SIS : (10) Design Consideration – Separation

Salah satu pertimbangan dalam perancangan SIS (SIS design consideration) adalah isu pemisahan antara SIS dan Sistem Kontrol (Basic Process Control Sistem atau disingkat BPCS).

Pemisahan antara SIS dan BPCS akan mengurangi kemungkinan kedua sstem tersebut rusak (unavailable) pada saat yang bersamaan. Selain itu, pemisahan ini juga bisa mencegah adanya pengaruh perubahan pada BPCS terhadap fungsi SIS. Oleh karena itu secara umum bisa dikatakan bahwa pemisahan antara BPCS dan SIS akan lebih baik dibandingkan dengan jika keduanya disatukan.

Ada dua jenis pemisahan, yaitu identical separation dan diverse separation.  Identical separation adalah pemisahan dengan menggunakan dua jenis sistem yang sama/identik, baik menyangkut teknologi, peralatan atau metode perancangan. Sedangkan diverse separation adalah pemisahan dengan menggunakan dua jenis sistem yang berbeda, baik menyangkut teknologi, peralatan atau metode perancangan.

Identical separation umumnya dapat diterima untuk SIL I. Diverse separation akan memberikan tambahan keuntungan yaitu mengurangi kemungkinan terjadinya systematic error dan mengurangi common cause failure (merupakan faktor yang sangat penting untuk SIL 3).

Terdapat 4 bagian/area dalam SIS-BPCS, dimana pemisahan diperlukan dalam rangka memenuhi persyaratan SIL, yaitu:

• Field sensor.
• Final control element.
• Logic solver.
• Communication (antara SIL dan BPCS).

1.  Pemisahan Sensor:

• SIL 1 : Penggunaan sensor tunggal untuk kedua sistem  SIS dan BPCS sudah memenuhi persyaratan.
• SIL 2 : Identical separation antara SIS dan BPCS sudah memenuhi persyaratan.
• SIL 3 : Identical separation sudah memenuhi persyaratan, tetapi lebih baik jika menggunakan diverse separation.

2.  Final Control Element.

• SIL 1 : Valve tunggal untuk SIS dan BPCS bisa digunakan asalkan unsafe failure rate-nya memenuhi persyaratan safety (safety integrity requirement). Selain itu, perancangannya harus menjamin bahwa aksi SIS harus bisa mengatasi (override) aksi BPCS.
• SIL 2 : Identical separation untuk SIS dan BPCS sudah memenuhi persyaratan.  Sedangkan penggunaan valve tunggal untuk SIS dan BPCS bisa diterima asalkan dilakukan sefety review terlebih dahulu untuk meyakinkan bahwa safety integrity-nya terpenuhi.
• SIL 3 : Identical seperation sudah memenuhi persyaratan, tetapi lebih baik jika menggunakan diverse separation.

3.  Logic Solver.

• SIL 1 : Identical separation atau diverse seperation.
• SIL 2 : Diverse separation, atau identical separation yang membutuhkan safety review terlebih dahulu untuk meyakinkan bahwa safety integrity-nya terpenuhi.
• SIL 3 : Diverse separation.

Untuk kasus khusus dimana tidak mungkin melakukan pemisahan antara SIS dan BPCS (seperti pada sistem kontrol untuk turbin gas), maka diperlukan tambahan pertimbangan berikut:

• Evaluasi terhadap kegagalan/failure dari komponen-komponen yang dipakai bersama (common) dan software, terutama menyangkut pengaruhnya terhadap kinerja SIS.
• Life cycle support (seperti perubahan, pemeliharaan, testing dan dokumentasi) terhadap keseluruhan sistem harus diberlakukan sebagai sebuah SIS.
• Adanya pembatasan akses ke program atau konfigurasi sistem.

4.  Communication.

• No external communication : Diterima untuk semua SIL.
• Hard-wired between BPCS and SIS : Dapat diterima untuk SIL 1 dan SIL 2. Sedangkan untuk SIL 3 diperlukan safety review untuk meyakinkan bahwa safety integrity-nya terpenuhi.
• Read only external communication from SIS to BPCS : Dapat digunakan untuk semual SIL asalkan safety review sudah dilakukan untuk menjamin bahwa tidak ada kompromi terhadap safety. Salah satunya adalah dengan mengukur tingkat proteksi (write protection), antara lain: 1) Hard-wired switch (atau jumper) untuk membatasi akses untuk menulis (write access). 2) Safety function dilakukan di SIS ROM.
• Read/write external communication with write protection of the safety function: Dapat digunakan untuk SIL 1 dan SIL 2 tetapi SIL 3 membutuhkan safety review.  Ukuran tingkat proteksi (write protection) adalah: 1) Pembatasan waktu akses untuk menulis (limited time for write access). 2) Software switch (seperti password) untuk membatasi akses untuk menulis.
• Read/write external communication with limited or no write protection of the safety function: Bisa digunakan untuk SIL 1. Untuk SIL 2 memerlukan safety review. Sedangkan SIL 3 tidak diperbolehkan.

SIS : (9) SIS Conceptual Design

SIS Conceptual Design bertujuan menjelaskanlebih rinci apa yang menjadi persyaratan/kebutuhan seperti yang dijelaskan dalam SIS Requirement Specification.

SIS mungkin hanya terdiri dari sefety function tunggal atau safety function banyak yang dijalankan pada logic solver yang sama (common logic solver).  Apabila beberapa safety function menggunakan common logic solver, maka komponen logic solver yang melayani lebih dari satu safety function harus memenuhi persyaratan SIL yang paling tinggi., sedangkan komponen logic solver yang hanya menangani satu safety function, cukup memenuhi SIL sesuai persyaratan SIL untuk safety function yang dilayani tersebut.

Dalam SIS Conceptual Design, pertimbangan-pertimbangan dalam perancangan (design consideration) yang digunakan harus memenuhi SIL yang telah ditetapkan pada phase sebelumnya. Pertimbangan-pertimbangan tersebut antara lain:

• Separation.
• Redundancy.
• Software design consideration.
• Technology selection.
• Failure rates and failure modes.
• Architecture.
• Power sources.
• Common cause failures.
• Diagnostics.
• Field devices.
• User interface.
• Security.
• Wiring practices.
• Documentation.

SIS : (8) Developing The Safety Requirement Specification

Dalam safety design life cycle, setelah diputuskan untuk menggunakan SIS dan penentuan SIL, langkah selanjutnya adalah membuat/mengembangkan safety requirement specification (SRS). SRS terdiri dari 2 bagian, yaitu: 1) functional requirement specification, dan 2) integrity requirement specification. Functional requirement specification menggambarkan proses terjadinya interlock atau apa yang akan dilakukan oleh SIS. Sebagai contoh, apabila terjadi penurunan tekanan (low pressure) di vessel A, maka valve B akan menutup secara otomatis. Integrity requirement specification menggambarkan kemungkinan valve B benar-benar menutup saat terjadinya penurunan tekanan di vessel A. Jadi ia menggambarkan kemampuan atau seberapa baik SIS bekerja.

