Kami menerima inquiry yang dengan requirements ‘TRANSMITTER EQUIVALENT WITH SIL 3 AK 5 SHALL BE CERTIFIED PER IEC 61508 BY TUV’. Menurut pengertian saya requirements ini agak rancu, dan saya coba membahas secara ringkas mengenai SIS (Safety Instrumented System), sekaligus menambahkan informasi diskusi mengenai hal ini di milis kita belakangan ini.Waskita Indrasutanta

Kami menerima inquiry yang dengan requirements "TRANSMITTER EQUIVALENT
WITH SIL 3 AK 5 SHALL BE CERTIFIED PER IEC 61508 BY TUV". Menurut pengertian
saya requirements ini agak rancu, dan saya coba membahas secara ringkas mengenai
SIS (Safety Instrumented System), sekaligus menambahkan informasi diskusi mengenai
hal ini di milis kita belakangan ini.

Safety related application (mengacu pada IEC-61508 dan IEC-61511, versi ISA
S84(1996) dan dalam tahun ini direncanakan keluar ISA S84:2004) menggunakan
system yang disebut SIS (Safety Instrumented System) yang bekerjasama dengan
BPCS (Basic Process Control System). BPCS melakukan regulatory control, dan
SIS melakukan safety-related function. Menurut standard diatas BPCS dan SIS
wajib merupakan system yang terpisah (tidak bisa disatukan) termasuk I/O dan
field device-nya.

Fungsi proteksi safety pada proses disebut sebagai SIF (Safety Integrated Function)
yang dilaksanakan oleh SIS. Sebuah SIS bisa sekaligus melakukan banyak SIF untuk
sebagian atau keseluruhan plant. Untuk setiap SIF, kebutuhan tingkatan SIL (Safety
Integrated Level) harus dikaji (assessed) oleh Safety Committee (team dari berbagai
discipline dan Management dari Enduser), tidak bisa diserahkan consultant atau
engineering contactor. Consultant atau Engineering Contractor hanya bisa membantu
(assist) untuk pengkajian SIF, tetapi keputusan akhir (beserta tanggung jawabnya)
berada ditangan Enduser sendiri.

Dari hasil pengkajian akan kita dapatkan kebutuhan tingkatan SIL yang berbeda-beda
(tergantung safety policy Perusahaan) untuk setiap SIF. Bisa saja kita menentukan
SIL-3 untuk semua SIF yang ada, tetapi konsekwensinya biaya SIS menjadi luar
biasa mahalnya. Makin rendah tingkatan SIL makin murah pula implementasi SIS.
Jadi kita berusaha ALARP (As Low As Reasonably Possible); Reasonably berarti
‘tanpa mengorbankan safety’.

Sesuai dengan istilah ‘integrated’, pengkajian SIF dan hasil kebutuhan SIL
harus dilakukan untuk keseluruhan system dalam satu keseluruhan SIF, untuk semua
sensor (transmitter), logic solver, dan final actuator yang tergabung dalam
SIF tersebut. Jadi tidak bisa per component saja. Kalau ada vendor yang claim
bahwa product-nya (component) adalah SIL-2 ‘ready’ atau ‘suitable’, berarti
karena nilai PFD dan MTTR (dijelaskan dibawah) dari component tersebut cukup
baik sehingga ‘bisa dipakai’ untuk sampai dengan SIL-2 apabila menggunakan component
lainnya (sensor/transmitter, logic solver dan final actuator) yang appropriate.

Sertfikasi harus dilakukan oleh Enduser Committee itu sendiri. Tidak ada badan
sertifikasi yang bisa mengeluarkan sertifikasi SIL (termasuk TUV) kecuali Enduser
sendiri. Seperti dijelaskan diatas. Sertifikasi SIL tidak bisa diberikan kepada
component (sensor/transmitter, logic solver, atau final actuator) saja, melainkan
harus sebagai integrated system.

AK series certification adalah safety rating yang dikeluarkan oleh TUV hanya untuk
logic solver. Dengan diberlakukannya IEC-61508 dan IEC-61511, yang dipergunakan
adalah SIL, bukannya AK.

