Uji bukti merupakan bagian integral dari pemeliharaan integritas keselamatan sistem instrumen keselamatan (SIS) dan sistem terkait keselamatan (misalnya alarm kritis, sistem kebakaran & gas, sistem interlock instrumen, dll.). Uji bukti adalah pengujian berkala untuk mendeteksi kegagalan berbahaya, menguji fungsionalitas terkait keselamatan (misalnya pengaturan ulang, bypass, alarm, diagnostik, penghentian manual, dll.), dan memastikan sistem memenuhi standar perusahaan dan eksternal. Hasil uji bukti juga merupakan ukuran efektivitas program integritas mekanis SIS dan keandalan sistem di lapangan.
Prosedur uji bukti meliputi langkah-langkah pengujian mulai dari perolehan izin, pembuatan notifikasi, dan penghentian layanan sistem untuk pengujian, hingga memastikan pengujian menyeluruh, mendokumentasikan uji bukti dan hasilnya, menempatkan sistem kembali dalam layanan, dan mengevaluasi hasil uji terkini serta hasil uji bukti sebelumnya.
ANSI/ISA/IEC 61511-1, Klausul 16, mencakup pengujian bukti SIS. Laporan teknis ISA TR84.00.03 – “Integritas Mekanik Sistem Instrumen Keselamatan (SIS)”, mencakup pengujian bukti dan saat ini sedang direvisi dengan versi baru yang diharapkan segera terbit. Laporan teknis ISA TR96.05.02 – “Pengujian Bukti In-situ Katup Otomatis” saat ini sedang dalam pengembangan.
Laporan HSE Inggris CRR 428/2002 – “Prinsip untuk pengujian bukti sistem instrumen keselamatan dalam industri kimia” memberikan informasi tentang pengujian bukti dan apa yang dilakukan perusahaan di Inggris.
Prosedur uji bukti didasarkan pada analisis mode kegagalan berbahaya yang diketahui untuk setiap komponen dalam jalur trip fungsi instrumen keselamatan (SIF), fungsionalitas SIF sebagai suatu sistem, dan bagaimana (dan apakah) menguji mode kegagalan berbahaya tersebut. Pengembangan prosedur harus dimulai pada fase desain SIF dengan desain sistem, pemilihan komponen, dan penentuan kapan dan bagaimana melakukan uji bukti. Instrumen SIS memiliki tingkat kesulitan uji bukti yang bervariasi yang harus dipertimbangkan dalam desain, pengoperasian, dan pemeliharaan SIF. Misalnya, orifice meter dan pemancar tekanan lebih mudah diuji daripada Coriolis mass flowmeter, mag meter, atau sensor level radar udara. Aplikasi dan desain katup juga dapat memengaruhi kelengkapan uji bukti katup untuk memastikan bahwa kegagalan berbahaya dan yang baru terjadi akibat degradasi, penyumbatan, atau kegagalan yang bergantung waktu tidak menyebabkan kegagalan kritis dalam interval uji yang dipilih.
Meskipun prosedur uji bukti biasanya dikembangkan selama fase rekayasa SIF, prosedur tersebut juga harus ditinjau oleh Otoritas Teknis SIS di lokasi, Operasi, dan teknisi instrumen yang akan melakukan pengujian. Analisis keselamatan kerja (JSA) juga harus dilakukan. Penting untuk mendapatkan persetujuan pabrik mengenai pengujian apa yang akan dilakukan dan kapan, serta kelayakan fisik dan keselamatannya. Misalnya, tidak ada gunanya menentukan pengujian partial-stroke jika tim Operasi tidak setuju. Disarankan juga agar prosedur uji bukti ditinjau oleh pakar materi pokok (SME) independen. Pengujian umum yang diperlukan untuk uji bukti fungsi penuh diilustrasikan pada Gambar 1.
Persyaratan uji bukti fungsi penuh Gambar 1: Spesifikasi uji bukti fungsi penuh untuk fungsi instrumen keselamatan (SIF) dan sistem instrumen keselamatan (SIS) harus menjelaskan atau merujuk ke langkah-langkah secara berurutan dari persiapan pengujian dan prosedur pengujian hingga pemberitahuan dan dokumentasi.
