You are on page 1of 20

Layer of Protection Analysis (LOPA)

1. Pengertian
Layer of Protection Analysis (LOPA) merupakan alat semikuantitatif untuk
menganalisa dan menilai resiko (Center for Chemical Process Safety, 2001). LOPA dapat
secara efektif digunakan pada tiap poin siklus dari sebuah proses atau fasilitas.
Input kunci dari LOPA adalah skenario yang diperoleh dari identifikasi potensi
bahaya. Tujuan utama LOPA adalah untuk memastikan bahwa telah ada lapisan perlindungan
yang sesuai untuk melawan skenario kecelakaan. Skenario mungkin membutuhkan satu atau
lebih lapisan perlindungan tergantung pada kompleksitas proses dan severity dari sebuah
consequence. Untuk skenario yang diberikan, hanya satu lapisan perlindungan yang harus
berhasil bekerja mencegah consequence.














Gambar 1.1 Lapisan pertahanan untuk melawan kemungkinan celaka
(Center for Chemical Process Safety, 2001)
Walaupun tidak ada lapisan yang efektif dengan sempurna, lapisan perlindungan yang cukup
harus disediakan agar resiko kejadian dapat ditolerir.
LOPA memberi analis resiko suatu metode untuk mengevaluasi resiko kembali dari
skenario kecelakaan yang dipilih, skenario biasanya diidentifikasi selama evaluasi potensi
bahaya kualitatif. LOPA terbatas untuk mengevaluasi satu penyebab consequence sebagai
skenario.

2. Langkah-Langkah Penyusunan LOPA








Gambar 2.1 Cara kerja LOPA (Center for Chemical Process Safety, 2001)

LOPA dibagi menjadi beberapa langkah :
1. Mengidentifikasi consequence untuk memilih skenario
2. Memilih skenario kecelakaan
3. Mengidentifikasi initiating event dari skenario dan menetapkan frekuensi initiating
event (event per year)
4. Mengidentifikasi IPLs dan memperkirakan probability of failure on demand (PFD)
dari masing-masing IPL
5. Menilai resiko skenario secara matematis dengan mengkombinasikan
consequence, iniating event, dan data IPL
6. Mengevaluasi resiko untuk mencapai keputusan mengenai skenario
2.1 Penilaian Consequence dan Severity
Salah satu komponen resiko dari skenario kecelakaan adalah consequence.
Consequence adalah akibat yang tidak diinginkan dari skenario kecelakaan. Salah
satu keputusan pertama yang harus dibuat oleh sebuah organisasi ketika memilih
untuk mengimplementasikan LOPA adalah menentukan titik akhir dari consequence.
Metode yang digunakan untuk mengkategorikan consequence harus konsisten
dengan kriteria resiko yang dapat ditolerir perusahaan
2.2 Pembuatan Skenario
Pembuatan skenario merupakan langkah LOPA dimana analis atau tim
membangun satu rangkaian kejadian, termasuk kejadian pemicu dan kegagalan dari
IPLs, yang mengarah pada satu consequence yang tidak diinginkan. Masing-masing
skenario terdiri dari sedikitnya dua unsur yaitu:
a. initiating event yang memulai rantai kejadian
b. consequence yang menghasilkan dampak jika rantai kejadian berlanjut tanpa
henti


Efektivitas metode LOPA dipercayakan pada tampilan detil dalam skenario.
Adapun cara mengidentifikasi dan mengembangkan kandidat untuk sebuah
skenario terbagi menjadi 2 hal yaitu:
1. Mengidentifikasi skenario yang menjadi kandidat
Sumber informasi paling banyak untuk mengidentifikasi skenario adalah
evaluasi potensi bahaya yang dikembangkan dan didokumentasikan untuk
proses-proses yang telah ada dan dilakukan sepanjang perancangan
modifikasi dan proses-proses baru. Tujuan dari evaluasi potensi bahaya
adalah untuk mengidentifikasi, menilai dan mendokumentasikan resiko-
resiko yang berhubungan dengan proses.
Pada umumnya HAZOP berisi cukup informasi untuk menguraikan
komponen-komponen dari sebuah skenario. LOPA dapat mengambil
informasi dari HAZOP dan menetapkan nilai angka untuk frekuensi initiating
event, frekuensi kegagalan dan probability failure on demand (PFD), dan
menentukan apakah sebuah safeguard adalah sebuah IPL. Penyebab yang
diidentifikasi dalam HAZOP digunakan untuk menetapkan initiating event
dan metode LOPA akan menetapkan frekuensi. Dengan cara yang sama,
jika HAZOP mengidentifikasi safeguard, LOPA akan menentukan apakah ini
adalah IPL untuk skenario, dan jika demikian, PFD apa harus ditetapkan.