Dalam membangun sebuah pabrik (plant), yang paling baik adalah merancang pabrik seaman mungkin, dimana tidak ada sama sekali potensi terjadinya bahaya. Akan tetapi hal ini tidak akan mungkin, pasti selalu ada potensi bahaya. Oleh karena itu, salah satu cara untuk mencegah terjadinya bahaya adalah menggunakan peralatan instrument untuk memonitor kondisi proses dan menggerakan peralatan ke kondisi yang benar, dimana bahaya dapat dicegah. Menentukan variabel proses mana yang akan dimonitor, aksi apa yang akan dilakukan oleh safety control dan sebaik apa system tersebut beroperasi merupakan isi dari SRS (functional requirement specification dan integrity requirement specification).

Secara umum, informasi yang harus ada dalam SRS adalah:

1.    Documentation and Input Requirement:

• P&IDs.
• Cause-and-effect diagram.
• Logic diagrams.
• Process data sheets.
• Process information (Incident cause, dynamics, final elements, etc) of each potential hazardous event that requires an SIS.
• Process common cause failure considerations such as corrosion, plugging, coating, etc.
• Regulatory requirements inpacting the SIS.
• Other.

2.    Functional Requirement:

• The definition of the safe state of the process, for each of the identified events.
• The process inputs to the SIS and their trip points.
• The normal operating range of the process variables and their operating limits.
• The process output from the SIS and their actions.
• The functional relationship between process inputs and outputs, including logic, math functions, and any required permissives.
• Selection of deenergized to trip or energized to trip.
• Consideration for manual shutdown.
• Action(s) to be taken on the loss of energy souce(s) to the SIS.
• Response time requirement for the SIS to bring the process to a safe state.
• Response action to any overt fault.
• Human-machine interfaces requirements.
• Reset function(s).
• Other.

3.    Safety Integrity Requirement.

• A list of the safety function(s) required and the SIL of each safety function.
• Requirements for diagnostics to achieve the required SIL.
• Requirements for maintenance and testing to achieve the required SIL.
• Reliability requirements if spurious trips may be hazardous.
• Failure mode of each control valve.
• Failure mode of all sensors and transmitters.
• Other.

SIS : (7) Penentuan SIL

Penentuan safety integrity level (SIL) merupakan tahapan yang penting dalam SIL design life cycle. Proses penentuan SIL ini bukan pekerjaan yang mudah, dia bukan hanya tugas seorang control engineer, tetapi merupakan tugas tim yang terdiri dari berbagai disiplin ilmu.

Ada beberapa metode penentuan SIL yang bisa digunakan, ada yang bersifat kualitatif dan ada pula yang kuantitatif. Perlu ditegaskan bahwa tidak ada metode yang lebih baik dari yang lainnya. Masing-masing memiliki kelebihan dan kekurangannya. Akan tetapi semua metode (khususnya kuantitatif) didasarkan pada isu yang sama (common issue) yaitu evaluasi dilakukan terhadap 2 komponen risiko, probabilitas dan severitas. Yang membedakan hanya pada pembagian tingkat/levelnya serta pada struktur/cara pembobotannya.

Perlu diketahui bahwa dalam suatu unit proses bisa terdapat bebagai tingkat bahaya,  sehingga SIL untuk satu safety function dengan safety function lainnya juga akan berbeda-beda bergantung pada tingkat sumber bahaya yang ditanganinya. Sebagai contoh, dalam sebuah sistem vessel terdapat pengukuran pressure, flow, temperature dan level.  Pengukuran pressure berguna untuk mencegah terjadinya overpressure dan explosive,  sehingga tingkat SIL-nya tinggi. Low flow atau low level mungkin hanya untuk  mencegah kavitasi pompa sehingga tingkat SIL-nya lebih rendah. Temperature yang tinggi mungkin berdampak pada product offspec, sehingga tingkat SIL-nya juga berbeda. Jadi intinya adalah penentuan  SIL bukan satu angka/tingkat untuk seluruh unit proses, melainkan untuk masing-masing safety function.

Metode I – Kualitatif. Metode ini pertama kali dikembangkan dan digunakan oleh U.S. Military (MIL STD 882). Pada metode ini, probabilitas dan severitas dibagi menjadi 5 tingkat/level. Langkah pertama, probabilitas atau frekuensi di-rank dari 1 s/d 5 atau dari low s/d high atau jenis tingkatan lainnya, seperti contoh pada tabel berikut ini.

 

Berikutnya, severitas dikategorikan berdasarkan berbagai faktor yang terkenah risiko seperti personil/orang, peralatan, proses produksi, lingkungan dsbnya, seperti contoh pada tabel berikut.

 

Perlu diketahui bahwa pembagian tingkatan pada kedua tabel diatas hanya contoh, pembobotannyapun sangat subyektif, antara satu perusahaan dengan perusahaan lainnya mungkin berbeda.  Kemudian kedua tabel, probabilitas dan severitas diatas digabung dalam satu tabel seperti berikut.

 

Langkah terakhir adalah menghubungkan tingat risiko pada tabel terakhir ini dengan tingkat kinerja dari SIS (atau yang dikenal dengan safety integrity level atau SIL), seperti tabel berikut.

 

Bentuk lainnya dari metode ini yang digunakan oleh salah satu perusahaan kilang minyak adalah seperti pada gambar berikut.

 

Metode II – Kualitatif. Metode ini diadop IEC dari German National Standard (DIN/VDE 19250). Gambar berikut adalah contoh penentuan SIL dengan menggunakan metode ini.

Contoh pada gambar diatas hanya untuk dampak risiko terhadap orang/personil. Dengan  cara yang sama, ranking untuk faktor yang terkenah risiko lainnya seperti peralatan,  proses produksi, lingkungan bisa dilakukan. Pelaksanaan pembobotan risiko dimulai dari sebelah kiri gambar, yaitu menyangkut akibat yang ditimbulkan, dengan mengajukan pertanyaan sbb: Apa akibatnya terhadap orang/personil yang terlibat? Berikutnya menyangkut masalah frekuensi keberadaan personil dan paparan, dengan mengajukan pertanyaan sbb: Seberapa sering (frekuensi) dan seberapa besar mereka terpapar oleh  suatu risiko?  Berikutnya adalah berkaitan dengan kemungkinan menghindari kecelakaan/accident, dengan mengajukan beberapa pertanyaan berikut: Apakah reaksi proses cukup lamban sehingga orang/personil dapat melakukan aksi? Apakah ada local indicator sehingga operator dapat mengetahui apa yang akan terjadi dengan proses?  Apakah mereka sudah cukup dilatih untuk mengetahui apa yang harus dilakukan ketika terjadi situasi berbahaya? Apakah ada jalur evakuasi sehingga mereka dapat meninggalkan lokasi ketika terjadi kondisi berbahaya? Kemudian aspek yang terakhir adalah probabilitas dari kejadian dengan mengajukan pertanyaan berikut: Apakah tidak sering, sering atau sangat sering terjadinya kondisi berbahaya? Perlu diketahui bahwa semua yang dilakukan ini sifatnya sangat subyektif.