Untuk mengkaji apakah sebuah component (sensor/transmitter, logic solver, atau
final actuator) bisa dipergunakan pada tingakatan SIL tertentu, kita perlu mempunyai
data PFD (Probability of Failure on Demand) dan MTBF (Mean Time Between Failure)
yang hampir sama dengan MTTF (Meant Time To Failure) dari component tersebut.
Data PFD dan MTTF/MTBF inilah yang perlu dimintakan oleh Pembeli (Enduser atau
Contractor) kepada vendor/pemasok. Apabila data ini tidak bisa didapatkan dari
vendor secara autentik, maka bisa dipergunakan data dari survey beberapa major
enduser yang di-publish.

Semoga keterangan singkat ini bermanfaat dan silahkan menambahkan dan berdiskusi
pada milis ini. Pak Arief Thanura yang sudah duluan ikut kursusnya Paul Gruhn
dan rekan-rekan lain, mungkin bisa menambahkan lebih
banyak.

Tanggapan 1 : Edwin

Saya setuju dengan penjelasan Pak Waskita di posting beliau. Melihat inquiry
SIL 3 untuk transmitter yang datang ke beliau, saya menganjurkan untuk melakukan
IL assessment satu langkah lagi yang lebih "quantitative". Kita tahu
bahwa ada beberapa cara melakukan assessment IL. Assessment ini mestinya ownernya
adalah safety engineer, dengan sebuah tim multidiscipline engineers (instrument
eng sbg salah satu partisipan). Format-nya seperti HAZOP, dan sebenarnyalah
bahwa IL assessment ini harus mempergunakan scenario yang sudah dikaji dalam
session HAZOP. Artinya, IL assessment ini idealnya adalah kelanjutan dari HAZOP,
tidak bisa dibalik urutan kerjanya.

Dengan metode yang lebih kuantitatif, bisa mengurangi requirement IL yang berlebihan.
Tapi ini juga sangat tergantung kepada kesiapan perusahaan user ybs, apakah
sudah punya "acceptable risk criteria" yang disetujui oleh manajemen
corporate. Kalau perush tsb belum punya angka risk tertentu yang bisa diterima,
screening IL (biasanya dalam taraf FEED) bisa dipakai metode risk graph yang
kualitatif. Kalau sudah punya angka corporate risk criteria tertentu, sebaiknya
dipakai LOPA (Layer of Protection Analysis) sebagai screening tools. Kalau LOPA
menghasilkan angka IL yang masih tinggi (misalnya 3), harus dicek lagi dengan
metoda yang lebih kuantitatif seperti QRA. Atau untuk menurunkannya, bisa ditambahkan
safety layer. Sedapat mungkin, SIS harus yang rendah IL-nya supaya murah, dan
sedapat mungkin dipakai filosofi inherently safer design.

Untuk process industry, sebaiknya dipakai IEC 61511 dengan catatan SIS yang
akan dipakai sudah punya ‘prior use’ atau TUV accredited. Kalau belum punya,
harus memakai IEC 61508, yang artinya melakukan re-inventing the wheel.

SIL dalam sebuah plant atau platform yang terdiri dari banyak SIF (safety loop)
memang bisa tidak sama, ada SIF yang SIL-nya mungkin 2, ada yang 1, ada yang
a, atau bahkan yang tidak membutuhkan SIL sama sekali. Sebuah SIF di sini mungkin
lebih gampang dipahami sebagai 1 safety loop, misalnya sebuah PSHH, satu SIF-nya
yang sederhana terdiri dari 1 ea PT-0502, 1 ea logic solver/ PLC, dan 1 ea SDV-0502.
SIF high pressure itu setelah diassess mungkin perlu SIL 2, yang berbeda dari
loop temannya LSLL-0511 – PLC – SDV-0511 yang mungkin SIL-nya cuma perlu SIL
1. Jadi supaya tidak kemahalan, dalam satu plant tidak bisa digebyah uyah SIL-nya
harus 2 untuk semua SIF. Tapi khusus untuk PLC, itu mungkin bisa, supaya kita
hanya pasang sebuah PLC saja, misalnya Allen Bradley ControlLogix yang accredited
by TUV sebagai SIL 2, yang bisa untuk mengimplementasi dua SIF dengan SIL-2
dan tiga SIF dengan SIL-1, dst.

Setelah melakukan SIL assessment, harus juga dilakukan EIL (utk lingkungan) dan
CIL (commercial). Dalam 1 SIF tertentu, dilihat di antara hasil SIL, EIL dan CIL-nya
mana angka IL yang paling tinggi, itulah yang dipilih sebagai IL utk SIF ybs.

