Rangkuman Diskusi Mailing List Migas Indonesia (Juni 2003) ini membahas tentang bagaimana implementasi atau aplikasi utk requirement ‘online testing’ pada ESD system di refinery.

Pertanyaan : (Rachmat Santoso – Rekayasa
Industri)

Mohon pencerahan kpd teman2 bgm implementasi atau aplikasi utk requirement
‘online testing’ pada ESD system di refinery.

Tanggapan 1 : (Arief Rahman Thanura – VICO
Indonesia)

‘On-Line Testing’ untuk SDV secara mudahnya , menurut saya, dimaksudkan sebagai
cara untuk mengetes "Intergrity" dari SDV dalam keadaan plant on-line.
Karena hanya dengan cara seperti itu kita bisa mengetahui secara actual SDV
bisa iosolate process apa tidak.Ada dua cara yang saya ketahui :
1. Full Stroke Testing
2. Partial Stroke testing

Untuk yang Full Stroke testing tentu saja tidak disukai oleh owner plant karena
akan menyebabkan plant shutdown (mengingat SDV tidak diperkenankan mempunyai
bypass). Akan tetapi memang Full stroke test mesti dilakukan untuk membuktikan
bahwa SDV bisa fully shut the process in case plant shutdown karena emergency
situation. Berapa interval testing time-nya tergantung
hitung-hitung berapa Safety Integrity Level yang diminta dan yang bisa dipenuhi
oleh system. Biasanya yearly.

Beberapa pakar (dan juga company, misalnya aramco dsb), mencoba menawar schedule
Full Stroke Testing, tanpa mengorbankan integrity system requirement, dengan
cara melakukan Partial Stroke Testing. SDV di test stroke tapi tidak sampai
full close (biasanya +/- 20% closing) untuk menunjukkan bahwa SDV akan bisa
bekerja in case required (walaupun tidak pernah bisa membuktikan akan bisa isolate
secara baik atau tidak, karena memang tidak full stroke). Berdasarkan hitung-hitungan,
maka dengan dilakukannya Partial Stroke Test, maka Full Partial Stroke testing
periodnya bisa di extend lebih lama. Yang saya tahu philosophy ini diaplikasikan
di Saudi Aramco yang kebetulan refinery.

Ada banyak cara untuk melakukan hal itu, misalnya :

  1. Menggunakan mechanical jammer (Metso Automation). Cara ini adalah dengan
    menggunakan mechanical jammer yang akan mengganjal gerakan rotation dari shaft
    actuator sehingga akan bisa berhenti pada posisi yang diinginkan. Cuma cara
    ini mulai ditinggalkan, karena kalau SDV-nya banyak bisa saja kelupaan melepas
    mechanical jammer-nya. Seingat saya PT Badak mempunyai SDV yang memakai fasilitas
    seperti ini.
  2. Menggunakan smart positioner yang bisa partial stroke (Metso Automation).
    Silahkan lihat di website mereka : http://www.metsoautomation.com
  3. Campuran Pneumatic Positioner + Hart I/P + Hart Multiplexer (Bisa dilihat
    di http://www.saudiaramco.com)
  4. Memakai FieldVue (dari Fisher Rosemount). Pak Bahrin mestinya lebih
    kompeten untuk memberitahunya.
  5. dll.

Tanggapan 2 : (Swastioko Budhi S – McDermott
Indonesia)

Sedikit menambahkan keterangan dari Pak Arif, bisa saja partial stroke testing
ini menggunakan gabungan dari beberapa pneumatic/hydraulic valve yang umum ada
di pasaran seperti buatan Versa, Swagelok, dll. Saya menggunakan hal ini untuk
sebuah project di Natuna, semua SDV diperlengkapi dengan partial stroke testing.
BDV saja yang tidak.

Tanggapan 3 : (A. Bahrin Saifudin – Control
Systems)

Seperti disampaikan Pak Budi, partial stroke testing bisa dilakukan dg menggunakan
pneumatic / hydraulic panel. Sebagian besar sistem testing yg ada sekarang ini
mungkin menggunakan cara ini.

Dengan kemajuan teknologi Smart Positioner, untuk tugas partial stroke testing
ini bisa menggunakan Smart Positioner. Sampai saat ini diantaranya adalah Fisher
(dg Fieldvue DVC ESD) dan Metso / Neles. Untuk memahami partial stroke testing
dg smart positioner ini cukup mudah. Seperti diketahui, salah satu kemampuan
utama smart positiner adalah Auto – Calibration yg biasanya untuk control valve
dilakukan secara full stroke 100%. Untuk Fieldvue DVC ESD, stroke hanya bisa
dilakukan sampai maximum 30% dari range, dan by software (ValveLink) bisa dipilih
sesuai standard di plant yg diinginkan mis : 15%, 20%, 25%. Dengan menggunakan
smart positioner untuk ESD, bisa dilakukan pula test yg lain spt step response
test dan sigature test, dan bisa juga dilakukan Automatic testing (batch runner).

Penggunaan Smart Pos untuk ESD partial stroke test ini relatif baru, dan secara
specific memang dipacu oleh permintaan dari Saudi Aramco dimana banyak ESD mereka
berada pada area yg sulit (gurun). Disamping memudahkan, secara cost sangat
murah dibanding dg pneumatic / hydraulic panel.

