การทดสอบพิสูจน์ (Proof Testing) เป็นส่วนสำคัญของการรักษาความสมบูรณ์ของระบบเครื่องมือวัดความปลอดภัย (SIS) และระบบที่เกี่ยวข้องกับความปลอดภัย (เช่น สัญญาณเตือนวิกฤต ระบบดับเพลิงและแก๊ส ระบบอินเตอร์ล็อกแบบมีเครื่องมือวัด ฯลฯ) การทดสอบพิสูจน์คือการทดสอบเป็นระยะเพื่อตรวจหาข้อบกพร่องที่เป็นอันตราย ทดสอบฟังก์ชันการทำงานที่เกี่ยวข้องกับความปลอดภัย (เช่น การรีเซ็ต การบายพาส สัญญาณเตือน การวินิจฉัย การปิดระบบด้วยตนเอง ฯลฯ) และเพื่อให้แน่ใจว่าระบบเป็นไปตามมาตรฐานของบริษัทและมาตรฐานภายนอก ผลลัพธ์ของการทดสอบพิสูจน์ยังเป็นตัวชี้วัดประสิทธิภาพของโปรแกรมความสมบูรณ์เชิงกลของ SIS และความน่าเชื่อถือของระบบภาคสนามอีกด้วย
ขั้นตอนการทดสอบพิสูจน์ครอบคลุมถึงขั้นตอนการทดสอบตั้งแต่การขอใบอนุญาต การแจ้งเตือน และการนำระบบออกจากการใช้งานเพื่อทำการทดสอบ ไปจนถึงการรับรองการทดสอบที่ครอบคลุม การบันทึกการทดสอบพิสูจน์และผลลัพธ์ การนำระบบกลับมาใช้งาน และการประเมินผลการทดสอบปัจจุบันและผลการทดสอบพิสูจน์ครั้งก่อน
ANSI/ISA/IEC 61511-1 ข้อ 16 ครอบคลุมการทดสอบพิสูจน์ SIS รายงานทางเทคนิคของ ISA TR84.00.03 – “ความสมบูรณ์เชิงกลของระบบเครื่องมือวัดความปลอดภัย (SIS)” ครอบคลุมการทดสอบพิสูจน์และกำลังอยู่ระหว่างการปรับปรุงแก้ไข โดยคาดว่าจะมีเวอร์ชันใหม่ออกมาเร็วๆ นี้ รายงานทางเทคนิคของ ISA TR96.05.02 – “การทดสอบพิสูจน์ในที่ของวาล์วอัตโนมัติ” อยู่ระหว่างการพัฒนา
รายงาน CRR 428/2002 ของ HSE ในสหราชอาณาจักร – “หลักการทดสอบพิสูจน์ของระบบเครื่องมือด้านความปลอดภัยในอุตสาหกรรมเคมี” ให้ข้อมูลเกี่ยวกับการทดสอบพิสูจน์และสิ่งที่บริษัทต่างๆ กำลังดำเนินการในสหราชอาณาจักร
ขั้นตอนการทดสอบพิสูจน์จะขึ้นอยู่กับการวิเคราะห์โหมดความล้มเหลวอันตรายที่ทราบแล้วสำหรับแต่ละส่วนประกอบในเส้นทางการเดินทางของฟังก์ชันเครื่องมือวัดความปลอดภัย (SIF) ฟังก์ชันการทำงานของ SIF ในฐานะระบบ และวิธีการ (และหากจำเป็น) ที่จะทดสอบโหมดความล้มเหลวอันตราย การพัฒนาขั้นตอนควรเริ่มต้นในขั้นตอนการออกแบบ SIF ด้วยการออกแบบระบบ การเลือกส่วนประกอบ และการกำหนดเวลาและวิธีการทดสอบพิสูจน์ เครื่องมือ SIS มีระดับความยากในการทดสอบพิสูจน์ที่แตกต่างกัน ซึ่งต้องพิจารณาในการออกแบบ การใช้งาน และการบำรุงรักษา SIF ตัวอย่างเช่น เครื่องวัดออริฟิซและเครื่องส่งสัญญาณความดันนั้นทดสอบได้ง่ายกว่าเครื่องวัดอัตราการไหลของมวล Coriolis เครื่องวัดแรงแม่เหล็ก หรือเซ็นเซอร์ระดับเรดาร์แบบผ่านอากาศ การใช้งานและการออกแบบวาล์วยังส่งผลต่อความครอบคลุมของการทดสอบพิสูจน์วาล์ว เพื่อให้มั่นใจว่าความล้มเหลวที่เป็นอันตรายและเพิ่งเริ่มต้นอันเนื่องมาจากการเสื่อมสภาพ การอุดตัน หรือความล้มเหลวที่ขึ้นอยู่กับเวลา จะไม่นำไปสู่ความล้มเหลวขั้นวิกฤตภายในช่วงเวลาการทดสอบที่เลือก
แม้ว่าโดยทั่วไปแล้วขั้นตอนการทดสอบพิสูจน์จะได้รับการพัฒนาในระหว่างขั้นตอนวิศวกรรม SIF แต่ควรได้รับการตรวจสอบโดยหน่วยงานด้านเทคนิค SIS ฝ่ายปฏิบัติการ และช่างเทคนิคเครื่องมือวัดที่จะทำการทดสอบ ควรดำเนินการวิเคราะห์ความปลอดภัยในการทำงาน (JSA) ด้วย สิ่งสำคัญคือต้องได้รับความเห็นชอบจากโรงงานเกี่ยวกับการทดสอบใดและเมื่อใด รวมถึงความเป็นไปได้ทางกายภาพและความปลอดภัย ตัวอย่างเช่น การระบุการทดสอบแบบจังหวะบางส่วนในกรณีที่ฝ่ายปฏิบัติการไม่ยินยอมให้ทำนั้นไม่มีประโยชน์ ขอแนะนำให้ผู้เชี่ยวชาญอิสระ (SME) ตรวจสอบขั้นตอนการทดสอบพิสูจน์ด้วย การทดสอบทั่วไปที่จำเป็นสำหรับการทดสอบพิสูจน์แบบเต็มฟังก์ชันแสดงไว้ในรูปที่ 1
ข้อกำหนดการทดสอบพิสูจน์ฟังก์ชันครบถ้วน รูปที่ 1: ข้อกำหนดการทดสอบพิสูจน์ฟังก์ชันครบถ้วนสำหรับฟังก์ชันที่มีเครื่องมือวัดด้านความปลอดภัย (SIF) และระบบที่มีเครื่องมือวัดด้านความปลอดภัย (SIS) ควรอธิบายหรืออ้างอิงขั้นตอนตามลำดับจากการเตรียมการทดสอบและขั้นตอนการทดสอบไปจนถึงการแจ้งเตือนและเอกสารประกอบ
รูปที่ 1: ข้อกำหนดการทดสอบพิสูจน์ฟังก์ชันครบถ้วนสำหรับฟังก์ชันที่มีเครื่องมือวัดด้านความปลอดภัย (SIF) และระบบที่มีเครื่องมือวัดด้านความปลอดภัย (SIS) ควรระบุหรืออ้างอิงขั้นตอนตามลำดับจากการเตรียมการทดสอบและขั้นตอนการทดสอบไปจนถึงการแจ้งเตือนและเอกสารประกอบ
