع في القيام بذلك، وقد لا ترغب في ذلك في كثير من الأحيان. يجب دائمًا توفير إشراف المصنع على هندسة SIF فيما يتعلق باختبارات الإثبات.
يجب أن يشمل اختبار الإثبات فحص تركيب وحدة SIF وإصلاحها حسب الحاجة وفقًا للبند 16.3.2 من المادة 61511-1. ويجب إجراء فحص نهائي للتأكد من سلامة كل شيء، والتحقق مرة أخرى من إعادة وحدة SIF إلى الخدمة بشكل صحيح.
يُعدّ وضع وتنفيذ إجراء اختبار جيد خطوةً مهمةً لضمان سلامة أداة SIF طوال عمرها الافتراضي. يجب أن يُوفّر إجراء الاختبار تفاصيل كافية لضمان إجراء الاختبارات المطلوبة بشكل متسق وآمن وتوثيقها. يجب تعويض الأعطال الخطيرة التي لم تُختبر باختبارات الإثبات لضمان الحفاظ على سلامة أداة SIF بشكل كافٍ طوال عمرها الافتراضي.
يتطلب كتابة إجراء اختبار إثبات جيد اتباع نهج منطقي في التحليل الهندسي للأعطال الخطيرة المحتملة، واختيار الوسائل، وكتابة خطوات اختبار الإثبات التي تقع ضمن إمكانيات الاختبار في المصنع. وخلال هذه العملية، احصل على موافقة المصنع على جميع مستويات الاختبار، ودرّب الفنيين على إجراء اختبار الإثبات وتوثيقه، بالإضافة إلى فهم أهمية الاختبار. اكتب التعليمات كما لو كنت فني الأجهزة الذي سيتولى العمل، وأن حياة الناس تعتمد على إجراء الاختبار بشكل صحيح، لأنهم يفعلون ذلك.
Testing sensors, logic solvers and final elements A SIF is typically divided up into three main parts, sensors, logic solvers and final elements. There also typically are auxiliary devices that can be associated within each of these three parts (e.g. I.S. barriers, trip amps, interposing relays, solenoids, etc.) that must also be tested.Sensor proof tests: The sensor proof test must ensure that the sensor can sense the process variable over its full range and transmit the proper signal to the SIS logic solver for evaluation. While not inclusive, some of the things to consider in creating the sensor portion of the proof test procedure are given in Table 1. Table 1: Sensor proof test considerations Process ports clean/process interface check, significant buildup noted Internal diagnostics check, run extended diagnostics if available Sensor calibration (5 point) with simulated process input to sensor, verified through to the DCS, drift check Trip point check High/High-High/Low/Low-Low alarms Redundancy, voting degradation Out of range, deviation, diagnostic alarms Bypass and alarms, restrike User diagnostics Transmitter Fail Safe configuration verified Test associated systems (e.g. purge, heat tracing, etc.) and auxiliary components Physical inspection Complete as-found and as-left documentation Logic solver proof test: When full-function proof testing is done, the logic solver’s part in accomplishing the SIF’s safety action and related actions (e.g. alarms, reset, bypasses, user diagnostics, redundancies, HMI, etc.) are tested. Partial or piecemeal function proof tests must accomplish all these tests as part of the individual overlapping proof tests. The logic solver manufacturer should have a recommended proof test procedure in the device safety manual. If not and as a minimum, the logic solver power should be cycled, and the logic solver diagnostic registers, status lights, power supply voltages, communication links and redundancy should be checked. These checks should be done prior to the full-function proof test.Don’t make the assumption that the software is good forever and the logic need not be tested after the initial proof test as undocumented, unauthorized and untested software and hardware changes and software updates can creep into systems over time and must be factored into your overall proof test philosophy. The management of change, maintenance, and revision logs should be reviewed to ensure they are up to date and properly maintained, and if capable, the application program should be compared to the latest backup.Care should also be taken to test all the user logic solver auxiliary and diagnostic functions (e.g. watchdogs, communication links, cybersecurity appliances, etc.).Final element proof test: Most final elements are valves, however, rotating equipment motor starters, variable-speed drives and other electrical components such as contactors and circuit breakers are also used as final elements and their failure modes must be analyzed and proof tested.The primary failure modes for valves are being stuck, response time too slow or too fast, and leakage, all of which are affected by the valve’s operating process interface at trip time. While testing the valve at operating conditions is the most desirable case, Operations would generally be opposed to tripping the SIF while the plant is operating. Most SIS valves are typically tested while the plant is down at zero differential pressure, which is the least demanding of operating conditions. The user should be aware of the worst-case operational differential pressure and the valve and process degradation effects, which should be factored into the valve and actuator design and sizing.Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).Ambient temperatures can also affect valve friction loads, so that testing valves in warm weather will generally be the least demanding friction load when compared to cold weather operation. As a result, proof testing of valves at a consistent temperature should be considered to provide consistent data for inferential testing for the determination of valve performance degradation.Valves with smart positioners or a digital valve controller generally have capability to create a valve signature that can be used to monitor degradation in valve performance. A baseline valve signature can be requested as part of your purchase order or you can create one during the initial proof test to serve as a baseline. The valve signature should be done for both opening and closing of the valve. Advanced valve diagnostic should also be used if available. This can help tell you if your valve performance is deteriorating by comparing subsequent proof test valve signatures and diagnostics with your baseline. This type of test can help compensate for not testing the valve at worst case operating pressures.The valve signature during a proof test may also be able to record the response time with time stamps, removing the need for a stopwatch. Increased response time is a sign of valve deterioration and increased friction load to move the valve. While there are no standards regarding changes in valve response time, a negative pattern of changes from proof test to proof test is indicative of the potential loss of the valve’s safety margin and performance. Modern SIS valve proof testing should include a valve signature as a matter of good engineering practice.The valve instrument air supply pressure should be measured during a proof test. While the valve spring for a spring-return valve is what closes the valve, the force or torque involved is determined by how much the valve spring is compressed by the valve supply pressure (per Hooke’s Law, F = kX). If your supply pressure is low, the spring will not compress as much, hence less force will be available to move the valve when needed. While not inclusive, some of the things to consider in creating the valve portion of the proof test procedure are given in Table 2. Table 2: Final element valve assembly considerations Test valve safety action at process operating pressure (best but typically not done), and time the valve’s response time. Verify redundancy Test valve safety action at zero differential pressure and time valve’s response time. Verify redundancy Run valve signature and diagnostics as part of proof test and compare to baseline and previous test Visually observe valve action (proper action without unusual vibration or noise, etc.). Verify the valve field and position indication on the DCS Fully stroke the valve a minimum of five times during the proof test to help ensure valve reliability. (This is not intended to fix significant degradation effects or incipient failures). Review valve maintenance records to ensure any changes meet the required valve SRS specifications Test diagnostics for energize-to-trip systems Leak test if Tight Shut Off (TSO) is required Verify the command disagree alarm functionality Inspect valve assembly and internals Remove, test and rebuild as necessary Complete as-found and as-left documentation Solenoids Evaluate venting to provide required response time Evaluate solenoid performance by a digital valve controller or smart positioner Verify redundant solenoid performance (e.g. 1oo2, 2oo3) Interposing Relays Verify correct operation, redundancy Device inspection
يُقسّم SIF عادةً إلى ثلاثة أجزاء رئيسية: المستشعرات، ومُحِلات المنطق، والعناصر النهائية. كما توجد عادةً أجهزة مساعدة يُمكن ربطها بكلٍّ من هذه الأجزاء الثلاثة (مثل حواجز IS، ومُضخِّمات الانطلاق، والمُرحِّلات البينية، والملفات اللولبية، وغيرها) والتي يجب اختبارها أيضًا.
اختبارات إثبات المستشعر: يجب أن يضمن اختبار إثبات المستشعر قدرة المستشعر على استشعار متغير العملية على كامل نطاقه، وإرسال الإشارة الصحيحة إلى مُحلِّل منطق SIS للتقييم. مع أن هذا ليس شاملاً، إلا أن بعض الأمور التي يجب مراعاتها عند إعداد جزء المستشعر من إجراء اختبار الإثبات مُوضَّحة في الجدول 1.
اختبار إثبات الحل المنطقي: عند إجراء اختبار إثبات الوظيفة الكاملة، يُختبر دور الحل المنطقي في تنفيذ إجراءات السلامة الخاصة بـ SIF والإجراءات ذات الصلة (مثل الإنذارات، وإعادة الضبط، والتجاوزات، وتشخيصات المستخدم، والتكرار، وواجهة الآلة البشرية، إلخ). يجب أن تُنجز اختبارات إثبات الوظيفة الجزئية أو المُجزأة جميع هذه الاختبارات كجزء من اختبارات الإثبات المتداخلة الفردية. يجب أن يُوصي مُصنّع الحل المنطقي بإجراء اختبار إثبات في دليل سلامة الجهاز. إذا لم يكن الأمر كذلك، فيجب، كحد أدنى، إعادة تشغيل طاقة الحل المنطقي، والتحقق من سجلات تشخيص الحل المنطقي، وأضواء الحالة، وفولتية مصدر الطاقة، ووصلات الاتصال، والتكرار. يجب إجراء هذه الفحوصات قبل اختبار إثبات الوظيفة الكاملة.
لا تفترض أن البرنامج صالح للأبد، وأن المنطق لا يحتاج إلى اختبار بعد اختبار الإثبات الأولي، إذ إن تغييرات وتحديثات البرامج والأجهزة غير الموثقة وغير المصرح بها وغير المختبرة قد تتسلل إلى الأنظمة بمرور الوقت، ويجب أخذها في الاعتبار عند تطبيق استراتيجية اختبار الإثبات العامة. يجب مراجعة إدارة سجلات التغيير والصيانة والمراجعة لضمان تحديثها وصيانتها بشكل صحيح، وإذا لزم الأمر، يجب مقارنة برنامج التطبيق بأحدث نسخة احتياطية.
