Die Wiederholungsprüfung ist ein integraler Bestandteil der Aufrechterhaltung der Sicherheitsintegrität unserer Sicherheitssysteme (SIS) und sicherheitsrelevanten Systeme (z. B. kritische Alarme, Brand- und Gassysteme, instrumentierte Verriegelungssysteme usw.). Eine Wiederholungsprüfung ist eine regelmäßige Prüfung zur Erkennung gefährlicher Fehler, zur Prüfung sicherheitsrelevanter Funktionen (z. B. Zurücksetzen, Bypass, Alarme, Diagnose, manuelle Abschaltung usw.) und zur Sicherstellung der Einhaltung unternehmenseigener und externer Standards. Die Ergebnisse der Wiederholungsprüfung sind zudem ein Maß für die Wirksamkeit des SIS-Programms zur mechanischen Integrität und die Zuverlässigkeit des Systems im Einsatz.
Die Proof-Test-Verfahren umfassen Testschritte vom Einholen von Genehmigungen, der Meldung und Außerbetriebnahme des Systems für Tests bis hin zur Sicherstellung umfassender Tests, der Dokumentation des Proof-Tests und seiner Ergebnisse, der Wiederinbetriebnahme des Systems und der Auswertung der aktuellen Testergebnisse und der Ergebnisse früherer Proof-Tests.
ANSI/ISA/IEC 61511-1, Abschnitt 16, behandelt die SIS-Prüfung. Der technische Bericht TR84.00.03 der ISA – „Mechanische Integrität von sicherheitsgerichteten Systemen (SIS)“ behandelt die Prüfung und wird derzeit überarbeitet. Eine neue Version wird in Kürze erwartet. Der technische Bericht TR96.05.02 der ISA – „In-situ-Prüfung von automatisierten Ventilen“ befindet sich derzeit in der Entwicklung.
Der britische HSE-Bericht CRR 428/2002 – „Grundsätze für die Abnahmeprüfung von Sicherheitsinstrumentensystemen in der chemischen Industrie“ bietet Informationen zu Abnahmeprüfungen und den Maßnahmen der Unternehmen in Großbritannien.
Ein Proof-Test-Verfahren basiert auf einer Analyse der bekannten gefährlichen Ausfallarten für jede Komponente im Auslösepfad der sicherheitstechnischen Funktion (SIF), der SIF-Funktionalität als System und der Frage, wie (und ob) auf die gefährliche Ausfallart geprüft wird. Die Verfahrensentwicklung sollte in der SIF-Designphase mit dem Systemdesign, der Auswahl der Komponenten und der Festlegung von Zeitpunkt und Art des Proof-Tests beginnen. SIS-Instrumente weisen unterschiedlich schwierige Proof-Test-Schwierigkeiten auf, die bei Design, Betrieb und Wartung der SIF berücksichtigt werden müssen. Blendenmessgeräte und Drucktransmitter sind beispielsweise leichter zu prüfen als Coriolis-Massedurchflussmesser, magnetische Messgeräte oder Luftradar-Füllstandsensoren. Auch die Anwendung und das Ventildesign können sich auf die Vollständigkeit des Ventil-Proof-Tests auswirken, um sicherzustellen, dass gefährliche und beginnende Ausfälle aufgrund von Alterung, Verstopfung oder zeitabhängigen Ausfällen nicht zu einem kritischen Ausfall innerhalb des ausgewählten Testintervalls führen.
Während Proof-Test-Verfahren typischerweise während der SIF-Engineering-Phase entwickelt werden, sollten sie auch von der SIS-Technikerbehörde vor Ort, dem Betrieb und den Messtechnikern, die die Tests durchführen, überprüft werden. Auch eine Arbeitsplatzsicherheitsanalyse (JSA) sollte durchgeführt werden. Es ist wichtig, die Zustimmung des Werks zu den durchzuführenden Tests und deren physikalischer und sicherheitstechnischer Durchführbarkeit einzuholen. Es ist beispielsweise nicht sinnvoll, Partial-Stroke-Tests vorzuschreiben, wenn der Betrieb dem nicht zustimmt. Es wird außerdem empfohlen, die Proof-Test-Verfahren von einem unabhängigen Fachexperten (SME) überprüfen zu lassen. Die typischen Tests, die für einen vollständigen Funktions-Proof-Test erforderlich sind, sind in Abbildung 1 dargestellt.