การทดสอบพิสูจน์ (Proof Testing) คือการดำเนินการบำรุงรักษาตามแผนที่วางไว้ ซึ่งควรดำเนินการโดยบุคลากรที่มีความสามารถซึ่งได้รับการฝึกอบรมเกี่ยวกับการทดสอบ SIS ขั้นตอนการพิสูจน์ และลูป SIS ที่จะทดสอบ ควรมีการตรวจสอบขั้นตอนต่างๆ ก่อนดำเนินการทดสอบพิสูจน์เบื้องต้น และให้ข้อเสนอแนะแก่หน่วยงานด้านเทคนิคของ SIS ในพื้นที่เพื่อนำไปปรับปรุงหรือแก้ไข
โหมดความล้มเหลวหลักมีสองแบบ (ปลอดภัยหรืออันตราย) ซึ่งแบ่งย่อยออกเป็นสี่โหมด ได้แก่ อันตรายที่ตรวจไม่พบ, อันตรายที่ตรวจไม่พบ (โดยการวินิจฉัย), ปลอดภัยที่ตรวจไม่พบ และปลอดภัยที่ตรวจไม่พบ บทความนี้ใช้คำว่า อันตราย และ อันตรายที่ตรวจไม่พบ สลับกัน
ในการทดสอบพิสูจน์ SIF เราสนใจโหมดความล้มเหลวอันตรายที่ตรวจจับไม่ได้เป็นหลัก แต่หากมีการวินิจฉัยโดยผู้ใช้ที่ตรวจพบความล้มเหลวอันตราย การวินิจฉัยเหล่านี้ควรได้รับการทดสอบพิสูจน์ โปรดทราบว่าการวินิจฉัยภายในอุปกรณ์มักจะไม่สามารถตรวจสอบความถูกต้องโดยผู้ใช้ว่าใช้งานได้ ซึ่งต่างจากการวินิจฉัยโดยผู้ใช้ และสิ่งนี้อาจส่งผลต่อปรัชญาการทดสอบพิสูจน์ เมื่อนำการวินิจฉัยไปคำนวณในการคำนวณ SIL สัญญาณเตือนการวินิจฉัย (เช่น สัญญาณเตือนที่อยู่นอกช่วง) ควรได้รับการทดสอบเป็นส่วนหนึ่งของการทดสอบพิสูจน์
รูปแบบความล้มเหลวสามารถแบ่งย่อยได้อีกเป็นความล้มเหลวที่ทดสอบระหว่างการทดสอบพิสูจน์ รูปแบบความล้มเหลวที่ไม่ได้ทดสอบ และความล้มเหลวเบื้องต้นหรือความล้มเหลวที่ขึ้นอยู่กับเวลา รูปแบบความล้มเหลวอันตรายบางรูปแบบอาจไม่ได้รับการทดสอบโดยตรงด้วยเหตุผลหลายประการ (เช่น ความยาก การตัดสินใจทางวิศวกรรมหรือการปฏิบัติงาน ความไม่รู้ ความไร้ประสิทธิภาพ การละเว้นหรือข้อผิดพลาดเชิงระบบ ความน่าจะเป็นต่ำที่จะเกิด ฯลฯ) หากมีรูปแบบความล้มเหลวที่ทราบอยู่แล้วแต่จะไม่ได้รับการทดสอบ ควรมีการชดเชยในการออกแบบอุปกรณ์ ขั้นตอนการทดสอบ การเปลี่ยนหรือสร้างอุปกรณ์ใหม่ตามระยะเวลา และ/หรือการทดสอบเชิงอนุมาน เพื่อลดผลกระทบต่อความสมบูรณ์ของ SIF จากการไม่ทดสอบให้น้อยที่สุด
ความล้มเหลวในระยะเริ่มแรกคือสภาวะหรือสภาวะที่เสื่อมลง ซึ่งคาดการณ์ได้อย่างสมเหตุสมผลว่าความล้มเหลวขั้นวิกฤตและอันตรายจะเกิดขึ้น หากไม่ได้ดำเนินการแก้ไขอย่างทันท่วงที โดยทั่วไปแล้ว ความล้มเหลวเหล่านี้จะถูกตรวจพบโดยการเปรียบเทียบประสิทธิภาพกับการทดสอบพิสูจน์มาตรฐานล่าสุดหรือเบื้องต้น (เช่น ลายเซ็นวาล์วหรือเวลาตอบสนองของวาล์ว) หรือโดยการตรวจสอบ (เช่น พอร์ตกระบวนการอุดตัน) ความล้มเหลวในระยะเริ่มแรกมักขึ้นอยู่กับเวลา ยิ่งอุปกรณ์หรือชุดประกอบใช้งานนานเท่าใด ความเสียหายก็จะยิ่งมากขึ้นเท่านั้น สภาวะที่เอื้อให้เกิดความล้มเหลวแบบสุ่มก็มีโอกาสเกิดขึ้นได้มากขึ้น เช่น พอร์ตกระบวนการอุดตันหรือเซ็นเซอร์สะสมเมื่อเวลาผ่านไป อายุการใช้งานหมดลง เป็นต้น ดังนั้น ยิ่งช่วงเวลาทดสอบพิสูจน์นานเท่าใด ก็ยิ่งมีโอกาสเกิดความล้มเหลวในระยะเริ่มแรกหรือขึ้นอยู่กับเวลามากขึ้นเท่านั้น การป้องกันใดๆ ต่อความล้มเหลวในระยะเริ่มแรกจะต้องได้รับการทดสอบพิสูจน์ (เช่น การล้างพอร์ต การติดตามความร้อน ฯลฯ)
ขั้นตอนปฏิบัติต้องเขียนขึ้นเพื่อทดสอบพิสูจน์สำหรับความล้มเหลวที่เป็นอันตราย (ตรวจไม่พบ) เทคนิคการวิเคราะห์โหมดความล้มเหลวและผลกระทบ (FMEA) หรือการวิเคราะห์โหมดความล้มเหลว ผลกระทบ และการวินิจฉัย (FMEDA) สามารถช่วยระบุความล้มเหลวที่เป็นอันตรายและตรวจไม่พบได้ และในกรณีที่จำเป็นต้องปรับปรุงขอบเขตการทดสอบพิสูจน์
ขั้นตอนการทดสอบพิสูจน์หลายขั้นตอนใช้ประสบการณ์ที่เป็นลายลักษณ์อักษรและแม่แบบจากขั้นตอนที่มีอยู่เดิม ขั้นตอนใหม่และ SIF ที่ซับซ้อนยิ่งขึ้นจำเป็นต้องใช้วิธีการที่ได้รับการออกแบบทางวิศวกรรมมากขึ้น โดยใช้ FMEA/FMEDA เพื่อวิเคราะห์หาข้อบกพร่องที่เป็นอันตราย กำหนดว่าขั้นตอนการทดสอบจะทดสอบหรือไม่ทดสอบข้อบกพร่องเหล่านั้น และครอบคลุมการทดสอบอย่างไร แผนภาพบล็อกการวิเคราะห์โหมดความล้มเหลวระดับมหภาคสำหรับเซ็นเซอร์แสดงในรูปที่ 2 โดยทั่วไป FMEA จำเป็นต้องทำเพียงครั้งเดียวสำหรับอุปกรณ์ประเภทใดประเภทหนึ่ง และนำกลับมาใช้ใหม่สำหรับอุปกรณ์ที่คล้ายคลึงกันโดยพิจารณาจากความสามารถในการใช้งาน การติดตั้ง และการทดสอบหน้างาน
