📘 ARTIKEL 32: Perbedaan BPCS vs SIS & Konsep Dasar SIL

• 📘 ARTIKEL 32: Perbedaan BPCS vs SIS & Konsep Dasar SIL
• 1️⃣ Informasi Umum
• 2️⃣ Learning Objective (Measurable & Skill-Based)
• 3️⃣ System Context & Criticality
  • BPCS (Basic Process Control System)
  • SIS (Safety Instrumented System)
  • Perbedaan Peran
  • Prinsip Layer of Protection
• 4️⃣ Diagram Literacy Section (WAJIB)
  • A. Arsitektur BPCS vs SIS
  • B. Jalur Sensor & Final Element
  • C. Voting Logic & Redundancy
• 5️⃣ Background & Failure Scenario
• 6️⃣ Symptom & Initial Finding
  • Terlihat
  • Terukur
  • Asumsi Umum
• 7️⃣ Possible Causes (Structured Hypothesis)
  • A. Instrument
  • B. Control
  • C. Mechanical
  • D. Human Error
    • Prinsip Penting
• 8️⃣ Step-by-Step Investigation Flow
  • 1️⃣ Identifikasi Arsitektur
  • 2️⃣ Evaluasi Logic Solver
  • 3️⃣ Evaluasi Final Element
  • 4️⃣ Evaluasi Voting & Redundancy
  • 5️⃣ Bandingkan dengan Requirement SIL
• 9️⃣ Root Cause & Contributing Factor
  • Root Physical Mechanism
  • Load / Stress Condition
  • Operational Trigger
  • System Consequence
  • Contributing Factor
• 🔟 Reference to Standard & Gap Analysis
  • Seharusnya
  • Gap Umum di Lapangan
• 1️⃣1️⃣ Corrective & Preventive Action
  • Immediate Action
  • Permanent Fix
  • System Improvement
  • Monitoring Plan
• 1️⃣2️⃣ Risk & Safety Reflection
• 1️⃣3️⃣ Data Interpretation & Trend Awareness
• 1️⃣4️⃣ Competency Mapping
  • Penjelasan Mapping
• 1️⃣5️⃣ Discussion Question (Toolbox Use)
• 1️⃣6️⃣ Key Takeaway

1️⃣ Informasi Umum

1. Judul Artikel Perbedaan BPCS vs SIS & Konsep Dasar SIL

2. Disiplin: Control / Instrumentation

3. Level: Junior

4. Kategori:

   • Basic Theory
   • Safety
   • System Interaction

5. Equipment / System Terkait:

   • Basic Process Control System (BPCS / DCS)
   • Safety Instrumented System (SIS)
   • Sensor Proses (PT / TT / LT)
   • Logic Solver (PLC / Safety PLC)
   • Final Element (Control Valve / ESD Valve)

6. Referensi Standar:

   • International Electrotechnical Commission – IEC 61511
   • International Electrotechnical Commission – IEC 61508

2️⃣ Learning Objective (Measurable & Skill-Based)

Setelah membaca artikel ini, teknisi mampu:

• LO1 – Skill teknis terukur Mengidentifikasi arsitektur BPCS dan SIS pada diagram lapangan (P&ID atau diagram arsitektur sederhana) dan membedakan jalur kontrol dengan jalur proteksi.

• LO2 – Skill analisa Menjelaskan perbedaan fungsi kontrol normal dan fungsi proteksi serta implikasi penggunaan redundancy (1oo1, 1oo2, 2oo3) terhadap keandalan sistem.

• LO3 – Skill sistem & safety Menjelaskan konsekuensi teknis dan risiko keselamatan jika independensi antara BPCS dan SIS dilanggar, termasuk potensi single point of failure yang menghilangkan dua lapisan proteksi sekaligus.

⚠ LO3 secara langsung terkait sistem dan keselamatan proses.

3️⃣ System Context & Criticality

Dalam sistem proses industri:

BPCS (Basic Process Control System)

Berfungsi untuk:

• Mengontrol variabel proses (flow, pressure, temperature, level).
• Menjaga stabilitas operasi.
• Mengoptimalkan produksi.

Contoh:

Process Pressure → Pressure Transmitter (BPCS) → DCS Controller → Control Valve (modulating)

BPCS bekerja kontinu dan dinamis.