Gambar 2.9 Informasi HAZOP dan LOPA
(Center for Chemical Process Safety, 2001)

2. Mengembangkan skenario
Setelah skenario diidentifikasi, skenario harus dikembangkan dan
didokumentasikan pada level dimana pemahaman dasar dari kejadian dan
safeguard dapat dicapai. Faktor apapun yang bisa mempengaruhi
perhitungan klasifikasi atau ukuran consequence atau frekuensi
consequence harus dimasukkan dan didokumentasikan. Setelah initiating
event diidentifikasi untuk skenario, analis harus menentukan enabling event
atau kondisi apapun yang diperlukan initiating event untuk sampai kearah
consequence.
Langkah berikutnya dalam mengembangkan skenario adalah untuk
mengidentifikasi safeguard yang ada pada tempatnya, yang jika mereka
beroperasi sebagaimana yang diharapkan, mungkin mencegah skenario
berlanjut pada consequence. Sebaiknya mendaftar semua safeguard untuk
skenario tertentu sebelum memutuskan yang benar-benar IPLs.
2.1.1 Identifikasi Frekuensi Initiating Event
Untuk LOPA, masing-masing skenario mempunyai satu initiating event.
Frekuensi initiating event secara normal dinyatakan dalam kejadian per tahun.
Beberapa sumber menggunakan satuan lain, seperti kejadian per 106 jam.
Initiating event secara umum dibagi menjadi tiga tipe yaitu:
1. Equipment-Related Initiating Events
Initiating events yang terkait dengan peralatan dapat digolongkan ke
dalam:
a. kegagalan sistem kendali
b. kegagalan mekanis
2. Human Failure-Related Initiating Events
Penyebab yang berhubungan dengan kegagalan manusia adalah salah
satu dari kesalahan karena ketidaktahuan atau kesalahan pengawasan, dan
meliputi tetapi tidak terbatas pada:
a. kegagalan untuk melaksanakan langkah-langkah dari satu tugas
dengan baik
b. kegagalan untuk mengamati atau menjawab dengan benar pada suatu
kondisi proses atau sistem
Sistem manajemen secara normal tidak didaftarkan sebagai initiating events,
walaupun sistem manajemen yang tidak efektif sering menjadi sebab dasar
dari kesalahan manusia.
3. External Initiating Events
Kejadian eksternal meliputi gejala alam seperti gempa bumi, angin
topan, atau banjir, ledakan atau kebakaran pada fasilitas-fasilitas
pendamping; dan intervensi pihak ketiga seperti dampak mekanis pada
peralatan atau tumpuan kendaraan bermotor, atau peralatan konstruksi.
Sebelum menetapkan frekuensi initiating event, semua penyebab dari
langkah pengembangan skenario harus ditinjau dan dibuktikan sebagai initiating
event yang sah untuk consequence yang diidentifikasi. Analis juga perlu
memverifikasi bahwa semua potensi initiating event ditentukan dengan
mengamati proses dari perspektif sistem. Analis perlu memastikan bahwa
initiating event dalam semua model operasi (meliputi operasi normal, startup,
shutdown) dan peletakan peralatan (meliputi standby, dalam perawatan) telah
diidentifikasi.
Jumlah sumber dari data kegagalan tersedia untuk menetapkan nilai
yang konsisten pada frekuensi initiating event. Meliputi:
1. Data dari industri
2. Pengalaman perusahaan dimana tersedia data historis
3. Data dari produsen
Data kegagalan harus dipilih dengan jumlah permasalahan yang meliputi:
1. Laju kegagalan harus konsisten dengan desain dasar fasilitas dan konsisten
dengan metode perusahaan membuat keputusan berdasar resiko
2. Semua laju kegagalan yang digunakan harus berasal dari lokasi yang sama
pada rentang data
3. Data laju kegagalan yang dipilih harus mewakili industri atau operasi yang
ditetapkan
Ketika data-data yang tersebut diatas tidak tersedia, keputusan harus digunakan
untuk memutuskan data mana yang berasal dari sumber luar yang lebih dapat
diaplikasikan pada situasi tersebut. Banyak database laju kegagalan
mengandung data yang menunjukkan dua atau lebih tempat yang signifikan.
Metode LOPA mengasumsikan bahwa laju kegagalan adalah konstan. Hal ini
tidak selalu benar, karena laju kegagalan peralatan lama biasanya lebih tinggi
daripada peralatan yang masih baru. Untuk tujuan LOPA, laju kegagalan konstan
sudah cukup. Frekuensi initiating events yang sering digunakan ditunjukkan pada
tabel 2.6.