Kalau ada yg kurang atau salah mohon dimaafin. Terutama kalau ada yg mau nambahin
minusnya, karena kalau dari saya, yg bisa keluar plusnya aja, maklum tuntutan
kerjaan.

Tanggapan 4 : (Mohd. Idrus NC – RasGas LNG
Co. Ltd)

ESDV On-line Testing or Partial Stroke.

Kita di RasGas digunakan SIL-2, jadi partial stroking kita lakukan setiap 6
bulan sekali. Sewaktu menulis email tersebut, saya baru saja kembali dari melakukan
partial stroking, karena membaca email ini, jadi ikut pula memberikan sedikit
input.

Di RasGas untuk yang bersifat proteksi dipakai TMR yaitu Triconex sedangkan
untuk Pengendalian dipakai DCS yaitu Foxboro.

Untuk On-line testing tersebut pada TMR tersedia On-line Master Switch (MS)
dan Individual On-line Key Switch (KS) dengan menggunakan kedua MS dan KS tersebut
On-line Testing kita lakukan.
Step yang dilakukan :

  1. All preparatory sudah lengkap spt, permit dll
  2. Master Switch kita ON, maka akan didapat alarm di DCS, yang
    menyatakan master switch telah active. Gunanya MS adalah sebagai permissive
    jika KS akan diaktifkan.
  3. KS di aktifkan, maka valve bersangkutan akan bergerak about: 5% or
    10%
  4. DCS akan alarm, menyatakan valve bersangkutan lagi di test.
  5. Setelah bergerak sekitar 5% or 10%, valve akan kembali ke posisi
    semula
  6. Begitu seterusnya pada valves lainya, sehingga semua selesai
    Normalkan MS, juga di DCS alarm juga sudah cleared.

Kalau masih kurang jelas, boleh ditanyakan atau naik banding.

Disamping On-line Test juga ada Off-line Test, Off-line Test adalah valves akan
tertutup atau terbuka penuh, tergantung pada posisi mana valve tersebut pada
saat normal running.

Di RasGas kita lakukan Off-Line test procedure yang kita buat adalah 48 bulan,
tapi jika ada kesempatan waktu s/down juga operation agreed maka kita lakukan
OFF-LINE TEST.

Sekarang atau tadi juga baru saya lakukan OFF-LINE Test.

Step yang dilakukan OFF-LINE Test.

  1. Setelah preparatory siap dilakukan
  2. Karena lagi s/down banyak valves yang tidak normal posisinya
  3. Maka semua valves harus dinormalkan, maka perlu banyak dilakukan
    overide atau bypass di TMR
  4. Setelah langkah diatas dilakukan
  5. Actifkan signal trip:
  6. Ada 3 lokasi signal trip, Control Centre Board (CCB), Satelite
    Instrument House (SIH) dan local
  7. Salah satu diaktifkan
  8. Semua valves akan tertutup atau terbuka
  9. Alarm di DCS juga sesuai
  10. Setelah itu di reset
  11. Diulang untuk switch yang lainya

Ada satu lagi proteksi yaitu yang dinamakan dengan HIPS (High Integrity Protection
System), kalau berminat akan kita jelaskan.

Tanggapan 5 : (Arief Rahman Thanura – VICO
Indonesia)

Pak Mohd INC,
Saya belum begitu ngerti beberapa hal (tapi ini bukan mau naik banding lho ….,
benar-benar belum clear ) :

  1. " Kita di RasGas digunakan SIL-2, jadi partial stroking kita lakukan
    setiap 6 bulan sekali …………. ". Bisa dijelaskan lebih lanjut bagaimana
    korelasi antara SIL-2 dengan partial stroking time harus 6 bulan sekali untuk
    plant anda ?
  2. Algoritma perintah partial stroke test SDV di plant anda dari DCS atau dari
    TMR?
  3. Off-Line Testing apa maksudnya Full Stroke test pada saat plant dalam keadaan
    shutdown ? Bagaimana dengan full stroke pada saat plant on-line, apa juga dilakukan
    ?

Setahu saya HIPPS pernah dibahas di mailing list ini, tapi kalau anda akan mengulas
tentu saja welcome.

Pak Budi,
kalau bisa diberi ilustrasi (gambar atau sketch) kayak apa konfigurasi-nya saya
akan sangat berterima kasih. Soalnya belum pernah melakukan sih.

Tanggapan 6 : (Warih Kundono – McDermott Indonesia)

Sebagai tambahan saja,
Ada teknik lain yang bisa dilakukan untuk partial stroking, yaitu meletakkan
sensor pressure di air supply line ke actuator sebagai komponen diagnostic.
SVM (Smart Valve Monitoring) keluaran Drallim menggunakan teknik ini. Untuk
lebih lengkapnya bisa download di http://www.drallim.com/docs/ControlsDocs/SVM/Drallim_Monitoring_Systems_SVM_
Intro_Version_1.3.pdf

Tanggapan 7 : (Cahyo Hardo – Premier Oil)

Jika kita melakukan testing sistem HIPS, lalu apakah penggantinya pada saat
itu jika plant tidak shutdown? Dan apakah penggantinya itu juga harus setara
dengan HIPS-nya sehingga safety integrity tidak dikorbankan?

