Rangkuman Diskusi Mailing List Migas Indonesia Bulan Januari 2007

Metoda LOPA + SIL Assessment

Administrator Migas

Migas Indonesia, Saya diajak diskusi via japri mengenai LOPA oleh beberapa rekan instrument engineer. Tapi waktunya kurang tepat karena ternyata kesibukan kerja + organisasi meningkat pesat di awal tahun 2007. Malam minggu ini saja saya harus mempersiapkan bahan untuk offsites meeting di Karawaci pada hari senin s/d rabu besok. Jadi saya lempar ke milis saja yah untuk ditanggapi oleh rekan-rekan instrument engineer yang lainnya. Saya harap Sdr. Mefredi bisa ikut aktif di diskusi ini karena sewaktu kita melakukan SIL Assessment & LOPA untuk beberapa platform di BP West Java bekerja sama dengan EXIDA, beliau yang bertindak sebagai leader, dengan anggotanya salah satu adalah saya. Itu juga part timer karena ada kesibukan kerja yang lain :). Saya lampirkan 2 attachment sebagai bahan diskusi.Selamat berdiskusi, dengan senang hati saya akan membuat rangkuman diskusinya bila sudah selesai.

Attachment : SIS Safety Life Cycle.pdf ; LOPA Method.pdf

Anshori Budiono

Artikelnyanya bagus sekali. Dunia Process Safety memang berkembang seiring dengan ketertarikan para pemodal dengan data statistik. Kita sering berpendapat bahwa masuknya ilmu statistik pada dunia Safety bertujuan untuk membuat plant yang akan dibuat super safe yang kemudian kita terjemahkan menjadi "lebih mahal". Padahal yang tersembunyi di balik itu adalah masuknya ilmu statistik tersebut pada dunia engineering adalah agar Plant dibuat dengan sepatutnya dan memberikan CAPEX dan OPEX paling rendah, tidak berlebihan akibat faktor kualitatif dan subyektivitas.

Semoga diskusi nya berlanjut dan bisa berguna buat kita semua yang bergerak di rekayasa fasilitas. Ada yang mau saya tanyakan sebagai pembuka diskusi. Berhubung saya ini orang awam, jadi mungkin pertanyaan saya sedikit mendasar. Mudah2an teman2 instument dan atau process safety berkernan menjawabnya:

1. Arti, makna dan konsekuensi dari SIL-1

2. Arti, makna dan konsekuensi dari SIL-2

3. Arti, makna dan konsekuensi dari SIL-3

4. Dari flow chart yang disampaikan moderator, penentuan SIL adalah suatu keputusan yang harus diambil oleh team kerja. Ukuran kuantitatif apa menyebabkan team kerja harus mendefinisikan SIL atau tidak mendefinisikan suatu SIL?

5. Suatu plant pasti mempunyai system dan sub-system. Jika sudah ditentukan suatu SIL , apakah berlaku untuk keseluruhan plant? Apakah boleh terjadi bermacam-macam SIL pada sub-system, system dari suatu plant.

6. Ketika SIL sudah ditentukan, berdasarkan flow chart, maka tahap lanjutnya adalah membuat SIS conceptual design. Persepsi saya mengenai ini adalah bahwa SIL study dan membuat SIS conceptual design adalah bagian dari FEL (Front End Loading) dan atau FEED (Front End Design Engineering) dimana, apabila SIL sudah ditentukan, maka tahap lanjutnya adalah menerjemahkan hal itu pada design P&ID dan Control Philosophy.

7. Dalam flow chart diterangkan bahwa SIL study (Define Target SIL) dilakukan sebelum Hazard Analysis dan Risk Assessment. Apakah Hazard Analysis dan Risk Assessment yang harus dilakukan sebelum SIL study ini harus bersifat kualitatif atau cukup kuantitatif, atau harus dua2nya.

Dalam dunia Engineering, ada satu lagi strudy yang sangat populer yakni HAZOPS (Hazard and Operability Study). Seperti kita ketahui bersama bahwa HAZOPS ini bersifat analisis yang kualitatif, bukan kuantitatif. Pertanyaannya, kalau SIL study sudah dilakukan dalam arti tentunya Hazard Analysis dan Risk Assesment pun sudah dilakukan sebelumnya, maka apakah masih perlu dilakukan HAZOPS? Jika masih perlu dilakukan HAZOPS kapan HAZOPS harus dilakukan apakah sebelum SIL study atau sesudah SIL study..? Jika kemudian ada rekomendasi yang berbeda yang pasti cenderung menambah safety protection system, rekomendasi mana yang harus diambil...?

7. Saya pernah lihat di P&ID, suatu intrument devices diberi note sebagi SIL-3. Apakah ada alat-alat instrument (instrument devices) yang bersetifikasi SIL...?

8. Dalam artikel LOPA yang disampaikan, ada istilah PFD. PFD ini bukan Process Flow Diagram, tapi suatu parameter yang punya angka tertentu. Singkatan dari apakah PFD ini..?

Sekian dulu. Mohon pencerahannya.

Zikri, Rafif

SIL = Safety Integrity LevelSaya coba jawab tapi tidak berurut.., Yang saya ketahui, SIL itu merupakan tingkatan level dari setiap safety function atau safety loop. jadi kurang tepat kalo SIL itu merupakan SIL sebuah system. ini yang mungkin agak rancu buat yang baru mengenal SIL.Yang membedakan tingkatan SIL adalah PFD tapi ini kepanjangan dari Probability Failure on Demand, singkatannya sama dengan Process Flow Diagram, jadi harus hati-hati kalo bicara SIL dengan PFD. cuma karena angka-angkanya sangat kecil, dikenalkan nama Risk Reduction Factor.

atau RRF yang merupakan 1/PFD. Wajar saja, siapa yang bisa membedakan 0.001 dengan 0.0001 ? secara kasat mata, nilainya tidak banyak berbeda, tetapi begitu disebutkan bedanya 1000 dengan 10,000, otak kita langsung merasakan perbedaaanya.Silakan lihat tingkatan SIL tersebut. mudah-mudahan embedded filenya bisa dilihat.Arti dan maknanya dapat dilihat seberapa besar safety function yang anda punya memiliki kemungkinan untuk fail. Konsekuensinya, apabila team penentuan SIL itu mengatakan sebuah safety function harus memiliki SIL 3, maka safety function tersebut harus memiliki minimal 2 of 3 transmitter dengan MTTR, 1 ESD Controller dengan SIL 3 certifiied dan tentu saja kemungkinan 2 Final Elements dengan MTTR yang cukup tinggi ditambah kemampuan maintenance untuk melakukan testing sesering mungkin (baca : mahal), tapi saya rasa sangat kecil kemungkinan adanya SIL 3 disebuah sistem oil and gas.Apa konsekuensi lainnya ? saya kira konsekuensinya ( baca : konsekuensinya, bukan cara menentukannya) mirip dengan HAZOP, apa yang anda lakukan bila pas melakukan HAZOP dan mendapat skala cukup tinggi, lalu berikutnya adalah apakah anda mau melakukan suggestionnya ? (kalo di USA setahu saya ini bisa jadi dokumen untuk nuntut apabila ketahuan tidak melakukan suggestion di HAZOP untuk rank yang lebih tinggi)Ada 3 cara untuk menentukan SIL, yaitu 3D Risk Matrix, Risk Graph dan LOPA. kalo anda ragu masalah obyektifitas, maka saya anjurkan untuk menggunakan LOPA. kalo cerita LOPA bisa panjang banget.Seperti disebut sebelumnya SIL itu berlaku untuk sebuah safety function, jadi sebuah plant dapat memiliki variasi SIL yang berbeda. bila sebuah vendor menyatakan saya mempunyai transmitter SIL 2 certified by TUV, maka tidak berarti safety function anda memiliki SIL 2 juga. ada istilah, kekuatan SIL itu tergantung ke weakest link, kalo nggak salah sih final element yang paling lemah. Apabila SIL sudah ditentukan, maka safety function tersebut harus disesuaikan di P&ID-nya, dan harusnya memang setelah HAZOP sebaiknya.HAZOP dilakukan di keseluruhan system termasuk safety systemnya, tapi tidak memperhitungkan seberapa sering tingkat fail dari sebuah safety function, HAZOP hanya mengira-ngira dengan keyword less flow, more flow dan lain-lain, tapi SIL hanya ke safety function saja dan memperhitungkan berapa safety availability dari sebuah safety function. HAZOP bisa saja merekomendasikan untuk menginstall Shutdown System di incoming plant, tapi SIL akan merekomendasikan, apakah saya perlu install 2 transmitter untuk safety function di shutdown system tersebut, apakah saya perlu install Safety PLC yang SIL 3 certified, apakah saya perlu memasang 2 Shutdown valve disana untuk berjaga-jaga agar safety valvenya salah satu minimal berfungsi. HAZOP dan SIL tidak akan merekomendasikan hal yang berbeda. ECS Triplex itu certified SIL 3 untuk Safety PLC, Yokogawa Pressure Transmitter EJX = SIL 2 Certified. dan masih banyak lagi.Terima kasih

mefredi_cfse

Sekedar ikut berdiskusi mengenai SIL dan LOPA yang kebetulan merupakan area of interest saya.

