Rangkuman Diskusi Mailing List Migas Indonesia (Juli 2003) ini membahas tentang Safety Instrumented System (SIS) dan Safety Integrated Level (SIL). Kapan/ pada kondisi bagaimana SIL 4, SIL 3, SIL 2 dan SIL 1 itu diterapkan?

Pertanyaan : (Nanang Suprapto – PT. Control
Systems)

Berdasarkan pengalaman saya saat ini, ketika saya mendiskusikan tentang SIS,
SIL Level, On-Line Partial Stroking dll dengan beberapa Oil & Gas Co, FEED
Consultant maupun EPC Contractor di Indonesia yang sedang menangani project
baru baik Offshore Oil & Gas Production Platform maupun On-shore Oil &
Gas Processing Plant, muncul beberapa pandangan yang berbeda-beda dari mereka.

  • Ada yang berpendapat bahwa oh… plant saya ini tidak perlu SIL 3. Cukup
    SIL 2 saja. Tanpa diberikan suatu alasan teknis yang memadai.
  • Ada yang berpendapat bahwa oh.. plant saya ini harus SIL 3 sedangkan
    jenis Plant yang akan dibangun serupa dengan yang diatas. Walaupun pada kenyataannya
    jumlah sensor/ transmitternya maupun ESD valvenya yang dipakai masih simplex.
    Sehingga SIL 3 nya perlu dipertanyakan lagi.
  • Ada yang dengan bangganya ..pokoknya kalau sudah pakai TMR system maka
    SIS Systems saya pasti SIL 3.
  • dll, dll

Hal ini menunjukkan kekurang pahaman concept/ philosophy tentang SIL tsb dan
kapan/ pada kondisi bagaimana SIL 4, SIL 3, SIL 2 dan SIL 1 itu diterapkan.
Hal tsb begitu sangat berbahaya ketika mereka ditunjuk/ ditugasi oleh perusahaan
sebagai penanggung jawab concept design. Mungkin mereka berpikir ….masa bodoh
lah.. toh orang lain juga yang akan mengoperasikannya….saya hanya bertugas
membuat concept desain saja. Mati manusianya atau Plant meledak… itu bukan
urusan saya…

Jika ada yang punya info tentang SIL tsb, dan kapan SIL 4,3,2, atau 1 akan
diterapkan, mohon sharing infonya. Mengingat banyak dari anggota milis Migas
kita ini adalah para engineers yang akan terlibat dalam desain concept SIS Systems
baik di EPC Contractor maupun Oil & Gas Co.

Tanggapan 1 : (Slamet Suryanto – Pertamina)

Kebetulan saya pernah di Tim untuk peningkatan reliability kilang LNG Badak
Train A-F, diantaranya dengan mengevaluasi SIL dikaitkan dengan standar ISA
S84.01. Tim Badak menggunakan konsultan, diantaranya Dr. Angela Summers (ex
Triconex).

Pada dasarnya SIL (safety integrated level) adalah tingkat availability dari
SIS (safety instrumented system) pada suatu fasilitas yang terinstumentasi.
Tingkat availability merupakan tingkat kehandalan suatu SIS diyakini akan bekerja
pada saat dibutuhkan. Tingkat availability juga dapat dinyatakan dalam tingkat
failure yaitu 1-Pf (satu dikurangi failure probability).

SIS umumnya terdiri dari sensor, programmable logic solvers dan final control
elements. Contoh SIS diantaranya ESD (Emergency shutdown), PSD (Process shutdown),
EDP (Emergency Depressurization) atau F & G (Fire & Gas).

