Les tests de sécurité font partie intégrante du maintien de l'intégrité de nos systèmes instrumentés de sécurité (SIS) et des systèmes liés à la sécurité (par exemple, alarmes critiques, systèmes incendie et gaz, systèmes de verrouillage instrumentés, etc.). Un test de sécurité est un essai périodique visant à détecter les défaillances dangereuses, à tester les fonctionnalités liées à la sécurité (par exemple, réinitialisation, contournements, alarmes, diagnostics, arrêt manuel, etc.) et à garantir la conformité du système aux normes de l'entreprise et aux normes externes. Les résultats des tests de sécurité constituent également une mesure de l'efficacité du programme d'intégrité mécanique du SIS et de la fiabilité du système sur le terrain.
Les procédures de test de preuve couvrent les étapes de test depuis l'obtention des permis, l'émission de notifications et la mise hors service du système pour les tests jusqu'à la garantie de tests complets, la documentation du test de preuve et de ses résultats, la remise en service du système et l'évaluation des résultats des tests actuels et des résultats des tests de preuve précédents.
La norme ANSI/ISA/IEC 61511-1, article 16, couvre les essais de sécurité des systèmes SIS. Le rapport technique ISA TR84.00.03 – « Intégrité mécanique des systèmes instrumentés de sécurité (SIS) » couvre les essais de sécurité et est actuellement en cours de révision. Une nouvelle version est attendue prochainement. Le rapport technique ISA TR96.05.02 – « Essais de sécurité in situ des vannes automatisées » est en cours d'élaboration.
Le rapport HSE du Royaume-Uni CRR 428/2002 – « Principes pour les tests de sécurité des systèmes instrumentés de sécurité dans l’industrie chimique » fournit des informations sur les tests de sécurité et sur ce que font les entreprises au Royaume-Uni.
Une procédure d'essai de sécurité repose sur l'analyse des modes de défaillance dangereux connus pour chaque composant du chemin de déclenchement de la fonction instrumentée de sécurité (FIS), sur la fonctionnalité de la FIS en tant que système et sur la manière (et l'opportunité) de tester ce mode de défaillance dangereux. L'élaboration de la procédure doit commencer dès la phase de conception de la FIS, avec la conception du système, la sélection des composants et la détermination du moment et de la méthode d'essai de sécurité. Les instruments de la FIS présentent des degrés de difficulté d'essai de sécurité variables qui doivent être pris en compte lors de la conception, de l'exploitation et de la maintenance de la FIS. Par exemple, les débitmètres à orifice et les transmetteurs de pression sont plus faciles à tester que les débitmètres massiques Coriolis, les débitmètres magnétiques ou les capteurs de niveau radar à balayage d'air. L'application et la conception de la vanne peuvent également influencer l'exhaustivité de l'essai de sécurité de la vanne, afin de garantir que les défaillances dangereuses et naissantes dues à la dégradation, au colmatage ou aux défaillances temporelles n'entraînent pas de défaillance critique dans l'intervalle d'essai sélectionné.
Bien que les procédures de tests de validité soient généralement élaborées lors de la phase d'ingénierie du SIF, elles doivent également être examinées par l'autorité technique SIS du site, le service des opérations et les techniciens instrumentistes qui effectueront les tests. Une analyse de sécurité des tâches (AST) doit également être réalisée. Il est important d'obtenir l'accord de l'usine sur les tests à effectuer, leur calendrier et leur faisabilité physique et sécuritaire. Par exemple, il est inutile de spécifier des tests de course partielle si le service des opérations refuse de les réaliser. Il est également recommandé que les procédures de tests de validité soient examinées par un expert indépendant. Les tests typiques requis pour un test de validité complet sont illustrés à la figure 1.
Exigences relatives aux tests de preuve de fonction complète Figure 1 : Une spécification de test de preuve de fonction complète pour une fonction instrumentée de sécurité (SIF) et son système instrumenté de sécurité (SIS) doit énoncer ou faire référence aux étapes séquentielles depuis les préparations et les procédures de test jusqu'aux notifications et à la documentation.