Tabel 2.6 Nilai frekuensi yang biasa digunakan, f
1
, untuk
menetapkan initiating events

Initiating Event
Frequency
Range from
Literature (per
year)
Example of a
Value Chosen
by a
Company for
Use in LOPA
(per year)
Pressure vessel residual failure 10
-5
to 10
-7
1x10
-6

Piping residual failure - 100 m - Full Breach 10
-5
to 10
-6
1x10
-5

Piping leak (10% section)- 100 m 10
-3
to 10
-4
1x10
-3

Atmospheric tank failure 10
-3
to 10
-5
1x10
-3

Gasket/packing blowout 10
-2
to 10
-6
1x10
-2

Turbine/diesel engine overspeed with
casing breach
10
-3
to 10
-4
1x10
-4

Third party intervention (external impact by
backhoe, vehicle, etc)
10
-2
to 10
-4
1x10
-2

Crane load drop 10
-3
to 10
-4
per lift 1x10
-4
per lift
Lightning strike 10
-3
to 10
-4
1x10
-3

Safety valve open spuriously 10
-2
to 10
-4
1x10
-2

Cooling water failure 1 to 10
-2
1x10
-1

Pump seal failure 10
-1
to 10
-2
1x10
-2

Unloading/loading hose failure 1 to 10
-2
1x10
-1

BPCS instrument loop failure Note:
IEC61511 limit is more than 1x10
-5
/hr or
8.76x10
-2
/yr (IEC,2001)
1 to 10
-2
1x10
-1

Regulator failure 1 to 10
-1
1x10
-1

Small external fire (aggregate causes) 10
-1
to 10
-2
1x10
-1

Large external fire (aggregate causes) 10
-2
to 10
-3
1x10
-2

LOTO (lock-out tag-out) procedure* failure
* overall failure of a multiple element
process
10
-3
to 10
-4
per
opportunity
1x10
-3
per
opportunity
Operator failure (to execute routine
procedure, assuming well trained,
unstressed, not fatigued)
10
-1
to 10
-3
per
opportunity
1x10
-2
per
opportunity

(Sumber: Center for Chemical Process Safety, 2001)

Untuk sistem atau operasi yang tidak berkelanjutan, data laju kegagalan
harus disesuaikan untuk mencerminkan bahwa kemungkinan kerugian waktu
(time at risk) untuk komponen atau operasi telah ditetapkan. Penting untuk
memastikan bahwa data laju kegagalan yang digunakan untuk satu proses
adalah konsisten dengan asumsi dasar yang tidak dapat dipisahkan sebagian
besar data laju kegagalan dinyatakan dengan satuan "per tahun" ( yr
-1
), itu
diperlukan untuk melakukan penyesuaian data untuk mencerminkan bahwa
komponen atau operasi tidak mengalami kegagalan sepanjang tahun, tetapi
hanya pada pecahan tahun ketika sedang beroperasi atau "berhadapan dengan
resiko".
2.1.2 Identifikasi Independent Protection Layer (IPL)
IPL adalah sebuah alat, sistem, atau tindakan yang dapat mencegah
skenario berproses menjadi consequence yang tidak diinginkan dari initiating
events. Pembedaan antara IPL dan safeguard adalah penting. Safeguard adalah
alat, sistem atau tindakan yang akan menghentikan rantai kejadian setelah
initiating events. Efektifitas IPL dihitung dengan istilah probability failure on
demand (PFD) yang merupakan kemungkinan suatu sistem akan gagal
melaksanakan fungsinya yang spesifik. PFD adalah angka tanpa dimensi antara
0 dan 1. Nilai terkecil dari PFD merupakan pengurangan frekuensi consequence
terbesar dari frekuensi initiating event yang diberikan. Karakteristik lapisan
perlindungan dan bagaimana mereka seharusnya dikelompokkan sebagai IPL
dalam metode LOPA dibahas pada penjelasan di bawah ini:
1. Process Design
Pada banyak perusahan, diasumsikan bahwa beberapa skenario tidak
dapat terjadi karena desain inherently safer pada peralatan dan proses.
Pada perusahaan lainnya, beberapa fitur pada desain proses yang
inherently safer dianggap nonzero PFD masih terjadi-artinya masih mungkin
mengalami kegagalan industri. Desain proses harus dianggap sebagai IPL,
atau ditetapkan sebagai metode untuk mengeliminasi skenario, tergantung
pada metode yang digunakan oleh organisasi.
2. Basic Process Control System (BPCS)
BPCS meliputi kendali manual normal, adalah level perlindungan
pertama selama operasi normal. BPCS didesain untuk menjaga proses
berada pada area selamat. Operasi normal dari BPCS control loop dapat
dimasukkan sebagai IPL jika sesuai kriteria. Ketika memutuskan
menggunakan BPCS sebagai IPL, analis harus mengevaluasi efektifitas
kendali akses dan sistem keamanan ketika kesalahan manusia dapat
menurunkan kemampuan BPCS.
3. Critical Alarms and Human Intervention
Sistem ini merupakan level perlindungan kedua selama operasi normal
dan harus diaktifkan oleh BPCS. Tindakan operator, diawali dengan alarm
atau observasi, dapat dimasukkan sebagai IPL ketika berbagai kriteria telah
dapat memastikan kefektifan tindakan.
4. Safety Instrumented Function (SIF)
SIF adalah kombinasi sensor, logic solver, dan final element dengan
tingkat integritas keselamatan spesifik yang mendeteksi keadaan diluar
batas dan membawa proses berada pada fungsi yang aman. SIF merupakan
fungsi independent dari BPCS. SIF normalnya ditetapkan sebagai IPL dan
desain dari suatu sistem, tingkat pengurangan, dan jumlah dan tipe
pengujian akan menentukan PFD dari SIF yang diterima LOPA.
5. Physical Protection (Relief Valves, Rupture Disc, etc)
Alat ini, ketika ukuran, desain, dan perawatannya sesuai, adalah IPL
yang dapat menyediakan perlindungan tingkat tinggi untuk mencegah
tekanan berlebih. Keefektifan mereka dapat rusak akibat kotor dan korosi,
jika block valves dipasang di bawah relief valve, atau jika aktivitas inspeksi
dan perawatan sangat memprihatinkan.
6. Post Release Protection (Dikes, Blast Walls, etc)
IPLs ini adalah alat pasif yang dapat menyediakan perlindungan tingkat
tinggi jika didesain dan dirawat dengan benar. Walaupun laju kegagalan
mereka rendah, kemungkinan gagal harus dimasukkan dalam skenario.
7. Plant Emergency Response
Fitur ini (pasukan pemadam kebakaran, sistem pemadaman manual,
fasilitas evakuasi, dll) secara normal tidak ditetapkan sebagai IPLs karena
mereka diaktifkan setelah pelepasan awal dan terlalu banyak variabel
mempengaruhi keseluruhan efektifitas dalam mengurangi skenario.
8. Community Emergency Response
Pengukuran ini, yang meliputi evakuasi komunitas dan tempat
perlindungan secara normal tidak ditetapkan sebagai IPLs karena mereka
diaktifkan setelah pelepasan awal dan terlalu banyak variabel
mempengaruhi keseluruhan efektifitas dalam mengurangi skenario. Hal ini
tidak menyediakan perlindungan terhadap personil plant.

