Select Page

IPL (Lapisan Pelindung Mandiri) diawali dengan kata Independent (mandiri). Yang merupakan sifat paling utama dari alarm adalah “mandiri” mandiri di sini tentu saja bermakna

1. Lepas dari keterkaitan IPL lainnya,

2. Lepas dari keterkaitan penyebab musabab skenario kejadian,

3. Bebas dari pengambilkendalian (overrides),

4. Bebas dari alarm lain yang bersifat tidak kritis. 

Tanya -Akhmad Munawir

Dear penggiat Functional Safety, 

Sebagaimana Aplikasi High/Low Alarm sebagai peringatan kepada operator di Control Room untuk melakukan sesuatu sebelum terjadinya HighHigh/Low-low Alarm (Trip) ketika terjadi Process Upset di Gas Process Facility. Dan IEC61511 maupun standard Functional Safety lainnya memberikan penjelasan bahwa Alarm & Operator Response adalah bagian Independent Protection Layer, tetap di banyak Fasilitas yang saya ketahui hampir seluruhnya menumpangkan “Alarm” Instrumented Function ini kepada DCS atau BPCS yang menurut saya membuat Alarm ini menjadi tidak Independent atau bukan IPL. Pertanyaan saya, ketika kita ada SIL Study baik itu Determination/Selection/Alocation maupun Verification … bagaimanakah menghitung kontribusi Alarm yang menumpang di Sistem BPCS ? ataukah diabaikan saja dalam perhitungan karena Alarm ini tidak memenuhi syarat sebagai IPL ? 

Tanggapan 1 – Arief

Salah satu persyaratan dari IPL adalah independent dari initiating event. Kalau initiating event-nya adalah BPCS failure, maka kalau alarm-nya di DCS dia tidak bisa disebut IPL utk initiating event tersebut. Kalau alarm-nya independence terhadap initiating event-nya maka baru bisa dikualifikasikan IPL kalau PFDnya minimal 0.1. Karenanya harus diasses terlebih dahulu integrity dari alarm + human intervention. Buku CCPS misalnya memberikan nilai 10^-1 kalau kebutuhan response-nya 10 menit. IEC 61511 seingat saya juga memperbolehkan maksimum hanya 10^-1. Yang paling penting menurut saya adalah jangan mengambil credit dua-dua-nya. Tidak bisa alarm diconsider sebagai IPL dan alarm dihitung sebagai IPL yg lain karena mereka tidak memenuhi persyaratan Independence. Semoga membantu.

Tanggapan 2 – Akhmad Munawir

Jadi jika inisiasinya bukan dari BPCS maka tetap saja alarm yg dtumpangkan ke dcs  tetap bukan IPL ya mas? Terima kasih

Tanggapan 3 – Darmawan A Mukharror(DAM)

Mas Munawir Menambahkan apa yang diucapkan mas Arief, IPL (Lapisan Pelindung Mandiri) diawali dengan kata Independent (mandiri). Yang merupakan sifat paling utama dari alarm adalah “mandiri” mandiri di sini tentu saja bermakna