Menanggapi item yang telah dibuka oleh mas anshori budiono sebagai berikut :

1,2,3 Makna dari SIL adalah tingkatan range dari equipment safety berbasis instrument (Safety Instrumented Function - SIF) dimana menurut standard IEC 61508/61511 atau ISA 84, terdapat 4 tingkatan SIL yaitu SIL 1, SIL2 , SIL3 dan SIL 4. SIL 1 adalah range performance dari SIF loop

yaitu Probability of failure on demand (PFD) 0.1 - 0.01 atau probability of succes 90 - 99% atau atau risk reduction factor (RRF) 10 - 100, SIL 2 adalah satu tingkat di atasnya PFD 0.01-0.001/Prob success 99- 99.9%, RRF 100-1000, SIL 3 satu tingkat di atasnya PFD 0.001-0.0001, prob success 99.9- 99.99%, RRF 1000-10000 dan berikutnya untuk SIL 4

Note Probability succes = 1-PFD dan RRF=1/PFD

4. SIL selection atau ada yang bilang SIL determination adalah memang di tentukan dalam bentuk workshop sama halnya dengan HAZOP karena memang SIL determination dilakukan setelah HAZOP selesai. Ukuran perlu tidaknya SIL dilakukan biasanya tergantung dari severity atau konsekuensi dari hazard yang di identifikasi dan ini tergantung dari company policy mengenai standardnya. contohnya jika severity adalah fatality maka dilakukan SIL studi namun jika severitynya hanya minor injuri tidak perlu dilakukan SIL clasisifikasi.Dalam pelaksanaan studynya juga, apabila ternyata existing safeguard yang ada (atau dalam flowchart digambarkan NON SIS layer) sudah cukup memberikan risk reduction maka tidak perlu di tambahkan SIS (safety instrumented system) sebagai protection layer

5. SIL hanya berlaku untuk SIF (safety instrumented function) yang korelasi dengan hazardnya masing2. Jadi dalam satu equipment contohnya vessel bisa saja SIL untuk PSHH-nya beda dengan SIL untuk PSLL-nya. SIL tidak di assign untuk SIS (Note : SIS adalah kumpulan SIF)

6. Setelah SIL ditentukan untuk tiap loop SIF memang berikutnya adalah conceptual design yaitu mendesign system dan subsystem untuk sesuai dengan target SIL masing2. SIF terdiri dari sensor, logic solver dan final element, jadi design harus meliputi ketiga subsystem tersebut bukan hanya satu komponen. Design disesuaikan dengan functional requirement, meliputi architectural requirement dan integrity requirement, yang tentunya setelah di dapatkan designnya harus diterjemahkan dalam P&ID as built sebagai bagian dari dokumentasi requirement. Pada tahap berikutnya setelah implementasi harus dilakukan SIL validasi & verifikasi yaitu untuk menentukan bahwa system yang diimplementasikan memenuhi functional dan integrity requirementnya

7. SIL selection dilakukan setelah PHA/HAZOP bukan sebelumnya. PHA/HAZOP biasanya dilakukan dengan metoda kualitatif yaitu melihat initiating event dan severitynya dan kemudian merekomendasikan safeguardnya. SIL selection mengadopt hazard initiating event dari PHA/HAZOP, paling bagus adalah melakukan berbarengan dengan team yang sama dari HAZOP langsung SIL study sehingga konsisten dalam menentukan hazard dan safeguard recomendasinya. Untuk SIL study metoda bisa kualitatif ataupun semi quatitatif. Semiquantitatif yang populer saat ini adalah LOPA (layer of protection analysis) Dengan metoda ini kita dapat menentukan besarnya RRF yang di perlukan oleh SIF untuk membawa plant risk ke level acceptable ALARP.

7. Banyak equipment yang sudah SIL 3 certified dan ini menjadi trend dan kebanggaan manufacture. Namun jangan salah dalam menilai karena satu equipment hanyalah bagian dari sub system sementara performance keseluruhan ditentukan dari semua subsystem. Berdasarkan populasi saat ini yang jadi titik lemeh adalah final element, jadi yang harus diperhatikan adalah final element dan bukan logic solver yang hanya sekitar 8% menyumbang terhadap failure sementara final element sekitar 50% failure. Juga equipment certified SIL hanyalah dalam bentuk capability. Equipment tersebut bisa mencapai SIL 3 misalnya jika ketentuan2 dalam sertifikatnya di ikuti, contohnya testing frequencynya, arsitekturnya perlu redundant/vooting atau tidak ?. Jadi tidaklah cukup hanya equipment dengan SIL capable yang tinggi tapi tidak di implemetasikan sesuai dengan restriksinya dan ketikadi verifikasi ternyata kemapuannya akan sangat berkurang,

sayang kan beli mahal tapi salah pasang ?...beli SIL 3 equipment tapi hanya di akui generic PLC biasa ? dan ini yang paling sering terjadi.

8. PFD udah di terangkan diatas

OK nanti nyambung lagi, jika ada diskusi lebih lanjut dengan senang hati akan reply

Waskita Indrasutanta

Beberapa tambahan keterangan Pak Mefredi:

1, 2, 3. IEC 61508 diperuntukkan bagi Manufacturers and suppliers of devices; IEC 61511 dikembangkan sebagai process sector implementation dari IEC 61508 bagi Safety Instrumented Systems Designers, Integrators and Users; sedangkan ISA-84.00.01-2004 (IEC 61511 Mod) yang menggantikan ANSI/ISA-84.01-1996 (Formerly ANSI/ISA-S84.01-1996). ISA-84.00.01-2004 (IEC 61511 Mod) sendiri seseuai dengan namanya, sebetulnya adalah IEC 61511 yang dimodifikasi untuk aplikasi processing industries. Saya kutipkan bagian dari clause 9.3.1 ISA-84.00.01-2004 (IEC 61511 Mod) bagian mengenai SIL 4 "Applications which require the use of a single safety instrumented function of safety integrity level 4 are rare in the process industry. Such applications shall be avoided where reasonably practicable because of the difficulty of achieving and maintaining such high levels of performance throughout the safety life cycle. Where such systems are specified they will require high levels of competence from all those involved throughout the safety life cycle"

4. Pengkajian dan penentuan SIL berawal dari Company Safety Policy (masing-masing Perusahaan berbeda-beda) yang diputuskan oleh Top Management dan berdasarkan hukum dan peraturan yang berlaku.

5. Boleh saja menentukan untuk menggunakan hasil pengkajian SIL tertinggi untuk seluruh plant (dan ini kesalahan yang sering tertulis dalam bid specs dari projects). Misalnya, hasil pengkajian SIL tertinggi adalah SIL 3 dan keseluruhan plant ditentukan SIL 3. Akan tetapi, hal ini akan mengakibatkan harga SIS yang sangat mahal, biaya operasi tinggi (frequency of test semakin tinggi) dan tidak practical. Dengan metoda ALARP (As Low As Reasonably Possible) biaya bisa ditekan jauh lebih ekonomis. Intinya, boleh menenetukan SIL > hasil pengkajian (asalkan Company siap untuk membayarnya); dengan metoda ALARP -> tentukan SIL sesuai hasil pengkajian untuk setiap SIF.