Anforderungen an den vollständigen Funktionsnachweistest Abbildung 1: Eine Spezifikation für einen vollständigen Funktionsnachweistest für eine sicherheitsgerichtete Funktion (SIF) und ihr sicherheitsgerichtetes System (SIS) sollte die Schritte von der Testvorbereitung und den Testverfahren bis hin zu Benachrichtigungen und Dokumentation in der richtigen Reihenfolge darlegen oder darauf verweisen.
Abbildung 1: Eine vollständige Funktionsnachweis-Testspezifikation für eine sicherheitsgerichtete Funktion (SIF) und ihr sicherheitsgerichtetes System (SIS) sollte die Schritte von der Testvorbereitung und den Testverfahren bis hin zu Benachrichtigungen und Dokumentation in der richtigen Reihenfolge darlegen oder darauf verweisen.
Die Proof-Prüfung ist eine geplante Wartungsmaßnahme, die von kompetentem Personal durchgeführt werden sollte, das in SIS-Prüfungen, dem Proof-Verfahren und den zu prüfenden SIS-Schleifen geschult ist. Vor der ersten Proof-Prüfung sollte das Verfahren durchgegangen werden. Anschließend sollte Feedback an die SIS-Techniker vor Ort gegeben werden, um Verbesserungen oder Korrekturen vorzunehmen.
Es gibt zwei primäre Fehlermodi (sicher oder gefährlich), die wiederum in vier Modi unterteilt sind: gefährlich unentdeckt, gefährlich erkannt (durch Diagnose), sicher unentdeckt und sicher erkannt. Die Begriffe „gefährlich“ und „gefährlich unentdeckt“ werden in diesem Artikel synonym verwendet.
Bei der SIF-Prüfung interessieren wir uns in erster Linie für gefährliche, unentdeckte Fehlermodi. Wenn jedoch Benutzerdiagnosen gefährliche Fehler erkennen, sollten diese einer Prüfung unterzogen werden. Beachten Sie, dass geräteinterne Diagnosen im Gegensatz zu Benutzerdiagnosen in der Regel nicht vom Benutzer als funktionsfähig validiert werden können, was die Prüfphilosophie beeinflussen kann. Wenn Diagnosen in die SIL-Berechnungen einbezogen werden, sollten die Diagnosealarme (z. B. Alarme außerhalb des zulässigen Bereichs) im Rahmen der Prüfung geprüft werden.
Fehlermodi lassen sich weiter unterteilen in solche, die während eines Prooftests getestet werden, solche, die nicht getestet werden, sowie beginnende oder zeitabhängige Ausfälle. Einige gefährliche Fehlermodi werden aus verschiedenen Gründen möglicherweise nicht direkt getestet (z. B. aufgrund von Schwierigkeiten, technischen oder betrieblichen Entscheidungen, Unwissenheit, Inkompetenz, Unterlassung oder Begehung systematischer Fehler, geringer Eintrittswahrscheinlichkeit usw.). Wenn bekannte Fehlermodi nicht getestet werden, sollten diese durch Gerätedesign, Testverfahren, regelmäßigen Geräteaustausch oder -umbau kompensiert und/oder durch Inferenztests überprüft werden, um die Auswirkungen auf die SIF-Integrität durch Nichttests zu minimieren.
