BAB III

TINJAUAN PUSTAKA

3.1
3.2 Preliminary Hazard Analysis (PHA)
3.2.1 Pengertian
Preliminary Hazard Analysis (PHA) merupakan metode analisis
risiko yang bersifat semi kuantitatif yang dilakukan untuk :
 Mengidentifikasi semua bahaya dan kejadian kecelakaan potensial
yang dapat menyebabkan terjadinya accident.
 Mengurutkan kejadian kecelakaan yang telah teridentifikasi
berdasarkan tingkat keparahannya.
 Mengidentifikasi pengendalian bahaya yang dibutuhkan dan
melakukan follow up.
Beberapa variasi dari PHA sering digunakan dan terkadang
terdapat beberapa nama lain seperti : Rapid Risk Ranking dan Hazard
Identification (HAZID)
3.2.2 Aplikasi
PHA dapat berguna untuk :
 Sebagai studi khusus risiko dalam tahap awal sebuah proyek
(misalnya dalam sebuah plant baru)
Kecelakaan biasanya terjadi akibat dari pelepasan energi. PHA
mengidentifikasi dimana energi terlepas dan apa kejadian
kecelakaan yang mungkin terjadi, dan memberikan estimasi tingkat
keparahan setiap kejadian kecelakaan tersebut.
 Sebagai langkah khusus untuk analisis risiko yang detail dalam
sebuah konsep sistem atau sistem yang telah ada
Tujuan dari PHA adalah untuk mengidentifikasi kejadian
kecelakaan yang dapat terjadi dan analisis risiko yang lebih detail.
 Sebagai analisis risiko yang lengkap dalam sebuah sistem yang
simpel
Apakah PHA akan menjadi analisis yangcukup baik itu tergantung
dari kompleksitas sebuah sistem dan tujuan dari analisis tersebut.

3.2.3 Ruang Lingkup

PHA harus mencakup :
 Komponen berbahaya
 Hubungan antar elemen sistem terkait dengan keselamatannya
 Bahaya lingkungan termasuk lingkungan operasi
 Operasi, tes, pemeliharaan, diagnosa, dan prosedur keadaaan darurat
 Fasilitas, properti, peralatan pendukung dan pelatihan
 Keamanan peralatan yang terkait, perlindungan dan kemungkinan
pendekatan pengendalian alternatif
 Kesalahan dalam sistem, subsistem atau software
3.2.4 Prosedur PHA
PHA Main Steps:
1) Syarat dan ketentuan PHA
I. Membuat tim PHA
II. Mendefinisikan dan Menjelaskan Sistem yang akan di Analisis
a. Batasan sistem (bagian mana yang termasuk dan tidak
termasuk dalam sistem)
b. Deskripsi sistem: termasuk gambar layout, flow sheet
proses, dan lainnya
c. Penggunaan dan penyimpanan energi dan peralatan
berbahaya dalam sistem
d. Kondisi operasional dan lingkungan operasi
e. Sistem deteksi dini dan pengendalian bahaya dan
kejadian kecelakaan, sistem kesiapsiagaan dan tanggap
darurat dan mitigasi
III. Kumpulkan informasi risiko dari analisis sebelumnya yang
merupakan sistem yang serupa

Tim PHA harus terdiri dari :

 Ketua (fasilitator) yang berkompeten dan berpengalaman dalam
melaksanakan metode PHA
 Sekretaris yang akan melaporkan hasil analisis
 Anggota (2-6 orang) yang memiliki pengetahuan dan
pengalaman dalam sistem yang akan dianalisis (banyaknya
anggota tergantung dari kompleksitas sebuah sistem dan tujuan
dari analisis)
Agar lebih familiar dengan sistem, maka penting untuk
memperhatikan :
- Apa input dari sistem ini?
- Bagaimana aktivitas yang dilakukan dalam sistem ini? (proses)
- Apa output dari sistem ini?
Untuk dapat mengidentifikasi semua bahaya, penting untuk
membagi sistem kedalam beberapa bagian, misalnya kedalam tiga
bagian:
- Bagian Sistem (mis. Unit Proses)
- Aktifitas
- Pajanan Risiko (Who, What are exposed?)
Hasil dari PHA biasanya dilaporkan menggunakan PHA worksheet,
maka penting untuk memilih worksheet yang akan digunakan,
biasanya berupa :
 2) Identifikasi Bahaya
Semua bahaya dan kemungkinan kejadian kecelakaan harus
diidentifikasi. Sangat penting untuk memperhatikan seluruh bagian
sistem, bagian operasional, maintenance operation, sistem
keselamatan, dan lainnya. Semua temuan harus di record. Tidak ada
bahaya yang tidak signifikan untuk di record. Tanamkan paham “if
something can go wrong, sooner or later it will”
3) Estimasi Konsekuensi dan Frekuensi
Untuk menilai risiko, kita perlu untuk mengestimasi frekuensi dan
tingkat keparahan setiap kejadian kecelakaan.
Contoh klasifikasi tingkat keparahan konsekuensi sebagai berikut:

Sedangkan contoh untuk klasifikasi frekuensi sebagai berikut :

 4) Rangking Risiko dan Follow Up Actions
Rangking risiko dinilai berdasarkan tingkat keparahan konsekuensi
dan frekuensi dari sebuah kejadian. Berikut contoh risk ranking :

Tiap bagian dalam PHA worksheet dapat memberikan tingkatan

risiko yang lebih spesifik, sebagai contoh :

4 Contoh Hasil Analisis Menggunakan PHA

5 Review dan Revisi PHA
PHA perlu di revisi/ di update bilamana:
- Sistem berkembang dan perlu penelitian mendalam
- Peralatan sistem telah di modifikasi
- Prosedur maintenance atau operasi telah dirubah
- Terjadi kecelakaan atau near miss
- Terjadi perubahan kondisi lingkungan

