SIS dan SIL

Rangkuman Diskusi Mailing List Migas Indonesia Juli 2003

Pertanyaan : (Nanang Suprapto - PT. Control Systems)
Berdasarkan pengalaman saya saat ini, ketika saya mendiskusikan tentang SIS, SIL
Level, On-Line Partial Stroking dll dengan beberapa Oil & Gas Co, FEED Consultant
maupun EPC Contractor di Indonesia yang sedang menangani project baru baik
Offshore Oil & Gas Production Platform maupun On-shore Oil & Gas Processing
Plant, muncul beberapa pandangan yang berbeda-beda dari mereka.

Ada yang berpendapat bahwa oh... plant saya ini tidak perlu SIL 3. Cukup
SIL 2 saja. Tanpa diberikan suatu alasan teknis yang memadai.
Ada yang berpendapat bahwa oh.. plant saya ini harus SIL 3 sedangkan
jenis Plant yang akan dibangun serupa dengan yang diatas. Walaupun
pada kenyataannya jumlah sensor/ transmitternya maupun ESD valvenya
yang dipakai masih simplex. Sehingga SIL 3 nya perlu dipertanyakan lagi.
Ada yang dengan bangganya ..pokoknya kalau sudah pakai TMR system
maka SIS Systems saya pasti SIL 3.
dll, dll

Hal ini menunjukkan kekurang pahaman concept/ philosophy tentang SIL tsb dan
kapan/ pada kondisi bagaimana SIL 4, SIL 3, SIL 2 dan SIL 1 itu diterapkan. Hal tsb
begitu sangat berbahaya ketika mereka ditunjuk/ ditugasi oleh perusahaan sebagai
penanggung jawab concept design. Mungkin mereka berpikir ....masa bodoh lah.. toh
orang lain juga yang akan mengoperasikannya....saya hanya bertugas membuat
concept desain saja. Mati manusianya atau Plant meledak... itu bukan urusan saya...
Jika ada yang punya info tentang SIL tsb, dan kapan SIL 4,3,2, atau 1 akan
diterapkan, mohon sharing infonya. Mengingat banyak dari anggota milis Migas kita
ini adalah para engineers yang akan terlibat dalam desain concept SIS Systems baik
di EPC Contractor maupun Oil & Gas Co.

Tanggapan 1 : (Slamet Suryanto - Pertamina)

Kebetulan saya pernah di Tim untuk peningkatan reliability kilang LNG Badak
Train A-F, diantaranya dengan mengevaluasi SIL dikaitkan dengan standar ISA
S84.01. Tim Badak menggunakan konsultan, diantaranya Dr. Angela Summers (ex
Triconex).
Pada dasarnya SIL (safety integrated level) adalah tingkat availability dari SIS
(safety instrumented system) pada suatu fasilitas yang terinstumentasi.
Tingkat availability merupakan tingkat kehandalan suatu SIS diyakini akan bekerja
pada saat dibutuhkan. Tingkat availability juga dapat dinyatakan dalam tingkat
failure yaitu 1-Pf (satu dikurangi failure probability).
SIS umumnya terdiri dari sensor, programmable logic solvers dan final control
elements. Contoh SIS diantaranya ESD (Emergency shutdown), PSD (Process

shutdown), EDP (Emergency Depressurization) atau F & G (Fire & Gas).