Level SIL direquire berdasarkan ISA S84.01 atau IEC 61508 adalah sebagai berikut
(berdasarkan ingatan aja, silakan dikoreksi):

– SIL 1 : tingkat availabilitynya 90.00 – 99.90%
– SIL 2 : tingkat availabilitynya 99.90 – 99.99%
– SIL 3 : tingkat availabilitynya 99.99 – 99.9999%

Seperti sudah dijelaskan di depan bahwa SIL dapat ditentukan dengan menghitung
failure probabilitynya (Pf), maka kemudian dihitung Pfnya untuk setiap SIS-nya.
Tool yang biasa digunakan adalah FTA (fault tree analysis) dengan cara awal
menentukan top event jika terjadi failure pada SIS. Bahan yang dapat digunakan
untuk menentukan top event diantaranya hasil studi HAZOP , cause-effect chart
instrumentasi atau kombinasi dari keduanya dari SIS. Tiap top event scenario
dari SIS kemudian terhitung tingkat failure dan availability levelnya. Selanjutnya
membandingkan dengan kriteria yang telah ditetapkan berdasarkan design philosopy
apakah SIL 1, 2 atau 3 dengan mengacu pada resiko yang dapat diterima (maaf
dalam hal ini rekan-rekan saya asumsikan sudah terbiasa dengan metode FTA).
Tidak setiap SIS harus mengaplikasikan SIL 3, bergantung filosofi yang diterapkan
karena menyangkut additional cost yang tidak murah.

Harus diingat bahwa untuk meningkatkan tingkat availability SIS tidak selalu
bertumpu pada TMR system, preventive maintenance dan regular test juga akan
meningkatkan tingkat availability. Sehingga kadang-kadang dengan hanya
menambah frekuensi regular test sudah bisa mengatrol tingkat availability >0.50%.

Tanggapan 2 : (Nanan Yanie – BP Indonesia)

Setahu saya sih penetapan SIL itu didasarkan pada risk assessment. Dari hasil
risk assesment tersebut, dapat diketahui risk level-nya, dan dari situ baru
kemudian ditetapkan SIL-nya. Ada banyak metod penetapan risk level ini, dari
mulai yang quantitative sampai qualitative. Untuk SIL ini, setahu saya, hanya
dari IEC saja yang mempunyai SIL sampai 4. Salah satunya, di IEC 61508, bisa
dilihat kapan SIL 1,2,3,4 digunakan. Tetapi itu semua tetap berpangkal pada
risk assessment.

Mungkin kejadian oh.. saya SILnya segini saja, dan yang lain segini saja, terjadi
memang karena risk-nya berbeda. Jadi untuk satu proses yang sama, penetapan
SIL yang dibutuhkan di satu plant bisa berbeda dengan SIL di plant yang lain.
Misalnya plant yang satu berada di tengah kota, sedangkan yang satunya berada
di tempat terpencil, puluhan kilo dari tempat penduduk, sehingga risk levelnya
berbeda, dan SIL yang dibutuhkan pun beda.

Atau… bisa juga karena perbedaan justifikasi dalam risk assesment ini.
Dalam hal penetapan frequency misalnya, karena di tempatnya tidak pernah terjadi,
padahal di tempat lain ternyata pernah terjadi juga. Pengetahuan tentang historical
industrial frequency incident sangat penting dalam hal ini. Industrial database
sangat membantu dalam hal ini. Salah satunya PSID (Process Safety Incident Database)yang
diterbitkan oleh CCPS AICHE.

Biasanya sih perusahaan mempunyai standard/kriteria sendiri untuk membantu
menjaga konsistensi di tempatnya.

Sedangkan mengenai bagaimananya (pemilihan teknologi yang digunakan, design,
instalasi, inspection, dll-nya) agar dia bisa mempunyai SIL yang diinginkan,
rekan2 instrumen pasti tahu detailnya lebih banyak.
Bapak/ibu instrumen, ditunggu pencerahannya…

Tanggapan 3 : (Arief Rahman – Singggar Mulia)

Ada beberapa hal yang menurut saya penting untuk di consider berkaitan dengan
SIS :