Gambar 1: Spesifikasi uji bukti fungsi penuh untuk fungsi instrumen keselamatan (SIF) dan sistem instrumen keselamatan (SIS) harus menguraikan atau merujuk pada langkah-langkah secara berurutan dari persiapan pengujian dan prosedur pengujian hingga pemberitahuan dan dokumentasi.
Pengujian bukti merupakan tindakan pemeliharaan terencana yang harus dilakukan oleh personel kompeten yang terlatih dalam pengujian SIS, prosedur pengujian, dan loop SIS yang akan diuji. Prosedur harus dikaji ulang sebelum melakukan pengujian bukti awal, dan setelahnya, harus diberikan umpan balik kepada Otoritas Teknis SIS di lokasi untuk perbaikan atau koreksi.
Terdapat dua mode kegagalan utama (aman atau berbahaya), yang dibagi lagi menjadi empat mode—berbahaya tak terdeteksi, berbahaya terdeteksi (melalui diagnostik), aman tak terdeteksi, dan aman terdeteksi. Istilah kegagalan berbahaya dan berbahaya tak terdeteksi digunakan secara bergantian dalam artikel ini.
Dalam pengujian bukti SIF, kami terutama tertarik pada mode kegagalan berbahaya yang tidak terdeteksi, tetapi jika terdapat diagnostik pengguna yang mendeteksi kegagalan berbahaya, diagnostik ini harus diuji buktinya. Perlu dicatat bahwa tidak seperti diagnostik pengguna, diagnostik internal perangkat biasanya tidak dapat divalidasi fungsinya oleh pengguna, dan hal ini dapat memengaruhi filosofi uji bukti. Ketika kredit untuk diagnostik diperhitungkan dalam perhitungan SIL, alarm diagnostik (misalnya alarm di luar jangkauan) harus diuji sebagai bagian dari uji bukti.
Mode kegagalan dapat dibagi lagi menjadi mode kegagalan yang diuji selama uji bukti, mode kegagalan yang tidak diuji, dan kegagalan awal atau kegagalan yang bergantung pada waktu. Beberapa mode kegagalan berbahaya mungkin tidak diuji secara langsung karena berbagai alasan (misalnya kesulitan, keputusan teknis atau operasional, ketidaktahuan, inkompetensi, kelalaian atau kesalahan sistematis, probabilitas kejadian yang rendah, dll.). Jika terdapat mode kegagalan yang diketahui tidak akan diuji, kompensasi harus dilakukan dalam desain perangkat, prosedur pengujian, penggantian atau pembangunan kembali perangkat secara berkala, dan/atau pengujian inferensial harus dilakukan untuk meminimalkan dampak pada integritas SIF jika tidak dilakukan pengujian.
Kegagalan insipien adalah kondisi atau keadaan yang memburuk sehingga kegagalan kritis dan berbahaya dapat diperkirakan terjadi jika tindakan korektif tidak diambil tepat waktu. Kegagalan ini biasanya terdeteksi melalui perbandingan kinerja dengan uji bukti benchmark terbaru atau awal (misalnya, tanda katup atau waktu respons katup) atau melalui inspeksi (misalnya, port proses yang tersumbat). Kegagalan insipien umumnya bergantung pada waktu—semakin lama perangkat atau rakitan beroperasi, semakin parah kerusakannya; kondisi yang memfasilitasi kegagalan acak menjadi lebih mungkin, penyumbatan port proses atau penumpukan sensor seiring waktu, masa pakainya telah habis, dll. Oleh karena itu, semakin lama interval uji bukti, semakin besar kemungkinan kegagalan insipien atau kegagalan yang bergantung pada waktu. Setiap perlindungan terhadap kegagalan insipien juga harus diuji buktinya (pembersihan port, pelacakan panas, dll.).
Prosedur harus disusun untuk melakukan uji bukti kegagalan berbahaya (yang tidak terdeteksi). Teknik analisis mode dan efek kegagalan (FMEA) atau analisis mode, efek, dan diagnostik kegagalan (FMEDA) dapat membantu mengidentifikasi kegagalan berbahaya yang tidak terdeteksi, dan di mana cakupan uji bukti perlu ditingkatkan.