SIS (Safety Instrumented System)

Berfungsi untuk:

• Mendeteksi kondisi berbahaya.
• Mengintervensi secara otomatis saat batas aman terlampaui.
• Mengurangi risiko kecelakaan besar.

Contoh:

Jika tekanan terus naik: Pressure Transmitter (SIS) → Safety PLC → ESD Valve Close → Isolasi proses

SIS bekerja intermiten, tetapi saat aktif dampaknya sangat kritis.

Perbedaan Peran

• BPCS = menjaga operasi tetap stabil
• SIS = mencegah kecelakaan

Jika BPCS gagal:

• Proses bisa tidak stabil.
• Produksi terganggu.
• Biasanya tidak langsung menyebabkan kecelakaan besar.

Jika SIS gagal:

• Tidak ada lapisan proteksi terakhir.
• Potensi Loss of Containment.
• Potensi fire / explosion.

Prinsip Layer of Protection

BPCS dan SIS adalah dua lapisan berbeda.

Jika keduanya tidak independen:

• Satu kegagalan dapat menghilangkan kontrol dan proteksi sekaligus.
• Risk reduction aktual turun drastis.
• SIL yang diklaim tidak tercapai.

👉 Pemahaman konteks sistem memastikan teknisi tidak menganggap BPCS dan SIS sebagai sistem yang “sama”, meskipun keduanya menggunakan sensor dan PLC.

4️⃣ Diagram Literacy Section (WAJIB)

A. Arsitektur BPCS vs SIS

Pada arsitektur yang benar:

• BPCS (DCS/PLC control) memiliki:

  • Controller terpisah
  • I/O terpisah
  • Power supply terpisah

• SIS (Safety PLC) memiliki:

  • Logic solver khusus safety
  • Modul I/O safety-rated
  • Power supply independen

Teknisi harus mampu menunjukkan pada diagram:

• Mana controller BPCS
• Mana Safety PLC
• Apakah jaringan komunikasi dipisah
• Apakah ada shared cabinet atau shared power

⚠ Jika BPCS dan SIS berada dalam PLC yang sama tanpa separation, maka prinsip independensi tidak terpenuhi.

B. Jalur Sensor & Final Element

Pada desain yang memenuhi prinsip safety:

• Sensor BPCS dan sensor SIS tidak berbagi transmitter yang sama.
• Control valve dan ESD valve memiliki fungsi berbeda.
• Final element SIS bersifat fail-safe (spring return, de-energize to trip).

Identifikasi penting:

• Apakah satu transmitter digunakan untuk dua sistem?
• Apakah control valve juga berfungsi sebagai shutdown valve?
• Apakah ada dedicated ESD valve?

Jika sensor atau valve digunakan bersama:

→ Single failure dapat menghilangkan kontrol dan proteksi sekaligus.

C. Voting Logic & Redundancy

Redundancy digunakan untuk menurunkan probability of failure.

Konfigurasi umum:

• 1oo1 → satu sensor cukup untuk trip.
• 1oo2 → dua sensor, satu cukup untuk trip.
• 2oo3 → dua dari tiga sensor harus aktif.

Semakin tinggi redundancy:

• Reliability meningkat.
• Probability of Failure on Demand (PFD) menurun.
• Biaya dan kompleksitas meningkat.

Hubungan dengan SIL:

• SIL bukan sekadar label.
• SIL bergantung pada arsitektur (hardware fault tolerance) dan reliability komponen.

Teknisi harus memahami bahwa:

SIL tinggi tidak mungkin dicapai dengan arsitektur single channel tanpa redundancy.

👉 Diagram literacy memastikan teknisi memahami perbedaan fisik dan arsitektural antara BPCS dan SIS, bukan hanya perbedaan definisi teoritis.

5️⃣ Background & Failure Scenario

Ilustrasi kasus untuk memahami pentingnya independensi BPCS dan SIS.

Kondisi normal:

• BPCS mengontrol pressure pada 8 bar.
• Pressure Transmitter (PT-101) mengirim sinyal ke DCS.
• Control valve memodulasi untuk menjaga tekanan stabil.

Kejadian:

• Control valve mengalami mechanical sticking.
• Pressure mulai naik: 9 bar → 10 bar → 11 bar.
• BPCS terus mengirim perintah buka, tetapi valve tidak merespon.

