Analisis bowtie (dasi kupu-kupu) adalah metode diagramatis untuk menggambarkan
dan menganalisis jalur suatu risiko dari penyebab hingga dampaknya. Metode ini sering dianggap sebagai kombinasi dari metode pohon kesalahan (FTA, fault tree analysis) yang menganalisis penyebab peristiwa dengan metode pohon peristiwa (ETA, event tree analysis) yang menganalisis dampak. bowtie lebih berfokus kepada penghambat (barrier) antara penyebab dan risiko, serta antara risiko dan dampak. Metode ini disebut bowtie karena diagram yang dihasilkan menyerupai dasi kupu- kupu dengan penyebab dan dampak masing-masing menjadi dua sayap kiri kanan yang mengapit peristiwa risiko di bagian tengah. Proses analisis bowtie dapat diuraikan sebagai berikut: 1. Gambarkan suatu peristiwa risiko tertentu dalam bentuk lingkaran sebagai pusat diagram, misalnya gangguan sistem TI. 2. Daftarkan penyebab peristiwa di bagian sebelah kiri, misalnya listrik padam. Hubungkan tiap penyebab dengan peristiwa risiko di bagian tengah. 3. Gambarkan penghambat yang mencegah tiap-tiap penyebab tersebut menimbulkan peristiwa risiko, misalnya UPS. 4. Gambarkan faktor eskalasi (escalation factor) yang mungkin ada untuk tiap penyebab, misalnya UPS tidak berfungsi. Tiap faktor eskalasi perlu dikontrol, misalnya pengujian UPS secara berkala. 5. Daftarkan dampak peristiwa di bagian sebelah kanan, misalnya data hilang. Hubungkan tiap dampak dengan peristiwa risiko di bagian tengah. 6. Gambarkan penghambat yang mengurangi besar tiap-tiap dampak, misalnya sistem backup.
Manfaat Mengacu pada keterlibatan langsung dan pengalaman personil fasilitas untuk mengidentifikasi bahaya dan untuk benar menggabungkan kontrol penting dalam sistem pengelolaan Memungkinkan pemantauan berbasis risiko, audit dan review pengendalian risiko kritis Meningkatkan kesadaran dan meningkatkan pemahaman dan pengetahuan antara karyawan potensi kecelakaan besar dan ketergantungan pada kontrol kritis yang mencegah kecelakaan tersebut dari terjadi Memungkinkan manajemen risiko yang tepat harus dibuktikan
LOPA (Layer of Protection Analysis) Lapisan Analisis Perlindungan (LOPA) adalah metode yang berguna dan sering digunakan untuk menilai risiko kecelakaan besar . Hal ini paling sering digunakan dalam industri proses namun pendekatan umum berlaku untuk semua jenis penilaian risiko. LOPA adalah metode semi-kuantitatif yang berarti bahwa 'urutan besarnya' pendekatan-pendekatan yang digunakan untuk mendapatkan estimasi frekuensi , dan oleh karena itu risiko, konsekuensi acara dan dibandingkan dengan kriteria toleransi risiko. Perkiraan risiko terbatas pada peristiwa tunggal sedang dipelajari dan akan hanya berurusan dengan kredibel konsekuensi terburuk dari acara tersebut. Input kunci dari LOPA adalah scenario yang diperoleh dari identifikasi potensi bahaya.Tujuan utama LOPA adalah untuk memastikan bahwa telah ada lapisan perlindungan yangsesuai untuk melawan scenario kecelakaan. Scenario mungkin membutuhkan satu atau lebihlapisan perlindungan tergantung pada kompleksitas proses dan severity dari sebuah consequence.Untuk scenario yang diberikan, hanya satu perlindungan yang harus berhasil bekerja mencegahconsequence. Walaupun tidak ada lapisan efektif yang sempurna, lapisan perlindungan yangcukup harus disediakan agar resiko kejadian dapat ditolerir
Metodologi LOPA terutama melibatkan mengidentifikasi kontrol 'pencegaha ' yang mencegah bahaya yang mengarah ke kecelakaan dan 'mitigasi ' kontrol yang membantu untuk mengurangi besarnya atau tingkat keparahan insiden setelah terjadi . Ini disebut sebagai 'lapisan perlindungan' . Lapisan perlindungan diidentifikasi secara eksplisit dan probabilitas kegagalan ditetapkan berdasarkan perkiraan efektivitas dan kehandalan . Diperkirakan memulai frekuensi bahaya dan kontrol probabilitas kegagalan kemudian dapat dikombinasikan untuk menghasilkan perkiraan frekuensi untuk hasil kecelakaan dan diplot ke matriks risiko jika diinginkan.