Banyak prosedur uji bukti ditulis berdasarkan pengalaman dan templat dari prosedur yang ada. Prosedur baru dan SIF yang lebih rumit membutuhkan pendekatan yang lebih terekayasa menggunakan FMEA/FMEDA untuk menganalisis kegagalan berbahaya, menentukan bagaimana prosedur pengujian akan menguji atau tidak menguji kegagalan tersebut, dan cakupan pengujian. Diagram blok analisis mode kegagalan tingkat makro untuk sebuah sensor ditunjukkan pada Gambar 2. FMEA biasanya hanya perlu dilakukan sekali untuk jenis perangkat tertentu dan digunakan kembali untuk perangkat serupa dengan mempertimbangkan kemampuan layanan proses, instalasi, dan pengujian di lokasi.
Analisis kegagalan tingkat makro Gambar 2: Diagram blok analisis mode kegagalan tingkat makro untuk sensor dan pemancar tekanan (PT) ini menunjukkan fungsi-fungsi utama yang biasanya akan dipecah menjadi beberapa analisis kegagalan mikro untuk sepenuhnya menentukan potensi kegagalan yang akan ditangani dalam pengujian fungsi.
Gambar 2: Diagram blok analisis mode kegagalan tingkat makro untuk sensor dan pemancar tekanan (PT) ini menunjukkan fungsi-fungsi utama yang biasanya akan dipecah menjadi beberapa analisis kegagalan mikro untuk sepenuhnya menentukan potensi kegagalan yang akan ditangani dalam pengujian fungsi.
Persentase kegagalan yang diketahui, berbahaya, dan tidak terdeteksi yang telah diuji buktinya disebut cakupan uji bukti (PTC). PTC umumnya digunakan dalam perhitungan SIL untuk "mengkompensasi" kegagalan dalam menguji SIF secara lebih menyeluruh. Banyak orang memiliki keyakinan yang keliru bahwa karena mereka telah mempertimbangkan kurangnya cakupan pengujian dalam perhitungan SIL mereka, mereka telah merancang SIF yang andal. Faktanya, jika cakupan pengujian Anda adalah 75%, dan jika Anda memasukkan angka tersebut ke dalam perhitungan SIL dan menguji hal-hal yang sudah Anda uji lebih sering, 25% dari kegagalan berbahaya masih dapat terjadi secara statistik. Saya tentu tidak ingin berada di angka 25% itu.
Laporan persetujuan FMEDA dan manual keselamatan untuk perangkat biasanya menyediakan prosedur uji bukti minimum dan cakupan uji bukti. Prosedur ini hanya menyediakan panduan, bukan semua langkah pengujian yang diperlukan untuk prosedur uji bukti yang komprehensif. Jenis analisis kegagalan lainnya, seperti analisis pohon kesalahan dan pemeliharaan yang berpusat pada keandalan, juga digunakan untuk menganalisis kegagalan yang berbahaya.
Uji bukti dapat dibagi menjadi pengujian fungsional penuh (end-to-end) atau pengujian fungsional parsial (Gambar 3). Pengujian fungsional parsial umumnya dilakukan ketika komponen SIF memiliki interval pengujian yang berbeda dalam perhitungan SIL yang tidak sesuai dengan waktu penghentian atau turnaround yang direncanakan. Prosedur uji bukti fungsional parsial harus tumpang tindih sehingga dapat menguji semua fungsi keselamatan SIF. Untuk pengujian fungsional parsial, SIF tetap direkomendasikan untuk melakukan uji bukti end-to-end awal, dan selanjutnya selama turnaround.
Pengujian bukti parsial harus berjumlah Gambar 3: Pengujian bukti parsial gabungan (bawah) harus mencakup semua fungsionalitas pengujian bukti fungsional penuh (atas).
Gambar 3: Uji pembuktian parsial gabungan (bawah) harus mencakup semua fungsionalitas uji pembuktian fungsional penuh (atas).
Uji bukti parsial hanya menguji sebagian mode kegagalan perangkat. Contoh umum adalah pengujian katup langkah parsial, di mana katup digerakkan sedikit (10-20%) untuk memastikan katup tidak macet. Cakupan uji bukti ini lebih rendah daripada uji bukti pada interval uji primer.