Figure 1 : Une spécification de test de preuve de fonction complète pour une fonction instrumentée de sécurité (SIF) et son système instrumenté de sécurité (SIS) doit énoncer ou faire référence aux étapes séquentielles allant des préparations et des procédures de test aux notifications et à la documentation.
Le test de validation est une opération de maintenance planifiée qui doit être réalisée par un personnel compétent, formé aux tests SIS, à la procédure de validation et aux boucles SIS à tester. Une visite de la procédure doit être effectuée avant le test initial, puis un retour d'information doit être transmis à l'autorité technique SIS du site pour améliorations ou corrections.
Il existe deux principaux modes de défaillance (sûr ou dangereux), subdivisés en quatre : dangereux non détecté, dangereux détecté (par diagnostic), sûr non détecté et sûr détecté. Les termes « défaillance dangereuse » et « défaillance dangereuse non détectée » sont utilisés indifféremment dans cet article.
Lors des tests de validité SIF, nous nous intéressons principalement aux modes de défaillance dangereux non détectés. Cependant, si des diagnostics utilisateur détectent des défaillances dangereuses, ces diagnostics doivent être soumis à des tests de validité. Notez que, contrairement aux diagnostics utilisateur, les diagnostics internes des appareils ne peuvent généralement pas être validés comme fonctionnels par l'utilisateur, ce qui peut influencer la philosophie du test de validité. Lorsque les diagnostics sont pris en compte dans les calculs SIL, les alarmes de diagnostic (par exemple, les alarmes hors plage) doivent être testées dans le cadre du test de validité.
Les modes de défaillance peuvent être subdivisés en deux catégories : ceux testés lors d'un test de validité, ceux non testés et les défaillances naissantes ou dépendantes du temps. Certains modes de défaillance dangereux peuvent ne pas être testés directement pour diverses raisons (par exemple, difficulté, décision technique ou opérationnelle, ignorance, incompétence, omission ou commission d'erreurs systématiques, faible probabilité d'occurrence, etc.). Si des modes de défaillance connus ne seront pas testés, une compensation doit être apportée lors de la conception du dispositif, de la procédure de test, du remplacement ou de la reconstruction périodique du dispositif, et/ou des tests inférentiels doivent être effectués afin de minimiser l'impact de l'absence de test sur l'intégrité du SIF.
Une défaillance naissante est un état ou une condition dégradante tel qu'une défaillance critique et dangereuse est raisonnablement prévisible si des mesures correctives ne sont pas prises à temps. Elles sont généralement détectées par comparaison des performances avec des tests de performance récents ou initiaux (par exemple, signatures ou temps de réponse des vannes) ou par inspection (par exemple, un port de procédé obstrué). Les défaillances naissantes sont généralement dépendantes du temps : plus l'appareil ou l'assemblage est en service, plus il se dégrade ; les conditions favorisant une défaillance aléatoire deviennent plus probables, l'obturation du port de procédé ou l'accumulation de dépôts dans les capteurs au fil du temps, la durée de vie utile est terminée, etc. Par conséquent, plus l'intervalle entre les tests de performance est long, plus la probabilité d'une défaillance naissante ou dépendante du temps est élevée. Toute protection contre les défaillances naissantes doit également être soumise à des tests de performance (purge du port, traçage thermique, etc.).
Des procédures doivent être rédigées pour tester les défaillances dangereuses (non détectées). Les techniques d'analyse des modes de défaillance et de leurs effets (AMDE) ou d'analyse diagnostique des modes de défaillance, de leurs effets et de leurs diagnostics (AMDEC) peuvent aider à identifier les défaillances dangereuses non détectées et les domaines où la couverture des tests de vérification doit être améliorée.
De nombreuses procédures de tests de validité sont rédigées à partir de l'expérience et de modèles issus de procédures existantes. Les nouvelles procédures et les SIF plus complexes nécessitent une approche plus technique utilisant l'AMDEC/FMEDA pour analyser les défaillances dangereuses, déterminer comment la procédure de test les détectera ou non, et la couverture des tests. Un schéma fonctionnel d'analyse des modes de défaillance au niveau macro pour un capteur est présenté à la figure 2. L'AMDEC ne doit généralement être effectuée qu'une seule fois pour un type d'appareil particulier et réutilisée pour des appareils similaires, en tenant compte de leurs capacités de service, d'installation et de test sur site.