Ein beginnender Fehler ist ein sich verschlechternder Zustand oder eine solche Bedingung, dass vernünftigerweise mit dem Auftreten eines kritischen, gefährlichen Fehlers gerechnet werden kann, wenn nicht rechtzeitig Korrekturmaßnahmen ergriffen werden. Sie werden typischerweise durch einen Leistungsvergleich mit kürzlich durchgeführten oder ersten Benchmark-Prüfungen (z. B. Ventilsignaturen oder Ventilreaktionszeiten) oder durch eine Inspektion (z. B. ein verstopfter Prozessanschluss) erkannt. Beginnende Fehler sind üblicherweise zeitabhängig – je länger das Gerät oder die Baugruppe in Betrieb ist, desto stärker verschlechtert sich ihre Leistung; Bedingungen, die einen zufälligen Fehler begünstigen, werden wahrscheinlicher, Prozessanschlüsse verstopfen oder Sensorablagerungen bilden sich mit der Zeit, die Nutzungsdauer ist abgelaufen usw. Je länger das Prüfintervall ist, desto wahrscheinlicher ist daher ein beginnender oder zeitabhängiger Fehler. Jeglicher Schutz gegen beginnende Fehler muss ebenfalls geprüft werden (Anschlussspülung, Begleitheizung usw.).
Es müssen Verfahren für den Nachweis gefährlicher (unerkannter) Fehler erstellt werden. Fehlermöglichkeits- und -einflussanalysen (FMEA) bzw. Fehlermöglichkeits-, -einfluss- und Diagnoseanalysen (FMEDA) können dabei helfen, gefährliche, unerkannte Fehler zu identifizieren und festzustellen, wo die Abdeckung der Nachweisprüfungen verbessert werden muss.
Viele Prüfverfahren basieren auf Erfahrungswerten und Vorlagen bestehender Verfahren. Neue Verfahren und komplexere SIFs erfordern einen technischeren Ansatz mit FMEA/FMEDA, um gefährliche Fehler zu analysieren, festzulegen, wie das Prüfverfahren diese Fehler prüft und wie die Tests abgedeckt sind. Abbildung 2 zeigt ein Blockdiagramm der Fehlermodusanalyse auf Makroebene für einen Sensor. Die FMEA muss in der Regel nur einmal für einen bestimmten Gerätetyp durchgeführt und für ähnliche Geräte unter Berücksichtigung ihrer Prozessbetriebs-, Installations- und Standorttestmöglichkeiten wiederverwendet werden.
Fehleranalyse auf Makroebene Abbildung 2: Dieses Blockdiagramm der Fehlermodusanalyse auf Makroebene für einen Sensor und einen Drucktransmitter (PT) zeigt die Hauptfunktionen, die normalerweise in mehrere Mikrofehleranalysen unterteilt werden, um die potenziellen Fehler, die in den Funktionstests behandelt werden sollen, vollständig zu definieren.
Abbildung 2: Dieses Blockdiagramm der Fehlermodusanalyse auf Makroebene für einen Sensor und einen Drucktransmitter (PT) zeigt die Hauptfunktionen, die normalerweise in mehrere Mikrofehleranalysen unterteilt werden, um die potenziellen Fehler, die in den Funktionstests behandelt werden sollen, vollständig zu definieren.
Der Prozentsatz der bekannten, gefährlichen, unentdeckten Fehler, die geprüft werden, wird als Proof-Test-Coverage (PTC) bezeichnet. PTC wird häufig in SIL-Berechnungen verwendet, um das Versäumnis zu „kompensieren“, den SIF umfassender zu testen. Viele glauben fälschlicherweise, dass sie einen zuverlässigen SIF entwickelt haben, weil sie die fehlende Testabdeckung in ihrer SIL-Berechnung berücksichtigt haben. Tatsache ist: Selbst wenn Ihre Testabdeckung 75 % beträgt, Sie diese Zahl in Ihre SIL-Berechnung einbeziehen und Dinge, die Sie bereits testen, häufiger testen, können statistisch gesehen immer noch 25 % der gefährlichen Fehler auftreten. Ich möchte auf keinen Fall zu diesen 25 % gehören.
Die FMEDA-Zulassungsberichte und Sicherheitshandbücher für Geräte enthalten in der Regel ein Mindestmaß an Proof-Testverfahren und -umfang. Sie bieten lediglich eine Orientierungshilfe, decken jedoch nicht alle für ein umfassendes Proof-Testverfahren erforderlichen Prüfschritte ab. Auch andere Arten der Fehleranalyse, wie z. B. Fehlerbaumanalyse und zuverlässigkeitsorientierte Wartung, werden zur Analyse gefährlicher Fehler eingesetzt.
