Pada umumnya ESD bekerja untuk menyelamatkan process dari keadaan ‘dangerous’. Keadaan dangerous ini seharusnya sudah bisa diendus pada saat tim design melakukan hazard identification. Misalnya, ‘jika pompa reciprocating XYZ terus memompa, sementara plant (atau facility) di downstream sedang berhenti (shutdown), maka akan terjadi kenaikan tekanan (overpressure)’. Nah, perlu dilakukan usaha usaha untuk mencegah (atau mengurangi keparahan akibat) kenaikan tekanan ini. Usaha mencegah kenaikan tekanan bisa dilakukan dengan mematikan pompa (shutdown pump). Sedangkan usaha mengurangi keparahan akibat kenaikan tekanan (lebih lanjut) dapat dilakukan dengan menutup isolation valve.

Tanya – Nasrul Syahruddin@badaklng

Dear All,

Mohon pencerahan untuk case berikut, :

1. Jika kita mempunyai Emergency Shutdown (ESD) System, yang jika aktif akan men-trip-kan pompa dan menutup isolation valve pada suatu piping system. Bagaimana sebenarnya mekanisme trip dari pompa dan valve closure akibat ESD activation tsb ? Maksudnya, how they work secara Instrument & Mechanical?

2. Apakah fungsi tsb, sama dengan yang dilakukan oleh Pressure Switch untuk men-trip-kan pompa dan closure valve ? Jika tidak sama, apa perbedaanya ?

3. Apakah jika ESD system-nya gagal (tidak berhasil mentrip-kan pompa dan menutup valve), kemudian bisa dilakukan oleh pressure switch untuk force trip pompa dan force close valve ?

Tanggapan 1 – Arief Rahman Thanura

Mas Nasrul,

Reply saya sisipkan dipertanyaan mas dibawah.

________________________________

1. Jika kita mempunyai Emergency Shutdown (ESD) System, yang jika aktif
akan men-trip-kan pompa dan menutup isolation valve pada suatu piping
system. Bagaimana sebenarnya mekanisme trip dari pompa dan valve closure
akibat ESD activation tsb ? Maksudnya, how they work secara Instrument &
Mechanical?

Ambil kasus pompanya diputar oleh Motor. Motor bisa muter (ON) apabila
ada electric power yang di supply ke motor tersebut. Maka, untuk
mematikan motor tersebut powr supply ini harus diputus. Secara umum,
circuit untuk start/stop pompa ini ada di MCC (Motor Control Centre) dan
dilakukan oleh RELAY. ESD system akan memberikan umpan ke Relay yang
dirancang untuk fungsi itu. Relay mempunyai kaki-kaki yang akan menutup
atau membuka (Open/Close). Anda bias bayangkan saklar listrik di rumah
yang kalau anda pncet kebawah lampu akan menyala, kalau dipencet kearah
sebaliknya lampu akan mati. Prinsip dasarnya mirip.

Untuk yang di Valve, biasanya pemutusan electric power inidilakukan
terhadap Solenoid valve (SOV). Bila Valve dirancang membuka dengan
kondisi SOV mendapat electric power (Energize), maka untuk menutupnya
power yang ke SOV harus diputus (misalnya dengan membuka contact).

2. Apakah fungsi tsb, sama dengan yang dilakukan oleh Pressure Switch
untuk men-trip-kan pompa dan closure valve ? Jika tidak sama, apa
perbedaanya ?

Pressure switch, seperti halnya Relay, juga mempunyai contact (yang cara
kerjanya juga seperti kaki-kaki relay yakni membuka dan menutup). Bisa
saja relay yang saya bicarakan, field element yang mentrigger dia
berasal dari menutupnya pressure switch. Dalam terminology ESD (Sekarang
lebih dikenal daengan istilah safety Instrumented System), Pressure
Switch disebut sebagai sensor. Dia yang bertugas untuk men-sensing
besaran proses (Dalam hal ini tekanan). Ambil contoh pressure switch
berfungsi sebagai PSL (Pressure Siwtch Low) di set di 3 Psig. Apabila
tekanan fluida turun sampai slightly dibawah 3 Psig maka contact
pressure switch akan membuka. Membukanya contact ini akan menjadi signal
masukan terhadap LOGIC SOLVER dimana LOGIC akan diolah (Dalam hal ini
asuksikan bahwa denganmembukan contact pressure switch maka akan
mengirimkan signal supaya mematikan pompa). LOGIC SOLVER (Biasanya PLC
system) akan mengirimkan signal ke FINAL ELEMENT (Elemen yang akan
secara actual mempengaruhi proses). Final Element dalam hal ini adalah
motor. Begitulah common loop system ESD.

3. Apakah jika ESD system-nya gagal (tidak berhasil mentrip-kan pompa
dan menutup valve), kemudian bisa dilakukan oleh pressure switch untuk
force trip pompa dan force close valve ?

Bisa dilihat keterangan di item-2. Diharapkan tidak terjadi mejumbuhan
akibat mencampur adukkan ESD SYSTEM di satu pihak dan Pressure Switch
dilain pihak terutama apabila Pressure Switch tersebut merupakan bagian
dari ESD system.

