Rangkuman Diskusi Mailing List Migas Indonesia Bulan Januari

2007

Metoda LOPA + SIL Assessment

Administrator Migas

Migas Indonesia,

Saya diajak diskusi via japri mengenai LOPA oleh beberapa rekan
instrument engineer. Tapi waktunya kurang tepat karena ternyata
kesibukan kerja + organisasi meningkat pesat di awal tahun 2007.
Malam minggu ini saja saya harus mempersiapkan bahan untuk
offsites meeting di Karawaci pada hari senin s/d rabu besok. Jadi saya
lempar ke milis saja yah untuk ditanggapi oleh rekan-rekan instrument
engineer yang lainnya.

Saya harap Sdr. Mefredi bisa ikut aktif di diskusi ini karena sewaktu
kita melakukan SIL Assessment & LOPA untuk beberapa platform di BP
West Java bekerja sama dengan EXIDA, beliau yang bertindak sebagai
leader, dengan anggotanya salah satu adalah saya. Itu juga part timer
karena ada kesibukan kerja yang lain :).

Saya lampirkan 2 attachment sebagai bahan diskusi.

Selamat berdiskusi, dengan senang hati saya akan membuat
rangkuman diskusinya bila sudah selesai.

Attachment : SIS Safety Life Cycle.pdf ; LOPA Method.pdf

Anshori Budiono

Artikelnyanya bagus sekali. Dunia Process Safety memang

berkembang seiring dengan ketertarikan para pemodal dengan data
statistik. Kita sering berpendapat bahwa masuknya ilmu statistik pada
dunia Safety bertujuan untuk membuat plant yang akan dibuat super
safe yang kemudian kita terjemahkan menjadi "lebih mahal". Padahal
yang tersembunyi di balik itu adalah masuknya ilmu statistik tersebut
pada dunia engineering adalah agar Plant dibuat dengan sepatutnya
dan memberikan CAPEX dan OPEX paling rendah, tidak berlebihan
akibat faktor kualitatif dan subyektivitas.

Semoga diskusi nya berlanjut dan bisa berguna buat kita semua yang
bergerak di rekayasa fasilitas. Ada yang mau saya tanyakan sebagai
pembuka diskusi. Berhubung saya ini orang awam, jadi mungkin
pertanyaan saya sedikit mendasar.
Mudah2an teman2 instument dan atau process safety berkernan
menjawabnya:

1. Arti, makna dan konsekuensi dari SIL-1

2. Arti, makna dan konsekuensi dari SIL-2

3. Arti, makna dan konsekuensi dari SIL-3

4. Dari flow chart yang disampaikan moderator, penentuan SIL adalah

suatu keputusan yang harus diambil oleh team kerja. Ukuran
kuantitatif apa menyebabkan team kerja harus mendefinisikan SIL atau
tidak mendefinisikan suatu SIL?

5. Suatu plant pasti mempunyai system dan sub-system. Jika sudah

ditentukan suatu SIL , apakah berlaku untuk keseluruhan plant?
Apakah boleh terjadi bermacam-macam SIL pada sub-system, system
dari suatu plant.

6. Ketika SIL sudah ditentukan, berdasarkan flow chart, maka tahap

lanjutnya adalah membuat SIS conceptual design. Persepsi saya
mengenai ini adalah bahwa SIL study dan membuat SIS conceptual
design adalah bagian dari FEL (Front End Loading) dan atau FEED
(Front End Design Engineering) dimana, apabila SIL sudah ditentukan,
maka tahap lanjutnya adalah menerjemahkan hal itu pada design P&ID
dan Control Philosophy.

7. Dalam flow chart diterangkan bahwa SIL study (Define Target SIL)
dilakukan sebelum Hazard Analysis dan Risk Assessment. Apakah
Hazard Analysis dan Risk Assessment yang harus dilakukan sebelum
SIL study ini harus bersifat kualitatif atau cukup kuantitatif, atau harus
dua2nya.

Dalam dunia Engineering, ada satu lagi strudy yang sangat populer
yakni HAZOPS (Hazard and Operability Study). Seperti kita ketahui
bersama bahwa HAZOPS ini bersifat analisis yang kualitatif, bukan
kuantitatif.
Pertanyaannya, kalau SIL study sudah dilakukan dalam arti tentunya
Hazard Analysis dan Risk Assesment pun sudah dilakukan sebelumnya,
maka apakah masih perlu dilakukan HAZOPS? Jika masih perlu
dilakukan HAZOPS kapan HAZOPS harus dilakukan apakah sebelum SIL
study atau sesudah SIL study..?
Jika kemudian ada rekomendasi yang berbeda yang pasti cenderung
menambah safety protection system, rekomendasi mana yang harus
diambil...?

7. Saya pernah lihat di P&ID, suatu intrument devices diberi note

sebagi SIL-3. Apakah ada alat-alat instrument (instrument devices)
yang bersetifikasi SIL...?

8. Dalam artikel LOPA yang disampaikan, ada istilah PFD. PFD ini
bukan Process Flow Diagram, tapi suatu parameter yang punya angka
tertentu. Singkatan dari apakah PFD ini..?

Sekian dulu. Mohon pencerahannya.

Zikri, Rafif

SIL = Safety Integrity Level

Saya coba jawab tapi tidak berurut.., Yang saya ketahui, SIL itu
merupakan tingkatan level dari setiap safety function atau safety loop.
jadi kurang tepat kalo SIL itu merupakan SIL sebuah system. ini yang
mungkin agak rancu buat yang baru mengenal SIL.
Yang membedakan tingkatan SIL adalah PFD tapi ini kepanjangan dari
Probability Failure on Demand, singkatannya sama dengan Process
Flow Diagram, jadi harus hati-hati kalo bicara SIL dengan PFD. cuma
karena angka-angkanya sangat kecil, dikenalkan nama Risk Reduction
Factor. atau RRF yang merupakan 1/PFD. Wajar saja, siapa yang bisa
membedakan 0.001 dengan 0.0001 ? secara kasat mata, nilainya
tidak banyak berbeda, tetapi begitu disebutkan bedanya 1000 dengan
10,000, otak kita langsung merasakan perbedaaanya.
Silakan lihat tingkatan SIL tersebut. mudah-mudahan embedded
filenya bisa dilihat.
Arti dan maknanya dapat dilihat seberapa besar safety function yang
anda punya memiliki kemungkinan untuk fail. Konsekuensinya, apabila
team penentuan SIL itu mengatakan sebuah safety function harus
memiliki SIL 3, maka safety function tersebut harus memiliki minimal 2
of 3 transmitter dengan MTTR, 1 ESD Controller dengan SIL 3
certifiied dan tentu saja kemungkinan 2 Final Elements dengan MTTR
yang cukup tinggi ditambah kemampuan maintenance untuk
melakukan testing sesering mungkin (baca : mahal), tapi saya rasa
sangat kecil kemungkinan adanya SIL 3 disebuah sistem oil and gas.
Apa konsekuensi lainnya ? saya kira konsekuensinya ( baca :
konsekuensinya, bukan cara menentukannya) mirip dengan HAZOP,
apa yang anda lakukan bila pas melakukan HAZOP dan mendapat
skala cukup tinggi, lalu berikutnya adalah apakah anda mau
melakukan suggestionnya ? (kalo di USA setahu saya ini bisa jadi
dokumen untuk nuntut apabila ketahuan tidak melakukan suggestion
di HAZOP untuk rank yang lebih tinggi)
Ada 3 cara untuk menentukan SIL, yaitu 3D Risk Matrix, Risk Graph
dan LOPA. kalo anda ragu masalah obyektifitas, maka saya anjurkan
untuk menggunakan LOPA. kalo cerita LOPA bisa panjang banget.
Seperti disebut sebelumnya SIL itu berlaku untuk sebuah safety
function, jadi sebuah plant dapat memiliki variasi SIL yang berbeda.
bila sebuah vendor menyatakan saya mempunyai transmitter SIL 2
certified by TUV, maka tidak berarti safety function anda memiliki SIL
2 juga. ada istilah, kekuatan SIL itu tergantung ke weakest link, kalo
nggak salah sih final element yang paling lemah. Apabila SIL sudah
ditentukan, maka safety function tersebut harus disesuaikan di P&ID-
nya, dan harusnya memang setelah HAZOP sebaiknya.
HAZOP dilakukan di keseluruhan system termasuk safety systemnya,
tapi tidak memperhitungkan seberapa sering tingkat fail dari sebuah
safety function, HAZOP hanya mengira-ngira dengan keyword less
flow, more flow dan lain-lain, tapi SIL hanya ke safety function saja
dan memperhitungkan berapa safety availability dari sebuah safety
function. HAZOP bisa saja merekomendasikan untuk menginstall
Shutdown System di incoming plant, tapi SIL akan
merekomendasikan, apakah saya perlu install 2 transmitter untuk
safety function di shutdown system tersebut, apakah saya perlu
install Safety PLC yang SIL 3 certified, apakah saya perlu memasang
2 Shutdown valve disana untuk berjaga-jaga agar safety valvenya
salah satu minimal berfungsi. HAZOP dan SIL tidak akan
merekomendasikan hal yang berbeda.
ECS Triplex itu certified SIL 3 untuk Safety PLC, Yokogawa Pressure
Transmitter EJX = SIL 2 Certified. dan masih banyak lagi.
Terima kasih

mefredi_cfse

Sekedar ikut berdiskusi mengenai SIL dan LOPA yang kebetulan

merupakan area of interest saya.