Analyse des défaillances au niveau macro Figure 2 : Ce schéma fonctionnel d'analyse des modes de défaillance au niveau macro pour un capteur et un transmetteur de pression (PT) montre les principales fonctions qui seront généralement décomposées en plusieurs analyses de micro-défaillances pour définir complètement les défaillances potentielles à traiter dans les tests de fonction.
Figure 2 : Ce schéma fonctionnel d'analyse des modes de défaillance au niveau macro pour un capteur et un transmetteur de pression (PT) montre les principales fonctions qui seront généralement décomposées en plusieurs analyses de micro-défaillances pour définir complètement les défaillances potentielles à traiter dans les tests de fonction.
Le pourcentage de défaillances connues, dangereuses et non détectées soumises à des tests de preuve est appelé couverture des tests de preuve (CTP). La CTP est couramment utilisée dans les calculs SIL pour « compenser » l'incapacité à tester plus complètement le SIF. On croit à tort que la prise en compte du manque de couverture des tests dans le calcul du SIL garantit la fiabilité du SIF. En réalité, si votre couverture de tests est de 75 %, et que vous intégrez ce chiffre dans votre calcul SIL et testez les éléments que vous testez déjà plus souvent, 25 % des défaillances dangereuses peuvent encore se produire statistiquement. Je ne souhaite certainement pas faire partie de ces 25 %.
Les rapports d'approbation FMEDA et les manuels de sécurité des appareils fournissent généralement une procédure et une couverture minimales des tests de validité. Ils ne fournissent que des indications et ne détaillent pas toutes les étapes de test nécessaires à une procédure complète. D'autres types d'analyse des défaillances, comme l'analyse par arbre de défaillances et la maintenance centrée sur la fiabilité, sont également utilisés pour identifier les défaillances dangereuses.
Les tests de preuve peuvent être divisés en tests fonctionnels complets (de bout en bout) ou partiels (figure 3). Les tests fonctionnels partiels sont généralement effectués lorsque les composants du SIF présentent des intervalles de test différents dans les calculs SIL, qui ne correspondent pas aux arrêts ou aux révisions planifiés. Il est important que les procédures de tests de preuve fonctionnels partiels se chevauchent afin de tester ensemble toutes les fonctionnalités de sécurité du SIF. Dans le cas de tests fonctionnels partiels, il est toujours recommandé de réaliser un test de preuve initial de bout en bout, puis des tests ultérieurs lors des révisions.
Les tests de preuve partiels doivent s'additionner Figure 3 : Les tests de preuve partiels combinés (en bas) doivent couvrir toutes les fonctionnalités d'un test de preuve fonctionnel complet (en haut).
Figure 3 : Les tests de preuve partiels combinés (en bas) doivent couvrir toutes les fonctionnalités d’un test de preuve fonctionnel complet (en haut).
Un test de vérification partiel ne teste qu'un pourcentage des modes de défaillance d'un dispositif. Un exemple courant est le test de vanne à course partielle, où la vanne est légèrement déplacée (10 à 20 %) pour vérifier qu'elle n'est pas bloquée. La couverture du test de vérification est inférieure à celle du test de vérification effectué à l'intervalle de test principal.
La complexité des procédures de test de validité peut varier en fonction de la complexité du SIF et de la philosophie de l'entreprise. Certaines entreprises élaborent des procédures détaillées étape par étape, tandis que d'autres ont des procédures relativement brèves. Des références à d'autres procédures, comme un étalonnage standard, sont parfois utilisées pour réduire la durée de la procédure de test de validité et garantir la cohérence des tests. Une bonne procédure de test de validité doit être suffisamment détaillée pour garantir que tous les tests sont correctement réalisés et documentés, sans toutefois inciter les techniciens à sauter des étapes. Le fait que le technicien responsable de l'exécution de l'étape de test paraphe l'étape de test terminée contribue à garantir la bonne exécution du test. La validation du test de validité par le superviseur de l'instrument et les représentants des opérations soulignera également l'importance de la procédure et garantira son exécution correcte.