3.3 FTA
Fault Tree Analysis adalah suatu analisis pohon kesalahan secara
sederhana dapat diuraikan sebagai suatu teknik analitis. Pohon kesalahan adalah
suatu model grafis yang menyangkut berbagai paralel dan kombinasi
percontohan kesalahan- kesalahan yang akan mengakibatkan kejadian dari
peristiwa tidak diinginkan yang sudah didefinisi sebelumnya, atau juga dapat
diartikan merupakan gambaran hubungan timbal balik yang logis dari peristiwa-
peristiwa dasar yang mendorong Dalam membangun model pohon kesalahan
(fault tree) dilakukan dengan cara wawancara dengan manajemen dan melakukan
pengamatan langsung terhadap proses produksi di lapangan. Selanjutnya sumber-
sumber kecelakaan kerja tersebut digambarkan dalam bentuk model pohon
kesalahan (fault tree).
 Analisis pohon kesalahan (Fault Tree Analysis) merupakan salah satu
metode yang dapat digunakan untuk menganalisa akar penyebab akar kecelakaan
kerja.
Langkah-langkah membangun FTA :
1. Mendefinisikan kecelakaan
2. Mempelajari sistem dengan cara mengetahui spesifikasi peralatan,
lingkungan kerja dan prosedur operasi.
3. Mengembangkan pohon kesalahan.

Simbol-simbol yang digunakan pada Fault Tree Analysis(FTA) adalah sebagai

berikut:
Tabel 2.1 Simbol Dalam FTA

Dibawah ini merupakan contoh kasus dari penggunaan metode Fault Tree
Analysis(FTA) adalah sebagai berikut :
3.4 HAZOP
3.5 LOPA (Layer of Protection Analysis)
3.5.1 Pengertian
Layer of Protection Analysis (LOPA) merupakan alat
semikuantitatif untuk menganalisa dan menilai resiko (Center for
Chemical Process Safety, 2001). LOPA dapat secara efektif digunakan
pada tiap poin siklus dari sebuah proses atau fasilitas.

Input kunci dari LOPA adalah skenario yang diperoleh dari

identifikasi potensi bahaya. Tujuan utama LOPA adalah untuk
memastikan bahwa telah ada lapisan perlindungan yang sesuai untuk
melawan skenario kecelakaan. Skenario mungkin membutuhkan satu atau
lebih lapisan perlindungan tergantung pada kompleksitas proses dan
severity dari sebuah consequence. Untuk skenario yang diberikan, hanya
satu lapisan perlindungan yang harus berhasil bekerja mencegah
consequence.
Gambar 1.1 Lapisan pertahanan untuk melawan kemungkinan celaka
(Center for Chemical Process Safety, 2001)

Walaupun tidak ada lapisan yang efektif dengan sempurna, lapisan

perlindungan yang cukup harus disediakan agar resiko kejadian dapat
ditolerir.

LOPA memberi analis resiko suatu metode untuk mengevaluasi

resiko kembali dari skenario kecelakaan yang dipilih, skenario biasanya
diidentifikasi selama evaluasi potensi bahaya kualitatif. LOPA terbatas
untuk mengevaluasi satu penyebab consequence sebagai skenario.
3.5.2 Langkah-Langkah Penyusunan LOPA

Gambar 2.1 Cara kerja LOPA (Center for Chemical Process Safety, 2001)

LOPA dibagi menjadi beberapa langkah :

1. Mengidentifikasi consequence untuk memilih skenario
2. Memilih skenario kecelakaan

3. Mengidentifikasi initiating event dari skenario dan menetapkan

frekuensi initiating event (event per year)

4. Mengidentifikasi IPLs dan memperkirakan probability of failure

on demand (PFD) dari masing-masing IPL
5. Menilai resiko skenario secara matematis dengan
mengkombinasikan consequence, iniating event, dan data IPL

6. Mengevaluasi resiko untuk mencapai keputusan mengenai

skenario

3.5.3 Penilaian Consequence dan Severity

Salah satu komponen resiko dari skenario kecelakaan adalah
consequence. Consequence adalah akibat yang tidak diinginkan dari
skenario kecelakaan. Salah satu keputusan pertama yang harus dibuat oleh
sebuah organisasi ketika memilih untuk mengimplementasikan LOPA
adalah menentukan titik akhir dari consequence. Metode yang digunakan
untuk mengkategorikan consequence harus konsisten dengan kriteria
resiko yang dapat ditolerir perusahaan

3.5.4 Pembuatan Skenario

Pembuatan skenario merupakan langkah LOPA dimana analis atau
tim membangun satu rangkaian kejadian, termasuk kejadian pemicu dan
kegagalan dari IPLs, yang mengarah pada satu consequence yang tidak
diinginkan. Masing-masing skenario terdiri dari sedikitnya dua unsur
yaitu:
a. initiating event yang memulai rantai kejadian

b. consequence yang menghasilkan dampak jika rantai kejadian

berlanjut tanpa henti

Efektivitas metode LOPA dipercayakan pada tampilan detil dalam

skenario. Adapun cara mengidentifikasi dan mengembangkan kandidat
untuk sebuah skenario terbagi menjadi 2 hal yaitu:
1. Mengidentifikasi skenario yang menjadi kandidat

Sumber informasi paling banyak untuk mengidentifikasi

skenario adalah evaluasi potensi bahaya yang dikembangkan dan
didokumentasikan untuk proses-proses yang telah ada dan dilakukan
sepanjang perancangan modifikasi dan proses-proses baru. Tujuan
dari evaluasi potensi bahaya adalah untuk mengidentifikasi, menilai
dan mendokumentasikan resiko-resiko yang berhubungan dengan
proses.