การวิเคราะห์ความล้มเหลวในระดับมหภาค รูปที่ 2: แผนผังบล็อกการวิเคราะห์โหมดความล้มเหลวในระดับมหภาคสำหรับเซ็นเซอร์และเครื่องส่งสัญญาณแรงดัน (PT) แสดงให้เห็นฟังก์ชันหลักๆ ที่โดยทั่วไปจะถูกแบ่งย่อยออกเป็นการวิเคราะห์ความล้มเหลวระดับไมโครหลายรายการเพื่อกำหนดความล้มเหลวที่มีศักยภาพที่จะต้องแก้ไขในการทดสอบฟังก์ชันอย่างครบถ้วน
รูปที่ 2: แผนผังบล็อกการวิเคราะห์โหมดความล้มเหลวในระดับมหภาคสำหรับเซ็นเซอร์และเครื่องส่งสัญญาณแรงดัน (PT) แสดงให้เห็นฟังก์ชันหลักที่โดยทั่วไปจะถูกแบ่งย่อยออกเป็นการวิเคราะห์ความล้มเหลวระดับไมโครหลายรายการเพื่อกำหนดความล้มเหลวที่มีศักยภาพที่ต้องแก้ไขในการทดสอบฟังก์ชันอย่างครบถ้วน
เปอร์เซ็นต์ของความผิดพลาดที่ทราบ อันตราย และตรวจไม่พบ ซึ่งผ่านการทดสอบพิสูจน์แล้ว เรียกว่า Proof Test Coverage (PTC) โดยทั่วไปแล้ว PTC จะถูกใช้ในการคำนวณ SIL เพื่อ "ชดเชย" ความผิดพลาดในการทดสอบ SIF ให้สมบูรณ์ยิ่งขึ้น ผู้คนมักเข้าใจผิดว่าเนื่องจากพวกเขาพิจารณาถึงการขาด Test Coverage ในการคำนวณ SIL พวกเขาจึงได้ออกแบบ SIF ที่เชื่อถือได้ ความจริงง่ายๆ ก็คือ หาก Test Coverage ของคุณอยู่ที่ 75% และหากคุณนำตัวเลขนั้นมาคำนวณในการคำนวณ SIL และทดสอบสิ่งต่างๆ ที่คุณทดสอบบ่อยขึ้นอยู่แล้ว ความผิดพลาดอันตราย 25% ก็ยังคงเกิดขึ้นได้ในทางสถิติ ผมไม่อยากอยู่ใน 25% นั้นอย่างแน่นอน
โดยทั่วไปแล้ว รายงานการอนุมัติ FMEDA และคู่มือความปลอดภัยสำหรับอุปกรณ์จะระบุขั้นตอนการทดสอบพิสูจน์ขั้นต่ำและครอบคลุมการทดสอบพิสูจน์ สิ่งเหล่านี้เป็นเพียงแนวทาง ไม่ใช่ขั้นตอนการทดสอบทั้งหมดที่จำเป็นสำหรับขั้นตอนการทดสอบพิสูจน์ที่ครอบคลุม การวิเคราะห์ความล้มเหลวประเภทอื่นๆ เช่น การวิเคราะห์แผนผังความผิดพลาด (fault tree analysis) และการบำรุงรักษาที่เน้นความน่าเชื่อถือ (reliability centered maintenance) ก็ถูกนำมาใช้เพื่อวิเคราะห์หาความล้มเหลวที่เป็นอันตรายเช่นกัน
การทดสอบพิสูจน์สามารถแบ่งได้เป็นการทดสอบฟังก์ชันเต็มรูปแบบ (end-to-end) หรือการทดสอบฟังก์ชันบางส่วน (partial functional testing) (รูปที่ 3) โดยทั่วไปการทดสอบฟังก์ชันบางส่วนจะดำเนินการเมื่อส่วนประกอบต่างๆ ของ SIF มีช่วงเวลาการทดสอบที่แตกต่างกันในการคำนวณ SIL ซึ่งไม่สอดคล้องกับการปิดระบบหรือการปิดซ่อมบำรุงตามแผน สิ่งสำคัญคือขั้นตอนการทดสอบพิสูจน์ฟังก์ชันบางส่วนต้องทับซ้อนกัน เพื่อให้ทดสอบฟังก์ชันความปลอดภัยทั้งหมดของ SIF ร่วมกันได้ สำหรับการทดสอบฟังก์ชันบางส่วน ขอแนะนำให้ SIF มีการทดสอบพิสูจน์ฟังก์ชันตั้งแต่ต้นจนจบครั้งแรก และการทดสอบครั้งต่อๆ ไปในระหว่างการบำรุงรักษา
การทดสอบพิสูจน์บางส่วนควรรวมกัน รูปที่ 3: การทดสอบพิสูจน์บางส่วนแบบรวม (ด้านล่าง) ควรครอบคลุมฟังก์ชันการทำงานทั้งหมดของการทดสอบพิสูจน์ฟังก์ชันเต็มรูปแบบ (ด้านบน)
รูปที่ 3: การทดสอบพิสูจน์บางส่วนแบบรวม (ด้านล่าง) ควรครอบคลุมฟังก์ชันการทำงานทั้งหมดของการทดสอบพิสูจน์ฟังก์ชันเต็มรูปแบบ (ด้านบน)
การทดสอบพิสูจน์บางส่วนจะทดสอบเพียงบางส่วนของโหมดความล้มเหลวของอุปกรณ์ ตัวอย่างทั่วไปคือการทดสอบวาล์วแบบจังหวะบางส่วน ซึ่งวาล์วจะถูกขยับเล็กน้อย (10-20%) เพื่อตรวจสอบว่าวาล์วไม่ติดขัด การทดสอบนี้ครอบคลุมการทดสอบพิสูจน์น้อยกว่าการทดสอบพิสูจน์ในช่วงการทดสอบหลัก
ขั้นตอนการทดสอบพิสูจน์อาจมีความซับซ้อนแตกต่างกันไปตามความซับซ้อนของ SIF และปรัชญาขั้นตอนการทดสอบของบริษัท บางบริษัทเขียนขั้นตอนการทดสอบอย่างละเอียดทีละขั้นตอน ในขณะที่บางบริษัทมีขั้นตอนที่ค่อนข้างสั้น การอ้างอิงถึงขั้นตอนอื่นๆ เช่น การสอบเทียบมาตรฐาน บางครั้งก็ใช้เพื่อลดขนาดของขั้นตอนการทดสอบพิสูจน์และช่วยให้มั่นใจถึงความสอดคล้องในการทดสอบ ขั้นตอนการทดสอบพิสูจน์ที่ดีควรมีรายละเอียดเพียงพอเพื่อให้แน่ใจว่าการทดสอบทั้งหมดเสร็จสมบูรณ์และบันทึกไว้อย่างถูกต้อง แต่ไม่ควรให้รายละเอียดมากเกินไปจนทำให้ช่างเทคนิคต้องการข้ามขั้นตอน การให้ช่างเทคนิคผู้รับผิดชอบในขั้นตอนการทดสอบเป็นผู้ลงนามในขั้นตอนการทดสอบที่เสร็จสมบูรณ์ จะช่วยให้มั่นใจได้ว่าการทดสอบจะเสร็จสมบูรณ์อย่างถูกต้อง การลงนามรับรองผลการทดสอบพิสูจน์ที่เสร็จสมบูรณ์โดยหัวหน้างานเครื่องมือและตัวแทนฝ่ายปฏิบัติการจะช่วยเน้นย้ำถึงความสำคัญและรับประกันว่าการทดสอบพิสูจน์จะเสร็จสมบูรณ์อย่างถูกต้อง
