Layer of Protection Analysis (LOPA) 1. Pengertian Layer of Protection Analysis (LOPA) merupakan alat semikuantitatif untuk menganalisa dan menilai resiko (Center (Center for Chemical Process Safety , 2001). LOPA dapat secara efektif digunakan pada tiap poin siklus dari sebuah proses atau fasilitas. Input kunci dari LOPA adalah skenario yang diperoleh dari identifikasi potensi bahaya. Tujuan utama LOPA adalah untuk memastikan bahwa telah ada lapisan perlindungan yang sesuai untuk melawan skenario kecelakaan. Skenario mungkin membutuhkan satu atau lebih lapisan perlindungan tergantung pada kompleksitas proses dan severity dari sebuah consequence. consequence. Untuk skenario yang diberikan, hanya satu lapisan perlindungan yang harus berhasil bekerja mencegah consequence. consequence.
Gambar 1.1 Lapisan pertahanan untuk untuk melawan kemungkinan celaka (Center for Chemical Process Safety , 2001) Walaupun tidak ada lapisan yang efektif dengan sempurna, lapisan perlindungan yang cukup harus disediakan agar resiko kejadian dapat ditolerir. LOPA memberi analis resiko suatu metode untuk mengevaluasi resiko kembali dari skenario kecelakaan yang dipilih, skenario biasanya diidentifikasi selama evaluasi potensi bahaya kualitatif. LOPA terbatas untuk mengevaluasi satu penyebab consequence sebagai skenario.
2. Langkah-Langkah Penyusunan LOPA
Gambar 2.1 Cara kerja LOPA (Center (Center for Chemical Process Safety , 2001) LOPA dibagi menjadi beberapa langkah : 1. Mengidentifikasi consequence untuk memilih skenario 2. Memilih skenario kecelakaan 3. Mengidentifikasi initiating event dari event dari skenario dan menetapkan frekuensi initiating event ( event (event per year ) 4. Mengidentifikasi IPLs dan memperkirakan probability memperkirakan probability of failure on o n demand de mand (PFD) (PFD) dari masing-masing IPL 5. Menilai
resiko
skenario
secara
matematis
dengan
mengkombinasikan
consequence, consequence, iniating event , dan data IPL 6. Mengevaluasi resiko untuk mencapai keputusan mengenai skenario 2.1 Penilaian Consequence dan Severity Salah satu komponen resiko dari skenario kecelakaan adalah consequence. consequence. Consequence adalah akibat yang tidak diinginkan dari skenario kecelakaan. Salah satu keputusan pertama yang harus dibuat oleh sebuah organisasi ketika memilih untuk mengimplementasikan LOPA adalah menentukan titik akhir dari consequence. consequence. Metode yang digunakan untuk mengkategorikan consequence harus konsisten dengan kriteria resiko yang dapat ditolerir perusahaan 2.2 Pembuatan Skenario Pembuatan skenario merupakan langkah LOPA dimana analis atau tim membangun satu rangkaian kejadian, termasuk kejadian pemicu dan kegagalan dari IPLs, yang mengarah pada satu consequence yang tidak diinginkan. Masing-masing skenario terdiri dari sedikitnya dua unsur yaitu: a.
initiating event yang event yang memulai rantai kejadian
b.
consequence yang menghasilkan dampak jika rantai kejadian berlanjut tanpa henti
Efektivitas metode LOPA dipercayakan pada tampilan detil dalam skenario. Adapun cara mengidentifikasi dan mengembangkan kandidat untuk sebuah skenario terbagi menjadi 2 hal yaitu: 1. Mengidentifikasi skenario yang menjadi kandidat Sumber informasi paling banyak untuk mengidentifikasi skenario adalah evaluasi potensi bahaya yang dikembangkan dan didokumentasikan untuk proses-proses yang telah ada dan dilakukan sepanjang perancangan modifikasi dan proses-proses baru. Tujuan dari evaluasi potensi bahaya adalah untuk mengidentifikasi, menilai dan mendokumentasikan resikoresiko yang berhubungan dengan proses. Pada umumnya HAZOP berisi cukup informasi untuk menguraikan komponen-komponen dari sebuah skenario. LOPA dapat mengambil informasi dari HAZOP dan menetapkan nilai angka untuk frekuensi initiating event , frekuensi kegagalan dan probability failure on demand (PFD), demand (PFD), dan menentukan apakah sebuah safeguard adalah safeguard adalah sebuah IPL. Penyebab yang diidentifikasi dalam HAZOP digunakan untuk menetapkan initiating event dan metode LOPA akan menetapkan frekuensi. Dengan cara yang sama, jika HAZOP mengidentifikasi safeguard , LOPA akan menentukan apakah ini adalah IPL untuk skenario, dan jika demikian, PFD apa harus ditetapkan.
