Layer of Protection Analysis

Layer of Protection Analysis (LOPA)

1. Pengertian

Layer of Protection Analysis (LOPA) merupakan alat semikuantitatif untuk

menganalisa dan menilai resiko (Center for Chemical Process Safety, 2001). LOPA dapat

secara efektif digunakan pada tiap poin siklus dari sebuah proses atau fasilitas.

Input kunci dari LOPA adalah skenario yang diperoleh dari identifikasi potensi

bahaya. Tujuan utama LOPA adalah untuk memastikan bahwa telah ada lapisan perlindungan

yang sesuai untuk melawan skenario kecelakaan. Skenario mungkin membutuhkan satu atau

lebih lapisan perlindungan tergantung pada kompleksitas proses dan severity dari sebuah

consequence. Untuk skenario yang diberikan, hanya satu lapisan perlindungan yang harus

berhasil bekerja mencegah consequence.

Gambar 1.1 Lapisan pertahanan untuk melawan kemungkinan celaka(Center for Chemical Process Safety, 2001)

Walaupun tidak ada lapisan yang efektif dengan sempurna, lapisan perlindungan yang cukup

harus disediakan agar resiko kejadian dapat ditolerir.

LOPA memberi analis resiko suatu metode untuk mengevaluasi resiko kembali dari

skenario kecelakaan yang dipilih, skenario biasanya diidentifikasi selama evaluasi potensi

bahaya kualitatif. LOPA terbatas untuk mengevaluasi satu penyebab consequence sebagai

skenario.

2. Langkah-Langkah Penyusunan LOPA

Gambar 2.1 Cara kerja LOPA (Center for Chemical Process Safety, 2001)

LOPA dibagi menjadi beberapa langkah :

1. Mengidentifikasi consequence untuk memilih skenario

2. Memilih skenario kecelakaan

3. Mengidentifikasi initiating event dari skenario dan menetapkan frekuensi initiating

event (event per year)

4. Mengidentifikasi IPLs dan memperkirakan probability of failure on demand (PFD)

dari masing-masing IPL

5. Menilai resiko skenario secara matematis dengan mengkombinasikan

consequence, iniating event, dan data IPL

6. Mengevaluasi resiko untuk mencapai keputusan mengenai skenario

2.1 Penilaian Consequence dan Severity

Salah satu komponen resiko dari skenario kecelakaan adalah consequence.

Consequence adalah akibat yang tidak diinginkan dari skenario kecelakaan. Salah

satu keputusan pertama yang harus dibuat oleh sebuah organisasi ketika memilih

untuk mengimplementasikan LOPA adalah menentukan titik akhir dari consequence.

Metode yang digunakan untuk mengkategorikan consequence harus konsisten

dengan kriteria resiko yang dapat ditolerir perusahaan

2.2 Pembuatan Skenario

Pembuatan skenario merupakan langkah LOPA dimana analis atau tim

membangun satu rangkaian kejadian, termasuk kejadian pemicu dan kegagalan dari

IPLs, yang mengarah pada satu consequence yang tidak diinginkan. Masing-masing

skenario terdiri dari sedikitnya dua unsur yaitu:

a. initiating event yang memulai rantai kejadian

b. consequence yang menghasilkan dampak jika rantai kejadian berlanjut tanpa

henti

Efektivitas metode LOPA dipercayakan pada tampilan detil dalam skenario.

Adapun cara mengidentifikasi dan mengembangkan kandidat untuk sebuah

skenario terbagi menjadi 2 hal yaitu:

1. Mengidentifikasi skenario yang menjadi kandidat

Sumber informasi paling banyak untuk mengidentifikasi skenario adalah

evaluasi potensi bahaya yang dikembangkan dan didokumentasikan untuk

proses-proses yang telah ada dan dilakukan sepanjang perancangan

modifikasi dan proses-proses baru. Tujuan dari evaluasi potensi bahaya

adalah untuk mengidentifikasi, menilai dan mendokumentasikan resiko-

resiko yang berhubungan dengan proses.

Pada umumnya HAZOP berisi cukup informasi untuk menguraikan

komponen-komponen dari sebuah skenario. LOPA dapat mengambil

informasi dari HAZOP dan menetapkan nilai angka untuk frekuensi initiating

event, frekuensi kegagalan dan probability failure on demand (PFD), dan

menentukan apakah sebuah safeguard adalah sebuah IPL. Penyebab yang

diidentifikasi dalam HAZOP digunakan untuk menetapkan initiating event

dan metode LOPA akan menetapkan frekuensi. Dengan cara yang sama,

jika HAZOP mengidentifikasi safeguard, LOPA akan menentukan apakah ini

adalah IPL untuk skenario, dan jika demikian, PFD apa harus ditetapkan.