6 & 7a. Menunjang keterangan Pak Mefredi: Urutan overall framework dari ISA-84.00.01-2004 (IEC 61511 Mod) bisa dilihat di Figure 1 halaman 15, dimulai dari 'Development of the overall safety requirements (concept, scope definition, hazard and risk assessment) Clause 8' -> 'Allocation of the safety requirements to the safety instrumented functions and development of safety requirements specification Clause 9 & 10' -> dst, sampai dengan 'Operation and maintenance, modification and retrofit, decommissioning or disposal of safety instrumented systems Clauses 16, 17, and 18. Jadi hazard and risk assessment dulu baru lainnya.

7b. Komponen (sensor, logic solver, atau actuator) bukanlah 'certified' untuk SIL tertentu, melainkan adalah 'approved (to be used)' untuk SIL tertentu. Ada third party organization tertentu (TUV, Exida, dsb.) yang melakukan pengkajian dan test pada equipments atau devices

mengeluarkan 'approval' untuk SIL tetentu. Approval ini mempermudah design engineers dalam melakukan enjiniring. Misalnya, untuk SIF yang memerlukan SIL 2, dengan menggunakan semua komponen yang 'SIL 2 approved', maka kalau kita kaji umumnya akan menghasilkan SIL 2 requirements tersebut. Perhatikan bahwa standard 'tidak mengharuskan' untuk menggunakan 'SIL n approved components'; bahkan standard PLC yang bukan 'SIL 2 Approved' dengan design dan assessment yang benar bisa dipergunakan untuk SIL 2.

8. Jelasnya, PFD adalah Probability of Failure on Demand, yaitu 'kemungkinan kegagalan pada saat dibutuhkan (untuk safety atau mengurangi risk)'. Contoh: Kita tidak menggunakan seat belt waktu berada dalam kendaraan karena menganggap jalanan sepi dan tidak mungkin mengalami kecelakaan. Nah ini berarti PFD = 100%, karena pasti gagal pada saat kita mengalami kecelakaan. Kalau kita menggunakan seat belt, maka akan berlaku PFD sesuai dengan design dengan catatan kita melakukan periodic check/test sesuai dengan design-nya. Mungkin saja seat belt sudah tidak berfungsi lagi (tidak stopped pada saat mengalami hentakan atau lainnya). Faktor periodic test inilah yang dimaksud Pak Mefredi mempengaruhi integrated PFD. Setiap perangkat safety tujuannya adalah untuk mengurangi (tidak menghilangkan) risiko atau risk reduction. RRF (Risk Reduction Factor) inilah yang juga dipergunakan dalam quantitative method. Hubungan PFD dan RRF sudah dijelaskan Pak Mefredi, tetapi dari pada menyatakan PFD yang dalam orde 0.00... atau 10 pangkat minus n, banyak orang lebih suka menggunakan RRF yang jadi puluhan, ratusan, ratusan ribu, juta atau 10 pangkat plus n.

Crootth Crootth

Mas Mefredi,Secara umum ulasan anda menarik dan cukup gamblang untuk menjelaskan tentang apa dan bagaimana SIL study itu. Akan tetapi saya perlu menggaris bawahi pernyataan anda:Anda menyebutkan pada penjelasan no. 4 "karena memang SIL determination dilakukan setelah HAZOP selesai" Saya kok tidak menemukan yah keharusan tentang menyelesaikan HAZOP terlebih dahulu baru melakukan SIL determination kemudian. Yang saya tangkap dari standard IEC-61508 hanya menyebutkan Hazard & Risk Analysis dan IEC-61511 pun hanya menyebutkan Risk Analysis and Protection Layer Design. Demikian pula sumber sumber reference lain seperti Hal Thomas, William Goble dan Ed Marszal sama sekali tidak menyebutkan bahwa HAZOP adalah pre-requisite dari SIL determination study (bahkan istilah SIL determination sendiri tidak disebutkan dalam banyak literature di atas)Dalam pengertian saya Risk Analysis and Protection Layer Design yang disebutkan dalam IEC-61511 itu sendiri terdiri dari beragam methods, bahkan SIL determination itu sendiri bisa dikategorikan ke dalam salah satu dari metode-metode ini. Tentu saja HAZOP akan membantu efektifitas study SIL determination hanya jika hasil study HAZOP juga patut (proper). Banyak study HAZOP yang tidak memerikan tentang pentingnya SIL verification untuk setiap SIF (untuk tidak mengatakan bahwa tidak semua peserta HAZOP mengerti benar apa itu SIL, SIF, dan SIS). Saya memiliki suatu report SIL determination yang tidak sama sekali memerlukan HAZOP sebagai suatu prasyarat (pre-requisites). Laporan tersebut hanya mengandalkan P&ID untuk menganalisa kebutuhan SIL dari setiap SIF yang ditinjau. Pengalaman pribadi saya melakukan SIL study juga menunjukkan laporan HAZOP yang saya terima dari user sama sekali tidak efektif membantu pelaksanaan SIL study dan bahkan saya lebih mengandalkan Cause and Effect Diagram, dan P&ID dari fasilitas bersangkutan. Sekali lagi saya tegaskan bahwa HAZOP itu akan sangat membantu, namun tidaklah menjadi prerequisites dari SIL determination study. Dan, SIL determination study itu sendiri pada dasarnya adalah merupakan Hazard & Risk Analysis dimana metodenya bisa berupa kualitatif, semikuantitatif (misalnya LOPA) dan kuantitatif.

Dari pengertian di atas jelas kiranya bahwa SIL determination study pun dapat saja dilakukan secara parallel dengan HAZOP study karena keduanya bisa digolongkan sebagai Hazard and Risk Analysis as per IEC-61511.Terlepas dari ketidaksetujuan saya pada sedikit dari begitu banyak ulasan anda yang menarik, saya ucapkan terima kasih kepada Mas Mefredy Warmest regards

mefredi_cfse

Diskusi lebih lanjut mengenai item 4

Istilah SIL selection/determination/clasification. Tiga istilah di atas pada dasarnya adalah menunjuk pada process yang sama, yaitu menentukan berapa besarnya target IL (integrity Level) yang diperlukan untuk membawa process risk ke acceptable level dengan aplikasi SIF/SIS. Saya sendiri sering pakai istilah determination karena kebetulan company saya sering pakai istilah ini. Namun untuk lebih generalnya saya anjurkan pakai istilah SELECTION karena memang ini yang banyak dipakai. Sama halnya di dalam standard pun sering beda untuk menyebut hal yang sama (i.e. IEC 61508 menggunakan istilah SRS = safety related system, 61511 menggunakan term SIS = Safety Instrumented System yang keduanya adalah sama, SRS 61508 = SIS 61511, Namun 61511 menggunakan SRS = safety requirement spesification, jadi ini masalah istilah saja )

HAZOP prasyarat SIL study ?Sebelumnya saya bahas dulu mengenai safety life cycle yang lagi2 beda antara 61508/61511/ISA 84. Namun ketiga-tiganya mempunyai prinsip yang sama, yaitu urutan pertama adalah tahapan conceptual/analisis, yang kedua adalah tahapan design/realisasi dan terakhir tahapan implementasi/operation maintenance. File yang dilampirkan pak budi terdahulu mengenai safety life cycle adalah versi awal ISA 84 tahun 96, versi barunya sudah jadi ISA 84 (IEC 61511 mod)

Mengenai step urutan dalam safety life cylce yang menyebutkan hazard and risk analysis(61508) dan hazard and risk assesment lanjut dengan protection layer, sebenarnya adalah menerangkan proses dalam urutan untuk menentukan apakah SIS perlu di aplikasikan atau tidak ? Jika SIS perlu di aplikasikan maka SIL perlu di select, jika Other risk reduction methods atau teknology available dan cukup risk reductionnya maka SIS tak perlu di aplikasikan. Jadi memang SIL study embedded didalam 2 step tadi. Personnaly saya lebih suka lifecyclenya ISA versi 96 dalam konteks tahapan analisis karena lebih jelas urutannya. Ada juga engineering company consultant yang khusus untuk functional safety kemudian mendevelops sendiri life cycle processnya yaitu dengan mengexpand box2 yang ada dalam life cycle IEC sehingga lebih mudah urutan prosesnya dan dapat di mengerti. Note : 61511 menulis protection layer, tapi tidak hanya LOPA yang boleh, risk graph juga OK, karena ada dalam guidance-nya.

