Kamis, 25 Februari 2016

Redundancy, HFT (Hardware Fault Tolerance) dan Voting

Apakah Redundancy itu sama dengan HFT (Hardware Fault Tolerance) ??? 

Jika ada yang bertanya demikian, maka jawabanya adalah : tidak sama. Saya mencoba menerangkan perbedaannya. Tapi untuk itu kita juga harus mengerti apa yang di sebut dengan Voting, karena Redundancy, HFT dan Voting mempunyai keterkaitan.

Redundancy

Secara umum Redundancy dapat di definisikan, suatu sistem yang di disain dari beberapa elemen (komponen, sofware, device dll) , untuk tetap berfungsi dengan normal walaupun terdapat satu atau lebih elemen yang tidak berfungsi. 
Redundancy tidak ditentukan oleh banyaknya bagian yang sama  atau perangkat yang terlihat. Ada atau tidaknya sistem redundancy ditentukan oleh fungsi yang kita  tentukan ke perangkat/elemen-elemen tersebut.

Perhatikan gambar di bawah ini :

 
Apakah ini redundancy ??


Jawabannya tergantung fungsi yang kita berikan terhadap Valve tersebut.

Jika valve tersebut di desain untuk menghentikan flow/aliran, dan keduanya terbuka/open pada kondisi operasi normal, maka cukup 1 valve saja menutup untuk menghentikan aliran/flow. Atau dengan kata lain, jika salah satu valve terjadi malfunction (terbuka terus) maka fungsinya masih dapat berjalan, karena cukup satu valve saja untuk menghentikan aliran. Ini di sebut Redundancy dengan arsitektur 1oo2.

Jika valve tersebut didesain untuk membuka aliran/flow,  dan keduanya tertutup pada saat kondisi operasi normal, maka perlu kedua-duanya terbuka untuk memulai aliran. Jika salah satu valve terjadi malfunction (tertutup terus/stuck) maka fungsi nya tidak dapat berjalan (tidak ada aliran) karena butuh kedua valve terbuka. Ini tidak bisa di sebut Redundancy, kedua valve ini di desain dengan arsitektur 2oo2.

Dalam kasus pertama kita bisa menyebut redundant, tapi berapa banyak redundant nya ?? Jawabanya adalah satu, karena hanya butuh satu valve untuk menghentikan aliran, dan valve yang satu lagi sebagai redendant jika valve yang lain gagal/fail.


HFT dan Voting 

Dalam Functional Safety kita menggunakan istilah HFT  untuk menyatakan bahwa kita memiliki redundansi maupun tidak. Ketika sebuah desain memiliki HFT = X itu berarti bahwa system itu dapat mentolerir X kegagalan  dan masih bekerja. Dan jika terjadi X + 1 kegagalan maka system tersebut tidak bekerja lagi. HFT dapat dengan mudah dihitung jika arsitektur diketahui, misal : 1oo1, 1oo2, 2oo3, dll.  Jika arsitektur dinyatakan sebagai MooN, maka HFT dihitung sebagai N - M (N di kurang M)  Dengan kata lain arsitektur 2oo4 memiliki HFT dari 2. ini berarti dapat mentolerir 2 kegagalan dan masih bekerja, dan dengan demikian itu adalah arsitektur dengan redundansi. Tapi berapa banyak redundancy nya ??

Sebuah arsitektur 1oo1 memiliki HFT = 0 dan dengan demikian dapat mentolerir 0 kegagalan dan tidak memiliki redundansi. Sebuah arsitektur 2oo2 memiliki HFT = 0 dan dengan demikian dapat mentolerir 0 kegagalan dan tidak memiliki redundansi (walaupun terdiri dari dua perangkat/element). Ini di sebabkan adanya  Voting. Voting didefinisikan sebagai banyaknya jalur yang harus bekerja dari total jalur yang tersedia. Sebuah 2oo2 memiliki dua jalur yang tersedia, tetapi juga kedua jalur tersebut  harus bekerja. Jika salah satu jalur gagal, maka system tidak bekerja lagi. Oleh karena itu 2oo2 tidak memiliki redundansi. Jadi dengan  melihat jumlah dua valve itu tidak berarti memiliki redundansi. Anda perlu tahu berapa banyak Voting yang dibutuhkan.


Lihat tabel di atas.

HFT terlihat seperti itu sama dengan redundansi tapi pada arsitektur 2oo4 menjadi berbeda. Yang secara otomatis berarti bahwa toleransi kesalahan hardware bukan merupakan ukuran redundansi. Hal ini tidak sama. Jika HFT lebih besar dari nol Anda tahu Anda memiliki redundansi tetapi Anda tidak tahu berapa banyak redundant nya.
 
Jika kita memiliki 4 buah Pressure Transmitter A, B, C, D dalam arsitektur 2oo4. Ini berarti kita memiliki pilihan berikut untuk melaksanakan fungsi yang diinginkan: AB, AC, AD, BC, BD, CD. Untuk mengetahui berapa banyak redundansinya kita kita perlu tahu berapa banyak pilihan yang tersisa jika ada Pressure transmitter  gagal. Jika salah satu Pressure Transmitter  gagal, apakah itu system masih bekerja?  Mari kita asumsikan A gagal maka pilihannya tinggal  berikut : AB, AC, AD, BC, BD, CD. Dengan kata lain setelah satu transmitter mengalami kegagalan kita memiliki 3 pilihan  atau dengan kata lain kita punya tiga redundancy  setelah satu kegagalan. Jika terjadi 2 transmitter gagal (misal A dan B) maka pilihanya tinggal AB, AC, AD, BC, BD, CD. Dengan kata lain kita masih memiliki 1 redundancy setalah 2 transmitter mengalami kegagalan.
 