Gambar 2.9 Informasi HAZOP dan LOPA(Center for Chemical Process Safety, 2001)

2. Mengembangkan skenario

Setelah skenario diidentifikasi, skenario harus dikembangkan dan

didokumentasikan pada level dimana pemahaman dasar dari kejadian dan

safeguard dapat dicapai. Faktor apapun yang bisa mempengaruhi

perhitungan klasifikasi atau ukuran consequence atau frekuensi

consequence harus dimasukkan dan didokumentasikan. Setelah initiating

event diidentifikasi untuk skenario, analis harus menentukan enabling event

atau kondisi apapun yang diperlukan initiating event untuk sampai kearah

consequence.

Langkah berikutnya dalam mengembangkan skenario adalah untuk

mengidentifikasi safeguard yang ada pada tempatnya, yang jika mereka

beroperasi sebagaimana yang diharapkan, mungkin mencegah skenario

berlanjut pada consequence. Sebaiknya mendaftar semua safeguard untuk

skenario tertentu sebelum memutuskan yang benar-benar IPLs.

2.1.1 Identifikasi Frekuensi Initiating Event

Untuk LOPA, masing-masing skenario mempunyai satu initiating event.

Frekuensi initiating event secara normal dinyatakan dalam kejadian per tahun.

Beberapa sumber menggunakan satuan lain, seperti kejadian per 106 jam.

Initiating event secara umum dibagi menjadi tiga tipe yaitu:

1. Equipment-Related Initiating Events

Initiating events yang terkait dengan peralatan dapat digolongkan ke

dalam:

a. kegagalan sistem kendali

b. kegagalan mekanis

2. Human Failure-Related Initiating Events

Penyebab yang berhubungan dengan kegagalan manusia adalah salah

satu dari kesalahan karena ketidaktahuan atau kesalahan pengawasan, dan

meliputi tetapi tidak terbatas pada:

a. kegagalan untuk melaksanakan langkah-langkah dari satu tugas

dengan baik

b. kegagalan untuk mengamati atau menjawab dengan benar pada suatu

kondisi proses atau sistem

Sistem manajemen secara normal tidak didaftarkan sebagai initiating events,

walaupun sistem manajemen yang tidak efektif sering menjadi sebab dasar

dari kesalahan manusia.

3. External Initiating Events

Kejadian eksternal meliputi gejala alam seperti gempa bumi, angin

topan, atau banjir, ledakan atau kebakaran pada fasilitas-fasilitas

pendamping; dan intervensi pihak ketiga seperti dampak mekanis pada

peralatan atau tumpuan kendaraan bermotor, atau peralatan konstruksi.

Sebelum menetapkan frekuensi initiating event, semua penyebab dari

langkah pengembangan skenario harus ditinjau dan dibuktikan sebagai initiating

event yang sah untuk consequence yang diidentifikasi. Analis juga perlu

memverifikasi bahwa semua potensi initiating event ditentukan dengan

mengamati proses dari perspektif sistem. Analis perlu memastikan bahwa

initiating event dalam semua model operasi (meliputi operasi normal, startup,

shutdown) dan peletakan peralatan (meliputi standby, dalam perawatan) telah

diidentifikasi.

Jumlah sumber dari data kegagalan tersedia untuk menetapkan nilai

yang konsisten pada frekuensi initiating event. Meliputi:

1. Data dari industri

2. Pengalaman perusahaan dimana tersedia data historis

3. Data dari produsen

Data kegagalan harus dipilih dengan jumlah permasalahan yang meliputi:

1. Laju kegagalan harus konsisten dengan desain dasar fasilitas dan konsisten

dengan metode perusahaan membuat keputusan berdasar resiko

2. Semua laju kegagalan yang digunakan harus berasal dari lokasi yang sama

pada rentang data

3. Data laju kegagalan yang dipilih harus mewakili industri atau operasi yang

ditetapkan

Ketika data-data yang tersebut diatas tidak tersedia, keputusan harus digunakan

untuk memutuskan data mana yang berasal dari sumber luar yang lebih dapat

diaplikasikan pada situasi tersebut. Banyak database laju kegagalan

mengandung data yang menunjukkan dua atau lebih tempat yang signifikan.

Metode LOPA mengasumsikan bahwa laju kegagalan adalah konstan. Hal ini

tidak selalu benar, karena laju kegagalan peralatan lama biasanya lebih tinggi

daripada peralatan yang masih baru. Untuk tujuan LOPA, laju kegagalan konstan

sudah cukup. Frekuensi initiating events yang sering digunakan ditunjukkan pada

tabel 2.6.