Jika arsitektur benar (independen):

• PT-SIS membaca 12 bar.
• Safety PLC aktif.
• ESD valve close.
• Overpressure dicegah.

Namun pada kasus non-independen:

• Satu transmitter digunakan bersama oleh BPCS dan SIS.
• PLC control dan safety berada dalam hardware yang sama.
• Transmitter mengalami short circuit.
• Sinyal hilang atau terbaca rendah.

Akibatnya:

• BPCS tidak membaca kenaikan tekanan secara benar.
• SIS juga tidak menerima sinyal valid.
• Tidak ada trip.
• Pressure terus naik.

Ilustrasi ini menunjukkan bahwa desain arsitektur menentukan apakah satu kegagalan dapat menghilangkan dua fungsi sekaligus.

6️⃣ Symptom & Initial Finding

Dalam kasus sistem tidak independen:

Terlihat

• Tidak ada trip meskipun pressure tinggi.
• Control valve tetap tidak efektif.
• Alarm mungkin muncul, tetapi tidak ada shutdown otomatis.

Terukur

• Satu transmitter digunakan untuk dua sistem.
• PLC umum digunakan untuk control dan safety.
• Tidak ada separate power supply untuk SIS.

Asumsi Umum

• “Sudah ada alarm, berarti aman.”
• “PLC cukup andal untuk dua fungsi.”

⚠ Alarm bukan pengganti trip otomatis.

Jika logic dan sensor sama, maka satu fault dapat menghilangkan kontrol dan proteksi sekaligus.

Tujuan section ini adalah memisahkan:

• Fakta arsitektur sistem
• Persepsi rasa aman
• Realitas risk exposure

7️⃣ Possible Causes (Structured Hypothesis)

Analisa dilakukan lintas disiplin.

A. Instrument

• Sensor digunakan bersama antara BPCS dan SIS.
• Tidak ada redundansi transmitter.
• Tidak ada isolasi sinyal.
• Wiring common tanpa separation.

Indikasi: Satu sensor failure mempengaruhi dua sistem.

B. Control

• Logic control dan safety dalam PLC yang sama.
• Tidak ada safety-rated module.
• Tidak ada separation level (SIL capability tidak diverifikasi).

Indikasi: Single CPU failure menghilangkan fungsi kontrol dan safety.

C. Mechanical

• Control valve juga digunakan sebagai shutdown valve.
• Tidak ada dedicated ESD valve.
• Tidak ada fail-safe spring return.

Indikasi: Valve macet → tidak ada jalur isolasi alternatif.

D. Human Error

• Desain cost-saving tanpa studi SIL memadai.
• Salah pemahaman bahwa alarm cukup sebagai proteksi.
• Tidak ada verifikasi independensi saat FAT/SAT.

Prinsip Penting

Jika satu kegagalan (single fault) dapat:

• Menghilangkan kontrol
• Menghilangkan proteksi

Maka sistem tidak memenuhi prinsip independensi dan risk reduction aktual jauh lebih rendah dari yang diasumsikan.

Pemahaman ini penting sebelum berbicara tentang SIL angka (SIL 1, 2, 3).

8️⃣ Step-by-Step Investigation Flow

Evaluasi perbedaan BPCS dan SIS tidak dilakukan dengan mengganti komponen, tetapi dengan audit arsitektur sistem.

1️⃣ Identifikasi Arsitektur

• Apakah sensor BPCS dan SIS terpisah?
• Apakah terdapat dua transmitter berbeda pada P&ID?
• Apakah wiring menuju dua panel berbeda?
• Apakah ada shared marshalling atau shared I/O card?

🎯 Decision Point: Jika satu transmitter masuk ke dua logic berbeda tanpa isolasi independen, maka prinsip separation diragukan.

2️⃣ Evaluasi Logic Solver

• Apakah BPCS dan SIS berada dalam PLC yang sama?
• Apakah modul I/O safety-rated atau hanya standard?
• Apakah power supply untuk SIS terpisah?
• Apakah terdapat segregasi jaringan komunikasi?

Jika satu CPU failure dapat menghentikan kontrol dan proteksi → independensi tidak terpenuhi.

🎯 Decision Point: SIL tidak dapat diklaim tinggi jika logic solver tidak terpisah atau tidak safety-rated.