LOPA merupakan proses untuk mengevaluasi resiko dengan tolerensi resiko ekplisit untuk konsekeunsi yang spesifik LOPA adalah menentukan nilai tanpa mengambil resiko yang tidak dibutuhkan Tingkatan dari penerimaan resiko merupakan ekspresi dari istilah frekuensi toleransi Toleransi frekuensi adalah pengambilan kriteria untuk mendesain dan perubahan operasional Langkah Identifikasi LOPA 1. Mengidentifikasi consequence untuk memilih scenario 2. Memilih scenario kecelakaan 3. Mengidentifikasi initiating event dari scenario dan menetapkan frekuensi initiating event(event per year) 4. Mengidentifikasi IPLs dan memperkirakan probability of failure on demand (PFD) darimasing-masing IPL 5. Menilai resiko scenario secara matematis dengan mengkombinasikan consequence, initiatingevent, dan data IPL 6. Mengevaluasi resiko untuk mencapai keputusan mengenai scenario
1. Penilaian Consequence dan Severity Salah satu komponen resiko dari skenario kecelakaan adalah consequence. Consequence adalah akibat yang tidak diinginkan dari skenario kecelakaan. Salahsatu keputusan pertama yang harus dibuat oleh sebuah organisasi ketika memilihuntuk mengimplementasikan LOPA adalah menentukan titik akhir dari consequence. Metode yang digunakan untuk mengkategorikan consequence harus konsistendengan kriteria resiko yang dapat ditolerir perusahaan
2. Pembuatan Skenario Pembuatan skenario merupakan langkah LOPA dimana analis atau timmembangun satu rangkaian kejadian, termasuk kejadian pemicu dan kegagalan dariIPLs, yang mengarah pada satu consequence yang tidak diinginkan. Masing-masingskenario terdiri dari sedikitnya dua unsur yaitu: a) initiating event; yang memulai rantai kejadian. b) consequence; yang menghasilkan dampak jika rantai kejadian berlanjut tanpa henti
Identifikasi initiating event Untuk LOPA, masing-masing skenario mempunyai satu initiating event. Frekuensi initiating event secara normal dinyatakan dalam kejadian per tahunBeberapa sumber menggunakan satuan lain, seperti kejadian per 106 jam. Initiating event secara umum dibagi menjadi tiga tipe yaitu: 1) Equipment-Related Initiating Events Initiating events yang terkait dengan peralatan dapat digolongkan kedalam: a. kegagalan sistem kendali. b. kegagalan mekanis. 2) Human Failure-Related Initiating Events Penyebab yang berhubungan dengan kegagalan manusia adalah salahsatu dari kesalahan karena ketidaktahuan atau kesalahan pengawasan, danmeliputi tetapi tidak terbatas pada a. kegagalan untuk melaksanakan langkah-langkah dari satu tugasdengan baik. b. kegagalan untuk mengamati atau menjawab dengan benar pada suatukondisi proses atau sistem 3) External Initiating Events Kejadian eksternal meliputi gejala alam seperti gempa bumi, angintopan, atau banjir, ledakan atau kebakaran pada fasilitas-fasilitaspendamping; dan intervensi pihak ketiga seperti dampak mekanis padaperalatan atau tumpuan kendaraan bermotor, atau peralatan konstruksi
Identifikasi Independent Protection Layer (IPL) IPL adalah sebuah alat, sistem, atau tindakan yang dapat mencegahskenario berproses menjadi consequence yang tidak diinginkan dari initiating events. Pembedaan antara IPL dan safeguard adalah penting. Safeguard adalah alat, sistem atau tindakan yang akan menghentikan rantai kejadian setelahinitiating events. Efektifitas IPL dihitung dengan istilah probability failure ondemand (PFD) yang merupakan kemungkinan suatu sistem akan gagalmelaksanakan fungsinya yang spesifik. PFD adalah angka tanpa dimensi antara 0 dan 1. Nilai terkecil dari PFD merupakan pengurangan frekuensi consequence terbesar dari frekuensi initiating event yang diberikan. Karakteristik lapisanperlindungan dan bagaimana mereka seharusnya dikelompokkan sebagai IPLdalam metode LOPA dibahas pada penjelasan di bawah ini a) Process Design Pada banyak perusahan, diasumsikan bahwa beberapa skenario tidakdapat terjadi karena desain inherently safer pada peralatan dan proses.Pada perusahaan lainnya, beberapa fitur pada desain proses yang inherently safer dianggap nonzero PFD masih terjadi-artinya masih mungkinmengalami kegagalan industri. Desain proses harus dianggap sebagai IPL,atau ditetapkan sebagai metode untuk mengeliminasi skenario, tergantungpada metode yang digunakan oleh organisasi.2.