Metode III – Kuantitatif.  Ada juga engineer yang tidak terlalu suka dengan kedua metode kualitatif yang dijelaskan sebelumnya. Mereka mempertanyakan repeatability dari kedua metode tersebut.  Sebagai gambaran, apabila suatu kasus diberikan kepada 5 group untuk mengevaluasinya, hasilnya kemungkinan besar akan berlainan, bisa saja ada yang menghasilkan SIL 1, ada yang SIL 2 dan ada juga yang SIL 3, lalu apa yang akan disimpulkan dengan hasil ini? Oleh karena itu dikembangkan metode kuantitatif, dimana penentuan kinerja SIS yang dibutuhkan (required safety system performance) bergantung pada: 1) target safety goal; dan 2) demant rate,  yang dinyatakan dengan formula berikut:

Required RRF = Target Safety Goal/Deman Rate.

Sebagai contoh, yang menjadi target safety goal adalah mean time between accident, diambil sebesar 3,000 tahun. Deman rate adalah perkiraan seberapa sering suatu masalah akan terjadi di proses dan seberapa sering diperlukan suatu SIS berfungsi untuk  mengatasinya.  Misalnya dalam sistem compressor, rata-rata terjadinya overpressure pada  vessel adalah sekali tahun.  Maka untuk sistem compressor diperoleh RRF sebesar (3,000 tahun)/(1 kali/tahun) = 3,000 kali; sehingga diperlukan SIS dengan kinerja sampai dengan SIL 3 (lihat tabel sebelumnya).

Meskipun metode ini murni kuantitatif, tetapi ia membutuhkan suatu target, yang umumnya sangat sulit/tidak bijaksana untuk ditentukan karena menyangkut aspek moral seperti yang pernah dijelaskan pada serie sebelumnya. Penentuan target juga terkadang mendatangkan masalah hukum, khususnya di USA.  Misalnya, targetnya adalah waktu antara bahaya/terjadi kecelakaan sebesar seribu tahun. Orang hukum mungkin akan mempertanyakannya, misalnya  mengapa tidak dipilih sepuluh ribu tahun?  Selain itu, target seribu tahun tidak berarti bahwa sebelum seribu tahun bahaya/kecelakaan tidak akan terjadi .  Karena jika terdapat seribu instalasi proses sejenis, maka dalam satu tahun satu dari seribu instalasi tersebut mungkin bermasalah. Jadi penentuan SIL secara kuantitatif juga tidak sesederhana yang dibayangkan.

SIS: (6) Risiko

Berbicara tentang SIS tidak bisa lepas dari risiko (risk), karena SIS itu ada untuk menekan adanya risiko.  Untuk itu, serie kali ini akan membahas sedikit mengenai risiko.

Bekerja di kilang minyak jelas mengandung risiko, tapi jangan disangka duduk di rumah nonton TV sambil makan-makan itu tidak berisiko!  Pernah dengar orang  meninggal gara-gara keselek baso saat sedang makan baso? Jadi jelas, risiko ada dimana-mana. Yang membedakan antara satu dengan yang lainnya adalah besarnya, satu mungkin lebih berisiko dari yang lainnya.

Bekerja di kilang minyak jelas lebih berisiko dari hanya sekedar duduk-duduk di rumah, oleh karena itu banyak upaya yang dilakukan untuk menekan tingkat risiko di kilang minyak (atau pabrik-pabrik petro kimia lainnya), termasuk dengan menggunakan SIS.  Tapi pertanyaannya seberapa besar tingkat risiko di kilang minyak yang akan ditekan? Apakah hingga ke tingkat yang sama dengan risiko duduk-duduk di rumah?  Upaya pengurangan risiko membutuhkan biaya, semakin rendah risiko yang dikurangan semakin mahal biayanya.

Apa itu risiko? Banyak kalimat yang dibuat untuk menjelaskan risiko, salah satunya adalah “ risiko merupakan gabungan antara probabilitas dan severitas“. Atau dengan kata lain, seberapa seringkah ia dapat terjadi dan seberapa jelek akibat yang ditimbulkannya? Risiko dapat dievaluasi/diukur dengan cara kualitatif maupun kuantitatif.

Presepsi orang terhadap risiko. Presepsi orang terhadap risiko sangat beragam,  bergantung pada pengetahuan dan kebiasaan mereka terhadap risiko tersebut.  Pada jaman sekarang, orang-orang sudah terbiasa mengendarai mobil/motor, sehingga risiko dalam berkendaraan dianggap rendah.  Bandingkanlah, jika tiba-tiba ada sebuah pabrik petrokimia didirikan di dekat perkampungan.  Karena pengetahuan tentang pabrik petrokimia  umumnya sangat rendah bagi orang kebanyakan, maka mereka langsung mengklaim  pabrik yang dibangun tersebut memiliki risiko yang tinggi, meskipun mungkin perusahaan tersebut sudah mengoperasikan banyak pabrik sejenis dan belum pernah terjadi kecelakaan fatal.

Presepsi orang terhadap risiko juga bergantung pada jumlah kemungkinan yang meninggal pada suatu kejadian.  Misalnya, jumlah orang meninggal akibat kecelakaan di  jalan raya pertahun jauh lebih besar dari kecelakaan di kilang minyak.  Akan tetapi karena satu kecelakaan di jalan raya umumnya hanya menyebabkan satu atau sedikit yang meninggal, maka ia tidak sehebo meledaknya sebuah kilang minyak yang bisa menewaskan puluhan hingga ratusan orang, walaupun itu jarang sekali terjadi.

Umumnya melihat risiko itu sifatnya sangat subyektif dan intuitif, apalagi risiko pribadi.  Sebagai contoh, seorang ibu yang takut pesawat terbang, tidak akan mengijinkan seluruh anggota keluarganya menggunakan satu pesawat saat berpergian.  Padahal ketika berangkat menuju bandara, mereka semua menggunakan satu mobil dan ia tahu bahwa pesawat terbang merupakan sarana transportasi yang lebih aman dibandingkan dengan transportasi darat.  Contoh lainnya, dengan alasan keselamatan seorang kawan selalu menggunakan safety belt saat mengendarai mobilnya.  Tapi di sisi lain kawan ini adalah seorang perokok berat, dan dia tahu bahwa dampak merokok itu cukup tinggi terhadap  kematian.

Voluntary vs involuntary risk.  Risiko bisa dibedakan menjadi voluntary dan involuntary. Contoh risiko voluntary adalah mengendarai mobil, merokok, dsbnya. Sedangkan contoh risiko involuntary adalah perokok pasif. Suatu risiko, bisa bersifat voluntary bagi seseorang, tapi involuntary bagi yang lainnya.  Sebagai contoh pabrik petrokimia yang didirikan di dekat perkampungan.  Bagi sebagian orang yang sudah mendiami perkampungan tersebut sebelum pabrik didirikan, keberadaan pabrik dianggap sebagai risiko voluntary.  Tetapi bagi mereka yang baru saja membeli rumah di perkampungan sesudah adanya pabrik, keberadaan pabrik merupakan risiko involuntary.