Proof-Tests lassen sich in vollständige (End-to-End) und partielle Funktionstests unterteilen (Abbildung 3). Partielle Funktionstests werden üblicherweise durchgeführt, wenn die Komponenten des SIF in den SIL-Berechnungen unterschiedliche Testintervalle aufweisen, die nicht mit geplanten Abschaltungen oder Turnarounds übereinstimmen. Es ist wichtig, dass sich die Verfahren für partielle Funktionstests überschneiden, sodass sie gemeinsam die gesamte Sicherheitsfunktionalität des SIF prüfen. Auch bei partiellen Funktionstests wird empfohlen, das SIF zunächst einem vollständigen Proof-Test und anschließend während Turnarounds zu unterziehen.
Teilweise Nachweisprüfungen sollten sich addieren. Abbildung 3: Die kombinierten teilweisen Nachweisprüfungen (unten) sollten alle Funktionen einer vollständigen funktionalen Nachweisprüfung (oben) abdecken.
Abbildung 3: Die kombinierten Teilprüfungen (unten) sollten alle Funktionen einer vollständigen Funktionsprüfung (oben) abdecken.
Bei einem Teilprüftest wird nur ein Prozentsatz der Fehlermodi eines Geräts geprüft. Ein gängiges Beispiel ist die Prüfung von Ventilen mit Teilhub, bei der das Ventil um einen kleinen Betrag (10–20 %) bewegt wird, um sicherzustellen, dass es nicht festsitzt. Die Prüfabdeckung ist dabei geringer als bei der Prüfung im primären Prüfintervall.
Die Komplexität von Proof-Test-Verfahren kann je nach Komplexität des SIF und der Testphilosophie des Unternehmens variieren. Manche Unternehmen schreiben detaillierte Schritt-für-Schritt-Testverfahren, während andere eher kurze Verfahren verwenden. Verweise auf andere Verfahren, wie z. B. eine Standardkalibrierung, werden manchmal verwendet, um den Umfang des Proof-Test-Verfahrens zu reduzieren und die Konsistenz der Tests zu gewährleisten. Ein gutes Proof-Test-Verfahren sollte ausreichend Details enthalten, um sicherzustellen, dass alle Tests ordnungsgemäß durchgeführt und dokumentiert werden, aber nicht so viele Details, dass die Techniker Schritte überspringen möchten. Wenn der für die Durchführung des Testschritts verantwortliche Techniker den abgeschlossenen Testschritt abzeichnet, kann dies dazu beitragen, dass der Test korrekt durchgeführt wird. Die Abnahme des abgeschlossenen Proof-Tests durch den Geräteleiter und Betriebsvertreter unterstreicht ebenfalls die Wichtigkeit und gewährleistet einen ordnungsgemäß durchgeführten Proof-Test.
Um das Verfahren zu verbessern, sollten Sie stets Feedback von Technikern einholen. Der Erfolg eines Proof-Test-Verfahrens liegt maßgeblich in den Händen der Techniker, daher ist eine Zusammenarbeit dringend zu empfehlen.
Die meisten Proof-Tests werden typischerweise offline während einer Abschaltung oder eines Turnarounds durchgeführt. In manchen Fällen kann es erforderlich sein, Proof-Tests online während des laufenden Betriebs durchzuführen, um die SIL-Berechnungen oder andere Anforderungen zu erfüllen. Online-Tests erfordern Planung und Koordination mit der Betriebsabteilung, damit der Proof-Test sicher, ohne Prozessstörungen und ohne Fehlauslösungen durchgeführt werden kann. Eine einzige Fehlauslösung genügt, und alle Ihre Attaboys sind aufgebraucht. Wenn bei dieser Art von Test das SIF nicht vollständig zur Erfüllung seiner Sicherheitsaufgabe verfügbar ist, besagt 61511-1, Abschnitt 11.8.5: „Ausgleichsmaßnahmen, die einen kontinuierlich sicheren Betrieb gewährleisten, sind gemäß 11.3 bereitzustellen, wenn sich das SIS im Bypass (Reparatur oder Test) befindet.“ Ein Verfahren zur Bewältigung abnormaler Situationen sollte das Proof-Test-Verfahren begleiten, um sicherzustellen, dass dies ordnungsgemäß durchgeführt wird.