Pada umumnya HAZOP berisi cukup informasi untuk

menguraikan komponen-komponen dari sebuah skenario. LOPA dapat
mengambil informasi dari HAZOP dan menetapkan nilai angka untuk
frekuensi initiating event, frekuensi kegagalan dan probability failure
on demand (PFD), dan menentukan apakah sebuah safeguard adalah
sebuah IPL. Penyebab yang diidentifikasi dalam HAZOP digunakan
untuk menetapkan initiating event dan metode LOPA akan
menetapkan frekuensi. Dengan cara yang sama, jika HAZOP
mengidentifikasi safeguard, LOPA akan menentukan apakah ini
adalah IPL untuk skenario, dan jika demikian, PFD apa harus
ditetapkan.
 Gambar 2.9 Informasi HAZOP dan LOPA
(Center for Chemical Process Safety, 2001)

2. Mengembangkan skenario

Setelah skenario diidentifikasi, skenario harus dikembangkan

dan didokumentasikan pada level dimana pemahaman dasar dari
kejadian dan safeguard dapat dicapai. Faktor apapun yang bisa
mempengaruhi perhitungan klasifikasi atau ukuran consequence atau
frekuensi consequence harus dimasukkan dan didokumentasikan.
Setelah initiating event diidentifikasi untuk skenario, analis harus
menentukan enabling event atau kondisi apapun yang diperlukan
initiating event untuk sampai kearah consequence.
Langkah berikutnya dalam mengembangkan skenario adalah
untuk mengidentifikasi safeguard yang ada pada tempatnya, yang jika
mereka beroperasi sebagaimana yang diharapkan, mungkin mencegah
skenario berlanjut pada consequence. Sebaiknya mendaftar semua
safeguard untuk skenario tertentu sebelum memutuskan yang benar-
benar IPLs.

3.5.5 Identifikasi Frekuensi Initiating Event

Untuk LOPA, masing-masing skenario mempunyai satu initiating
event. Frekuensi initiating event secara normal dinyatakan dalam kejadian
per tahun. Beberapa sumber menggunakan satuan lain, seperti kejadian per
106 jam. Initiating event secara umum dibagi menjadi tiga tipe yaitu:
1. Equipment-Related Initiating Events

Initiating events yang terkait dengan peralatan dapat

digolongkan ke dalam:
a. kegagalan sistem kendali
b. kegagalan mekanis
2. Human Failure-Related Initiating Events
Penyebab yang berhubungan dengan kegagalan manusia
adalah salah satu dari kesalahan karena ketidaktahuan atau
kesalahan pengawasan, dan meliputi tetapi tidak terbatas pada:

a. kegagalan untuk melaksanakan langkah-langkah dari satu

tugas dengan baik
b. kegagalan untuk mengamati atau menjawab dengan benar pada
suatu kondisi proses atau sistem

Sistem manajemen secara normal tidak didaftarkan sebagai

initiating events, walaupun sistem manajemen yang tidak efektif
sering menjadi sebab dasar dari kesalahan manusia.
3. External Initiating Events

Kejadian eksternal meliputi gejala alam seperti gempa

bumi, angin topan, atau banjir, ledakan atau kebakaran pada
fasilitas-fasilitas pendamping; dan intervensi pihak ketiga seperti
dampak mekanis pada peralatan atau tumpuan kendaraan
bermotor, atau peralatan konstruksi.

Sebelum menetapkan frekuensi initiating event, semua

penyebab dari langkah pengembangan skenario harus ditinjau dan
dibuktikan sebagai initiating event yang sah untuk consequence
yang diidentifikasi. Analis juga perlu memverifikasi bahwa semua
potensi initiating event ditentukan dengan mengamati proses dari
perspektif sistem. Analis perlu memastikan bahwa initiating event
dalam semua model operasi (meliputi operasi normal, startup,
shutdown) dan peletakan peralatan (meliputi standby, dalam
perawatan) telah diidentifikasi.

Jumlah sumber dari data kegagalan tersedia untuk

menetapkan nilai yang konsisten pada frekuensi initiating event.
Meliputi:
1. Data dari industri
2. Pengalaman perusahaan dimana tersedia data historis
 3. Data dari produsen

Data kegagalan harus dipilih dengan jumlah permasalahan

yang meliputi:

1. Laju kegagalan harus konsisten dengan desain dasar fasilitas

dan konsisten dengan metode perusahaan membuat keputusan
berdasar resiko

2. Semua laju kegagalan yang digunakan harus berasal dari lokasi

yang sama pada rentang data

3. Data laju kegagalan yang dipilih harus mewakili industri atau

operasi yang ditetapkan

Ketika data-data yang tersebut diatas tidak tersedia, keputusan

harus digunakan untuk memutuskan data mana yang berasal dari sumber
luar yang lebih dapat diaplikasikan pada situasi tersebut. Banyak database
laju kegagalan mengandung data yang menunjukkan dua atau lebih tempat
yang signifikan. Metode LOPA mengasumsikan bahwa laju kegagalan
adalah konstan. Hal ini tidak selalu benar, karena laju kegagalan peralatan
lama biasanya lebih tinggi daripada peralatan yang masih baru. Untuk
tujuan LOPA, laju kegagalan konstan sudah cukup. Frekuensi initiating
events yang sering digunakan ditunjukkan pada tabel 2.6.