Tanggapan 8 : (Patria Indrayana – Totalfinaelf
E&P Indonesie)

Saya punya pertanyaan yang sama dengan pak Cahyo :

Kalau di production separator misalnya kita selalu punya 2 x 100% capacity jadi
kalau yang satu mau dicabut untuk testing, maintenance atau apa.. ada satu lagi
yang masih standby.

Sementara si HIPS ini kan katanya instrumented system untuk menggantikan peran
PSV. Kalau HIPS sedang maintenance siapa yang menggantikannya ? Apa harus total
shut down ? Atau apa ada konsep HIPS 2 x 100% ? Enggak mungkin kan plant jalan
tapi HIPS nya lagi di-inhibit semua ?

Tanggapan 9 : (Arief Rahman Thanura – VICO
Indonesia)

Mohon diperbolehkan untuk ikutan, walaupun pertanyaan-nya lebih ke Pak Idrus.

Pada dasarnya, mengikuti standard terbaru Safety Instrumented System (SIS),
step yang paling penting sebelum menetapkan system apa dan bagaimana yang akan
diimplementasikan adalah risk assessment. Dengan risk assessment akan ditentukan
seberapa besar risk, dan bagaimana system yang ada + yang akan dibuat mampu
mengurangi risk sampai pada acceptable limit.

Kalau kemudian HIPPS diputuskan diperlukan untuk mengurangi risk tersebut,
maka apabila HIPPS tersebut dalam keadaan tidak dapat melakukan tugasnya in
case required to perform (misalnya di inhibit), harus dicari cara supaya risk
yang ada tetap bisa dikurangi (misalnya, mengurangi flow rate yang mungkin bisa
menyebabkan overpressure). Pak Cahyo mestinya lebih tahu.
Kalau ternyata cara satu-satunya yang mungkin hanya dengan men-shutdown plant
maka hal tersebut yang semestinya dilakukan.

Tanggapan 10 : (A. Bahrin Saifudin – Control
Systems)

Pak Idrus,
Saya ingin lebih tahu mengenai Field Instrumennya. Accessories atau device apa
sajakah yg ada di ESD valve di plant Bapak. Device apa yg mengontrol dan memastikan
bukaan di valve 5% atau 10% itu ?

Tanggapan 11 : (Cahyo Hardo – Premier Oil)

Mas Arief,
mangga atuh ikutan.wong saya ini juga cuma jadi penggembira di diskusi instrumented-based
safety yang rasanya rada jarang di milis migas Indonesia ini…

Jadi caranya masih mengikuti prosedur kuno itu tokh (risk assessement).saya
pikir sudah ada cara baru yang lebih josss. Kalau ngintip standard-nya Norsok
sih, dia punya by-pass SDV berbasis HIPS yang berinterlock. Jadi kalau satu
lagi dipakai diutak-atik, by-passnya yang dimainkan (?)

Berarti ini satu kerja tambahan lagi bagi process engineer donk ha..ha ha.
Untuk ngitung2 pressure drop ketika laju alir harus dikurangi karena akan ada
penutupan SDV tiba-tiba, jangan sampai kena setting PSHH lainnya di upstream-nya,
belum lagi efek kenaikan stagnant pressure tiba2 akibat penutupan SDV yang tiba2.
Apalagi kalau fluidanya adalah liquid yang incompressible ….

Mas Budhi, rasanya dulu vendor valve ini, apa itu namanya Morklev atau Morkev
(saya lupa) pernah menampilkan fitur valve special itu. Apa iya termasuk dengan
cara nge-testnya yach tanpa mengorbankan safety integrity..

Sebab kalau sistem operasi pemompaan gas-nya menganut perpipaan sekaligus sebagai
storage seperti current practice di perpipaan dari west natuna ke singapura
sono, mungkin tidak masalah. Tetapi jika jidak punya strorage atau back-up plant
dan ada pesan sponsor "kalau bisa jangan di shutdown yach", gimana
yach jadinya. Terkadang saya berpikir, moso’ mau ngetest valve aja pake risk
assessement…Iya kalau valve-nya cuma satu atau dua, bagaimana kalau HIPS-nya
banyak dan ditempatkan pada fasilitas yang berbeda, dan juga menyadari bahwa
risk assessment itu sifatnya snapshot. Waduh. Apalagi kelemahan sejati risk
assessment ada pada mampu atau tidaknya assessor itu meng-assess risk pada saat
itu.

Kalau kita meremehkan ini, tidak mustahil Flixborough Disaster kedua bisa terjadi,
di mana expert (mechanical engineer = red) yang harusnya bertugas ntuk meng-asses
perubahan perpipaan di unit cyclohexane reactor pada pabrik pembuat caprolactam
di Inggris itu, lagi off-duty. Pada saat itu manajemen tidak sabaran untuk mengantinya
(biasa.money driven) sehingga dengan cepat menggantinya dengan orang yang berpengalaman
melakukan pekerjaan perbaikan peralatan proses (salah satu bukti bahwa pengalaman
yang sekian banyak jumlahnya itu tidak bisa menggantikan skill tertentu dengan
begitu mudahnya).