Ada 1 lagi jargon yang tidak selalu betul, yaitu bahwa untuk memperoleh sebuah
sistem yang safety integrity-nya tinggi, redundancy adalah kuncinya. Ini tidak
selamanya betul. Yang lebih tepat sebenarnya penentunya adalah fitur test interval
dan diagnostic.

Juga untuk sebuah sistem yang relatif sederhana, BPCS (Basic Process Control
Safety) bisa digabung dalam satu panel dengan ESD system, dengan catatan BPCS-nya
ikut naik requirement-nya menjadi sebuah safety system. Tapi ini hanya untuk
sistem yang sangat sederhana untuk mengurangi jumlah logic solver. Kan nggak
praktis kalau kita harus punya 2 PLC panel padahal BPCS-nya hanya terdiri dari
2 loops untuk control.

Untuk oil and gas sebenarnya tidak pernah diperlukan IL 3 karena biasanya punya
layer lagi yang sudah cukup untuk menurunkan IL requirement, seperti PSV, SOP,
dikes, piping MAWP di atas SITP, unmanning philosophy, dll. IL 3 akan sangat
mahal karena artinya adalah 2 kali IL 2.

Saya sendiri juga bukan expert di bidang ini, kalau ada kesalahan dalam pengertian
di atas mudah-mudahan ada yang mau mengkoreksi supaya saya juga bisa belajar
dan meluruskan pengertian yang ada dalam benak saya.

Tanggapan 2 : Waskita Indrasutanta

Pak Edwin benar sekali.
Safety team dari owner harus multidiscipline termasuk safety engineer, instrument
engineer, process engineer, dsb. termasuk pihak Management puncak. Management-lah
yang pada akhirnya menetapkan ‘acceptable risk criteria’ mengingat berbagai
hal seperti severity, dsb dan wajib mengikuti peraturan serta Undang-Undang
yang berlaku (bila ada).

Management juga memastikan bahwa semua safety rules yang ditetapkan, karena
Management adalah yang bertanggung jawab atas semua safety issue yang mungkin
timbul.

Banyak orang berpendapat bahwa plant yang paling safe yang mempunyai ‘acceptable
safety criteria’ dengan ‘zero accident’ atau ‘zero risk’. Secara realistic hal
ini hanya bisa diberlakukan kalau plant itu tidak ada (doesn’t exist). Maka
dari itu kita baiknya berpedoman pada ALARP seperti yang saya bahas sebelumnya.

Tanggapan 3 : Agus Setiawan

Pak waskita, topic yang sangat menarik pak, saya tertari dengan penentuan nilai
MTBF dari suatu instrument, data ini selain digunakan untuk perhitungan SIL
juga digunakan dalam perhitungan dalam RCM, yang jadi masalah buat saya adalah,
bagaimana kita mendapatkan data tersebut sebab saya pernah tanyakan ke beberapa
vendor tetapi mereka tidak memiliki data tersebut (data dari mereka hanya lama
garansi, apakah ini bisa dianggap MTBFnya) dan selain itu kami pernah menghitung
data MTBF dari populasi instrument yang ada pada setiap unit dan history failurenya
dari plant mulai start up sampai sekarang, apakah cara kedua tesebut valid (bisa
digunakan), dlm arti jika instrument yang sama (sebut saja valve) terpasang
di plant lain akan memiliki nilai MTBF yang sama dengan plant kami? Mohon pencerahannya.

Tanggapan 4 : Waskita Indrasutanta

SIS yang paling safe adalah SIS yang begitu menerima trigger segera melakukan
safety shutdown pada plant. Padahal trigger itu juga sering disebabkan oleh
‘false alarm’. Shutdown karena false alarm disebut sebagai ‘nuisance’ atau ‘spurious’
trip. Kita bayangkan bagaimana kesalnya para Operator kalau plant-nya sebentar-sebentar
trip dimana sebagian besar trip tersebut sebenarnya tidak perlu karena trigger
dari false alarm.

Untuk itu dalam pengkajian kuantitatif kita juga perlu mengkaji kemungkinan
nuisance trip tersebut. Nuisance trip berhubungan langsung dengan MTBF (hampir
sama dengan MTTF) atau reliability dari peralatan kita.