Tabel 2.6 Nilai frekuensi yang biasa digunakan, f1, untuk menetapkan initiating events

Initiating Event

Frequency Range from

Literature (per year)

Example of a Value Chosen

by a Company for Use in LOPA

(per year)Pressure vessel residual failure 10-5 to 10-7 1x10-6

Piping residual failure - 100 m - Full Breach 10-5 to 10-6 1x10-5

Piping leak (10% section)- 100 m 10-3 to 10-4 1x10-3

Atmospheric tank failure 10-3 to 10-5 1x10-3

Gasket/packing blowout 10-2 to 10-6 1x10-2

Turbine/diesel engine overspeed with casing breach 10-3 to 10-4 1x10-4

Third party intervention (external impact by backhoe, vehicle, etc) 10-2 to 10-4 1x10-2

Crane load drop 10-3 to 10-4 per lift 1x10-4 per liftLightning strike 10-3 to 10-4 1x10-3

Safety valve open spuriously 10-2 to 10-4 1x10-2

Cooling water failure 1 to 10-2 1x10-1

Pump seal failure 10-1 to 10-2 1x10-2

Unloading/loading hose failure 1 to 10-2 1x10-1

BPCS instrument loop failure Note: IEC61511 limit is more than 1x10-5/hr or 8.76x10-2/yr (IEC,2001)

1 to 10-2 1x10-1

Regulator failure 1 to 10-1 1x10-1

Small external fire (aggregate causes) 10-1 to 10-2 1x10-1

Large external fire (aggregate causes) 10-2 to 10-3 1x10-2

LOTO (lock-out tag-out) procedure* failure * overall failure of a multiple element process

10-3 to 10-4 per opportunity

1x10-3 per opportunity

Operator failure (to execute routine procedure, assuming well trained, unstressed, not fatigued)

10-1 to 10-3 per opportunity

1x10-2 per opportunity

(Sumber: Center for Chemical Process Safety, 2001)

Untuk sistem atau operasi yang tidak berkelanjutan, data laju kegagalan

harus disesuaikan untuk mencerminkan bahwa kemungkinan kerugian waktu

(time at risk) untuk komponen atau operasi telah ditetapkan. Penting untuk

memastikan bahwa data laju kegagalan yang digunakan untuk satu proses

adalah konsisten dengan asumsi dasar yang tidak dapat dipisahkan sebagian

besar data laju kegagalan dinyatakan dengan satuan "per tahun" ( yr -1), itu

diperlukan untuk melakukan penyesuaian data untuk mencerminkan bahwa

komponen atau operasi tidak mengalami kegagalan sepanjang tahun, tetapi

hanya pada pecahan tahun ketika sedang beroperasi atau "berhadapan dengan

resiko".

2.1.2 Identifikasi Independent Protection Layer (IPL)

IPL adalah sebuah alat, sistem, atau tindakan yang dapat mencegah

skenario berproses menjadi consequence yang tidak diinginkan dari initiating

events. Pembedaan antara IPL dan safeguard adalah penting. Safeguard adalah

alat, sistem atau tindakan yang akan menghentikan rantai kejadian setelah

initiating events. Efektifitas IPL dihitung dengan istilah probability failure on

demand (PFD) yang merupakan kemungkinan suatu sistem akan gagal

melaksanakan fungsinya yang spesifik. PFD adalah angka tanpa dimensi antara

0 dan 1. Nilai terkecil dari PFD merupakan pengurangan frekuensi consequence

terbesar dari frekuensi initiating event yang diberikan. Karakteristik lapisan

perlindungan dan bagaimana mereka seharusnya dikelompokkan sebagai IPL

dalam metode LOPA dibahas pada penjelasan di bawah ini:

1. Process Design

Pada banyak perusahan, diasumsikan bahwa beberapa skenario tidak

dapat terjadi karena desain inherently safer pada peralatan dan proses.

Pada perusahaan lainnya, beberapa fitur pada desain proses yang

inherently safer dianggap nonzero PFD masih terjadi-artinya masih mungkin

mengalami kegagalan industri. Desain proses harus dianggap sebagai IPL,

atau ditetapkan sebagai metode untuk mengeliminasi skenario, tergantung

pada metode yang digunakan oleh organisasi.

2. Basic Process Control System (BPCS)

BPCS meliputi kendali manual normal, adalah level perlindungan

pertama selama operasi normal. BPCS didesain untuk menjaga proses

berada pada area selamat. Operasi normal dari BPCS control loop dapat

dimasukkan sebagai IPL jika sesuai kriteria. Ketika memutuskan

menggunakan BPCS sebagai IPL, analis harus mengevaluasi efektifitas

kendali akses dan sistem keamanan ketika kesalahan manusia dapat

menurunkan kemampuan BPCS.