Menanggapi item yang telah dibuka oleh mas anshori budiono sebagai
berikut :
1,2,3 Makna dari SIL adalah tingkatan range dari equipment safety
berbasis instrument (Safety Instrumented Function - SIF) dimana
menurut standard IEC 61508/61511 atau ISA 84, terdapat 4 tingkatan
SIL yaitu SIL 1, SIL2 , SIL3 dan SIL 4. SIL 1 adalah range performance
dari SIF loop yaitu Probability of failure on demand (PFD) 0.1 - 0.01
atau probability of succes 90 - 99% atau atau risk reduction factor
(RRF) 10 - 100, SIL 2 adalah satu tingkat di atasnya PFD 0.01-
0.001/Prob success 99- 99.9%, RRF 100-1000, SIL 3 satu tingkat di
atasnya PFD 0.001-0.0001, prob success 99.9- 99.99%, RRF 1000-
10000 dan berikutnya untuk SIL 4

Note Probability succes = 1-PFD dan RRF=1/PFD

4. SIL selection atau ada yang bilang SIL determination adalah

memang di tentukan dalam bentuk workshop sama halnya dengan
HAZOP karena memang SIL determination dilakukan setelah HAZOP
selesai. Ukuran perlu tidaknya SIL dilakukan biasanya tergantung dari
severity atau konsekuensi dari hazard yang di identifikasi dan ini
tergantung dari company policy mengenai standardnya. contohnya jika
severity adalah fatality maka dilakukan SIL studi namun jika
severitynya hanya minor injuri tidak perlu dilakukan SIL clasisifikasi.
Dalam pelaksanaan studynya juga, apabila ternyata existing safeguard
yang ada (atau dalam flowchart digambarkan NON SIS layer) sudah
cukup memberikan risk reduction maka tidak perlu di tambahkan SIS
(safety instrumented system) sebagai protection layer

5. SIL hanya berlaku untuk SIF (safety instrumented function) yang

korelasi dengan hazardnya masing2. Jadi dalam satu equipment
contohnya vessel bisa saja SIL untuk PSHH-nya beda dengan SIL untuk
PSLL-nya. SIL tidak di assign untuk SIS (Note : SIS adalah kumpulan
SIF)

6. Setelah SIL ditentukan untuk tiap loop SIF memang berikutnya

adalah conceptual design yaitu mendesign system dan subsystem
untuk sesuai dengan target SIL masing2. SIF terdiri dari sensor, logic
solver dan final element, jadi design harus meliputi ketiga subsystem
tersebut bukan hanya satu komponen. Design disesuaikan dengan
functional requirement, meliputi architectural requirement dan
integrity requirement, yang tentunya setelah di dapatkan designnya
harus diterjemahkan dalam P&ID as built sebagai bagian dari
dokumentasi requirement. Pada tahap berikutnya setelah
implementasi harus dilakukan SIL validasi & verifikasi yaitu untuk
menentukan bahwa system yang diimplementasikan memenuhi
functional dan integrity requirementnya
7. SIL selection dilakukan setelah PHA/HAZOP bukan sebelumnya.
PHA/HAZOP biasanya dilakukan dengan metoda kualitatif yaitu melihat
initiating event dan severitynya dan kemudian merekomendasikan
safeguardnya. SIL selection mengadopt hazard initiating event dari
PHA/HAZOP, paling bagus adalah melakukan berbarengan dengan
team yang sama dari HAZOP langsung SIL study sehingga konsisten
dalam menentukan hazard dan safeguard recomendasinya. Untuk SIL
study
metoda bisa kualitatif ataupun semi quatitatif. Semiquantitatif yang
populer saat ini adalah LOPA (layer of protection analysis) Dengan
metoda ini kita dapat menentukan besarnya RRF yang di perlukan oleh
SIF untuk membawa plant risk ke level acceptable ALARP.

7. Banyak equipment yang sudah SIL 3 certified dan ini menjadi trend
dan kebanggaan manufacture. Namun jangan salah dalam menilai
karena satu equipment hanyalah bagian dari sub system sementara
performance keseluruhan ditentukan dari semua subsystem.
Berdasarkan populasi saat ini yang jadi titik lemeh adalah final
element, jadi yang harus diperhatikan adalah final element dan bukan
logic solver yang hanya sekitar 8% menyumbang terhadap failure
sementara final element sekitar 50% failure. Juga equipment certified
SIL hanyalah dalam bentuk capability. Equipment tersebut bisa
mencapai SIL 3 misalnya jika ketentuan2 dalam sertifikatnya di ikuti,
contohnya testing frequencynya, arsitekturnya perlu
redundant/vooting atau tidak ?. Jadi tidaklah cukup hanya equipment
dengan SIL capable yang tinggi tapi tidak di implemetasikan sesuai
dengan restriksinya dan ketikadi verifikasi ternyata kemapuannya
akan sangat berkurang, sayang kan beli mahal tapi salah
pasang ?...beli SIL 3 equipment tapi hanya di akui generic PLC biasa ?
dan ini yang paling sering terjadi.

8. PFD udah di terangkan diatas

OK nanti nyambung lagi, jika ada diskusi lebih lanjut dengan senang
hati akan reply

Waskita Indrasutanta

Beberapa tambahan keterangan Pak Mefredi:

1, 2, 3. IEC 61508 diperuntukkan bagi Manufacturers and suppliers of

devices; IEC 61511 dikembangkan sebagai process sector
implementation dari IEC 61508 bagi Safety Instrumented Systems
Designers, Integrators and Users; sedangkan ISA-84.00.01-2004 (IEC
61511 Mod) yang menggantikan ANSI/ISA-84.01-1996 (Formerly
ANSI/ISA-S84.01-1996). ISA-84.00.01-2004 (IEC 61511 Mod) sendiri
seseuai dengan namanya, sebetulnya adalah IEC 61511 yang
dimodifikasi untuk aplikasi processing industries. Saya kutipkan bagian
dari clause 9.3.1 ISA-84.00.01-2004 (IEC 61511 Mod) bagian mengenai
SIL 4 "Applications which require the use of a single safety
instrumented function of safety integrity level 4 are rare in the process
industry. Such applications shall be avoided where reasonably
practicable because of the difficulty of achieving and maintaining such
high levels of performance throughout the safety life cycle. Where such
systems are specified they will require high levels of competence from
all those involved throughout the safety life cycle"

4. Pengkajian dan penentuan SIL berawal dari Company Safety Policy

(masing-masing Perusahaan berbeda-beda) yang diputuskan oleh Top
Management dan berdasarkan hukum dan peraturan yang berlaku.

5. Boleh saja menentukan untuk menggunakan hasil pengkajian SIL

tertinggi untuk seluruh plant (dan ini kesalahan yang sering tertulis
dalam bid specs dari projects). Misalnya, hasil pengkajian SIL tertinggi
adalah SIL 3 dan keseluruhan plant ditentukan SIL 3. Akan tetapi, hal
ini akan mengakibatkan harga SIS yang sangat mahal, biaya operasi
tinggi (frequency of test semakin tinggi) dan tidak practical. Dengan
metoda ALARP (As Low As Reasonably Possible) biaya bisa ditekan jauh
lebih ekonomis. Intinya, boleh menenetukan SIL > hasil pengkajian
(asalkan Company siap untuk membayarnya); dengan metoda ALARP
-> tentukan SIL sesuai hasil pengkajian untuk setiap SIF.