Ein SIF besteht typischerweise aus drei Hauptkomponenten: Sensoren, Logiklöser und Stellglieder. In jedem dieser drei Komponenten sind typischerweise Zusatzgeräte (z. B. eigensichere Barrieren, Auslöseverstärker, Zwischenrelais, Magnetspulen usw.) integriert, die ebenfalls geprüft werden müssen. Wichtige Aspekte der Prüfprüfung dieser Technologien finden Sie in der Seitenleiste „Prüfung von Sensoren, Logiklösern und Stellgliedern“ (siehe unten).
Manche Dinge lassen sich leichter prüfen als andere. Viele moderne und einige ältere Durchfluss- und Füllstandstechnologien fallen in die Kategorie der schwierigeren. Dazu gehören Coriolis-Durchflussmesser, Wirbelzähler, Magnetometer, Luftradar, Ultraschall-Füllstandmessgeräte und In-situ-Prozessschalter, um nur einige zu nennen. Glücklicherweise verfügen viele dieser Technologien mittlerweile über verbesserte Diagnosefunktionen, die eine verbesserte Prüfung ermöglichen.
Die Schwierigkeit, ein solches Gerät im Feld zu prüfen, muss bei der SIF-Konstruktion berücksichtigt werden. Ingenieure wählen SIF-Geräte leicht aus, ohne sich ernsthaft mit den Anforderungen für die Prüfung auseinanderzusetzen, da sie nicht die Prüfer sind. Dies gilt auch für Partial-Stroke-Tests, eine gängige Methode zur Verbesserung der durchschnittlichen Ausfallwahrscheinlichkeit (PFDavg) von SIFs. Später möchte der Anlagenbetrieb diese jedoch nicht durchführen und tut dies oft auch nicht. Beaufsichtigen Sie die Entwicklung von SIFs hinsichtlich der Prüfung stets durch das Werk.
Die Abnahmeprüfung sollte eine Inspektion der SIF-Installation und gegebenenfalls Reparaturen umfassen, um die Anforderungen der Norm 61511-1, Abschnitt 16.3.2 zu erfüllen. Es sollte eine Endkontrolle durchgeführt werden, um sicherzustellen, dass alles in Ordnung ist, und eine doppelte Kontrolle, ob die SIF wieder ordnungsgemäß in Betrieb genommen wurde.
Die Entwicklung und Implementierung eines guten Testverfahrens ist ein wichtiger Schritt, um die Integrität des SIF über seine gesamte Lebensdauer hinweg sicherzustellen. Das Testverfahren sollte ausreichend Details enthalten, um sicherzustellen, dass die erforderlichen Tests konsistent, sicher durchgeführt und dokumentiert werden. Gefährliche Fehler, die nicht durch Proof-Tests geprüft wurden, sollten kompensiert werden, um sicherzustellen, dass die Sicherheitsintegrität des SIF über seine gesamte Lebensdauer hinweg ausreichend erhalten bleibt.
Das Schreiben eines guten Proof-Test-Verfahrens erfordert eine logische Herangehensweise an die technische Analyse potenziell gefährlicher Fehler, die Auswahl der Mittel und die Formulierung der Proof-Test-Schritte, die den Prüfmöglichkeiten der Anlage entsprechen. Holen Sie sich dabei die Zustimmung aller Anlagenebenen zur Prüfung ein und schulen Sie die Techniker in der Durchführung und Dokumentation des Proof-Tests sowie in deren Bedeutung. Schreiben Sie Anweisungen, als wären Sie der Messtechniker, der die Arbeit erledigen muss, und seien Sie sich bewusst, dass Leben von einer korrekten Prüfung abhängen – denn das ist der Fall.