Tabel 2.6 Nilai frekuensi yang biasa digunakan, f1, untuk

menetapkan initiating events

Example
of a Value
Frequency Chosen by a
Range from Company for
Initiating Event
Literature (per Use in LOPA
year)
(per
year)

Pressure vessel residual

10-5 to 10-7 1x10-6
failure

Piping residual failure -

10-5 to 10-6 1x10-5
100 m - Full Breach

Piping leak (10%

10-3 to 10-4 1x10-3
section)- 100 m

Atmospheric tank failure 10-3 to 10-5 1x10-3

 Gasket/packing blowout 10-2 to 10-6 1x10-2

Turbine/diesel engine
10-3 to 10-4 1x10-4
overspeed with casing breach

Third party intervention

(external impact by backhoe, 10-2 to 10-4 1x10-2
vehicle, etc)

10-3 to 10-4 1x10-4

Crane load drop
per lift per lift

Lightning strike 10-3 to 10-4 1x10-3

Safety valve open

10-2 to 10-4 1x10-2
spuriously

Cooling water failure 1 to 10-2 1x10-1

Pump seal failure 10-1 to 10-2 1x10-2

Unloading/loading hose
1 to 10-2 1x10-1
failure

BPCS instrument loop

failure Note: IEC61511 limit is
1 to 10-2 1x10-1
more than 1x10-5/hr or 8.76x10-
2
/yr (IEC,2001)

Regulator failure 1 to 10-1 1x10-1

Small external fire

10-1 to 10-2 1x10-1
(aggregate causes)

Large external fire

10-2 to 10-3 1x10-2
(aggregate causes)

LOTO (lock-out tag-out)

procedure* failure 10-3 to 10-4 1x10-3
* overall failure of a per opportunity per opportunity
multiple element process

Operator failure (to

execute routine procedure, 10-1 to 10-3 1x10-2
assuming well trained, per opportunity per opportunity
unstressed, not fatigued)

(Sumber: Center for Chemical Process Safety, 2001)

 Untuk sistem atau operasi yang tidak berkelanjutan, data laju
kegagalan harus disesuaikan untuk mencerminkan bahwa kemungkinan
kerugian waktu (time at risk) untuk komponen atau operasi telah
ditetapkan. Penting untuk memastikan bahwa data laju kegagalan yang
digunakan untuk satu proses adalah konsisten dengan asumsi dasar yang
tidak dapat dipisahkan sebagian besar data laju kegagalan dinyatakan
dengan satuan "per tahun" ( yr-1), itu diperlukan untuk melakukan
penyesuaian data untuk mencerminkan bahwa komponen atau operasi
tidak mengalami kegagalan sepanjang tahun, tetapi hanya pada pecahan
tahun ketika sedang beroperasi atau "berhadapan dengan resiko".

3.5.6 Identifikasi Independent Protection Layer (IPL)

IPL adalah sebuah alat, sistem, atau tindakan yang dapat mencegah
skenario berproses menjadi consequence yang tidak diinginkan dari
initiating events. Pembedaan antara IPL dan safeguard adalah penting.
Safeguard adalah alat, sistem atau tindakan yang akan menghentikan
rantai kejadian setelah initiating events. Efektifitas IPL dihitung dengan
istilah probability failure on demand (PFD) yang merupakan
kemungkinan suatu sistem akan gagal melaksanakan fungsinya yang
spesifik. PFD adalah angka tanpa dimensi antara 0 dan 1. Nilai terkecil
dari PFD merupakan pengurangan frekuensi consequence terbesar dari
frekuensi initiating event yang diberikan. Karakteristik lapisan
perlindungan dan bagaimana mereka seharusnya dikelompokkan sebagai
IPL dalam metode LOPA dibahas pada penjelasan di bawah ini:
1. Process Design

Pada banyak perusahan, diasumsikan bahwa beberapa

skenario tidak dapat terjadi karena desain inherently safer pada
peralatan dan proses. Pada perusahaan lainnya, beberapa fitur pada
desain proses yang inherently safer dianggap nonzero PFD masih
terjadi-artinya masih mungkin mengalami kegagalan industri. Desain
proses harus dianggap sebagai IPL, atau ditetapkan sebagai metode
untuk mengeliminasi skenario, tergantung pada metode yang
digunakan oleh organisasi.
2. Basic Process Control System (BPCS)

BPCS meliputi kendali manual normal, adalah level

perlindungan pertama selama operasi normal. BPCS didesain untuk
menjaga proses berada pada area selamat. Operasi normal dari BPCS
control loop dapat dimasukkan sebagai IPL jika sesuai kriteria. Ketika
memutuskan menggunakan BPCS sebagai IPL, analis harus
mengevaluasi efektifitas kendali akses dan sistem keamanan ketika
kesalahan manusia dapat menurunkan kemampuan BPCS.
3. Critical Alarms and Human Intervention
 Sistem ini merupakan level perlindungan kedua selama
operasi normal dan harus diaktifkan oleh BPCS. Tindakan operator,
diawali dengan alarm atau observasi, dapat dimasukkan sebagai IPL
ketika berbagai kriteria telah dapat memastikan kefektifan tindakan.
4. Safety Instrumented Function (SIF)

SIF adalah kombinasi sensor, logic solver, dan final element

dengan tingkat integritas keselamatan spesifik yang mendeteksi
keadaan diluar batas dan membawa proses berada pada fungsi yang
aman. SIF merupakan fungsi independent dari BPCS. SIF normalnya
ditetapkan sebagai IPL dan desain dari suatu sistem, tingkat
pengurangan, dan jumlah dan tipe pengujian akan menentukan PFD
dari SIF yang diterima LOPA.
5. Physical Protection (Relief Valves, Rupture Disc, etc)

Alat ini, ketika ukuran, desain, dan perawatannya sesuai,

adalah IPL yang dapat menyediakan perlindungan tingkat tinggi untuk
mencegah tekanan berlebih. Keefektifan mereka dapat rusak akibat
kotor dan korosi, jika block valves dipasang di bawah relief valve, atau
jika aktivitas inspeksi dan perawatan sangat memprihatinkan.
6. Post Release Protection (Dikes, Blast Walls, etc)