ควรรับฟังความคิดเห็นจากช่างเทคนิคอยู่เสมอเพื่อช่วยปรับปรุงกระบวนการ ความสำเร็จของขั้นตอนการทดสอบพิสูจน์ส่วนใหญ่ขึ้นอยู่กับช่างเทคนิค ดังนั้นจึงขอแนะนำอย่างยิ่งให้ร่วมมือกัน
การทดสอบพิสูจน์ส่วนใหญ่มักจะทำแบบออฟไลน์ในช่วงปิดระบบหรือช่วงเปลี่ยนถ่ายเครื่องจักร ในบางกรณี การทดสอบพิสูจน์อาจจำเป็นต้องทำแบบออนไลน์ในขณะที่กำลังทำงานเพื่อให้เป็นไปตามการคำนวณ SIL หรือข้อกำหนดอื่นๆ การทดสอบออนไลน์จำเป็นต้องมีการวางแผนและประสานงานกับฝ่ายปฏิบัติการเพื่อให้การทดสอบพิสูจน์ทำได้อย่างปลอดภัย โดยไม่เกิดการขัดข้องของกระบวนการ และไม่ทำให้เกิดการสะดุดที่ไม่พึงประสงค์ การสะดุดเพียงครั้งเดียวก็สามารถใช้ attaboys ของคุณได้หมด ในระหว่างการทดสอบประเภทนี้ เมื่อ SIF ไม่สามารถปฏิบัติงานด้านความปลอดภัยได้อย่างเต็มที่ ข้อ 61511-1 ข้อ 11.8.5 ระบุว่า “ต้องมีมาตรการชดเชยเพื่อให้มั่นใจว่าการทำงานจะปลอดภัยอย่างต่อเนื่องตามข้อ 11.3 เมื่อ SIS อยู่ในสถานะบายพาส (ซ่อมแซมหรือทดสอบ)” ขั้นตอนการจัดการสถานการณ์ผิดปกติควรควบคู่ไปกับขั้นตอนการทดสอบพิสูจน์ เพื่อช่วยให้มั่นใจว่าการดำเนินการนี้เป็นไปอย่างถูกต้อง
โดยทั่วไป SIF จะแบ่งออกเป็นสามส่วนหลัก ได้แก่ เซ็นเซอร์ ตัวแก้ปัญหาเชิงตรรกะ และองค์ประกอบสุดท้าย นอกจากนี้ ยังมีอุปกรณ์เสริมที่สามารถติดตั้งภายในแต่ละส่วนเหล่านี้ (เช่น อุปสรรค IS, แอมป์ทริป, รีเลย์อินเทอร์โพส, โซลินอยด์ ฯลฯ) ซึ่งต้องได้รับการทดสอบด้วย ประเด็นสำคัญของการทดสอบพิสูจน์เทคโนโลยีเหล่านี้แต่ละอย่างสามารถดูได้ในแถบด้านข้าง “การทดสอบเซ็นเซอร์ ตัวแก้ปัญหาเชิงตรรกะ และองค์ประกอบสุดท้าย” (ด้านล่าง)
บางสิ่งพิสูจน์และทดสอบได้ง่ายกว่าสิ่งอื่นๆ เทคโนโลยีการไหลและระดับที่ทันสมัยหลายแบบและรุ่นเก่าบางรุ่นจัดอยู่ในประเภทที่ยากกว่า ซึ่งรวมถึงเครื่องวัดอัตราการไหลแบบ Coriolis, เครื่องวัดกระแสน้ำวน, เครื่องวัดแม่เหล็ก, เรดาร์แบบผ่านอากาศ, ระดับอัลตราโซนิก และสวิตช์กระบวนการแบบ in-situ เป็นต้น โชคดีที่ปัจจุบันเทคโนโลยีเหล่านี้หลายตัวมีการวินิจฉัยที่ได้รับการปรับปรุงให้ดีขึ้น ซึ่งช่วยให้การทดสอบมีประสิทธิภาพมากขึ้น
การออกแบบ SIF ต้องคำนึงถึงความยากลำบากในการทดสอบพิสูจน์อุปกรณ์ดังกล่าวในภาคสนาม วิศวกรมักเลือกอุปกรณ์ SIF โดยไม่พิจารณาอย่างจริงจังถึงสิ่งที่จำเป็นสำหรับการทดสอบพิสูจน์อุปกรณ์ เนื่องจากผู้ทดสอบจะไม่ใช่ผู้ทดสอบ เรื่องนี้ก็เป็นจริงเช่นกันสำหรับการทดสอบแบบ Partial-stroke ซึ่งเป็นวิธีทั่วไปในการปรับปรุงค่าเฉลี่ยความน่าจะเป็นของความล้มเหลวตามต้องการ (PFDavg) ของ SIF แต่ในภายหลังฝ่ายปฏิบัติการของโรงงานไม่ต้องการทำ และหลายครั้งก็อาจไม่ทำเช่นนั้น ควรให้โรงงานควบคุมดูแลวิศวกรรมของ SIF ในส่วนที่เกี่ยวข้องกับการทดสอบพิสูจน์อยู่เสมอ
การทดสอบพิสูจน์ควรรวมถึงการตรวจสอบการติดตั้งและซ่อมแซม SIF ตามความจำเป็นเพื่อให้เป็นไปตามข้อ 61511-1 ข้อ 16.3.2 ควรมีการตรวจสอบขั้นสุดท้ายเพื่อให้แน่ใจว่าทุกอย่างเรียบร้อยดี และตรวจสอบซ้ำอีกครั้งว่า SIF ได้รับการติดตั้งกลับเข้าสู่กระบวนการให้บริการอย่างถูกต้องแล้ว
การเขียนและนำขั้นตอนการทดสอบที่ดีไปใช้ถือเป็นขั้นตอนสำคัญในการรับรองความสมบูรณ์ของ SIF ตลอดอายุการใช้งาน ขั้นตอนการทดสอบควรมีรายละเอียดที่เพียงพอเพื่อให้มั่นใจว่าการทดสอบที่จำเป็นได้รับการดำเนินการและบันทึกไว้อย่างสม่ำเสมอและปลอดภัย ความล้มเหลวที่เป็นอันตรายที่ไม่ได้ทดสอบด้วยการทดสอบพิสูจน์ควรได้รับการชดเชยเพื่อให้มั่นใจว่าความสมบูรณ์ด้านความปลอดภัยของ SIF ได้รับการรักษาไว้อย่างเพียงพอตลอดอายุการใช้งาน
การเขียนขั้นตอนการทดสอบพิสูจน์ที่ดีต้องอาศัยแนวทางเชิงตรรกะในการวิเคราะห์ทางวิศวกรรมเกี่ยวกับความล้มเหลวที่อาจเป็นอันตราย การเลือกวิธีการ และการเขียนขั้นตอนการทดสอบพิสูจน์ที่อยู่ในขีดความสามารถในการทดสอบของโรงงาน ระหว่างนี้ โรงงานต้องได้รับการสนับสนุนจากทุกระดับในการทดสอบ และฝึกอบรมช่างเทคนิคให้ดำเนินการและบันทึกการทดสอบพิสูจน์ รวมถึงทำความเข้าใจถึงความสำคัญของการทดสอบ เขียนคำแนะนำราวกับว่าคุณเป็นช่างเทคนิคเครื่องมือที่ต้องทำงาน และชีวิตขึ้นอยู่กับการทดสอบที่ถูกต้อง เพราะพวกเขาทำถูกต้องจริงๆ