Testing sensors, logic solvers and final elements A SIF is typically divided up into three main parts, sensors, logic solvers and final elements. There also typically are auxiliary devices that can be associated within each of these three parts (e.g. I.S. barriers, trip amps, interposing relays, solenoids, etc.) that must also be tested.Sensor proof tests: The sensor proof test must ensure that the sensor can sense the process variable over its full range and transmit the proper signal to the SIS logic solver for evaluation. While not inclusive, some of the things to consider in creating the sensor portion of the proof test procedure are given in Table 1. Table 1: Sensor proof test considerations Process ports clean/process interface check, significant buildup noted Internal diagnostics check, run extended diagnostics if available Sensor calibration (5 point) with simulated process input to sensor, verified through to the DCS, drift check Trip point check High/High-High/Low/Low-Low alarms Redundancy, voting degradation Out of range, deviation, diagnostic alarms Bypass and alarms, restrike User diagnostics Transmitter Fail Safe configuration verified Test associated systems (e.g. purge, heat tracing, etc.) and auxiliary components Physical inspection Complete as-found and as-left documentation Logic solver proof test: When full-function proof testing is done, the logic solver’s part in accomplishing the SIF’s safety action and related actions (e.g. alarms, reset, bypasses, user diagnostics, redundancies, HMI, etc.) are tested. Partial or piecemeal function proof tests must accomplish all these tests as part of the individual overlapping proof tests. The logic solver manufacturer should have a recommended proof test procedure in the device safety manual. If not and as a minimum, the logic solver power should be cycled, and the logic solver diagnostic registers, status lights, power supply voltages, communication links and redundancy should be checked. These checks should be done prior to the full-function proof test.Don’t make the assumption that the software is good forever and the logic need not be tested after the initial proof test as undocumented, unauthorized and untested software and hardware changes and software updates can creep into systems over time and must be factored into your overall proof test philosophy. The management of change, maintenance, and revision logs should be reviewed to ensure they are up to date and properly maintained, and if capable, the application program should be compared to the latest backup.Care should also be taken to test all the user logic solver auxiliary and diagnostic functions (e.g. watchdogs, communication links, cybersecurity appliances, etc.).Final element proof test: Most final elements are valves, however, rotating equipment motor starters, variable-speed drives and other electrical components such as contactors and circuit breakers are also used as final elements and their failure modes must be analyzed and proof tested.The primary failure modes for valves are being stuck, response time too slow or too fast, and leakage, all of which are affected by the valve’s operating process interface at trip time. While testing the valve at operating conditions is the most desirable case, Operations would generally be opposed to tripping the SIF while the plant is operating. Most SIS valves are typically tested while the plant is down at zero differential pressure, which is the least demanding of operating conditions. The user should be aware of the worst-case operational differential pressure and the valve and process degradation effects, which should be factored into the valve and actuator design and sizing.Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).Ambient temperatures can also affect valve friction loads, so that testing valves in warm weather will generally be the least demanding friction load when compared to cold weather operation. As a result, proof testing of valves at a consistent temperature should be considered to provide consistent data for inferential testing for the determination of valve performance degradation.Valves with smart positioners or a digital valve controller generally have capability to create a valve signature that can be used to monitor degradation in valve performance. A baseline valve signature can be requested as part of your purchase order or you can create one during the initial proof test to serve as a baseline. The valve signature should be done for both opening and closing of the valve. Advanced valve diagnostic should also be used if available. This can help tell you if your valve performance is deteriorating by comparing subsequent proof test valve signatures and diagnostics with your baseline. This type of test can help compensate for not testing