TMR atau Triple Modular Redundancy, semua bagian dari system (Processor, IO-Bus, dan I/O Module) terdiri dari 3 bagian terpisah (modular). Meskipun tidak harus, banyak diantaranya yang juga menerapkan 3 buah sensor atau yang sering disebut sebagai triplet input. Ketiga modul tersebut berjalan secara bersamaan dan synchronized. Masing-masing modul tersebut sebagai safety system melakukan melakukan diagnosanya di masing-masing module serta melakukan diagnosa dan perbandingan dengan 2 modul yang lain. Dalam diagnosa perbandingan tersebut dilakukan voting yang disebut 2 out-of 3 (2oo3), yang artinya kalau 2 module mengatakan ‘ya’ sedang satu yang lain mengatakan ‘tidak’, maka yang dianggap benar adalah suara terbanyak yaitu 2 atau idealnya ketiganya mengatakan hal yang sama.

Pembahasan – Waskita Indrasutanta

Saya coba jelaskan sedikit mengenai TMR sbb:

TMR atau Triple Modular Redundancy, semua bagian dari system (Processor, IO-Bus, dan I/O Module) terdiri dari 3 bagian terpisah (modular). Meskipun tidak harus, banyak diantaranya yang juga menerapkan 3 buah sensor atau yang sering disebut sebagai triplet input. Ketiga modul tersebut berjalan secara bersamaan dan synchronized. Masing-masing modul tersebut sebagai safety system melakukan melakukan diagnosanya di masing-masing module serta melakukan diagnosa dan perbandingan dengan 2 modul yang lain. Dalam diagnosa perbandingan tersebut dilakukan voting yang disebut 2 out-of 3 (2oo3), yang artinya kalau 2 module mengatakan ‘ya’ sedang satu yang lain mengatakan ‘tidak’, maka yang dianggap benar adalah suara terbanyak yaitu 2 atau idealnya ketiganya mengatakan hal yang sama. Demikian pula kalau kita mempunyai 3 buah sensor, misalnya seperti contoh P Yoga ada 3 buah limit switch (pada tempat yang sama) pada pintu pesawat terbang, kalau 2 mengatakan pintu ‘terbuka’, sedangkan 1 mengatakan ‘tertutup’, maka system akan menganggap bahwa yang benar adalah ‘terbuka’. Selanjutnya system akan memproses dengan hasil voting ini. Kalau forum tidak tercapai (ketiganya mengatakan hal yang sama) berulang-ulang, pada jangka waktu tertentu, system akan memberikan alarm, dan kalau melebihi batas waktu yang lebih lama lagi, module yang menyatakan berbeda itu dinyatakan gagal.

Selain diatas, system juga melakukan pengecekan dan pengetesan dari hasil masing-masing modul, dimana pengecekan dilakukan secara silang (tiap modul mengecek dirinya sendiri dan 2 rekan lainnya) diantara ketiga modul juga dengan filosofi voting 2oo3. Sensor yang certified juga harus ada fasilitas pengetesan, misalnya limit switch dari pintu pesawat tadi harus bisa di test oleh system posisi kontak terbuka maupun tertutup. Pada saat test dilakukan I/O module di-non-aktif-kan sementara.

Kembali kepada pertanyaan, sertifikasi mempunyai ‘unlimited time’, apabila ketiga modul bekerja dengan baik dan forum selalu tercapai. Pada beberapa system (tidak semua tipe dan pabrikan), sertifikasi safety tersebut susut menjadi ‘limited time’ apabila ada modul yang dinyatakan ‘gagal’ seperti diuraikan diatas. Apabila ‘time limit’ atau batas waktu yang diberikan lewat, maka safety shutdown wajib dilaksanakan. Demikian pula selama tenggang waktu ‘limited time’ tadi atau kapanpun apabila tinggal 1 modul yang tidak dinyatakan gagal, maka safety shutdown wajib dilaksanakan. Ini penting bagi Anda-Anda dalam melakukan evaluasi untuk safety system yang akan dipasang di fasilitas Anda. Pada prinsipnya semua pabrikan safety system bisa memberikan sertifikat yang diminta, akan tetapi yang penting adalah ‘catatan-catatan’ yang datang bersama laporan (report) dari penerbit sertifikat.

Demikianlah penjelasan saya, semoga tidak membingungkan. Memang untuk keperluan safety, orang memikirkan demikian rewelnya.

Tanggapan – yoga

P Waskita yth

Memang benar regulasi yang dipergunakan berbeda. Yang ingin saya ketahui adalah safety proses/tool yang digunakan dalam industri migas. Besar kemungkinan tool yang dipergunakan sama/mirip. Dengan demikian kita bisa membandingankannya,dengan tujuan apabila ada suatu cara/tool yang lebih baik kenapa tidak kita terapkan.
Sebagai contoh: dalam melakukan Fault Tree Analysis ada kesulitan dalam menentukan exposure time untuk suatu system/komponen yang mempunyai redundant, biasanya salah satu komponent tersebut mempunyai hidden failure. Exposure time ini sangat menentukan dalam menentukan interval waktu untuk melakuakan maintenance terutama untuk system yang level safety yang tinggi. Beberapa waktu yang lalu saya mencoba menanyakan kepada pak Warih, namun saat ini belum ada jawaban mungkin masih sibuk.

Mengenai proses sertifikasi TMR(software), kita kita menggunakan guideline salah salah satunya RTCA 178A/B. Dimana ada perbedaan proses bila safety levelnya berbeda walau komponen yang dipergunakan sama. Untuk sertifikasi komponen/sub system pabrikan yang akan memberikan, tapi untuk integrasinya A/C manufacturer yang melakukan. Karena software requirement mengikuti system requirementnya.