Testing sensors, logic solvers and final elements A SIF is typically divided up into three main parts, sensors, logic solvers and final elements. There also typically are auxiliary devices that can be associated within each of these three parts (e.g. I.S. barriers, trip amps, interposing relays, solenoids, etc.) that must also be tested.Sensor proof tests: The sensor proof test must ensure that the sensor can sense the process variable over its full range and transmit the proper signal to the SIS logic solver for evaluation. While not inclusive, some of the things to consider in creating the sensor portion of the proof test procedure are given in Table 1. Table 1: Sensor proof test considerations Process ports clean/process interface check, significant buildup noted Internal diagnostics check, run extended diagnostics if available Sensor calibration (5 point) with simulated process input to sensor, verified through to the DCS, drift check Trip point check High/High-High/Low/Low-Low alarms Redundancy, voting degradation Out of range, deviation, diagnostic alarms Bypass and alarms, restrike User diagnostics Transmitter Fail Safe configuration verified Test associated systems (e.g. purge, heat tracing, etc.) and auxiliary components Physical inspection Complete as-found and as-left documentation Logic solver proof test: When full-function proof testing is done, the logic solver’s part in accomplishing the SIF’s safety action and related actions (e.g. alarms, reset, bypasses, user diagnostics, redundancies, HMI, etc.) are tested. Partial or piecemeal function proof tests must accomplish all these tests as part of the individual overlapping proof tests. The logic solver manufacturer should have a recommended proof test procedure in the device safety manual. If not and as a minimum, the logic solver power should be cycled, and the logic solver diagnostic registers, status lights, power supply voltages, communication links and redundancy should be checked. These checks should be done prior to the full-function proof test.Don’t make the assumption that the software is good forever and the logic need not be tested after the initial proof test as undocumented, unauthorized and untested software and hardware changes and software updates can creep into systems over time and must be factored into your overall proof test philosophy. The management of change, maintenance, and revision logs should be reviewed to ensure they are up to date and properly maintained, and if capable, the application program should be compared to the latest backup.Care should also be taken to test all the user logic solver auxiliary and diagnostic functions (e.g. watchdogs, communication links, cybersecurity appliances, etc.).Final element proof test: Most final elements are valves, however, rotating equipment motor starters, variable-speed drives and other electrical components such as contactors and circuit breakers are also used as final elements and their failure modes must be analyzed and proof tested.The primary failure modes for valves are being stuck, response time too slow or too fast, and leakage, all of which are affected by the valve’s operating process interface at trip time. While testing the valve at operating conditions is the most desirable case, Operations would generally be opposed to tripping the SIF while the plant is operating. Most SIS valves are typically tested while the plant is down at zero differential pressure, which is the least demanding of operating conditions. The user should be aware of the worst-case operational differential pressure and the valve and process degradation effects, which should be factored into the valve and actuator design and sizing.Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).Ambient temperatures can also affect valve friction loads, so that testing valves in warm weather will generally be the least demanding friction load when compared to cold weather operation. As a result, proof testing of valves at a consistent temperature should be considered to provide consistent data for inferential testing for the determination of valve performance degradation.Valves with smart positioners or a digital valve controller generally have capability to create a valve signature that can be used to monitor degradation in valve performance. A baseline valve signature can be requested as part of your purchase order or you can create one during the initial proof test to serve as a baseline. The valve signature should be done for both opening and closing of the valve. Advanced valve diagnostic should also be used if available. This can help tell you if your valve performance is deteriorating by comparing subsequent proof test valve signatures and diagnostics with your baseline. This type of test can help compensate for not testing the valve at worst case operating pressures.The valve signature during a proof test may also be able to record the response time with time stamps, removing the need for a stopwatch. Increased response time is a sign of valve deterioration and increased friction load to move the valve. While there are no standards regarding changes in valve response time, a negative pattern of changes from proof test to proof test is indicative of the potential loss of the valve’s safety margin and performance. Modern SIS valve proof testing should include a valve signature as a matter of good engineering practice.The valve instrument air supply pressure should be measured during a proof test. While the valve spring for a spring-return valve is what closes the valve, the force or torque involved is determined by how much the valve spring is compressed by the valve supply pressure (per Hooke’s Law, F = kX). If your supply pressure is low, the spring will not compress as much, hence less force will be available to move the valve when needed. While not inclusive, some of the things to consider in creating the valve portion of the proof test procedure are given in Table 2. Table 2: Final element valve assembly considerations Test valve safety action at process operating pressure (best but typically not done), and time the valve’s response time. Verify redundancy Test valve safety action at zero differential pressure and time valve’s response time. Verify redundancy Run valve signature and diagnostics as part of proof test and compare to baseline and previous test Visually observe valve action (proper action without unusual vibration or noise, etc.). Verify the valve field and position indication on the DCS Fully stroke the valve a minimum of five times during the proof test to help ensure valve reliability. (This is not intended to fix significant degradation effects or incipient failures). Review valve maintenance records to ensure any changes meet