Tabel 2.7 Contoh safeguard yang biasanya tidak ditetapkan
sebagai IPLs

Safeguard do
not usually
considered
IPLs
Comments
Training and
certification
These factors may be considered in assessing the PFD for
operator action, but are not-of themselves-IPLs
Procedures
These factors may be considered in assessing the PFD for
operator action, but are not-of themselves-IPLs
Normal testing
and inspection
These activities are assumed to be in place for all hazard
evaluations and form the basis for judgement to determine
PFD. Normal testing and inspection affects the PFD of certain
IPLs. Lengthening the testing and inspection intervals may
increase the PFD of an IPL.
Maintenance
These activities are assumed to be in place for all hazard
evaluations and form the basis for judgement to determine
PFD. Maintenance affects the PFD of certain IPLs.
Communications
It is a basic assumption that adequate communications exist
in a facility. Poor communications affects the PFD of certain
IPLs.
Signs
Signs by themselves are not IPLs. Signs may be unclear,
obscured, ignored, etc. Signs may affect the PFD of certain
IPLs.
Fire protection
Active fire protection is often not considered as an IPL as it is
post event for most scenarios and its availability and
effectiveness may be affected by the fire/explosion which it is
intended to contain. However, if a company can demonstrate
that it meets the requirements of an IPL for a given scenario,
it may be used (e.g., if an activating system such a plastic
piping or frangible switches are used)
Note: fire protection is mitigation IPL as it attempts to prevent
a larger consequence subsequent to an event that has
already occurred. Fire proof insulation can be used as an IPL
for some scenarios provided that it meets the requirements of
API and corporate standards
Requirement
that information
is available and
understood
This is a basic requirement

(Sumber: Center for Chemical Process Safety, 2001)






Supaya dapat dikategorikan kedalam IPL, suatu alat, system, atau
tindakan harus:
1. Efektif
Jika suatu alat, sistem, atau tindakan dikategorikan sebagai sebuah IPL,
mereka harus efektif dalam mencegah consequence yang tidak diinginkan
dari skenario. Jika safeguard tidak dapat memenuhi ketentuan tersebut
maka safeguard itu bukanlah sebuah IPL.
2. Auditable
Sebuah komponen, sistem, atau tindakan harus dapat di audit untuk
menunjukkan bahwa hal tersebut sesuai dengan ketentuan pengurangan
resiko oleh IPL LOPA. Proses audit harus menunjukkan bahwa IPL efektif
mencegah consequence.
3. Independece
Metode LOPA menggunakan independence untuk meyakinkan bahwa
efek dari initiating event, atau IPL lainnya, tidak berinteraksi dengan IPL
yang spesifik dan akan mengurangi kemampuan dan fungsinya.