1. Lepas dari keterkaitan IPL lainnya,

2. Lepas dari keterkaitan penyebab musabab skenario kejadian,

3. Bebas dari pengambilkendalian (overrides),

4. Bebas dari alarm lain yang bersifat tidak kritis. Perlu diulang berkali-kali bahwasannya alarm, seperti semua IPL lainnya, harus mengejawantahkan tugas 3D: penginderaan (detect), tugas pengambilan keputusan (decide), dan tugas penanggulangan (deflect). Tanpa salah satu dari 3 D ini, sebuah alarm tidaklah bisa disebut sebagai sebuah IPL. Fungsi 3D ini akan efektif jika elemen kemandirian no. 4 di atas dilaksanakan secara sungguh-sungguh. EEMUA sebagai panduan perancangan alarm juga mewanti-wanti hal ini. Alarm yang dikategorikan sebagai IPL seharusnya dipisahkan dalam panel sendiri, yang disebut Panel Alarm Kritis, (Critical Alarm Panel), yang maksimum hanya berisi 20 – 30 alarm saja di tiap panelnya. Panel Alarm Kritis ini harus mempunyai satu operator khusus yang bertugas mengawasi lalu lintas alarm, yang dilengkapi dengan radio dan terhubung dengan seorang operator yang tidak harus ganteng tapi tangkas mengatasi kesulitan operasional di lapangan dalam waktu yang dikehendaki.  Berbicara tentang waktu yang dikehendaki adalah berbicara respons keseluruhan 3D yang harus lebih cepat dari waktu kejadian kecelakaan proses. Atau biasa disingkat waktu respon < waktu kecelakaan. Seberapa cepat? ini pertanyaan yang sulit dijelaskan di sini, karena bergantung kepada studi penilaian risiko di perusahaan masing masing. Jika mas Arief menyitir 10 menit, mungkin tidak bisa diaplikasikan untuk semua skenario kejadian. Kejadian laju alir gas yang emndadak menurun di kompresor sehingga menyebabkan peristiwa "tersedak" (surge) tentu saya yakin kurang dari 10 menit - jika tidak diatasi - akan menyebabkan getaran yang berakhir dengan kebocoran gas, kebakaran dan/atau ledakan. Contoh lain adalah arasmuka cairan di bejana penggerus (scrubber) yang mendadak turun karena katup pengendali ketinggian gagal menutup akan menyebabkan "tiupan gas" (gas blowby) yang berpotensi menyebabkan kelebihan tekanan (overpressure) di bejana atau peralatan proses lain di bagian hilir - yang tekanan rancangnya kurang dari tekanan "tiupan gas". Dalam kasus ini apakah cukup waktu yang dibutuhkan 3D nya alarm ketinggian? Jadi berbicara alarm - menurut pendapat saya pribadi - hanya efektif jika kita telah mengetahui hasil dari penilaian risiko pada fasilitas yang kita tinjau (tentu saja mengetahui waktu kecelakaan proses - process safety time) 

Tanggapan 4- Weby

Mas Munawir,Wah rupanya terkesan dengan training pak Ray di Lombok ya? Hehe.Kalau alarm numpang bpcs, sifatnya jadi tidak independent terhadap initiating cause yang sama, seperti dicontohkan pak ART, bpcs-nya njebluk, ya njebluk juga alarm system-nya. Logika umumnya begitu. Detailnya mas Munawir bisa refer ke artikel Todd Staufferd dan Peter Clarke dari Exida mengenai alarm sebagai IPL.http://exida.com/images/uploads/Alarms_as_Layer_of_Protection_2012.pdf Coba cek juga internal company regulation. Di kumpeni saya bekerja beberapa kasus boleh take credit alarm yang jadi satu dgn bpcs, saya belum tahu detilnya seperti apa,Semoga bermanfaat.

Tanggapan 5 – Djohan Arifin

Ditempatku kerja, salah satu syarat diperlukan alarm adalah jika response time untuk operator beraksi mentralisir proses upset adalah minimum 5 menit. Jika kurang dari itu proteksinya langsung saja pakai shutdown. Tetapi sampai sekarang masih ada saja perencana yang pakai teknologi copy & paste, begitu ada shutdown signal, terus dipasang pre-shutdown alarm tanpa pikir panjang. Padahal ketika dicek benar, kecepatan kenaikan tekanan dari high pressure alarm ke high pressure shutdown setpoint, misalnya, cuma ditempuh dalam waktu satu menit, bahkan ada yang kurang. Kalau sudah begini, high pressure alarm tidak perlu ada, keberadaannya malah mengganggu kerja operator dan system yang dapat berujung pada kasus safety.Konon kesalahan alarm management menjadi salah satu penyebab kecelakaan Deep Water Horizon. Dahmudahan tidak berulang.

Tanggapan 6 – Direktur Tekhnik

Mas Johan,

Bagaimana perusahaan tempat anda bekerja menentukan kebutuhan response utk alarm sehingga bis memutuskan sebuah SIF misalnya lebih dari 5 menit. Apakah dgn dynamic simulation ? Atau ada specific analysis ?

Saya tertarik terhadap hal ini karena normal-nya agak susah menentukan Process Safety Time (PST) dari sebuah proses.