Gambar 2.9 Informasi HAZOP dan LOPA (Center for Chemical Process Safety , 2001) 2. Mengembangkan skenario Setelah skenario diidentifikasi, skenario harus dikembangkan dan didokumentasikan pada level dimana pemahaman dasar dari kejadian dan safeguard dapat dicapai. Faktor apapun yang bisa mempengaruhi perhitungan
klasifikasi
atau
ukuran
consequence
atau
frekuensi
consequence harus dimasukkan dan didokumentasikan. Setelah initiating event diidentifikasi event diidentifikasi untuk skenario, analis harus menentukan enabling event atau kondisi apapun yang diperlukan initiating event untuk event untuk sampai kearah consequence. consequence. Langkah berikutnya dalam mengembangkan skenario adalah untuk mengidentifikasi safeguard yang ada pada tempatnya, yang jika mereka beroperasi sebagaimana yang diharapkan, mungkin mencegah skenario berlanjut pada consequence. consequence. Sebaiknya mendaftar semua safeguard untuk safeguard untuk skenario tertentu sebelum memutuskan yang benar-benar IPLs. 2.1.1
Identifikasi Frekuensi Initiating Event Untuk LOPA, masing-masing skenario mempunyai satu initiating event . Frekuensi initiating event secara event secara normal dinyatakan dalam kejadian per tahun. Beberapa sumber menggunakan satuan lain, seperti kejadian per 106 jam. Initiating event secara event secara umum dibagi menjadi tiga tipe yaitu: 1. Equipment-Related Initiating Events Initiating events yang terkait dengan peralatan dapat digolongkan ke dalam: a. kegagalan sistem kendali b.
kegagalan mekanis
2. Human Failure-Related Initiating Events Penyebab yang berhubungan dengan kegagalan manusia adalah salah satu dari kesalahan karena ketidaktahuan atau kesalahan pengawasan, dan meliputi tetapi tidak terbatas pada: a.
kegagalan untuk melaksanakan langkah-langkah dari satu tugas dengan baik
b.
kegagalan untuk mengamati atau menjawab dengan benar pada suatu kondisi proses atau sistem
Sistem manajemen secara normal tidak didaftarkan sebagaiinitiating sebagai initiating events, events, walaupun sistem manajemen yang tidak efektif sering menjadi sebab dasar dari kesalahan manusia. 3. External Initiating Events Kejadian eksternal meliputi gejala alam seperti gempa bumi, angin topan, atau banjir, ledakan atau kebakaran pada fasilitas-fasilitas pendamping; dan intervensi pihak ketiga seperti dampak mekanis pada peralatan atau tumpuan kendaraan bermotor, atau peralatan konstruksi. Sebelum menetapkan frekuensi initiating event , semua penyebab dari langkah pengembangan skenario harus ditinjau dan dibuktikan sebagai initiating event yang sah untuk consequence yang diidentifikasi. Analis juga perlu memverifikasi bahwa semua potensi initiating event ditentukan dengan mengamati proses dari perspektif sistem. Analis perlu memastikan bahwa initiating event dalam semua model operasi (meliputi operasi normal, startup, startup, shutdown) shutdown) dan peletakan peralatan (meliputi standby , dalam perawatan) telah diidentifikasi. Jumlah sumber dari data kegagalan tersedia untuk menetapkan nilai yang konsisten pada frekuensi initiating event. Meliputi: 1. Data dari industri 2. Pengalaman perusahaan dimana tersedia data historis 3. Data dari produsen Data kegagalan harus dipilih dengan jumlah permasalahan yang meliputi: 1. Laju kegagalan harus konsisten dengan desain dasar fasilitas dan konsisten dengan metode perusahaan membuat keputusan berdasar resiko 2. Semua laju kegagalan yang digunakan harus berasal dari lokasi yang sama pada rentang data 3. Data laju kegagalan yang dipilih harus mewakili industri atau operasi yang ditetapkan Ketika data-data yang tersebut diatas tidak tersedia, keputusan harus digunakan untuk memutuskan data mana yang berasal dari sumber luar yang lebih dapat diaplikasikan pada situasi tersebut. Banyak database laju kegagalan mengandung data yang menunjukkan dua atau lebih tempat yang signifikan. Metode LOPA mengasumsikan bahwa laju kegagalan adalah konstan. Hal ini tidak selalu benar, karena laju kegagalan peralatan lama biasanya lebih lebih tinggi daripada peralatan yang masih baru. Untuk tujuan LOPA, laju kegagalan konstan
sudah cukup. Frekuensi initiating events yang sering digunakan ditunjukkan pada tabel 2.6.