IPLs ini adalah alat pasif yang dapat menyediakan

perlindungan tingkat tinggi jika didesain dan dirawat dengan benar.
Walaupun laju kegagalan mereka rendah, kemungkinan gagal harus
dimasukkan dalam skenario.
7. Plant Emergency Response
Fitur ini (pasukan pemadam kebakaran, sistem pemadaman
manual, fasilitas evakuasi, dll) secara normal tidak ditetapkan sebagai
IPLs karena mereka diaktifkan setelah pelepasan awal dan terlalu
banyak variabel mempengaruhi keseluruhan efektifitas dalam
mengurangi skenario.
8. Community Emergency Response

Pengukuran ini, yang meliputi evakuasi komunitas dan tempat

perlindungan secara normal tidak ditetapkan sebagai IPLs karena
mereka diaktifkan setelah pelepasan awal dan terlalu banyak variabel
mempengaruhi keseluruhan efektifitas dalam mengurangi skenario.
Hal ini tidak menyediakan perlindungan terhadap personil plant.
Tabel 2.7 Contoh safeguard yang biasanya tidak ditetapkan
sebagai IPLs

Safeguard do
not usually considered Comments
IPLs

These factors may be considered in

Training and
assessing the PFD for operator action, but are
certification
not-of themselves-IPLs

These factors may be considered in

Procedures assessing the PFD for operator action, but are
not-of themselves-IPLs

These activities are assumed to be in

place for all hazard evaluations and form the
basis for judgement to determine PFD.
Normal testing
Normal testing and inspection affects the PFD
and inspection
of certain IPLs. Lengthening the testing and
inspection intervals may increase the PFD of
an IPL.

These activities are assumed to be in

place for all hazard evaluations and form the
Maintenance
basis for judgement to determine PFD.
Maintenance affects the PFD of certain IPLs.

It is a basic assumption that adequate

communications exist in a facility. Poor
Communications
communications affects the PFD of certain
IPLs.

Signs by themselves are not IPLs.

Signs Signs may be unclear, obscured, ignored, etc.
Signs may affect the PFD of certain IPLs.

Active fire protection is often not

considered as an IPL as it is post event for
most scenarios and its availability and
effectiveness may be affected by the
fire/explosion which it is intended to contain.
Fire protection
However, if a company can demonstrate that
it meets the requirements of an IPL for a given
scenario, it may be used (e.g., if an activating
system such a plastic piping or frangible
switches are used)
 Note: fire protection is mitigation IPL
as it attempts to prevent a larger
consequence subsequent to an event that has
already occurred. Fire proof insulation can be
used as an IPL for some scenarios provided
that it meets the requirements of API and
corporate standards

Requirement
that information is
This is a basic requirement
available and
understood

(Sumber: Center for Chemical Process Safety, 2001)

Supaya dapat dikategorikan kedalam IPL, suatu alat, system, atau

tindakan harus:
1. Efektif

Jika suatu alat, sistem, atau tindakan dikategorikan sebagai

sebuah IPL, mereka harus efektif dalam mencegah consequence yang
tidak diinginkan dari skenario. Jika safeguard tidak dapat memenuhi
ketentuan tersebut maka safeguard itu bukanlah sebuah IPL.
2. Auditable

Sebuah komponen, sistem, atau tindakan harus dapat di audit

untuk menunjukkan bahwa hal tersebut sesuai dengan ketentuan
pengurangan resiko oleh IPL LOPA. Proses audit harus menunjukkan
bahwa IPL efektif mencegah consequence.
3. Independece

Metode LOPA menggunakan independence untuk meyakinkan

bahwa efek dari initiating event, atau IPL lainnya, tidak berinteraksi
dengan IPL yang spesifik dan akan mengurangi kemampuan dan
fungsinya.

Gambar 2.10 Contoh IPL yang tidak independent dari initiating events
(Center for Chemical Process Safety, 2001)
 Ketentuan dasar dari efektifitas, independence, dan auditability
untuk sebuah IPL ditentukan oleh beberapa metode. Metode paling
sederhana adalah dengan menggunakan penulisan dasar desain, atau
lembar rangkuman IPL. Hal ini harus meliputi penetapan initiating event,
tindakan yang dilakukan oleh sistem atau alat, dan pengaruh dari tindakan
tersebut. PFD untuk sebuah IPL adalah kemungkinan yang ketika diminta
tidak akan melakukan tugas yang seharusnya. Analis harus mengevaluasi
desain dari kandidat IPL terhadap kondisi dari skenario untuk menilai PFD
yang sesuai untuk IPL. Nilai PFD juga harus konsisten dengan laju
kegagalan yang digunakan untuk mengembangkan frekuensi initiating
event dan kriteria resiko yang ditolerir. Contoh dari IPLs:
1. Instrumented System

Sistem ini merupakan kombinasi dari sensor, logic solver,

kendali proses, dan final elements yang bekerja bersama, untuk
mengatur operasi plant otomatis, atau untuk mencegah terjadinya
kejadian spesifik di dalam proses manufaktur kimia. Dua tipe
instrumented system yang ditetapkan sebagai dasar metode LOPA
yaitu:

a. continuous controller (seperti kendali proses yang mengatur

aliran, temperatur, atau tekanan pada nilai yang ditetapkan
operator)

b. state controller (logic solver yang melakukan proses pengukuran

dan mengatur perubahan on-off pada indikator alarm dan process
valve)
2. IPLs Pasif

