Bow Tie

Analisis bowtie (dasi kupu-kupu) adalah metode diagramatis untuk menggambarkan

dan menganalisis jalur suatu risiko dari penyebab hingga dampaknya.
Metode ini sering dianggap sebagai kombinasi dari metode pohon kesalahan (FTA,
fault tree analysis) yang menganalisis penyebab peristiwa dengan metode pohon
peristiwa (ETA, event tree analysis) yang menganalisis dampak.
bowtie lebih berfokus kepada penghambat (barrier) antara penyebab dan risiko, serta
antara risiko dan dampak.
Metode ini disebut bowtie karena diagram yang dihasilkan menyerupai dasi kupu-
kupu dengan penyebab dan dampak masing-masing menjadi dua sayap kiri kanan
yang mengapit peristiwa risiko di bagian tengah.
Proses analisis bowtie dapat diuraikan sebagai berikut:
1. Gambarkan suatu peristiwa risiko tertentu dalam bentuk lingkaran sebagai pusat
diagram, misalnya gangguan sistem TI.
2. Daftarkan penyebab peristiwa di bagian sebelah kiri, misalnya listrik padam.
Hubungkan tiap penyebab dengan peristiwa risiko di bagian tengah.
3. Gambarkan penghambat yang mencegah tiap-tiap penyebab tersebut menimbulkan
peristiwa risiko, misalnya UPS.
4. Gambarkan faktor eskalasi (escalation factor) yang mungkin ada untuk tiap
penyebab, misalnya UPS tidak berfungsi. Tiap faktor eskalasi perlu dikontrol,
misalnya pengujian UPS secara berkala.
5. Daftarkan dampak peristiwa di bagian sebelah kanan, misalnya data hilang.
Hubungkan tiap dampak dengan peristiwa risiko di bagian tengah.
6. Gambarkan penghambat yang mengurangi besar tiap-tiap dampak, misalnya sistem
backup.



Manfaat
Mengacu pada keterlibatan langsung dan pengalaman personil fasilitas untuk
mengidentifikasi bahaya dan untuk benar menggabungkan kontrol penting
dalam sistem pengelolaan
Memungkinkan pemantauan berbasis risiko, audit dan review pengendalian
risiko kritis
Meningkatkan kesadaran dan meningkatkan pemahaman dan pengetahuan
antara karyawan potensi kecelakaan besar dan ketergantungan pada kontrol
kritis yang mencegah kecelakaan tersebut dari terjadi
Memungkinkan manajemen risiko yang tepat harus dibuktikan

LOPA (Layer of Protection Analysis)
Lapisan Analisis Perlindungan (LOPA) adalah metode yang berguna dan sering digunakan
untuk menilai risiko kecelakaan besar . Hal ini paling sering digunakan dalam industri proses
namun pendekatan umum berlaku untuk semua jenis penilaian risiko. LOPA adalah metode
semi-kuantitatif yang berarti bahwa 'urutan besarnya' pendekatan-pendekatan yang digunakan
untuk mendapatkan estimasi frekuensi , dan oleh karena itu risiko, konsekuensi acara dan
dibandingkan dengan kriteria toleransi risiko. Perkiraan risiko terbatas pada peristiwa tunggal
sedang dipelajari dan akan hanya berurusan dengan kredibel konsekuensi terburuk dari acara
tersebut.
Input kunci dari LOPA adalah scenario yang diperoleh dari identifikasi potensi
bahaya.Tujuan utama LOPA adalah untuk memastikan bahwa telah ada lapisan perlindungan
yangsesuai untuk melawan scenario kecelakaan. Scenario mungkin membutuhkan satu atau
lebihlapisan perlindungan tergantung pada kompleksitas proses dan severity dari sebuah
consequence.Untuk scenario yang diberikan, hanya satu perlindungan yang harus berhasil
bekerja mencegahconsequence. Walaupun tidak ada lapisan efektif yang sempurna, lapisan
perlindungan yangcukup harus disediakan agar resiko kejadian dapat ditolerir

Metodologi LOPA terutama melibatkan mengidentifikasi kontrol 'pencegaha ' yang
mencegah bahaya yang mengarah ke kecelakaan dan 'mitigasi ' kontrol yang membantu untuk
mengurangi besarnya atau tingkat keparahan insiden setelah terjadi . Ini disebut sebagai
'lapisan perlindungan' . Lapisan perlindungan diidentifikasi secara eksplisit dan probabilitas
kegagalan ditetapkan berdasarkan perkiraan efektivitas dan kehandalan . Diperkirakan
memulai frekuensi bahaya dan kontrol probabilitas kegagalan kemudian dapat
dikombinasikan untuk menghasilkan perkiraan frekuensi untuk hasil kecelakaan dan diplot ke
matriks risiko jika diinginkan.