3. Critical Alarms and Human Intervention

Sistem ini merupakan level perlindungan kedua selama operasi normal

dan harus diaktifkan oleh BPCS. Tindakan operator, diawali dengan alarm

atau observasi, dapat dimasukkan sebagai IPL ketika berbagai kriteria telah

dapat memastikan kefektifan tindakan.

4. Safety Instrumented Function (SIF)

SIF adalah kombinasi sensor, logic solver, dan final element dengan

tingkat integritas keselamatan spesifik yang mendeteksi keadaan diluar

batas dan membawa proses berada pada fungsi yang aman. SIF

merupakan fungsi independent dari BPCS. SIF normalnya ditetapkan

sebagai IPL dan desain dari suatu sistem, tingkat pengurangan, dan jumlah

dan tipe pengujian akan menentukan PFD dari SIF yang diterima LOPA.

5. Physical Protection (Relief Valves, Rupture Disc, etc)

Alat ini, ketika ukuran, desain, dan perawatannya sesuai, adalah IPL

yang dapat menyediakan perlindungan tingkat tinggi untuk mencegah

tekanan berlebih. Keefektifan mereka dapat rusak akibat kotor dan korosi,

jika block valves dipasang di bawah relief valve, atau jika aktivitas inspeksi

dan perawatan sangat memprihatinkan.

6. Post Release Protection (Dikes, Blast Walls, etc)

IPLs ini adalah alat pasif yang dapat menyediakan perlindungan tingkat

tinggi jika didesain dan dirawat dengan benar. Walaupun laju kegagalan

mereka rendah, kemungkinan gagal harus dimasukkan dalam skenario.

7. Plant Emergency Response

Fitur ini (pasukan pemadam kebakaran, sistem pemadaman manual,

fasilitas evakuasi, dll) secara normal tidak ditetapkan sebagai IPLs karena

mereka diaktifkan setelah pelepasan awal dan terlalu banyak variabel

mempengaruhi keseluruhan efektifitas dalam mengurangi skenario.

8. Community Emergency Response

Pengukuran ini, yang meliputi evakuasi komunitas dan tempat

perlindungan secara normal tidak ditetapkan sebagai IPLs karena mereka

diaktifkan setelah pelepasan awal dan terlalu banyak variabel

mempengaruhi keseluruhan efektifitas dalam mengurangi skenario. Hal ini

tidak menyediakan perlindungan terhadap personil plant.

Tabel 2.7 Contoh safeguard yang biasanya tidak ditetapkan sebagai IPLs

Safeguard do not usually considered

IPLs

Comments

Training and certification

These factors may be considered in assessing the PFD for operator action, but are not-of themselves-IPLs

Procedures These factors may be considered in assessing the PFD for operator action, but are not-of themselves-IPLs

Normal testing and inspection

These activities are assumed to be in place for all hazard evaluations and form the basis for judgement to determine PFD. Normal testing and inspection affects the PFD of certain IPLs. Lengthening the testing and inspection intervals may increase the PFD of an IPL.

Maintenance These activities are assumed to be in place for all hazard evaluations and form the basis for judgement to determine PFD. Maintenance affects the PFD of certain IPLs.

Communications

It is a basic assumption that adequate communications exist in a facility. Poor communications affects the PFD of certain IPLs.

SignsSigns by themselves are not IPLs. Signs may be unclear, obscured, ignored, etc. Signs may affect the PFD of certain IPLs.

Fire protection

Active fire protection is often not considered as an IPL as it is post event for most scenarios and its availability and effectiveness may be affected by the fire/explosion which it is intended to contain. However, if a company can demonstrate that it meets the requirements of an IPL for a given scenario, it may be used (e.g., if an activating system such a plastic piping or frangible switches are used)Note: fire protection is mitigation IPL as it attempts to prevent a larger consequence subsequent to an event that has already occurred. Fire proof insulation can be used as an IPL for some scenarios provided that it meets the requirements of API and corporate standards

Requirement that information is available and understood

This is a basic requirement

(Sumber: Center for Chemical Process Safety, 2001)

Supaya dapat dikategorikan kedalam IPL, suatu alat, system, atau

tindakan harus:

1. Efektif

Jika suatu alat, sistem, atau tindakan dikategorikan sebagai sebuah IPL,

mereka harus efektif dalam mencegah consequence yang tidak diinginkan

dari skenario. Jika safeguard tidak dapat memenuhi ketentuan tersebut

maka safeguard itu bukanlah sebuah IPL.

2. Auditable

Sebuah komponen, sistem, atau tindakan harus dapat di audit untuk

menunjukkan bahwa hal tersebut sesuai dengan ketentuan pengurangan

resiko oleh IPL LOPA. Proses audit harus menunjukkan bahwa IPL efektif

mencegah consequence.