Level SIL direquire berdasarkan ISA S84.01 atau IEC 61508 adalah sebagai
berikut (berdasarkan ingatan aja, silakan dikoreksi):
- SIL 1 : tingkat availabilitynya 90.00 - 99.90%
- SIL 2 : tingkat availabilitynya 99.90 - 99.99%
- SIL 3 : tingkat availabilitynya 99.99 - 99.9999%
Seperti sudah dijelaskan di depan bahwa SIL dapat ditentukan dengan menghitung
failure probabilitynya (Pf), maka kemudian dihitung Pfnya untuk setiap SIS-nya. Tool
yang biasa digunakan adalah FTA (fault tree analysis) dengan cara awal menentukan
top event jika terjadi failure pada SIS. Bahan yang dapat digunakan untuk
menentukan top event diantaranya hasil studi HAZOP , cause-effect chart
instrumentasi atau kombinasi dari keduanya dari SIS. Tiap top event scenario dari
SIS kemudian terhitung tingkat failure dan availability levelnya. Selanjutnya
membandingkan dengan kriteria yang telah ditetapkan berdasarkan design philosopy
apakah SIL 1, 2 atau 3 dengan mengacu pada resiko yang dapat diterima (maaf
dalam hal ini rekan-rekan saya asumsikan sudah terbiasa dengan metode FTA).
Tidak setiap SIS harus mengaplikasikan SIL 3, bergantung filosofi yang diterapkan
karena menyangkut additional cost yang tidak murah.
Harus diingat bahwa untuk meningkatkan tingkat availability SIS tidak selalu
bertumpu pada TMR system, preventive maintenance dan regular test juga akan
meningkatkan tingkat availability. Sehingga kadang-kadang dengan hanya
menambah frekuensi regular test sudah bisa mengatrol tingkat availability >0.50%.
Tanggapan 2 : (Nanan Yanie - BP Indonesia)
Setahu saya sih penetapan SIL itu didasarkan pada risk assessment. Dari hasil risk
assesment tersebut, dapat diketahui risk level-nya, dan dari situ baru kemudian
ditetapkan SIL-nya. Ada banyak metod penetapan risk level ini, dari mulai yang
quantitative sampai qualitative. Untuk SIL ini, setahu saya, hanya dari IEC saja yang
mempunyai SIL sampai 4. Salah satunya, di IEC 61508, bisa dilihat kapan SIL
1,2,3,4 digunakan. Tetapi itu semua tetap berpangkal pada risk assessment.
Mungkin kejadian oh.. saya SILnya segini saja, dan yang lain segini saja, terjadi
memang karena risk-nya berbeda. Jadi untuk satu proses yang sama, penetapan SIL
yang dibutuhkan di satu plant bisa berbeda dengan SIL di plant yang lain. Misalnya
plant yang satu berada di tengah kota, sedangkan yang satunya berada di tempat
terpencil, puluhan kilo dari tempat penduduk, sehingga risk levelnya berbeda, dan
SIL yang dibutuhkan pun beda.
Atau... bisa juga karena perbedaan justifikasi dalam risk assesment ini.
Dalam hal penetapan frequency misalnya, karena di tempatnya tidak pernah terjadi,
padahal di tempat lain ternyata pernah terjadi juga. Pengetahuan tentang historical
industrial frequency incident sangat penting dalam hal ini. Industrial database
sangat membantu dalam hal ini. Salah satunya PSID (Process Safety Incident
Database)yang diterbitkan oleh CCPS AICHE.
Biasanya sih perusahaan mempunyai standard/kriteria sendiri untuk membantu
menjaga konsistensi di tempatnya.