LOPA merupakan proses untuk mengevaluasi resiko dengan tolerensi resiko
ekplisit untuk konsekeunsi yang spesifik
LOPA adalah menentukan nilai tanpa mengambil resiko yang tidak
dibutuhkan
Tingkatan dari penerimaan resiko merupakan ekspresi dari istilah frekuensi
toleransi
Toleransi frekuensi adalah pengambilan kriteria untuk mendesain dan
perubahan operasional
Langkah Identifikasi LOPA
1. Mengidentifikasi consequence untuk memilih scenario
2. Memilih scenario kecelakaan
3. Mengidentifikasi initiating event dari scenario dan menetapkan frekuensi initiating
event(event per year)
4. Mengidentifikasi IPLs dan memperkirakan probability of failure on demand (PFD)
darimasing-masing IPL
5. Menilai resiko scenario secara matematis dengan mengkombinasikan consequence,
initiatingevent, dan data IPL
6. Mengevaluasi resiko untuk mencapai keputusan mengenai scenario


1. Penilaian Consequence dan Severity
Salah satu komponen resiko dari skenario kecelakaan adalah consequence.
Consequence adalah akibat yang tidak diinginkan dari skenario kecelakaan. Salahsatu
keputusan pertama yang harus dibuat oleh sebuah organisasi ketika memilihuntuk
mengimplementasikan LOPA adalah menentukan titik akhir dari consequence.
Metode yang digunakan untuk mengkategorikan consequence harus konsistendengan
kriteria resiko yang dapat ditolerir perusahaan

2. Pembuatan Skenario
Pembuatan skenario merupakan langkah LOPA dimana analis atau timmembangun
satu rangkaian kejadian, termasuk kejadian pemicu dan kegagalan dariIPLs, yang
mengarah pada satu consequence yang tidak diinginkan. Masing-masingskenario
terdiri dari sedikitnya dua unsur yaitu:
a) initiating event; yang memulai rantai kejadian.
b) consequence; yang menghasilkan dampak jika rantai kejadian berlanjut tanpa
henti

Identifikasi initiating event
Untuk LOPA, masing-masing skenario mempunyai satu initiating event. Frekuensi
initiating event secara normal dinyatakan dalam kejadian per tahunBeberapa sumber
menggunakan satuan lain, seperti kejadian per 106 jam.
Initiating event secara umum dibagi menjadi tiga tipe yaitu:
1) Equipment-Related Initiating Events
Initiating events yang terkait dengan peralatan dapat digolongkan kedalam:
a. kegagalan sistem kendali.
b. kegagalan mekanis.
2) Human Failure-Related Initiating Events
Penyebab yang berhubungan dengan kegagalan manusia adalah salahsatu dari
kesalahan karena ketidaktahuan atau kesalahan pengawasan, danmeliputi tetapi tidak
terbatas pada
a. kegagalan untuk melaksanakan langkah-langkah dari satu tugasdengan baik.
b. kegagalan untuk mengamati atau menjawab dengan benar pada suatukondisi
proses atau sistem
3) External Initiating Events
Kejadian eksternal meliputi gejala alam seperti gempa bumi, angintopan, atau banjir,
ledakan atau kebakaran pada fasilitas-fasilitaspendamping; dan intervensi pihak ketiga
seperti dampak mekanis padaperalatan atau tumpuan kendaraan bermotor, atau
peralatan konstruksi

Identifikasi Independent Protection Layer (IPL)
IPL adalah sebuah alat, sistem, atau tindakan yang dapat mencegahskenario berproses
menjadi consequence yang tidak diinginkan dari initiating events. Pembedaan antara IPL dan
safeguard adalah penting. Safeguard adalah alat, sistem atau tindakan yang akan
menghentikan rantai kejadian setelahinitiating events. Efektifitas IPL dihitung dengan istilah
probability failure ondemand (PFD) yang merupakan kemungkinan suatu sistem akan
gagalmelaksanakan fungsinya yang spesifik. PFD adalah angka tanpa dimensi antara 0 dan 1.
Nilai terkecil dari PFD merupakan pengurangan frekuensi consequence terbesar dari
frekuensi initiating event yang diberikan. Karakteristik lapisanperlindungan dan bagaimana
mereka seharusnya dikelompokkan sebagai IPLdalam metode LOPA dibahas pada penjelasan
di bawah ini
a) Process Design
Pada banyak perusahan, diasumsikan bahwa beberapa skenario tidakdapat terjadi
karena desain inherently safer pada peralatan dan proses.Pada perusahaan lainnya,
beberapa fitur pada desain proses yang inherently safer dianggap nonzero PFD masih
terjadi-artinya masih mungkinmengalami kegagalan industri. Desain proses harus
dianggap sebagai IPL,atau ditetapkan sebagai metode untuk mengeliminasi skenario,
tergantungpada metode yang digunakan oleh organisasi.2.