Tabel 2.6
Nilai frekuensi yang biasa digunakan, f 1, untuk menetapkan initiating events
Initiating Event
Pressure vessel residual failure Piping residual failure - 100 m - Full Breach Piping leak (10% section)- 100 m Atmospheric tank failure Gasket/packing blowout Turbine/diesel engine overspeed with casing breach Third party intervention (external impact by backhoe, vehicle, etc) Crane load drop Lightning strike Safety valve open spuriously Cooling water failure Pump seal failure Unloading/loading hose failure BPCS instrument loop failure Note: IEC61511 limit is more than 1x10-5/hr or 8.76x10-2/yr (IEC,2001) Regulator failure Small external fire (aggregate causes) Large external fire (aggregate causes) LOTO (lock-out tag-out) procedure* failure * overall failure of a multiple element process Operator failure (to execute routine procedure, assuming well trained, unstressed, not fatigued)
10-5 to 10-7 10-5 to 10-6 10-3 to 10-4 10-3 to 10-5 10-2 to 10-6
Example of a Value Chosen by a Company for Use in LOPA (per year) 1x10-6 1x10-5 1x10-3 1x10-3 1x10-2
10-3 to 10-4
1x10-4
10-2 to 10-4
1x10-2
10-3 to 10-4 per lift 10-3 to 10-4 10-2 to 10-4 1 to 10-2 10-1 to 10-2 1 to 10-2
1x10-4 per lift 1x10-3 1x10-2 1x10-1 1x10-2 1x10-1
1 to 10-2
1x10-1
1 to 10-1 10-1 to 10-2 10-2 to 10-3
1x10-1 1x10-1 1x10-2
10-3 to 10-4 per opportunity
1x10-3 per opportunity
10-1 to 10-3 per opportunity
1x10-2 per opportunity
Frequency Range from Literature (per year)
(Sumber: Center for Chemical Process Safety , 2001) Untuk sistem atau operasi yang tidak berkelanjutan, data laju kegagalan harus disesuaikan untuk mencerminkan bahwa kemungkinan kerugian waktu (time at risk ) untuk komponen atau operasi telah ditetapkan. Penting untuk memastikan bahwa data laju kegagalan yang digunakan untuk satu proses adalah konsisten dengan asumsi dasar yang tidak dapat dipisahkan sebagian
besar data laju kegagalan dinyatakan dengan satuan "per tahun" ( yr -1), itu diperlukan untuk melakukan penyesuaian data untuk mencerminkan bahwa komponen atau operasi tidak mengalami kegagalan sepanjang tahun, tetapi hanya pada pecahan tahun ketika sedang beroperasi atau "berhadapan dengan resiko". 2.1.2
Identifikasi Independent Protection Layer (IPL) Layer (IPL) IPL adalah sebuah alat, sistem, atau tindakan yang dapat mencegah skenario berproses menjadi consequence yang tidak diinginkan dari initiating events. events. Pembedaan antara IPL dan safeguard adalah safeguard adalah penting. Safeguard adalah Safeguard adalah alat, sistem atau tindakan yang akan menghentikan rantai kejadian setelah initiating events. events. Efektifitas IPL dihitung dengan istilah probability failure on demand (PFD) yang merupakan kemungkinan suatu sistem akan gagal melaksanakan fungsinya yang spesifik. PFD adalah angka tanpa dimensi antara 0 dan 1. Nilai terkecil dari PFD merupakan pengurangan frekuensi consequence terbesar dari frekuensi initiating event yang diberikan. Karakteristik lapisan perlindungan dan bagaimana mereka seharusnya dikelompokkan sebagai IPL dalam metode LOPA dibahas pada penjelasan di bawah ini: 1. Process Design Pada banyak perusahan, diasumsikan bahwa beberapa skenario tidak dapat terjadi karena desain inherently safer pada peralatan dan proses. Pada perusahaan lainnya, beberapa fitur pada desain proses yang inherently safer dianggap safer dianggap nonzero PFD masih terjadi-artinya masih mungkin mengalami kegagalan industri. Desain proses harus dianggap sebagai IPL, atau ditetapkan sebagai metode untuk mengeliminasi skenario, tergantung pada metode yang digunakan oleh organisasi. 2. Basic Process Control System (BPCS) BPCS meliputi kendali manual normal, adalah level perlindungan pertama selama operasi normal. BPCS didesain untuk menjaga proses berada pada area selamat. Operasi normal dari BPCS control loop dapat dimasukkan sebagai IPL jika sesuai kriteria. Ketika memutuskan menggunakan BPCS sebagai IPL, analis harus mengevaluasi efektifitas kendali akses dan sistem keamanan ketika kesalahan manusia dapat menurunkan kemampuan BPCS. 3. Critical Alarms and Human Intervention