the required valve SRS specifications Test diagnostics for energize-to-trip systems Leak test if Tight Shut Off (TSO) is required Verify the command disagree alarm functionality Inspect valve assembly and internals Remove, test and rebuild as necessary Complete as-found and as-left documentation Solenoids Evaluate venting to provide required response time Evaluate solenoid performance by a digital valve controller or smart positioner Verify redundant solenoid performance (e.g. 1oo2, 2oo3) Interposing Relays Verify correct operation, redundancy Device inspection
โดยทั่วไป SIF จะแบ่งออกเป็นสามส่วนหลัก ได้แก่ เซ็นเซอร์ ตัวแก้ปัญหาเชิงตรรกะ และองค์ประกอบสุดท้าย นอกจากนี้ ยังมีอุปกรณ์เสริมที่สามารถติดตั้งภายในแต่ละส่วนเหล่านี้ (เช่น อุปสรรค IS, แอมป์ทริป, รีเลย์อินเทอร์โพส, โซลินอยด์ ฯลฯ) ซึ่งต้องได้รับการทดสอบด้วยเช่นกัน
การทดสอบพิสูจน์เซ็นเซอร์: การทดสอบพิสูจน์เซ็นเซอร์ต้องมั่นใจว่าเซ็นเซอร์สามารถตรวจจับตัวแปรกระบวนการได้ตลอดช่วงการทำงาน และส่งสัญญาณที่ถูกต้องไปยังตัวแก้ตรรกะ SIS เพื่อประเมินผล แม้ว่าจะไม่ครอบคลุมทั้งหมด แต่สิ่งที่ควรพิจารณาในการสร้างส่วนเซ็นเซอร์ของขั้นตอนการทดสอบพิสูจน์แสดงไว้ในตารางที่ 1
การทดสอบพิสูจน์ด้วย Logic Solver: เมื่อทำการทดสอบพิสูจน์ฟังก์ชันเต็มรูปแบบแล้ว จะมีการทดสอบบทบาทของ Logic Solver ในการดำเนินการด้านความปลอดภัยของ SIF และการดำเนินการที่เกี่ยวข้อง (เช่น การแจ้งเตือน การรีเซ็ต การบายพาส การวินิจฉัยผู้ใช้ การซ้ำซ้อน HMI ฯลฯ) การทดสอบพิสูจน์ฟังก์ชันบางส่วนหรือบางส่วนต้องดำเนินการทดสอบทั้งหมดนี้โดยเป็นส่วนหนึ่งของการทดสอบพิสูจน์ที่ทับซ้อนกัน ผู้ผลิต Logic Solver ควรมีขั้นตอนการทดสอบพิสูจน์ที่แนะนำไว้ในคู่มือความปลอดภัยของอุปกรณ์ หากไม่เป็นเช่นนั้น อย่างน้อยที่สุด ควรปิดและเปิดวงจรจ่ายไฟของ Logic Solver และตรวจสอบรีจิสเตอร์วินิจฉัย ไฟแสดงสถานะ แรงดันไฟฟ้าของแหล่งจ่ายไฟ ลิงก์การสื่อสาร และความซ้ำซ้อนของ Logic Solver การตรวจสอบเหล่านี้ควรทำก่อนการทดสอบพิสูจน์ฟังก์ชันเต็มรูปแบบ
อย่าตั้งสมมติฐานว่าซอฟต์แวร์จะดีตลอดไป และไม่จำเป็นต้องทดสอบตรรกะหลังจากการทดสอบพิสูจน์เบื้องต้น เนื่องจากการเปลี่ยนแปลงและการอัปเดตซอฟต์แวร์และฮาร์ดแวร์ที่ไม่มีเอกสาร ไม่ได้รับอนุญาต และไม่ได้รับการทดสอบ อาจคืบคลานเข้าสู่ระบบเมื่อเวลาผ่านไป และต้องนำมาพิจารณาในปรัชญาการทดสอบพิสูจน์โดยรวมของคุณ ควรมีการตรวจสอบการจัดการบันทึกการเปลี่ยนแปลง การบำรุงรักษา และการแก้ไข เพื่อให้แน่ใจว่าบันทึกเหล่านั้นเป็นปัจจุบันและได้รับการบำรุงรักษาอย่างเหมาะสม และหากสามารถทำได้ ควรเปรียบเทียบโปรแกรมแอปพลิเคชันกับข้อมูลสำรองล่าสุด
นอกจากนี้ ควรระมัดระวังในการทดสอบฟังก์ชันเสริมและการวินิจฉัยของตัวแก้ตรรกะของผู้ใช้ทั้งหมด (เช่น วอทช์ด็อก ลิงก์การสื่อสาร อุปกรณ์รักษาความปลอดภัยทางไซเบอร์ ฯลฯ)
การทดสอบพิสูจน์องค์ประกอบสุดท้าย: องค์ประกอบสุดท้ายส่วนใหญ่เป็นวาล์ว อย่างไรก็ตาม สตาร์ทเตอร์มอเตอร์อุปกรณ์หมุน ไดรฟ์ความเร็วแปรผัน และส่วนประกอบไฟฟ้าอื่นๆ เช่น คอนแทคเตอร์และเบรกเกอร์วงจรยังใช้เป็นองค์ประกอบสุดท้ายด้วย และต้องมีการวิเคราะห์โหมดความล้มเหลวและทดสอบพิสูจน์
โหมดความล้มเหลวหลักของวาล์ว ได้แก่ การติดขัด เวลาตอบสนองช้าหรือเร็วเกินไป และการรั่วไหล ซึ่งทั้งหมดนี้ได้รับผลกระทบจากส่วนต่อประสานกระบวนการทำงาน (SIF) ของวาล์ว ณ เวลาหยุดทำงาน แม้ว่าการทดสอบวาล์วในสภาวะการทำงานจะเป็นกรณีที่ต้องการมากที่สุด แต่โดยทั่วไปแล้วฝ่ายปฏิบัติการจะคัดค้านการหยุดการทำงานของ SIF ขณะที่โรงงานกำลังทำงาน โดยทั่วไปแล้ว วาล์ว SIS ส่วนใหญ่จะได้รับการทดสอบในขณะที่โรงงานหยุดทำงานที่ความดันต่างศูนย์ ซึ่งเป็นสภาวะการทำงานที่ไม่ต้องการแรงกดมากที่สุด ผู้ใช้ควรตระหนักถึงความดันต่างในกรณีที่เลวร้ายที่สุดในการทำงาน รวมถึงผลกระทบจากการเสื่อมสภาพของวาล์วและกระบวนการ ซึ่งควรนำมาพิจารณาในการออกแบบและกำหนดขนาดของวาล์วและตัวกระตุ้น
Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).