Gambar 2.10 Contoh IPL yang tidak independent dari initiating events
(Center for Chemical Process Safety, 2001)

Ketentuan dasar dari efektifitas, independence, dan auditability untuk
sebuah IPL ditentukan oleh beberapa metode. Metode paling sederhana adalah
dengan menggunakan penulisan dasar desain, atau lembar rangkuman IPL. Hal
ini harus meliputi penetapan initiating event, tindakan yang dilakukan oleh sistem
atau alat, dan pengaruh dari tindakan tersebut. PFD untuk sebuah IPL adalah
kemungkinan yang ketika diminta tidak akan melakukan tugas yang seharusnya.
Analis harus mengevaluasi desain dari kandidat IPL terhadap kondisi dari
skenario untuk menilai PFD yang sesuai untuk IPL. Nilai PFD juga harus
konsisten dengan laju kegagalan yang digunakan untuk mengembangkan
frekuensi initiating event dan kriteria resiko yang ditolerir. Contoh dari IPLs:
1. Instrumented System
Sistem ini merupakan kombinasi dari sensor, logic solver, kendali
proses, dan final elements yang bekerja bersama, untuk mengatur operasi
plant otomatis, atau untuk mencegah terjadinya kejadian spesifik di dalam
proses manufaktur kimia. Dua tipe instrumented system yang ditetapkan
sebagai dasar metode LOPA yaitu:
a. continuous controller (seperti kendali proses yang mengatur aliran,
temperatur, atau tekanan pada nilai yang ditetapkan operator)
b. state controller (logic solver yang melakukan proses pengukuran dan
mengatur perubahan on-off pada indikator alarm dan process valve)
2. IPLs Pasif
IPL pasif tidak perlu melakukan tindakan supaya dapat mencapai
fungsinya yaitu mengurangi resiko. IPLs ini mencapai fungsi yang
diharapkan jika proses atau desain mekanis mereka benar dan jika
dibangun, dipasang, dan dirawat dengan benar. Alat-alat tersebut
diharapkan untuk mencegah consequence yang tidak diinginkan
(penyebaran kebocoran, kerusakan peralatan atau bangunan akibat
ledakan, dll). Jika didesain dengan benar, sistem pasif tersebut dapat
dikategorikan sebagai sebuah IPL dengan tingkat keyakinan tinggi dan akan
mengurangi frekuensi kejadian dengan consequence besar yang potensial
secara signifikan.
Tabel 2.8 Contoh IPLs Pasif

IPL
Comments
Assuming an adequate
design basis and
adequate inspection and
maintenance procedures
PFD from
Literature
and Industry
PFD used in
This Book
(For
screening)
Dike
Will reduce the frequency
of large consequences
(widespread spill) of a
tank
overfill/rupture/spill/etc
1x10
-2
-1x10
-3
1x10
-2
Underground
Drainage
System
Will reduce the frequency
of large consequences
(widespread spill) of a
tank
overfill/rupture/spill/etc
1x10
-2
-1x10
-3
1x10
-2
Open Vent (no
valve)
Will prevent over pressure 1x10
-2
-1x10
-3
1x10
-2
Fireproofing
Will reduce rate of heat
input and provide
additional time for
depressurizing/firefighting/
etc
1x10
-2
-1x10
-3
1x10
-2
Blast-
wall/Bunker
Will reduce the frequency
of large consequences of
an explosion by confining
1x10
-2
-1x10
-3
1x10
-3
blast and protecting
equipment/buildings/etc
Inherently
Safe Design
If properly implemented
can significantly reduce
the frequency of
consequences associated
with a scenario. Note: the
LOPA rules for some
companies allow
inherently safe design
features to eliminate
certain scenarios (e.g.,
vessel design pressure
exceeds all possible high
pressure challenges)
1x10
-1
-1x10
-6
1x10
-2
Flame/Detonati
on Arrestors
If properly designed,
installed, and maintained
these should eliminate the
potential for flash-back
through a piping system or
into a vessel or tank
1x10
-1
-1x10
-3
1x10
-2

(Sumber: Center for Chemical Process Safety, 2001)

3. Basic Process Control System (BPCS)
BPCS adalah sistem kendali yang memonitor secara terus menerus dan
mengendalikan proses operasi plant dari hari ke hari. BPCS menyediakan
tiga tipe yang berbeda dari fungsi keselamatan yang dapat menjadi IPLs:
a. continuous control action
b. state controllers (logic solver atau alarm trip units)
c. state controllers (logic solver atau control relays)
Untuk tujuan LOPA, beberapa perusahaan menggunakan PFD 1x10
-1
untuk
tiap IPL BPCS yang dapat diaplikasikan pada initiating event-consequence.