the valve at worst case operating pressures.The valve signature during a proof test may also be able to record the response time with time stamps, removing the need for a stopwatch. Increased response time is a sign of valve deterioration and increased friction load to move the valve. While there are no standards regarding changes in valve response time, a negative pattern of changes from proof test to proof test is indicative of the potential loss of the valve’s safety margin and performance. Modern SIS valve proof testing should include a valve signature as a matter of good engineering practice.The valve instrument air supply pressure should be measured during a proof test. While the valve spring for a spring-return valve is what closes the valve, the force or torque involved is determined by how much the valve spring is compressed by the valve supply pressure (per Hooke’s Law, F = kX). If your supply pressure is low, the spring will not compress as much, hence less force will be available to move the valve when needed. While not inclusive, some of the things to consider in creating the valve portion of the proof test procedure are given in Table 2. Table 2: Final element valve assembly considerations Test valve safety action at process operating pressure (best but typically not done), and time the valve’s response time. Verify redundancy Test valve safety action at zero differential pressure and time valve’s response time. Verify redundancy Run valve signature and diagnostics as part of proof test and compare to baseline and previous test Visually observe valve action (proper action without unusual vibration or noise, etc.). Verify the valve field and position indication on the DCS Fully stroke the valve a minimum of five times during the proof test to help ensure valve reliability. (This is not intended to fix significant degradation effects or incipient failures). Review valve maintenance records to ensure any changes meet the required valve SRS specifications Test diagnostics for energize-to-trip systems Leak test if Tight Shut Off (TSO) is required Verify the command disagree alarm functionality Inspect valve assembly and internals Remove, test and rebuild as necessary Complete as-found and as-left documentation Solenoids Evaluate venting to provide required response time Evaluate solenoid performance by a digital valve controller or smart positioner Verify redundant solenoid performance (e.g. 1oo2, 2oo3) Interposing Relays Verify correct operation, redundancy Device inspection
Ein SIF ist typischerweise in drei Hauptteile unterteilt: Sensoren, Logiklöser und Stellglieder. In jedem dieser drei Teile können typischerweise auch Zusatzgeräte (z. B. eigensichere Barrieren, Auslöseverstärker, Zwischenrelais, Magnetspulen usw.) angeschlossen sein, die ebenfalls geprüft werden müssen.
Sensorprüfungen: Die Sensorprüfung muss sicherstellen, dass der Sensor die Prozessvariable über den gesamten Bereich erfassen und das korrekte Signal zur Auswertung an den SIS-Logiklöser übertragen kann. Tabelle 1 enthält einige Punkte, die bei der Erstellung des Sensorteils der Prüfprüfung zu berücksichtigen sind, auch wenn sie nicht vollständig sind.
Logiklöser-Beweisprüfung: Bei der vollständigen Funktionsprüfung wird der Anteil des Logiklösers an der Durchführung der Sicherheitsmaßnahmen des SIF und damit verbundener Aktionen (z. B. Alarme, Reset, Bypass, Benutzerdiagnose, Redundanzen, HMI usw.) geprüft. Teilweise oder stückweise Funktionsprüfungen müssen alle diese Tests als Teil der einzelnen, sich überschneidenden Funktionsprüfungen durchführen. Der Hersteller des Logiklösers sollte im Sicherheitshandbuch des Geräts ein empfohlenes Prüfverfahren angeben. Andernfalls sollte mindestens die Stromversorgung des Logiklösers aus- und wieder eingeschaltet und die Diagnoseregister, Statusleuchten, Versorgungsspannungen, Kommunikationsverbindungen und Redundanz des Logiklösers überprüft werden. Diese Prüfungen sollten vor der vollständigen Funktionsprüfung durchgeführt werden.
Gehen Sie nicht davon aus, dass die Software dauerhaft funktioniert und die Logik nach dem ersten Proof-Test nicht mehr getestet werden muss. Undokumentierte, nicht autorisierte und ungetestete Software- und Hardwareänderungen sowie Software-Updates können sich mit der Zeit in Systeme einschleichen und müssen in Ihre Proof-Test-Philosophie einbezogen werden. Die Verwaltung der Änderungs-, Wartungs- und Revisionsprotokolle sollte überprüft werden, um sicherzustellen, dass sie aktuell und ordnungsgemäß gepflegt sind. Falls möglich, sollte das Anwendungsprogramm mit der neuesten Sicherung verglichen werden.
Es sollte auch darauf geachtet werden, alle Hilfs- und Diagnosefunktionen des Benutzerlogiklösers (z. B. Watchdogs, Kommunikationsverbindungen, Cybersicherheitsgeräte usw.) zu testen.