Sedangkan mengenai bagaimananya (pemilihan teknologi yang digunakan, design,

instalasi, inspection, dll-nya) agar dia bisa mempunyai SIL yang diinginkan, rekan2
instrumen pasti tahu detailnya lebih banyak.
Bapak/ibu instrumen, ditunggu pencerahannya...
Tanggapan 3 : (Arief Rahman Singggar Mulia)
Ada beberapa hal yang menurut saya penting untuk di consider berkaitan
dengan SIS :
1. Safety aspect. Sebuah System bisa saja mempunyai availability yang sangat
tinggi (99,999% misalnya) yang artinya jarang fail. Tapi pertanyaan-nya :
kalau system tersebut fail apa yang terjadi ? Fail to safe atau fail to danger.
Safety PLC secara umum mempunyai diagnostic coverage yang cukup tinggi
sehingga fail to danger-nya (terutama yang un-detected) sudah cukup
rendah. Kalkulasi bisa menunjukkan bahwa bisa saja sebuah system yang
availability-nya tinggi masih bisa less safe.
2. Standard mensyaratkan Management Of Change (MOC) yang cukup ketat untuk
SIS. Oleh karena itu, standard-standard yang ada mensyaratkan Separation
antara SIS dan Basic Process Control (DSC, Fieldbus dsb). Persoalannya bukan
semata-mata availability tetapi salah satunya karena requirement MOC. Beberapa
Fieldbus yang di approve untuk SIS (Profisafe) benar-benar di design untuk SIS
application.
3. Bahwa Safety Integrity Level (SIL) di assign untuk SATU Safety Instrumented
Function (SIF). Tidak ada SIL yang di assign untuk SYSTEM. Oleh karena itulah
maka pada saat assign SIL kita harus assign untuk masing-masing SIF (bukan
Loop seperti yang dikemukakan oleh email di bawah ini). Memang dalam
beberapa hal satu SIF juga satu Loop, tapi itu tidak harus.
4. SIS cukup complicate dan troublesome. Oleh karena itu maka dalam Safety
Life Cycle yang ada di standard (misal ISA S-84) disarankan mencoba yang non
SIS terlebih dahulu. Kalau tanpa SIS, risk yang ada sudah bisa di reduced di
bawah acceptable level (karena ada layer of protection yang lain, misalnya
mechanical, inherent safe design, emergency procedure, dsb-dsb) maka SIS bisa
saja tidak dipasang.
5. Seringkali vendor convince kita supaya kita focus hanya pada Logic Solver
saja (Misalnya TMR, Quad dsb-dsb) dan berusaha membelokkan kita dengan
mengatakan bahwa apabila logic solver kita sudah SIL-3 maka EVERYTHING is
suitable for SIL-3. It's WRONG !!! Dari kalkulasi bisa ditunjukkan bahwa
walaupun sensornya sudah voting 2OO3, pakai TMR (SIL-3) tapi kalau SDV-nya
single dan diagnostic coverage-nya tidak ada (seperti kebanyakan SDV yang ada
sekarang), Manual testingnya 1 tahun sekali, maka SIL yang kita punyai adalah
SIL-1 !!!!
6. Bahwa dalam SIL assignment step yang paling penting adalah Process Hazard
Analysis (PHA) dan Risk Identification. Jelas ini membutuhkan multidiscipline
team effort.
Ada satu tip yang diberikan oleh Pak Paul Gruhn :
Kalau dari SIL assignment yang dilakukan ternyata ditemukan banyak SIL-3,
maka sebaiknya ditinjau kembali baik SIL assignment methodology-nya, process
design-nya dsb-dsb.

Tanggapan 4 : (Cahyo Hardo Premier Oil)

Nampaknya kursus-nya Paul Gruhn tempo hari sangat mengesankan yah Pak Arief.
Melihat isinya saja saya sudah pusing kepala nih he..he..Dan juga, melihat sepintas,
ternyata requirement-nya bikin hati jadi harus hati-hati. MOC, PHA, dst....yang
ujungnya adalah orang yang terlibat.
Issue kompetensi dari orang yang terlibat bukanlah hal yang umum, tetapi, saya
jarang sekali melihat issue maintenance dari SIS, issue sosialisasinya terhadap
orang yang tidak terbiasa dengan sistem ini, human error dst...yang ujungnya
adalah tanggungjawab management guna membuat sistem ini melekat seperti
sistem safety pendahulunya....Semuanya, tentunya harus dikaji ulang, termasuk jika
akan diadakan pengurangan tenaga kerja pada kemudian hari guna tetap menjaga
integrity yang eksis dan solid di hari ini, akan tetap seperti itu pada tahun ke sekian
Mungkin memang benar kali si Gruhn, kalau bisa buat yang simpel, kenapa mesti
yang ruwet.
Tanggapan 5 : (Arief Rahman Thanura VICO Indonesia)
Ada beberapa hal yang saya agak berbeda pendapat :
1. "Bahwa SIL adalah tingkat AVAILABILITY dari SIS ..............."
ANSI/ISA S-84 menyebutnya SAFETY AVAILABILITY, yang pengertiannya cukup
berbeda dengan availability. Saya cuplikkan definisinya dari standard :
"Fraction of time that a safety system is able to perform its designated
SAFETY SERVICES when the process is operating. In thi standard, the average
probability of Failure On Demand (PFDavg) is the preferred term". Ada
penekanan aspek safety-nya dalam definisinya dan ini agak berbeda dengan
definisi pada umumnya :
Availability = Uptime/Total time = Uptime/(Uptime+Downtime)..
2. IEC-61508 memasukkan SIL-4 sedangkan S-84 hanya sampai SIL-3. Ini karena
IEC-61508 dipakai semua industri sementara S-84 hanya pada process industry.