3️⃣ Evaluasi Final Element

• Apakah control valve juga digunakan sebagai shutdown valve?
• Apakah ada dedicated ESD valve?
• Apakah actuator bersifat fail-safe (spring return)?
• Apakah ada redundancy final element jika dibutuhkan SIL tinggi?

Jika valve macet dan tidak ada ESD valve terpisah → tidak ada lapisan proteksi terakhir.

4️⃣ Evaluasi Voting & Redundancy

• Konfigurasi 1oo1 atau lebih tinggi?
• Apakah redundancy power supply tersedia?
• Apakah ada hardware fault tolerance sesuai target SIL?

Redundancy harus sesuai dengan SIL requirement, bukan hanya untuk “terlihat aman”.

5️⃣ Bandingkan dengan Requirement SIL

• Target SIL berapa?
• Apakah arsitektur memenuhi hardware fault tolerance?
• Apakah separation memenuhi IEC 61511?

🎯 Decision Point: Jika satu kegagalan dapat menghilangkan kontrol dan proteksi sekaligus → sistem tidak memenuhi Layer of Protection independen.

Pendekatan ini memastikan evaluasi dilakukan secara sistemik, bukan asumsi bahwa “PLC sudah cukup canggih”.

9️⃣ Root Cause & Contributing Factor

Dalam ilustrasi kegagalan:

Root Physical Mechanism

Single transmitter mengalami short circuit akibat overvoltage transient.

Akibatnya:

• Output sinyal drop ke 0 mA.
• BPCS membaca tekanan rendah.
• Controller membuka valve penuh.
• SIS juga membaca tekanan rendah karena sensor sama.

Tidak ada trip aktif.

Load / Stress Condition

• Transient tegangan pada power supply.
• Panel temperatur tinggi.
• Tidak ada surge protection memadai.

Operational Trigger

Control valve macet saat tekanan meningkat.

Karena sensor dan logic shared:

• Kenaikan tekanan tidak terbaca dengan benar.
• Tidak ada intervensi otomatis.
• Pressure terus naik melewati batas desain.

System Consequence

• Overpressure.
• Potensi rupture vessel.
• Hydrocarbon release.
• Fire / explosion escalation.

Single failure → kehilangan dua fungsi sekaligus.

Contributing Factor

• Desain tidak memenuhi prinsip independensi.
• Tidak ada SIL verification study memadai.
• Salah interpretasi bahwa alarm cukup sebagai proteksi.
• Fokus pada penghematan biaya, bukan risk reduction.

Masalah utama bukan pada transmitter rusak, tetapi pada arsitektur sistem yang salah.

🔟 Reference to Standard & Gap Analysis

Mengacu pada IEC 61511:

• SIS harus independen dari BPCS.
• Target SIL ditentukan oleh risk assessment.
• Arsitektur harus mendukung hardware fault tolerance.
• Separation harus diterapkan pada sensor, logic, dan final element.

Seharusnya

• Sensor BPCS dan SIS terpisah.
• Logic solver safety-rated dan independen.
• Final element memiliki fail-safe mechanism.
• Power supply dan wiring tersegregasi.

Gap Umum di Lapangan

• Shared transmitter.
• Shared PLC.
• Shared power supply.
• Control valve merangkap shutdown valve.
• Tidak ada dokumentasi SIL verification.

Akibatnya:

Risk reduction aktual jauh lebih rendah dari klaim desain.

SIL bukan hanya angka di dokumen — harus tercermin pada arsitektur fisik sistem.

1️⃣1️⃣ Corrective & Preventive Action

Tindakan harus menutup celah arsitektur, bukan hanya mengganti komponen.

Immediate Action

• Audit cepat arsitektur BPCS & SIS pada loop kritis (sensor, logic, final element).
• Identifikasi semua shared component: transmitter, I/O card, power supply, network, dan marshalling.
• Pastikan tidak ada bypass/override safety aktif tanpa kontrol.
• Terapkan pengendalian perubahan (MOC) untuk setiap modifikasi fungsi safety.

Permanent Fix

• Tambahkan sensor independen untuk SIS (dedicated PT/TT/LT).
• Pisahkan logic solver: gunakan safety PLC terpisah atau safety-rated subsystem.
• Pastikan final element SIS dedicated dan fail-safe (mis. ESD valve spring return, de-energize to trip).
• Pisahkan power supply, wiring, dan cabinet segregation sesuai prinsip independensi.