Maaf kalau isinya terlalu banyak ngelantur..

Tanggapan 12 : (Gunawan Siregar – Rekayasa
Engineering)

Pak Cahyo Hardo dan rekan-rekan milis Migas Yth,
Ijinkan saya ikutan nimbrung ttg HIPS ini , kebetulan rekan saya Pak Idrus pernah
sama-sama di PTA dan di SoQ sudah ikutan.

Ditempat saya pernah bertugas ( Upstream / Offshore Platforms dan Downstream
/ LNG Plant ) , HIPS dipakai di kedua area ini. Untuk Upstream, dia dipakai
untuk melindungi pipeline dari overpressure ( pipeline antara Wellhead Platform
dgn Process Platform ) . Untuk Downstream, dipakai untuk mencegah Flare Overloading
. Untuk Dry Gas Flare, dipasang di Discharge Lines dari MCR Compressors, Propane
Compressor dan Propane Booster Compressor. Untuk Wet / Sour Gas Flare, dipasang
untuk Sulfinol Regenerator.

Menjawab pertanyaan Pak Cahyo, perlu kembali ke Design Philosophy dari HIPS
ataupun Safety System Philosophy yang dipakai. Kebetulan, tempat saya bertugas
punya kedua hal tsb ( Exxon Mobil , Totalfinaelf dan Qatar Petroleum ). Didalam
Design Philosophy ( juga Safety System Philosophy ), HIPS ini dipasang "IN
ADDITION TO" Process Safety System dan "COMPLETELY INDEPENDENT"
dari PSS. Jadi, ia merupakan proteksi lapis kedua . Jika plant tidak shutdown,
berarti hanya bisa dilakukan Partial HIPS Test ( Online Testing ); sebab Total
HIPS Test akan meng"initiate" plant shutdown . Partial HIPS Test mencakup
: Transmitter Test , Final Element ( Valves Test ) : Solenoid Valve dari ESD
Valves saja dan partial stroke dari ESD Valve type- B dgn bantuan Test Pushbutton
dan Manual Override Switch. Total HIPS Test biasanya dilakukan sebelum Planned
Shutdown atau selama Turn Around Period. Biasanya Total HIPS Test dilakukan
dgn cara mengaktifkan 2oo3 Logic dari Pressure Transmitter dan juga mengaktifkan
Power Failure.

Sebelum HIPS dipasang, dilakukan Risk Assessment dan Reliability Study dahulu
(kebetulan Main Contractor saat itu adalah Chiyoda dan di Subcontractkan ke
sebuah Consultant dari Paman Sam). Dari Report hasil study ini, dengan memakai
data vendor, OREDA, dsb, juga rumus-rumus probability, reliability, failure
rate, PFD, MTBF, MTTR, diperolehlah periode test ( = Test Interval ) yang memenuhi
kriteria design awal dari HIPS. Mudah-mudahan ini dapat menjawab pertanyaan
Pak Arief dari VICO, ttg hubungan SIL dengan Test Interval ( TI ) .

Tanggapan 13 : (Arief Rahman Thanura – VICO
Indonesia)

Ada beberapa hal :

1. Risk Assesment
Kalau menyebut Risk Assesmenet sebagai metode kuno mungkin ya agak ekstrim sedikit
lah. Mungkin yang bisa disebut kuno justru pada metodologi risk assesment yang
menurut saya memang memerlukan breakthrough agar bisa less time consume sementara
hasilnya bisa lebih mengurangi subyektifitas. Hal lain adalah kebutuhan risk
assessment, tentu saja hanya dibutuhkan apabila kita melakukan sesuatu yang
keluar dari Safety Requirement Specification (SRS) ketika sebuah SIS di design.
Kalau pada awalnya hal-hal mengenai testing sudah di asses maka seharusnya risk
assesment ulang tidak diperlukan lagi. Jadi tidak mesti bahwa setiap kali mau
ngetest harus risk assessment ulang.

2. Fasilitas On-Line Testing
Beberapa improvement yang dilakukan baik di Aramco maupun oleh vendor-vendor
yang ada sekarang pada dasarnya adalah bagaimana menyiasati supaya On-Line testing
bisa dilakukan tanpa mengorbankan integrity dari plant protection. Misalnya,
pas ketika partial stroking test tiba-tiba ada signal untuk menshutdown system,
maka signal shutdown ini akan meng overrule partial
stroke sehingga si SDV tetap akan bisa full close. Oleh karena itulah, untuk
produk misalnya milik METSO pada saat sertifikat feature ini juga include sebagai
item yang di test. Saya kurang tahu detail mengenai feature yang ada di standard
Norsok, tapi mustinya secara umum perlakuan assessment-nya sama dengan yang
dari beberapa vendor ini. Bisa diberitahu judulnya ? Soalnya bukan apa-apa.
Jangan lagi pakai bypass, bahkan tidak pakai PSV atau SDV-pun bisa saja kalau
memang risk yang ada dianggap acceptable.