4. IPLs Aktif
IPLs aktif perlu bergerak dari satu posisi ke posisi yang lain sebagai
respon terhadap perubahan properti proses yang dapat diukur, atau sinyal
dari sumber lain.

Tabel 2.9 Contoh IPLs Aktif

IPL
Comments
Assuming an adequate
design basis and
PFD from
Literature and
Industry
PFD Used
in This
Book
inspection/maintenance
procedures
(For
screening)
Relief valve
Prevents system exceeding
specified overpressure.
Effectiveness of this device is
sensitive to service and
experience
1x10
-1
1x10
-5
1x10
-2

Rupture disc
Prevents system exceeding
specified overpressure.
Effectiveness can be sensitive
to service and experience
1x10
-1
1x10
-5
1x10
-2

Basic
Process
Control
System
Can be credited as an IPL if
not associated with the
initiating event being
considered
1x10
-1
1x10
-2
(>1x10
-1
allowed
by IEC)
1x10
-1

Safety
Instrumented
Functions
(Interlocks)
See IEC 61508 (IEC, 1998) and IEC 61511 (IEC, 2001) for life
cycle requirements and additional discussion
SIL 1
Typically consist of:
Single sensor (redundant for
fault tolerance)
Single logic processor
(redundant for fault tolerance)
Single final element
(redundant for fault tolerance)
1x10
-2
<1x10
-1

This book
does not
specify a
specific SIL
level.
Continuing
example
calculate
required
PFD for a
SIF
SIL 2
Typically consist of:
Multiple sensor (for fault
tolerance)
Multiple channel logic
processor (for fault tolerance)
Multiple final elements (for
fault tolerance)
1x10
-3
<1x10
-2

SIL 3
Typically consist of:
Multiple sensors
Multiple channel logic
processor
Multiple final elements
1x10
-4
<1x10
-3


(Sumber: Center for Chemical Process Safety, 2001)

5. Safety Instrumented System (SIS)
SIS adalah kombinasi dari sensor, logic solver, dan final element yang
menghasilkan satu atau lebih safety instrumented function (SIF). SIF
biasanya disebut interlocks dan safety critical alarms. Standard internasional
mengelompokkan SIF untuk penggunaan pada proses industri kimia ke
dalam kategori yang disebut safety integrity level (SIL), yaitu:
a. SIL 1 PFD 1x10
-2
hingga < 1x10
-1
. SIF ini diimplementasikan secara
normal dengan 1 sensor, 1 logic solver SIS dan 1 final control element
b. SIL 2 PFD 1x10
-3
hingga < 1x10
-2
. SIF ini biasanya secara penuh
bertumpuk dari sensor melalui logic solver SIS ke final control element
c. SIL 3 PFD 1x10
-4
hingga < 1x10
-3
. SIF ini biasanya secara penuh
bertumpuk dari sensor melalui logic solver SIS ke final control element
dan memerlukan desain yang sangat hati-hati dan frekuensi uji
ketahanan untuk mencapai nilai PFD yang rendah
d. SIL 4 PFD 1x10
-5
hingga < 1x10
-4
. SIF ini sulit didesain dan dirawat
dan tidak digunakan dalam LOPA.
6. Vendor Installed Safeguard
Banyak peralatan yang dipasok dengan berbagai safeguard dan sistem
interlock yang didesain oleh produsen peralatan. Benar jika menetapkan
alat tersebut sebagai IPLs berdasarkan kesesuaian mereka terhadap
ketentuan LOPA.
7. Deluges, Sprays, Foam System, dan Firefighting Mitigation System lainnya
Deluges, water spray, foam system mungkin dapat ditetapkan sebagai
IPLs untuk mencegah pelapasan bahan kimia jika didesain dirawat dengan
baik.
8. Pressure Relief Devices
Pressure relief valve membuka ketika tekanan dibawah valve melebihi
tekanan yang menahan valve untuk tetap menutup. Bejana bertekanan
membutuhkan relief valves untuk melindungi bejana atau sistem yang
didesain untuk semua skenario dan tidak menentukan ketentuan lain. Ini
menandakan bahwa relief valve adalah satu-satunya IPL yang dibutuhkan
untuk pelindung tekanan berlebih.

9. Human IPLs
Human IPLs melibatkan kemampuan operator atau staf lainnya untuk
mengambil tindakan pencegahan terhadap consequence yang tidak
diinginkan, sebagai respon terhadap alarms atau mengikuti pemeriksaan
rutin dari system.

