Sertifikasi yang diberikan TUV atau lembaga lain macam Exida pada salah satu elemen dalam SIF nya F&G (misal sensor yang berupa gas detector tipe point), hanyalah berdasarkan pengujian di manufacturer. Tidak berdasarkan pengalaman lapangan yang disertifikasikan/dimintakan sertifikasinya.

Tanya – Gorga Simanullang

Dear teman2,

Kalo ada yg bisa memberikan penjelasan mengenai TUV dan IEC certification, dimana plan tempat saya bekerja terpasang Flame dan Gas detector utk FnG detection dan FAULT alarm dari detector tersebut di masukkan pada logic sebagai signal fire atau gas.

Jadi pada 2003 jika salah satu FLT let say fuse blown akan vote tinggal menunggu satu lagi jadi confirm. begitu juga kalo di MOS juga dianggap vote jadi kalo 2 di MOS akan confirm fire/gas.

Mungkin ada yg punya pengalaman apakah itu mandatory dari TUV/IEC dan kalo iya, dimanakah ada aturannya.

Tanggapan 1 – Wikan N

Pak Gorga,

Kalo ga salah Mak DAM pernah membahas ini, apakah FnG detector sebenarnya memerlukan TUV ato tidak, kl ga salah rata2 skr FnG detectors byk yg sudah memiliki TUV certificate, minim SIL1 dah punya. Tp meskipun begitu, dlm kondisi real, kemungkinan SIL tidak akan pernah tercapai, karena byk faktor yg mempengaruhi, seperti lokasi penempatan, arah angin, kondisi cuaca, dll. Karena itu setau saya, untuk FGS selalu digunakan voting 2ooN, kecuali untuk manual alarm call point (karena sifatnya manual switch by operator lapangan ) biasanya 1ooN.

Jadi, kl menurut saya, penempatan lokasi yg tepat dengan memperhitungkan arah angin, lokasi equipment yg akan dimonitor, kondisi cuaca (hujan), kelembapan lebih penting. Dan biasanya ini akan dilakukan oleh fire engineer/process safety engineer berdasarkan kriteria fire zone dan hazardous area yg ada.

Kl saya baca dijurnal ISA (kl ga salah dr salah satu vendor system), karena sifatnya FGS ini sebagai mitigation layer, jd bs dikategorikan sebagai safety system, dan logic solvernya jg bisa dikatakan memerlukan SIL3. Tp tidak dibahas mengenai detectornya apakah membutuhkan TUC certificate atau tidak.

Untuk MOS dan fault signal dimasukkan ke logic voting, bs jadi tergantung operation philosophy dan safety philosophy tiap plant berbeda. Kebetulan saya pernah garap, MOS untuk maintain healthy condition dan fault signal tidak dimasukkan ke logic voting. Misal kl ada 2oo2, 1 detector kita MOS, maka tidak akan terjadi voting.

CMIIW.

Mungkin sang jagonya mas DAM butuh mengklarifikasi.

Tanggapan 2 – ‘Akh. Munawir’

’

Silahkan baca komentar dari Paul Gruhn (terlampir) tentang SIL Rating untuk FGS.
Selamat berdiskusi.

Tanggapan 3 – Sena

Pak Gorga,

Saya bukan ahlinya dalam diskusi ini tapi saya sampaikan kepada functional safety expert kami tentang diskusi dimilis, dan berikut adalah jawabannya:

IEC-61511 dan IEC-61508 menyatakan mandatory untuk melakukan risk analysis dan menentukan integrity level dari setiap safety protection system. Untuk case yang disampaikan, sebaiknya dimulai dengan pemahaman mengenai originator determinasi loop yang sensornya harus disupport dengan architecture 2oo3, (asumsinya bahwa penetapan architure 2oo3 dilakukan berdasarkan risk analysis terhadap protection system tersebut). Kalau historis terhadap penetapan architecture tesebut tidak jelas, sebaiknya dilakukan risk analysis ulang. Kemudian yang menarik dengan contoh melalui fuse blow, menggiring pmahaman dari functional safety expert bahwa verifikasi terhadap loop dengan architecture 2oo3 tidak dilakukan dengan baik dimulai dengan apakah sensornya mendukung system yang memiliki category Integrity Level yang hardware fault tolerance [HFT]nya: 1, kemudian berlanjut terhadap interface yang antara lain fuse, apakah memiliki nilai reliability minimum sesuai dengan expektasi dari hasil risk analysis, menyusul logic solver, interface dan selanjutnya sampai ke final element.

Mudah-mudah bisa membantu dan apabila ada yang ingin diperjelas, bisa berhubungan via japri saja, dan kami adalah rep. dari exida-functional safety expert dan badan SIL certification.

Tanggapan 4 – Crootth Crootth

Dear Pak Gorga,

1. Perlu diyakinkan bahwa sertifikasi yang diberikan TUV atau lembaga lain macam Exida pada salah satu elemen dalam SIF nya F&G (misal sensor yang berupa gas detector tipe point), hanyalah berdasarkan pengujian di manufacturer. Tidak berdasarkan pengalaman lapangan yang disertifikasikan/dimintakan sertifikasinya.