IPL pasif tidak perlu melakukan tindakan supaya dapat

mencapai fungsinya yaitu mengurangi resiko. IPLs ini mencapai
fungsi yang diharapkan jika proses atau desain mekanis mereka benar
dan jika dibangun, dipasang, dan dirawat dengan benar. Alat-alat
tersebut diharapkan untuk mencegah consequence yang tidak
diinginkan (penyebaran kebocoran, kerusakan peralatan atau
bangunan akibat ledakan, dll). Jika didesain dengan benar, sistem pasif
tersebut dapat dikategorikan sebagai sebuah IPL dengan tingkat
keyakinan tinggi dan akan mengurangi frekuensi kejadian dengan
consequence besar yang potensial secara signifikan.
Tabel 2.8 Contoh IPLs Pasif

Comments
PFD PF
Assuming an
from D used in
adequate design basis
IPL Literature This Book
and adequate
inspection and and (Fo
maintenance Industry r screening)
procedures

Will reduce the

frequency of large
consequences
1x1 1x1
Dike (widespread spill) of a -2
0 -1x10-3 0 -2
tank
overfill/rupture/spill/et
c

Will reduce the

frequency of large
Unde
consequences
rground 1x1 1x1
(widespread spill) of a -2
Drainage 0 -1x10-3 0 -2
tank
System
overfill/rupture/spill/et
c

Open
Will prevent 1x1 1x1
Vent (no
over pressure 0 -1x10-3
-2
0 -2
valve)

Will reduce rate

of heat input and
Firep provide additional time 1x1 1x1
roofing for 0 -1x10-3
-2
0 -2

depressurizing/firefight
ing/etc

Will reduce the

frequency of large
consequences of an
Blast- 1x1 1x1
explosion by confining -2
wall/Bunker 0 -1x10-3 0 -3
blast and protecting
equipment/buildings/e
tc
 If properly
implemented can
significantly reduce the
frequency of
consequences
associated with a
scenario. Note: the
“Inhe
LOPA rules for some 1x1 1x1
rently Safe”
companies allow 0 -1x10-6
-1
0 -2
Design
inherently safe design
features to eliminate
certain scenarios (e.g.,
vessel design pressure
exceeds all possible
high pressure
challenges)

If properly
designed, installed, and
Flam maintained these
1x1 1x1
e/Detonation should eliminate the -1
0 -1x10-3 0 -2
Arrestors potential for flash-back
through a piping system
or into a vessel or tank

(Sumber: Center for Chemical Process Safety, 2001)

3. Basic Process Control System (BPCS)

BPCS adalah sistem kendali yang memonitor secara terus
menerus dan mengendalikan proses operasi plant dari hari ke hari.
BPCS menyediakan tiga tipe yang berbeda dari fungsi keselamatan
yang dapat menjadi IPLs:
a. continuous control action
b. state controllers (logic solver atau alarm trip units)
c. state controllers (logic solver atau control relays)

Untuk tujuan LOPA, beberapa perusahaan menggunakan PFD

-1
1x10 untuk tiap IPL BPCS yang dapat diaplikasikan pada initiating
event-consequence.
4. IPLs Aktif

IPLs aktif perlu bergerak dari satu posisi ke posisi yang lain
sebagai respon terhadap perubahan properti proses yang dapat diukur,
atau sinyal dari sumber lain.

Tabel 2.9 Contoh IPLs Aktif

Comments
PFD
Assuming an PFD Used in This
IPL adequate design basis from Book
and Literature and
(For
inspection/maintenanc Industry
screening)
e procedures

Prevents
system exceeding
Relief specified overpressure. 1x10-1 1x10
valve Effectiveness of this – 1x10-5 -2

device is sensitive to
service and experience

Prevents
system exceeding
Ruptur specified overpressure. 1x10-1 1x10
e disc Effectiveness can be – 1x10-5 -2

sensitive to service and

experience

Can be credited 1x10-1

-2
Basic as an IPL if not – 1x10
1x10
Process Control associated with the (>1x10 -1
System initiating event being -1 allowed by
considered IEC)

Safety
See IEC 61508 (IEC, 1998) and IEC 61511 (IEC,
Instrumented
2001) for life cycle requirements and additional
Functions
discussion
(Interlocks)

Typically consist This

of: book does
≥1x10- not specify a
SIL 1 Single sensor 2 – <1x10-1
specific SIL
(redundant for fault
level.
tolerance)
Continuing
 Single logic example
processor (redundant calculate
for fault tolerance) required PFD
for a SIF
Single final
element (redundant for
fault tolerance)

Typically consist
of:

“Multiple”
sensor (for fault
tolerance)
≥1x10-
SIL 2 “Multiple” 3
– <1x10-2
channel logic processor
(for fault tolerance)

“Multiple” final
elements (for fault
tolerance)

Typically consist
of:

Multiple
sensors ≥1x10-
SIL 3 4
Multiple – <1x10-3
channel logic processor

Multiple final
elements

(Sumber: Center for Chemical Process Safety, 2001)

5. Safety Instrumented System (SIS)

SIS adalah kombinasi dari sensor, logic solver, dan final

element yang menghasilkan satu atau lebih safety instrumented
function (SIF). SIF biasanya disebut interlocks dan safety critical
alarms. Standard internasional mengelompokkan SIF untuk
penggunaan pada proses industri kimia ke dalam kategori yang disebut
safety integrity level (SIL), yaitu:

a. SIL 1 PFD ≥ 1x10-2 hingga < 1x10-1. SIF ini diimplementasikan

secara normal dengan 1 sensor, 1 logic solver SIS dan 1 final
control element
 b. SIL 2 PFD ≥ 1x10-3 hingga < 1x10-2. SIF ini biasanya secara penuh
bertumpuk dari sensor melalui logic solver SIS ke final control
element

c. SIL 3 PFD ≥ 1x10-4 hingga < 1x10-3. SIF ini biasanya secara penuh
bertumpuk dari sensor melalui logic solver SIS ke final control
element dan memerlukan desain yang sangat hati-hati dan
frekuensi uji ketahanan untuk mencapai nilai PFD yang rendah

d. SIL 4 PFD ≥ 1x10-5 hingga < 1x10-4. SIF ini sulit didesain dan
dirawat dan tidak digunakan dalam LOPA.
6. Vendor Installed Safeguard

Banyak peralatan yang dipasok dengan berbagai safeguard

dan sistem interlock yang didesain oleh produsen peralatan. Benar jika
menetapkan alat tersebut sebagai IPLs berdasarkan kesesuaian mereka
terhadap ketentuan LOPA.

