Ada yang berpendapat bahwa oh... plant saya ini tidak perlu SIL 3. Cukup
SIL 2 saja. Tanpa diberikan suatu alasan teknis yang memadai.
Ada yang berpendapat bahwa oh.. plant saya ini harus SIL 3 sedangkan
jenis Plant yang akan dibangun serupa dengan yang diatas. Walaupun
pada kenyataannya jumlah sensor/ transmitternya maupun ESD valvenya
yang dipakai masih simplex. Sehingga SIL 3 nya perlu dipertanyakan lagi.
Ada yang dengan bangganya ..pokoknya kalau sudah pakai TMR system
maka SIS Systems saya pasti SIL 3.
dll, dll
Hal ini menunjukkan kekurang pahaman concept/ philosophy tentang SIL tsb dan
kapan/ pada kondisi bagaimana SIL 4, SIL 3, SIL 2 dan SIL 1 itu diterapkan. Hal tsb
begitu sangat berbahaya ketika mereka ditunjuk/ ditugasi oleh perusahaan sebagai
penanggung jawab concept design. Mungkin mereka berpikir ....masa bodoh lah.. toh
orang lain juga yang akan mengoperasikannya....saya hanya bertugas membuat
concept desain saja. Mati manusianya atau Plant meledak... itu bukan urusan saya...
Jika ada yang punya info tentang SIL tsb, dan kapan SIL 4,3,2, atau 1 akan
diterapkan, mohon sharing infonya. Mengingat banyak dari anggota milis Migas kita
ini adalah para engineers yang akan terlibat dalam desain concept SIS Systems baik
di EPC Contractor maupun Oil & Gas Co.
Seperti kita ketahui, secara methodology failure mode dari suatu peralatan dibagi ke
dalam dua bagian utama yakni : Safe (Spurious) Failure dan Danger Failure.
Safety availability pada dasarnya berkaitan dengan danger failure, bukan Safe
(spurious) Failure.
Oleh karena itu kalau vendor memberitahu kita Mean Time To Failure (MTTF), harus
diperjelas MTTFs atau MTTFd atau gabungan keduanya. Kalau gabungan berapa safe
fraction failure-nya.
Salah satu rumus untuk simplex system, misalnya,
Availability Danger = Safety Availability = MTTFd/(MTTFd + TI/2 + MTTR).
Dari training yang saya dapat diterangkan bahwa ini alasan mengapa standard
menyebut SAFETY availability.
Tanggapan 8 : (Iwan Jatmika BP Indonesia)
Perkenankan saya sedikit mengkomentari masalah instrument ini, namun karena
topicnya menarik dari sisi HSE, maka saya hanya mencoba meng-highlight
philosophy dasar safety-nya seperti yang dikhawatirkan Mas Nanang
(terimakasih mas, cukup bagus untuk menggambarkan situasi engineer di negara
kita)....mosok Insinyur Indonesia kebingungan dan tidak tahu konsep dasar sehingga
tidak PD mengambil engineering decision(nunggu bule, walaupun kadang-kadang
juga sama-sama bingung-nya, tapi pakai bahasa inggris he..he)...padahal dari sisi
"SAFETY" akan sangat kritikal. Untuk mas Arif (salam kenal) by definition, that's
alright. Untuk mas Slamet (salam Kenal), terimaksih saya dapat pencerahan,
memang pada dasarnya SIL level mencoba mengkuantifikasi akan seberapa SIS
Safety Availability facilities kita. Nothing wrong with SIL level 1, 2, 3, or 4.