Tabel 2.10 Contoh Human Action IPLs

IPL Comments PFD from PFD Used
Assuming an adequate
design basis and
inspection/maintenance
procedures
Literature and
Industry
in This
Book
(For
screening)
Human action
with 10
minutes
response time
Simple well-documented
action with clear and reliable
indications that the action is
required
1,0 1x10
-1
1x10
-1

Human
response to
BPCS
indication or
alarm with 40
minutes
response time
Simple well-documented
action with clear and reliable
indications that the action is
required (The PFD is limited
by IEC 61511; IEC 2001)
1x10
-1
(>1x10
-1
allowed by
IEC)
1x10
-1

Human action
with 40
minutes
response time
Simple well-documented
action with clear and reliable
indications that the action is
required
1x10
-1
1x10
-2
1x10
-1


(Sumber: Center for Chemical Process Safety, 2001)

2.1.3 Penetapan Frekuensi Skenario
2.1.3.1 Perhitungan Kuantitatif Resiko dan Frekuensi
Perhitungan kuantitatif resiko dan frekuensi dibagi menjadi:
1. Perhitungan Umum



Dimana:
c
fi = frekuensi untuk consequence C dan initiating event i
I
fi = frekuensi initiating event untuk initiating event i
ij
PFD = kemungkinan kegagalan dari jth IPL yang melindungi
terhadap consequence C dan initiating event i.
2. Perhitungan Frekuensi Outcomes Tambahan
Outcomes tambahan tersebut antara lain:
a. efek flammable seperti kebakaran atau ledakan


dimana:
P
ignition
= kemungkinan penyulutan
ij
J
j
I c
PFD x fi fi
[
=
=
1
ij i i
I
xPFD x xPFD xPFD fi ....
2 1
=
ignition
J
j
ij
I fire
xP PFD x f i f i
|
|
.
|

\
|
=
=

1

b. efek bahan beracun



dimana:
P
person present
= kemungkinan pekerja berada pada area yang
terkena dampak
P
injury
= kemungkinan terjadi cedera
c. efek paparan kebakaran atau bahan beracun


d
imana:
P
ignition
= kemungkinan penyulutan
P
person present
= kemungkinan pekerja berada pada area yang
terkena dampak
d. cedera atau kematian


d
dimana:
P
ignition
= kemungkinan penyulutan
P
person present
= kemungkinan pekerja berada pada area yang
terkena dampak
P
injury
= kemungkinan terjadi cedera
3. Perhitungan Resiko

Dimana:
C
k
R = indeks resiko dari outcomes insiden k, dinyatakan sebagai
magnitude dari consequences per satuan waktu. Satuan spesifik
akan bermacam-macam tergantung pada resiko yang dinilai.
Beberapa contoh mungkin meliputi resiko kematian per tahun,
jumlah kematian per tahun, kerugian ekonomi per bulan,
pelepasan polusi per hari,
injury ent personpres
J
j
ij
I toxic
xP xP PFD x f i f i
|
|
.
|

\
|
=
=

1
ent personpres ignition
J
j
ij
I osure fire
xP xP PFD x f i f i
|
|
.
|

\
|
=
=

1
exp
injury ent personpres ignition
J
j
ij
I fireinjury
xP xP xP PFD x f i f i
|
|
.
|

\
|
=
=

1
k
C
k
C
k
xC f R =
C
k
f = frekuensi dari outcomes insiden k, dalam satuan waktu,
seperti: year
1
, hour
1
, dll
k
C = perhitungan spesifik consequences dari outcomes insiden
k . Beberapa pengukuran dari consequence mungkin meliputi
kematian individu, jumlah kematian, jumlah kerugian ekonomi,
jumlah pelepasan polusi, jumlah orang yang terpapar pada
konsentrasi spesifik dari polusi udara. Ck mungkin dinyatakan
sebagai kategori.
4. Perhitungan Frekuensi Untuk Skenario Ganda


Dimana:

C
fi = frekuensi dari Cth consequence untuk ith initiating event.
2.1.3.2 Tabel Resiko atau Frekuensi
Resiko atau frekuensi skenario mungkin ditetapkan secara
kualitatif dengan menggunakan tabel. Kategori pada matrik meliputi:
1. frekuensi initiating event untuk skenario
2. keparahan dari consequence untuk skenario
3. jumlah IPLs yang dibutuhkan frekuensi consequence
Sebagai metode yang sering digunakan, tabel perusahaan
menunjukkan nilai IPL untuk IPLs yang sering digunakan. Selama
pengembangan metode ini, nilai IPL dikalkulasikan dari PFD IPL
menggunakan hubungan:
1 IPL credit = 1x10
-2
PFD

Tabel 2.11 Contoh IPL Credit

IPL
(subset of tables 6.3,
6.4, 6.5)
PFD
Number of IPL
Credits
(for the method
illustrated in this
book)
Dike 1x10
-2
1x 10
-3
1 1,5
Flame/detonation
arrestors
1x10
-2
1x 10
-3
1 1,5
Relief valve 1x10
-1
1x 10
-5
0,5 2,5
Rupture disc 1x10
-1
1x 10
-5
0,5 2,5
SIF SIL 1 1x10
-1
1x 10
-2
0,5 1
SIF SIL 2 1x10
-2
1x 10
-3
1 1,5