Kesalahan umum sering terjadi (dan cukup sering dipelesetkan artinya oleh sementara
orang sales) yang menganggap bahwa kalau kita menggunakan komponen yang mempunyai
MTBF 100 tahun, diartikan bahwa peralatan kita tidak akan fail dalam 100 tahun.
Arti sebenarnya adalah bahwa akan terjasi 1 (satu) failure dalam kurun waktu
100 tahun. Misalnya plant kita enggunakan 100 buah transmitter dengan MTBF 100
tahun, kita akan mendapatkan 1 failure dalam 100 tahun / 100 transmitter = 1
failure dalam 1 tahun.

Vendor yang baik (kecuali untuk custom fabricated product) umumnya sudah melakukan
study dan bisa memberikan angka MTBF. Walaupun demikian kita tetap harus mempelajari
bagaimana angka MTBF tersebut didapatkan. Kalau angka MTBF
hanya didapatkan dari service return kepada vendor, angka MTBF yang diberikan
tidak mewakili MTBF sebenarnya. Paling akurat adalah kalau kita mempunyai sendiri
failure history database dari peralatan yang kita pakai selama beberapa tahun
(makin lama makin akurat), dan dengan metoda-metoda tertentu kita bisa menghitung
MTBF.

Kalau vendor tidak bisa memberikan MTBF atau kita sendiri tidak mempunyai equipment
failure history database, bisa kita coba mencari dari major user yang sudah
melakukan study dan dipublish.

Masa garansi tidak bisa dipakai sebagai patokan untuk dianggap sebagai MTBF,
walaupun vendor umumnya memberikan masa garansi yang juga berdasarkan perhitungan
MTBF. Kita tidak tahu criteria apa yang dipergunakan dalam menentukan masa garansi,
dan masing-masing vendor mempunyai criteria sendiri.

Cara kedua dengan menggunakan equipment failure history data base adalah yang
paling akurat seperti dibahas diatas. Yang penting pengertian kita mengenai
MTBF yaitu berlaku hanya untuk 1 (satu) alat dengan manufacture, tipe, dan revision
level yang sama. Revision level dari device memang akan membingungkan kita,
walaupun demikian tetap perlu kita perhatikan karena
mungkin ada revisi-revisi yang mempengaruhi keandalan atau MTBF. Angka MTBF
yang dipublish oleh major User umumnya sudah di-normalized (dengan metoda tertentu)
dari berbagai manufacturer dan revision, sehingga hanya kita dapatkan angka
MTBF misalnya untuk Pressure Transmitter, Temperature Trasmitter, dsb.


Tanggapan 5 : Audithira Mahardriasmoko

Pak Waskita,
Terima kasih banyak ulasan singkat dan mendasar tentang topik SIS ini.

Selama ini saya sudah beberapa kali membaca artikel tentang SIL, tapi kesimpulan
yang saya dapat masih campur aduk, belum "terintegrasi".

Kalau Bapak berkenan merekomendasikan artikel2 yang baik dan pas untuk saya
sebagai pemula sebagai pelengkap, saya sangat berterima kasih. Mudah2-an tidak
mengganggu Bapak.

Tanggapan 6 : Waskita Indrasutanta

Mas Audhitira dan rekan-rekan,
Karena mungkin banyak berguna bagi rekan-rekan milis, maka saya respond kembali
ke milis.

Sebagai awal kita bisa mulai membeli standard-nya sendiri, untuk ANSI/ISA-84.01-1996
Application of Safety Instrumented Systems for the Process Industries bisa beli
di http://www.isa.org/Template.cfm?Section=Products3
<http://www.isa.org/Template.cfm?Section=Products3&template=/Ecommerce/ProductDisplay.cfm&ProductID=2556>
&template=/Ecommerce/ProductDisplay.cfm&ProductID=2556 (bagi yang menerima
hypelink terputus harap menyambungnya secara manual). Disini ada pengantar yang
menjelaskan secara singkat mengenai BPCS dan konsep-konsep SIS.

Buku Safety Shutdown Systems: Design, Analysis, and Justification, Paul Gruhn,
Harry L. Cheddie dengan penjelasan lebih detail dengan contoh-contoh beberapa
metoda pengkajian, bisa dibeli di http://www.isa.org/Template.cfm?Section=Books1
<http://www.isa.org/Template.cfm?Section=Books1&template=/Ecommerce/ProductDisplay.cfm&ProductID=2939>
&template=/Ecommerce/ProductDisplay.cfm&ProductID=2939. Kalau anda mengikuti
kursus oleh Paul Gruhn (silahkan menghubungi rekan kita Adrian Susanto di milis
ini), anda akan mendapatkan buku ini. Dalam kursus yang pernah saya
ikuti Paul Gruhn juga memberikan beberapa literature penting yang patut dibaca.