7. Deluges, Sprays, Foam System, dan Firefighting Mitigation System

lainnya

Deluges, water spray, foam system mungkin dapat ditetapkan

sebagai IPLs untuk mencegah pelapasan bahan kimia jika didesain
dirawat dengan baik.
8. Pressure Relief Devices

Pressure relief valve membuka ketika tekanan dibawah valve

melebihi tekanan yang menahan valve untuk tetap menutup. Bejana
bertekanan membutuhkan relief valves untuk melindungi bejana atau
sistem yang didesain untuk semua skenario dan tidak menentukan
ketentuan lain. Ini menandakan bahwa relief valve adalah satu-satunya
IPL yang dibutuhkan untuk pelindung tekanan berlebih.
9. Human IPLs

Human IPLs melibatkan kemampuan operator atau staf lainnya

untuk mengambil tindakan pencegahan terhadap consequence yang
tidak diinginkan, sebagai respon terhadap alarms atau mengikuti
pemeriksaan rutin dari system.

Tabel 2.10 Contoh Human Action IPLs

Comments PFD
PFD
from
IPL Assuming an Used in This
Literature and
adequate design basis Book
Industry
and
 inspection/maintenanc (For
e procedures screening)

Simple well-
Huma
documented action with
n action with 1,0 – 1x10
clear and reliable -1 -1
10 minutes 1x10
indications that the
response time
action is required

Huma Simple well-

n response to documented action with 1x10-1
BPCS clear and reliable
(>1x10 1x10
indication or indications that the -1
-1
alarm with 40 action is required (The allowed by
minutes PFD is limited by IEC IEC)
response time 61511; IEC 2001)

Simple well-
Huma
documented action with
n action with 1x10-1 1x10
clear and reliable -2 -1
40 minutes – 1x10
indications that the
response time
action is required

(Sumber: Center for Chemical Process Safety, 2001)

3.5.7 Penetapan Frekuensi Skenario

3.5.7.1 Perhitungan Kuantitatif Resiko dan Frekuensi
Perhitungan kuantitatif resiko dan frekuensi dibagi menjadi:
1.Perhitungan Umum

J
fi c  fi I x PFDij  fi I xPFDi1 xPFDi 2 x....xPFDij
j 1

Dimana:

fi c = frekuensi untuk consequence C dan initiating event i

fi I = frekuensi initiating event untuk initiating event i

PFDij
= kemungkinan kegagalan dari jth IPL yang melindungi
terhadap consequence C dan initiating event i.
2.Perhitungan Frekuensi Outcomes Tambahan
Outcomes tambahan tersebut antara lain:
a. efek flammable seperti kebakaran atau ledakan

 J 
fi fire  fi I x  PFDij  xPignition
 j 1 
dimana:
Pignition = kemungkinan penyulutan

b. efek bahan beracun

 J 
fi toxic  fi I x  PFDij  xP personpresent xPinjury
 j 1 

dimana:

Pperson present = kemungkinan pekerja berada pada area yang

terkena dampak
Pinjury = kemungkinan terjadi cedera
c. efek paparan kebakaran atau bahan beracun

 J 
fi fireexp osure  fi I x  PFDij  xPignitionxP personpresent
 j 1 
dimana:
Pignition = kemungkinan penyulutan

Pperson present = kemungkinan pekerja berada pada area yang

terkena dampak
d. cedera atau kematian

 J 
fi fireinjury  fi I x  PFDij  xPignitionxP personpresent xPinjury
 j 1 
dimana:
Pignition = kemungkinan penyulutan

Pperson present = kemungkinan pekerja berada pada area yang

terkena dampak
Pinjury = kemungkinan terjadi cedera
 3.Perhitungan Resiko

RkC  f kC xCk
Dimana:

RkC
= indeks resiko dari outcomes insiden k,
dinyatakan sebagai magnitude dari consequences per
satuan waktu. Satuan spesifik akan bermacam-macam
tergantung pada resiko yang dinilai. Beberapa contoh
mungkin meliputi resiko kematian per tahun, jumlah
kematian per tahun, kerugian ekonomi per bulan, pelepasan
polusi per hari,

f kC
= frekuensi dari outcomes insiden k, dalam
satuan waktu, seperti: year–1, hour–1, dll

Ck = perhitungan spesifik consequences dari

outcomes insiden k . Beberapa pengukuran dari
consequence mungkin meliputi kematian individu, jumlah
kematian, jumlah kerugian ekonomi, jumlah pelepasan
polusi, jumlah orang yang terpapar pada konsentrasi
spesifik dari polusi udara. Ck mungkin dinyatakan sebagai
kategori.
4.Perhitungan Frekuensi Untuk Skenario Ganda

I
f C
  fi C  f1C  f 2C  ...  f IC
i 1

Dimana:

fiC = frekuensi dari Cth consequence untuk ith initiating

event.