b) Basic Process Control System(BPCS) BPCS meliputi kendali manual normal, adalah level perlindunganpertama selama operasi normal. BPCS didesain untuk menjaga prosesberada pada area selamat. Operasi normal dari BPCS control loop dapat dimasukkan sebagai IPL jika sesuai kriteria. Ketika memutuskanmenggunakan BPCS sebagai IPL, analis harus mengevaluasi efektifitaskendali akses dan sistem keamanan ketika kesalahan manusia dapatmenurunkan kemampuan BPCS.3.
c) Critical Alarms and Human Intervention Sistem ini merupakan level perlindungan kedua selama operasi normaldan harus diaktifkan oleh BPCS. Tindakan operator, diawali dengan alarmatau observasi, dapat dimasukkan sebagai IPL ketika berbagai kriteria telahdapat memastikan kefektifan tindakan.4.
d) Safety Instrumented Function (SIF) SIF adalah kombinasi sensor, logic solver, dan final element dengan tingkat integritas keselamatan spesifik yang mendeteksi keadaan diluar batas dan membawa proses berada pada fungsi yang aman. SIF merupakanfungsi independent dari BPCS. SIF normalnya ditetapkan sebagai IPL dandesain dari suatu sistem, tingkat pengurangan, dan jumlah dan tipepengujian akan menentukan PFD dari SIF yang diterima LOPA.
e) Physical Protection (Relief Valves, Rupture Disc, etc ) Alat ini, ketika ukuran, desain, dan perawatannya sesuai, adalah IPLyang dapat menyediakan perlindungan tingkat tinggi untuk mencegahtekanan berlebih. Keefektifan mereka dapat rusak akibat kotor dan korosi, jika block valves dipasang di bawah relief valve, atau jika aktivitas inspeksidan perawatan sangat memprihatinkan.6.
f) Post Release Protection(Dikes, Blast Walls, etc) IPLs ini adalah alat pasif yang dapat menyediakan perlindungan tingkattinggi jika didesain dan dirawat dengan benar. Walaupun laju kegagalanmereka rendah, kemungkinan gagal harus dimasukkan dalam skenario.7.
g) Plant Emergency Response Fitur ini (pasukan pemadam kebakaran, sistem pemadaman manual,fasilitas evakuasi, dll) secara normal tidak ditetapkan sebagai IPLs karenamereka diaktifkan setelah pelepasan awal dan terlalu banyak variabelmempengaruhi keseluruhan efektifitas dalam mengurangi skenario.8.
h) Community Emergency Response Pengukuran ini, yang meliputi evakuasi komunitas dan tempatperlindungan secara normal tidak ditetapkan sebagai IPLs karena merekadiaktifkan setelah pelepasan awal dan terlalu banyak variabelmempengaruhi keseluruhan efektifitas dalam mengurangi skenario. Hal initidak menyediakan perlindungan terhadap personil plant
Pengambilan Keputusan Resiko Pengambilan keputusan dilakukan setelah skenario telah terbangunseluruhnya dan resiko yang ada telah dihitung. Pada akhir studi, baik kualitatif maupun kuantitatif, keputusan terhadap resiko dibagi menjadi tiga kategori: 1. Mengatur resiko yang tersisadianggap dapat ditolerir 2. Memodifikasi (mengurangi) resiko agar dapat ditolerir 3. Menghilangkan resiko (bisnis, proses, dll) karena terlalu tinggiLOPA biasanya diaplikasikan untuk menetapkan apakah resiko dariskenario masih dapat ditolerir atau harus dikurangi. Tiga tipe dasar pengambilankeputusan resiko yang digunakan LOPA: