Meeting pun di set-up untuk mencari solusi agar kejadian tadi tidak berulang.
Whatever solution that we think the best, however, the hard duty is to keep
people understand the philosophy behind so they can implement seriously. Kelemahan
system yang menggunakan daftar nama orang-orang (POB=personnel on board) yang
ada di platform-pun diidentifikasi.

Meeting pun di set-up untuk mencari solusi agar kejadian tadi tidak berulang.
Whatever solution that we think the best, however, the hard duty is to keep
people understand the philosophy behind so they can implement seriously. Kelemahan
system yang menggunakan daftar nama orang-orang (POB=personnel on board) yang
ada di platform-pun diidentifikasi.

Kelemahan umumnya terjadi ketika ada transfer personnel dari dan ke platform.
Pada saat itu, daftar nama yang ada di platform belum up-date (atau masih menggunakan
data lama).

Kedua, adalah kelupaan untuk selalu meng-update daftar nama tersebut.

Dipilih solusi berupa pemasangan kartu nama untuk setiap orang yang datang
ke platform. Setiap orang sudah ditentukan posisinya masing-masing jika keadaan
darurat terjadi. Setiap orang hanya boleh memindahkan kartunya sendiri!

Kelihatan sederhana di dalam teorinya, meski tidak se-sederhana ketika dijalankan.
Yang utama sebelum program diaplikasikan adalah aturannya atau SOP-nya di woro-woro
(di sosialisasikan dahulu). Dan yang penting untuk diingat adalah, semua crew
di platform harus mengerti benar aturan yang baru ini, dan tentu saja harus
dipraktek-kan di dalam simulasi emergency drill.

Satu-dua-tiga kali latihan keadaan darurat guna mengimplementasikan aturan
yang baru, hasilnya memuaskan. Dan untuk selanjutnya menjadi hal yang biasa
di dalam setiap latihan keadaan darurat. Akan tetapi, puaskah kita? Saya merasa,
kalau kita sudah puas, biasanya (tapi tidak 100% dijamin), ada penurunan kualitas.
Mencontek petuah Apleton dalam kaitannya dengan selalu bagusnya harga LTI (=zero),
dia berkata, continuous good news, you must worry….. It was happened friend,
sampai suatu hari, saya melihat segepok kartu nama ditenteng oleh pekerja dari
perusahaan rekan kerja kami ketika waktunya pulang.

Ketika saya tanya, dia bilang: khan deket aja Pak ke personal basket landing
area, moso’ engga boleh ditenteng semua kartu kaya begini. Sudah berapa
lama cara ini dipakai? Kelihatannya sudah lumayan lama pak. Waduh, something
wrong here!
Kita, terbiasa dan serius ketika mengkonsep suatu aturan, sampai ke detilnya,
bagaimana, siapa, kapan, dst. Tapi kebanyakan kita “tidak suka”
dalam melakukan pengawasan, termasuk saya. Padahal, untuk sistem yang saya jelaskan
sebelumnya, there is no way to keep on track except continuous monitoring. Tulisan
Profesor Kletz berikut menarik untuk disimak:

Meccano or dolls?
Let me emphasize that when I suggest changing the work situation, I am not
simply saying change the hardware.
Sometimes we have to change the software — the method of working, training,
instructions, etc. Safety by design should always be the aim, but sometimes
redesign is impossible, or too expensive, and we have to modify procedures.
In over half the accidents that occur there is no reasonably practical way of
preventing a repetition by a change in design and we have to change the software.

At present, most engineers are men and as boys most of us played with
Meccano rather than dolls. We were interested
in machines and the way they work, otherwise we would not be engineers. Most
of us are very happy to devise hardware solutions. We are less happy when it
comes to software solutions, to devising new training programmes or
methods, writing instructions, persuading people to follow them, checking up
to see that they are being followed and so on. However, these actions are just
as important as the hardware ones, as we shall see, and require as much of our
effort and attention.

One reason we are less happy with software solutions is that continual
effort — what I have called grey hairs’ — is
needed to prevent them disappearing. If a hazard can be removed or controlled
by modifying the hardware or installing extra hardware, we may have to fight
for the money, hut once we get it and the equipment is modified or installed
it is unlikely to disappear.

In contrast, if a hazard is controlled by modifying a procedure or introducing
extra training, we may have less difficulty getting approval, but the new procedure
or training programme may vanish without trace in a few months once we lose
interest. Procedures are subject to a form of corrosion more rapid and thorough
than that which affects the steelwork.