Prosedur uji bukti dapat bervariasi dalam kompleksitasnya dengan kompleksitas SIF dan filosofi prosedur pengujian perusahaan. Beberapa perusahaan menulis prosedur pengujian langkah demi langkah yang terperinci, sementara yang lain memiliki prosedur yang cukup singkat. Referensi ke prosedur lain, seperti kalibrasi standar, terkadang digunakan untuk mengurangi ukuran prosedur uji bukti dan untuk membantu memastikan konsistensi dalam pengujian. Prosedur uji bukti yang baik harus memberikan detail yang cukup untuk memastikan bahwa semua pengujian diselesaikan dan didokumentasikan dengan benar, tetapi tidak terlalu detail untuk menyebabkan teknisi ingin melewatkan langkah-langkah. Memiliki teknisi, yang bertanggung jawab untuk melakukan langkah pengujian, menginisialisasi langkah pengujian yang telah selesai dapat membantu memastikan bahwa pengujian akan dilakukan dengan benar. Penandatanganan uji bukti yang telah selesai oleh Supervisor Instrumen dan perwakilan Operasi juga akan menekankan pentingnya dan memastikan uji bukti yang diselesaikan dengan benar.
Umpan balik dari teknisi harus selalu diminta untuk membantu meningkatkan prosedur. Keberhasilan prosedur uji bukti sebagian besar berada di tangan teknisi, sehingga upaya kolaboratif sangat disarankan.
Sebagian besar pengujian bukti biasanya dilakukan secara luring selama penghentian atau turnaround. Dalam beberapa kasus, pengujian bukti mungkin perlu dilakukan secara daring saat beroperasi untuk memenuhi perhitungan SIL atau persyaratan lainnya. Pengujian daring memerlukan perencanaan dan koordinasi dengan Operasi agar pengujian bukti dapat dilakukan dengan aman, tanpa mengganggu proses, dan tanpa menyebabkan trip palsu. Hanya perlu satu trip palsu untuk menghabiskan semua attaboy Anda. Selama pengujian jenis ini, ketika SIF tidak sepenuhnya tersedia untuk menjalankan tugas keselamatannya, 61511-1, Klausul 11.8.5, menyatakan bahwa "Tindakan kompensasi yang menjamin kelanjutan operasi yang aman harus disediakan sesuai dengan 11.3 ketika SIS dalam bypass (perbaikan atau pengujian)." Prosedur manajemen situasi abnormal harus disertakan dengan prosedur pengujian bukti untuk membantu memastikan hal ini dilakukan dengan benar.
SIF biasanya dibagi menjadi tiga bagian utama: sensor, pemecah logika, dan elemen akhir. Biasanya juga terdapat perangkat tambahan yang dapat dikaitkan dengan masing-masing dari ketiga bagian ini (misalnya, penghalang IS, penguat trip, relai interposing, solenoid, dll.) yang juga harus diuji. Aspek-aspek penting dari pengujian pembuktian masing-masing teknologi ini dapat ditemukan di bilah samping, "Menguji sensor, pemecah logika, dan elemen akhir" (di bawah).
Beberapa hal lebih mudah diuji pembuktiannya dibandingkan yang lain. Banyak teknologi aliran dan level modern dan beberapa yang lebih tua berada dalam kategori yang lebih sulit. Ini termasuk flowmeter Coriolis, vortex meter, mag meter, radar udara, level ultrasonik, dan sakelar proses in-situ, sebagai contoh. Untungnya, banyak dari teknologi ini sekarang memiliki diagnostik canggih yang memungkinkan pengujian yang lebih baik.
Kesulitan dalam melakukan uji coba perangkat semacam itu di lapangan harus dipertimbangkan dalam desain SIF. Teknik mudah memilih perangkat SIF tanpa mempertimbangkan secara serius apa yang diperlukan untuk melakukan uji coba perangkat tersebut, karena bukan mereka yang akan mengujinya. Hal ini juga berlaku untuk pengujian partial-stroke, yang merupakan cara umum untuk meningkatkan probabilitas kegagalan rata-rata SIF sesuai permintaan (PFDavg), tetapi nantinya Operasional pabrik tidak ingin melakukannya, dan seringkali tidak melakukannya. Selalu berikan pengawasan pabrik terhadap rekayasa SIF terkait pengujian uji coba.
Uji bukti harus mencakup inspeksi pemasangan dan perbaikan SIF sebagaimana diperlukan untuk memenuhi 61511-1, Klausul 16.3.2. Harus ada inspeksi akhir untuk memastikan semuanya terpasang dengan benar, dan pemeriksaan ulang bahwa SIF telah dikembalikan ke layanan proses dengan benar.