Btw, seringkali kalau kita berkaitan dengan Safety suka merasa ribet dan merasa
bahwa pekerjaan yang akan kita lakukan simple-simple saja. Hati-hati lho sama
perasaan ini, soalnya hal yang kita lihat simple bisa menghilangkan nyawa orang
……

Ada satu kalimat di HSE Guide book yang saya punya :

TIDAK ADA SATUPUN PEKERJAAN YANG BEGITU MENDESAK SEHINGGA KITA HARUS
MEMBIARKAN TIMBULNYA RISIKO TERHADAP ASET KITA YANG PALING BERHARGA MANUSIA.

Tanggapan 14 : (Gunawan Siregar – Rekayasa
Engineering)

Yth Pak Patria / Pak Cahyo ,
Kebetulan saya memiliki prosedur testing untuk HIPS dari tempat saya pernah
bertugas, hanya saya ragu apakah bisa di distribute. Saya ingin coba menjawab
pertanyaan-pertanyaan bapak-bapak, mudah-mudahan bisa memuaskan. Pertanyaan
inti nampaknya bisa dijawab dari filosofi sistem.

Berikut ini saya kutipkan paragraph ttg HIPS dari dokumen Safety System Philosophy
:
" In addition to the Plant Safety System (PSS ) , a HIPS shall be installed
to protect the plant from overpressure conditions in case of PSS failure.

Dari dokumen yang sama, didefinisikan juga sbb :
" The plant shall be controlled and monitored by a Centralized Integrated
Control System (CICS), consisting of the following major sub-systems :

1. Plant Supervisory Control System, consisting of :
1.1. Process Control System ( PCS )
1.2. Plant Information System ( PIS )

2. Plant Safety System ( PSS ) , consisting of :
2.1. Emergency Shutdown System ( ESD )
2.2. Fire & Gas System ( F & G )

3. Power Distribution Control System ( PDC )
……. dst . … dst

Jadi, terlihat di atas bahwa HIPS dipasang IN ADDITION TO PSS. Jadi HIPS adalah
sebagai lapis kedua ( FINAL PROTECTION ). Kalau HIPS lagi di test, pabriknya
masih ada yang jaga yaitu si PSS tadi ( ESD System plus Emergency Depressurizing
System ).

Kebetulan di tempat tsb ESD adalah buatan GTI Automation ( Maglog ) dan TMR
ABB – August. Jadi nggak ada deh HIPS 2 X 100 %.

Saya tidak tahu safety philosophy yang di"adopt" di tempat bapak-bapak
bertugas. Setiap company bisa jadi berbeda. Safety System Philosophy ini mungkin
bisa dikatakan sebagai GBHN dalam pengembangan Safety System di pabrik ybs.
Pembuatan Project Specificationspun harus merujuk pada dokumen filosofi tsb.

Implementasi HIPS sebaiknya dimulai dari study ttg Risk Assessment dan Reliability
dari process yang akan dipasangkan sistem HIPS. TIDAK SELALU HIPS itu dipasang
untuk menggantikan PSV. HIPS bisa menggantikan PSV pada aplikasi tertentu .
Di beberapa negara yang peduli lingkungan , HIPS dipasang untuk menghindari
pencemaran lingkungan akibat terbakarnya fraksi berat Hidro-carbon; jadi HIPS
BISA untuk menggantikan PSV / Flaring .

Mudah-mudahan sedikit argumen ini bisa menjawab pertanyaan rekan Patria &
Cahyo.

Tanggapan 15 : (Darmawan Achmad M – VICO Indonesia)

Menarik sekali apa yang mas Arief bilang "Jangan lagi pakai bypass, bahkan
tidak pakai PSV atau SDV-pun bisa saja kalau memang risk yang ada dianggap acceptable."

Well, hal ini dimungkinkan karena dari penghitungan ulang terhadap PSV PSV
untuk kasus fire ternyata mostly (kalau tidak mau bilang lebih dari 95%) PSV
fire ini tidak akan bisa "ngepop" pada setting pointnya karena :

  1. Vessel akan rupture terlebih dahulu sebelum setting pressure tercapai diperlukan
    kondisi superkritik untuk mencapai setting pressure yang dalam hampir semua
    kasus diatas kemampuan vessel menahan kondisi proses tersebut.
  2. O-Ring atau seal ring akan leleh terlebih dahulu (bahkan untuk KalrezTM dengan
    temperature maksimum 550-600degF) sebelum setting pressure terlewati. Katakan
    kebakaran menyebabkan terjadi heat transfer 8.4 MMBTU/hr maka perbedaan antara
    bagian luar dan dalam PSV (let says tebal PSV 1 inch, dengan suhu kebakaran
    1000degF, suhu di bagian dalam adalah 936 degF, dan Kalrez pun akan "bubar").
  3. Tahukah anda bahwa persamaan umum yang dipakai API dalam mengeneralisir Heat
    Flow (Q = 21000fa^0.84) diderivasi dari persamaan combinasi Heat Transfer antara
    Conduction-Convection dan Radiasi (Mc Cabe, Smith, Harriott, Unit Operations
    of Chemical Engineering, 5th ed, Mc Graw Hill, 1993 p 422-433). Timbul pertanyaan
    bahwa panas sebesar ini sungguhlah sangat konvensional dalam menghitung kasus
    Fire pada PSV. Dan saya yakin semua software yang telah dibuat mendasarkan hitungannya
    pada API RP-520 ini.