System Improvement

• Review SIL verification report dan pastikan arsitektur memenuhi hardware fault tolerance yang dibutuhkan.
• Terapkan standar internal “no shared component” untuk SIF kritis (kecuali dibuktikan aman melalui analisa).
• Perkuat FAT/SAT checklist: verifikasi independensi sensor–logic–final element.
• Lakukan training awareness untuk teknisi dan engineer: bedakan kontrol vs proteksi dalam praktik lapangan.

Monitoring Plan

• Audit tahunan independensi BPCS vs SIS (sensor, logic, final element, power).
• Review bypass & override register secara berkala (mingguan/bulanan).
• Monitoring frekuensi demand dan trip pada SIS serta penyebabnya.
• Tracking temuan audit dan tindak lanjut (closure effectiveness).

1️⃣2️⃣ Risk & Safety Reflection

Risiko terbesar saat independensi dilanggar:

• Single failure menghilangkan dua lapisan: kontrol dan proteksi.
• Tidak ada automatic shutdown saat kondisi emergency.
• Operator hanya mengandalkan alarm, yang bisa terlambat atau salah.

Potensi bahaya:

• Overpressure berlanjut tanpa mitigasi.
• Vessel rupture.
• Hydrocarbon release.
• Fire / explosion escalation.

Risiko sistemik:

• Kepercayaan berlebihan terhadap alarm.
• Budaya “PLC bisa untuk semuanya” tanpa verifikasi safety lifecycle.

Menggabungkan control & safety untuk penghematan biaya dapat meningkatkan risiko catastrophic accident.

Independensi bukan pilihan, tetapi keharusan dalam Layer of Protection.

1️⃣3️⃣ Data Interpretation & Trend Awareness

Parameter yang perlu dianalisa untuk mengawasi integritas arsitektur:

• Jumlah shared component antara BPCS & SIS pada loop kritis.
• Frekuensi override/bypass safety dan durasi aktifnya.
• Status audit compliance terhadap requirement SIL.
• Temuan FAT/SAT/MOC terkait perubahan arsitektur.

Trend berbahaya:

• Banyak bypass aktif dan sering “lupa direstore”.
• Sensor sering digunakan bersama untuk kontrol dan safety.
• Perubahan kecil wiring/power tanpa dokumentasi.

Early Warning Indicator:

• Tidak ada dokumen SIL verification yang update.
• Tidak ada pemisahan power supply dan cabinet segregation.
• Banyak “temporary modification” menjadi permanen tanpa evaluasi risiko.

Kesadaran arsitektur lebih penting daripada sekadar membaca nilai proses, karena kegagalan arsitektur dapat menghilangkan proteksi saat paling dibutuhkan.

1️⃣4️⃣ Competency Mapping

Penjelasan Mapping

• SIL awareness (A → W) Dari mengetahui istilah SIL menjadi mampu mengaitkan SIL dengan arsitektur fisik (sensor–logic–final element–power).

• BPCS vs SIS differentiation (A → W) Dari membedakan definisi menjadi mampu mengidentifikasi implementasi nyata di P&ID/arsitektur lapangan.

• Diagram literacy (W → I) Dari membaca jalur sederhana menjadi mampu mengaudit independensi pada level kabinet, power supply, dan I/O.

• Safety system critical thinking (W → I) Dari mengikuti prosedur menjadi mampu menilai risiko single point of failure dan dampaknya terhadap Layer of Protection.

1️⃣5️⃣ Discussion Question (Toolbox Use)

1. Mengapa alarm pada BPCS tidak dapat menggantikan fungsi SIS?
2. Apa risiko menggunakan satu transmitter untuk control dan safety sekaligus?
3. Bagaimana hubungan antara redundancy dan SIL dalam konteks risk reduction aktual?

1️⃣6️⃣ Key Takeaway

• BPCS mengontrol, SIS melindungi.
• Independensi adalah prinsip utama safety.
• SIL berkaitan dengan kebutuhan risk reduction, bukan label.
• Redundancy menurunkan probability of failure dan meningkatkan fault tolerance.
• Shared component mengurangi efektivitas proteksi dan menciptakan single point of failure.
• Alarm bukan pengganti trip otomatis.
• Desain arsitektur menentukan keselamatan jangka panjang.