Mengenai apa yang dimaksud proses hazard risk assesment tersebut dan apa metodanya, mas darmawan sudah sebutkan beberapa metoda bahwa PHA bisa dilakukan dengan berbagai macam methods (FMEA, what if check list, HAZOP (ini yang paling populer, Even tree analisis yang merupakan cikal bakal LOPA). LOPA sendiri mulai di pakai untuk PHA dan juga adalah metoda yang cukup mumpuni dan sangat di senangi untuk menentukan target SIL. Jadi kalau PHA-nya menggunakan LOPA dan langsung juga menentukan target SIL-nya maka ini menjadi satu process PHA risk asessment secara keseluruhan, tapi kalau PHA pakai metoda yang lain, HAZOP misalnya, maka SIL selection dilakukan berdasarkan hasilnya HAZOP dalam keperluan

identifikasi SIF. Ini yang saya maksud dengan pernyataan sebelumnya. PHA/HAZOP yang berbarengan dengan SIL study dengan team yang sama akan sangat ideal dan merupakan kesatuan dari proses risk assesment.

Untuk menentukan target SIL / SIL selection study prasyaratnya utamanya adalah ada SIF yang sudah di identifikasi. Identifkasi SIF didapat dari 2 sumber. 1. PHA report 2. Engineering drawing.Yang ideal adalah dari PHA report, kalau memang PHA dilakukan dengan proper dan dapat mengakomodir kebutuhan SIL study, karena memang di dalam PHA ada hazard identifikasi, consequency , safeguard dan proposed SIF. Setuju dengan mas darmawan bahwa kebanyakan PHA/HAZOP report yang saya lihat juga tidak mendukung SIL study. Engineering drawing seperti P&ID, SAFE, C&E sebenarnya paling gampang mengidentifikasi calon SIF. Hanya saja harus hati2 karena tidak semua didalam engineering drawing adalah SIF , ada juga yang mirip2 SIF tapi ternyata hanya fungsi kontrol. Akan sangat ideal jika link antara PHA report dan engineering drawing sudah establish dan tidak ditemukan ada missed waktu crosslink. Jadi boleh2 saja melakukan SIL selection study dengan engineering drawing, namun harus di pastikan croslinknya dengan PHA/HAZOP jika ada.

Safety life cycle di bentuk dengan arahan ideal untuk plant yang belum di bangun dan saya lebih senang identifikasi SIF melalui PHA report, walupun saya juga pernah melakukan SIL study untuk plan yang sedang di rancang dan belum di bangun tapi kok PHA-nya nggak mendukung dan P&ID nya belum update juga dengan PHA/HAZOP findingnya.

Untuk plant existing, lebih baik pakai P&ID-nya , tapi perlu recheck dengan PHA/HAZOP-nya jika ada rekomendasi yang belum di implementasikan dan belum tergambar di P&ID.

Demikian semoga benar adanya, terimakasih atas diskusinya, karena memaksa saya untuk buka buku dan catatan lagi, sekalian refreshing gitu..

Dirman Artib

Senang rasanya membaca ulasan para pakar "Technical Safety". Saya menggunakan istilah Technical Safety sebagai term yg biasa digunakan oleh bbrp. perusahaan UK based, untuk membedakan dengan profesi Occupational Health & Safety Management System /Safety Advsior/ Safety Officer. Ada juga yang menyebutnya sebagai Safety Engineer......pokoke itu lah. Sesuai dengan kompetensi saya, saya tidak akan ikut diskusi pada daerah sangat teknis dan njelimet SIS-> SIF->SIL, LOPA, PHA/HAZOP dimana ini adalah daerah professional berbakat CFSE. Tetapi ada satu yg ruang dimana pintu informasinya masih tertutup, yaitu "kenapa kita perlu SIL (SIS,SIF) ? Pak Waskita membuka sedikit celah (bukan pintu) yaitu "karena Company Safety Policy" yg diputuskan oleh Top Management. Nah kalau sampai di tahap ini, mulai lah saya konfident untuk berkoment-ria.

Benar atau tidaknya alasan dari keharusan (bukan kebutuhan) menerapkan SIL berasal dari "Company safety Policy" sifatnya menjadi relatif dalam praktek, market dan actual business needs. Bisa saja hal ini benar kalau yg dimaksud adalah sebuah Policy of oil company (indonesia baca KPS). Tapi organisasi dan market player itu segmen nya dan tingkat nya berbeda-beda. Sebuah oil company pun akan berhati-hati menentukan sebuah policy yang mengarah kepada metode yg spesifik dan detail seperti technology dan metode SIL ini. Salah interpretasi akan mengakibatkan terjemahan pukul rata "pokoke SIL 3". Karena itu, sebagai sebuah high level of direction and commitment that expressed by Top management, sebuah policy biasanya tidak merujuk kepada spesifik metode atau teknologi, tetapi lebih kepada fundamental. Coba bedakan 2 penggalan policy statement berikut : 1. Adalah wajib bagi organisasi untuk melakukan identifikasi terhadap potential bahaya dan melakukan analisa tingat resiko serta menetapkan metode dan langkah-langkah yang dianggap tepat untuk menurunkan tingkat resiko tersebut sampai pada tingkatan yang bisa dikendalikan pada saat tahap desain dan pengembangan. 2. Agar tingkat resiko bisa diterima untuk Adalah wajib bagi organisasi untuk menerapkan "inherenthly safe design", untuk itu mengintegrasikan sistem instrument agar memenuhi Safety Integrity Level 3. Bagi oil company (baca Operator di US) akan relatif mudah menerapkan kebijakan no.2, karena semua project-project green field maupun brown field akan memasukan muatan persyaratan ini kepada Project Manager mulai saat Pre-qualification, Bid, dan Project Commencement. Kontraktor yang tidak punya kemampuan, pengalaman dan kekuatan dalam SIL study dibabat habis alias tak lolos PQ. Kemudian para Operation Manager diminta mengidentifikasi sistem instrument yg sudah "jurrasic" karena keluarnya kebijakan baru dari CEO ini, kemudian rencana Project akan dibuat untuk meng"ugrade" sistem sekarang yang dianggap primitif ke level yang telah dipercayai tadi bisa mereduksi tingkat "ledakan". Bagi segmen kontraktor, oh....dear....It's stupid CEO to use no. 2 policy statement. Se fleksibel apapun Sistem Manajemen kontraktor yg memang harus fleksibel untuk mengakomodir kebutuhan-kebutuhan kustomer, memenangkan kompetisi dengan pesaing, membuat high revenue agar shareholder bisa dengan tenang menikmati cerutu Kuba, tidaklah gampang untuk begitu saja meng'adopt" metode/teknologi terpercaya yg di address oleh kustomer terhormat. Ada investasi besar yang harus ditanam untuk mengirimkan para Engineer untuk berguru kepada padepokan terbaik agar punya pengetahuan tentang SIL (belum termasuk resiko resign paska pelatihan). Ada hitung-hitungan yang harus dibuat agar Business Plan yg di dalam nya ada IIP (invest in People) bisa meyakinkan shareholders, bahwa bibit yang disemai ini akan dipetik hasilnya 3 tahun lagi. Ada objectives yang harus dipasang untuk Management System Reps. agar ruang bagi Processes and Procedures untuk SIL ini disediakan. Silahkan lakukan kajian, peras otak agar masa transisi "Management of Change" untuk sistem ini bisa dilalui dengan terkendali alias tidak mengurangi integritas dan Performance dari Sistem yang selama ini matang dipakai. Bahkan saking matangnya, Engineer tak perlu buka proses map atau prosedur kalau bekerja. Peranan, tanggung jawab di setiap langkah proses sudah mengalir begitu saja dengan irama yang sudah dimengerti