Jadi saya mendukung pernyataan mas Arief pada bagian PSV untuk kasus fire bahwa
sebenarnya kita tak memerlukan PSV untuk fire case jika risk assessment memang
membuktikan setting pressure kasus fire tidak akan terlampaui.

Tanggapan 16 : (Arief Rahman Thanura – VICO
Indonesia)

Cukup menarik mengamati bahwa dasar filosofinya : " In addition to the
Plant Safety System (PSS ) , a HIPS shall be installed to protect the plant
from overpressure conditions in case of PSS failure."

Menarik, karena bisa timbul pertanyaan mengapa si PSS-nya tidak dibuat se-reliable
untuk meet SIL requirement ketimbang harus sampai sampai nambah HIPPS. Bukan
apa-apa, soalnya kayak ABB-August, kan TMR yang fault tolerant dan reliability-nya
cukup baik dan bahkan bisa sampai mencapai SIL-3. Tentu saja kalau total sistemnya
maka harus semuanya dipertimbangkan sampai end devices dan sensor serta instalasinya.

Dari itulah secara sepintas saya menduga bahwa HIPPS tetap diperlukan karena
Risk yang ada masih belum bisa dikurangi oleh PSS in case PSS fail (seberapapun
handalnya PSS tersebut).

Karena itu juga jadi pertanyaan kalau pada saat HIPPS test, bukankah PSS juga
kemungkinan masih bisa fail ? Kenapa kok pada saat test PSS "saja"
jadi dianggap cukup untuk memprotect plant ? Apakah ada effort lain sehingga
keperluan akan HIPPS-nya bisa tergantikan in case PSS fail ? Mungkin disini
letak pertanyaan Pak Cahyo mengenai 2X 100% HIPPS. Atau saya salah tangkap Cahyo
?

Tanggapan 17 : (Tahzudin Noor – VICO Indonesia)

Mau dipilah-pilih ya boleh saja. kalau balik ke hierarchy kan ya nggak nyimpang.
Batasnya mau sampai mana? Kalau kaget dibelakang, eh ngetest nya gimana, dll,
berarti dulu-dulunya waktu assessment, design dan project safety review pasti
ketinggalan, atau saat itu lagi ke kamar kecil, atau ngantuk atau lagi nyuri
waktu buat ngerokok, atau memang budgetnya dibatasi, atau ..commitment sudah
beda.

Tanggapan 18 : (Arief Rahman Thanura – VICO
Indonesia)

Pak Tahz,
HIPS yang saya bicarakan dalam konteks seperti dalam makalah Ibu Angela Summer
yang dulu Pak Din sarankan itu lho.

Disitu dibilang :
"The fourth edition of API 521 allows credit to be taken for a favorable
response of some of the instrument systems. While this design alternative is
provided, API 521 part 2.2 recommend the use of High integrity protective system
(HIPS) only when the use of pressure relief devices is impractical. Kalau benar
bahwa HIPS lahir dari requirement seperti ini artinya secara hierarchy dia akan
sejajar dengan PSV (level-2 protection).

Saya sih punyanya masih yang 3rd edition, jadi belum baca yang 4th edition-nya.
Di edisi ke-3 part 2.2. tidak ngomong apa-apa mengenai HIPS.

Mengenai Safety Review requirement, kalau saya lihat di IEC-61511 (Functional
Safety : Safety Instrumented Systems for the process industry sector) sebagian
besar requirement untuk keep up integrity dari SIS kelihatannya sudah lumayan
di cover (mulai dari maintenance requirement, testing design requirement, application
software testing, decommissioning, management of change dsb-dsb) sehingga paling
tidak bisa mengurangi yang terkaget-kaget di belakang hari.

Tapi tetap terasa nada khas Pak Tahzudin pas nyinggung soal commitment (nulisnya
itu lho : atau …. Commitment sudah beda).
Paling tidak saya nggak kena yang "lagi nyuri waktu buat ngerokok"
……..

Tanggapan 19 : (Gunawan Siregar – Rekayasa
Engineering)

Pak Arief dan rekan-rekan Migas Yth,
PSS / ESD yang TMR masih mungkin bisa fail ( namanya alat buatan manusia ).
Resiko yang akan terjadilah yang harus dibandingkan dgn investasi HIPS . Belum
lagi kalau terjadi Total Power Failure seperti yang pernah terjadi dikilang
LNG kita ( Indonesia ). Dari Risk Analysis Study , untuk LNG Plant tempat saya
pernah bertugas, resikonya setahu saya adalah :

1. Overloading dari Flare System .
1a. Dry Gas Flare ( capacity 1,546 ton / hour ) :equipment rupture and resultant
fire / explosion
1b. Wet/Sour Gas Flare ( 107 ton / hour ) : equipment rupture and TOXIC effect
to people by high concentration of H2S ( 7000 ppm ) in the wet gas. Note : ini
yang paling berbahaya !!
2. Slug Catcher & Pressure Letdown Station : resiko sama dengan Wet / Sour
Gas.
3. Wellhead Platform to Process Platform Trunkline : ditto

Disamping itu dari segi bisnis ada lagi resiko production lost, shipment lost
, reputation, etc, etc. Untuk bisnis dgn produk rata-rata 1 kapal LNG / hari,
revenue yang hilang bisa jutaan dollar.