Sistem ini merupakan level perlindungan kedua selama operasi normal dan harus diaktifkan oleh BPCS. Tindakan operator, diawali dengan alarm atau observasi, dapat dimasukkan sebagai IPL ketika berbagai kriteria telah dapat memastikan kefektifan tindakan. 4. Safety Instrumented Function (SIF) SIF adalah kombinasi sensor, logic solver , dan final element dengan tingkat integritas keselamatan spesifik yang mendeteksi keadaan diluar batas dan membawa proses berada pada fungsi yang aman. SIF merupakan fungsi independent dari independent dari BPCS. SIF normalnya ditetapkan sebagai IPL dan desain dari suatu sistem, tingkat pengurangan, dan jumlah dan tipe pengujian akan menentukan PFD dari SIF yang diterima LOPA. 5. Physical Protection (Relief Valves, Rupture Disc, etc ) Alat ini, ketika ukuran, desain, dan perawatannya sesuai, adalah IPL yang dapat menyediakan perlindungan tingkat tinggi untuk mencegah tekanan berlebih. Keefektifan mereka dapat rusak akibat kotor dan korosi, jika block valves dipasang di bawah relief valve, valve, atau jika aktivitas inspeksi dan perawatan sangat memprihatinkan. 6. Post Release Protection (Dikes, Blast Walls, etc ) IPLs ini adalah alat pasif yang dapat menyediakan perlindungan tingkat tinggi jika didesain dan dirawat dengan benar. Walaupun laju kegagalan mereka rendah, kemungkinan gagal harus dimasukkan dalam skenario. 7. Plant Emergency Response Fitur ini (pasukan pemadam kebakaran, sistem pemadaman manual, fasilitas evakuasi, dll) secara normal tidak ditetapkan sebagai IPLs karena mereka diaktifkan setelah pelepasan awal dan terlalu banyak variabel mempengaruhi keseluruhan efektifitas dalam mengurangi skenario. 8. Community Emergency Response Pengukuran ini, yang meliputi evakuasi komunitas dan tempat perlindungan secara normal tidak ditetapkan sebagai IPLs karena mereka diaktifkan
setelah
pelepasan
awal
dan
terlalu
banyak
variabel
mempengaruhi keseluruhan efektifitas dalam mengurangi skenario. Hal ini tidak menyediakan perlindungan terhadap personil plant plant .
Tabel 2.7
Contoh safeguard yang safeguard yang biasanya tidak ditetapkan sebagai IPLs
Safeguard do not usually considered IPLs Training and certification
Comments
These factors may be considered in assessing the PFD for operator action, but are not-of themselves-IPLs These factors may be considered in assessing the PFD for Procedures operator action, but are not-of themselves-IPLs These activities are assumed to be in place for all hazard evaluations and form the basis for judgement to determine Normal testing PFD. Normal testing and inspection affects the PFD of certain and inspection IPLs. Lengthening the testing and inspection intervals may increase the PFD of an IPL. These activities are assumed to be in place for all hazard Maintenance evaluations and form the basis for judgement to determine PFD. Maintenance affects the PFD of certain IPLs. It is a basic assumption that adequate communications exist Communications in a facility. Poor communications affects the PFD of certain IPLs. Signs by themselves are not IPLs. Signs may be unclear, Signs obscured, ignored, etc. Signs may affect the PFD of certain IPLs. Active fire protection is often not considered as an IPL as it is post event for most scenarios and its availability and effectiveness may be affected by the fire/explosion which it is intended to contain. However, if a company can demonstrate that it meets the requirements of an IPL for a given scenario, it may be used (e.g., if an activating system such a plastic Fire protection piping or frangible switches are used) Note: fire protection is mitigation IPL as it attempts to prevent a larger consequence subsequent to an event that has already occurred. Fire proof insulation can be used as an IPL for some scenarios provided that it meets the requirements of API and corporate standards Requirement that information This is a basic requirement is available and understood (Sumber: Center for Chemical Process Safety , 2001)
Supaya dapat dikategorikan kedalam IPL, suatu alat, system, atau tindakan harus: 1. Efektif
Jika suatu alat, sistem, atau tindakan dikategorikan sebagai sebuah IPL, mereka harus efektif dalam mencegah consequence yang tidak diinginkan dari skenario. Jika safeguard tidak dapat memenuhi ketentuan tersebut maka safeguard itu safeguard itu bukanlah sebuah IPL. 2. Auditable Sebuah komponen, sistem, atau tindakan harus dapat di audit untuk menunjukkan bahwa hal tersebut sesuai dengan ketentuan pengurangan resiko oleh IPL LOPA. Proses audit harus menunjukkan bahwa IPL efektif mencegah consequence. consequence. 3. Independece Metode LOPA menggunakan independence untuk meyakinkan bahwa efek dari initiating event , atau IPL lainnya, tidak berinteraksi dengan IPL yang spesifik dan akan mengurangi kemampuan dan fungsinya.