Procedures lapse, trainers leave and are not replaced. A continuous management
effort — grey hairs — is needed to
maintain our systems. No wonder we prefer safety by design whenever it is possible
and economic; unfortunately, it is
not always possible and economic.

Furthermore, when we do go for safety by design, the new equipment may
have to be tested and maintained. It is easy to install new protective equipment
— all you have to do is persuade someone to provide the money. You will
get more grey hairs seeing that the equipment is tested and maintained and that
people arc trained to use it properly and do not try to disarm it.

There is no another guard except our self, as individual. Ini berbeda sekali
dengan pabrik yang dijaga oleh beberapa “layer of protection”. Betulkah?
Saya mencoba men-challenge pernyataan saya sendiri.

Ada satu peristiwa yang paling saya takuti di plant, meski sudah dijaga berlapis-lapis
“sistem pertahanan”. Banyak kejadian incident yang disebabkan kurangnya
maintenance dari “sistem pertahanan” tersebut. Beberapa orang, termasuk
saya sendiri, terkadang mengganggap remeh jika ada valve yang bocor, misalnya
SDV. Tokh, ada PSV khan?

Menurut AIChE-CCPS dalam bukunya Guideline for Preventing Human Error in Process
Safety, disebutkan adalah sangat jarang suatu incident disebabkan oleh satu
sebab saja. Biasanya sudah ada sebab atau faktor-faktor pendukung, yang jika
saatnya tepat, semua nya mendorong ke accident.

Valve passing “kecil” dibiarkan, wellhead ada oil leak (sedikit
koq) cuma di close monitor, seal pump netes – netes di kasih prioritas nomor
sekian. It is common. Contoh yang barusan disebut memang harus segera ditindak
lanjuti karena bahayanya sudah jelas. Dan yang paling saya takuti adalah error
tersembunyi, atau disebut sebagai latent error.

Pernahkah rekan-rekan melihat incident/accident yang disebabkan karena…..cuma
lupa. Profesor Trevor Kletz menyebutnya sebagai memory slips.

Kira-kira sebulan yang lalu, saya punya pengalaman yang dapat dikatagorikan
sebagai lupa atau memory slips.

Salah satu pekerjaan yang “enggan” disentuh orang produksi adalah
“bermain-main” dengan fuel gas system. Contohnya misalnya switching
fuel gas train facilities dari unit yang aktif ke unit yang stand-by karena
alasan maintenance. Ini bisa dimengerti karena resiko terburuk yang akan dihadapi…yaitu
shutdown total – blackout.

Kejadian shutdown semalam mengindikasikan terjadinya hi-hi pressure di fuel
gas system facilities. Dua kompresor besar bertenaga penggerak turbin gas kelas
Mars 100 shutdown pada saat yang hampir bersamaan sehingga membuat konsumsi
fuel turun drastis sehingga stagnant pressurenya menyentuh setting point dari
PSHH fuel gas system. Then FGSD pun terjadi. Blackout man….

So we decided to check the setting pressure of fuel gas PCV and found relative
higher pressure setting than usual. Reading log sheet mengkonfirmasikan hal
ini, bahwa pada tanggal x bulan ini terjadi kenaikan tekanan operasi di fuel
gas system cukup significant (naik sekitar 40 – 50 psig). So we investigate
further why the setting is too high. Gambar P&ID memberikan angka yang relatif
menakjubkan juga karena justru lebih tinggi dari sekarang.

Mungkin saja ketika men-desain si process engineer menganggap tidak mungkin
terjadi stagnant pressure yang sedemikian tingginya karena diasumsikan dua kompressor
tidak akan shutdown secara cepat dan bersamaan. Bahasa gaulnya, no double jeopardizes!
Atau kemungkinan lain adalah tidak bagusnya tuning di PCV sehingga membuat PCV
tersebut jadi slow respond.

Anyway,

Dan mulailah saya order ke panel operator di CCR (Central Control Room). Kelihatannya
mudah seperti yang saya duga sebelumnya, tetapi ternyata tidaklah sederhana.

Pak, tolong setting pressure di PCV xyz di fuel gas system diturunkan dari
450 ke 400 psig secara gradual.

Panel operator tersebut mengerutkan keningnya ketika PCV “angker”
itu saya sebut dan dia berkata: Pak Cahyo, keliatannya kalau kita turunkan,
processnya akan menjadi tidak stabil, nanti PCV-nya jadi hunting engga karuan.

Kenapa bisa seperti itu?

Pengalaman yang sudah-sudah seperti itu pak!

Dan dia pun mulai membuka P&ID langsung ke fuel gas system diagram then…Pak,
di P&ID saja settingnya lebih tinggi dari sekarang. Berarti yang sekarang
sudah mendekati OK!.