Menulis dan menerapkan prosedur pengujian yang baik merupakan langkah penting untuk memastikan integritas SIF selama masa pakainya. Prosedur pengujian harus memberikan detail yang memadai untuk memastikan bahwa pengujian yang diperlukan dilakukan dan didokumentasikan secara konsisten dan aman. Kegagalan berbahaya yang tidak diuji dengan uji bukti harus dikompensasi untuk memastikan bahwa integritas keselamatan SIF terjaga dengan baik selama masa pakainya.
Menulis prosedur uji bukti yang baik membutuhkan pendekatan logis terhadap analisis teknis potensi kegagalan berbahaya, pemilihan sarana, dan penulisan langkah-langkah uji bukti yang sesuai dengan kemampuan pengujian pabrik. Dalam prosesnya, dapatkan dukungan pabrik di semua tingkatan untuk pengujian, dan latih teknisi untuk melakukan dan mendokumentasikan uji bukti serta memahami pentingnya pengujian tersebut. Tulis instruksi seolah-olah Anda adalah teknisi instrumen yang harus melakukan pekerjaan tersebut, dan bahwa nyawa manusia bergantung pada pengujian yang tepat, karena memang demikianlah kenyataannya.
Testing sensors, logic solvers and final elements A SIF is typically divided up into three main parts, sensors, logic solvers and final elements. There also typically are auxiliary devices that can be associated within each of these three parts (e.g. I.S. barriers, trip amps, interposing relays, solenoids, etc.) that must also be tested.Sensor proof tests: The sensor proof test must ensure that the sensor can sense the process variable over its full range and transmit the proper signal to the SIS logic solver for evaluation. While not inclusive, some of the things to consider in creating the sensor portion of the proof test procedure are given in Table 1. Table 1: Sensor proof test considerations Process ports clean/process interface check, significant buildup noted Internal diagnostics check, run extended diagnostics if available Sensor calibration (5 point) with simulated process input to sensor, verified through to the DCS, drift check Trip point check High/High-High/Low/Low-Low alarms Redundancy, voting degradation Out of range, deviation, diagnostic alarms Bypass and alarms, restrike User diagnostics Transmitter Fail Safe configuration verified Test associated systems (e.g. purge, heat tracing, etc.) and auxiliary components Physical inspection Complete as-found and as-left documentation Logic solver proof test: When full-function proof testing is done, the logic solver’s part in accomplishing the SIF’s safety action and related actions (e.g. alarms, reset, bypasses, user diagnostics, redundancies, HMI, etc.) are tested. Partial or piecemeal function proof tests must accomplish all these tests as part of the individual overlapping proof tests. The logic solver manufacturer should have a recommended proof test procedure in the device safety manual. If not and as a minimum, the logic solver power should be cycled, and the logic solver diagnostic registers, status lights, power supply voltages, communication links and redundancy should be checked. These checks should be done prior to the full-function proof test.Don’t make the assumption that the software is good forever and the logic need not be tested after the initial proof test as undocumented, unauthorized and untested software and hardware changes and software updates can creep into systems over time and must be factored into your overall proof test philosophy. The management of change, maintenance, and revision logs should be reviewed to ensure they are up to date and properly maintained, and if capable, the application program should be compared to the latest backup.Care should also be taken to test all the user logic solver auxiliary and diagnostic functions (e.g. watchdogs, communication links, cybersecurity appliances, etc.).Final element proof test: Most final elements are valves, however, rotating equipment motor starters, variable-speed drives and other electrical components such as contactors and circuit breakers are also used as final elements and their failure modes must be analyzed and proof tested.The primary failure modes for valves are being stuck, response time too slow or too fast, and leakage, all of which are affected by the valve’s operating process interface at trip time. While testing the valve at operating conditions is the most desirable case, Operations would generally be opposed to tripping the SIF while the plant is operating. Most SIS valves are typically tested while the plant is down at zero differential pressure, which is the least demanding of operating conditions. The user should be aware of the worst-case operational differential pressure and the valve and process degradation effects, which should be factored into the valve and actuator design and sizing.Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).Ambient temperatures can also affect valve friction loads, so that testing valves in warm weather will generally be the least demanding friction load when compared to cold weather operation. As a result, proof testing of valves at a consistent temperature should be considered to provide consistent data for inferential testing for the determination of valve performance degradation.Valves with smart positioners or a digital valve controller generally have capability to create a valve signature that can be used to monitor degradation in valve performance. A baseline valve signature can be requested as part of your purchase order or you can create one during the initial proof test to serve as a baseline. The valve signature should be done for both opening and closing of the valve. Advanced valve diagnostic should also be used if available. This can help tell you if your valve performance is deteriorating by comparing subsequent proof test valve signatures and diagnostics with your baseline. This type of test can help compensate for not testing the valve at worst case operating pressures.The valve signature during a proof test may also be able to record the response time with time stamps, removing the need for a stopwatch. Increased response time is a sign of valve deterioration and increased friction load to move the valve. While there are no standards regarding changes in valve response time, a negative pattern of changes from proof test to proof test is indicative of the potential loss of the valve’s safety margin and performance. Modern SIS valve proof testing should include a valve signature as a matter of good engineering practice.The valve instrument air supply pressure should be measured during a proof test. While the valve spring for a spring-return valve is what closes the valve, the force or torque involved is determined by how much the valve spring is compressed by the valve supply pressure (per Hooke’s Law, F = kX). If your supply pressure is low, the spring will not compress as much, hence less force will be available to move the valve when needed. While not inclusive, some of the things to consider in creating the valve portion of the proof test procedure are given in Table 2. Table 2: Final element valve assembly considerations Test valve safety action at process operating pressure (best but typically not done), and time the valve’s response time. Verify redundancy Test valve safety action at zero differential pressure and time valve’s response time. Verify redundancy Run valve signature and diagnostics as part of proof test and compare to baseline and previous test Visually observe valve action (proper action without unusual vibration or noise, etc.). Verify the valve field and position indication on the DCS Fully stroke the valve a minimum of five times during the proof test to help ensure valve reliability. (This is not intended to fix significant degradation effects or incipient failures). Review valve maintenance records to ensure any changes meet the required valve SRS specifications Test diagnostics for energize-to-trip systems Leak test if Tight Shut Off (TSO) is required Verify the command disagree alarm functionality Inspect valve assembly and internals Remove, test and rebuild as necessary Complete as-found and as-left documentation Solenoids Evaluate venting to provide required response time Evaluate solenoid performance by a digital valve controller or smart positioner Verify redundant solenoid performance (e.g. 1oo2, 2oo3) Interposing Relays Verify correct operation, redundancy Device inspection
SIF biasanya dibagi menjadi tiga bagian utama: sensor, pemecah logika, dan elemen akhir. Biasanya juga terdapat perangkat tambahan yang dapat dikaitkan dengan masing-masing dari ketiga bagian ini (misalnya, penghalang IS, penguat trip, relai interposing, solenoid, dll.) yang juga harus diuji.
Uji sensor proof: Uji sensor proof harus memastikan bahwa sensor dapat mendeteksi variabel proses di seluruh rentangnya dan mengirimkan sinyal yang tepat ke pemecah logika SIS untuk evaluasi. Meskipun tidak mencakup semua hal, beberapa hal yang perlu dipertimbangkan dalam membuat bagian sensor dari prosedur uji proof diberikan pada Tabel 1.
Uji pembuktian fungsi penuh oleh pemecah logika: Ketika pengujian pembuktian fungsi penuh dilakukan, peran pemecah logika dalam menyelesaikan tindakan keamanan SIF dan tindakan terkait (misalnya alarm, reset, bypass, diagnostik pengguna, redundansi, HMI, dll.) diuji. Uji pembuktian fungsi parsial atau sebagian harus menyelesaikan semua pengujian ini sebagai bagian dari masing-masing uji pembuktian tumpang tindih. Produsen pemecah logika harus memiliki prosedur uji pembuktian yang direkomendasikan dalam manual keselamatan perangkat. Jika tidak, dan minimal, daya pemecah logika harus disikluskan, dan register diagnostik pemecah logika, lampu status, tegangan catu daya, tautan komunikasi, dan redundansi harus diperiksa. Pemeriksaan ini harus dilakukan sebelum uji pembuktian fungsi penuh.