Karena alasan-alasan tsb diatas, dipasanglah proteksi yang berlapis. PSS (
Emergency Shutdown System plus Emergency Depressurizing System ) yang dipasang
juga mempunyai spec yang samadengan HIPS ( SIL-3 ). Jadi PSS = 100 % dan HIPS
= 100 % dan bukannya 2 x 100 % HIPS.
Mudah-mudahan bisa menjawab pertanyaan rekan-rekan sekalian .

Tanggapan 20 : (Patria Indrayana – Totalfinaelf
E&P Indonesie)

Konsep untuk aplikasi HIPS memang bisa bermacam-macam. Standard yang digunakan
juga belum tentu sama antara satu company dengan company yang lain, atau satu
negara dengan negara lain. Sementara ini konsep design HIPS yang saya anut (saya
anut karena internal rule dari company mengharuskan demikian . ) demikian :

First approach dalam design selalu sistem proteksi konvensional yang terdiri
dari first barrier (PSHH dan ESD) dan second barrier berupa PSV. Process control
system yang mengatur pergerakan control valves tidak dianggap termasuk dalam
safety system. Pressure switch dan corresponding actions dari shutdown valve
diatur oleh SSS yang terpisah. Baru di barrier kedua ada PSV, kalau pressure
naik sampai set point, si PSV akan membuka sendiri dan me-release pressure ke
vent/flare.

Kalau, design konvensional ini impractical, .. atau memaksa kita menggunakan
teknologi yang belum approved (misalnya sampai butuh vent/flare tip spesial
yang selama ini belum pernah diproduksi) .. baru boleh mempertimbangkan HIPS.

Itu baru taraf mempertimbangkan, . belum tentu bisa di aplikasikan.

HIPS sendiri didefinisikan sebagai system proteksi yang terdiri dari first
barrier (PSHH dan ESD) seperti halnya system konvensional, dan second barrier
berupa pressure switch dan shutdown valve lain dengan spesifikasi SIL (safety
integrity level) tertentu. Jadi posisi PSV sebagai second barrier digantikan
oleh another independent instrumented system. Independent bahkan power supply-nya
juga harus independent. HIPS sendiri tidak berarti tidak ada PSV sama sekali,
tetap PSV fire case diperlukan, emergency depressurisation juga tetap ada, plus
in case of shutdown valves-nya HIPS leaks .. mau di-relief kemana pressure-nya
?

Tahap pertama dalam study adalah membandingkan antara source of overpressure
dengan design pressure dari system yang mau dilindungi.

Kalau source of overpressure > test pressure dari system yang mau dilindungi
= HARD HIPS à immediate concern of burst.

Kalau source of overpressure < test pressure dari system yang mau dilindungi
= SOFT HIPS à concern of burst is not immediate.

Nah, baru yang HARD HIPS itu PROHIBITED, dengan kata lain DILARANG. Kalau masuk
dalam kategori SOFT HIPS baru boleh terusin study-nya .

Tahap berikutnya adalah membuat RISK ASSESMENT untuk menentukan SIL level dari
si HIPS. Hasilnya adalah matrix " accident severity level " versus
"accident frequency ". Baru ketahuan mana zone yang disebut "
acceptable risk " dan SIL requirement dihitung mundur dari situ.

Berikutnya adalah merancang instrument system yang memenuhi criteria SIL yang
sudah di-specify. Dokumen proposal HIPS harus berisi : justifikasi lain yang
memperkuat alasan untuk tidak menggunakan system konvensional. Demonstrasi dengan
calculations (reliability calculations) bahwa memang SIL requirementnya kena,
spesifikasi instrument yang digunakan termasuk reliability datanya, testing
requirement dan bagaimana cara nge-testnya, plus dynamic simulations untuk menjamin
response time dari si system, plus maintenance procedure, . Tahapan-tahapan
ini sudah harus melibatkan plant operator.

Itu juga belum tentu disetujui oleh komisi HIPS .. (internal within company)

Design dokumen HIPS harus disusun dengan kontribusi dari berbagai spesialis
: process, safety, instrument, dan operator. Design document untuk HIPS harus
super lengkap, komplet dan isinya realistik. Soalnya kalau ada apa-apa, ketahuan
COMPANY tidak apply local or international standard, bisa repot di kemudian
hari.

Tanggapan 21 : (Warih Kundono – McDermott Indonesia)

Pak Gunawan dan rekan-rekan, kalau boleh saya bertanya:

  1. HIPS yang mempunyai SIL-3 berarti hasil kalkulasi PFD (probability failure
    on demand) total mulai dari transmitter, logic solver dan valve masuk dalam
    kategori SIL-3. Kalau pak Gunawan bilang bahwa PSS juga mempunyai SIL-3, apakah
    hasil kalkulasi semua komponen penyusun PSS juga menghasilkan PFD total yang
    masuk kategori SIL-3. Artinya konfigurasi transmitternya PSS sama dengan konfigurasi
    transmitternya HIPS (biasanya menggunakan 2 out of 3) atau konfigurasi valvenya
    PSS juga sama dengan HIPS (biasanya 1 out of 2)?
  2. Kenapa HIPS yang merupakan last protection (kalau PSS fail) mempunyai spec
    yang sama dengan PSS? Apakah spec-nya PSS yang ketinggian atau spec-nya HIPS
    yang kerendahan?