อุณหภูมิแวดล้อมยังส่งผลต่อแรงเสียดทานของวาล์วด้วย ดังนั้น การทดสอบวาล์วในสภาพอากาศอบอุ่นโดยทั่วไปจะเป็นการทดสอบแรงเสียดทานที่น้อยที่สุดเมื่อเทียบกับการใช้งานในสภาพอากาศเย็น ดังนั้น ควรพิจารณาการทดสอบพิสูจน์วาล์วที่อุณหภูมิคงที่ เพื่อให้ได้ข้อมูลที่สอดคล้องกันสำหรับการทดสอบเชิงอนุมานเพื่อประเมินการเสื่อมประสิทธิภาพของวาล์ว
วาล์วที่มีตัวกำหนดตำแหน่งอัจฉริยะหรือตัวควบคุมวาล์วแบบดิจิทัลโดยทั่วไปจะมีความสามารถในการสร้างลายเซ็นวาล์ว ซึ่งสามารถใช้ตรวจสอบการเสื่อมประสิทธิภาพของวาล์วได้ คุณสามารถขอลายเซ็นวาล์วพื้นฐานได้เมื่อสั่งซื้อ หรือสร้างลายเซ็นวาล์วระหว่างการทดสอบพิสูจน์เบื้องต้นเพื่อใช้เป็นข้อมูลพื้นฐาน ลายเซ็นวาล์วควรทำทั้งสำหรับการเปิดและปิดวาล์ว ควรใช้การวินิจฉัยวาล์วขั้นสูงด้วยหากมี วิธีนี้สามารถช่วยบอกคุณได้ว่าประสิทธิภาพของวาล์วของคุณกำลังลดลงหรือไม่ โดยการเปรียบเทียบลายเซ็นวาล์วและการวินิจฉัยการทดสอบพิสูจน์ที่ตามมากับข้อมูลพื้นฐาน การทดสอบประเภทนี้สามารถช่วยชดเชยการไม่ได้ทดสอบวาล์วภายใต้แรงดันใช้งานที่เลวร้ายที่สุด
ลายเซ็นวาล์วระหว่างการทดสอบพิสูจน์อาจสามารถบันทึกเวลาตอบสนองด้วยตราประทับเวลาได้ จึงไม่จำเป็นต้องใช้นาฬิกาจับเวลา เวลาตอบสนองที่เพิ่มขึ้นเป็นสัญญาณของการเสื่อมสภาพของวาล์วและแรงเสียดทานที่เพิ่มขึ้นในการเคลื่อนวาล์ว แม้ว่าจะไม่มีมาตรฐานใดๆ เกี่ยวกับการเปลี่ยนแปลงเวลาตอบสนองของวาล์ว แต่รูปแบบเชิงลบของการเปลี่ยนแปลงจากการทดสอบพิสูจน์หนึ่งไปสู่อีกการทดสอบพิสูจน์หนึ่งบ่งชี้ถึงการสูญเสียความปลอดภัยและประสิทธิภาพของวาล์วที่อาจเกิดขึ้น การทดสอบพิสูจน์วาล์ว SIS สมัยใหม่ควรมีลายเซ็นวาล์วด้วย ซึ่งถือเป็นหลักปฏิบัติทางวิศวกรรมที่ดี
ควรวัดแรงดันอากาศที่จ่ายเข้าเครื่องมือวัดวาล์วในระหว่างการทดสอบพิสูจน์ แม้ว่าสปริงวาล์วสำหรับวาล์วแบบสปริงกลับจะเป็นตัวปิดวาล์ว แต่แรงหรือแรงบิดที่เกี่ยวข้องจะขึ้นอยู่กับแรงดันที่จ่ายเข้าของวาล์วที่สปริงวาล์วถูกบีบอัด (ตามกฎของฮุก F = kX) หากแรงดันที่จ่ายเข้าต่ำ สปริงจะไม่ถูกบีบอัดมากนัก ดังนั้นจึงมีแรงน้อยลงในการเคลื่อนวาล์วเมื่อจำเป็น แม้ว่าจะไม่ครอบคลุมทั้งหมด แต่สิ่งที่ควรพิจารณาในการสร้างส่วนวาล์วในขั้นตอนการทดสอบพิสูจน์แสดงไว้ในตารางที่ 2
เวลาโพสต์: 13 พ.ย. 2562