Jangan berasumsi bahwa perangkat lunak akan baik selamanya dan logikanya tidak perlu diuji setelah uji bukti awal karena perubahan dan pembaruan perangkat lunak serta perangkat keras yang tidak terdokumentasi, tidak sah, dan tidak teruji dapat menyusup ke dalam sistem seiring waktu dan harus diperhitungkan dalam filosofi uji bukti Anda secara keseluruhan. Pengelolaan log perubahan, pemeliharaan, dan revisi harus ditinjau untuk memastikan semuanya mutakhir dan terpelihara dengan baik, dan jika memungkinkan, program aplikasi harus dibandingkan dengan cadangan terbaru.
Perhatian juga harus diberikan untuk menguji semua fungsi tambahan dan diagnostik pemecah logika pengguna (misalnya pengawas, tautan komunikasi, peralatan keamanan siber, dll.).
Uji bukti elemen akhir: Sebagian besar elemen akhir adalah katup, namun, motor starter peralatan putar, penggerak kecepatan variabel, dan komponen listrik lainnya seperti kontaktor dan pemutus sirkuit juga digunakan sebagai elemen akhir dan mode kegagalannya harus dianalisis dan diuji buktinya.
Mode kegagalan utama katup adalah macet, waktu respons terlalu lambat atau terlalu cepat, dan kebocoran, yang semuanya dipengaruhi oleh antarmuka proses operasi katup pada waktu trip. Meskipun pengujian katup pada kondisi operasi merupakan kasus yang paling diinginkan, pihak operasional umumnya tidak akan melakukan trip pada SIF saat instalasi sedang beroperasi. Sebagian besar katup SIS biasanya diuji saat instalasi sedang beroperasi pada tekanan diferensial nol, yang merupakan kondisi operasi paling ringan. Pengguna harus menyadari tekanan diferensial operasional terburuk dan efek degradasi katup serta proses, yang harus diperhitungkan dalam desain dan ukuran katup serta aktuator.
Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).
Suhu sekitar juga dapat memengaruhi beban gesekan katup, sehingga pengujian katup dalam cuaca hangat umumnya akan memberikan beban gesekan yang paling ringan dibandingkan dengan operasi pada cuaca dingin. Oleh karena itu, pengujian katup pada suhu yang konsisten perlu dipertimbangkan untuk menghasilkan data yang konsisten bagi pengujian inferensial guna menentukan penurunan kinerja katup.
Katup dengan posisi pintar atau pengontrol katup digital umumnya memiliki kemampuan untuk menghasilkan tanda katup yang dapat digunakan untuk memantau penurunan kinerja katup. Tanda katup dasar dapat diminta sebagai bagian dari pesanan pembelian Anda atau Anda dapat membuatnya selama uji bukti awal untuk dijadikan dasar. Tanda katup harus dilakukan untuk membuka dan menutup katup. Diagnostik katup tingkat lanjut juga harus digunakan jika tersedia. Ini dapat membantu Anda mengetahui apakah kinerja katup Anda memburuk dengan membandingkan tanda katup dan diagnostik uji bukti selanjutnya dengan dasar Anda. Jenis pengujian ini dapat membantu mengkompensasi jika katup tidak diuji pada tekanan operasi terburuk.
Tanda katup selama uji pembuktian juga dapat merekam waktu respons dengan stempel waktu, sehingga tidak perlu lagi menggunakan stopwatch. Peningkatan waktu respons merupakan tanda kerusakan katup dan peningkatan beban gesekan untuk menggerakkan katup. Meskipun tidak ada standar mengenai perubahan waktu respons katup, pola perubahan negatif dari satu uji pembuktian ke uji pembuktian lainnya menunjukkan potensi hilangnya margin keamanan dan kinerja katup. Pengujian pembuktian katup SIS modern harus mencakup tanda katup sebagai bagian dari praktik rekayasa yang baik.
Tekanan suplai udara instrumen katup harus diukur selama uji pembuktian. Meskipun pegas katup untuk katup pegas-kembali adalah yang menutup katup, gaya atau torsi yang terlibat ditentukan oleh seberapa besar pegas katup dikompresi oleh tekanan suplai katup (sesuai Hukum Hooke, F = kX). Jika tekanan suplai Anda rendah, pegas tidak akan terkompresi sebanyak itu, sehingga gaya yang tersedia untuk menggerakkan katup saat dibutuhkan akan lebih sedikit. Meskipun tidak mencakup semua hal, beberapa hal yang perlu dipertimbangkan dalam membuat bagian katup dari prosedur uji pembuktian diberikan dalam Tabel 2.
Waktu posting: 13-Nov-2019