Tanggapan 7 – Ahmad Maryadi

Numpang comment sj Cak Dam,

Menurut sy kok gak praktis yah meng-assign satu orang dedicated operator utk mentelengi/memonitor Alarm Panel. Daripada memasrahkan urusan keseluruhan safety plant kpd System Alarm (yg kesusksesannya jg sangat tergantung action dr operator)  kenapa tidak dibuat sistem yg otomatis saja..dgn SIS (sensor,logic solver, actuator) yg mempunyai nilai SIL yg tinggi. Alarm panel yg berupa dedicated hardware panel lengkap dgn annunciator,visual,audible sebenernya kan salah satu jenis HMI /teknik merepresantasikan alarm agar mudah diketahui oleh operator. Memang msh dipake utk merepresentasikan beberapa kritikal safety shutdown alarm  atau fire gas alarm. (Utk standar process alarm sndiri tdk perlu.)  Panelnya sndiri menerima signal hasil olahan dr SIS atau FGS controller.  Kelemahan kalo mengandalkan hardware panel saja, dia
tdk memiliki kemampuan  Time Stamping dan penyimpanan hystorical data alarm.

Mengenai Compressor, yg sy temui sih umumnya system safe guarding dr compressor  berlapis2: ada dedicated Anti-Surge controller, Machinery Protection system, SIS sendiri, plus Fire Gas System. Jadi kalo system alarm-nya gagal beraksi, harusnya masih ada lapisan IPL lain yg mengambil alih.

Btw, saya sebenernya agak bingung dgn istilah “Alarm” Instrumented Function seperti yg ditulis pd imelnya Mas Munawir, maksudnya apa yah ?

Sensor/transmitter ya kalo gak dikoneksikan ke BPCS/DCS (process control) atau SIS (Safety Shutdown), salah satu. Kalo sensornya adalah bagian dr process control ya otomatis signal dan  alarmnya diolah dr BPCS controller. Selanjutnya alarmnya direpresentasikan pd screen/ schematic pd layar DCS.

Yg saya tangkap pada tabel dihalaman 20, standar EEMUA 191 (pada link tulisan yg diberikan Mas Webi ada di tabel hal.11)  Standard proses alarm yg terkoneksi ke BPCS, boleh saja diberikan kredit  dgn nilai max.PFDnya 0.1. itu saja,cmiiw..

Tanggapan 8 – Djohan Arifin

Mas Arief,

Yang ngerjain PST tempatku adalah bagian Process Engineering, issuenya PST bukan item standard scope yang dikerjakan. Konsultan melakukannya dengan iterasi program pakai excel, tetapi untuk hal-2 yang kritikal dilakukan dengan program simulasi (yang ini ada tambahan biaya). Inipun kebanyakan yang menyangkut proteksi keamanan (SIS).Untuk alarm management pada existing plant digunakan estimasi dengan melihat jenis alarm dan prosesnya, karena fokusnya lebih kepada pencegahan banjir alarm. Ketika jumlah alarm sudah rasional, diharapkan ada feedback dari operator, bagaimana mereka merespons alarm, waktu yang ada mencukupi apa tidak. Kalau ditempat mas Arief,apa PST selalu dapat diminta dari Konsultan Perencana?

Tanggapan 9 – Arief

Justru itu mas johan, kenapa saya tertarik karena says hanya tahu teori untuk PST tapi belum pernah sampai actually mensimulasi misalnya dgn menggunakan software simulasi semisal process dynamic hysis atau OLGA. Di tempat kerja saya, bahkan alarm rationslisation saat ini sedang akan ditinjau. Makanya saya sangat tertarik dengan urusan alarm. Mostly di tempat saya dikerjakan in house. Sekalian praktilum. Hehehe.

Tanggapan 10 – DAM

Setuju sama mas Maryadi,

Tidak praktis memang…

Namanya saja buy out… Pilih SIF nya dinaikin integrity nya apa pilih critical alarm as an independent protection layer…

Ada perhitungan, kalau yg selama ini saya lakukan adalah alarm rationalization study, setelah study SIL selesai, tujuannya ya itu tadi “reasonably practicable” ngga assignment alarm sbg IPL?