Les techniciens doivent toujours être invités à donner leur avis afin d'améliorer la procédure. La réussite d'un test de validation repose en grande partie sur les techniciens ; un effort collaboratif est donc fortement recommandé.
La plupart des tests de validité sont généralement effectués hors ligne, lors d'un arrêt ou d'une révision. Dans certains cas, des tests de validité peuvent être requis en ligne, en cours de fonctionnement, afin de satisfaire aux calculs SIL ou à d'autres exigences. Les tests en ligne nécessitent une planification et une coordination avec les opérations pour permettre leur réalisation en toute sécurité, sans perturbation du processus ni déclenchement intempestif. Un seul déclenchement intempestif suffit pour épuiser tous vos attaboys. Lors de ce type de test, lorsque le SIF n'est pas entièrement disponible pour assurer sa sécurité, la clause 11.8.5 de la norme 61511-1 stipule que « des mesures compensatoires garantissant un fonctionnement sûr et continu doivent être mises en place conformément à la section 11.3 lorsque le SIS est en mode bypass (réparation ou test). » Une procédure de gestion des situations anormales doit accompagner la procédure de test de validité afin de garantir son bon déroulement.
Un SIF est généralement divisé en trois parties principales : capteurs, solveurs logiques et éléments finaux. Des dispositifs auxiliaires peuvent également être associés à chacune de ces trois parties (par exemple, barrières SI, amplificateurs de déclenchement, relais d'interposition, solénoïdes, etc.) et doivent également être testés. Les aspects critiques des tests de validité de chacune de ces technologies sont décrits dans l'encadré « Tests des capteurs, des solveurs logiques et des éléments finaux » (ci-dessous).
Certains équipements sont plus faciles à tester que d'autres. De nombreuses technologies modernes et quelques anciennes de mesure du débit et du niveau sont plus difficiles à tester. Parmi celles-ci figurent les débitmètres Coriolis, les débitmètres à effet Vortex, les débitmètres magnétiques, les radars aériens, les capteurs de niveau à ultrasons et les commutateurs de procédé in situ, pour n'en citer que quelques-uns. Heureusement, nombre d'entre eux disposent désormais de diagnostics améliorés permettant des tests plus précis.
La difficulté de tester un tel dispositif sur le terrain doit être prise en compte dès la conception du SIF. Il est facile pour les ingénieurs de sélectionner des SIF sans réfléchir sérieusement aux exigences de test, car ils ne seront pas les personnes chargées de les tester. C'est également le cas des tests de course partielle, une méthode courante pour améliorer la probabilité moyenne de défaillance à la demande (PFDavg) du SIF, mais que le service d'exploitation de l'usine refuse par la suite, et qui risque souvent de ne pas le faire. Il est donc essentiel de veiller à ce que l'ingénierie des SIF soit supervisée par l'usine en ce qui concerne les tests de test.
L'essai de résistance doit inclure une inspection de l'installation du SIF et les réparations nécessaires, conformément à la clause 16.3.2 de la norme 61511-1. Une inspection finale doit être effectuée pour s'assurer que tout est bien fermé et que le SIF a été correctement remis en service.
La rédaction et la mise en œuvre d'une procédure de test efficace constituent une étape importante pour garantir l'intégrité du SIF tout au long de sa durée de vie. Cette procédure doit être suffisamment détaillée pour garantir que les tests requis sont réalisés et documentés de manière cohérente et sûre. Les défaillances dangereuses non vérifiées par des tests de validité doivent être compensées afin de garantir le maintien de l'intégrité de sécurité du SIF tout au long de sa durée de vie.
La rédaction d'une procédure efficace de test de validité nécessite une approche logique de l'analyse technique des défaillances potentiellement dangereuses, du choix des moyens et de la rédaction des étapes du test, conformément aux capacités de l'usine. En cours de route, il est essentiel d'obtenir l'adhésion de tous les niveaux de l'usine aux tests, de former les techniciens à la réalisation et à la documentation du test de validité et de comprendre son importance. Rédigez les instructions comme si vous étiez le technicien en instrumentation qui devra effectuer le travail, sachant que des vies dépendent de la réussite des tests, car c'est le cas.