Tanggapan 6 : (Slamet Suryanto - Pertamina)

Mas Arief,
Mohon dapat diberikan perbedaan aplikasi antara safety availability dan
availability jika diterapkan dalam SIS yang sama.
Apakah data base probability failure antara safety availability dan availability untuk
komponen-komponen SIS berbeda sehingga ada perbedaan istilah yang perlu
ditekankan?
Tanggapan 7 : (Arief Rahman Thanura VICO Indonesia)
Pak Slamet Suryanto dan teman-teman yang lain,
Sebelumnya saya mohon maaf, kalau nanti keterangan saya salah.

Seperti kita ketahui, secara methodology failure mode dari suatu peralatan dibagi ke
dalam dua bagian utama yakni : Safe (Spurious) Failure dan Danger Failure.
Safety availability pada dasarnya berkaitan dengan danger failure, bukan Safe
(spurious) Failure.
Oleh karena itu kalau vendor memberitahu kita Mean Time To Failure (MTTF), harus
diperjelas MTTFs atau MTTFd atau gabungan keduanya. Kalau gabungan berapa safe
fraction failure-nya.
Salah satu rumus untuk simplex system, misalnya,
Availability Danger = Safety Availability = MTTFd/(MTTFd + TI/2 + MTTR).
Dari training yang saya dapat diterangkan bahwa ini alasan mengapa standard
menyebut SAFETY availability.
Tanggapan 8 : (Iwan Jatmika BP Indonesia)
Perkenankan saya sedikit mengkomentari masalah instrument ini, namun karena
topicnya menarik dari sisi HSE, maka saya hanya mencoba meng-highlight
philosophy dasar safety-nya seperti yang dikhawatirkan Mas Nanang
(terimakasih mas, cukup bagus untuk menggambarkan situasi engineer di negara
kita)....mosok Insinyur Indonesia kebingungan dan tidak tahu konsep dasar sehingga
tidak PD mengambil engineering decision(nunggu bule, walaupun kadang-kadang
juga sama-sama bingung-nya, tapi pakai bahasa inggris he..he)...padahal dari sisi
"SAFETY" akan sangat kritikal. Untuk mas Arif (salam kenal) by definition, that's
alright. Untuk mas Slamet (salam Kenal), terimaksih saya dapat pencerahan,
memang pada dasarnya SIL level mencoba mengkuantifikasi akan seberapa SIS
Safety Availability facilities kita. Nothing wrong with SIL level 1, 2, 3, or 4.
Kalau dilihat dari diskusi-diskusi dibawah ini, seprtinya semuanya sudah tahu dari
mana standards and codes dari SIL diambil. Namun, nah ini kita-kita juga harus
samam-sama belajar, terutama sekali saya sendiri, bagaimana mengambil benang
merah dari ketersediaan informasi & data menjadi sutau kemengertian yang utuh
(mungkin kita dulu sewaktu sekolah kebanyakan multiple-coice kali ya, namun
jarang dapet ujian essay dan analysis, sehingga kita kadang-kadang sedikit susah
mencari alur pengertian yang kadang sangat sederhana)
Kembali Ke SIL (Safety Integrity Level). Saya setuju dengan definisi mengapa
kita mengadakan SIL review, karena kita ingin mendapatkan model secara
quantitative safety intrumented protection loop kita sesuai dengan safety design
requirement, sekali lagi design requirement kita. Jadi kita yang menginginkan akan
seberapa levelnya. Karena pada dasarnya semakin tinggi level nya (say level 3 & 4),
availabilitinya semakin tinggi, namun semakin tinggi pula kebutuhan akan tingkat
monitoring & maintenance-nya. Begitu pula tingkat ke-remote-annya. Apakah
fasilitas diharapkan akan sering dikunjungi oleh operator, atau tidak perlu dikunjungi
operator? Seberapa keinginan kita untuk menjaga avilability dari operation, berapa
tingkat shutdown yang akan dibolehkan, seberapa tingkat resiko HSE yang akan di
protect,dll. Nah dari sini baru kita menentukan philosophy SIL dari masing-masing
Instrumented Loop protections-nya. Dan lebi-lebih OIL (Overall Integrity Level)-nya.
Contoh-nya....kalau fasilitas didesign remote, un-manned,dan sangat berbahaya bagi
orang yang terexpose, maka tingkat SIL 3 & 4 di field kalau bisa dihindari karena
akan membutuhkan monitoring dan maintenance yang sangat sering (akhirnya
dikunjungi juga). Namun kalau fasilitas itu kritikal dari sisi operasi availability,