Tanggapan 11 – Yanoor Yusackarim

Sedikit memperlebar diskusi sebagai bahan rationalization.

Bila definisi alarm adalah membutuhkan aksi dari operator, apakah berarti kejadian yang sudah di handle SIS tidak perlu lagi alarm?  Toh proses sudah upset dan di bawa ke kondisi aman oleh SIS. Sering saya temukan, ESD alarm dengan kategori urgent, namun 10 detik kemudian isolate electrical dan panel mati… jadi tujuan alarm nya apa?

Tanggapan 12 – Djohan Arifin

Bang Yanoor,Dari definisinya alarm adalah indikasi yang menarik perhatian Operator (visual dan audible) tentang peralatan malfungsi, penyimpangan proses atau kondisi tidak normal yang memerlukan respons dari Operator.Jadi kalau gak bisa atau gak perlu direspons, berarti alarm tsb tidak perlu ada, jika memang penting responsnya, perlu dicari cara agar proses tidak berubah menjadi berbahaya.Disinilah process safety time (PST) menunjukkan perannya sewaktu kita melakukan alarm rationalization. Nyambung diskusi sebelumnya, misalnya dari Company Technical Standard syarat response time Operator = 5 menit, maka jika dari analisa alarm rationalization suatu process alarm mempunyai PST= 2 menit, dapat diputuskan alarm tersebut tidak diperlukan, sehingga proteksi dilakukan dengan SIS langsung. Karena kalau diterusin ada alarm tadi, disamping gak bisa diresponse oleh Operator (karena terlalu cepat), alarm tsb. malah menganggu kerja Operator karena bunyinya, perubahan warna pada panelnya, lebih parah lagi kalau jumlah alarm dalam satuan waktunya terlalu tinggi (banjir). semoga bermanfaat.

Tanggapan 13 – Djohan Arifin

Mas Arief,

Yang saya sebut pakai simulasi sebelumnya adalah PST untuk kasus high pressure pada flowline dari producing well, dengan skenario export pipeline SDV spuriously closed. Perhitungan excel pakai rumus PV = nRT diragukan, lalu diminta buat simulasi, seingatku pakai Hysis, ntar aku cari / tanya perhitungannya dan aku share jika diinginkan. Tetapi untuk jenis proses lain misalnya level, mestinya perhitungannya lebih mudah dapat dihitung manual, gak perlu simulasi.Katakanlah alarm high level, skenarionya misalnya plugged liquid outlet (LCV tutup, SDV down stearm process tutup atau lainnya), perhitungan PST untuk alarm level high (simplified) = selisih volume vessel pada high level dan normal level dibagi incoming liquid rate.Itu bayangan saya, tentunya Process Engineer lebih mengetahui detailnya, silahkan sharing.

Tanggapan 14 – Arief

Makasih mas, berarti menggunakan cara-cara yg umum. Mungkin dengan dynamic simulation hysis. Thanks for the sharing. Appreciate.

Tanggapan 15 – DAM

Mas Djohan, 

Yang sedikit membedakan antara PST (process safety time) dalam definisi pak Djohan dan saya adalah “hazard realization” nya. Dari yang saya baca apa yg dimaksud pak Djohan dgn PST contohnya waktu yg dibutuhkan untuk mencapai process alarm low (atau low low) dari aras permukaan operasi normalnya. 

Menurut pendapat saya hazard belum terealisasi sampai di sini. Ketika pun level sudah kosong di sebuah scrubber, tidak lsntas gas blowby yg dihasilkan akan menyebabkan “kaboom”, karena:

– dibutuhkan waktu dari gas blowby hingga tekanan design terlampaui

– dibutuhkan waktu dari tekanan design terlampaui hingga KO drum vessel misalnya bocor dan pecah

– dibutuhkan waktu dari gas bocor hongga dispersinya menyentuh titik nyala

– dibutuhkan waktu dari gas terpantik hingga apinya atau ledakannya menimbulkan korba (yang ini biasanya dlm milliseconds saja, atau kadang diasumsikan nol detik)

Sepahaman saya alarm high / low atau high high atau low low belum akan menimbulkan kecelakaan atau korban (jiwa)