 

 
Diposting oleh di Tidak ada komentar:
Label:

Rabu, 17 Februari 2016

Contoh Perhitungan LOPA (Layer of Protection Analyses) & SIL

Contoh soal ini Saya dapat dari internet, sebuah soal dalam test untuk mendapatkan Certificate Functional Safety Expert. Biasanya soal terbagi 3 type, pilihan ganda, esai dan study kasus (desain).
Di sini saya hanya ambil soal study kasusnya saja, karena biasanya mempunyai bobot penilaian yang paling besar.
Agak sulit/rancu menerjemahkan soalnya dalam bahasa, mungkin lebih baik soalnya tetap dalam bahasa Inggris, untuk jawaban Saya coba terjemahkan, karena ada bebrapa kalkulasi/perhitungan.

Kasus :

A specialty chemical company has developed a batch process to produce a new polymer. The process creates a solution of polymer and cyclohexane that is withdrawn from the bottom of the pressurized, water cooling jacketed, continuously stirred tank reactor. The vessel is charged by filling it with 250 kg. of cyclohexane and manually dumping 125 kg. or 5 bags of reactant A into the vessel. After the vessel is charged and closed, the stirring mechansim is started and the vessel's jacket is flooded with cooling water. After the stirring and cooling have been established a small, metered rate of 0.5 kg/min of reactant B is continuously added to the solution. Reactants A and B combine to form the desired product. Each batch operates for three weeks, and 5 batches are operated per year.

The reaction A and B is nearly instantaneous and highly exothermic. Safe operation of this process requires that cooling water continuously be flowing through the jacket. Hazard analysis determined that loss of cooling water could cause a "runaway" reaction and physical explosion of the vessel. The plant's safety division performed a quantitative consequence analysis of the physical explosion of this vessel. The analysis determined that the explosion would result in the following consequence:

- Probable Loss of Life: 5.64 fatalities
- Probable Injuries: 13.24 injuries

The following layers of protection were identified as a safeguard against explosion of the vessel due to runaway reaction.
- A rupture disk set to relieve the pressure well below the design pressure of the vessel
- Operator intervention to high vessel temperature, high vessel pressure, and low cooling water flow alarms

A safety instrumented system that injects a reaction-inhibiting chemical if the vessel temperature or pressure exceeds predetermined conditions was recommended in the process hazards analysis.

A process engineer determined the following frequencies and failure probabilities after reviewing the history of the plant.

- Cooling Water Pump Fails: 1/75 /year
- Rupture Disk PFD: 0.0956
- Operator Response to Cooling Water Loss pfd: 0.1


 The plant uses the following table to determine tolerable frequency of an unwanted event, based on its consequence.




 Soal :

1. Create a LOPA diagram that describes the situation defined above.
2. Quantify the LOPA to obtain the frequency at which the unwanted explosion is expected to
occur.
3. Based on the company's tolerable risk guidelines, select the safety integrity level for the
inhibitor injection SIS.


Jawaban :

1. Pembuatan LOPA untuk menggambarkan Situasi dan kuantifikasi dalam menentukan frekuensi kecelakaan yang tidak diinginkan.
LOPA diagram yang di buat memiliki empat cabang dengan dua output. 
Tahap pertama adalah kejadian awal, yang merupakan hilangnya air pendingin.  
Cabang pertama, apakah kejadiannya pada saat operasional. 
Cabang kedua mewakili apakah operator gagal untuk menanggapi atau tidak.
Cabang ketiga adalah apakah rapture disk gagal
Lalu akhirnya adalah terjadi ledakan.




 2. Plant ini tidak terus beroperasi, oleh sebab itu akan mengurangi frekuensi kejadian yang tidak diinginkan.  
Plant  operasional:




 

Dari hasil perhitungan di atas, dan data2 yang di berikan maka kemungkinan kejadian ledakan dapat di hitung :

probability pump fail * plant operational * Operator loss * rapture disk fail

0.0134 * 0.29 * 0.1 * 0.0956 = 0.00003715 = 3.7E-5






3. Karena jika terjadi ledakan (sesuai data dari soal) maka kemungkinan terjadi nya korban jiwa (Probability Lost Life) = 5.64 fatalities. Maka sesuai tabel  tolerable frequency dan consequence di atas, maka kejadian ledakan ini di klasifikasikan sebagai Multiple Fatalities Likely.
Dan sesuai tabel tersebut juga, bahwa  Multiple Fatalities Likely mempunya tolerable frequency 1.0E-6.

Dari data-data tersebut maka, kita dapat menentukan SIS PFD yang di butuhkan.
target PFD  = 1.0E-6
event explosion probability = 3.7E-5

target PFD = event explosion probability * SIS PFD
SIS PFD = (1.0E-6) / (3.7E-5) = 2.7E-2

Risk Reduction Factor (RRF) dari SIS PFD = 1/(2.7E-2) = 37







Merujuk ke IEC 61511, RRF SIL 1 adalah 10 - 100, dan RRF SIL 2 adalah 100 - 1000.
Maka dapat di simpulkan SIS yang di buat harus SIL 2.





























Diposting oleh di Tidak ada komentar:
Label:
Langganan: Postingan (Atom)