Tingkat risiko.  Secara umum ada 3 tingkat risiko. Tingkat paling bawah adalah tingkat risiko yang sangat rendah sehingga bisa diabaikan (neglible risk). Contoh untuk ini adalah tersambar petir, walaupun ada juga yang tersambar petir, namun ini tidak  membuat orang susah tidur hanya karena pikiran takut tersambar petir.  Tingkat risiko berikutnya adalah yang dapat diterima (acceptable/tolerable risk). Suatu risiko bisa diterima apabila potensi keuntungan yang didapat lebih besar dari kerugian. Contoh yang paling jelas adalah mengendara mobil, walaupun sering terjadi kecelakaan, tapi ini tidak membuat orang berhenti mengendarai. Tingkat risiko yang paling atas adalah yang tidak bisa diterima (unacceptable risk). Contoh risiko ini adalah reaktor nuklir di Indonesia saat ini. Sebagian besar masyarakat Indonesia saat ini masih menolak rencana pembangunan reaktor nuklir baru.

Acceptable risk di industri proses.  Meskipun semua kecelakaan di industri proses tidak boleh terjadi, akan tetapi menghilangkannya seratus persen itu tidak akan mungkin. oleh karena itu perlu ditentukan seberapa banyakkah jumlah kejadian yang masih bisa  diterima.

Konsep tingkat risiko yang dapat diterima (acceptable risk) ini tidak semata-mata merupakan isu teknis tetapi juga menyangkut aspek filosofis dan moral, sehingga sangat sulit untuk ditentukan.

Bagaimana kita harus mengestimasi kejadian yang sangat jarang terjadi?  Katakanlah,  probabilitas terjadinya kecelakaan di sebuah pabrik petrokimia dibatasi 10^-6  per-tahun. Bagaimana mengartikan angka statistik ini di dunia nyata?  Apakah kita harus membangun sepuluh ribu pabrik petrokimia, lalu mengoperasikannya selama seratus tahun baru bisa mendapatkan angka ini?

Dari sisi jumlah kematian akibat kecelakaan misalnya, berapa jumlah kematian maksimum yang diijinkan? Apakah 1 orang dalam 1 tahun atau 10 tahun atau a00 tahun?  Katakan 1 orang dalam 10 tahun, apakah perusahaan berani mempublikasikan angka ini?  Karena angka ini oleh masyarakat bisa dipresepsikan sebagai perusahaan mengijinkan untuk membunuh 1 orang dalam 10 tahun.  Jadi acceptable risk tidak sekedar angka statistik, tapi menyangkut aspek moral.

Dengan adanya kesulitan seperti tersebut di atas, maka jarang sekali perusahaan/lembaga yang berani menentukan angka  acceptable risk ini, apalagi mempublikasikannya.

SIS: (5) Trend Baru Pada Teknologi SIS

Sebelum tahun 1968, umumnya SIS diimplementasikan dengan menggunakan relay.  Setelah itu muncul teknologi solid state menggantikan relay untuk beberapa dekade.  Kedua teknologi, relay dan solid state adalah murni hardware, yang bekerja tanpa menggunakan software.  Saat ini, kebanyakan SIS diimplementasikan  pada perangkat yang berbasis software, yaitu yang dikenal dengan PLC (Programmable Logic Control).

Terkait dengan implementasi SIS, terdapat dua jenis PLC, yaitu General purpouse PLC dan Safety PLC.  General purpose PLC tidak direkomendasikan untuk digunakan pada  SIS, karena memiliki banyak kelemahan.  Kelemahan paling utama adalah ketiadaan/kekurangan dalam diagnostics.  Untuk mengatasi kekurangan tersebut, beberapa  vendor, integrator bahkan user melakukan modifikasi/kastemisasi pada General purpouse PLC sehingga bisa digunakan untuk aplikasi SIS.  PLC seperti ini dikenal dengan sebutan safety-configured PLC.  Berbeda dengan safety-configured PLC yang berasal dari general purpose PLC, safety PLC dari awalnya memang dirancang khusus untuk aplikasi SIS.  Safety PLC mulai digunakan pada tahun 1980-an.  Dengan berjalannya waktu banyak vendor memproduksi safety PLC ini.  Dengan berkembangnya teknologi, semakin banyak fitur-fitur yang ditambahkan pada safety PLC.  Nah, bagaimana dengan trend teknologi SIS saat ini?  Berikut adalah informasinya, yang disadur dari artikel Hydrocarbon Processing Edisi April 2009 yang berjudul Apply new trends for safety-instrumented systems.

Smaller, distributed systems.   Safety PLC generasi pertama yang diperkenalkan pada pertengahan 1980-an bersifat triplicated.  Safety PLC ini harganya jauh lebih mahal dibandingkan dengan general purpouse PLC yang tidak redundant.  Kapasitasnya cukup besar (1000 I/O atau lebih) sehingga cocok jika digunakan pada system/plant yang besar.

Akan tetapi, tidak semua aplikasi SIS memiliki jumlah I/O yang banyak.  Untuk itu beberapa vendor memproduksi safety PLC dengan kapasitas kecil, dengan jumlah I/O yang sedikit.   Umumnya dalam suatu plant terdapat banyak aplikasi SIS, ada yang berskala kecil dan ada juga yang berskala besar.  Menggunakan safety PLC kecil untuk aplikasi kecil dan  safety PLC besar untuk aplikasi besar dalam suatu plant, dimana kedua jenis safety PLC ini memiliki  konfigurasi yang sangat berbeda (walaupun dari vendor yang sama) bukan solusi yang  bijak.  Oleh karena itu, saat ini sejumlah vendor sudah mengeluarkan safety PLC yang dapat digunakan pada sakal kecil yang berdiri sendiri (stand alone), juga pada aplikasi berskala besar  yang terdistribusi (distributed), dengan menggunakan hardware yang sama.

Flexible redundancy.   Seperti dijelaskan sebelumnya, safety PLC pertama bersifat triplicated, semua module bersifat triplicated, tidak ada pilihan lainnya.  Kemudian muncul vendor lainnya yang memproduksi safety PLC yang bisa dikonfigurasi menjadi single dan dual system, sehingga lebih flexible.  Pada tahun 2008 yang lalu, tiga vendor yang berbeda memproduksi safety PLC baru yang dapat dikonfigurasi sebagai single, dual atau triplicate system.  Bahkan satu vendor bisa dikonfigurasi sebagai quad system.  Dengan demikian dalam satu PLC, beberapa module bisa digunakan sebagai single, module lainnya sebagai dual dan lainnya lagi sebagai triplicate system sesuai kebutuhan.  Dengan flexible redundancy seperti ini, kita bisa membangun system yang memenuhi persyaratan safety dan reliability sesuai kebutuhan dengan harga yang relatif lebih murah (biaya bisa dimanfaatkan secara efektif).