Testing sensors, logic solvers and final elements A SIF is typically divided up into three main parts, sensors, logic solvers and final elements. There also typically are auxiliary devices that can be associated within each of these three parts (e.g. I.S. barriers, trip amps, interposing relays, solenoids, etc.) that must also be tested.Sensor proof tests: The sensor proof test must ensure that the sensor can sense the process variable over its full range and transmit the proper signal to the SIS logic solver for evaluation. While not inclusive, some of the things to consider in creating the sensor portion of the proof test procedure are given in Table 1. Table 1: Sensor proof test considerations Process ports clean/process interface check, significant buildup noted Internal diagnostics check, run extended diagnostics if available Sensor calibration (5 point) with simulated process input to sensor, verified through to the DCS, drift check Trip point check High/High-High/Low/Low-Low alarms Redundancy, voting degradation Out of range, deviation, diagnostic alarms Bypass and alarms, restrike User diagnostics Transmitter Fail Safe configuration verified Test associated systems (e.g. purge, heat tracing, etc.) and auxiliary components Physical inspection Complete as-found and as-left documentation Logic solver proof test: When full-function proof testing is done, the logic solver’s part in accomplishing the SIF’s safety action and related actions (e.g. alarms, reset, bypasses, user diagnostics, redundancies, HMI, etc.) are tested. Partial or piecemeal function proof tests must accomplish all these tests as part of the individual overlapping proof tests. The logic solver manufacturer should have a recommended proof test procedure in the device safety manual. If not and as a minimum, the logic solver power should be cycled, and the logic solver diagnostic registers, status lights, power supply voltages, communication links and redundancy should be checked. These checks should be done prior to the full-function proof test.Don’t make the assumption that the software is good forever and the logic need not be tested after the initial proof test as undocumented, unauthorized and untested software and hardware changes and software updates can creep into systems over time and must be factored into your overall proof test philosophy. The management of change, maintenance, and revision logs should be reviewed to ensure they are up to date and properly maintained, and if capable, the application program should be compared to the latest backup.Care should also be taken to test all the user logic solver auxiliary and diagnostic functions (e.g. watchdogs, communication links, cybersecurity appliances, etc.).Final element proof test: Most final elements are valves, however, rotating equipment motor starters, variable-speed drives and other electrical components such as contactors and circuit breakers are also used as final elements and their failure modes must be analyzed and proof tested.The primary failure modes for valves are being stuck, response time too slow or too fast, and leakage, all of which are affected by the valve’s operating process interface at trip time. While testing the valve at operating conditions is the most desirable case, Operations would generally be opposed to tripping the SIF while the plant is operating. Most SIS valves are typically tested while the plant is down at zero differential pressure, which is the least demanding of operating conditions. The user should be aware of the worst-case operational differential pressure and the valve and process degradation effects, which should be factored into the valve and actuator design and sizing.Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).Ambient temperatures can also affect valve friction loads, so that testing valves in warm weather will generally be the least demanding friction load when compared to cold weather operation. As a result, proof testing of valves at a consistent temperature should be considered to provide consistent data for inferential testing for the determination of valve performance degradation.Valves with smart positioners or a digital valve controller generally have capability to create a valve signature that can be used to monitor degradation in valve performance. A baseline valve signature can be requested as part of your purchase order or you can create one during the initial proof test to serve as a baseline. The valve signature should be done for both opening and closing of the valve. Advanced valve diagnostic should also be used if available. This can help tell you if your valve performance is deteriorating by comparing subsequent proof test valve signatures and diagnostics with your baseline. This type of test can help compensate for not testing the valve at worst case operating pressures.The valve signature during a proof test may