  1. Safety aspect. Sebuah System bisa saja mempunyai availability yang sangat
    tinggi (99,999% misalnya) yang artinya jarang fail. Tapi pertanyaan-nya :
    kalau system tersebut fail apa yang terjadi ? Fail to safe atau fail to danger.
    Safety PLC secara umum mempunyai diagnostic coverage yang cukup tinggi sehingga
    fail to danger-nya (terutama yang un-detected) sudah cukup
    rendah. Kalkulasi bisa menunjukkan bahwa bisa saja sebuah system yang
    availability-nya tinggi masih bisa less safe.
  2. Standard mensyaratkan Management Of Change (MOC) yang cukup ketat untuk SIS.
    Oleh karena itu, standard-standard yang ada mensyaratkan Separation antara SIS
    dan Basic Process Control (DSC, Fieldbus dsb). Persoalannya bukan semata-mata
    availability tetapi salah satunya karena requirement MOC. Beberapa Fieldbus
    yang di approve untuk SIS (Profisafe) benar-benar di design untuk SIS application.
  3. Bahwa Safety Integrity Level (SIL) di assign untuk SATU Safety Instrumented
    Function (SIF). Tidak ada SIL yang di assign untuk SYSTEM. Oleh karena itulah
    maka pada saat assign SIL kita harus assign untuk masing-masing SIF (bukan Loop
    seperti yang dikemukakan oleh email di bawah ini). Memang dalam beberapa hal
    satu SIF juga satu Loop, tapi itu tidak harus.
  4. SIS cukup complicate dan troublesome. Oleh karena itu maka dalam Safety
    Life Cycle yang ada di standard (misal ISA S-84) disarankan mencoba yang non
    SIS terlebih dahulu. Kalau tanpa SIS, risk yang ada sudah bisa di reduced di
    bawah acceptable level (karena ada layer of protection yang lain, misalnya mechanical,
    inherent safe design, emergency procedure, dsb-dsb) maka SIS bisa saja tidak
    dipasang.
  5. Seringkali vendor convince kita supaya kita focus hanya pada Logic Solver
    saja (Misalnya TMR, Quad dsb-dsb) dan berusaha membelokkan kita dengan
    mengatakan bahwa apabila logic solver kita sudah SIL-3 maka EVERYTHING is suitable
    for SIL-3. It’s WRONG !!! Dari kalkulasi bisa ditunjukkan bahwa
    walaupun sensornya sudah voting 2OO3, pakai TMR (SIL-3) tapi kalau SDV-nya single
    dan diagnostic coverage-nya tidak ada (seperti kebanyakan SDV yang ada sekarang),
    Manual testingnya 1 tahun sekali, maka SIL yang kita punyai adalah SIL-1 !!!!
  6. Bahwa dalam SIL assignment step yang paling penting adalah Process Hazard
    Analysis (PHA) dan Risk Identification. Jelas ini membutuhkan multidiscipline
    team effort.

Ada satu tip yang diberikan oleh Pak Paul Gruhn :

Kalau dari SIL assignment yang dilakukan ternyata ditemukan banyak SIL-3, maka
sebaiknya ditinjau kembali baik SIL assignment methodology-nya, process design-nya
dsb-dsb.

Tanggapan 4 : (Cahyo Hardo – Premier Oil)

Nampaknya kursus-nya Paul Gruhn tempo hari sangat mengesankan yah Pak Arief.

Melihat isinya saja saya sudah pusing kepala nih he..he..Dan juga, melihat
sepintas, ternyata requirement-nya bikin hati jadi harus hati-hati. MOC, PHA,
dst….yang ujungnya adalah orang yang terlibat.

Issue kompetensi dari orang yang terlibat bukanlah hal yang umum, tetapi, saya
jarang sekali melihat issue maintenance dari SIS, issue sosialisasinya terhadap
orang yang tidak terbiasa dengan sistem ini, human error dst…yang ujungnya
adalah tanggungjawab management guna membuat sistem ini melekat seperti sistem
safety pendahulunya….Semuanya, tentunya harus dikaji ulang, termasuk jika
akan diadakan pengurangan tenaga kerja pada kemudian hari guna tetap menjaga
integrity yang eksis dan solid di hari ini, akan tetap seperti itu pada tahun
ke sekian

Mungkin memang benar kali si Gruhn, kalau bisa buat yang simpel, kenapa mesti
yang ruwet.