No! Sebab sudah jelas terlihat kenaikan tekanan fuel gas system sedemikian
tingginya, jadi itulah yang kita “kejar”. Dan saya pun mulai bercerita
tentang filosofi pembuatan P&ID secara singkat kepadanya, plus disertai
kelemahannya.

Tetapi ini revisi terakhir pak dan ada tulisannya as-built!

Lalu saya cerita sedikit ttg P&ID lagi plus kronologi shutdown semalam
serta latar belakang kenapa shutdown terjadi, plus lagi, yang sangat jelas adalah
reading log sheet yang menangkap kenaikan setting tekanan fuel gas system dimulai
pada hari ke x di bulan ini. Sebelum-sebelumnya, tekanannya tidaklah setinggi
itu.

Jadi kita boleh bekerja di luar operasi yang ditentukan oleh P&ID pak?

Well, tergantung dari common sense. Apakah betul semua P&ID yang as -built
itu benar menurut logika? Selagi masih dibuat oleh orang, tentunya kemungkinan
terjadinya kesalahan yach ada saja. Jelas Pak, sekarang tolong dilanjutkan kerjaan
tadi…

Enghhh, lalu kalau shutdown siapa yang tanggung jawab pak?

Pertanyaan dasar itu rupanya keluar lagi…Saya pak yang nanggung karena
saya yang sekarang in-charge di sini! Oke pak? (saya berusaha meyakinkan dia).

Air mukanya kelihatan sedikit lega meski kekhawatiran belum hilang juga darinya.

Tolong diturunkan secara gradual. Sekarang khan 440 psig, tolong diturunkan
dulu ke 435 psig.

Dan mulailah dia bekerja dan tiba-tiba terdengar suara aneh…..panel
operator itu berteriak: Saya engga tahu
nih Pak, ini bukan salah gue looh!

Terlihat PCV tersebut itu mulai menutup perlahan.

Layar DCS menunjukkan angka yang aneh, kenapa 345 dan bukan 435 psig? Astaga,
rupanya salah memasukkan angka setting yang baru. Untungnya, dengan cepat dia
kembali menukar set point ini ke harga yang lama.

Saya menyuruh dia istirahat sebentar dan menggantikannya dengan operator lain.
And it works man…

Saya memaki diri sendiri dalam hati. This is my fault. Saya baru sadar, seharusnya
saya tidak menyuruh dia melakukan hal ini mengingat berondongan pertanyaan dia
sebelumnya. Pikiran saya, berondongan pertanyaan itu adalah wajar karena sebagai
panel operator, dia harus bersikap konservatif. Ternyata saya salah tanggap.
Rupanya berondongan pertanyaan tersebut serta dari air mukanya, dia tidak siap
untuk pekerjaan ini (atau tidak pe-de, atau apapun). Mungkin ia merasa tertekan
oleh saya shg kerjanya jadi cepat-cepat.

Saya sadar, memory slip tidak ada hubungannya dengan kompetensi atau experience!
Dia memang baru bekerja beberapa tahun saja di platform ini, tapi sebelumnya,
sudah 17 tahun di bekerja sebagai operator di dunia platform migas. Biasa menghandle
stasiun control compressor pusat yang menerima banyak masukan dari unit processing
platform sebelumnya. Dan hanya untuk resetting saja dia gagal…..Saya jadi
berpikir, bagaimana kalau hal ini terjadi pada safety critical equipment…wah
matilah awak…(contoh lain yang “lebih bagus” dapat dilihat
di catatan kaki di bawah, dari Trevor Kletz).

Hal lain yang menarik dari kejadian tadi adalah kalimat yang terucapkan ketika
dia (panel operator) panik adalah, “ini bukan salah gue”. Saya mencium
bau blame culture masih ada rupanya. Ini harus diubah!

Hhhh….rupanya tugas ke depan buat saya ter nyata masih sangatlah panjang.

Bersambung…..

Salam Safety
Salus Populi Est Lex Suprema
People’s Safety is The Highest Law
Cahyo Hardo

Sumber contekan:

  1. Sama seperti bagian 1 dari tulisan sebelumnya.
  2. Guideline for Preventing Human Error in Process Safety by AIChE-CCPS, 1994.
  3. On the Ability of Process Hazard Analysis to Identify Accidents: Reason accident
    scenarios may be missed by PHA, by Paul Baybutt, Primatech Inc, Process Safety
    Progress Vol. 22 No. 3, September 2003.

Catatan : Kelanjutan artikel dan gambar dapat didownload
pada file di bawah ini