LOPA: Layer of Protection Analysis

Een Layer of Protection Analysis (LOPA) is een gesimplificeerde vorm van risicobeoordeling wat zich bevindt tussen kwalitatieve en kwantitatieve analyses. Het doel van een LOPA is om vast te stellen of er voldoende beschermingslagen zijn, ofwel independent layers of protection (IPLs), om te beschermen tegen een ongevalsscenario. Het aantal IPLs dat nodig is, is afhankelijk van de complexiteit en potentiële ernst van de consequentie(s) van een ongevalsscenario. De consequenties van alle denkbare ongevalsscenario’s worden van tevoren geïdentificeerd tijdens een kwalitatieve gevarenbeoordeling, ook wel bekend als hazard and operability study (HAZOP). Een LOPA dient vervolgens om een risicobeoordeling te maken bij elk scenario.

In principe moet het zo zijn dat één beschermingslaag (IPL) volstaat om een consequentie te voorkomen. Echter, omdat geen enkele beschermingslaag (IPL) volledig effectief is, moeten er voldoende beschermingslagen aanwezig zijn om het risico op een ongeval tolereerbaar te maken. Er wordt gesproken van een tolereerbaar risico omdat geen enkel een risico nooit volledig kan worden weggenomen door meer IPLs te implementeren. Het risico wordt slechts verminderd. Er wordt daarom per scenario vastgesteld wat het maximaal tolereerbaar risico mag zijn dat dit daadwerkelijk plaatsvindt.

Hoewel kwalitatieve analysemethoden een stuk simpeler zijn, zijn er een aantal redenen om een LOPA toe te passen:

  • Een scenario is te complex om een redelijke risicobeoordeling te maken op basis van een kwalitatieve analysemethode.
  • De consequenties van een scenario zijn te ernstig om slechts te vertrouwen op kwalitatieve risicobeoordeling

Layer of protection analysis (LOPA)

LOPA is verreweg de meest gebruikte methode in grote industriële installaties, voornamelijk in de chemische industrie. De LOPA geeft een duidelijk beeld van zwaktes en sterktes van de Safety Instrumented System (SIS), wat dient om werknemers, het milieu en de plant zelf te beschermen. LOPA kijkt zowel naar de frequentie waarin een risico zich voordoet als de ernst van de potentiële consequenties van het risico. Door het uitvoeren van een LOPA wordt vastgesteld hoe een procesafwijking kan leiden tot een gevaarlijke situatie, wanneer het niet wordt onderbroken door een independent protection layer (IPL), ofwel: een beschermingslaag. Er worden respectievelijk acht beschermingslagen onderscheiden (zie figuur 1).

Figuur 1. De acht onafhankelijke beschermingslagen

LOPA in stappen

Bij een LOPA wordt een aantal stappen doorlopen:

  1. Er wordt een potentiële situatie/scenario geschetst. Er worden hierbij criteria opgesteld om het scenario op risico te beoordelen, vaak aan de hand van de consequenties. Scenario’s die een nader onderzoek verlangen op basis van de ernst van de consequenties, worden meegenomen in de LOPA. Een LOPA doorloopt één scenario per keer.
  2. Er wordt een schatting gemaakt van de gevolgen en de ernst van een situatie/scenario, onderverdeeld in consequentieklassen.
  3. De initiating event (IE) en enabling condition (EC) worden geïndentificeerd en de frequentie hiervan wordt vastgesteld.
  4. De verschillende independent protection layers (IPL) worden geïdentificeerd. Per beschermingslaag wordt de probability of failure on demand (PFD) geschat.
  5. De frequentie van het scenario wordt berekend.
  6. Het risico wordt geëvalueerd zodat een beslissing gemaakt kan worden met betrekking tot het scenario.
  7. Er worden maatregelen genomen om het risico te reduceren wanneer het berekende risico groter is dan het maximaal tolereerbare risico.

Er worden achtereenvolgens enkele belangrijke begrippen besproken die gerelateerd zijn aan de LOPA.

Initiating event (IE)

Dit is de gebeurtenis die gezien wordt als het begin van een scenario dat uiteindelijk leidt tot het risico (gevaar) met een potentieel ongewenst effect. Het is de minimale combinatie van storingen of fouten dat nodig is voor het ontstaan van een incidentreeks. De frequentie wordt aangeduid in aantal gebeurtenissen per jaar. Er kunnen drie categorieën worden onderscheiden:

  • Externe gebeurtenissen (denk aan: blikseminslag, overstroming, etc.)
  • Storingen in de apparatuur (bijvoorbeeld als gevolg van vermoeidheid of corrosie)
  • Menselijke fouten (inconsequent handelen, verkeerde procedures, etc.)

Enabling condition (EC)

Wanneer een bepaalde initiating event (IE)  zich voordoet, wat gezien kan worden als de uiteindelijke oorzaak van een gevaarlijke situatie, moet er een bepaalde conditie aanwezig zijn om de gebeurtenis daadwerkelijk te laten plaatsvinden; de zogeheten enabling condition (EC). Wanneer er bijvoorbeeld corrosie in een gaspijpleiding ontstaat, wat een potentiële gevaarlijke situatie creëert, kan dit gezien worden als initiërende gebeurtenis. Het ontstaan van een gaslek kan vervolgens gezien worden als EC. Dit kan immers zorgen voor explosiegevaar. De EC wordt niet altijd meegenomen in een LOPA.