Gambar 2.10
Contoh IPL yang tidak independent dari independent dari initiating events (Center for Chemical Process Safety , 2001)
Ketentuan dasar dari efektifitas, independence, independence, dan auditability untuk sebuah IPL ditentukan oleh beberapa metode. Metode paling sederhana adalah dengan menggunakan penulisan dasar desain, atau lembar rangkuman IPL. Hal ini harus meliputi penetapan initiating event , tindakan yang dilakukan oleh sistem atau alat, dan pengaruh dari tindakan tersebut. PFD untuk sebuah IPL adalah kemungkinan yang ketika diminta tidak akan melakukan tugas yang seharusnya. Analis harus mengevaluasi desain dari kandidat IPL terhadap kondisi dari skenario untuk menilai PFD yang sesuai untuk IPL. Nilai PFD juga harus konsisten dengan laju kegagalan yang digunakan untuk mengembangkan frekuensi initiating event dan event dan kriteria resiko yang ditolerir. Contoh dari IPLs: 1. Instrumented System Sistem ini merupakan kombinasi dari sensor, logic solver , kendali proses, dan final elements yang bekerja bersama, untuk mengatur operasi plant otomatis, atau untuk mencegah terjadinya kejadian spesifik di dalam
proses manufaktur kimia. Dua tipe instrumented system yang ditetapkan sebagai dasar metode LOPA yaitu: a. continuous controller (seperti kendali proses yang mengatur aliran, temperatur, atau tekanan pada nilai yang ditetapkan operator) b.
state controller (logic solver yang melakukan proses pengukuran dan mengatur perubahan on-off pada on-off pada indikator alarm indikator alarm dan process dan process valve) valve)
2. IPLs Pasif IPL pasif tidak perlu melakukan tindakan supaya dapat mencapai fungsinya yaitu mengurangi resiko. IPLs ini mencapai fungsi yang diharapkan jika proses atau desain mekanis mereka benar dan jika dibangun, dipasang, dan dirawat dengan benar. Alat-alat tersebut diharapkan
untuk
mencegah consequence yang
tidak
diinginkan
(penyebaran kebocoran, kerusakan peralatan atau bangunan akibat ledakan, dll). Jika didesain dengan benar, sistem pasif tersebut dapat dikategorikan sebagai sebuah IPL dengan tingkat keyakinan tinggi dan akan mengurangi frekuensi kejadian dengan consequence besar yang potensial secara signifikan. Tabel 2.8
Contoh IPLs Pasif
IPL
Dike
Underground Drainage System Open Vent (no valve)
Fireproofing
Blastwall/Bunker
Comments Assuming an adequate PFD from design basis and Literature adequate inspection and and Industry maintenance procedures Will reduce the frequency of large consequences (widespread spill) of a 1x10-2-1x10-3 tank overfill/rupture/spill/etc Will reduce the frequency of large consequences (widespread spill) of a 1x10-2-1x10-3 tank overfill/rupture/spill/etc Will prevent over pressure Will reduce rate of heat input and provide additional time for depressurizing/firefighting/ etc Will reduce the frequency of large consequences of an explosion by confining
PFD used in This Book (For screening)
1x10-2
1x10-2
1x10-2-1x10-3
1x10-2
1x10-2-1x10-3
1x10-2
1x10-2-1x10-3
1x10-3
blast and protecting equipment/buildings/etc If properly implemented can significantly reduce the frequency of consequences associated with a scenario. Note: the LOPA rules for some companies allow 1x10-1-1x10-6 inherently safe design features to eliminate certain scenarios (e.g., vessel design pressure exceeds all possible high pressure challenges) If properly designed, installed, and maintained these should eliminate the 1x10-1-1x10-3 potential for flash-back through a piping system or into a vessel or tank
―Inherently Safe‖ Design
Flame/Detonati on Arrestors
1x10-2
1x10-2
(Sumber: Center for Chemical Process Safety , 2001) 3. Basic Process Control System (BPCS) BPCS adalah sistem kendali yang memonitor secara terus menerus dan mengendalikan proses operasi plant dari hari ke hari. BPCS menyediakan tiga tipe yang berbeda dari fungsi keselamatan yang dapat menjadi IPLs: a. continuous control action b.
state controllers (logic solver atau solver atau alarm trip units) units)
c.
state controllers (logic solver atau solver atau control relays) relays)
Untuk tujuan LOPA, beberapa perusahaan menggunakan PFD 1x10-1 untuk tiap IPL BPCS yang dapat diaplikasikan pada initiating event-consequence.