also be able to record the response time with time stamps, removing the need for a stopwatch. Increased response time is a sign of valve deterioration and increased friction load to move the valve. While there are no standards regarding changes in valve response time, a negative pattern of changes from proof test to proof test is indicative of the potential loss of the valve’s safety margin and performance. Modern SIS valve proof testing should include a valve signature as a matter of good engineering practice.The valve instrument air supply pressure should be measured during a proof test. While the valve spring for a spring-return valve is what closes the valve, the force or torque involved is determined by how much the valve spring is compressed by the valve supply pressure (per Hooke’s Law, F = kX). If your supply pressure is low, the spring will not compress as much, hence less force will be available to move the valve when needed. While not inclusive, some of the things to consider in creating the valve portion of the proof test procedure are given in Table 2. Table 2: Final element valve assembly considerations Test valve safety action at process operating pressure (best but typically not done), and time the valve’s response time. Verify redundancy Test valve safety action at zero differential pressure and time valve’s response time. Verify redundancy Run valve signature and diagnostics as part of proof test and compare to baseline and previous test Visually observe valve action (proper action without unusual vibration or noise, etc.). Verify the valve field and position indication on the DCS Fully stroke the valve a minimum of five times during the proof test to help ensure valve reliability. (This is not intended to fix significant degradation effects or incipient failures). Review valve maintenance records to ensure any changes meet the required valve SRS specifications Test diagnostics for energize-to-trip systems Leak test if Tight Shut Off (TSO) is required Verify the command disagree alarm functionality Inspect valve assembly and internals Remove, test and rebuild as necessary Complete as-found and as-left documentation Solenoids Evaluate venting to provide required response time Evaluate solenoid performance by a digital valve controller or smart positioner Verify redundant solenoid performance (e.g. 1oo2, 2oo3) Interposing Relays Verify correct operation, redundancy Device inspection
Un SIF est généralement divisé en trois parties principales : capteurs, solveurs logiques et éléments finaux. Des dispositifs auxiliaires peuvent également être associés à chacune de ces trois parties (par exemple, barrières SI, amplificateurs de déclenchement, relais d'interposition, solénoïdes, etc.) et doivent également être testés.
Tests de validité du capteur : Le test de validité du capteur doit garantir que le capteur peut détecter la variable de procédé sur toute sa plage et transmettre le signal approprié au solveur logique SIS pour évaluation. Le tableau 1 présente certains éléments à prendre en compte lors de la création de la partie capteur de la procédure de test de validité.
Test de validité du solveur logique : Lors du test de validité complet, le rôle du solveur logique dans l'exécution de l'action de sécurité du SIF et des actions associées (par exemple, alarmes, réinitialisation, contournements, diagnostics utilisateur, redondances, IHM, etc.) est testé. Les tests de validité partiels ou fragmentaires doivent accomplir tous ces tests dans le cadre des tests de validité individuels qui se chevauchent. Le fabricant du solveur logique doit inclure une procédure de test de validité recommandée dans le manuel de sécurité de l'appareil. Dans le cas contraire, et au minimum, le solveur logique doit être mis hors tension puis sous tension, et ses registres de diagnostic, ses voyants d'état, ses tensions d'alimentation, ses liaisons de communication et sa redondance doivent être vérifiés. Ces vérifications doivent être effectuées avant le test de validité complet.
Ne partez pas du principe que le logiciel est valable éternellement et que la logique n'a pas besoin d'être testée après le test de validation initial. En effet, des modifications et mises à jour logicielles et matérielles non documentées, non autorisées et non testées peuvent s'infiltrer dans les systèmes au fil du temps et doivent être prises en compte dans votre philosophie globale de test de validation. La gestion des journaux de modifications, de maintenance et de révision doit être vérifiée afin de garantir leur actualité et leur bonne maintenance. Si possible, le programme applicatif doit être comparé à la dernière sauvegarde.
Il convient également de veiller à tester toutes les fonctions auxiliaires et de diagnostic du solveur logique utilisateur (par exemple, les chiens de garde, les liaisons de communication, les dispositifs de cybersécurité, etc.).