Integrated control and safety from one vendor.   Pada awal penggunaannya, control system dan safety system dijalankan pada platform yang berbeda, yang berasal dari dua vendor yang berbeda pula.  Kedua system berkomunikasi satu sama lain melalui  protkol standard industri seperti MODBUS atau OPC atau menggunakan  proprietary protocol melalui gateway.  Pendekatan ini memiliki keuntungan, yakni user dapat memilih system yang terbaik menurut mereka, misalnya control system dari vendor A dan safety system dari vendor B.  Akan tetapi dengan cara ini, user harus bekerja sama dengan dua vendor yang berbeda, mempelajari dua system/platform yang berbeda, pelatihan yang  lebih banyak, belum lagi permasalahan komunikasi antara kedua system tersebut, serta permasalahan lainnya.   Dengan melihat permasalahan seperti ini, banyak vendor control system memutuskan untuk mengembangkan sendiri safety system-nya.  Trend saat ini adalah vendor-vendor menyupply kedua system,  control system dan safety system.  Kedua system sangat mirip (meskipun tidak saling dipertukarkan), sehingga hanya satu jenis pelatihan  yang diperlukan dan programming-nya menggunakan software yang sama.  Komunikasi antara keduanya bersifat seamless sehingga tidak lagi menjadi masalah.

Field busses.   Field bus merupakan jaringan digital untuk sensor dan control valve, yang memungkinkan banyak field devices dikoneksi pada sepasang kabel.  Keuntungannya antara lain pengurangan pemakaian kabel, memiliki internal diagnostic dan lebih murah.  Field bus sudah banyak digunakan dalam control system pada sepuluh tahun terakhir ini, akan tetapi penggunaannya pada safety system masih dipertanyakan.   Yang menjadi pertanyaannya  adalah apakah data/informasi yang melalui jaringan/busses bisa terkorupsi?  Safety standard mensyaratkan bahwa jaringan/bus bisa digunakan hanya jika ia memenuhi persyaratan integrity level.  Dahulu, saat standard ini dibuat, tidak ada satupun jaringan/bus yang memenuhi persyaratan tersebut, tetapi tidak untuk saat ini.

PROFIsafe adalah safety protocol yang digunakan pada PROFIBUS dan PROFINET.  Ia sudah disertifikasi untuk digunakan pada aplikasi SIL 3.  Pada awalnya, ia digunakan pada industri mesin, tetapi keluaran saat ini sudah bisa dipakai di industri proses.  Sehingga paling tidak, sebuah safety PLC sudah bisa digunakan bersama dengan  PROFIsafe devices.

FOUNDATION Fieldbus merupakan fieldbus yang mengijinkan algoritma kontrol dijalankan di field, akan tetapi standard FOUNDATION fieldbus tidak cocok untuk  aplikasi safety.  Fieldbus Foundation saat ini sedang membuat safety standard yang disebut FOUNDATION Fieldbus SIF.  Field device produksi pertamanya sudah dipamerkan pada musim panas 2008 yang lalu.  Diperkirakan produk lengkapnya (field devices dan logic solver) bisa dikeluarkan tahun 2010.

Sebenarnya membuat safety fieldbus tidak terlalu sulit bagi fieldbus manufacturer, karena  self diagnostic seperti yang dipersyaratkan safety system sudah ada pada teknologi fieldbus, tinggal disempurnakan.  Sensor untuk aplikasi SIL 2 dan SIL 3 juga sudah ada sejak beberapa tahun terakhir ini, begitu juga dengan partial stroking control valve untuk aplikasi safety juga sudah tersedia.

Lalu bagaimana dengan HART protocol, yang juga memiliki kemampuan diagnostic?  HART device sudah lama digunakan untuk aplikasi control.  Saat ini beberapa safety PLC sudah mulai memanfaatkan informasi yang dibawah HART protocol ini.

Field devices diagnostic.  Menggunakan safety PLC dengan sertifikasi SIL 3 tidak serta merta membuat safety system tersebut menjadi SIL 3.  Seperti diketahui bahwa kinerja suatu system ditentukan oleh kinerja bagian system yang terlemah.  Umumnya yang menjadi titik lemah dalam sebuah safety system adalah field devices.

Tabel fault tolerant dalam safety standard dengan jelas memperlihatkan bahwa tingkat redundancy dari field devices diperlukan untuk memenuhi SIL 2 dan SIL 3.  Sensor dengan konfigurasi 1oo2 atau 2oo3 dan final element dengan konfigurasi 1oo2 umumnya  diperlukan untuk aplikasi SIL 2 atau SIL 3.  Semua ini akan memakan biaya yang tidak sedikit.

Akan tetapi safety standard juga menyatakan bahwa tingkat redundancy field devices tersebut  bisa dikurangi, salah satunya adalah dengan jalan menggunakan field devices yang dirancang/disertifikasi khusus untuk aplikasi safety.  Transmitter untuk aplikasi safety pertama kali  diluncurkan sekitar tahun 1998, kemudian disusul peluncuran keduanya beberapa tahun kemudian.  Saat ini sudah banyak vendor yang memproduksi safety transmitter ini.  Perbedaannya dengan transmitter biasa terletak pada internal diagnosticnya.  Selain internal diagnostic, ada juga yang menggunakan redundant electronic untuk memenuhi persyaratan safety.   Sedangkan untuk final element, banyak manufacturer yang menggunakan partial stroke control valve, yang menjamin valve tidak lengket.  Dari sisi harga, menggunakan satu buah safety field device jauh lebih murah dibandingkan dengan redundance field devices.

Personel with certification.  Umumnya safety PLC disertifikasi oleh lembaga independent.  Sayangnya banyak system yang bekerja tidak efektif karena dirancang,  dipasang, dioperasikan dan dipelihara dengan tidak benar.  Penggunaan system yang tersertifikasi tidak serta merta membuat plant/fasilitas menjadi aman, penanganannya juga harus dilakukan dengan benar.  Standard mensyaratkan bahwa setiap orang yang  berkecimpung dengan safety system haruslah yang berkompeten.  Lalu pertanyaannya bagaimana menentukan orang itu berkompeten atau tidak?

Beberapa tahun terakhir ini paling tidak ada tiga kelompok/lembaga yang menangani issue ini.  Mereka menyelenggarakan program sertifikasi untuk personel yang  menangani SIS, yang didasarkan pada pengalaman, kursus, hasil ujian atau gabungan ketiganya.  Kelompok pertama menyelenggarakan program yang disebut Certified Functional Safety Expert and Certified Functional Safety Professional (CFSE/CFSP) di tahun 2001.  Kedua, yang dilaksanakan oleh TUV Rhineland, melalui program yang disebut Functional Safety Expert and Functional Safety Engineer (FSExp/FSEng) beberapa tahun terakhir  ini.  Yang ketiga adalah yang dilakukan oleh ISA di tahun 2008  lalu, dengan mengembangkan apa yang disebut dengan three-party safety system certificate program.