oleh team. Interaksi dan interrelasi antar proses sudah harmonis. Nah sekarang "welcome to board Mr. SIL !" Tapi itu lah hebat nya kontraktor, yg biasanya punya policy sangat fleksibel seperti karet ketapel. "Kami bertekad memenuhi persyaratan bahkan melebihi apa yang ditentukan pelanggan dan market" (Loe butuh, gw punya) . Akhirnya si kontraktor harus menyerah tanpa syarat dengan apa yang dimaui oleh tuan kastomer, yaitu SIL titik. Maka Sistem Manajemen harus di improve (istilah yg trendi untuk sebuah perobahan). Btw.Jelas lah syarat bagi sebuah Sistem Manajemen, proses, langkah, sequence, siapa bertanggung jawab apa pada step yg mana harus ditetapkan, pakai tool apa, bagaiman caranya harus lah jelas dan tanpa ada ambiguity. Kalau belum jelas harus masuk induction lagi, yang tak patuh harus dibuat patuh karena Sistem adalah raja,walau sistem boleh ditinjau dengan cara dan adat istiadat tertentu pula. Jadi issue-issue seperti,dimana Mr. HAZOP saat Mr. SIL bermain adalah sesuatu yang harus dibahas tuntas dan ditetapkan secara terdokumentasi dalam protocol dan procedural dari sistem terdokumentasi. Bahkan harus jelas sampai ke tahap "Dimana Mr. Classic Pre-start Up Safety review saat SIS divalidasi". Ini lah yang saya katakan bahwa pintu untuk sebuah metode teknis dari "Product Realisation Process" harus dibuka pada tingkatan "Management Process". Orang listrik bilang "Synchronised". Tak mudah memang............tapi tak ada yg tak mungkin kalau benar-benar sebuah Company Safety Policy.

Waskita Indrasutanta

Kalau tidak ada CFSE inhouse, bisa outsource dari 3rd part organization atau consultant, koq Pak. Akan tetapi yang penting Top Management yang menjadi Chairman dari Safety Committee perusahaan, karena beliau-beliau inilah yang nantinya akan mempertanggung-jawabkan incident yang terjadi. Bisa saja Top Management menentukan safety policy yang sangat stringent tetapi harus dibayar mahal, atau safety policy yang loosy tetapi kena banyak tuntutan sehingga akhirnya tidak murah juga. Beratnya Top Management dalam menentukan safety policy untuk perusahannya adalah bagaimana mendapatkan balance antara biaya dan acceptable safety. Ada yang mau aman banget dengan menentukan ‘zero accident’, tetapi hal ini adalah mustahil. Jawaban untuk ‘zero accident’ adalah tidak membangun plant atau fasilitas sama sekali.

Penggalan #1 mungkin lebih tepat kalau dikatakan:

1. Adalah wajib bagi organisasi untuk melakukan identifikasi terhadap potential bahaya dan melakukan analisa tingat resiko serta menetapkan metode dan langkah-langkah yang dianggap

tepat untuk menurunkan tingkat resiko tersebut sampai pada tingkatan yang bisa (dikendalikan -> diganti dengan) diterima menurut Corporate Safety Policy (tambahan ->) dan peraturan dan standard yang berlaku pada saat tahap desain dan pengembangan (tambahan ->) serta implementasinya.

Ujung-ujungnya kan pada akhirnya bagaimana pelaksanaan dan implementasi dari semua safety policy tersebut.

Untuk penggalan #2, kalau saya lebih cenderung menekankan pada pengkajian (assessment) dan implementasinya. Kalau sudah ada LOP (Layer of Protection) yang cukup, misalnya menggunakan mechanical protection, mungkin saja beberapa SIF sudah terpenuhi SIL-nya tanpa perlu memasangkan Safety Instrumented System (SIS). Masih banyak hal non-technical atau non-SIS lainnya, seperti safety SOP dan pelaksanaannya, perubahan safety SOP beserta dokumentasinya (Management of Change), kompetensi safety personnel, dsb yang harus diperhatikan. Mungkin Pak d’Art bisa banyak membahas mengenai hal ini.

Crootth Crootth

Pak Waskita

Saya kira tidak ada klausul apapun baik dalam ISA 84, IEC-61508 atau IEC-61511 untuk mengharuskan SIL Study (Deteminasi atau Verifikasisi) harus di select atau diverifikasi oleh seorang dengan gelas CFSE.

Dan ini adalah hal yang umum di standar international untuk tidak pro kepada satu organisasi tertentu..

Waskita Indrasutanta

Pak DAM,

Memang tidak ada keharusan dalam standard untuk dilakukan oleh CSFE. Saya hanya mengkomentari mengenai 'technical safety' yang disebut Pak Dirman adalah urusan para CSFE, dan kalau dibutuhkan bisa di outsource. Menurut pengertian saya para CSFE adalah professional independent dan tidak terikat pada organisasi tertentu.

Karena CSFE sudah melalui persyaratan dan ujian tertentu, secara subyektif semestinya lebih bisa diandalkan kompetensinya walaupun tidak seluruhnya benar.

"Fakhri"

Dear Mas Mefredi,Saya sangat tertarik dan menikmati tulisan-tulisannya di milis ini dan sangat memberikan pencerahan.Dua minggu lagi saya juga akan mengikuti HAZAOP meeting untuk sebuah instalasi (anaerobi/aerobic WWTP) yang perusahaan saya design untuk sebuah petrochemical company. Dalam spec's yang dibuat oleh konsultant FEEDnya (Fosther and Wheeler), disana juga ditulis ttg

SIS ini untuk safety protectionnya. Waktu Kick Off Meeting bulan lalu, saya agak kaget (tentu nggak perlu melihatkan saya nggak ngerti:)). Saya cukup familiar dg Process Safe Guarding, Emergency Shutdown, etc, cuman SIS ini barang baru untuk saya dan sangat mendapat pencerahan setelah anda menulis disini. Instalasi yg kita desing hanya punya satu type safety protection (PSV untuk overpressure protection) dan ini dilakuakn secara mechanical. Jadi SIS SISan is not applicable for a PSV. Cuman, kalau PSVnya aktif akan merelease flamble gas (methane) ke udara. Karena low pressure system, kita pakai PSV yg tidak punya flange untuk merelase ke a safe location (nggak mau punya PSV downstream pressure loss yg banyak). Yang biasanya kita lakukan adalah menghitung hazardous area dg sebuah plume model dan kita klasifikasikan area itu sebagai sebuah Class dan Div. Pertanyaan saya, apakah perlu kita memasang sebuah flamable gas detector (instrument) untuk tambahan protectionnya? Kalau perlu apa ini harus masuk kedalam SIS? Kalau iya, agak bikin repot, karena dalam specnya SIS harus terpisah dari normal control system (hardware dan software). Thanks untuk jawabannya.

mefredi_cfse

Selamat pagi mas fakhri

Untuk kasus ini saya akan coba bahas ide dasarnya saja terhadap informasi yang mas berikan.

Perlu tidaknya gas detector tentu harus di tentukan dari seberapa besar risk reduction yang di provide oleh gas detector ini. Kembali LOPA adalah meoda yang cukup bagus untuk penyelesaian case ini, namun apakah company/plant owner siap dengan data2 penunjang, i.e. risk acceptance criteria ?, karena kalau tidak ada ini tentunya LOPA tidak akan bisa di lakukan.

Untuk gas detector perlu dilihat hazard apa yang coba di prevent oleh alat ini dan apakah cukup credible sebagai protektion layer. Menebak saja, gas detektor mungkin tidak tepat jika di aplikasikan sebagai overpressure protektion tapi tepat jika ingin di aplikasikan sebagai perimeter monitoring untuk mendeteksi gas release agar tidak migrate ke area yang dikategorikan NON safe location. Aplikasi gas detektor setelah adanya gas release untuk proteksi terhadap overpressure di kategorikan sebagai post event.

Mengenai PSV sebagai protektion layer terhadap overpressure protekstion juga perlu dilihat apakah cukup credible untuk merelease pressure dan memprevent hazardnya.Banyak case PSV tidak di ambil kreditnya (dihitung) sebagai protektion layer karena capacity yang tidak cukup untuk pressure relief ?

Banyak juga protektion layer yang bisa di aplikasikan seperti process control, modifier time at risk yaitu seberapa sering personnel yang akan terimpact oleh hazard berada di lokasi tersebut, ignition probability, etc2 . Yang penting proteksion layer tersebut independent.