manned, dan urusan maintenance tidak persoalan, maka SIL 3 atau 4,yang sangat
diharapkan. Nah disini, terjadinya tawar-menawar antara ketersediaan products PFD
(final control element) + PFD (Sensor) + PFD (Logic Solver)dengan human factor
and operation & maintenance program. Adapun FTA, OREDA data, dll adalah sebagi
data base dan tools untuk mencoba mengkuantifikasi sehingga decision can be
made!
Jadi sekarang, gantian kita yang bilang sama bule, Hey Mister, for our facilities with
all the agreed operation philosophy plan , We need SIL level 2 (or 3, or 4) because of
the operation availability needed, maintenance program plan agreed, safety
exposure to the employee and community modeled, potential escalation of the fire
accident, and the costumer demand availability. I will contact my buddy Mr. Nanang
to give you single complete control system solution, and Mr. Arief and Mr. Slamet are
my best consultant in SIS right now. He...he....ini namanya over PD.
Tanggapan 9 : (Slamet Suryanto - Pertamina)
Mas Iwan ini bisa.........aja.
Selama ini yang jadi topik pembicaraan adalah SIL level yang dibutuhkan
kemudian baru dirancang konfigurasi SIS, maintenance dan testing programnya.
Bagaimana jika dibalik, berapa SIL level dari existing SIS yang ada?
Tanggapan 10 : (Iwan Jatmika BP Indonesia)
Logika paling gampang ya juga dibalik processnya:
Dari existing SIS, kita nilai PFD (final control element) + PFD (Sensor) + PFD (Logic
Solver) baik dengan manufacture data book reliability, kalau nggak ada dari
maintenance log book, atau dari recognize technology and or industrial technology
paper/ book. Dari situ can secara gampangnya akan ketemu "Average Probability of
Failure on Demand", misalnya 0,01 sampai 0,001, berarti SIS tsb adalah SIL 2,
dst...dst.. Gampang kan ?
Tanggapan 11 : (Arief Rahman Thanura VICO Indonesia)
Mas Iwan dan Mas Slamet, sebetulnya masalah menyangkut existing tidak
semudah hanya tinggal balik kalkulasi SIL saja.
Di standard ANSI/ISA S84, misalnya, disebutkan :
"For existing SIS designed and constructed in accordance with codes, standards, or
practices PRIOR to the issue of this standard, the owner/operator shall determine
that the equipment is designed, maintained, inspected, tested, and operating in a
SAFE MANNER".
Kelihatan sekali bahwa kalimat yang dibuat sangat ngambang terutama mengenai
SAFE MANNER. Para owner-lah yang mesti menentukan SAFE MANNER sesuai
dengan company policy-nya masing-masing. Standard tidak secara tegas
mengatakan apa yang harus dilakukan. Mau dihitung SIL-nya lagi ya monggo, kalau
tidak ya tidak apa-apa sepanjang anda bisa men-justifikasi bahwa existing system
anda safe.