Demikian sedikit info tentang trend  teknologi SIS saat ini, semoga bermanfaat.

SIS : (4) Design Life Cycle

Berdasarkan evaluasi yang dilakukan oleh lembaga kesehatan dan keselamatan kerja di suatu negara maju terhadap 34 kecelakaan (accidents) yang disebabkan oleh kegagalan control & safety system pada berbagai jenis industri, ditemukan penyebab kecelakaan tersebut adalah seperti terlihat pada gambar berikut.

 

Yang menarik dari hasil evaluasi ini adalah bahwa penyebab kegagalan tersebut berada di setiap tahap dalam daur hidup (life cycle) dari sistem, mulai dari perancangan, instalasi hingga saat operasi.  Dari sini bisa disimpulkan bahwa untuk menghasilkan suatu sistem yang handal dan aman, perlu ada standard penanganan yang baik dalam setiap tahap dalam daur hidup sistem tersebut.  Berikut adalah salah satu standard penanganan sistem (baca SIS) yang disebut life cycle step yang digambarkan dalam ANSI/ISA S84.01 tahun 1996.

 

Perlu diingat bahwa ini hanya satu contoh, karena banyak industri atau perusahaan memiliki/mengembangkan prosedur life cycle step-nya sendiri sesuai kebutuhan.

1).  Conceptual Process Design.  Ini merupakan tahap pertama dalam life cycle step. Dalam tahap ini dikembangkan pengertian yang cukup mendalam tentang proses, peralatan yang akan dikontrol dan lingkungannya (fisik, sosial, politik dan legal) sehingga memungkinkan tahap-tahap berikutnya bisa dilaksanakan dengan baik.

2). Hazard Analysis and Risk Assessment.  Tahap berikutnya adalah mengembangkan pengertian tentang semua risiko yang terkait dengan proses, yang dilakukan melalui kegiatan hazard analysis dan risk assessment.  Hazard analysis merupakan kegiatan mengidentifikasi risiko yang ada.  Ada sejumlah teknik yang bisa digunakan diantaranya HAZOP, what-if, fault tree dan check list.  Risk assessment merupakan kegiatan dimana sejumlah risiko yang diperoleh dari tahap hazard analysis diberi bobot/peringkat berdasarkan dampaknya.  Risiko bisa berdampak pada personel, produksi, peralatan, lingkungan, nama baik perusahaan dan sebagainya.  Dampak dari risiko merupakan fungsi dari probabilitas kejadian dan konsekuensinya. Risk assessment dapat dilakukan secara kualitatif (misalnya low, medium, high) atau kuantitatif (secara numerik, misalnya jumlah kejadian, jumlah kematian).

3. Application of Non-SIS Layers.  Salah satu tujuan dalam melakukan perancangan sebelum suatu plant dibangun adalah agar bisa mendapatkan plant yang aman.  Akan tetapi, mendapatkan tingkat keamanan 100% itu tidak mungkin, pasti ada risiko yang tertinggal.  Sisa risiko ini dapat dikontrol dengan menggunakan peralatan Non-SIS misalnya peralatan untuk sistem kontrol.

4). Is SIS Required?  Apabila dengan menggunakan peralatan Non-SIS, sisa risiko bisa dikurangi hingga pada tingkat yang bisa diterima, maka perancangan (maksudnya perancangan SIS) berhenti pada tahap ini.  Akan tetapi, apabila sisa risiko masih tinggi, maka peralatan SIS dibutuhkan.

5). Define Target SIS.  Kinerja peralatan SIS yang digunakan harus sesuai  dengan tingkat risiko yang ada.  Artinya, untuk mengatasi tingkat risiko yang lebih tinggi diperlukan peralatan SIS dengan kinerja yang lebih baik.  Ukuran kinerja peralatan SIS yang diperlukan dinyatakan sebagai safety integrity level (SIL).  SIL menunjukan tingkat pengurangan risiko yang diperlukan untuk suatu safety function.  Jadi yang diukur adalah kinerja peralatan SIS yang akan digunakan untuk mengontrol risiko yang diperoleh pada tahap-tahap sebelumnya hingga ke tingkat yang bisa diterima. Salah satu tahap yang paling sulit dalam life cycle step adalah penentuan SIL ini.  Pengukuran SIL bisa dilakukan secara kualitatif maupun kuantitatif.

6). Develop Safety Requirement Specification.  Tahap berikutnya adalah mengembangkan safety requirement specification, yang berisi functional logic  dari sistem.  Setiap safety function harus berhubungan/terkait dengan SIL requirement dan realiability requirement apabila nuisance trip juga menjadi perhatian.  Spesifikasi yang dibuat harus meliputi seluruh rentang operasi, mulai dari start-up hingga shutdown.  Tidak jarang dalam pengembangan spesifikasi ini ditemukan bahwa logic untuk satu kondisi operasi bertentangan dengan kondisi operasi lainnya.  Safety requirement specification terdiri dari functional requirement specification dan integrity requirement specification.  Functional requirement specification menggambarkan apa yang akan dilakukan oleh safety system.  Sedangkan integrity requirement specification menggambarkan seberapa baik safety system tersebut berfungsi.

7).  SIS Conceptual Design.  Tujuan tahap ini adalah untuk mengembangkan perancangan awal (initial design) untuk mengecek apakah sistem yang dirancang sudah  memenuhi safety requirement dan SIS performance requirement.  Tahap ini termasuk pemilihan teknologi, konfigurasi (arsitektur), interval testing dan sebagainya, termasuk field devices dan logic box.  Faktor-faktor yang dipertimbangkan adalah ukuran, biaya, kompleksitas, kecepatan response, komunikasi dengan sistem/peralatan lain, interface,  metode bypass, testing, dsbnya.  Hal lain yang juga dilaksanakan pada tahap ini adalah melakukan analisa untuk mengetahui apakah sistem yang dibuat sudah memenuhi requirement.

8). SIS Detail Design.   Pada tahap ini, rancangan yang ditetapkan pada tahap konseptual diperinci dan didokumentasikan. Dokumen yang dihasilkan dalam tahap ini antara lain PFDavg & MTTF calculation, P&ID, Spec sheet, Loop diagram, Cause & effect matrix, Drawing dan Testing procedures.  Kegiatan ini dilakukan melalui prosedur yang ketat, untuk mencegah terjadinya kesalahan.  Setiap kegiatan (proses) dalam tahap ini harus didokumentasikan dengan baik sehingga bisa ditelusuri oleh siapa saja yang melakukan verifikasi.

9). Installation and Commissioning.  Tahap ini bertujuan untuk menjamin sistem yang dipasang sesuai dengan hasil rancangan (design) dan berfungsi sesuai dengan safety requirement specification.  Sebelum dikirim dari pabriknya, sistem harus ditest untuk menjamin sistem tersebut beroperasi sesuai persyaratan (requirement).  Apabila dibutuhkan perubahan, maka harus dilakukan di pabriknya, jangan menunggu saat di lapangan (site) baru diubah.  Di lapangan, keseluruhan sistem termasuk field devices harus dicek.  Harus ada dokumen (detail installation document) yang menggambarkan setiap prosedur yang dilaksanakan.  Berita Acara harus dibuat dan ditanda tangani untuk menunjukan bahwa setiap fungsi dan tahap operasi sudah dicek.