Demikian yang bisa saya tulis dengan informasi yang tersedia. Mudah2 HAZOP meetingnya lancar dan dengan team yang mempunyai pengalaman dan kapasitasnya masing2 aktive di dalam HAZOP meeting tentu akan mebuat hasil risk assesmentnya cukup berkualitas.

Note : Tidak perlu risau jika harus mengaplikasikan SIS karena alasan rumit dan mahal. Untuk system yang simple dan sederhana, SIS masih dapat di aplikasikan dengan system yang sederhana juga (i.e. relay based jika I/O sedikit, tidak harus safety certified ). Karena yang jadi patokan adalah functional dan integrity requirementnya terpenuhi.

unggul.hudoyoko

Selamat hari Senin,

Memang temen saya yang satu ini uda Dirman Artib selayaknya jadi penulis atau minimal Komentator yang handal . . dengan gaya dan ciri khasnya beliau bisa menggunakan celah sempit yang nota-bene bukan keahliannya untuk diulas menjadi bahan pemikiran yang patut untuk ditindak lanjuti. Dan sepertinya dan sebenarnya dia tahu banyak mengeni Safety Instrumented System.

Dari ulasan yang beliau paparkan ada suatu hal yang menjadi pertanyaan besar bagi kita semua yaitu "Apakah memang kita sudah memerlukan SILdi Plant kita (bukan SIS lho) ?"

Uda Dirman inilah kira-kira pertanyaan dasar yang perlu kiranya untuk dibenahi dan dipertanyaan lagi, apakah iya PLANT kita perlu SIL yang nota bene product dari SIS. Padahal API RP 520 Part I and II, ASME I dan VIII telah cukup gamblang dalam mem "provide" suatu "system safety" bagi Equipment dan Piping. Dari API Fourteen Charlie (API 14C) pun telah dipaparkan bagaimana SAFE (Safety Analysys Functional Evalution) CHART dalam mempersiapkan proteksi terhadap suatu EQUIPMENT dari mulai menggunakan SHUTDOWN VALVE, BLOWDOWN VALVE, SAFETY VALVE sampai dengan pemasangan FUSIBLE PLUG pada Equipment -equipment yang rawan FIRE.

Apakah kita sudah siap mengadopsi SIS? terutama terhadap "cost impat" nya, selama ini kalau kita amati SIS yang di provide dalam suatu plant boleh dikatakan masih BANCI (maaf harus saya katakan ini) dan masih dalam taraf mengikuti prasyarat yang digariskan oleh Code tanpa melirik terhadap kemampuan budget kita.

Saya punya pengalaman "konyol" dari seorang supervisor saya (bule) yang meminta saya untuk mendesign system HIPPS (SIL 3) pada existing system pnenumatic, anda bisa bayangkan segede apa SIL - 3 untuk fuctional semacam ini.

Yang konyol lagi saya juga pernah membaca spesifikasi untuk ESD system yang harus mengunakan SIL - 3 disebutkan pula harus memakai vendor tertentu (kalu enggak salah TRICONNEX), tetapi setelah saya review pressure element nya (ditunjukan dalam P&ID) masih menggunakan SWITCHES (kita tahu kan kalau switch merupakan biang timbulnya ALARM PALSU dan ini tidak diperkenankan dalam SIL).

Ada contoh konyol lain dan ini sering dijumpai yaitu adanya spesifiaksi transmitter yang harus menggunakan SMART Type, tetapi SIGNAL yang akan difungsikan 4-20 mA.

Hal-hal inilah yang saya katakan bahwa technical design yang kita "propose" selama ini sebenarnya masih besifat banci.

Saya pernah punya project manager orang jepang namanya Mr. Takashi Maeno (temen-temen di JGC pasti kenal beliau), menurut dia ISO, SIL, dsb hanyalah ENTRY TICKET bagi negara berkembang seperti Indonesia dan negara maju seperti Jepang agar dapat diterima oleh negara-negara maju (Uni Eropa, Amerika Serikat, Canada dsb.).

Saya yakin yang dikatakan oleh Mr. T. Maeno tersebut adalah benar.

Akhmad Munawir

Percayalah . . . !

Klo menurut saya, itu semua adalah pilihan cara bagaimana me-Menej Resiko dalam suatu operasi. Dan dari sekian banyak metode (HAZOP, HAZID, LOPA, SIL, SIF-SIS...etc), Kebutuhan2 pada pilihan tersebut sangat tergantung pada Spesifikasi yg diinginkan oleh Client/Investor.

Tetapi selain Standard2 (IEC, ISA, API, NFPA, NEC, ASME, ASTM,..etc) yang juga menjadi kebutuhan dlm design adalah Goverment Regulation/Legal di lokasi setempat.

Btw, terima kasih diskusinya, sungguh benar2 bermanfaat buat saya.

darwis sbr

Ikut nimbrung Pak Munawir,Saya sangat setuju dengan Pak Munawir bahwa keinginan clientlah sangat menentukan dan juga tak kalah penting adalah peranan qualitas personal yg diberi incharge tsb.

Waskita Indrasutanta

Selamat siang,

SIL atau Safety Integrated Level bisa dipenuhi 'salah satunya' oleh komponen-komponen (sensor, logic solver dan actuator) secara integrated dalam suatu SIS sebagai salah satu layer of protection. Layer protection lainnya seperti mechanical protection, bisa saja sudah memenuhi SIL requirement tanpa adanya SIS. Walaupun demikian, untuk sebagian besar processing industries, pada umumnya kita akan dihadapkan untuk menambahkan layer of protection dengan menggunakan SIS.

Untuk processing industries seperti migas, sesuai dengan standard yang berlaku IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) wajib mengikuti standard tersebut sepenuhnya. Jadi, maaf yang disebut 'banci' atau masih menggunakan standard lama yang sudah di-override oleh IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) harus diupgrade memenuhi standardtersebut. Banyak standard lama seperti TUV AK series, NFPA 72 dan yang disebut Mas Unggul dibawah kalau kita pelajari hanya berfokus pada perangkat safety itu sendiri, tetapi tidak mencakup kemungkinan kegagalan saat dibutuhkan (PFD) di luar perangkat safety.

Baru saja saya upload white paper "SIL Rating for F&G" dimana saya mendapat ijin khusus dari penulisnya Paul Gruhn, CSFE pakar safety untuk diposting bagi para Milisia Migas Indonesia di http://tech.groups.yahoo.com/group/Migas_Indonesia/files/Instrument/ (hyperlink mulai dari http://tech.groups.yahoo.com/.../Instrument/. Harap disambung kembali apabila diterima terputus atau ikuti announcement). Dalam white paper ini dibahas bahwa selain pada perangkat safety kontribusi PFD di luar perangkat safety (dalam hal F&G dalam tulisan ini, coverage dan mitigation) justru lebih berperan, sehingga meskipun SIS-nya sendiri sudah memenuhi SIL requirements, tetapi karena kontribusi PFD di luar SIS menjadi tidak lagi memenuhi SIL requirements.

Ada pula yang menentukan harus memenuhi SIL 2 untuk aplikasi F&G alarm / monitoring saja tanpa logic solver dan actuator. Saya tidak bisa mengerti mengapa alarm / monitoring membutuhkan SIL 2, dan Paul Gruhn berkomentar "They expect an operator to perform the required task at greater than 99%. They are kidding themselves. This shows their lack of knowledge and the need for such a paper".

SIL bukanlah product dari SIS, melainkan bagian dari IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) standard. Seperti dibahas diatas, standard ini juga memperhitungkan faktor-faktor di luar perangkat safety. Jadi, "proteksi terhadap suatu EQUIPMENT dari mulai menggunakan SHUTDOWN VALVE, BLOWDOWN VALVE, SAFETY VALVE sampai dengan pemasangan FUSIBLE PLUG pada Equipment -equipment yang rawan FIRE" saja belum mencakup keseluruhan standard ini.

HIPPS SIL 3 menggunakan pneumatic system mungkin saja bisa dicapai, tetapi saya bayangkan akan menimbulkan banyak spurious shutdown, karena kesalahan atau keterlamabatan sedikit saja akan men-trigger shutdown dan periodic test pasti menghasilkan angka yang luar biasa sering.