3. Independece

Metode LOPA menggunakan independence untuk meyakinkan bahwa

efek dari initiating event, atau IPL lainnya, tidak berinteraksi dengan IPL

yang spesifik dan akan mengurangi kemampuan dan fungsinya.

Gambar 2.10 Contoh IPL yang tidak independent dari initiating events(Center for Chemical Process Safety, 2001)

Ketentuan dasar dari efektifitas, independence, dan auditability untuk

sebuah IPL ditentukan oleh beberapa metode. Metode paling sederhana adalah

dengan menggunakan penulisan dasar desain, atau lembar rangkuman IPL. Hal

ini harus meliputi penetapan initiating event, tindakan yang dilakukan oleh sistem

atau alat, dan pengaruh dari tindakan tersebut. PFD untuk sebuah IPL adalah

kemungkinan yang ketika diminta tidak akan melakukan tugas yang seharusnya.

Analis harus mengevaluasi desain dari kandidat IPL terhadap kondisi dari

skenario untuk menilai PFD yang sesuai untuk IPL. Nilai PFD juga harus

konsisten dengan laju kegagalan yang digunakan untuk mengembangkan

frekuensi initiating event dan kriteria resiko yang ditolerir. Contoh dari IPLs:

1. Instrumented System

Sistem ini merupakan kombinasi dari sensor, logic solver, kendali

proses, dan final elements yang bekerja bersama, untuk mengatur operasi

plant otomatis, atau untuk mencegah terjadinya kejadian spesifik di dalam

proses manufaktur kimia. Dua tipe instrumented system yang ditetapkan

sebagai dasar metode LOPA yaitu:

a. continuous controller (seperti kendali proses yang mengatur aliran,

temperatur, atau tekanan pada nilai yang ditetapkan operator)

b. state controller (logic solver yang melakukan proses pengukuran dan

mengatur perubahan on-off pada indikator alarm dan process valve)

2. IPLs Pasif

IPL pasif tidak perlu melakukan tindakan supaya dapat mencapai

fungsinya yaitu mengurangi resiko. IPLs ini mencapai fungsi yang

diharapkan jika proses atau desain mekanis mereka benar dan jika

dibangun, dipasang, dan dirawat dengan benar. Alat-alat tersebut

diharapkan untuk mencegah consequence yang tidak diinginkan

(penyebaran kebocoran, kerusakan peralatan atau bangunan akibat

ledakan, dll). Jika didesain dengan benar, sistem pasif tersebut dapat

dikategorikan sebagai sebuah IPL dengan tingkat keyakinan tinggi dan akan

mengurangi frekuensi kejadian dengan consequence besar yang potensial

secara signifikan.

Tabel 2.8 Contoh IPLs Pasif

IPL

CommentsAssuming an adequate

design basis and adequate inspection and maintenance procedures

PFD from Literature

and Industry

PFD used in This Book

(For screening)

Dike

Will reduce the frequency of large consequences (widespread spill) of a tank overfill/rupture/spill/etc

1x10-2-1x10-3 1x10-2

Underground Drainage System

Will reduce the frequency of large consequences (widespread spill) of a tank overfill/rupture/spill/etc

1x10-2-1x10-3 1x10-2

Open Vent (no valve) Will prevent over pressure 1x10-2-1x10-3 1x10-2

Fireproofing

Will reduce rate of heat input and provide additional time for depressurizing/firefighting/etc

1x10-2-1x10-3 1x10-2

Blast-wall/Bunker

Will reduce the frequency of large consequences of

1x10-2-1x10-3 1x10-3

an explosion by confining blast and protecting equipment/buildings/etc

“Inherently Safe” Design

If properly implemented can significantly reduce the frequency of consequences associated with a scenario. Note: the LOPA rules for some companies allow inherently safe design features to eliminate certain scenarios (e.g., vessel design pressure exceeds all possible high pressure challenges)

1x10-1-1x10-6 1x10-2

Flame/Detonation Arrestors

If properly designed, installed, and maintained these should eliminate the potential for flash-back through a piping system or into a vessel or tank

1x10-1-1x10-3 1x10-2

(Sumber: Center for Chemical Process Safety, 2001)

3. Basic Process Control System (BPCS)

BPCS adalah sistem kendali yang memonitor secara terus menerus dan

mengendalikan proses operasi plant dari hari ke hari. BPCS menyediakan

tiga tipe yang berbeda dari fungsi keselamatan yang dapat menjadi IPLs:

a. continuous control action

b. state controllers (logic solver atau alarm trip units)

c. state controllers (logic solver atau control relays)

Untuk tujuan LOPA, beberapa perusahaan menggunakan PFD 1x10-1 untuk

tiap IPL BPCS yang dapat diaplikasikan pada initiating event-consequence.