Mudah-mudahan membantu. Tapi kalau kesulita juga membayangkannya
dilahkan dilihat di P&ID PT. Badak. Ligic Oslver, biasanya disimbolkan
oleh tanda Kotak yang mewakili Logic. Semoga membantu.

Tanggapan 2 – Yeyent [Ibnu Dwi Ar.]

Pak Arief,

Mohon pencerahannya juga tentang sinkronisasi signal command pada MCC untuk pompa antara signal dari PCS dan ESD. Matur nuwun.

Tanggapan 3 – Enung Nurmalia

Dear Pak Yeyent,

MCC akan meng-gather commands:

– trip command dari ESD

– start/stop command dari PCS

– start/stop command manual dari local PB

Trip command dari ESD dibuat dominant terhadap any case.

Sementara start/stop commands dari PCS dan dari local akan disesuaikan
dengan posisi selector switch HOA.

Tanggapan 4 – Ahfas, Amir@siemens

Dear Pak Ibnu,

Sekadar menambahkan info dari P.Arif,

Pada MCC dikenal 2 command, start (run) dan stop…

Sedangkan kedua command ini bisa berasal dari mana saja, misalnya: PLC,
DCS, SCADA, ESD, Emergency Switch, LCP, UCP, pressure switch, limit
switch, thermocouple, electrical relay (overload, overcurrent, dll),
MCCB auxiliary, dkk…dlsb…. 🙂

Pada umumnya pada wiring (schematic) konvensional starter maka:

1. semua start command akan dihubungkan secara paralel (jika tidak ada
skala prioritas atau jika ada melalui selector switch, misal:
local-remote selector switch)

2. semua stop command akan dihubungkan secara serial sehingga perintah
stop dari manapun akan menghentikan motor.

Tanggapan 5 – Herliwin Hendri Rahman

Pak Nasrul.

Barangkali bermanfaat saya sisipkan dibawahnya.

Tanggapan 6 – Crootth Crootth

Mas Nasrul yang temannya Ronggo,

1. Pada umumnya ESD bekerja untuk menyelamatkan process dari keadaan ‘dangerous’. Keadaan dangerous ini seharusnya sudah bisa diendus pada saat tim design melakukan hazard identification. Misalnya, ‘jika pompa reciprocating XYZ terus memompa, sementara plant (atau facility) di downstream sedang berhenti (shutdown), maka akan terjadi kenaikan tekanan (overpressure)’. Nah, perlu dilakukan usaha usaha untuk mencegah (atau mengurangi keparahan akibat) kenaikan tekanan ini. Usaha mencegah kenaikan tekanan bisa dilakukan dengan mematikan pompa (shutdown pump). Sedangkan usaha mengurangi keparahan akibat kenaikan tekanan (lebih lanjut) dapat dilakukan dengan menutup isolation valve.

Semua pompa (dalam contoh ini adalah pompa reciprocating) mempunyai driver (penggerak mula). Pada umumnya ESD bekerja dengan mematikan penggerak mula ini (bisa berupa hydraulic, bisa berupa pneumatic air, electric, diesel engine, gas engine, dll). Seberapa cepat? semua tergantung jenis penggerak mula yang digunakan. Yang jelas kecepatan ESD untuk mematikan pompa harus lebih singkat dibanding ‘Process Safety Time’. Apakah process safety time itu? Process safety time adalah waktu yang diperlukan oleh sebuah potensi bahaya (dalam hal ini kenaikan tekanan) menjadi bahaya yang sesungguhnya (misalnya kebocoran minyak, kebakaran, ledakan, dll).

Seperti halnya apda pompa, untuk isolation valve, pada prinsipnya yang dilakukan adalah mematikan driver dari isolation valve tersebut (bisa electric, bisa pneumatic, bisa pula hydraulic, dll). Mekanisme penutupannya secara umum sebenarnya dapat dilihat di P&ID yang bersangkutan, silahkan di lihat. Masing masing memiliki kecepatan penutupan valve yang berbeda-beda, biasanya dalam sebuah design, kecepatan penutupan valve menjadi salah satu prasarat pembelian (isolation) valve.

Dalam hal final elemen ini, terdapat dua mode penutupan yang umum: energize to trip dan de-energize to trip.

2. Tidak harus menggunakan pressure swtich untuk mematikan pompa atau isolation valve, dapat pula digunakan pressure transmitter atau sensor (trigger) lain. Baik pressure switch atau transmitter adalah wahana. Bisa saja sensornya berupa Fire/Gas Detector (yang saat ini sedang disusun standard nya), atau inputan dari ESD, atau Manual Push Button.