4. IPLs Aktif IPLs aktif perlu perlu bergerak dari satu posisi ke posisi yang lain sebagai respon terhadap perubahan properti proses yang dapat diukur, atau sinyal dari sumber lain.
Tabel 2.9 Contoh IPLs Aktif
IPL
Comments Assuming an adequate design basis and
PFD from Literature and Industry
PFD Used in This Book
Relief valve
Rupture disc Basic Process Control System Safety Instrumented Functions (Interlocks)
SIL 1
SIL 2
SIL 3
inspection/maintenance procedures Prevents system exceeding specified overpressure. Effectiveness of this device is sensitive to service and experience Prevents system exceeding specified overpressure. Effectiveness can be sensitive to service and experience Can be credited as an IPL if not associated with the initiating event being considered
(For screening)
1x10-1 – 1x10-5
1x10-2
1x10-1 – 1x10-5
1x10-2
1x10-1 – 1x10-2 (>1x10-1 allowed by IEC)
1x10-1
See IEC 61508 (IEC, 1998) and IEC 61511 (IEC, 2001) for life li fe cycle requirements and additional discussion Typically consist of: Single sensor (redundant for fault tolerance) Single logic processor (redundant for fault tolerance) Single final element (redundant for fault tolerance) Typically consist of: ―Multiple‖ sensor (for fault tolerance) ―Multiple‖ channel logic processor (for fault tolerance) ―Multiple‖ final elements (for fault tolerance) Typically consist of: Multiple sensors Multiple channel logic processor Multiple final elements
≥1x10-2 – <1x10-1
≥1x10-3 – <1x10-2
This book does not specify a specific SIL level. Continuing example calculate required PFD for a SIF
≥1x10-4 – <1x10-3
(Sumber: Center for Chemical Process Safety , 2001) 5. Safety Instrumented System (SIS) SIS adalah kombinasi dari sensor, logic solver , dan final element yang element yang menghasilkan satu atau lebih safety instrumented function (SIF). SIF biasanya disebut interlocks dan safety critical alarms. Standard internasional mengelompokkan SIF untuk penggunaan pada proses industri kimia ke dalam kategori yang disebut safety integrity level (SIL), level (SIL), yaitu:
a.
SIL 1 PFD ≥ 1x10-2 hingga < 1x10-1. SIF ini diimplementasikan secara normal dengan 1 sensor, 1 logic solver SIS solver SIS dan 1 final control element
b.
SIL 2 PFD ≥ 1x10-3 hingga < 1x10-2. SIF ini biasanya secara penuh bertumpuk dari sensor melalui logic solver SIS solver SIS ke final control element
c.
SIL 3 PFD ≥ 1x10-4 hingga < 1x10-3. SIF ini biasanya secara penuh bertumpuk dari sensor melalui logic solver SIS solver SIS ke final control element dan memerlukan desain yang sangat hati-hati dan frekuensi uji ketahanan untuk mencapai nilai PFD yang rendah
d.
SIL 4 PFD ≥ 1x10-5 hingga < 1x10-4. SIF ini sulit didesain dan dirawat dan tidak digunakan dalam LOPA.
6. Vendor Installed Safeguard Banyak peralatan yang dipasok dengan berbagai safeguard dan sistem interlock yang didesain oleh produsen peralatan. Benar jika menetapkan alat tersebut sebagai IPLs berdasarkan kesesuaian mereka terhadap ketentuan LOPA. 7. Deluges, Sprays, Foam System, dan Firefighting Mitigation System lainnya Deluges, water spray, foam system mungkin dapat ditetapkan sebagai IPLs untuk mencegah pelapasan bahan kimia jika didesain dirawat dengan baik. 8. Pressure Relief Devices Pressure relief valve membuka ketika tekanan dibawah valve melebihi tekanan yang menahan valve untuk tetap menutup. Bejana bertekanan membutuhkan relief valves untuk melindungi bejana atau sistem yang didesain untuk semua skenario dan tidak menentukan ketentuan lain. Ini menandakan bahwa relief valve adalah satu-satunya IPL yang dibutuhkan untuk pelindung tekanan berlebih.
9. Human IPLs Human IPLs melibatkan kemampuan operator atau staf lainnya untuk mengambil tindakan pencegahan terhadap consequence yang tidak diinginkan, sebagai respon terhadap alarms atau mengikuti pemeriksaan rutin dari system.