4. IPLs Aktif

IPLs aktif perlu bergerak dari satu posisi ke posisi yang lain sebagai

respon terhadap perubahan properti proses yang dapat diukur, atau sinyal

dari sumber lain.

Tabel 2.9 Contoh IPLs Aktif

IPL

CommentsAssuming an adequate

design basis and inspection/maintenance

procedures

PFD from Literature and

Industry

PFD Used in This Book(For

screening)Relief valve Prevents system exceeding 1x10-1 – 1x10-5 1x10-2

specified overpressure. Effectiveness of this device is sensitive to service and experience

Rupture disc

Prevents system exceeding specified overpressure. Effectiveness can be sensitive to service and experience

1x10-1 – 1x10-5 1x10-2

Basic Process Control System

Can be credited as an IPL if not associated with the initiating event being considered

1x10-1 – 1x10-2

(>1x10-1 allowed by IEC)

1x10-1

Safety Instrumented Functions (Interlocks)

See IEC 61508 (IEC, 1998) and IEC 61511 (IEC, 2001) for life cycle requirements and additional discussion

SIL 1

Typically consist of:Single sensor (redundant for fault tolerance)Single logic processor (redundant for fault tolerance)Single final element (redundant for fault tolerance)

≥1x10-2 – <1x10-1

This book does not specify a

specific SIL level.

Continuing example calculate required

PFD for a SIF

SIL 2

Typically consist of:“Multiple” sensor (for fault tolerance)“Multiple” channel logic processor (for fault tolerance)“Multiple” final elements (for fault tolerance)

≥1x10-3 – <1x10-2

SIL 3

Typically consist of:Multiple sensorsMultiple channel logic processor Multiple final elements

≥1x10-4 – <1x10-3

(Sumber: Center for Chemical Process Safety, 2001)

5. Safety Instrumented System (SIS)

SIS adalah kombinasi dari sensor, logic solver, dan final element yang

menghasilkan satu atau lebih safety instrumented function (SIF). SIF

biasanya disebut interlocks dan safety critical alarms. Standard internasional

mengelompokkan SIF untuk penggunaan pada proses industri kimia ke

dalam kategori yang disebut safety integrity level (SIL), yaitu:

a. SIL 1 PFD ≥ 1x10-2 hingga < 1x10-1. SIF ini diimplementasikan secara

normal dengan 1 sensor, 1 logic solver SIS dan 1 final control element

b. SIL 2 PFD ≥ 1x10-3 hingga < 1x10-2. SIF ini biasanya secara penuh

bertumpuk dari sensor melalui logic solver SIS ke final control element

c. SIL 3 PFD ≥ 1x10-4 hingga < 1x10-3. SIF ini biasanya secara penuh

bertumpuk dari sensor melalui logic solver SIS ke final control element

dan memerlukan desain yang sangat hati-hati dan frekuensi uji

ketahanan untuk mencapai nilai PFD yang rendah

d. SIL 4 PFD ≥ 1x10-5 hingga < 1x10-4. SIF ini sulit didesain dan dirawat

dan tidak digunakan dalam LOPA.

6. Vendor Installed Safeguard

Banyak peralatan yang dipasok dengan berbagai safeguard dan sistem

interlock yang didesain oleh produsen peralatan. Benar jika menetapkan

alat tersebut sebagai IPLs berdasarkan kesesuaian mereka terhadap

ketentuan LOPA.

7. Deluges, Sprays, Foam System, dan Firefighting Mitigation System lainnya

Deluges, water spray, foam system mungkin dapat ditetapkan sebagai

IPLs untuk mencegah pelapasan bahan kimia jika didesain dirawat dengan

baik.

8. Pressure Relief Devices

Pressure relief valve membuka ketika tekanan dibawah valve melebihi

tekanan yang menahan valve untuk tetap menutup. Bejana bertekanan

membutuhkan relief valves untuk melindungi bejana atau sistem yang

didesain untuk semua skenario dan tidak menentukan ketentuan lain. Ini

menandakan bahwa relief valve adalah satu-satunya IPL yang dibutuhkan

untuk pelindung tekanan berlebih.

9. Human IPLs

Human IPLs melibatkan kemampuan operator atau staf lainnya untuk

mengambil tindakan pencegahan terhadap consequence yang tidak

diinginkan, sebagai respon terhadap alarms atau mengikuti pemeriksaan

rutin dari system.