6 & 7a. Menunjang keterangan Pak Mefredi: Urutan overall framework

dari ISA-84.00.01-2004 (IEC 61511 Mod) bisa dilihat di Figure 1
halaman 15, dimulai dari 'Development of the overall safety
requirements (concept, scope definition, hazard and risk assessment)
Clause 8' -> 'Allocation of the safety requirements to the safety
instrumented functions and development of safety requirements
specification Clause 9 & 10' -> dst, sampai dengan 'Operation and
maintenance, modification and retrofit, decommissioning or disposal of
safety instrumented systems Clauses 16, 17, and 18. Jadi hazard and
risk assessment dulu baru lainnya.

7b. Komponen (sensor, logic solver, atau actuator) bukanlah 'certified'

untuk SIL tertentu, melainkan adalah 'approved (to be used)' untuk SIL
tertentu. Ada third party organization tertentu (TUV, Exida, dsb.) yang
melakukan pengkajian dan test pada equipments atau devices
mengeluarkan 'approval' untuk SIL tetentu. Approval ini
mempermudah design engineers dalam melakukan enjiniring.
Misalnya, untuk SIF yang memerlukan SIL 2, dengan menggunakan
semua komponen yang 'SIL 2 approved', maka kalau kita kaji
umumnya akan menghasilkan SIL 2 requirements tersebut. Perhatikan
bahwa standard 'tidak mengharuskan' untuk menggunakan 'SIL n
approved components'; bahkan standard PLC yang bukan 'SIL 2
Approved' dengan design dan assessment yang benar bisa
dipergunakan untuk SIL 2.

8. Jelasnya, PFD adalah Probability of Failure on Demand, yaitu

'kemungkinan kegagalan pada saat dibutuhkan (untuk safety atau
mengurangi risk)'. Contoh: Kita tidak menggunakan seat belt waktu
berada dalam kendaraan karena menganggap jalanan sepi dan tidak
mungkin mengalami kecelakaan. Nah ini berarti PFD = 100%, karena
pasti gagal pada saat kita mengalami kecelakaan. Kalau kita
menggunakan seat belt, maka akan berlaku PFD sesuai dengan design
dengan catatan kita melakukan periodic check/test sesuai dengan
design-nya. Mungkin saja seat belt sudah tidak berfungsi lagi (tidak
stopped pada saat mengalami hentakan atau lainnya). Faktor periodic
test inilah yang dimaksud Pak Mefredi mempengaruhi integrated PFD.
Setiap perangkat safety tujuannya adalah untuk mengurangi (tidak
menghilangkan) risiko atau risk reduction. RRF (Risk Reduction Factor)
inilah yang juga dipergunakan dalam quantitative method. Hubungan
PFD dan RRF sudah dijelaskan Pak Mefredi, tetapi dari pada
menyatakan PFD yang dalam orde 0.00... atau 10 pangkat minus n,
banyak orang lebih suka menggunakan RRF yang jadi puluhan,
ratusan, ratusan ribu, juta atau 10 pangkat plus n.

Crootth Crootth

Mas Mefredi,
Secara umum ulasan anda menarik dan cukup gamblang untuk
menjelaskan tentang apa dan bagaimana SIL study itu. Akan tetapi
saya perlu menggaris bawahi pernyataan anda:
Anda menyebutkan pada penjelasan no. 4 "karena memang SIL
determination dilakukan setelah HAZOP selesai" Saya kok tidak
menemukan yah keharusan tentang menyelesaikan HAZOP terlebih
dahulu baru melakukan SIL determination kemudian.
Yang saya tangkap dari standard IEC-61508 hanya menyebutkan
Hazard & Risk Analysis dan IEC-61511 pun hanya menyebutkan Risk
Analysis and Protection Layer Design. Demikian pula sumber sumber
reference lain seperti Hal Thomas, William Goble dan Ed Marszal sama
sekali tidak menyebutkan bahwa HAZOP adalah pre-requisite dari SIL
determination study (bahkan istilah SIL determination sendiri tidak
disebutkan dalam banyak literature di atas)
Dalam pengertian saya Risk Analysis and Protection Layer Design
yang disebutkan dalam IEC-61511 itu sendiri terdiri dari beragam
methods, bahkan SIL determination itu sendiri bisa dikategorikan ke
dalam salah satu dari metode-metode ini. Tentu saja HAZOP akan
membantu efektifitas study SIL determination hanya jika hasil study
HAZOP juga patut (proper). Banyak study HAZOP yang tidak
memerikan tentang pentingnya SIL verification untuk setiap SIF (untuk
tidak mengatakan bahwa tidak semua peserta HAZOP mengerti benar
apa itu SIL, SIF, dan SIS).
Saya memiliki suatu report SIL determination yang tidak sama sekali
memerlukan HAZOP sebagai suatu prasyarat (pre-requisites). Laporan
tersebut hanya mengandalkan P&ID untuk menganalisa kebutuhan SIL
dari setiap SIF yang ditinjau.
Pengalaman pribadi saya melakukan SIL study juga menunjukkan
laporan HAZOP yang saya terima dari user sama sekali tidak efektif
membantu pelaksanaan SIL study dan bahkan saya lebih
mengandalkan Cause and Effect Diagram, dan P&ID dari fasilitas
bersangkutan.
Sekali lagi saya tegaskan bahwa HAZOP itu akan sangat membantu,
namun tidaklah menjadi prerequisites dari SIL determination study.
Dan, SIL determination study itu sendiri pada dasarnya adalah
merupakan Hazard & Risk Analysis dimana metodenya bisa berupa
kualitatif, semikuantitatif (misalnya LOPA) dan kuantitatif.
Dari pengertian di atas jelas kiranya bahwa SIL determination study
pun dapat saja dilakukan secara parallel dengan HAZOP study karena
keduanya bisa digolongkan sebagai Hazard and Risk Analysis as per
IEC-61511.
Terlepas dari ketidaksetujuan saya pada sedikit dari begitu banyak
ulasan anda yang menarik, saya ucapkan terima kasih kepada Mas
Mefredy
Warmest regards

mefredi_cfse

Diskusi lebih lanjut mengenai item 4

Istilah SIL selection/determination/clasification.

Tiga istilah di atas pada dasarnya adalah menunjuk pada process yang
sama, yaitu menentukan berapa besarnya target IL (integrity Level)
yang diperlukan untuk membawa process risk ke acceptable level
dengan aplikasi SIF/SIS. Saya sendiri sering pakai istilah determination
karena kebetulan company saya sering pakai istilah ini. Namun untuk
lebih generalnya saya anjurkan pakai istilah SELECTION karena
memang ini yang banyak dipakai. Sama halnya di dalam standard pun
sering beda untuk menyebut hal yang sama (i.e. IEC 61508
menggunakan istilah SRS = safety related system, 61511
menggunakan term SIS = Safety Instrumented System yang keduanya
adalah sama, SRS 61508 = SIS 61511, Namun 61511 menggunakan
SRS = safety requirement spesification, jadi ini masalah istilah saja )
HAZOP prasyarat SIL study ?
Sebelumnya saya bahas dulu mengenai safety life cycle yang lagi2
beda antara 61508/61511/ISA 84. Namun ketiga-tiganya mempunyai
prinsip yang sama, yaitu urutan pertama adalah tahapan
conceptual/analisis, yang kedua adalah tahapan design/realisasi dan
terakhir tahapan implementasi/operation maintenance. File yang
dilampirkan pak budi terdahulu mengenai safety life cycle adalah versi
awal ISA 84 tahun 96, versi barunya sudah jadi ISA 84 (IEC 61511
mod)

Mengenai step urutan dalam safety life cylce yang menyebutkan

hazard and risk analysis(61508) dan hazard and risk assesment lanjut
dengan protection layer, sebenarnya adalah menerangkan proses
dalam urutan untuk menentukan apakah SIS perlu di aplikasikan atau
tidak ? Jika SIS perlu di aplikasikan maka SIL perlu di select, jika Other
risk reduction methods atau teknology available dan cukup risk
reductionnya maka SIS tak perlu di aplikasikan. Jadi memang SIL study
embedded didalam 2 step tadi. Personnaly saya lebih suka
lifecyclenya ISA versi 96 dalam konteks tahapan analisis karena lebih
jelas urutannya. Ada juga engineering company consultant yang
khusus untuk functional safety kemudian mendevelops sendiri life
cycle processnya yaitu dengan mengexpand box2 yang ada dalam life
cycle IEC sehingga lebih mudah urutan prosesnya dan dapat di
mengerti.
Note : 61511 menulis protection layer, tapi tidak hanya LOPA yang
boleh, risk graph juga OK, karena ada dalam guidance-nya.

Mengenai apa yang dimaksud proses hazard risk assesment tersebut

dan apa metodanya, mas darmawan sudah sebutkan beberapa
metoda bahwa PHA bisa dilakukan dengan berbagai macam methods
(FMEA, what if check list, HAZOP (ini yang paling populer, Even tree
analisis yang merupakan cikal bakal LOPA). LOPA sendiri mulai di pakai
untuk PHA dan juga adalah metoda yang cukup mumpuni dan sangat
di senangi untuk menentukan target SIL. Jadi kalau PHA-nya
menggunakan LOPA dan langsung juga menentukan target SIL-nya
maka ini menjadi satu process PHA risk asessment secara
keseluruhan, tapi kalau PHA pakai metoda yang lain, HAZOP misalnya,
maka SIL selection dilakukan berdasarkan hasilnya HAZOP dalam
keperluan identifikasi SIF. Ini yang saya maksud dengan pernyataan
sebelumnya. PHA/HAZOP yang berbarengan dengan SIL study dengan
team yang sama akan sangat ideal dan merupakan kesatuan dari
proses risk assesment.
Untuk menentukan target SIL / SIL selection study prasyaratnya
utamanya adalah ada SIF yang sudah di identifikasi. Identifkasi SIF
didapat dari 2 sumber. 1. PHA report 2. Engineering drawing.
Yang ideal adalah dari PHA report, kalau memang PHA dilakukan
dengan proper dan dapat mengakomodir kebutuhan SIL study, karena
memang di dalam PHA ada hazard identifikasi, consequency ,
safeguard dan proposed SIF. Setuju dengan mas darmawan bahwa
kebanyakan PHA/HAZOP report yang saya lihat juga tidak mendukung
SIL study. Engineering drawing seperti P&ID, SAFE, C&E sebenarnya
paling gampang mengidentifikasi calon SIF. Hanya saja harus hati2
karena tidak semua didalam engineering drawing adalah SIF , ada
juga yang mirip2 SIF tapi ternyata hanya fungsi kontrol. Akan sangat
ideal jika link antara PHA report dan engineering drawing sudah
establish dan tidak ditemukan ada missed waktu crosslink. Jadi boleh2
saja melakukan SIL selection study dengan engineering drawing,
namun harus di pastikan croslinknya dengan PHA/HAZOP jika ada.

Safety life cycle di bentuk dengan arahan ideal untuk plant yang
belum di bangun dan saya lebih senang identifikasi SIF melalui PHA
report, walupun saya juga pernah melakukan SIL study untuk plan
yang sedang di rancang dan belum di bangun tapi kok PHA-nya nggak
mendukung dan P&ID nya belum update juga dengan PHA/HAZOP
findingnya.

Untuk plant existing, lebih baik pakai P&ID-nya , tapi perlu recheck
dengan PHA/HAZOP-nya jika ada rekomendasi yang belum di
implementasikan dan belum tergambar di P&ID.

Demikian semoga benar adanya, terimakasih atas diskusinya, karena

memaksa saya untuk buka buku dan catatan lagi, sekalian refreshing
gitu..

Dirman Artib

Senang rasanya membaca ulasan para pakar "Technical Safety". Saya

menggunakan istilah Technical Safety sebagai term yg biasa
digunakan oleh bbrp. perusahaan UK based, untuk membedakan
dengan profesi Occupational Health & Safety Management System
/Safety Advsior/ Safety Officer.
Ada juga yang menyebutnya sebagai Safety Engineer......pokoke itu
lah.
Sesuai dengan kompetensi saya, saya tidak akan ikut diskusi pada
daerah sangat teknis dan njelimet SIS-> SIF->SIL, LOPA, PHA/HAZOP
dimana ini adalah daerah professional berbakat CFSE.

Tetapi ada satu yg ruang dimana pintu informasinya masih tertutup,

yaitu "kenapa kita perlu SIL (SIS,SIF) ?

Pak Waskita membuka sedikit celah (bukan pintu) yaitu "karena

Company Safety Policy" yg diputuskan oleh Top Management. Nah
kalau sampai di tahap ini, mulai lah saya konfident untuk berkoment-
ria.

Benar atau tidaknya alasan dari keharusan (bukan kebutuhan)

menerapkan SIL berasal dari "Company safety Policy" sifatnya menjadi
relatif dalam praktek, market dan actual business needs. Bisa saja hal
ini benar kalau yg dimaksud adalah sebuah Policy of oil company
(indonesia baca KPS). Tapi organisasi dan market player itu segmen
nya dan tingkat nya berbeda-beda. Sebuah oil company pun akan
berhati-hati menentukan sebuah policy yang mengarah kepada
metode yg spesifik dan detail seperti technology dan metode SIL ini.
Salah interpretasi akan mengakibatkan terjemahan pukul rata "pokoke
SIL 3". Karena itu, sebagai sebuah high level of direction and
commitment that expressed by Top management, sebuah policy
biasanya tidak merujuk kepada spesifik metode atau teknologi, tetapi
lebih kepada fundamental.

Coba bedakan 2 penggalan policy statement berikut :

1. Adalah wajib bagi organisasi untuk melakukan identifikasi terhadap

potential bahaya dan melakukan analisa tingat resiko serta
menetapkan metode dan langkah-langkah yang dianggap tepat untuk
menurunkan tingkat resiko tersebut sampai pada tingkatan yang bisa
dikendalikan pada saat tahap desain dan pengembangan.

2. Agar tingkat resiko bisa diterima untuk Adalah wajib bagi organisasi
untuk menerapkan "inherenthly safe design", untuk itu
mengintegrasikan sistem instrument agar memenuhi Safety Integrity
Level 3.

Bagi oil company (baca Operator di US) akan relatif mudah

menerapkan kebijakan no.2, karena semua project-project green field
maupun brown field akan memasukan muatan persyaratan ini kepada
Project Manager mulai saat Pre-qualification, Bid, dan Project
Commencement. Kontraktor yang tidak punya kemampuan,
pengalaman dan kekuatan dalam SIL study dibabat habis alias tak
lolos PQ. Kemudian para Operation Manager diminta mengidentifikasi
sistem instrument yg sudah "jurrasic" karena keluarnya kebijakan
baru dari CEO ini, kemudian rencana Project akan dibuat untuk
meng"ugrade" sistem sekarang yang dianggap primitif ke level yang
telah dipercayai tadi bisa mereduksi tingkat "ledakan".

Bagi segmen kontraktor, oh....dear....It's stupid CEO to use no. 2 policy

statement. Se fleksibel apapun Sistem Manajemen kontraktor yg
memang harus fleksibel untuk mengakomodir kebutuhan-kebutuhan
kustomer, memenangkan kompetisi dengan pesaing, membuat high
revenue agar shareholder bisa dengan tenang menikmati cerutu Kuba,
tidaklah gampang untuk begitu saja meng'adopt" metode/teknologi
terpercaya yg di address oleh kustomer terhormat.

Ada investasi besar yang harus ditanam untuk mengirimkan para

Engineer untuk berguru kepada padepokan terbaik agar punya
pengetahuan tentang SIL (belum termasuk resiko resign paska
pelatihan).

Ada hitung-hitungan yang harus dibuat agar Business Plan yg di dalam

nya ada IIP (invest in People) bisa meyakinkan shareholders, bahwa
bibit yang disemai ini akan dipetik hasilnya 3 tahun lagi.

Ada objectives yang harus dipasang untuk Management System Reps.

agar ruang bagi Processes and Procedures untuk SIL ini disediakan.
Silahkan lakukan kajian, peras otak agar masa transisi "Management
of Change" untuk sistem ini bisa dilalui dengan terkendali alias tidak
mengurangi integritas dan Performance dari Sistem yang selama ini
matang dipakai. Bahkan saking matangnya, Engineer tak perlu buka
proses map atau prosedur kalau bekerja. Peranan, tanggung jawab di
setiap langkah proses sudah mengalir begitu saja dengan irama yang
sudah dimengerti oleh team. Interaksi dan interrelasi antar proses
sudah harmonis. Nah sekarang "welcome to board Mr. SIL !"

Tapi itu lah hebat nya kontraktor, yg biasanya punya policy sangat
fleksibel seperti karet ketapel. "Kami bertekad memenuhi persyaratan
bahkan melebihi apa yang ditentukan pelanggan dan market" (Loe
butuh, gw punya) .

Akhirnya si kontraktor harus menyerah tanpa syarat dengan apa yang

dimaui oleh tuan kastomer, yaitu SIL titik.

Maka Sistem Manajemen harus di improve (istilah yg trendi untuk

sebuah perobahan).

Btw.
Jelas lah syarat bagi sebuah Sistem Manajemen, proses, langkah,
sequence, siapa bertanggung jawab apa pada step yg mana harus
ditetapkan, pakai tool apa, bagaiman caranya harus lah jelas dan
tanpa ada ambiguity. Kalau belum jelas harus masuk induction lagi,
yang tak patuh harus dibuat patuh karena Sistem adalah raja,walau
sistem boleh ditinjau dengan cara dan adat istiadat tertentu pula.

Jadi issue-issue seperti,dimana Mr. HAZOP saat Mr. SIL bermain adalah
sesuatu yang harus dibahas tuntas dan ditetapkan secara
terdokumentasi dalam protocol dan procedural dari sistem
terdokumentasi.
Bahkan harus jelas sampai ke tahap "Dimana Mr. Classic Pre-start Up
Safety review saat SIS divalidasi".

Ini lah yang saya katakan bahwa pintu untuk sebuah metode teknis
dari "Product Realisation Process" harus dibuka pada tingkatan
"Management Process". Orang listrik bilang "Synchronised".

Tak mudah memang............tapi tak ada yg tak mungkin kalau benar-

benar sebuah Company Safety Policy.

Waskita Indrasutanta

Kalau tidak ada CFSE inhouse, bisa outsource dari 3rd part
organization atau consultant, koq Pak. Akan tetapi yang penting Top
Management yang menjadi Chairman dari Safety Committee
perusahaan, karena beliau-beliau inilah yang nantinya akan
mempertanggung-jawabkan incident yang terjadi. Bisa saja Top
Management menentukan safety policy yang sangat stringent tetapi
harus dibayar mahal, atau safety policy yang loosy tetapi kena banyak
tuntutan sehingga akhirnya tidak murah juga. Beratnya Top
Management dalam menentukan safety policy untuk perusahannya
adalah bagaimana mendapatkan balance antara biaya dan acceptable
safety. Ada yang mau aman banget dengan menentukan ‘zero
accident’, tetapi hal ini adalah mustahil. Jawaban untuk ‘zero accident’
adalah tidak membangun plant atau fasilitas sama sekali.

Penggalan #1 mungkin lebih tepat kalau dikatakan:

1. Adalah wajib bagi organisasi untuk melakukan identifikasi terhadap

potential bahaya dan melakukan analisa tingat resiko serta
menetapkan metode dan langkah-langkah yang dianggap tepat untuk
menurunkan tingkat resiko tersebut sampai pada tingkatan yang bisa
(dikendalikan -> diganti dengan) diterima menurut Corporate Safety
Policy (tambahan ->) dan peraturan dan standard yang berlaku pada
saat tahap desain dan pengembangan (tambahan ->) serta
implementasinya.

Ujung-ujungnya kan pada akhirnya bagaimana pelaksanaan dan

implementasi dari semua safety policy tersebut.

Untuk penggalan #2, kalau saya lebih cenderung menekankan pada

pengkajian (assessment) dan implementasinya. Kalau sudah ada LOP
(Layer of Protection) yang cukup, misalnya menggunakan mechanical
protection, mungkin saja beberapa SIF sudah terpenuhi SIL-nya tanpa
perlu memasangkan Safety Instrumented System (SIS). Masih banyak
hal non-technical atau non-SIS lainnya, seperti safety SOP dan
pelaksanaannya, perubahan safety SOP beserta dokumentasinya
(Management of Change), kompetensi safety personnel, dsb yang
harus diperhatikan. Mungkin Pak d’Art bisa banyak membahas
mengenai hal ini.

Crootth Crootth

Pak Waskita

Saya kira tidak ada klausul apapun baik dalam ISA 84, IEC-61508 atau
IEC-61511 untuk mengharuskan SIL Study (Deteminasi atau
Verifikasisi) harus di select atau diverifikasi oleh seorang dengan gelas
CFSE.

Dan ini adalah hal yang umum di standar international untuk tidak pro
kepada satu organisasi tertentu..

Waskita Indrasutanta

Pak DAM,

Memang tidak ada keharusan dalam standard untuk dilakukan oleh

CSFE. Saya hanya mengkomentari mengenai 'technical safety' yang
disebut Pak Dirman adalah urusan para CSFE, dan kalau dibutuhkan
bisa di outsource. Menurut pengertian saya para CSFE adalah
professional independent dan tidak terikat pada organisasi tertentu.

Karena CSFE sudah melalui persyaratan dan ujian tertentu, secara

subyektif semestinya lebih bisa diandalkan kompetensinya walaupun
tidak seluruhnya benar.
"Fakhri"

Dear Mas Mefredi,

Saya sangat tertarik dan menikmati tulisan-tulisannya di milis ini dan
sangat memberikan pencerahan.
Dua minggu lagi saya juga akan mengikuti HAZAOP meeting untuk
sebuah instalasi (anaerobi/aerobic WWTP) yang perusahaan saya
design untuk sebuah petrochemical company. Dalam spec's yang
dibuat oleh konsultant FEEDnya (Fosther and Wheeler), disana juga
ditulis ttg SIS ini untuk safety protectionnya. Waktu Kick Off Meeting
bulan lalu, saya agak kaget (tentu nggak perlu melihatkan saya nggak
ngerti:)). Saya cukup familiar dg Process Safe Guarding, Emergency
Shutdown, etc, cuman SIS ini barang baru untuk saya dan sangat
mendapat pencerahan setelah anda menulis disini.
Instalasi yg kita desing hanya punya satu type safety protection (PSV
untuk overpressure protection) dan ini dilakuakn secara mechanical.
Jadi SIS SISan is not applicable for a PSV. Cuman, kalau PSVnya aktif
akan merelease flamble gas (methane) ke udara. Karena low pressure
system, kita pakai PSV yg tidak punya flange untuk merelase ke a safe
location (nggak mau punya PSV downstream pressure loss yg
banyak). Yang biasanya kita lakukan adalah menghitung hazardous
area dg sebuah plume model dan kita klasifikasikan area itu sebagai
sebuah Class dan Div.
Pertanyaan saya, apakah perlu kita memasang sebuah flamable gas
detector (instrument) untuk tambahan protectionnya? Kalau perlu apa
ini harus masuk kedalam SIS? Kalau iya, agak bikin repot, karena
dalam specnya SIS harus terpisah dari normal control system
(hardware dan software).
Thanks untuk jawabannya.

mefredi_cfse

Selamat pagi mas fakhri

Untuk kasus ini saya akan coba bahas ide dasarnya saja terhadap
informasi yang mas berikan.

Perlu tidaknya gas detector tentu harus di tentukan dari seberapa

besar risk reduction yang di provide oleh gas detector ini. Kembali
LOPA adalah meoda yang cukup bagus untuk penyelesaian case ini,
namun apakah company/plant owner siap dengan data2 penunjang,
i.e. risk acceptance criteria ?, karena kalau tidak ada ini tentunya
LOPA tidak akan bisa di lakukan.
Untuk gas detector perlu dilihat hazard apa yang coba di prevent oleh
alat ini dan apakah cukup credible sebagai protektion layer. Menebak
saja, gas detektor mungkin tidak tepat jika di aplikasikan sebagai
overpressure protektion tapi tepat jika ingin di aplikasikan sebagai
perimeter monitoring untuk mendeteksi gas release agar tidak
migrate ke area yang dikategorikan NON safe location.
Aplikasi gas detektor setelah adanya gas release untuk proteksi
terhadap overpressure di kategorikan sebagai post event.

Mengenai PSV sebagai protektion layer terhadap overpressure

protekstion juga perlu dilihat apakah cukup credible untuk merelease
pressure dan memprevent hazardnya.Banyak case PSV tidak di ambil
kreditnya (dihitung) sebagai protektion layer karena capacity yang
tidak cukup untuk pressure relief ?

Banyak juga protektion layer yang bisa di aplikasikan seperti process

control, modifier time at risk yaitu seberapa sering personnel yang
akan terimpact oleh hazard berada di lokasi tersebut, ignition
probability, etc2 . Yang penting proteksion layer tersebut
independent.

Demikian yang bisa saya tulis dengan informasi yang tersedia. Mudah2
HAZOP meetingnya lancar dan dengan team yang mempunyai
pengalaman dan kapasitasnya masing2 aktive di dalam HAZOP
meeting tentu akan mebuat hasil risk assesmentnya cukup
berkualitas.

Note : Tidak perlu risau jika harus mengaplikasikan SIS karena alasan
rumit dan mahal. Untuk system yang simple dan sederhana, SIS masih
dapat di aplikasikan dengan system yang sederhana juga (i.e. relay
based jika I/O sedikit, tidak harus safety certified ). Karena yang jadi
patokan adalah functional dan integrity requirementnya terpenuhi.

unggul.hudoyoko

Selamat hari Senin,

Memang temen saya yang satu ini uda Dirman Artib selayaknya jadi
penulis atau minimal Komentator yang handal . . dengan gaya dan ciri
khasnya beliau bisa menggunakan celah sempit yang nota-bene
bukan keahliannya untuk diulas menjadi bahan pemikiran yang patut
untuk ditindak lanjuti.
Dan sepertinya dan sebenarnya dia tahu banyak mengeni Safety
Instrumented System.

Dari ulasan yang beliau paparkan ada suatu hal yang menjadi
pertanyaan besar bagi kita semua yaitu "Apakah memang kita sudah
memerlukan SILdi Plant kita (bukan SIS lho) ?"

Uda Dirman inilah kira-kira pertanyaan dasar yang perlu kiranya untuk
dibenahi dan dipertanyaan lagi, apakah iya PLANT kita perlu SIL yang
nota bene product dari SIS. Padahal API RP 520 Part I and II, ASME I
dan VIII telah cukup gamblang dalam mem "provide" suatu "system
safety" bagi Equipment dan Piping. Dari API Fourteen Charlie (API 14C)
pun telah dipaparkan bagaimana SAFE (Safety Analysys Functional
Evalution) CHART dalam mempersiapkan proteksi terhadap suatu
EQUIPMENT dari mulai menggunakan SHUTDOWN VALVE, BLOWDOWN
VALVE, SAFETY VALVE sampai dengan pemasangan FUSIBLE PLUG
pada Equipment -equipment yang rawan FIRE.

Apakah kita sudah siap mengadopsi SIS? terutama terhadap "cost

impat" nya, selama ini kalau kita amati SIS yang di provide dalam
suatu plant boleh dikatakan masih BANCI (maaf harus saya katakan
ini) dan masih dalam taraf mengikuti prasyarat yang digariskan oleh
Code tanpa melirik terhadap kemampuan budget kita.

Saya punya pengalaman "konyol" dari seorang supervisor saya (bule)

yang meminta saya untuk mendesign system HIPPS (SIL 3) pada
existing system pnenumatic, anda bisa bayangkan segede apa SIL - 3
untuk fuctional semacam ini.

Yang konyol lagi saya juga pernah membaca spesifikasi untuk ESD
system yang harus mengunakan SIL - 3 disebutkan pula harus
memakai vendor tertentu (kalu enggak salah TRICONNEX), tetapi
setelah saya review pressure element nya (ditunjukan dalam P&ID)
masih menggunakan SWITCHES (kita tahu kan kalau switch
merupakan biang timbulnya ALARM PALSU dan ini tidak
diperkenankan dalam SIL).

Ada contoh konyol lain dan ini sering dijumpai yaitu adanya spesifiaksi
transmitter yang harus menggunakan SMART Type, tetapi SIGNAL
yang akan difungsikan 4-20 mA.

Hal-hal inilah yang saya katakan bahwa technical design yang kita
"propose" selama ini sebenarnya masih besifat banci.

Saya pernah punya project manager orang jepang namanya Mr.

Takashi Maeno (temen-temen di JGC pasti kenal beliau), menurut dia
ISO, SIL, dsb hanyalah ENTRY TICKET bagi negara berkembang seperti
Indonesia dan negara maju seperti Jepang agar dapat diterima oleh
negara-negara maju (Uni Eropa, Amerika Serikat, Canada dsb.).

Saya yakin yang dikatakan oleh Mr. T. Maeno tersebut adalah benar.

Akhmad Munawir

Percayalah . . . !

Klo menurut saya, itu semua adalah pilihan cara bagaimana me-Menej
Resiko dalam suatu operasi. Dan dari sekian banyak metode (HAZOP,
HAZID, LOPA, SIL, SIF-SIS...etc), Kebutuhan2 pada pilihan tersebut
sangat tergantung pada Spesifikasi yg diinginkan oleh Client/Investor.

Tetapi selain Standard2 (IEC, ISA, API, NFPA, NEC, ASME, ASTM,..etc)
yang juga menjadi kebutuhan dlm design adalah Goverment
Regulation/Legal di lokasi setempat.

Btw, terima kasih diskusinya, sungguh benar2 bermanfaat buat saya.

darwis sbr

Ikut nimbrung Pak Munawir,

Saya sangat setuju dengan Pak Munawir bahwa keinginan clientlah
sangat menentukan dan juga tak kalah penting adalah peranan
qualitas personal yg diberi incharge tsb.

Waskita Indrasutanta

Selamat siang,

SIL atau Safety Integrated Level bisa dipenuhi 'salah satunya' oleh
komponen-komponen (sensor, logic solver dan actuator) secara
integrated dalam suatu SIS sebagai salah satu layer of protection.
Layer protection lainnya seperti mechanical protection, bisa saja sudah
memenuhi SIL requirement tanpa adanya SIS. Walaupun demikian,
untuk sebagian besar processing industries, pada umumnya kita akan
dihadapkan untuk menambahkan layer of protection dengan
menggunakan SIS.
Untuk processing industries seperti migas, sesuai dengan standard
yang berlaku IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod)
wajib mengikuti standard tersebut sepenuhnya. Jadi, maaf yang
disebut 'banci' atau masih menggunakan standard lama yang sudah
di-override oleh IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511
Mod) harus diupgrade memenuhi standard
tersebut. Banyak standard lama seperti TUV AK series, NFPA 72 dan
yang disebut Mas Unggul dibawah kalau kita pelajari hanya berfokus
pada perangkat safety itu sendiri, tetapi tidak mencakup kemungkinan
kegagalan saat dibutuhkan (PFD) di luar perangkat safety.

Baru saja saya upload white paper "SIL Rating for F&G" dimana saya
mendapat ijin khusus dari penulisnya Paul Gruhn, CSFE pakar safety
untuk diposting bagi para Milisia Migas Indonesia di
http://tech.groups.yahoo.com/group/Migas_Indonesia/files/Instrument/
(hyperlink mulai dari http://tech.groups.yahoo.com/.../Instrument/.
Harap disambung kembali apabila diterima terputus atau ikuti
announcement). Dalam white paper ini dibahas bahwa selain pada
perangkat safety kontribusi PFD di luar perangkat safety (dalam hal
F&G dalam tulisan ini, coverage dan mitigation) justru lebih berperan,
sehingga meskipun SIS-nya sendiri sudah memenuhi SIL requirements,
tetapi karena kontribusi PFD di luar SIS menjadi tidak lagi memenuhi
SIL requirements.

Ada pula yang menentukan harus memenuhi SIL 2 untuk aplikasi F&G
alarm / monitoring saja tanpa logic solver dan actuator. Saya tidak bisa
mengerti mengapa alarm / monitoring membutuhkan SIL 2, dan Paul
Gruhn berkomentar "They expect an operator to perform the required
task at greater than 99%. They are kidding themselves. This shows
their lack of knowledge and the need for such a paper".

SIL bukanlah product dari SIS, melainkan bagian dari IEC 61511 atau
ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) standard. Seperti dibahas
diatas, standard ini juga memperhitungkan faktor-faktor di luar
perangkat safety. Jadi, "proteksi terhadap suatu EQUIPMENT dari mulai
menggunakan SHUTDOWN VALVE, BLOWDOWN VALVE, SAFETY VALVE
sampai dengan pemasangan FUSIBLE PLUG pada Equipment
-equipment yang rawan FIRE" saja belum mencakup keseluruhan
standard ini.

HIPPS SIL 3 menggunakan pneumatic system mungkin saja bisa

dicapai, tetapi saya bayangkan akan menimbulkan banyak spurious
shutdown, karena kesalahan atau keterlamabatan sedikit saja akan
men-trigger shutdown dan periodic test pasti menghasilkan angka
yang luar biasa sering.
SIL 3 bisa dicapai dengan menggunakan komponen Pressure Switch.
Untuk mengurangi terjadinya spurious shutdown bisa digunakan
strategy 2oo3 input dan untuk mengurangi frequency of test bisa
menggunakan Pressure Switch yang dilengkapi dengan (auto -
optional) test facilities dan diagnostics.
Keunggulan Pressure Transmitter terhadap Pressure Switch ada pada
diagnostics yang lebih comprehensive.