Tanggapan 5 : (Arief Rahman Thanura – VICO
Indonesia)

Ada beberapa hal yang saya agak berbeda pendapat :

  1. Bahwa SIL adalah tingkat AVAILABILITY dari SIS ……………"
    ANSI/ISA S-84 menyebutnya SAFETY AVAILABILITY, yang pengertiannya cukup berbeda
    dengan availability. Saya cuplikkan definisinya dari standard :
    "Fraction of time that a safety system is able to perform its designated
    SAFETY SERVICES when the process is operating. In thi standard, the average
    probability of Failure On Demand (PFDavg) is the preferred term". Ada penekanan
    aspek safety-nya dalam definisinya dan ini agak berbeda dengan definisi pada
    umumnya :
    Availability = Uptime/Total time = Uptime/(Uptime+Downtime)..
  2. IEC-61508 memasukkan SIL-4 sedangkan S-84 hanya sampai SIL-3. Ini karena
    IEC-61508 dipakai semua industri sementara S-84 hanya pada process industry.

Tanggapan 6 : (Slamet Suryanto – Pertamina)

Mas Arief,
Mohon dapat diberikan perbedaan aplikasi antara safety availability dan availability
jika diterapkan dalam SIS yang sama.
Apakah data base probability failure antara safety availability dan availability
untuk komponen-komponen SIS berbeda sehingga ada perbedaan istilah yang perlu
ditekankan?

Tanggapan 7 : (Arief Rahman Thanura – VICO
Indonesia)

Pak Slamet Suryanto dan teman-teman yang lain,
Sebelumnya saya mohon maaf, kalau nanti keterangan saya salah.

Seperti kita ketahui, secara methodology failure mode dari suatu peralatan
dibagi ke dalam dua bagian utama yakni : Safe (Spurious) Failure dan Danger
Failure. Safety availability pada dasarnya berkaitan dengan danger failure,
bukan Safe (spurious) Failure. Oleh karena itu kalau vendor memberitahu kita
Mean Time To Failure (MTTF), harus diperjelas MTTFs atau MTTFd atau gabungan
keduanya. Kalau gabungan berapa safe fraction failure-nya.

Salah satu rumus untuk simplex system, misalnya, Availability Danger = Safety
Availability = MTTFd/(MTTFd + TI/2 + MTTR). Dari training yang saya dapat diterangkan
bahwa ini alasan mengapa standard menyebut SAFETY availability.

Tanggapan 8 : (Iwan Jatmika – BP Indonesia)

Perkenankan saya sedikit mengkomentari masalah instrument ini, namun karena
topicnya menarik dari sisi HSE, maka saya hanya mencoba meng-highlight philosophy
dasar safety-nya seperti yang dikhawatirkan Mas Nanang (terimakasih mas, cukup
bagus untuk menggambarkan situasi engineer di negara kita)….mosok Insinyur
Indonesia kebingungan dan tidak tahu konsep dasar sehingga tidak PD mengambil
engineering decision(nunggu bule, walaupun kadang-kadang juga sama-sama bingung-nya,
tapi pakai bahasa inggris he..he)…padahal dari sisi "SAFETY" akan
sangat kritikal. Untuk mas Arif (salam kenal) by definition, that’s alright.
Untuk mas Slamet (salam Kenal), terimaksih saya dapat pencerahan, memang pada
dasarnya SIL level mencoba mengkuantifikasi akan seberapa SIS Safety Availability
facilities kita. Nothing wrong with SIL level 1, 2, 3, or 4.