2. Perlu diyakikan bahwa sertifikasi yang diberikan TUV atau lembaga lain itu hanyalah ‘Certified for use in SIL XX’ itu artinya si elemen itu bisa digunakan untuk SIF yang dipersyaratkan memiliki SIL XX tersebut.

3. Perlu diketahui bahwa certification yang diberikan hanyalah pada ‘elemen’ bukan pada ‘function’, untuk menilai SIL itu harus diketahui function nya

4. Sebuah function secara minimum terdiri dari 3 element: sensor (misal Detector Gas Point Type) + logic solver (misal Fire and Gas Shutdown system) + final element (misal SDV pada deluge system / deluge valve atau aksi mematikan pompa)

5. Fire and Gas System sebagai sebuah fungsi bisa dikategorikan sebagai SIS bisa pula dikategorikan sebagai Mitigation Barrier dalam jalinan lapisan pelindung a.k.a. LOP / layer of protection

6. Kapan F&G bisa dikategorikan SIS kapan pula sebagai Mitigation, bisa dirunut (misalnya- tidak terbatas pada) dari Final Element actionnya. Jika Final elemennya mematikan sumber dari initiating event, misalnya mematikan pompa, mematikan kompressor, dia bisa dikategorikan sebagai SIS. Jika Final elementnya berfungsi untuk meredakan kejadian kecelakaannya (misal membuka valve deluge, membuka valve CO2/Halon package, Inergen paket, dst) dia dikategorikan sebagai Mitigation Barrier diatasnya SIS. Bagaimana jika memiliki keduanya? berarti dia memiliki dua fungsi, analisa saja keduanya.

7. Patut diingat bahwa untuk F&G loop yang dipilih tidak terbatas pada loop2 umumnya: 1oo2, 2oo2, 2oo3… namun bisa juga 1oo8, 2oo4, dst tergantung hasil risk assessment yang dilakukan, juga standar internal perusahaan yang dianut mengharuskan voting atau arsitektur seperti apa?

8. Risk assessment patut dilakukan untuk menilai: berapa banyak F&G detector yang dipasang, penempatannya dimana saja, tipenya apa, arsitekturnya seperti apa. Lihat tulisan saya mengenai ini di jurnal KMI tahun 2008 (kalau enggak salah) untuk lebih lengkapnya. Silahkan didonlot di www.migas-indonesia.net

9. Patut diingat bahwa dalam F&G system terdapat keterbatasan berupa ‘diagnostic coverage’ dan ‘geographical coverage’

10. Diagnostic coverage, misalnya batasan konsentrasi gas yang bisa ‘diendus’ oleh gas detector (misal dia diset memberikan alarm pada 20%-LEL untuk point tipe, pada kenyataannya gas yang 20%-LEL tidak mencapai detector point tipe, karena gas nya mengumpul di lokasi yang yang lain (bahkan hingga 100%-LEL), contoh lain diagnostic coverage adalah setelan frekuensi gelombang (cahaya) api yang yang dideteksi berapa Hz, ternyata ada api lain yang gelombangnya tidak masuk range deteksi, dst dst

11. Geographical coverage, faktor ini paling melemahkan integritas si F&G. sekali si F&G ditempatkan di suatu tempat, ia tak mudah untuk dipindah pindah, sehingga jika ada gas yang terbawa angin ke arah yang salah (menjauhi gas detektor) meski gasnya lebih dari 100% LEL, yah dia gak akan terdeteksi. Atau jika ada api yang membesar namun tertutup eoleh equipment atau tembok sehingga fire detector tidak mendeteksinya yah dia akan berpotensi menjadi eskalasi.

12. Spurious failure musti didefinisikan (dalam kasus mas Gorga: fuse blown?) dalam SIL determination (or risk analisis) yakni berapa besar spurious yang bisa ditolelir? Karena ini akan dievaluasi lebih lanjut dalam SIL verification study. Spurious adalah bagian integral dari ‘failure’ suatu element. Ia didefiniskan sebagai ‘safe-failure’. Karena sebagai bagian dari kapitalisme global, produksi adalah penting, maka isu spurious ini sensitif bagi pihak production, karenanya sedapat mungkin dihindari. Sehingga arsitektur macam 2oo3 menjadi pilihan yang seksi untuk dipasang. Atau dalam hal F&G biasanya 2ooN.

13. Apakah mandatory memiliki voting logic 2oo3 atau 2ooN? Kembali dari awal di no. 7 tergantung dari hasil risk assessment (yang mengikuti kaidah IEC-61511 tentunya) dan standar internal perusahaan.

14. Pengalaman saya beberapa kali menghitung / memverifikasi F&G functions, cukup sulit untuk bahkan mendapat kan SIL-1 sekalipun!!

Semoga menjawab

Tanggapan 5 – Alvin Alfiyansyah

Pak Gorga,

Sebaiknya hasil risk analysis (Hazops + LOPA atau QRA atau Major Hazard Study, dll.) yang dirujuk dan melihat rekomendasinya …kalo sudah ada.