Tanggapan 12 : (Iwan Jatmika BP Indonesia)

Kalau tidak salah dulu pernah dibahas di mailing list ini tentang Grand fathering
claus, dengan contoh kasus connection di vessel. Dulunya boleh pakai screw, tapi
standard yang baru mensyaratkan flange connection. Kalau tidak ada grandfathering
kan bisa barabe.
Mengacu dari statement ANSI/ ISA S84 seperti yang dikemukakan Mas Arief di
bawah ini, sebenarnya menjadi "self-explanatory" bahawa kita diberi kebebasan
cara untuk mengassess status SIS existing kita. Bahwa secara professional kita
bertanggung jawab (safety manner) terhadap safety availability dari SIS yang ada.
Nah bagaimana cara menunjukkan tanggung jawab profesional kita, ya kita mencoba
menilai SIS existing kita itu, apakah sudah sesuai dengan fungsi dan reliability sesuai
dengan harapan dari para stake-holder-nya. Nah kalau sebagai orang HSE, maka kita
pengin tahu, salah satu caranya ya dengan mengetahui Safety Integrity Level dari
SIS itu masih mendukung existing facility safety protection philosophy-nya nggak?
Contoh gampangnya, bila secara operation performance dengan segala operation
management expectation mensyaratkan bahwa SIL 2 sudah cukup, maka kalau
hasil review kita menunjukkan bahwa subject SIS yang kita review SIL-nya adalah 3,
ini tidak berarti SIS kita lebih baik (ya kalau kita hanya menilai dari performance SIL
tsb.), tapi adakah aspek-aspek maintenance yang berlebihan sehingga akan
menambah maintenace cost, additional exposure to human factor intervention,
sehingga overal safety level (OIL) menjadi menurun?
Nah wilayah SAFETY MANNER di bidang design, construction, operation &
maintenance, inspection, adalah bidang yang sangat menarik untuk diskusikan.
Pendekatannya bisa by System ataupun by Strategy....... wah kita perlu
mengundang pakar-pakar HSE di forum MIGAS ini........., namun, lebih daripada itu
saya kok mendapat suatu pencerahan bahwa ini bisa menjadi trigger bagi kita bahwa
di-discipline yang lain Process, mechanical, electrical, Structural, Operation,
pendekatan Safety-nya harus terkomunikasikan antar disiplin dan terintegrasi
sehingga yang namannya OIL itu menjadi sesuatu yang berarti. Saya yakin masingmasing Company punya pendekatan tersendiri untuk menamakan kegiatan ini,
misalnya PSIM (process safety and integrity management, dll).
Tanggapan 13 : (Slamet Suryanto - Pertamina)
Saya 100% setuju dengan pendapat Mas Arief dimana granfathering claus berlaku
untuk SIL target yang notabene code-nya baru keluar 1996. Kesetujuan saya
berdasarkan pengalaman ketika menghadapi Risk Insurance Broker dimana saran
dari expertnya mendukung clausul tersebut dan aman-aman saja ketika berhadapan
dengan Insurance Company. Namun demikian policy dari top Management juga akan
mempengaruhi apakah perlu atau tidak untuk menerapkan SIL target untuk SIS di
fasilitasnya. Bagi operator tentunya akan lebih pe-de dengan SIL yang lebih tinggi.
Berdasarkan QRA studi oleh DNV bahwa IRPA (Individual Risk Per Annum) untuk
operator adalah 66% dimana menduduki ranking tertinggi untuk risiko di offshore
facilities.