10). Establish Operation & Maintenance Procedure.  Prosedur operasi dan pemeliharaan harus sudah ada sebelum pelaksanaan start-up.  Prosedur ini berisi penjelasan tentang metode operasi dan pemeliharaan SIS dengan benar dan aman.  Umumnya prosedur tersebut akan menjadi bagian dari SOP unit operasi.

11). Pre-Startup Safety Review.  Sebelum pelaksanaan startup, terlebih dahulu harus dilaksanakan pre-startup safety review (PSSR).  Dalam PSSR minimum dilakukan verifikasi untuk meyakinkan bahwa:

• SIS sudah dipasang dan ditest sesuai dengan safety requirement specification.
• Semua aspek-aspek safety, operasi, pemeliharaan, MOC dan prosedur emergensi yang berhubungan dengan SIS sudah ada dan memadai.
• Semua rekomendasi yang dikeluarkan pada tahap hazard analysis sudah dipenuhi atau diimplementasikan.
• Training kepada personel yang akan mengelola (mengoperasikan dan memelihara) SIS sudah dilakukan.

12).  Startup, Operation and Maintenance.   Setelah PSSR, SIS sudah bisa dioperasikan yang diawali dengan startup.   Selain itu, untuk meyakinkan sistem tetap berfungsi dengan baik, maka perlu dilakukan pemeliharaan secara rutin (periodic maintenance). Tidak semua kerusakan/kegagalan dapat diketahui/didiagnosis secara otomatis (self-revealing), sehingga setiap peralatan SIS harus ditest secara periodik untuk menjamin sistem bekerja secara benar (properly response) sesuai kebutuhan.  Frekwensi inspeksi dan test harus ditentukan lebih awal dalam life cycle step.  Semua pengetesan harus didokumentasikan.

13). Modification.  Jika kondisi proses berubah, maka safety system juga harus diubah.  Semua usulan perubahan membutuhkan review ulang terhadap tahap-tahap dalam life cycle step yang terkait/sesuai.  Perubahan yang mungkin saja dianggap kecil/sederhana oleh seseorang bisa berdampak pada seluruh sistem.  Oleh karena itu, sekecil apapun perubahannya harus melalui proses review yang dilakukan oleh tim yang berkompeten.  Pengalaman menunjukan bahwa banyak kecelakaan disebabkan oleh proses review yang kurang.

14).  Decommissioning.  Decommissioning (pembongkaran) peralatan SIS memerlukan proses review untuk meyakinkan bahwa pembongkaran tersebut tidak berpengaruh pada  proses atau unit-unit di sekitarnya yang masih beroperasi selama proses pembongkaran untuk melindungi personil, peralatan dan lingkungan.

SIS : (3) Tingkatan Proteksi

Kecelakaan itu jarang sekali dipicu hanya oleh penyebab tunggal.  Kecelakaan biasanya merupakan gabungan dari kejadian-kejadian yang jarang terjadi, yang awalnya oleh kita  dianggap tidak saling berhubungan dan tidak mungkin terjadi bersamaan.  Penyelidikan kecelakaan di industri ditemukan bahwa sebagian besar kecelakaan tersebut  terjadi karena operator tidak mengikuti standard prosedur yang aman dalam mempertahankan operasi pada saat emergensi atau saat operator berusaha menjalankan kembali plant sesaat setelah plant tersebut berhenti karena emergensi.  Pada situasi lainnya, kecelakaan terjadi karena kebijakan pihak manajemen untuk tidak melakukan pemeliharaan dan pengetesan rutin terhadap SIS yang digunakan.  Kecelakaan juga terjadi karena operator mengabaikan sistem peringatan dini (alarm) yang muncul/terjadi.

Untuk mengatasi hal ini semua, maka tingkatan proteksi terhadap operasi plant dibuat  berlapis, sehingga apabila terjadi kealpahan (baik sengaja maupun tidak sengaja) pada satu tingkat, maka masih ada tingkat lainnya yang siap mengambil alih untuk memproteksi.  Gambar berikut memperlihatkan salah satu bentuk tingkatan proteksi tersebut.

 

Process Plant Design.  Tingkat proteksi plant yang pertama adalah pada fase perancangan.  Pada saat perancangan awal sebelum plant dibangun, aspek safety juga turut menjadi pertimbangan, yaitu dengan melakukan HAZOP atau teknik sejenisnya seperti fault tree, checklist dan what-if.  Membangunlah plant yang aman, walaupun mungkin biayanya lebih mahal.  Jangan membangun plant yang tidak aman karena selain biaya operasi/pemeliharaannya akan mahal, juga akan membahayakan baik terhadap asset maupun pekerjanya.

Process Control System.  Tingkat proteksi berikutnya adalah saat plant sudah beroperasi, yaitu process control system, yang digunakan untuk mengontrol operasi plant, dengan jalan menjaga kondisi operasi (pressure, temperature, flow, level dan lainnya) dalam batas-batas yang aman.  Jika plant dapat dioperasikan dengan baik, maka dengan  sendirinya kondisi plant juga akan selalu aman.

Alarm System.  Apabila sehubungan dengan satu dan lain hal process control system tidak berfungsi dengan baik, maka alarm system dapat berfungsi sebagai tingkat proteksi berikutnya, yaitu dengan jalan memberikan peringatan kepada operator sehingga operator dapat melakukan aksi untuk memperbaikinya.  Alarm system ini bisa dijalankan di  perangkat process control system (misalnya DCS) atau perangkat SIS (misalnya PLC) atau menggunakan perangkat khusus untuk annunciator alarm yang terhubung langsung (direct wiring) ke sensor.

Safety Instrumented System (SIS).  Apabila process control system dan operator gagal melakukan tugasnya dalam mengamankan operasi plant, maka SIS secara otomatis akan melakukan aksinya untuk melindungi plant.

Fire & Gas System (F&G).  Keempat tingkat proteksi yang baru saja dibahas berfungsi untuk mencegah terjadinya bahaya/kecelakaan (prevention layer), sedangkan fire & gas system berfungsi untuk menghilangkan/mengurangi akibat dari bahaya/kecelakaan yang sudah terjadi (mitigation layer).  Apabila prevention layer gagal berfungsi sehingga terjadi bahaya/kecelakaan, maka fire & gas system akan melakukan tugasnya untuk  menghilangkan/mengurangi akibat dari bahaya/kecelakaan, dengan jalan melakukan aksi secara langsung atau memberikan peringatan kepada orang/kru yang akan melakukan aksi. Perbedaan utama antara SIS dan F&G adalah SIS biasanya normally energized, sedangkan F&G biasanya normally deenergized.  Alasannya adalah karena SIS dirancang untuk membawah plant ke kondisi aman, yang biasanya berhenti beroperasi.