Tabel 2.10 Contoh Human Action IPLs

IPL

CommentsAssuming an adequate

design basis and inspection/maintenance

procedures

PFD from Literature and

Industry

PFD Used in This Book(For

screening)Human action with 10 minutes response time

Simple well-documented action with clear and reliable indications that the action is required

1,0 – 1x10-1 1x10-1

Human response to BPCS indication or alarm with 40

Simple well-documented action with clear and reliable indications that the action is required (The PFD is limited by IEC 61511; IEC 2001)

1x10-1

(>1x10-1 allowed by IEC)

1x10-1

minutes response timeHuman action with 40 minutes response time

Simple well-documented action with clear and reliable indications that the action is required

1x10-1 – 1x10-2 1x10-1

(Sumber: Center for Chemical Process Safety, 2001)

2.1.3 Penetapan Frekuensi Skenario

2.1.3.1 Perhitungan Kuantitatif Resiko dan Frekuensi

Perhitungan kuantitatif resiko dan frekuensi dibagi menjadi:

1. Perhitungan Umum

Dimana:

fic = frekuensi untuk consequence C dan initiating event i

fiI = frekuensi initiating event untuk initiating event i

PFD ij = kemungkinan kegagalan dari jth IPL yang melindungi

terhadap consequence C dan initiating event i.

2. Perhitungan Frekuensi Outcomes Tambahan

Outcomes tambahan tersebut antara lain:

a. efek flammable seperti kebakaran atau ledakan

dimana:

Pignition = kemungkinan penyulutan

b. efek bahan beracun

ij

J

j

Ic PFDxfifi

1

=fi I xPFDi1 xPFDi 2 x . .. . xPFDij

fifire=fiI x (∐j=1

J

PFD ij) xPignition

fitoxic= fi I x (∐j=1

J

PFD ij) xPpersonpresent xP injury

dimana:

Pperson present = kemungkinan pekerja berada pada area yang

terkena dampak

Pinjury = kemungkinan terjadi cedera

c. efek paparan kebakaran atau bahan beracun

dimana:

Pignition = kemungkinan penyulutan

Pperson present = kemungkinan pekerja berada pada area yang

terkena dampak

d. cedera atau kematian

ddimana:

Pignition = kemungkinan penyulutan

Pperson present = kemungkinan pekerja berada pada area yang

terkena dampak

Pinjury = kemungkinan terjadi cedera

3. Perhitungan Resiko

Dimana:

RkC

= indeks resiko dari outcomes insiden k, dinyatakan sebagai

magnitude dari consequences per satuan waktu. Satuan spesifik

akan bermacam-macam tergantung pada resiko yang dinilai.

Beberapa contoh mungkin meliputi resiko kematian per tahun,

jumlah kematian per tahun, kerugian ekonomi per bulan,

pelepasan polusi per hari,

f kC

= frekuensi dari outcomes insiden k, dalam satuan waktu,

seperti: year–1, hour–1, dll

Ck = perhitungan spesifik consequences dari outcomes insiden

k . Beberapa pengukuran dari consequence mungkin meliputi

fifire exp osure=fiI x (∐j=1

J

PFDij) xPignition xPpersonpresent

fifireinjury= fiI x(∐j=1

J

PFD ij)xP ignitionxP personpresent xP injury

RkC=f k

C xCk

kematian individu, jumlah kematian, jumlah kerugian ekonomi,

jumlah pelepasan polusi, jumlah orang yang terpapar pada

konsentrasi spesifik dari polusi udara. Ck mungkin dinyatakan

sebagai kategori.

4. Perhitungan Frekuensi Untuk Skenario Ganda

Dimana:

fiC

= frekuensi dari Cth consequence untuk ith initiating event.

2.1.3.2 Tabel Resiko atau Frekuensi

Resiko atau frekuensi skenario mungkin ditetapkan secara

kualitatif dengan menggunakan tabel. Kategori pada matrik meliputi:

1. frekuensi initiating event untuk skenario

2. keparahan dari consequence untuk skenario

3. jumlah IPLs yang dibutuhkan frekuensi consequence

Sebagai metode yang sering digunakan, tabel perusahaan

menunjukkan nilai IPL untuk IPLs yang sering digunakan. Selama

pengembangan metode ini, nilai IPL dikalkulasikan dari PFD IPL

menggunakan hubungan:

1 IPL credit = 1x10-2 PFD

Tabel 2.11 Contoh IPL Credit

IPL(subset of tables 6.3,

6.4, 6.5)PFD

Number of IPL Credits

(for the method illustrated in this

book)Dike 1x10-2 – 1x 10-3 1 – 1,5Flame/detonation arrestors 1x10-2 – 1x 10-3 1 – 1,5