b) Basic Process Control System(BPCS)
BPCS meliputi kendali manual normal, adalah level perlindunganpertama selama
operasi normal. BPCS didesain untuk menjaga prosesberada pada area selamat.
Operasi normal dari BPCS control loop dapat dimasukkan sebagai IPL jika sesuai
kriteria. Ketika memutuskanmenggunakan BPCS sebagai IPL, analis harus
mengevaluasi efektifitaskendali akses dan sistem keamanan ketika kesalahan manusia
dapatmenurunkan kemampuan BPCS.3.

c) Critical Alarms and Human Intervention
Sistem ini merupakan level perlindungan kedua selama operasi normaldan harus
diaktifkan oleh BPCS. Tindakan operator, diawali dengan alarmatau observasi, dapat
dimasukkan sebagai IPL ketika berbagai kriteria telahdapat memastikan kefektifan
tindakan.4.

d) Safety Instrumented Function (SIF)
SIF adalah kombinasi sensor, logic solver, dan final element dengan tingkat integritas
keselamatan spesifik yang mendeteksi keadaan diluar batas dan membawa proses
berada pada fungsi yang aman. SIF merupakanfungsi independent dari BPCS. SIF
normalnya ditetapkan sebagai IPL dandesain dari suatu sistem, tingkat pengurangan,
dan jumlah dan tipepengujian akan menentukan PFD dari SIF yang diterima LOPA.

e) Physical Protection (Relief Valves, Rupture Disc, etc )
Alat ini, ketika ukuran, desain, dan perawatannya sesuai, adalah IPLyang dapat
menyediakan perlindungan tingkat tinggi untuk mencegahtekanan berlebih.
Keefektifan mereka dapat rusak akibat kotor dan korosi, jika block valves dipasang di
bawah relief valve, atau jika aktivitas inspeksidan perawatan sangat
memprihatinkan.6.

f) Post Release Protection(Dikes, Blast Walls, etc)
IPLs ini adalah alat pasif yang dapat menyediakan perlindungan tingkattinggi jika
didesain dan dirawat dengan benar. Walaupun laju kegagalanmereka rendah,
kemungkinan gagal harus dimasukkan dalam skenario.7.

g) Plant Emergency Response
Fitur ini (pasukan pemadam kebakaran, sistem pemadaman manual,fasilitas evakuasi,
dll) secara normal tidak ditetapkan sebagai IPLs karenamereka diaktifkan setelah
pelepasan awal dan terlalu banyak variabelmempengaruhi keseluruhan efektifitas
dalam mengurangi skenario.8.

h) Community Emergency Response
Pengukuran ini, yang meliputi evakuasi komunitas dan tempatperlindungan secara
normal tidak ditetapkan sebagai IPLs karena merekadiaktifkan setelah pelepasan awal
dan terlalu banyak variabelmempengaruhi keseluruhan efektifitas dalam mengurangi
skenario. Hal initidak menyediakan perlindungan terhadap personil plant

Pengambilan Keputusan Resiko
Pengambilan keputusan dilakukan setelah skenario telah terbangunseluruhnya dan resiko
yang ada telah dihitung. Pada akhir studi, baik kualitatif maupun kuantitatif, keputusan
terhadap resiko dibagi menjadi tiga kategori:
1. Mengatur resiko yang tersisadianggap dapat ditolerir
2. Memodifikasi (mengurangi) resiko agar dapat ditolerir
3. Menghilangkan resiko (bisnis, proses, dll) karena terlalu tinggiLOPA biasanya
diaplikasikan untuk menetapkan apakah resiko dariskenario masih dapat ditolerir atau
harus dikurangi. Tiga tipe dasar pengambilankeputusan resiko yang digunakan LOPA:


DAFPUS
http://www.r4risk.com.au/Layers-of-Protection-Analysis.php
http://www.r4risk.com.au/Bow-tie-Analysis.php
http://www.academia.edu/4848801/Keselamatan_Integritas_Level