Select Page

Sebuah ESD system yang bagus harus memenuhi prasyarat


Tanya – Bernath Tjajadi

Dear fellow engineers, Saya ada sedikit pertanyaan tentang ESD (emergency shutdown) dan PSD (process shutdown). Kalau tidak salah di milis migas sudah pernah ada topik ini yang telah dibahas oleh mas DAM dan kawan – kawan.

Menurut pengertian saya, ESS (emergency shutdown system) mengatur ESD sedangkan PSS (Process Safety/Shutdown System) mengatur PSD. (tolong dikoreksi bila salah). Yang saya ingin tanyakan adalah apakah ESS dan PSS menggunakan Logic Solver yang sama atau berbeda? Mungkinkah mereka share the same logic solver?

Apakah mungkin logic solver yang sama bisa dipakai untuk melakukan fungsi yang berbeda (functionally independent)? ESD responsibles for many, if not all, SIFs while PSD only responsibles for one particular SIF (or more). Terima kasih

Tanggapan 1 – DAM

Peristilahan bisa macam macam mas… jadi jawaban pastinya agak bias… Intinya adalah begini, sebuah ESD system yang bagus harus memenuhi prasyarat berikut: 

1. Specific: spesifik untuk jenis skenario kejadian (pasangan penyebab-kejadian-dampak kejadian) yang jelas

2. Independen: tidak terkait dengan penyebab kejadian, tidak terkait dengan lapisan pelindung yang lain3. Dependable: dapat diandalkan untuk mengatasi kejadian baik sebagai pencegah, pengendali, atau mitigasi

3. Auditable: dapat dites secara berkala dan dapat diamati kinerjanya Sebuah SIF yang menggunakan logic solver yang sama dengan process control misalnya, kurang memenuhi prasyarat: independen demikian uraian singkat saya … 

Tanggapan 2 – Alfiyansyah

Mas Bernarth, 

Yang anda analisa itu adalah nanti berujung pada nilai SILnya, artinya perlu IPL (independent protection layer). Bila si logic solver tidak independent namun sensor dan final elementnya tentu berbeda maka tetap saja tidak indendent si SIS atau SIF ini.

Persyaratan lain seperti harus specific, auditable, dst tetap juga harus dipenuhi. Maaf agak lupa apa saja dari hasil kursus dari exida karena semua buku dipinjam oleh rekan sejawat yg akan ikut CFSP/CFSE. 

Dari segi PM (project management), hal seperti ini pasti dikatakan tidak ekonomis dari kacamata secara umum. Namun, jikalau risk reduction yg dicapai dgn SIL ini sesuai dgn target perusahaan dan safety lifecycle yg dinginkan terpenuhi, why not ? 

Semoga membantu. Thanks. 

Tanggapan 3 – Bernath Tjajadi

Dear Mas DAM & Mas Alvin,

Terima kasih untuk masukkannya. Sangat sangat membantu.

Btw, saya agak penasaran, kenapa yah Logic Solver (LS) biasanya dikehendaki oleh client untuk menggunakan SIL 3 whereas untuk Sensing Element (SE) dan Final Element (FE) biasanya (tidak semua) menggunakan SIL 1 atau SIL 2? Mengapa requirement LS lebih tinggi daripada requirement SE & FE? Apa benefit spesifik yang dapat diraih dengan men-SIL 3 kan Logic Solver?  terima kasih.

Tanggapan 4 – Darmawan A. Mukharror (DAM)

Mas Bernath  Dalam hal SIL-3 class, kita membicarakan Probability of Failure on Demand yang berada diantara 1 kegagalan per 1000 hingga 1 kegagalan per 10000 permintaan / skenario. Untuk mencapai kriteria ini, sebuah logic solver “diharuskan” mempunyai safety diagnostic yang antara lain diwujudkan melalui “swa-diagnostik secara internal” berupa kombinasi antara mesin hardware dan software. Untuk SIL-3 rated (certified for) umumnya memiliki swa-diagnostik secara internal yang spesifik misalnya “data verification” dan “program flow control”, memiliki kapasitas penyimpanan data verifikasi berikut pemeriksaan keabsahannya sebelum digunakan kembali. Mereka juga biasanya memiliki opsi untuk pengetesan integriti data yang mumpuni berupa injeksi “software fault”. Catatan tambahan: semua data pengetesan harus dicatat dan disimpan secara rapi untuk keperluan audit dan verifikasi ulang. Semakin tinggi kelas SIL-nya maka semakin canggih kemampuan diagnostik dan semakin ekstensif level pengetesannya. Itulah keuntungan LS atau PLC dengan SIL-3 dibanding SIL-2 atau SIL-1. SIL3 itu artinya certified for use in SIL-3… dan biasanya tidak semena mena.. karena suatu peralatan SIL-3 certified (oleh third party independent body) biasanya cuma di test di manufacturer atau laboratorium pengetesan milik lembaga 3rd party, tidak di lapangan atau di operation. Di lapangan ada aspek lain yang bisa mempengaruhi kinerja Logic Solver: – Lingkungan misal cuaca, kelembaban- Adanya RFI/EMI- Power source (electric, instrument air, hydraulic)- Human factor (pada saat instalasi, komisioning dan pengoperasian) dan Human Machine Interface- Programmer skills- Banyaknya dan pola distribusi I/O (common cause failure)- Accidental load (tertabrak, kejatuhan, ambruk, karena faktor eksternal) – dll. Untuk final elemen macam motor pompa, SDV, dll sebagaimana initiator macam PT, LT, TT, FT, kerentanannya umumnya tidak setinggi logic solver. SIL-3 certified Logic solver pun akan sia sia jika field device nya tidak memiliki integritas yang tinggi… jadi pastikan membeli SIL-3 certified PLC misalnya jika dan hanya jika dipastikan final element yang dituntut memiliki integritas tinggi dalam studi penentuan SIL bisa memenuhi kriteria nya juga. Sekali lagi harus berhati hati dalam memverifikasi SIL yah… pertimbangan mantap mantap Cost Effective nya. Semoga membantu.