3.5.7.2 Tabel Resiko atau Frekuensi

Resiko atau frekuensi skenario mungkin ditetapkan secara
kualitatif dengan menggunakan tabel. Kategori pada matrik
meliputi:
1. frekuensi initiating event untuk skenario
2. keparahan dari consequence untuk skenario
3. jumlah IPLs yang dibutuhkan frekuensi consequence
Sebagai metode yang sering digunakan, tabel perusahaan
menunjukkan nilai IPL untuk IPLs yang sering digunakan. Selama
pengembangan metode ini, nilai IPL dikalkulasikan dari PFD IPL
menggunakan hubungan:
 1 IPL credit = 1x10-2 PFD
Tabel 2.11 Contoh IPL Credit

Number
of IPL Credits
IPL
PFD (for the
(subset of tables
method
6.3, 6.4, 6.5)
illustrated in this
book)

1x10-2 –
Dike -3
1 – 1,5
1x 10

Flame/detonation 1x10-2 –
1 – 1,5
arrestors 1x 10-3

1x10-1 –
Relief valve 0,5 – 2,5
1x 10-5

1x10-1 –
Rupture disc 0,5 – 2,5
1x 10-5

1x10-1 –
SIF SIL 1 0,5 – 1
1x 10-2

1x10-2 –
SIF SIL 2 1 – 1,5
1x 10-3

1x10-3 –
SIF SIL 3 1,5 – 2
1x 10-4

Human action
1,0 – 1x
with 10 minutes response 0 – 0,5
10-1
time

(Sumber: Center for Chemical Process Safety, 2001)

 Gambar 2.11 SIL untuk SIF
(Center for Chemical Process Safety, 2001)

3.5.7.3 Perhitungan Resiko atau Frekuensi dengan Algoritma Integral

J
Fi C  Fi I   Pij'
j 1

Dimana:

Fi C
= eksponen frekuensi untuk consequence C dari
skenario i,

Fi I
= nilai absolut dari log frekuensi initiating event i,

Pij'
= nilai absolut dari log PFD (kemungkinan kegagalan)
jth IPL yang melindungi terhadap skenario i.

3.5.8 Pengambilan Keputusan Resiko

Pengambilan keputusan dilakukan setelah skenario telah terbangun
seluruhnya dan resiko yang ada telah dihitung. Pada akhir studi, baik
kualitatif maupun kuantitatif, keputusan terhadap resiko dibagi menjadi
tiga kategori:
1. Mengatur resiko yang tersisa—dianggap dapat ditolerir
2. Memodifikasi (mengurangi) resiko agar dapat ditolerir
3. Menghilangkan resiko (bisnis, proses, dll) karena terlalu tinggi
 LOPA biasanya diaplikasikan untuk menetapkan apakah resiko
dari skenario masih dapat ditolerir atau harus dikurangi. Tiga tipe dasar
pengambilan keputusan resiko yang digunakan LOPA:

1. Membandingkan antara kalkulasi resiko dengan kriteria resiko yang

dapat ditolerir
a. Metode Matrik

Matrik resiko adalah metode umum yang menunjukkan

frekuensi yang dapat ditolerir dari skenario berdasarkan
keparahan consequence dan frekuensi skenario. Sebuah contoh
dapat dilihat pada tabel 2.12
- zone ”very low” tidak memerlukan tindakan apapun
- zone ”low” memerlukan keputusan manajemen untuk
memastikan bahwa pengurangan tertentu dibutuhkan

- zone “moderate” memerlukan pengurangan pada

kesempatan mendatang

- zone ”high” memerlukan pengurangan dengan segera

atau mematikan proses
Tabel 2.12 Risk Matrix with Individual Action Zone

(Sumber: Center for Chemical Process Safety, 2001)

b. Metode Kriteria Numerik (Resiko maksimum yang dapat

ditolerir tiap skenario)
 Beberapa perusahaan telah mengembangkan kriteria
resiko berdasarkan resiko maksimum yang dapat ditolerir tiap
skenario, berdasarkan pada berbagai kategori consequence.
c. Jumlah Kredit IPL

Beberapa perusahaan meletakkan kriteria resiko yang

dapat ditolerir ke dalam tabel yang menspesifikasikan jumlah
kredit dari IPL untuk skenario dari level consequence dan
frekuensi tertentu. Kriteria yang dapat ditolerir tidak
diperlihatkan secara eksplisit. Biasanya, nilai tabulasi
disediakan untuk jumlah IPL yang dibutuhkan untuk rentang
frekuensi initiating event dan untuk nilai kredit IPL untuk
berbagai macam lapisan perlindungan. Lihat tabel 2.13, seperti
yang terlihat pada tabel metode ini biasanya menetapkan nilai
1 kredit IPL pada lapisan perlindungan dengan PFD 1 × 10–2 ,
dan sebagainya.

Tabel 2.13 Ketentuan Kredit IPL

Number of IPL Credit Required

Adjusted Consequence
Consequence
Initiating Event Category V
Category IV
Frequency
Multiple
One Fatality
Fatalities

Frequency
-2
2 2.5
≥ 1x10

1x10-2 >
1,5 2
Frequency ≥ 1x10-3

1x10-3 >
1 1,5
Frequency ≥ 1x10-2

1x10-4 >
0,5 1
Frequency ≥ 1x10-6

1x10-6 >
0 0,5
Frequency

(Sumber: Center for Chemical Process Safety, 2001)

2. Keputusan Para Ahli

 Keputusan para ahli dibutuhkan ketika kriteria resiko yang
dapat ditolerir tidak tersedia atau tidak ditetapkan dengan mudah
melalui tipe proses yang telah dianalisa atau potensi bahaya yang
terlibat.

3. Perbandingan relatif antara beberapa alternatif untuk pengurangan

resiko

3.6 BOWTIE
3.7 HGG
3.8 JGGHU
3.9 KJN
3.10 HGHG
3.11 KJH
3.12 JB
3.13 JB
3.14 HG
3.15 HV
3.16 JJB
3.17 GYG
3.18