Tanggapan 16 – Weby

Betul mas Darmawan alias Gharonk, konsep Process Safety Time (PST) ini juga bisa berbeda-beda penafsirannya. Di ISA84 tidak ada pendefinisian yang jelas, malahan PST ini di ISA84 hanya disebut sambil lalu saja. Ada yang menafsirkan bahwa PST (sebagai contoh):- waktu yang diperlukan sampai suatu equipment/pipa pecah- waktu yang diperlukan sampai timbul kobaran api dengan dimisalkan sudah ada sumber panas yang cukup- waktu yang diperlukan sampai adanya korban (cedera s/d meninggal)- dll Saya agak merasa janggal mengetahui bahwa SIS selalu dirancang dengan kehandalan tertentu (SIL1, SIL2, dst), namun sepertinya tidak pernah dikaitkan seberapa lama atau cepat SIS tersebut merespon suatu process hazard yang direfleksikan dalam PST. Sedangkan kehandalan suatu SIS sepertinya tidak berkorelasi dengan seberapa cepat respon SIS tsb. Saya berpikir apa gunanya SIS yang mempunyai kehandalan tinggi (setiap kali ada kebutuhan selalu bisa memenuhi), tapi responnya dalam beraksi lambat sekali? Mohon dikoreksi apakah pendapat saya ini salah? Thanks.

Tanggapan 17 – Ahmad Maryadi

Mas Weby,

Berikut sy kutip definisi PST ala Shell DEP. (Dlm terminologi Valve, PST bisa jg diartikan Partial Stroke Test) 🙂

Process Safety Time: 

Period of time in which the process can be operated without protection and with a demand present without entering a dangerous condition. The Process Safety Time determines the dynamic response requirements of an IPF.

IPF istilah umumnya adalah  SIF. 

Apa yg bisa diolah dr informasi PST :

– Dalam hal rasionalisasi/evaluasi alarm, 

 

Utk PST yg terla
lu singkat (yg tdk memungkin operator utk bertindak) maka actionnya tsb harus dibuat otomatis (bukan manual by operator).

– menentukan performan (timing) dari SIF,

 

Formulanya: SIF Response Time harus lebih pendek dari Process Safety Time

 

SIF response time dihitung dr total penjumlahan respon dr masing2 komponen SIF   = respon dr sensor + logic solver + final actuator + program time delay (kalo ada).

 

Utk selanjutnya bisa direfleksikan dalam spec/datasheet utk menentukan kebutuhan  closing time dr SDV (ie: satu sec/inch), scanning time dr SIS (ie: 500 msec),  ,kalo transmitter umumnya standar2 aja sih. 

 

Khususnya utk HIPPS, DEP mensyaratkan response tdk lebih dr dua detik.

Tanggapan 18 – Fernando

Pak Maryadi,

Mohon pencerahan untuk paragraf bapak dibawah ini:

quoted———————

Process Safety Time: 

Period of time in which the process can be operated without protection and with a demand present without entering a dangerous condition. The Process Safety Time determines the dynamic response requirements of an IPF.

unquoted——————-

Saya belum memahami, apakah highlight antara kuning dan hijau bertentangan? dimana IPF adalah protector itu sendiri. Mohon pencerahannya.

Tanggapan 19 – Djohan Arifin

Cak DAM,

Sebenernya definisinya sama, sumbernya sama, tetapi ketika diperkhusus untuk aplikasi, menjadi nampak sedikit berbeda. Sampeyan menggunakan definisi umum (IEC), yang aku pakai lebih spesifik pada aplikasi tertentu.Pada aplikasi Alarm Management, process safety time (PST) = time between initiating event and occurrence of hazardous event (ref. Exida dan Alarm as Layer of Protection yang dikirim cak Weby sebelum ini).

Pada alarm management hazardous event adalah next layer of protection layer (shutdown layer). Untuk low level berarti low-low level shutdown, untuk high level berarti high-high level shutdown.Untuk shutdown layer misalnya high-high pressure shutdown, next layernya = PSV layer. Dalam aplikasi high-high level shutdown, PST dihitung sampai ke ID horizontal vessel dari LSHH set point.Hubungan PST dengan response time, untuk alarm dibanding dengan operator action, sedang untuk shutdown application dibandingkan dengan SIS response time. Untuk kedua hal, response time harus lebih cepat daripada PST. Kayaknya kita akan mengalami kesulitan menentukan response time dari Operator atau SIS jika memakai definisi umum seperti yang cak DAM sampaikan. Semoga bermanfaat, silahkan dilanjut.