Kalau dilihat dari diskusi-diskusi dibawah ini, seprtinya semuanya sudah tahu
dari mana standards and codes dari SIL diambil. Namun, nah ini kita-kita juga
harus samam-sama belajar, terutama sekali saya sendiri, bagaimana mengambil
benang merah dari ketersediaan informasi & data menjadi sutau kemengertian
yang utuh (mungkin kita dulu sewaktu sekolah kebanyakan multiple-coice kali
ya, namun jarang dapet ujian essay dan analysis, sehingga kita kadang-kadang
sedikit susah mencari alur pengertian yang kadang sangat sederhana)

Kembali Ke SIL (Safety Integrity Level). Saya setuju dengan definisi mengapa
kita mengadakan SIL review, karena kita ingin mendapatkan model secara quantitative
safety intrumented protection loop kita sesuai dengan safety design requirement,
sekali lagi design requirement kita. Jadi kita yang menginginkan akan seberapa
levelnya. Karena pada dasarnya semakin tinggi level nya (say level 3 & 4),
availabilitinya semakin tinggi, namun semakin tinggi pula kebutuhan akan tingkat
monitoring & maintenance-nya. Begitu pula tingkat ke-remote-annya. Apakah
fasilitas diharapkan akan sering dikunjungi oleh operator, atau tidak perlu
dikunjungi operator? Seberapa keinginan kita untuk menjaga avilability dari
operation, berapa tingkat shutdown yang akan dibolehkan, seberapa tingkat resiko
HSE yang akan di protect,dll. Nah dari sini baru kita menentukan philosophy
SIL dari masing-masing Instrumented Loop protections-nya. Dan lebi-lebih OIL
(Overall Integrity Level)-nya.

Contoh-nya….kalau fasilitas didesign remote, un-manned,dan sangat berbahaya
bagi orang yang terexpose, maka tingkat SIL 3 & 4 di field kalau bisa dihindari
karena akan membutuhkan monitoring dan maintenance yang sangat sering (akhirnya
dikunjungi juga). Namun kalau fasilitas itu kritikal dari sisi operasi availability,
manned, dan urusan maintenance tidak persoalan, maka SIL 3 atau 4,yang sangat
diharapkan. Nah disini, terjadinya tawar-menawar antara ketersediaan products
PFD (final control element) + PFD (Sensor) + PFD (Logic Solver)dengan human
factor and operation & maintenance program. Adapun FTA, OREDA data, dll
adalah sebagi data base dan tools untuk mencoba mengkuantifikasi sehingga decision
can be made!

Jadi sekarang, gantian kita yang bilang sama bule, Hey Mister, for our facilities
with all the agreed operation philosophy plan , We need SIL level 2 (or 3, or
4) because of the operation availability needed, maintenance program plan agreed,
safety exposure to the employee and community modeled, potential escalation
of the fire accident, and the costumer demand availability. I will contact my
buddy Mr. Nanang to give you single complete control system solution, and Mr.
Arief and Mr. Slamet are my best consultant in SIS right now. He…he….ini
namanya over PD.

Tanggapan 9 : (Slamet Suryanto – Pertamina)

Mas Iwan ini bisa………aja.
Selama ini yang jadi topik pembicaraan adalah SIL level yang dibutuhkan
kemudian baru dirancang konfigurasi SIS, maintenance dan testing programnya.
Bagaimana jika dibalik, berapa SIL level dari existing SIS yang ada?

Tanggapan 10 : (Iwan Jatmika – BP Indonesia)

Logika paling gampang ya juga dibalik processnya:
Dari existing SIS, kita nilai PFD (final control element) + PFD (Sensor) + PFD
(Logic Solver) baik dengan manufacture data book reliability, kalau nggak ada
dari maintenance log book, atau dari recognize technology and or industrial
technology paper/ book. Dari situ can secara gampangnya akan ketemu "Average
Probability of Failure on Demand", misalnya 0,01 sampai 0,001, berarti
SIS tsb adalah SIL 2, dst…dst.. Gampang kan ?

Tanggapan 11 : (Arief Rahman Thanura – VICO
Indonesia)

Mas Iwan dan Mas Slamet, sebetulnya masalah menyangkut existing tidak semudah
hanya tinggal balik kalkulasi SIL saja.

Di standard ANSI/ISA S84, misalnya, disebutkan :
"For existing SIS designed and constructed in accordance with codes, standards,
or practices PRIOR to the issue of this standard, the owner/operator shall determine
that the equipment is designed, maintained, inspected, tested, and operating
in a SAFE MANNER".