Abnahmeprüfung des Endelements: Bei den meisten Endelementen handelt es sich um Ventile. Allerdings werden auch Motorstarter für rotierende Geräte, Antriebe mit variabler Drehzahl und andere elektrische Komponenten wie Schütze und Leistungsschalter als Endelemente verwendet und ihre Ausfallarten müssen analysiert und einer Abnahmeprüfung unterzogen werden.
Die häufigsten Fehlerursachen bei Ventilen sind Klemmen, zu langsame oder zu schnelle Reaktionszeiten und Leckagen. Diese werden alle durch die Prozessschnittstelle des Ventils zum Auslösezeitpunkt beeinflusst. Obwohl die Prüfung des Ventils unter Betriebsbedingungen am wünschenswertesten ist, spricht sich der Betrieb im Allgemeinen gegen eine Auslösung des SIF bei laufender Anlage aus. Die meisten SIS-Ventile werden typischerweise bei abgeschalteter Anlage und Nulldifferenzdruck geprüft, was die geringsten Betriebsbedingungen darstellt. Der Anwender sollte sich des schlimmsten Betriebsdifferenzdrucks und der Auswirkungen auf Ventil und Prozess bewusst sein und diese bei der Auslegung und Dimensionierung von Ventil und Antrieb berücksichtigen.
Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).
Auch die Umgebungstemperatur kann die Reibungsbelastung des Ventils beeinflussen. Daher ist die Prüfung von Ventilen bei warmem Wetter im Vergleich zum Betrieb bei kaltem Wetter im Allgemeinen die geringste Reibungsbelastung. Daher sollten Prüfprüfungen von Ventilen bei konstanter Temperatur in Betracht gezogen werden, um konsistente Daten für Inferenzprüfungen zur Bestimmung der Ventilleistungsminderung zu erhalten.
Ventile mit intelligenten Stellungsreglern oder digitalen Ventilsteuerungen können in der Regel eine Ventilsignatur erstellen, mit der sich Leistungseinbußen überwachen lassen. Eine Basis-Ventilsignatur kann im Rahmen Ihrer Bestellung angefordert oder während der ersten Abnahmeprüfung als Basislinie erstellt werden. Die Ventilsignatur sollte sowohl beim Öffnen als auch beim Schließen des Ventils erstellt werden. Sofern verfügbar, sollte auch eine erweiterte Ventildiagnose genutzt werden. So können Sie feststellen, ob sich die Ventilleistung verschlechtert, indem Sie die Ventilsignaturen und Diagnosen nachfolgender Abnahmeprüfungen mit Ihrer Basislinie vergleichen. Diese Art von Prüfung kann dazu beitragen, die fehlende Prüfung des Ventils bei ungünstigsten Betriebsdrücken auszugleichen.
Die Ventilsignatur während einer Abnahmeprüfung kann auch die Reaktionszeit mit Zeitstempeln aufzeichnen, sodass keine Stoppuhr erforderlich ist. Eine erhöhte Reaktionszeit ist ein Zeichen für Ventilverschleiß und erhöhte Reibungsbelastung beim Bewegen des Ventils. Obwohl es keine Standards für Änderungen der Ventilreaktionszeit gibt, deutet ein negatives Änderungsmuster von Abnahmeprüfung zu Abnahmeprüfung auf einen möglichen Verlust der Sicherheitsmarge und Leistung des Ventils hin. Moderne SIS-Ventilabnahmeprüfungen sollten aus Gründen der guten Ingenieurpraxis eine Ventilsignatur beinhalten.
Der Luftversorgungsdruck des Ventils sollte während einer Prüfprüfung gemessen werden. Bei einem federrückgestellten Ventil schließt die Ventilfeder das Ventil. Die Kraft bzw. das Drehmoment wird durch den Druck der Ventilfeder bestimmt (gemäß dem Hookeschen Gesetz, F = kX). Bei niedrigem Versorgungsdruck wird die Feder nicht so stark komprimiert, sodass weniger Kraft zum Bewegen des Ventils zur Verfügung steht. Tabelle 2 enthält einige Punkte, die bei der Erstellung des Ventilteils der Prüfprüfung zu berücksichtigen sind (nicht alle).
Beitragszeit: 13.11.2019