=
=
I
i
C C
fi f
1
C
I
C C
f f f + + + = ...
2 1
SIF SIL 3 1x10
-3
1x 10
-4
1,5 2
Human action with 10
minutes response time
1,0 1x 10
-1
0 0,5

(Sumber: Center for Chemical Process Safety, 2001)









Ga
mbar 2.11 SIL untuk SIF
(Center for Chemical Process Safety, 2001)

2.1.3.3 Perhitungan Resiko atau Frekuensi dengan Algoritma Integral



Dimana:
C
i
F = eksponen frekuensi untuk consequence C dari skenario i,
I
i
F = nilai absolut dari log frekuensi initiating event i,
'
ij
P = nilai absolut dari log PFD (kemungkinan kegagalan) jth IPL
yang melindungi terhadap skenario i.
2.1.4 Pengambilan Keputusan Resiko
Pengambilan keputusan dilakukan setelah skenario telah terbangun
seluruhnya dan resiko yang ada telah dihitung. Pada akhir studi, baik kualitatif
maupun kuantitatif, keputusan terhadap resiko dibagi menjadi tiga kategori:
1. Mengatur resiko yang tersisadianggap dapat ditolerir
2. Memodifikasi (mengurangi) resiko agar dapat ditolerir
3. Menghilangkan resiko (bisnis, proses, dll) karena terlalu tinggi
LOPA biasanya diaplikasikan untuk menetapkan apakah resiko dari
skenario masih dapat ditolerir atau harus dikurangi. Tiga tipe dasar pengambilan
keputusan resiko yang digunakan LOPA:

=
+ =
J
j
ij
I
i
C
i
P F F
1
'
1. Membandingkan antara kalkulasi resiko dengan kriteria resiko yang dapat
ditolerir
a. Metode Matrik
Matrik resiko adalah metode umum yang menunjukkan
frekuensi yang dapat ditolerir dari skenario berdasarkan keparahan
consequence dan frekuensi skenario. Sebuah contoh dapat dilihat pada
tabel 2.12
- zone very low tidak memerlukan tindakan apapun
- zone low memerlukan keputusan manajemen untuk memastikan
bahwa pengurangan tertentu dibutuhkan
- zone moderate memerlukan pengurangan pada kesempatan
mendatang
- zone high memerlukan pengurangan dengan segera atau
mematikan proses

Tabel 2.12 Risk Matrix with Individual Action Zone









(



(
Sumber: Center for Chemical Process Safety, 2001)

b. Metode Kriteria Numerik (Resiko maksimum yang dapat ditolerir tiap
skenario)
Beberapa perusahaan telah mengembangkan kriteria resiko
berdasarkan resiko maksimum yang dapat ditolerir tiap skenario,
berdasarkan pada berbagai kategori consequence.
c. Jumlah Kredit IPL
Beberapa perusahaan meletakkan kriteria resiko yang dapat
ditolerir ke dalam tabel yang menspesifikasikan jumlah kredit dari IPL
untuk skenario dari level consequence dan frekuensi tertentu. Kriteria
yang dapat ditolerir tidak diperlihatkan secara eksplisit. Biasanya, nilai
tabulasi disediakan untuk jumlah IPL yang dibutuhkan untuk rentang
frekuensi initiating event dan untuk nilai kredit IPL untuk berbagai
macam lapisan perlindungan. Lihat tabel 2.13, seperti yang terlihat pada
tabel metode ini biasanya menetapkan nilai 1 kredit IPL pada lapisan
perlindungan dengan PFD 1 10
2
, dan sebagainya.

Tabel 2.13 Ketentuan Kredit IPL

Adjusted Initiating Event
Frequency
Number of IPL Credit Required
Consequence
Category IV
One Fatality
Consequence
Category V
Multiple
Fatalities
Frequency 1x10
-2
2 2.5
1x10
-2
> Frequency 1x10
-3
1,5 2
1x10
-3
> Frequency 1x10
-2
1 1,5
1x10
-4
> Frequency 1x10
-6
0,5 1
1x10
-6
> Frequency 0 0,5

(Sumber: Center for Chemical Process Safety, 2001)

2. Keputusan Para Ahli
Keputusan para ahli dibutuhkan ketika kriteria resiko yang dapat ditolerir
tidak tersedia atau tidak ditetapkan dengan mudah melalui tipe proses yang
telah dianalisa atau potensi bahaya yang terlibat.
3. Perbandingan relatif antara beberapa alternatif untuk pengurangan resiko

You might also like