Selain F&G system, mitigation layer juga termasuk containtment system, yaitu sistem yang berfungsi mencegah bahaya/kecelakaan menyebar/meluas dan evacuation procedure, yaitu prosedur untuk evakuasi personal dari area kejadian ke area yang aman.

SIS : (2) Apakah Process Control dan Safety Control Boleh Disatukan?

Pada era-era sebelumnya, dimana komputer digital belum digunakan dalam industri proses, fungsi process control dijalankan pada peralatan yang berbasis sinyal analog dan  fungsi/logika safety dijalankan pada perangkat relay yang terpisah dari perangkat process control.  Sejak mulai digunakannya komputer digital dalam industri proses di tahun 1960 s/d 1970-an, fungsi process control dijalankan di DCS, sedangkan logika safety di PLC.  Mengingat kedua perangkat DCS dan PLC berbasis software dan memiliki fitur yang mirip, maka sebagian orang mengusulkan agar fungsi process control dan  safety dijalankan dalam peralatan yang sama, dalam hal ini DCS. Alasan mereka adalah dengan menggunakan satu peralatan maka integrasi/komunikasi akan lebih mudah, menggunakan power supply yang sama, pengurangan training dan spare parts, yang kesemuanya berujung pada pengurangan biaya keseluruhan (overall cost) yang cukup signifikan.  Apalagi saat ini dengan adanya redundancy system, maka kehandalan DCS sudah cukup tinggi, sehingga tidak ada alasan untuk tidak menyatukan kedua sistem process control dan safety control dalam DCS.

Akan tetapi, mengapa semua standard internasional seperti API, AIChe, IEC, ANSI/ISA, NFPA serta standard lainnya tetap menyatakan/merekomendasikan pemisahan antara kedua sistem tersebut?  Setidaknya ada beberapa alasan yang melatar belakanginya, dua  diantaranya akan dibahas di sini.  Akan tetapi perlu diketahui bahwa issue kehandalan/redundancy DCS bukan merupakan alasannya.

Process control active – Safety control passive.  Perbedaan mendasar antara process control dan safety control adalah process control bersifat active sedangkan safety control bersifat passive.

Process control selalu active, menerima input analog dari sensor/transmitter, melakukan perhitungan algoritma kontrol serta perhitungan lainnya, dan memberi output analog ke  final element.  Jika terjadi permasalahan/kesalahan, dengan mudah bisa diketahui, jarang ada kerusakan yang tidak terdeteksi (hidden failure), semuanya dengan mudah bisa ditelusuri. Parameter-parameternya seperti tunning parameter, range, Auto/Manual bisa diubah-ubah. Sistemnya juga bisa dengan mudah di-bypass.

Sebaliknya, safety control bersifat passive. Sistem ini tidak melakukan apa-apa (tidak bereaksi) selama kondisi normal, sehingga kita tidak mengetahui apakah ia dalam kondisi baik atau tidak.  Untuk itu perlu ada self-diagnostic dalam sistem ini untuk memastikan sistem dalam kondisi baik. Alternative lainnya adalah dengan menggunakan fail-safe system, dimana kemungkinan terjadinya kerusakan yang membahayakan (dangerous failure) ditekan seminimal mungkin.

Oleh karena itu, sistem yang dirancang khusus untuk process control seperti DCS sama sekali tidak bisa digunakan untuk safety control. Alasan utamanya terletak pada self-diagnostic dan/atau fail safe system.  Bisa saja DCS dilengkapi dengan self diagnostic dan/atau fail safe system sehingga bisa digunakan untuk safety control, akan tetapi harganya akan sangat mahal.

Common Cause Failure.  Common cause failure didefinisikan sebagai sebuah kesalahan/kerusakan yang berpengaruh pada lebih dari satu item dalam suatu  peralatan/system. Common cause failure ini selalu ada dalam setiap peralatan/sistem sekalipun peralatan/sistem tersebut bersifat redundant.  Sebagai gambaran, salah satu parameter yang menjadi ukuran common cause failure pada redundant system adalah beta factor, yang menggambarkan persentase dari seluruh kerusakan pada suatu leg/module yang berpengaruh pada seluruh redundant system.

Jika process control dan safety control dijalankan pada suatu system/peralatan, maka akan ada potensi terjadinya kerusakan sistem yang disebabkan oleh common cause failure. Pemisahan kedua system ini dimaksud untuk menghindari pengaruh common cause failure pada kedua sistem sekaligus. Dengan demikian, apabila terjadi kerusakan pada suatu sistem, masih ada sistem lainnya yang bekerja untuk mengamankan plant.

Akan tetapi apabila karena alasan tertentu, kedua sistem ini harus disatukan (seperti pada sistem kontrol untuk turbo machinery), maka spesifikasi perangkat yang digunakan harus setara dengan spesifikasi untuk safety control, yaitu memiliki self diagnostic dan/atau fail safe.

Demikianlah dua alasan mengapa process control  dan safety  control harus dijalankan dalam perangkat yang terpisah.

SIS : (1) Apa itu SIS?

Dalam industri proses, istilah safety interlock system, safety instrumented system (SIS), safety shutdown system, emergency shutdown system (ESD) merupakan istilah yang merujuk pada peralatan/sistem yang sama. Setelah melalui perdebatan yang panjang, dimana pengguna masing-masing istilah tersebut saling mempertahankan pendapatnya,  akhirnya komite ISA SP84 sepakat dan memutuskan untuk menggunakan istilah safety instrumented system (SIS) untuk peralatan/sistem tersebut. Bagi pembaca yang masih fanatik dengan istilah lain selain SIS, mohon maaf karena dalam tulisan ini serta tulisan lainnya dalam blog ini saya akan menggunakan istilah SIS ini.

Lalu, apa itu safety instrumented system (SIS)? SIS merupakan peralatan/sistem yang dirancang untuk memonitor kondisi berbahaya dalam suatu plant (dalam hal ini unit operasi) dan melakukan aksi apabila terjadi kondisi berbahaya atau kondisi dimana jika tidak dilakukan aksi maka akan menimbulkan bahaya. Peralatan/sistem ini akan menghasilkan output yang akan mencegah bahaya atau mengurangi akibatnya.

Secara umum, SIS terdiri dari sensor, logic solver atau disebut juga safety control dan final element, seperti diperlihatkan pada gambar berikut.

 

Tulisan ini merupakan bagian pertama dari tulisan berseri mengenai safety instrumented system (SIS). Bahan utama tulisan untuk seri-seri awal ini, disadur dari buku Safety Shutdown Systems: Design, Analysis and Justification; Karangan Paul Gruhn, PE & Harry L. Chelddie PE. dan Control Systems Safety Evaluation & Reliability, 2nd Ediition;  Karangan William M. Goble.  Bagi pembaca yang ingin lebih mendalaminya dapat membacanya pada kedua buku tersebut.