Relief valve 1x10-1 – 1x 10-5 0,5 – 2,5Rupture disc 1x10-1 – 1x 10-5 0,5 – 2,5SIF SIL 1 1x10-1 – 1x 10-2 0,5 – 1SIF SIL 2 1x10-2 – 1x 10-3 1 – 1,5SIF SIL 3 1x10-3 – 1x 10-4 1,5 – 2Human action with 10 minutes response time 1,0 – 1x 10-1 0 – 0,5

=f 1C+f 2

C+. ..+ f ICf C=∑

i=1

I

fiC

(Sumber: Center for Chemical Process Safety, 2001)

Gambar 2.11 SIL untuk SIF(Center for Chemical Process Safety, 2001)

2.1.3.3 Perhitungan Resiko atau Frekuensi dengan Algoritma Integral

Dimana:

F iC

= eksponen frekuensi untuk consequence C dari skenario i,

F iI

= nilai absolut dari log frekuensi initiating event i,

Pij'

= nilai absolut dari log PFD (kemungkinan kegagalan) jth IPL

yang melindungi terhadap skenario i.

2.1.4 Pengambilan Keputusan Resiko

Pengambilan keputusan dilakukan setelah skenario telah terbangun

seluruhnya dan resiko yang ada telah dihitung. Pada akhir studi, baik kualitatif

maupun kuantitatif, keputusan terhadap resiko dibagi menjadi tiga kategori:

1. Mengatur resiko yang tersisa—dianggap dapat ditolerir

2. Memodifikasi (mengurangi) resiko agar dapat ditolerir

3. Menghilangkan resiko (bisnis, proses, dll) karena terlalu tinggi

LOPA biasanya diaplikasikan untuk menetapkan apakah resiko dari

skenario masih dapat ditolerir atau harus dikurangi. Tiga tipe dasar pengambilan

keputusan resiko yang digunakan LOPA:

1. Membandingkan antara kalkulasi resiko dengan kriteria resiko yang dapat

ditolerir

a. Metode Matrik

F iC=Fi

I+∑j=1

J

Pij'

Matrik resiko adalah metode umum yang menunjukkan

frekuensi yang dapat ditolerir dari skenario berdasarkan keparahan

consequence dan frekuensi skenario. Sebuah contoh dapat dilihat pada

tabel 2.12

- zone ”very low” tidak memerlukan tindakan apapun

- zone ”low” memerlukan keputusan manajemen untuk memastikan

bahwa pengurangan tertentu dibutuhkan

- zone “moderate” memerlukan pengurangan pada kesempatan

mendatang

- zone ”high” memerlukan pengurangan dengan segera atau

mematikan proses

Tabel 2.12 Risk Matrix with Individual Action Zone

(

(Sumber: Center for Chemical Process Safety, 2001)

b. Metode Kriteria Numerik (Resiko maksimum yang dapat ditolerir tiap

skenario)

Beberapa perusahaan telah mengembangkan kriteria resiko

berdasarkan resiko maksimum yang dapat ditolerir tiap skenario,

berdasarkan pada berbagai kategori consequence.

c. Jumlah Kredit IPL

Beberapa perusahaan meletakkan kriteria resiko yang dapat

ditolerir ke dalam tabel yang menspesifikasikan jumlah kredit dari IPL

untuk skenario dari level consequence dan frekuensi tertentu. Kriteria

yang dapat ditolerir tidak diperlihatkan secara eksplisit. Biasanya, nilai

tabulasi disediakan untuk jumlah IPL yang dibutuhkan untuk rentang

frekuensi initiating event dan untuk nilai kredit IPL untuk berbagai

macam lapisan perlindungan. Lihat tabel 2.13, seperti yang terlihat pada

tabel metode ini biasanya menetapkan nilai 1 kredit IPL pada lapisan

perlindungan dengan PFD 1 × 10–2 , dan sebagainya.

Tabel 2.13 Ketentuan Kredit IPL

Adjusted Initiating Event Frequency

Number of IPL Credit Required

Consequence Category IVOne Fatality

Consequence Category V

Multiple Fatalities

Frequency ≥ 1x10-2 2 2.51x10-2 > Frequency ≥ 1x10-3 1,5 21x10-3 > Frequency ≥ 1x10-2 1 1,51x10-4 > Frequency ≥ 1x10-6 0,5 11x10-6 > Frequency 0 0,5

(Sumber: Center for Chemical Process Safety, 2001)

2. Keputusan Para Ahli

Keputusan para ahli dibutuhkan ketika kriteria resiko yang dapat ditolerir

tidak tersedia atau tidak ditetapkan dengan mudah melalui tipe proses yang

telah dianalisa atau potensi bahaya yang terlibat.

3. Perbandingan relatif antara beberapa alternatif untuk pengurangan resiko