SIL 3 bisa dicapai dengan menggunakan komponen Pressure Switch. Untuk mengurangi terjadinya spurious shutdown bisa digunakan strategy 2oo3 input dan untuk mengurangi frequency of test bisa menggunakan Pressure Switch yang dilengkapi dengan (auto - optional) test facilities dan diagnostics.Keunggulan Pressure Transmitter terhadap Pressure Switch ada pada diagnostics yang lebih comprehensive.

Yang penting dari contoh-contoh diatas tadi adalah bagaimana SIL 3 itu ditentukan. Apakah benar bahwa SIF membutuhkan SIL 3 yang berdasarkanCompany (User) Safety Policy? Apakah sudah dikaji dengan metoda ALARP untuk mengatasi budget constraint?

Smart transmitter dengan signal 4~20mA seperti HART adalah umum di-specify pada projects masa kini. Yang memproduksi transmitter non-smart saat ini juga sudah jarang; kalau ada, belum tentu harganya lebih murah darpada harga smart transmitter. Smart transmitter memberikan fasilitas tambahan diagnostics untuk keperluan maintenance pada level BPCS (SIL 0) dan online database untuk keperluan Online Plant Asset Management. Smart transmitter ini tidak memberikan keuntungan apa-apa dari segi safety, kecuali kemampuan diagnostics-nya sudah certified untuk safety relatd application.

Saya sungguh yakin 'tidak setuju' dan 'tidak percaya' dengan pernyataan Sdr. Takashi Maeno tersebut mengenai ENTRY LEVEL dst. IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) wajib dipenuhi oleh semua applicable industries sebagaimana mestinya tanpa kecuali. Safety

adalah kepentingan umum di seluruh dunia, bukan Vendor atau acceptance / penerimaan di Negara tertentu saja.

unggul.hudoyoko

QUOTESaya sungguh yakin 'tidak setuju' dan 'tidak percaya' dengan pernyataan Sdr. Takashi Maeno tersebut mengenai ENTRY LEVEL dst. IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) wajib dipenuhi oleh semua applicable industries sebagaimana mestinya tanpa kecuali. Safety adalah kepentingan umum di seluruh dunia, bukan Vendor atau acceptance / penerimaan di Negara tertentu saja.UNQUOTE

Commo esta Amigo . . . !

Ada hal yang perlu saya luruskan untuk menanggapi statement dari Bapak Waskita yang saya quote diatas.

1. )Yang dikatakan oleh Mr. T. Maeno adalah ENTRY TICKET (instead of Entry Level you wrote, maaf kalau seandainya pada posting saya terdahulu salah tulis) ini adalah KATA SINDIRAN khas Jepang bilamana mereka diharuskan untuk "OBEY" terhadap suatu regulasi yang sebenarnya dia kurang "SREG" untuk melakukanya. Di jepang kebanyakan Industrynya belum menerapkan Sistem SIL tetapi tingkat kecelakaan nya dilaporkan hampir nihil. Hal tersebut dikarenakan mereka telah mengembangkan sistem keselamatan terpadu yang dinamakan SISTEM 7R yang sudah terbukti efektif dalam mengurangi accident. Sistem keselamatan in sudah terbukti ampuh dan di Tripatra sendiri sudah mengadopsinya sebagai SISTEM 3R/5R yang juga terbukti efektif. Jadi tidak salah kalau mereka (an sich: orang Jepang) menyebutkan regulasi-regulasi tersebut hanyalah sebagai Entry Ticket terutama ISO, SIL (bukan SIS lho karena Safety Instrumented selayakanya harus ada didalam setiap Instrumentation Design ...).

Sangat "luwes" bukan . . . ?

2.)Pak waskita, Mr. T. Maeno adalah termasuk jajaran direksi di JGC Corporation Japan dengan usia yang sudah sepuh saat ini mungkin usianya lebih dari 65 tahun dan saya sangat menghormati beliau, jadi lain kali mohon kiranya dipanggil Bapak saja dan jangan Saudara hal ini merupakan "tata krama" dalam berkorespondensi terhadap orang yang tidak/belum kita ketahui status dan jabatan nya siapa tahu suatu saat beliau membaca postingan anda kan jadi enggak enak kita, OK pak Waskita?

3.)Mengenai masalah SIL, its debatable still . . my man . . . sehingga sangat mendesak agar segera dibuat suatu panel diskusi mengenai hal tersebut untuk menyamakan persepsi dan terminologi kita. Boleh kiranya kalau PT Waskita Niaga mau memprakarsainya.

Kalau ada salah omong atau salah kata sehingga menyebabkan fitnah terhadap pembaca kiranya saya mohon maaf.

"Zikri, Rafif"

Saya nambahin sedikit.1, Mengenai Alarm Palsu untuk level switch.Setahu saya safety system itu dapat fail dengan 2 cara. yang pertama itu safe failures (nuisance trips) dan dangerous failure (fail to function). Sebagai gambaran untuk nuisance trip, valve yang harusnya membuka dalam production, ternyata fail closed karena adanya nuisance trips ini. ini akan mengakibatkan lost production. tapi ini masih termasuk failures yang safe, karena fail tersebut akan segera diketahui dan dampaknya safetynya relative nihil. tetapi bila ada valve yang harusnya menutup tetapi stuck. Ini dangerous failure dan dapat mengakibatkan safety hazard.

Level switch itu dari failure rate-nya 98 kali memang memberikan nuisance trips (safe failure) dan 2 kali dangerous failure, tetapi kalo solid state itu memang hanya 5 kali nuisance trips tapi juga 5 kali dangerous failure. sayang saya lupa untuk level transmitter, tapi nuisance tripnya memang lebih rendah, tapi seingat saya dangerous failurenya juga lebih tinggi lagi.

Jadi level switch memang sering memberikan alarm palsu, benar dan biasanya dikeluhkan ama level maintenance, tapi apakah level transmitter lebih aman daripada level switch ? ngga juga.

2. IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) wajib dipenuhi oleh semua applicable industries sebagaimana mestinya tanpa kecuali. Safety adalah kepentingan umum di seluruh dunia, bukan Vendor atau acceptance / penerimaan di Negara tertentu saja.

Setahu saya IEC 61511 atau ANSI/ISA 84 ini masih belum secara resmi diwajibkan di semua applicable industries. USA sendiri memang mewajibkan code-code seperti API RP 14C, HAZOP untuk masalah safety tapi belum dalam hal IEC 61511 ini.

Crootth Crootth

Setuju Pak Zikri,

Pernyataan Pak Waskita berikut:

"IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) wajib dipenuhi oleh semua applicable industries sebagaimana mestinya tanpa kecuali. Safety adalah kepentingan umum di seluruh dunia, bukan Vendor atau acceptance / penerimaan di Negara tertentu saja."

Menurut saya sangat sembrono . Kata kata mewajibkan dalam pandangan saya kok yah lebih mengarah ke Pro-Vendor atau Pro-Jualan.... dan ada terasa intensi bisnisnya disini.... (siapa yang vendor yah?? hayo ngaku aja sebelum saya tunjuk...)

Cuma itu saja sih catatan saya

mefredi_cfse

Semakin seru dan hangat saja diskusi kita di bidang yang satu ini, senang rasanya karena memang ini menunjukkan awareness kita terhadap hal hal yang berbau safety demikian besar

Saya coba ikutan lagi mengenai beberapa hal yang menjadi topik hangat terakhir dari teman2 yang lebih ke arah prinsip2 management safety secara lebih umum .

APAKAH SIL/SIS/SIF ITU PERLU ?, SIAPA YANG MENGHARUSKAN ?

Dalam konteks regulasi (pemerintah) yang saya tahu saat ini SIS standard wajib di terapkan di company2 di UK / Australia untuk prevention terhadap major hazard. Karena disana IEC 61508/61511 kemudian di adopt menjadi national standard BS (british standard) atau AS (Australian Standard).

Di Amerika mungkin lain lagi ceritanya, untuk Process industri dengan kategori major hazard yang harus di ikuti adalah OSHA CFR 19.10 Process Safety Management. Tidak ada kalimat secara langsung yang menyebutkan harus di gunakannya ISA 84 untuk keperluan process safety. Hanya saja kemudian OSHA merecognize melalui surat yang mereka kirimkan ke ISA bahwa ISA 84 generally accepted as good engineering practices untuk penerapan SIS dan menyatakan ISA 84 sebagai national consensus standard untuk aplikasi SIS di process industri. Ini yang kemudian menjadikan ISA 84 kemudian populer sebagai salah satu cara untuk menerapkan Process Safety Management buat company2 di amerika.