Tabel 2.10 IPL
Contoh Human Action IPLs Comments
PFD from
PFD Used
Assuming an adequate design basis and inspection/maintenance procedures Simple well-documented action with clear and reliable indications that the action is required
Human action with 10 minutes response time Human response to BPCS indication or alarm with 40 minutes response time Human action with 40 minutes response time
Literature and Industry
in This Book (For screening)
1,0 – 1,0 – 1x10-1
1x10-1
Simple well-documented action with clear and reliable indications that the action is required (The PFD is limited by IEC 61511; IEC 2001)
1x10-1 (>1x10-1 allowed by IEC)
1x10-1
Simple well-documented action with clear and reliable indications that the action is required
1x10-1 – 1x10-2
1x10-1
(Sumber: Center for Chemical Process Safety , 2001) 2.1.3
Penetapan Frekuensi Skenario 2.1.3.1
Perhitungan Kuantitatif Resiko dan Frekuensi Perhitungan kuantitatif resiko dan frekuensi dibagi menjadi: 1. Perhitungan Umum I
J
f i fi f i x c
PFD PF Dij
j 1
fi f i I xPFDi1 xPFDi 2 x.... xPFDij
Dimana: c
fi = frekuensi untuk consequence C dan C dan initiating event i event i fi I = frekuensi initiating event untuk event untuk initiating event i event i PFDij = kemungkinan kegagalan dari dari j th IPL yang melindungi j th
terhadap consequence C dan C dan initiating event i event i . 2. Perhitungan Frekuensi Outcomes Tambahan Outcomes tambahan tersebut antara lain: a.
efek flammable seperti kebakaran atau ledakan fire
f i
J f i x PF Dij xP ignition j 1 I
dimana: Pignition = kemungkinan penyulutan
b.
efek bahan beracun toxic
f i
J f i I x PF Dij xP personpre sent xP injury j 1
dimana: Pperson present = kemungkinan pekerja berada pada area yang terkena dampak Pinjury = kemungkinan terjadi cedera c.
efek paparan kebakaran atau bahan beracun fire exp osure
f i
J f i x PF Dij xP ignition xP personpre sent j 1 I
d imana: Pignition = kemungkinan penyulutan Pperson present = kemungkinan pekerja berada pada area yang terkena dampak d.
cedera atau kematian
f i
fireinjury
d
J f i x PF Dij xP ignition xP personpre sent xP injury j 1 I
dimana: Pignition = kemungkinan penyulutan Pperson present = kemungkinan pekerja berada pada area yang terkena dampak Pinjury = kemungkinan terjadi cedera 3. Perhitungan Resiko
Dimana:
R k C f k C xC k
C
Rk = indeks resiko dari outcomes insiden k, dinyatakan sebagai magnitude dari consequences per satuan waktu. Satuan spesifik akan bermacam-macam tergantung pada resiko yang dinilai. Beberapa contoh mungkin meliputi resiko kematian per tahun, jumlah kematian per tahun, kerugian ekonomi per bulan, pelepasan polusi per hari,
C
f k = frekuensi dari outcomes insiden k , dalam satuan waktu, –1, hour –1 –1, dll seperti: year –1
C k = perhitungan spesifik consequences dari outcomes insiden k . Beberapa pengukuran dari consequence mungkin meliputi kematian individu, jumlah kematian, jumlah kerugian ekonomi, jumlah pelepasan polusi, jumlah orang yang terpapar pada konsentrasi spesifik dari polusi udara. Ck mungkin dinyatakan sebagai kategori. 4. Perhitungan Frekuensi Untuk Skenario Ganda I
f
C
fi C
f 1C f 2C ... ... f I C
i 1
Dimana:
fi C = frekuensi dari C th th consequence untuk i th th initiating event. 2.1.3.2
Tabel Resiko atau Frekuensi Resiko atau frekuensi skenario mungkin ditetapkan secara kualitatif dengan menggunakan tabel. Kategori pada matrik meliputi: 1. frekuensi initiating event untuk event untuk skenario 2. keparahan dari consequence untuk skenario 3. jumlah IPLs yang dibutuhkan frekuensi consequence Sebagai metode yang sering digunakan, tabel perusahaan menunjukkan nilai IPL untuk IPLs yang sering digunakan. Selama pengembangan metode ini, nilai IPL dikalkulasikan dari PFD IPL menggunakan hubungan: 1 IPL credit = 1x10-2 PFD
Tabel 2.11
Contoh IPL Credit