ويجب أيضًا الحرص على اختبار جميع وظائف المساعدة والتشخيصية لحل منطق المستخدم (على سبيل المثال، أجهزة المراقبة، وروابط الاتصال، وأجهزة الأمن السيبراني، وما إلى ذلك).
اختبار إثبات العنصر النهائي: معظم العناصر النهائية عبارة عن صمامات، ومع ذلك، يتم استخدام مشغلات محركات المعدات الدوارة ومحركات السرعة المتغيرة والمكونات الكهربائية الأخرى مثل الملامسات وقواطع الدائرة أيضًا كعناصر نهائية ويجب تحليل أوضاع فشلها واختبارها.
تشمل حالات الفشل الرئيسية للصمامات الانسداد، وبطء أو سرعة الاستجابة، والتسرب، وجميعها تتأثر بواجهة عملية تشغيل الصمام عند وقت الفصل. مع أن اختبار الصمام في ظروف التشغيل هو الحالة الأمثل، إلا أن قسم العمليات يُعارض عمومًا فصل صمام SIF أثناء تشغيل المصنع. عادةً ما تُختبر معظم صمامات SIS أثناء توقف المصنع عند ضغط تفاضلي صفري، وهو أقل ظروف التشغيل صعوبة. يجب أن يكون المستخدم على دراية بأسوأ ظروف ضغط التشغيل التفاضلي وتأثيرات تدهور الصمام والعملية، والتي يجب أخذها في الاعتبار عند تصميم الصمام والمشغل وتحديد حجمه.
Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).
يمكن أن تؤثر درجات الحرارة المحيطة أيضًا على أحمال احتكاك الصمامات، لذا فإن اختبار الصمامات في الطقس الدافئ عادةً ما يكون الأقل تطلبًا لأحمال الاحتكاك مقارنةً بتشغيلها في الطقس البارد. لذلك، ينبغي مراعاة اختبار مقاومة الصمامات عند درجة حرارة ثابتة لتوفير بيانات متسقة للاختبار الاستدلالي لتحديد تدهور أداء الصمام.
الصمامات المزوّدة بمواضع ذكية أو وحدة تحكم رقمية للصمامات تتمتع عادةً بالقدرة على إنشاء بصمة صمام تُستخدم لمراقبة تدهور أدائها. يمكن طلب بصمة صمام أساسية كجزء من طلب الشراء، أو إنشاء واحدة خلال اختبار الإثبات الأولي لتكون بمثابة بصمة أساسية. يجب إجراء بصمة الصمام عند فتح الصمام وإغلاقه. كما يجب استخدام التشخيص المتقدم للصمام، إن وُجد، لتحديد ما إذا كان أداء الصمام يتدهور من خلال مقارنة بصمات الصمام وتشخيصاته اللاحقة مع بصمة الصمام الأساسية. يُساعد هذا النوع من الاختبارات في تعويض عدم اختبار الصمام في أسوأ ظروف ضغط التشغيل.
قد يكون توقيع الصمام أثناء اختبار الإثبات قادرًا أيضًا على تسجيل وقت الاستجابة باستخدام طوابع زمنية، مما يُغني عن استخدام ساعة إيقاف. يُعدّ ازدياد وقت الاستجابة علامة على تلف الصمام وزيادة حمل الاحتكاك لتحريكه. وبينما لا توجد معايير بشأن التغيرات في وقت استجابة الصمام، فإنّ النمط السلبي للتغيرات من اختبار إثبات إلى آخر يُشير إلى احتمال فقدان هامش أمان الصمام وأدائه. ينبغي أن يتضمن اختبار إثبات صمامات SIS الحديث توقيع الصمام كأحد الممارسات الهندسية الجيدة.
يجب قياس ضغط إمداد هواء جهاز الصمام أثناء اختبار الإثبات. في حين أن زنبرك الصمام في صمامات الإرجاع الزنبركية هو ما يُغلق الصمام، فإن القوة أو عزم الدوران المُستخدم يُحدد بمقدار انضغاط زنبرك الصمام بواسطة ضغط إمداد الصمام (وفقًا لقانون هوك، F = kX). إذا كان ضغط الإمداد منخفضًا، فلن ينضغط الزنبرك بنفس القدر، وبالتالي ستكون القوة المتاحة لتحريك الصمام عند الحاجة أقل. مع أن هذا غير شامل، إلا أن بعض الأمور التي يجب مراعاتها عند إعداد جزء الصمام من إجراء اختبار الإثبات مُبينة في الجدول 2.
وقت النشر: ١٣ نوفمبر ٢٠١٩