Tidak Semua company di amerika menerapkan ISA 84 untuk keperluan proses safetynya, Offshore Oil & Gas Company di area North Amerika mereka tidak menerapkan SIS/ISA 84 tapi tetap menggunakan API 14C karena mereka terikat dengan regulasi MMS CFR yang memang masih mengacu kepada API sebagai standardnya, jadi kalau mereka menerapkan ISA atau IEC tentunya akan menyalahi hukum yang berlaku dan penjara jaminannya.

Sekarang bagaimana buat indonesia ? Apakah ada aturannya, ada hukumnya ? yang saya tahu saat ini (tolong di koreksi kalau salah karena saya tidak begitu paham dengan peraturan pemerintah !) Kepmenaker 187/Men/1999 yang menyebutkan tentang pengendalian bahan kimia berbahaya di tempat kerja yang mensyaratkan adanya identifikasi bahaya, penilaian dan pengendalian resiko yang tentunya sama dengan prinsip2 yang terkandung di OSHA PSM ataupun ISA 84 atau IEC 61511/61508. Karena memang tidak ada kelanjutannya mengenai bagaimana cara menerapkan identifikasi bahaya, penilaian dan pengendalian resiko yang di maksud . Sangat Performance based approach, bagaimana caranya tidak dikasih tahu tapi hasil akhirnya yang di inginkan adalah aman dalam operasi , tidak ada kecelakaan dan ini lazim kepada trend standard saat ini yang mulai menggantikan prescriptive based. Jadi silahkan ambil benang merahnya mau ikut standard atau engineering practice yang mana untuk dapat comply kepada kepmenaker ini.

APAKAH STANDARD YANG SUDAH ADA TIDAK CUKUP (API 14C, NFPA 85, ETC) SEHINGGA HARUS ADA MR SIL INI ? SIL mungkin term yang baru, walaupun prinsipnya adalah primitive – Reliability / Availability. Standard terdahulu juga sebenarnya sudah bicara SIF/SIS hanya saja dalam bentuk kata yang lain. Kita kenal istilah intrument protective system, safety shutdown system, ESD, interlock, etc. Kalau baca P&ID/C&E/SAFE chart akan lagsung recognize PSHH jika set-nya tercapai/dilampaui akan memberikan signal ke panel logic kemudian memerintahkan

SDV untuk menutup misalnya, yang pada kenyataannya ini adalah SIF. Jadi SIF bukan sesuatu yang baru. Terus apa bedanya dengan IEC/ISA yang bicara SIL ini ?. Saya ambil contoh API 14C untuk proteksi overpressure maka akan di arahkan untuk pasang PSV dan PSHH to shut SDV dan kalau perlu tambah Press Alarm High. (Dalam hal ini PSHH –logic- up to SDV adalah SIF) Setelah plant beroperasi maka lazim bahwa PSHH akan di kalibrasi dan di test, SDV masih pertanyaan ? karena akan mengakibatkan loss produksi (jika tidak ada fasilitas bypassnya ). Pertanyaannya adalah seberapa sering fungsi PSHH ini harus di test kelayakan kerjanya, seberapa tinggi tingkat reliability yang harus di capai oleh fungsi ini ? Apakah testing tiap 6 bulan cukup, atau harus tiap satu tahun sekali ? Untuk menjawab pertanyaan ini disinilah kemudian SIS standard ini berperan dengan PFD (probability failure on demandnya). Pengalaman saya di operasi dan mungkin di banyak di tempat yang lain juga, suatu peralatan kadang2 di test dengan testing frequency yang sama dan berulang-ulang bertahun-tahun tanpa ada perubahan. Maintenance team akan di kejar-kejar kalau terjadi nuisance trip / malfunction alarm yang menyebabkan process shutdown tapi tidak ada penyebabnya, kemudian instrument shutdown system disalahkan dan harus di kalibrasi lebih sering, dan semua akan senang jika shutdown system tidak pernah menyebabkan shutdown dari plant karena kemudian produksi berjalan lancar. Tapi kita baru terhenyak ketika kemudian pipa pecah dan setelah investigasi (kalau ada) ditemukan karena PSHH- nya tidak bekerja atau SDV stuck open atau logic solvernya yang pakai PLC canggih koq "hang".SIS standard kemudian mencakup semua assurance system ini dengan "MANAGEMENT SAFETY LIFE CYCLE" nya yang menyangkut conceptual design sampai de-comissioning.

Analogi yang bisa saya ambil adalah seberapa yakin kita dengan SRS air bag yang ada di mobil2 baru saat ini, (yang tentu harus dibayar lebih mahal dari mobil versi tanpa air bag) dapat bekerja ketika terjadi impact tabrakan ? Otomotif minggu lalu membahas air bag yang mengembang padahal tidak ada impact tabrakan, tapi dari sisi SIS standard concern lebih besar di tempatkan jika ada tabrakan tapi air bag tak mengembang ! (Note : Automotive industry masuk dalam category IEC 61508 yang merupakan umbrella dari semua industri)

Dengan management safety life cycle, dari awal design sudah di tentukan seberapa besar performance yang diinginkan terhadap fungsi safety ini dan juga batasan dalam design dan implementasinya. (Mungkin ini area yang terlalu detail sehingga saya tidak bahas lebih lanjut)

PENERAPAN YANG BANCI?, MINTA SIL 3 TAPI PAKAI PRESSURE SWITCH ?Teknologi pendukung process industri sangat cepat dan canggih. Pneumatic/hydraulic sejak tahun 1930-an, muncul elektrikal relay tahun 60-an, kemudian solid state electronic tahun 70-an dan akhir 80-an PLC mulai di gunakan. Rentang waktu 1970-2000 tejadi kecelakaan besar sebanyak 116 kali di industri petrochemical , 50 diantaranya terjadi dalam rentang waktu 1995-2000, (excerpt dari CCPS guidance for fire and explosion prevention) jadi kecelakaan di industri petrochemical semakin tinggi walaupun alat2nya canggih dan hebat teknologinya (Mungkin juga jumlah industrinya semakin besar). UK HSE bilang dari hasil penelitiannya 44% kecelakaan yang diakibatkan process risk dan process control karena kesalahan spesifikasi sisanya karena design installasi, komisioning dan management of change yang kurang baik. Respond terhadap inilah kemudian muncul IEC dan ISA standard tersebut. (Note : IEC/ISA SIS standard hanya berlaku untuk electrical/electronic dan programmable elektronik system, tidak berlaku untuk pneumatic ataupun hydraulic system, namun secara umum prinsip2nya bisa di gunakan untuk kedua teknologi ini)

Memang di perlukan pengetahuan yang cukup untuk dapat menerapkan good engineering practice ini secara keseluruhan. Tidak perlu setiap orang harus mengerti setiap tahap dari safety life cycle ini, cukup bahwa setiap orang yang terlibat adalah kompeten terhadap area yang memang menjadi tanggung jawabnya.Contoh : Team yang ikut di dalam PHA/HAZOP/SIL selection study harus mempunyai pengetahuan yang cukup agar dapat berkontribusi aktif. Engineer yang membuat spesifikasi harus kompeten dan mengerti tentang safety requirement spesifikasi saat mendesign, membuat data sheet ataupun RFQ-nya.Yang melakukan installasi harus mengerti gambar instalasinya sehingga tidak salahSebagai operator atau maintenance crew harus tahu impact apa yang akan terjadi kalau safety system di bypass/ override ?

Jadi dengan pengetahuan ini mungkin tidak akan terjadi lagi penerapan yang katanya banci

Demikian, cukup panjang lebar, mudah2an benar adanya dan bermanfaat

Budhi, Swastioko (Singgar Mulia)

Saya sepakat dengan apa yang telah diuraikan oleh rekan saya ini Mefredi.Kalau anda membaca IEC 61508, mungkin terlalu panjang untuk dapat dipahami dengan mudah.Saya coba kirim materi utama dari IEC 61508 untuk memahami penjelasan dari Sdr. Mefredi.