IPL (subset of tables 6.3, 6.4, 6.5) Dike Flame/detonation arrestors Relief valve Rupture disc SIF SIL 1 SIF SIL 2
1x10-2 – 1x 10-3
Number of IPL Credits (for the method illustrated in this book) 1 – 1,5
1x10-2 – 1x 10-3
1 – 1,5
1x10-1 – 1x 10-5 1x10-1 – 1x 10-5 1x10-1 – 1x 10-2 1x10-2 – 1x 10-3
0,5 – 0,5 – 2,5 0,5 – 0,5 – 2,5 0,5 – 0,5 – 1 1 – 1,5
PFD
SIF SIL 3 Human action with 10 minutes response time
1x10-3 – 1x 10-4
1,5 – 1,5 – 2
1,0 – 1,0 – 1x 10-1
0 – 0,5
(Sumber: Center for Chemical Process Safety , 2001)
Ga mbar 2.11 SIL untuk SIF (Center for Chemical Process Safety , 2001) 2.1.3.3
Perhitungan Resiko atau Frekuensi dengan Algoritma Integral
F i C F i I
J
P
' ij
j 1
Dimana: C
F i = eksponen frekuensi untuk consequence C dari C dari skenario i , I
F i = nilai absolut dari log frekuensi initiating event i event i , '
kegagalan) j th th IPL Pij = nilai absolut dari log PFD (kemungkinan kegagalan) j yang melindungi terhadap skenario i . 2.1.4
Pengambilan Keputusan Resiko Pengambilan keputusan dilakukan setelah skenario telah terbangun seluruhnya dan resiko yang ada telah dihitung. Pada akhir studi, baik kualitatif maupun kuantitatif, keputusan terhadap resiko dibagi menjadi tiga kategori: 1. Mengatur resiko yang tersisa— tersisa—dianggap dapat ditolerir 2. Memodifikasi (mengurangi) resiko agar dapat ditolerir 3. Menghilangkan resiko (bisnis, proses, dll) karena terlalu tinggi LOPA biasanya diaplikasikan untuk menetapkan apakah resiko dari skenario masih dapat ditolerir atau harus dikurangi. Tiga tipe dasar pengambilan keputusan resiko yang digunakan LOPA:
1. Membandingkan antara kalkulasi resiko dengan kriteria resiko yang dapat ditolerir a.
Metode Matrik Matrik resiko adalah metode umum yang menunjukkan frekuensi yang dapat ditolerir dari skenario berdasarkan keparahan consequence dan frekuensi skenario. Sebuah contoh dapat dilihat pada tabel 2.12
-
zone ‖very ‖very low ‖ tidak memerlukan tindakan apapun
-
zone ‖low ‖low ‖ memerlukan keputusan manajemen untuk memastikan bahwa pengurangan tertentu dibutuhkan
-
zone ―moderate ―moderate‖‖ memerlukan pengurangan pada kesempatan mendatang
-
zone ‖high ‖high‖‖ memerlukan pengurangan dengan segera segera atau mematikan proses
Tabel 2.12
Risk Matrix with Individual Action Zone
(
( Sumber: Center for Chemical Process Safety , 2001) b.
Metode Kriteria Numerik (Resiko maksimum yang dapat ditolerir tiap skenario) Beberapa perusahaan telah mengembangkan kriteria resiko berdasarkan resiko maksimum yang dapat ditolerir tiap skenario, berdasarkan pada berbagai kategori consequence.
c.
Jumlah Kredit IPL Beberapa perusahaan meletakkan kriteria resiko yang dapat ditolerir ke dalam tabel yang menspesifikasikan jumlah kredit dari IPL untuk skenario dari level consequence dan frekuensi tertentu. Kriteria yang dapat ditolerir tidak diperlihatkan secara eksplisit. Biasanya, nilai tabulasi disediakan untuk jumlah IPL yang dibutuhkan untuk rentang frekuensi initiating event dan untuk nilai kredit IPL untuk berbagai macam lapisan perlindungan. Lihat tabel 2.13, seperti yang terlihat pada tabel metode ini biasanya menetapkan nilai 1 kredit IPL pada lapisan –2 , dan sebagainya. perlindungan dengan PFD 1 × 10 –2
Tabel 2.13
Ketentuan Kredit IPL
Adjusted Initiating Event Frequency Frequency ≥ 1x10-2 1x10-2 > Frequency ≥ 1x10-3 1x10-3 > Frequency ≥ 1x10-2 1x10-4 > Frequency ≥ 1x10-6 1x10-6 > Frequency
Number of IPL Credit Required Consequence Consequence Category V Category IV Multiple One Fatality Fatalities 2 2.5 1,5 2 1 1,5 0,5 1 0 0,5
(Sumber: Center for Chemical Process Safety , 2001) 2. Keputusan Para Ahli Keputusan para ahli dibutuhkan ketika kriteria resiko yang dapat ditolerir tidak tersedia atau tidak ditetapkan dengan mudah melalui tipe proses yang telah dianalisa atau potensi bahaya yang terlibat. 3. Perbandingan relatif antara beberapa alternatif untuk pengurangan resiko