Conditional modifier (CM)

Hoewel een explosie in een plant een zeer hoge kans heeft op dodelijke slachtoffers, betekent dit niet dat ieder slachtoffer van de explosie ook daadwerkelijk zal overlijden. In de meeste gevallen houdt een LOPA rekening met de ergst mogelijke uitkomst van een scenario. Dit zal bijvoorbeeld betekenen dat een explosie hoe dan ook als dodelijk wordt beschouwd. In enkele gevallen worden de zogeheten conditional modifiers (CM) meegenomen in de LOPA. In dit voorbeeld kan dit de kans dat iemand een explosie overleefd zijn. Door in de LOPA een CM mee te nemen wordt de kans groter dat het effect optreedt; niet alleen dodelijke slachtoffers maar ook gewonden worden meegerekend. De gebeurtenis is echter minder ernstig (kans op overleven). Doordat de ernst van de situatie afneemt, neemt de acceptabele frequentie waarin deze situatie zich voordoet toe.

Conditional modifiers (CM) kunnen onder andere het volgende omvatten:

  • Kans op een gevaarlijke atmosfeer
  • Kans op ontbranding
  • Kans op ontploffing
  • Kans op aanwezig personeel
  • Kans op verwonding of dodelijk ongeluk
  • Kans op schade aan apparatuur of ander financieel impact

Loss of primary containment (LOPC)

Dit is het ongepland of ongecontroleerd vrijkomen van materiaal uit primair containment. Denk hierbij aan niet-giftige en niet-vlambare materialen zoals stoom, heet condensaat, stikstof, gecomprimeerde CO2 of gecomprimeerde lucht. Het is belangrijk dat dit wordt voorkomen. Het vrijkomen van gevaarlijke stoffen (m.a.w. de loss of primary containment) is de voornaamste oorzaak van ongevallen in de chemische industrie. LOPC moet voorkomen worden door de verschillende independent protection layers (IPL).

Independent protection layer (IPL)

Een beschermingslaag is bedoeld om bepaalde gebeurtenissen te voorkomen (figuur 1: preventieve lagen) of de effecten van bepaalde gebeurtenissen te beperken (figuur 1: beperkende lagen). Het is belangrijk dat de beschermingslagen daadwerkelijk onafhankelijk zijn. Wanneer twee lagen bijvoorbeeld afhankelijk zijn van dezelfde energiebron, zijn deze niet onafhankelijk. Wanneer deze energiebron uitvalt zullen immers beide beschermingslagen wegvallen. Elke beschermingslaag heeft een kleine kans op falen. Deze kans wordt tevens meegenomen in de LOPA. Een beschermingslaag (IPL) dient aan drie voorwaarden te voldoen:

  • De IPL is onafhankelijk van de initiating event (IE)
  • De IPL is onafhankelijk van andere IPLs
  • De IPL moet adequaat reageren en functioneren

Naast dat er onderscheid wordt gemaakt tussen preventieve en beperkende beschermingslagen (IPL), kan er onderscheid gemaakt worden tussen passieve en actieve IPLs. Een passieve IPL is effectief zonder dat er een actie voor nodig is. Denk aan een bunker of een dijk voor bescherming tegen explosie. Een actieve IPL dient, indien nodig, in actie te komen om effectief te zijn. Een overdrukventiel moet bijvoorbeeld open gaan bij een te hoge druk. Indien dit niet gebeurt kan er een gevaarlijke situatie ontstaan. Een actieve IPL bestaat uit drie delen:

  • Detecteren: sensoren detecteren en constateren potentiële gevaren.
    Bijvoorbeeld: hoge druk in een drukvat.
  • Besluitvorming: op basis van de data van de sensor wordt er besloten of er actie ondernomen moet worden.
    Bijvoorbeeld: data laat zien dat er direct actie moet worden ondernomen.
  • Handelen: er wordt actie ondernomen.
    Bijvoorbeeld: drukventiel gaat open om de druk in het drukvat af te laten nemen.

Probability of failure on demand (PFD)

Figuur 2. Probability of Failure on Demand per independent protection layer

De Probability of Failure on Demand (PFD), ofwel; de kans dat een systeem of beschermingslaag niet werkt wanneer er beroep op wordt gedaan, wordt gebruikt om de betrouwbaarheid van een IPL vast te stellen. Dit wordt berekend door één keer falen te delen door het aantal keer dat er beroep gedaan wordt op de betreffende IPL (vaak uitgedrukt in aantal keer per jaar). In de procesindustrie ligt de PFD vaak tussen de 10-1 (zwak) en 10-5 (sterk). Menselijk ingrijpen kan doorgaans worden gezien als de zwakste IPL omdat de betrouwbaarheid ervan van veel factoren afhankelijk is. Figuur 2 laat zien hoe een gebeurtenis (initiating event) kan leiden tot een bepaald effect, en wat de consequentie is van het falen per IPL. Dit is een gesimplificeerde weergave van de werkelijkheid.

Bronnen:

  • Center for Chemical Process Safety (2001), Layer of Protection Analysis: Simplified Process Risk Assessment.
  • Center for Chemical Process Safety (2013), Guidelines for Enabling Conditions and Conditional Modifiers in Layers of Protection Analysis.

 


Kennis & cases

Op ons kennisblog plaatsen we informatieve artikelen en leerzame case-studies met betrekking tot procesinstrumentatie, condition monitoring, trillingsmetingen en machinebewaking.