Kalau dilihat dari diskusi-diskusi dibawah ini, seprtinya semuanya sudah tahu dari
mana standards and codes dari SIL diambil. Namun, nah ini kita-kita juga harus
samam-sama belajar, terutama sekali saya sendiri, bagaimana mengambil benang
merah dari ketersediaan informasi & data menjadi sutau kemengertian yang utuh
(mungkin kita dulu sewaktu sekolah kebanyakan multiple-coice kali ya, namun
jarang dapet ujian essay dan analysis, sehingga kita kadang-kadang sedikit susah
mencari alur pengertian yang kadang sangat sederhana)
Kembali Ke SIL (Safety Integrity Level). Saya setuju dengan definisi mengapa
kita mengadakan SIL review, karena kita ingin mendapatkan model secara
quantitative safety intrumented protection loop kita sesuai dengan safety design
requirement, sekali lagi design requirement kita. Jadi kita yang menginginkan akan
seberapa levelnya. Karena pada dasarnya semakin tinggi level nya (say level 3 & 4),
availabilitinya semakin tinggi, namun semakin tinggi pula kebutuhan akan tingkat
monitoring & maintenance-nya. Begitu pula tingkat ke-remote-annya. Apakah
fasilitas diharapkan akan sering dikunjungi oleh operator, atau tidak perlu dikunjungi
operator? Seberapa keinginan kita untuk menjaga avilability dari operation, berapa
tingkat shutdown yang akan dibolehkan, seberapa tingkat resiko HSE yang akan di
protect,dll. Nah dari sini baru kita menentukan philosophy SIL dari masing-masing
Instrumented Loop protections-nya. Dan lebi-lebih OIL (Overall Integrity Level)-nya.
Contoh-nya....kalau fasilitas didesign remote, un-manned,dan sangat berbahaya bagi
orang yang terexpose, maka tingkat SIL 3 & 4 di field kalau bisa dihindari karena
akan membutuhkan monitoring dan maintenance yang sangat sering (akhirnya
dikunjungi juga). Namun kalau fasilitas itu kritikal dari sisi operasi availability,
manned, dan urusan maintenance tidak persoalan, maka SIL 3 atau 4,yang sangat
diharapkan. Nah disini, terjadinya tawar-menawar antara ketersediaan products PFD
(final control element) + PFD (Sensor) + PFD (Logic Solver)dengan human factor
and operation & maintenance program. Adapun FTA, OREDA data, dll adalah sebagi
data base dan tools untuk mencoba mengkuantifikasi sehingga decision can be
made!
Jadi sekarang, gantian kita yang bilang sama bule, Hey Mister, for our facilities with
all the agreed operation philosophy plan , We need SIL level 2 (or 3, or 4) because of
the operation availability needed, maintenance program plan agreed, safety
exposure to the employee and community modeled, potential escalation of the fire
accident, and the costumer demand availability. I will contact my buddy Mr. Nanang
to give you single complete control system solution, and Mr. Arief and Mr. Slamet are
my best consultant in SIS right now. He...he....ini namanya over PD.
Tanggapan 9 : (Slamet Suryanto - Pertamina)
Mas Iwan ini bisa.........aja.
Selama ini yang jadi topik pembicaraan adalah SIL level yang dibutuhkan
kemudian baru dirancang konfigurasi SIS, maintenance dan testing programnya.
Bagaimana jika dibalik, berapa SIL level dari existing SIS yang ada?
Tanggapan 10 : (Iwan Jatmika BP Indonesia)
Logika paling gampang ya juga dibalik processnya:
Dari existing SIS, kita nilai PFD (final control element) + PFD (Sensor) + PFD (Logic
Solver) baik dengan manufacture data book reliability, kalau nggak ada dari
maintenance log book, atau dari recognize technology and or industrial technology
paper/ book. Dari situ can secara gampangnya akan ketemu "Average Probability of
Failure on Demand", misalnya 0,01 sampai 0,001, berarti SIS tsb adalah SIL 2,
dst...dst.. Gampang kan ?
Tanggapan 11 : (Arief Rahman Thanura VICO Indonesia)
Mas Iwan dan Mas Slamet, sebetulnya masalah menyangkut existing tidak
semudah hanya tinggal balik kalkulasi SIL saja.
Di standard ANSI/ISA S84, misalnya, disebutkan :
"For existing SIS designed and constructed in accordance with codes, standards, or
practices PRIOR to the issue of this standard, the owner/operator shall determine
that the equipment is designed, maintained, inspected, tested, and operating in a
SAFE MANNER".
Kelihatan sekali bahwa kalimat yang dibuat sangat ngambang terutama mengenai
SAFE MANNER. Para owner-lah yang mesti menentukan SAFE MANNER sesuai
dengan company policy-nya masing-masing. Standard tidak secara tegas
mengatakan apa yang harus dilakukan. Mau dihitung SIL-nya lagi ya monggo, kalau
tidak ya tidak apa-apa sepanjang anda bisa men-justifikasi bahwa existing system
anda safe.