Kelihatan sekali bahwa kalimat yang dibuat sangat ngambang terutama mengenai
SAFE MANNER. Para owner-lah yang mesti menentukan SAFE MANNER sesuai dengan
company policy-nya masing-masing. Standard tidak secara tegas mengatakan apa
yang harus dilakukan. Mau dihitung SIL-nya lagi ya monggo, kalau tidak ya tidak
apa-apa sepanjang anda bisa men-justifikasi bahwa existing system anda safe.

Tanggapan 12 : (Iwan Jatmika – BP Indonesia)

Kalau tidak salah dulu pernah dibahas di mailing list ini tentang Grand fathering
claus, dengan contoh kasus connection di vessel. Dulunya boleh pakai screw,
tapi standard yang baru mensyaratkan flange connection. Kalau tidak ada grandfathering
kan bisa barabe.

Mengacu dari statement ANSI/ ISA S84 seperti yang dikemukakan Mas Arief di
bawah ini, sebenarnya menjadi "self-explanatory" bahawa kita diberi
kebebasan cara untuk mengassess status SIS existing kita. Bahwa secara professional
kita bertanggung jawab (safety manner) terhadap safety availability dari SIS
yang ada. Nah bagaimana cara menunjukkan tanggung jawab profesional kita, ya
kita mencoba menilai SIS existing kita itu, apakah sudah sesuai dengan fungsi
dan reliability sesuai dengan harapan dari para stake-holder-nya. Nah kalau
sebagai orang HSE, maka kita pengin tahu, salah satu caranya ya dengan mengetahui
Safety Integrity Level dari SIS itu masih mendukung existing facility safety
protection philosophy-nya nggak?

Contoh gampangnya, bila secara operation performance dengan segala operation
management expectation mensyaratkan bahwa SIL 2 sudah cukup, maka kalau hasil
review kita menunjukkan bahwa subject SIS yang kita review SIL-nya adalah 3,
ini tidak berarti SIS kita lebih baik (ya kalau kita hanya menilai dari performance
SIL tsb.), tapi adakah aspek-aspek maintenance yang berlebihan sehingga akan
menambah maintenace cost, additional exposure to human factor intervention,
sehingga overal safety level (OIL) menjadi menurun?

Nah wilayah SAFETY MANNER di bidang design, construction, operation & maintenance,
inspection, adalah bidang yang sangat menarik untuk diskusikan. Pendekatannya
bisa by System ataupun by Strategy……. wah kita perlu mengundang pakar-pakar
HSE di forum MIGAS ini………, namun, lebih daripada itu saya kok mendapat
suatu pencerahan bahwa ini bisa menjadi trigger bagi kita bahwa di-discipline
yang lain Process, mechanical, electrical, Structural, Operation, pendekatan
Safety-nya harus terkomunikasikan antar disiplin dan terintegrasi sehingga yang
namannya OIL itu menjadi sesuatu yang berarti. Saya yakin masing-masing Company
punya pendekatan tersendiri untuk menamakan kegiatan ini, misalnya PSIM (process
safety and integrity management, dll).

Tanggapan 13 : (Slamet Suryanto – Pertamina)

Saya 100% setuju dengan pendapat Mas Arief dimana granfathering claus berlaku
untuk SIL target yang notabene code-nya baru keluar 1996. Kesetujuan saya berdasarkan
pengalaman ketika menghadapi Risk Insurance Broker dimana saran dari expertnya
mendukung clausul tersebut dan aman-aman saja ketika berhadapan dengan Insurance
Company. Namun demikian policy dari top Management juga akan mempengaruhi apakah
perlu atau tidak untuk menerapkan SIL target untuk SIS di fasilitasnya. Bagi
operator tentunya akan lebih pe-de dengan SIL yang lebih tinggi. Berdasarkan
QRA studi oleh DNV bahwa IRPA (Individual Risk Per Annum) untuk operator adalah
66% dimana menduduki ranking tertinggi untuk risiko di offshore facilities.