Tanggapan 20 – Ahmad Maryadi

Bang Fernando,

Ceritanya kan berawal ketika terjadi proses abnormal (Katakanlah normal operasi nya 80 barg, kondisi abnormal 100 barg, design pressure 120 barg..ini sekedar contoh).  Saat memasuki kondisi abnormal (t=0) sampai pd batas proses memasuki kondisi  hazard dihitung PST-nya. (kondisi hazard misalnya: pressure melewati batas kemampuan pipa/equipment  yg menyebabkan rupture). Katakanlah didapat PST = 60 detik. 

Apa yg dpt dilakukan saat t=0:

1. Notifikasi alarm ke operator utk dilakukan intervensi.

 

  Intervensi manual dpt berupa memperkecil sumber tekanan (disisi upstream-nya)    atau malahan langsung menutup sumber takanan itu sendiri (closing valve).    Cukupkah waktu yg dibutuhkan operator mulai dr mengetahui kondisi abnormal     sampe kondisi proses teratasi?  Kalo waktunya gak cukup (notifikasi alarm tdk efektif) dibuatlah sistemnya otomatis dgn SIF yg terdiri dr Pressure sensor, SIS controller dan final element SDV.

2. SIF dgn mekanisme otomatis.    Dgn PST 60 detik, tentunya SIF response timenya harus lebih cepat dr PSTnya.    Tarohlah target SIF response time-nya 30 detik.    So, total waktu mulai dr PT mensensing tekanan, ditambah scanning/processing time dr     logic SIS sampe pada menutupnya final actuator (Shutdownvalve) harus tercapai    dlm 30 detik.    Ini yg dimaksud “”PST determines the dynamic response requirements of an IPF/SIF”.

 

  Tapi kalo msh belum PeDe/confidence jg, tambahkanlah proteksi/IPL lagi: PSV.

Semoga menjelaskan,

Tanggapan 21 – Djohan Arifin

Bang Fer,

Kalimatnya memang membingungkan, tapi kalau dihubungkan dengan aplikasinya barangkali uraian berikut dapat menjelaskan: Ketika setpoint tercapai lalu initiator beraksi maka counter waktu mulai menghitung. Sebelum final element menyelesaikan tugasnya maka dikatakan proses masih beroperasi tetapi proteksinya sedang tidak ada karena initiator sudah tertriger tetapi final element belum selesai bekerja. Pada saat proses menyentuh titik bahaya (hazardous event) counter waktu yang ditunjukkan itulah PST.Tujuannya IPF adalah untuk membuat process menuju keadaan aman ketika initiator tertriger, makanya dynamic response harus lebih kecil daripada PST sehingga final element menghentikan gerak proses menuju hazardous event yang hanya akan terjadi jika IPF response lebih cepat daripada PST. Ini snapshot dari IEC 61508-4, dahmudahan lebih jelas.

Tanggapan 22 – DAM

Hehehe…

Weby, 

Itulah yg saya maksud memahami Konsep SIL hanya sepelemparan batu, hanya sampai PFD an sich.

Jika batunya dilemparkan dgn menggunakan yakhont, tentu pemahamannya akan beda.. Silahkan baca dari awal sampai akhir IEC61511, di bagian SRS jelas disebutkan salah satunya harus ada minimum response time serta definitive process safety time nya. Jadi agak sulit buat saya memahami sebuah SIF dgn SIL 1 tapi response timenya lebih lama dari PSTnya, buat saya pribadi, mereka tak memiliki SIL sama sekali!!! Jadi jelaslah bahwa konsep SIL yg telah dikerdilkan menjadi hanya soal PFD itu adalah …. Silahkan diisi sendiri titik titiknya.

Jika dan hanya seluruh persyaratan dlm SRS dipenuhi maka klaim SIL suatu SIF menjadi verified…

Share This