Untuk mengikuti diskusi mengenai safety, kita juga bisa bergabung dengan ISA
Safety forum listserv (bisa subscribe di
http://www.isa.org/Template.cfm?Section=Communities
<http://www.isa.org/Template.cfm?Section=Communities&template=/TaggedPage/Community.cfm&ICID=42&PageName=Safety>
&template=/TaggedPage/Community.cfm&ICID=42&PageName=Safety)

Tanggapan 7 : Yudi

Hallo Mas Waskita,
sedikit diskusi soal ALARP, ALARP di QRA secara quantitative di hitung salah
satunya berdasarkan nilai IRPA (Individual Risk perannum)dimana batasan intorelable
risk levelnya adalah 1.E-3 dan broadly acceptable risk levelnya adalah 1E-6
atau berdasarnkan nila TRIF (temporaty refuge Impairment Frequency, dengan nilai-nilai
batas yang sama),
nah untuk penerapannya di SIL ini apakah sudah ada juga risk acceptance criterianya
secara quantitative (untuk ALARP)seperti di atas, mungkin berdasarkan PFDnya
begitu?

Hal lainnya : bagaimana menetukan Frequeny/ interval untuk functional testing
dari suatu SIS dengan nila SIL tertentu?

Tanggapan 8 : Waskita Indrasutanta

Penetapan tolerable dan intolerable risk ditentukan dengan urutan (paling atas
paling tinggi tingkat hirarkinya):
1. Undang-Undang dan Peraturan yang berlaku
2. Safety standard yang diberlakukan
3. Management puncak
Dari ketiga unsur diatas kita mendapatkan ‘acceptable risk criteria’ sebagai
patokan Safety Committee untuk melakukan pengkajian dan menentukan tingkatan
SIL dari masing-masing SIF.

Saya bukan safety expert, tetapi table berikut menurut ISA, IEC dan AIChE bisa
didapatkan gambaran mengenai penentuan SIL (mudah-mudahan table bisa terbaca
dengan baik):

SIL Safety Availability PFD Risk Reduction Factor (RRF = 1/PFD)
4 99.990% ~ 99.999% 1E-4 ~ 1E-5 1E4 ~ 1E5
3 99.90% ~ 99.99% 1E-3 ~ 1E-4 1E3 ~ 1E4
2 99.0% ~ 99.9% 1E-2 ~ 1E-3 1E2 ~ 1E3
1 90% ~ 99% 1E-1 ~ 1E-2 1E1 ~ 1E2
0 Control – no safety figure

SIL-4 tidak ada dalam ISA S84 karena tidak dipergunakan dalam dunia industri.
Contoh SIL-4 dipergunakan dalam pesawat Airbus dimana semua perangkat SIS harus
terdiri dari 3 atau lebih sensor (untuk setiap titik sensor pada SIF), logic solver
dan actuator, yang mana masing-masing dari ketiga atau lebih itu harus dari manufacture
berbeda, untuk logic solver: OS dan application software dari pengembang yang
berbeda dan masih banyak ketentuan lain pada SIL-4 yang sulit dan sangat mahal
untuk dipenuhi oleh dunia industri.

Dalam metoda quantitative untuk menentukan SIL, ‘test interval’ merupakan bagian
dari perhitungannya. Test interval yang rendah misalnya 1 test per 5 tahun akan
mendapatkan SIL yang rendah pula, tetapi akan terbantu dengan menggunakan device
yang mempunyai safety diagnostics. Apabila hasil pengkajian mendapatkan SIL
dibawah yang diperlukan, kita tingkatkan test
interval sampai kita dapatkan SIL yang didapat cukup sesuai requirement. Misalnya
test interval yang diperlukan menjadi 2X per tahun, maka harus dibuat Safety
SOP untuk dilaksanakan.

Safety Auditor secara berkala akan meng-audit apakah Safety SOP dilakukan dengan
benar. Apabila karena alasan operasional test interval 2X per tahun tidak bisa
dilaksanakan, perlu diambil langkah alternative dengan equipment yang mempunyai
safety diagnostics, menambah Layer of Protection (LOP), atau lainnya sehingga
SIL yang diperlukan terpenuhi.