Yang penting dari contoh-contoh diatas tadi adalah bagaimana SIL 3

itu ditentukan. Apakah benar bahwa SIF membutuhkan SIL 3 yang
berdasarkan
Company (User) Safety Policy? Apakah sudah dikaji dengan metoda
ALARP untuk mengatasi budget constraint?

Smart transmitter dengan signal 4~20mA seperti HART adalah umum

di-specify pada projects masa kini. Yang memproduksi transmitter non-
smart saat ini juga sudah jarang; kalau ada, belum tentu harganya
lebih murah darpada harga smart transmitter. Smart transmitter
memberikan fasilitas tambahan diagnostics untuk keperluan
maintenance pada level BPCS (SIL 0) dan online database untuk
keperluan Online Plant Asset Management. Smart transmitter ini tidak
memberikan keuntungan apa-apa dari segi safety, kecuali kemampuan
diagnostics-nya sudah certified untuk safety relatd application.

Saya sungguh yakin 'tidak setuju' dan 'tidak percaya' dengan

pernyataan Sdr. Takashi Maeno tersebut mengenai ENTRY LEVEL dst.
IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) wajib
dipenuhi oleh semua applicable industries sebagaimana mestinya
tanpa kecuali. Safety adalah kepentingan umum di seluruh dunia,
bukan Vendor atau acceptance / penerimaan di Negara tertentu saja.

unggul.hudoyoko

QUOTE
Saya sungguh yakin 'tidak setuju' dan 'tidak percaya' dengan
pernyataan Sdr. Takashi Maeno tersebut mengenai ENTRY LEVEL dst.
IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) wajib
dipenuhi oleh semua applicable industries sebagaimana mestinya
tanpa kecuali. Safety adalah kepentingan umum di seluruh dunia,
bukan Vendor atau acceptance / penerimaan di Negara tertentu saja.
UNQUOTE

Commo esta Amigo . . . !

Ada hal yang perlu saya luruskan untuk menanggapi statement dari
Bapak Waskita yang saya quote diatas.

1. )
Yang dikatakan oleh Mr. T. Maeno adalah ENTRY TICKET (instead of
Entry Level you wrote, maaf kalau seandainya pada posting saya
terdahulu salah tulis) ini adalah KATA SINDIRAN khas Jepang bilamana
mereka diharuskan untuk "OBEY" terhadap suatu regulasi yang
sebenarnya dia kurang "SREG" untuk melakukanya. Di jepang
kebanyakan Industrynya belum menerapkan
Sistem SIL tetapi tingkat kecelakaan nya dilaporkan hampir nihil. Hal
tersebut dikarenakan mereka telah mengembangkan sistem
keselamatan terpadu yang dinamakan SISTEM 7R yang sudah terbukti
efektif dalam mengurangi accident. Sistem keselamatan in sudah
terbukti ampuh dan di Tripatra sendiri sudah mengadopsinya sebagai
SISTEM 3R/5R yang juga terbukti efektif. Jadi tidak salah kalau mereka
(an sich: orang Jepang) menyebutkan regulasi-regulasi tersebut
hanyalah sebagai Entry Ticket terutama ISO, SIL (bukan SIS lho karena
Safety Instrumented selayakanya harus ada didalam setiap
Instrumentation Design ...).

Sangat "luwes" bukan . . . ?

2.)
Pak waskita, Mr. T. Maeno adalah termasuk jajaran direksi di JGC
Corporation Japan dengan usia yang sudah sepuh saat ini mungkin
usianya lebih dari 65 tahun dan saya sangat menghormati beliau, jadi
lain kali mohon kiranya dipanggil Bapak saja dan jangan Saudara hal
ini merupakan "tata krama" dalam berkorespondensi terhadap orang
yang tidak/belum kita ketahui status dan jabatan nya siapa tahu suatu
saat beliau membaca postingan anda kan jadi enggak enak kita, OK
pak Waskita?

3.)
Mengenai masalah SIL, its debatable still . . my man . . . sehingga
sangat mendesak agar segera dibuat suatu panel diskusi mengenai
hal tersebut untuk menyamakan persepsi dan terminologi kita.
Boleh kiranya kalau PT Waskita Niaga mau memprakarsainya.

Kalau ada salah omong atau salah kata sehingga menyebabkan fitnah
terhadap pembaca kiranya saya mohon maaf.

"Zikri, Rafif"
Saya nambahin sedikit.
1, Mengenai Alarm Palsu untuk level switch.
Setahu saya safety system itu dapat fail dengan 2 cara. yang pertama
itu safe failures (nuisance trips) dan dangerous failure (fail to function).
Sebagai gambaran untuk nuisance trip, valve yang harusnya membuka
dalam production, ternyata fail closed karena adanya nuisance trips
ini. ini akan mengakibatkan lost production. tapi ini masih termasuk
failures yang safe, karena fail tersebut akan segera diketahui dan
dampaknya safetynya relative nihil. tetapi bila ada valve yang
harusnya menutup tetapi stuck. Ini dangerous failure dan dapat
mengakibatkan safety hazard.

Level switch itu dari failure rate-nya 98 kali memang memberikan

nuisance trips (safe failure) dan 2 kali dangerous failure, tetapi kalo
solid state itu memang hanya 5 kali nuisance trips tapi juga 5 kali
dangerous failure. sayang saya lupa untuk level transmitter, tapi
nuisance tripnya memang lebih rendah, tapi seingat saya dangerous
failurenya juga lebih tinggi lagi.

Jadi level switch memang sering memberikan alarm palsu, benar dan
biasanya dikeluhkan ama level maintenance, tapi apakah level
transmitter lebih aman daripada level switch ? ngga juga.

2. IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) wajib

dipenuhi oleh semua applicable industries sebagaimana mestinya
tanpa kecuali. Safety adalah kepentingan umum di seluruh dunia,
bukan Vendor atau acceptance / penerimaan di Negara tertentu saja.

Setahu saya IEC 61511 atau ANSI/ISA 84 ini masih belum secara resmi
diwajibkan di semua applicable industries. USA sendiri memang
mewajibkan code-code seperti API RP 14C, HAZOP untuk masalah
safety tapi belum dalam hal IEC 61511 ini.

Crootth Crootth

Setuju Pak Zikri,

Pernyataan Pak Waskita berikut:

"IEC 61511 atau ANSI/ISA 84.00.01-2004 (IEC 61511 Mod) wajib

dipenuhi oleh semua applicable industries sebagaimana mestinya
tanpa kecuali. Safety adalah kepentingan umum di seluruh dunia,
bukan Vendor atau acceptance / penerimaan di Negara tertentu saja."
Menurut saya sangat sembrono . Kata kata mewajibkan dalam
pandangan saya kok yah lebih mengarah ke Pro-Vendor atau Pro-
Jualan.... dan ada terasa intensi bisnisnya disini....
(siapa yang vendor yah?? hayo ngaku aja sebelum saya tunjuk...)

Cuma itu saja sih catatan saya

mefredi_cfse

Semakin seru dan hangat saja diskusi kita di bidang yang satu ini,
senang rasanya karena memang ini menunjukkan awareness kita
terhadap hal hal yang berbau safety demikian besar

Saya coba ikutan lagi mengenai beberapa hal yang menjadi topik
hangat terakhir dari teman2 yang lebih ke arah prinsip2 management
safety secara lebih umum .

APAKAH SIL/SIS/SIF ITU PERLU ?, SIAPA YANG MENGHARUSKAN ?

Dalam konteks regulasi (pemerintah) yang saya tahu saat ini SIS
standard wajib di terapkan di company2 di UK / Australia untuk
prevention terhadap major hazard. Karena disana IEC 61508/61511
kemudian di adopt menjadi national standard BS (british standard)
atau AS (Australian Standard).

Di Amerika mungkin lain lagi ceritanya, untuk Process industri dengan

kategori major hazard yang harus di ikuti adalah OSHA CFR 19.10
Process Safety Management. Tidak ada kalimat secara langsung yang
menyebutkan harus di gunakannya ISA 84 untuk keperluan process
safety. Hanya saja kemudian OSHA merecognize melalui surat yang
mereka kirimkan ke ISA bahwa ISA 84 generally accepted as good
engineering practices untuk penerapan SIS dan menyatakan ISA 84
sebagai national consensus standard untuk aplikasi SIS di process
industri. Ini yang kemudian menjadikan ISA 84 kemudian populer
sebagai salah satu cara untuk menerapkan Process Safety
Management buat company2 di amerika.