Pemilihan sensor ini penting, karena menyangkut tingkat kegagalan mereka. Bisa saja anda menggunakan 1 sensor (1 pressure transmitter misalnya) untuk mematikan tiga final element (pompa, blowdown valve atau isolation valve) sekaligus, akan tetapi anda akan membayar mahal ‘pengiritan’ seperti ini, misalnya terjadinya kegagalan pada sensor tersebut, atau spurious trip dari sensor tersebut yang akan menyebabkan terbuangnya process fluid melalui blowdown secara cuma cuma. Bisa juga anda memilih bahkan tiga sensor (misalnya 3 pressure transmitter dari tiga pabrikan yang berbeda) dan mengkombinasikan pengambilan keputusannya dengan 2 out of 3. Semua ada ‘bayarannya’, dan tentu saja semua pemilihan ini harus dinilai oleh orang yang kompeten.

3. Sangat riskan mengandalkan manusia untuk mem’force’ penutupan isolation valve dan pompa ketika si sensor mengalami kegagalan. Peralatan sensor yang modern biasanya dilengkapi dengan sistem diagnostic, untuk mendeteksi kegagalan pada dirinya sendiri. Kegagalan anunsiasi seperti ini berpotensi untuk menyebabkan potensi bahaya menjadi bahaya yang sesungguhnya.

Beberapa kegagalan sensor lainnya, antara lain adalah output yang terlampau rendah (misalnya kurang dari 3.6 mA), output yang terlampau tinggi (misalnya lebih dari 21.5 mA), outputnya yang tidak bergerak (beku), atau output yang bergeser (drift), dll.

Jika sensor telah gagal (katakanlah dia tidak memiliki diagnostic), dibutuhkan waktu beberapa lama untuk mengetahui kegagalan tersebut, tergantung dari indicator process yang dipasang, kesigapan operator dan tingkat redundancy sistem yang dipasang. Secara simple saya katakan, jika sensor telah gagal, maka potensi bahaya akan dapat menjadi bahaya yang sesungguhnya betapapun si operator berusaha mengenforce pematian pompa atau valve misalnya dengan memencet manual push button di lokasi, memencet ESD push button di control room, atau mematikan isolation valve dan pompa secara manual di lapangan. Semua tergantung pada kehandalan sistem yang dipasang, dan kehandalan operator mengatasi situasi krisis.

Semoga membantu.

Tanggapan 7 – arnold antonius

Mas Nasrul …

Hanya mau melengkapi saja masukan dari mas DAM, yang sdh cukup lengkap dibawah.

Mungkin karena proses pengendalian keselamatan (SIS) di suatu plant badak lng adalah kritis terhadap potensi bahaya, maka menurut hemat saya penilaian terhadap ‘POTENSI BAHAYA’ sampai ‘KONDISI BAHAYA’ yang akan ditetapkan itu sifatnya harus QUANTITATIF (bukan hanya sekedar QUALITATIF), sebelum menetapkan kondisi-kondisi ESD (seperti usulan mas DAM) terhadap, misalnya : rate pembacaan sensor, akurasi/tolerasi pembacaan sensor, kombinasi lojik pembacaan sensor, respon pengendali akhir (pompa dan isolated valve), besaran fisik proses saat potensi dan kondisi bahaya dari objek (fluida, gas, solid dll) yang dikendalikan, kondisi static devices dari fasilitas (mis : batas ketahanan tekanan dari pipa atau vessel dll) yang digunakan, jenis pegendali keselamatan yang digunakan (mis : elektronis, makanis atau kombinasi keduanya).

Untuk mendapatkan penilaian (assessment) secara QUALITATIF yang akurat maka harus dilakukan studi terhadap

* Tingkat Keandalan (reliability) sensor, pengendali akhir dan unit kendali, dan

* Tingkat Ketersediaan (availability) sensor, pengendali akhir dan unit kendali

Dimana tools yang dipergunakan, misalnya : MARKOV Model, Simulasi MONTECARLO dll.
Standardisasi yang dipergunakan misalkan ISA 84 dll.

Sehingga hasil dari studi ini berupa rekomendasi, misalnya :

* layer proteksi terhadap objek (media : gas, fluida, solid dll) dan subjek (batasan fisis keselamatan mis : pipa, vessel, sambungan dll) dari kendali keselamatan

* tingkat ketersediaan (availability) dari sensor kendali, yaitu berupa kombinasi logika kendali bahaya terhadap pembacaan sensor (mulai 1oo1, 1oo2 … 2oo3)

* tingkat ketersediaan (availability) dari unit kendali (mis : TMR, QMR dll)

* tingkat keandalan (reliability) dari sensor dan pengendali akhir (mis : SIL1 SIL2 SIL3 SIL4)

* logika pemrograman unit kendali (untuk SIS disebut logic solver, yang ditetapkan berdasarkan SIF)

* respon pengendali akhir keselamatan proses (mis : mulai rate aktivasi PSV, rupture disk, … sampai shutdown proses)

* cause and effect diagram

* periode dan jenis perawatan atau run to failure

* bobot qualitatif dari Risk Level (bobot Severity dan Likelihood)

Sedangkan untuk penilaian (assessment) terhadap kondisi keandalan dari peralatan static devices yang berkaitan dengan kondisi keselamatan dimana ESD tersebut akan ditetapkan, bisa dilakukan dengna teknik RBI (Risk Based Inspection).