Tanggapan 22 : (Gunawan Siregar – Rekayasa
Engineering)

Pak Warih Yth,
1. Karena pakai TMR, ya sama,
2. Dari design philosophynya, memang kayaknya dibuat sama.
Sepertinya sudah diperhitungkan bahwa kegagalan kedua lapisan proteksi sekaligus
yaitu PSS dan HIPS ( Double Jeopardy ) kemungkinannya sangat kecil.

Tanggapan 23 : (Patria Indrayana – Totalfinaelf
E&P Indonesie)

Betul sekali Bapak Darmawan,
Tentang PSV Fire, kalau si vesselnya masih bertekanan memang agak-agak menyeramkan.
Kalau sealnya yang kena duluan bisa jet fire, dsb… kalau rupture stress dari
vessel yang kena duluan mebih seram lagi.

Makanya harusnya yang lebih ‘wajib’ adalah depressurization otomatis kalau ada
sistem mendeteksi api. Ini juga sudah di sarankan oleh API RP 520 apabila ada
api untuk menurunkan tekanan vessel sampai setidak-tidaknya 7 barg atau 100
psig dalam hitungan 6 – 10 menit (makin tipis vessel, harus makin cepat)

Kalau ada api, vesselnya memang tidak akan bisa bisa diselamatkan (hanya bisa
di scrap saja …. ) tujuannya memang sebatas menghindari agar si vessel tidak
pecah di lokasi (rupture stress tercapai saat vessel masih bertekanan) sehingga
membahayakan yang keselamatan personel (fire fighters, atau process engineer
yang lagi nonton ..)

Jadi si PSV itu sebenarnya untuk melindungi vessel atau untuk melindungi personel
?

Tanggapan 24 : (Ramzy S A – Radiant Utama)

Setahu saya salah satu fungsi PSV adalah mencegah BLEVE, yang ujung2nya mencegah
yang nonton itu, sebab kalau terjadi BLEVE yang pada nonton juga jadi korban
iya khan…

Tanggapan 25 : (Cahyo Hardo – Premier Oil)

Setahu saya Pak, PSV fire itu kebanyakan gagal melindungi integrity vessel
yang sedang terbakar, karena memang temperatur metal dari vessel yang terbakar
susah untuk dikatakan homogen…pasti ada bagian yang tersengat api lebih intensif

BLEVE atau Boling Liquid Expanding Vapor Explosion pada kebanyakan kasus adalah
terjadi pada kebakaran lanjutan dan bukan pada initial event karena dibutuhkan
begitu banyak energi untuk menguapkan cairan menjadi uap yang siap terbang dan
menyedot oksigen begitu ada celah di vessel. Jadi biasanya vessel pecah dulu
baru nih si Mr BLEVE nya keluar, itupun kalau semua cairannya sudah superheat
semuanya…

Kalau usul menghilangkan PSV fire begitu saja seperti yang dipaparkan Pak Darwawan
hi…serem juga yach kecuali memang plant nya didesain "let it burn".

Yang nonton? tentunya ini pasti bercanda khan karena begitu ada fire sirene
mustering pasti mengaung-ngaung memerintahkan supaya personnel pergi ke muster
masing-masing..hi..hi…

PSV fire dihilangkan? Pada separator yang berisi cairan yang lumayan banyak
, daya gunanya masih bolehlah. Tetapi pada separator yang jarang berisi cairan
seperti scrubber, nah…ini baru riskan.

Depressuring seperti yang dikatakan Mas Patria adalah salah satu cara ampuh
karena memang bertujuan menguras energi yang tersimpan di vessel itu. Pengguyuran
dengan fire water juga bisa dijadikan additional item (dikatakan additional
karena mungkin saja ada plant yang engga punya fire water).

Cara lain dalam rangka mengurangi resiko misalnya dengan lokalisasi proses
dan memisah antar unit proses dengan blast wall, ada juga yang menggunakan slop
di bawah separatornya sehingga jika ada pool fire dari liquid yang terbakar,
apinya akan jalan dan menjauh dari separator.

Saya jadi iseng, seandainya BDV yang bertugas untuk memblowdown itu gagal bekerja
karena kurang maintenance dan ada api di bawah separator terus menerus menyengat
vessel dan PSV fire sudah kedodoran ngepoop terus padahal tekanan terus naik,
gimana atuh? Haruskah kita mengandalkan blast wall yang rasanya tidak pernah
dicoba secara aktual atau langsung kita pencet tombol PAPA? (=Prepare Alarm
Platform Abandon). Sebagai informasi, setahu saya, scenario di atas adalah scenario
favorit pada kursus major emergencies management yang mengacu pada standard
OPITO (Offshore Petroleum Institute Training Organisation (?)). Saya mencium
di sini, bahwa keakuratan study QRA, Safety case, gas dispersion calculation,
dst, dsb sangatlah penting bagi kami yang bekerja di lapangan, terutama dalam
hal sosialisasinya.