Tidak Semua company di amerika menerapkan ISA 84 untuk keperluan

proses safetynya, Offshore Oil & Gas Company di area North Amerika
mereka tidak menerapkan SIS/ISA 84 tapi tetap menggunakan API 14C
karena mereka terikat dengan regulasi MMS CFR yang memang masih
mengacu kepada API sebagai standardnya, jadi kalau mereka
menerapkan ISA atau IEC tentunya akan menyalahi hukum yang
berlaku dan penjara jaminannya.
Sekarang bagaimana buat indonesia ? Apakah ada aturannya, ada
hukumnya ? yang saya tahu saat ini (tolong di koreksi kalau salah
karena saya tidak begitu paham dengan peraturan pemerintah !)
Kepmenaker 187/Men/1999 yang menyebutkan tentang pengendalian
bahan kimia berbahaya di tempat kerja yang mensyaratkan adanya
identifikasi bahaya, penilaian dan pengendalian resiko yang tentunya
sama dengan prinsip2 yang terkandung di OSHA PSM ataupun ISA 84
atau IEC 61511/61508. Karena memang tidak ada kelanjutannya
mengenai bagaimana cara menerapkan identifikasi bahaya, penilaian
dan pengendalian resiko yang di maksud . Sangat Performance based
approach, bagaimana caranya tidak dikasih tahu tapi hasil akhirnya
yang di inginkan adalah aman dalam operasi , tidak ada kecelakaan
dan ini lazim kepada trend standard saat ini yang mulai menggantikan
prescriptive based. Jadi silahkan ambil benang merahnya mau ikut
standard atau engineering practice yang mana untuk dapat comply
kepada kepmenaker ini.

APAKAH STANDARD YANG SUDAH ADA TIDAK CUKUP (API 14C, NFPA
85, ETC) SEHINGGA HARUS ADA MR SIL INI ? SIL mungkin term yang
baru, walaupun prinsipnya adalah primitive –
Reliability / Availability. Standard terdahulu juga sebenarnya sudah
bicara SIF/SIS hanya saja dalam bentuk kata yang lain. Kita kenal
istilah intrument protective system, safety shutdown system, ESD,
interlock, etc. Kalau baca P&ID/C&E/SAFE chart akan lagsung
recognize PSHH jika set-nya tercapai/dilampaui akan memberikan
signal ke panel logic kemudian memerintahkan SDV untuk menutup
misalnya, yang pada kenyataannya ini adalah SIF. Jadi SIF bukan
sesuatu yang baru. Terus apa bedanya dengan IEC/ISA yang bicara SIL
ini ?. Saya ambil contoh API 14C untuk proteksi overpressure maka
akan di arahkan untuk pasang PSV dan PSHH to shut SDV dan kalau
perlu tambah Press Alarm High. (Dalam hal ini PSHH –logic- up to SDV
adalah SIF)
Setelah plant beroperasi maka lazim bahwa PSHH akan di kalibrasi dan
di test, SDV masih pertanyaan ? karena akan mengakibatkan loss
produksi (jika tidak ada fasilitas bypassnya ). Pertanyaannya adalah
seberapa sering fungsi PSHH ini harus di test kelayakan kerjanya,
seberapa tinggi tingkat reliability yang harus di capai oleh fungsi ini ?
Apakah testing tiap 6 bulan cukup, atau harus tiap satu tahun sekali ?
Untuk menjawab pertanyaan ini disinilah kemudian SIS standard ini
berperan dengan PFD (probability failure on demandnya).
Pengalaman saya di operasi dan mungkin di banyak di tempat yang
lain juga, suatu peralatan kadang2 di test dengan testing frequency
yang sama dan berulang-ulang bertahun-tahun tanpa ada perubahan.
Maintenance team akan di kejar-kejar kalau terjadi nuisance trip /
malfunction alarm yang menyebabkan process shutdown tapi tidak
ada penyebabnya, kemudian instrument shutdown system disalahkan
dan harus di kalibrasi lebih sering, dan semua akan senang jika
shutdown system tidak pernah menyebabkan shutdown dari plant
karena kemudian produksi berjalan lancar. Tapi kita baru terhenyak
ketika kemudian pipa pecah dan setelah investigasi (kalau ada)
ditemukan karena PSHH- nya tidak bekerja atau SDV stuck open atau
logic solvernya yang pakai PLC canggih koq "hang".
SIS standard kemudian mencakup semua assurance system ini
dengan "MANAGEMENT SAFETY LIFE CYCLE" nya yang menyangkut
conceptual design sampai de-comissioning.

Analogi yang bisa saya ambil adalah seberapa yakin kita dengan SRS
air bag yang ada di mobil2 baru saat ini, (yang tentu harus dibayar
lebih mahal dari mobil versi tanpa air bag) dapat bekerja ketika terjadi
impact tabrakan ? Otomotif minggu lalu membahas air bag yang
mengembang padahal tidak ada impact tabrakan, tapi dari sisi SIS
standard concern lebih besar di tempatkan jika ada tabrakan tapi air
bag tak mengembang ! (Note : Automotive industry masuk dalam
category IEC 61508 yang merupakan umbrella dari semua industri)

Dengan management safety life cycle, dari awal design sudah di

tentukan seberapa besar performance yang diinginkan terhadap fungsi
safety ini dan juga batasan dalam design dan implementasinya.
(Mungkin ini area yang terlalu detail sehingga saya tidak bahas lebih
lanjut)

PENERAPAN YANG BANCI?, MINTA SIL 3 TAPI PAKAI PRESSURE

SWITCH ?
Teknologi pendukung process industri sangat cepat dan canggih.
Pneumatic/hydraulic sejak tahun 1930-an, muncul elektrikal relay
tahun 60-an, kemudian solid state electronic tahun 70-an dan akhir
80-an PLC mulai di gunakan. Rentang waktu 1970-2000 tejadi
kecelakaan besar sebanyak 116 kali di industri petrochemical , 50
diantaranya terjadi dalam rentang waktu 1995-2000, (excerpt dari
CCPS guidance for fire and explosion prevention) jadi kecelakaan di
industri petrochemical semakin tinggi walaupun alat2nya canggih dan
hebat teknologinya (Mungkin juga jumlah industrinya semakin besar).
UK HSE bilang dari hasil penelitiannya 44% kecelakaan yang
diakibatkan process risk dan process control karena kesalahan
spesifikasi sisanya karena design installasi, komisioning dan
management of change yang kurang baik. Respond terhadap inilah
kemudian muncul IEC dan ISA standard tersebut. (Note : IEC/ISA SIS
standard hanya berlaku untuk electrical/electronic dan programmable
elektronik system, tidak berlaku untuk pneumatic ataupun hydraulic
system, namun secara umum prinsip2nya bisa di gunakan untuk kedua
teknologi ini)
Memang di perlukan pengetahuan yang cukup untuk dapat
menerapkan good engineering practice ini secara keseluruhan. Tidak
perlu setiap orang harus mengerti setiap tahap dari safety life cycle
ini, cukup bahwa setiap orang yang terlibat adalah kompeten
terhadap area yang memang menjadi tanggung jawabnya.
Contoh :
Team yang ikut di dalam PHA/HAZOP/SIL selection study harus
mempunyai pengetahuan yang cukup agar dapat berkontribusi aktif.
Engineer yang membuat spesifikasi harus kompeten dan mengerti
tentang safety requirement spesifikasi saat mendesign, membuat data
sheet ataupun RFQ-nya.
Yang melakukan installasi harus mengerti gambar instalasinya
sehingga tidak salah
Sebagai operator atau maintenance crew harus tahu impact apa yang
akan terjadi kalau safety system di bypass/ override ?

Jadi dengan pengetahuan ini mungkin tidak akan terjadi lagi

penerapan yang katanya banci

Demikian, cukup panjang lebar, mudah2an benar adanya dan

bermanfaat

Budhi, Swastioko (Singgar Mulia)

Saya sepakat dengan apa yang telah diuraikan oleh rekan saya ini
Mefredi.
Kalau anda membaca IEC 61508, mungkin terlalu panjang untuk dapat
dipahami dengan mudah.
Saya coba kirim materi utama dari IEC 61508 untuk memahami
penjelasan dari Sdr. Mefredi.