Yang disertifikasi setahu saya adalah elemennya bukan semata menitikberatkan kepada fungsinya (mitigasi atau SIS), lihat juga coverage dan failure yg dimaksud sehingga nanti bisa diklasifikasikan nilai SIL tertentu utk instrumented function tsb. Memang voting yg anda maksud ditujukan untuk kepentingan operasional alias menjaga kontinuitas produksi sekaligus safety systemnya.

Paper-nya Om Gharonk aka DAM bisa dirujuk tuch utk referensi awal.

Maaf sudah lama tidak mengulik dan terlibat dalam SIL study jadi tidak bisa buat rekomendasi yang spesifik.

Tanggapan 6 -Yanoor Yusackarim

Sebatas pengetahuan saya, IEC61508 dan IEC61511 tidak membahas secara detail logic seperti apa yang harus diimplementasi. Kumpeni dapat mengimplementasi logic sesuai dengan filosofi yang mereka anut (safety vs availability) dan safety requirementnya tanpa mempengaruhi SIL ratingnya. Syaratnya safety life cyclenya harus dijalankan.
Terserah kumpeni juga, apakah konsider F&G sebagai SIS atau mitigation.

Itu di satu sisi..

Di sisi lain, kita perlu memikirkan failure mode. Berapa lama MOS akan implementasi? apakah ada kontrol (register/approval) untuk MOS (biar tidak lupa)? bahaya yang terjadi andaikan actual gas hanya terdeteksi oleh 1 detector saja? apakah voting tersebut mempunyai degraded mode?

Dapat dibayangkan kembali bahwa layer proteksi yang kita miliki itu seperti keju swiss..

Implementasi yang Pak Gorga sebutkan, kalau tidak salah, itu filosofinya Shell. Berpikirnya mungkin, lebih baik fail to safe state (shutdown?) daripada fail to dangerous.

Tanggapan 7 – hsurachman

Pak Gorga,

Sepengetahuan saya baik TUV atau IEC adalah suata standard international saja, tidak menjadikan dasar untuk 2003.

Yang semestinya menjadi landasan adalah cause n effect dari desain yang akan bapak lakukan di systems bapak.

Dan untuk info saja, pada saat seseorang melakukan MOS ( maintenance overwrite systems ) ini tidak semestinya menyebabkan plant atau equipment itu shutdown. Karena system MOS adalah untuk mencegah.

Seperti yg dialami di plant kami di jabung, karena kesalah design plant shutdown akibat saat kedua mos di overwrite ( kita mengunakan 2oo2 ).

Mungkin ada yang dapat menambahkan.

Tanggapan 8 – taufik hidayah

Dear Pak Gorga,

Saya setuju dengan pak Hady,MOS berfungsi mencegah signal shutdown dr device tersebut bukan menyebabkan shutdown,yang mana berguna pada saat ada maintenance atau ada penggantian pada modul tersebut, dan menurut saya untuk alarm FLT (fault) module seharusnya tidak dijadikan vote signal shutdown utk confirm fire. krn FLT alarm berarti kegagalan/kerusakan pada device.

Mengenai TUV/IEC, sepengatahuan saya itu merupakan standard atau license safety utk device itu sendiri dan tidak berhubungan ke system logic yang ada diplant.

CMIIW,karena saya juga masih belajar…

Tanggapan 9 – Crootth Crootth

Jadi kalau alarm FLT lagi metong sementara terjadi gas bocor dan kebakaran pada saat bersamaan, mas Taufik mau bertanggung jawab?

Standar IEC memang banyak, namun bisa minta tolong disebutkan standar IEC yang mana yang tidak membahas sustem logic yang ada di plant?

Jika menyebutkan sebuah standar, harap disebutkan nomornya.

Tanggapan 10 – topik_jbi

Maaf pak,

Mengenai standar seperti IEC/TUV saya memang blm begitu paham betul,saya baru terjun didunia migas.tp utk logic vote,itukan sebenarnya kebijakan dan hasil analisa keperluan dilapangan dan memang tetap berpijak pd standar2 yg berlaku.misal ada case klo ada FLT alarm misal krn modul msuk air atau dirty dan kebetulan trjdi di kedua detctr,apa harus total shutdown plant?smntara hal itu bisa dilakukan pengecekan/maint.mohon advise nya..

Tanggapan 11 – Crootth Crootth

Mas Taufik,

Disinilah pentingnya Risk Analysis untuk mensupport keputusan voting yang diambil. Salah satu yang biasa digunakan adalah metode semi-kuantitatif bernama LOPA. Jika anda ingin mendalami mengenai SIL/SIS/SIF ini silahkan buka buka www.migas-indonesia.net ada banyak bahan yang bisa dibaca. Di google juga bejibun sumbernya.

Kejadian dua dari N sensor (voting logic 2ooN) mengalami FLT bersamaan (double jeopardy) tentu bisa terjadi, meski kemungkinnya kecil sekali, secara simple bisa dianggap = lambdaSU x lambdaSU (mau yang lebih ribet juga bisa dihitung kok)… advise Operation biasanya dibutuhkan disini jika tidak ada support dari standar internal perusahaan.