Essai de résistance des éléments finaux : la plupart des éléments finaux sont des vannes. Cependant, les démarreurs de moteurs d'équipements rotatifs, les variateurs de vitesse et d'autres composants électriques tels que les contacteurs et les disjoncteurs sont également utilisés comme éléments finaux et leurs modes de défaillance doivent être analysés et testés.
Les principaux modes de défaillance des vannes sont le blocage, un temps de réponse trop lent ou trop rapide et les fuites. Ces facteurs sont tous influencés par l'interface de fonctionnement de la vanne au moment du déclenchement. Bien que tester la vanne en conditions de fonctionnement soit le cas le plus souhaitable, les opérateurs s'opposent généralement à déclencher le SIF pendant le fonctionnement de la centrale. La plupart des vannes SIS sont généralement testées lorsque la centrale est à l'arrêt, à pression différentielle nulle, ce qui constitue les conditions de fonctionnement les moins exigeantes. L'utilisateur doit connaître la pression différentielle de fonctionnement la plus défavorable et les effets de dégradation de la vanne et du procédé, qui doivent être pris en compte lors de la conception et du dimensionnement de la vanne et de l'actionneur.
Commonly, to compensate for not testing at process operating conditions, additional safety pressure/thrust/torque margin is added to the valve actuator and inferential performance testing is done utilizing baseline testing. Examples of these inferential tests are where the valve response time is timed, a smart positioner or digital valve controller is used to record a valve pressure/position curve or signature, or advance diagnostics are done during the proof test and compared with previous test results or baselines to detect valve performance degradation, indicating a potential incipient failure. Also, if tight shut off (TSO) is a requirement, simply stroking the valve will not test for leakage and a periodic valve leak test will have to be performed. ISA TR96.05.02 is intended to provide guidance on four different levels of testing of SIS valves and their typical proof test coverage, based on how the test is instrumented. People (particularly users) are encouraged to participate in the development of this technical report (contact crobinson@isa.org).
Les températures ambiantes peuvent également affecter les charges de frottement des vannes. Ainsi, les essais par temps chaud sont généralement moins exigeants que par temps froid. Par conséquent, des essais de résistance des vannes à température constante doivent être envisagés afin de fournir des données cohérentes pour les essais inférentiels visant à déterminer la dégradation des performances des vannes.
Les vannes équipées de positionneurs intelligents ou d'un contrôleur numérique de vanne peuvent généralement créer une signature permettant de surveiller la dégradation de leurs performances. Une signature de référence peut être demandée lors de votre commande ou créée lors du test de validité initial pour servir de référence. La signature doit être effectuée à l'ouverture et à la fermeture de la vanne. Un diagnostic avancé de vanne doit également être utilisé, si disponible. Il peut vous aider à détecter une dégradation des performances de votre vanne en comparant les signatures et diagnostics des tests de validité ultérieurs avec votre référence. Ce type de test peut compenser l'absence de test de la vanne aux pressions de fonctionnement les plus défavorables.
La signature de la vanne lors d'un essai périodique peut également enregistrer le temps de réponse avec des horodatages, supprimant ainsi le recours à un chronomètre. Un temps de réponse accru est un signe de détérioration de la vanne et d'augmentation de la charge de frottement nécessaire à son déplacement. Bien qu'il n'existe aucune norme concernant l'évolution du temps de réponse de la vanne, une tendance négative d'un essai périodique à l'autre indique une perte potentielle de la marge de sécurité et des performances de la vanne. Les essais périodiques modernes des vannes SIS doivent inclure une signature de la vanne, conformément aux bonnes pratiques d'ingénierie.
La pression d'alimentation en air de l'instrument doit être mesurée lors d'un essai de fonctionnement. Bien que le ressort de soupape d'une soupape à rappel par ressort assure la fermeture de la soupape, la force ou le couple appliqué est déterminé par la compression du ressort par la pression d'alimentation (selon la loi de Hooke, F = kX). Si la pression d'alimentation est faible, le ressort se comprime moins, ce qui réduit la force disponible pour actionner la soupape en cas de besoin. Le tableau 2 présente quelques éléments à prendre en compte lors de la création de la partie soupape de la procédure d'essai de fonctionnement.
Date de publication : 13 novembre 2019