Risicobepaling

door

LOPA

13 juni 2017

ATEX & Process Safety congres 2017

Consiltant B.V.9-6-2017

Herman Jansen

T 06 53 71 93 79E jansen@consiltant.com

Process Safety Consultant Consiltant BV

➢TÜV Certified Functional Safety Expert

➢Facilitator HAZOP / SIL / LOPA studies

➢Uitvoeren SIL verificaties

➢Leiden van HAZOP / LOPA / SIL workshops

➢Docent HKV PHOV Utrecht

➢2003 – 2011: Process Safety Consultant (TNO) SSC

➢1983 – 2003: Instrumentation Engineer Lummus-Global

Consiltant B.V.3

Programma

1. Procesveiligheidsprincipe2. Layer Of Protection Analysis (afk. LOPA) methodiek3. Voorbeeld4. Samenvatting

Consiltant B.V.4

Inleidend voorbeeld: Lossing van benzeenVolgens contract wordt iedere week bij een bedrijf een lading benzeen gelost in T-1. De chauffeur rijdt naar de losplaats, sluit de slang aan, opent de afsluiter en lost de benzeen.

150

LI-1

Benzeenopslagtank

T-1TI-1

P-1

DN50

N1 N2

N3

Consiltant B.V.5

Na een overvul-incident wordt dit proces door het bedrijf geanalyseerd. De bevindingen worden opgeschreven.

Analyse lossen in T-1

Lossen van benzeen in de opslagtankAFWIJKING OORZAAK GEVOLG VOORZIENINGEN ACTIES

1Overvullen van T-1.

Productiestop in voorafgaande week waardoor geen benzeen werd afgenomen.

Dat komt circa 2x per jaar voor

Overvullen T-1. Benzeen stroomtvia de losplaats in het riool.

Gezondheids-problemen

Mogelijk brand en/of explosie

Milieubelastend

LI-1; Chauffeur zal lossing stoppen als niveau hoog is.

1.Plaats tank en pomp in lekbak.

2.Breng hoog niveau beveiliging aan.

3.Lossen onder supervisie van field operator.

4.Vervoerder afmelden als tank nog vol is.

Eén van de worksheets: Overvullen van T-1

Consiltant B.V.6

Inleidend voorbeeld: Lossing van benzeen

Consiltant B.V.7

LI-1

LS-2

Benzeenopslagtank

T-1TI-1

P-1

150

XV-100

DN50

N1 N2

N3

Door de bewustwording van de potentiële gevaren en de

pragmatisch bepaalde maatregelen neemt de veiligheid toe!

Aardsysteem

N4

DN50

Gevarenidentificatie

Methodiek opgezet in 1974 door Bert Lawley van ICI.

Wordt in de industrie op grote schaal toegepast (o.a. bij de BRZO bedrijven).

HAZOP

Consiltant B.V.8

HAZOP worksheet

Enkele andere belangrijke afwijkingen;

Blootstelling – Meer Passende PBM’s en dampretourleiding

Druk Meer Explosie door statische oplading→vonk

Compositie - Anders dan Een andere stof wordt gelost.

Stroming - Omgekeerd Niet nageblazen voor ontkoppelen.

HAZOP studie lossing tolueen

Node: Opslagtank T-1AFWIJKING OORZAAK GEVOLG VOORZIENINGEN ACTIES

1Niveau Meer

Logistieke fout

Overvullen van nog gevulde opslagtank. Vrijkomen benzeen. Veiligheidsissue. Milieu issue

LI-1. Chauffeur zal lossing stoppen als niveau hoog is.

Onafhankelijke overvul-beveiligingimplementeren.

Consiltant B.V.9

Wie doet de analyse en hoe gaat dat?

Voorzitter/notulist

Instr.

engineer

Proces technoloog

Operator

Chauffeur

Vervoerder

Maintenance

engineer

Veiligheidskundige

Valk uil: Onvoldoende deskundigheid tijdens brainstormsessie(s)

Consiltant B.V.10

HAZOP/LOPA brainstormproces

• Fatsoensregels in acht nemen.

• Er dient ‘vrijheid van denken’ te zijn.

• Methodiek volgen, maar onderbuikgevoelens nooit negeren.

• ‘Near-misses’ meenemen in de analyse.

• Er moet gediscussieerd worden.

• Regelmatig pauzeren (iedere 1½ a 2 uur).

Consiltant B.V.11

Inventarisatie: Zijn er gevaren / ongewenste situaties?

Bij gevaar/ongewenste situatie: Wat is het risico?

Indien nodig: Risicoreductie

En: Verificaties & validatie risico reducerende maatregelen

Borging in een management systeem (bv. VBS)

Principe Procesveiligheid

Consiltant B.V.12

Ontwerpen van beveiligingBv. SIL 1

Bouw en Validatie

Gevaarsidentificatie

bv. met HAZOP studieLOC scenario’s

SIL verificatie

Procesveiligheid methodiek

P&ID = Piping and Instrumentation DiagramLOC = Loss Of Containment

LOPA = Layer Of Protection AnalysisSIL = Safety Integrity Level

Wat kan er misgaan?

Hoe erg is het?

Risicobepaling

bv. met LOPABv. RR=10 is nodig

P&ID’sOntwerptekeningen

Consiltant B.V.13

Waarborging procesveiligheid

Consiltant B.V.14

Wat is risico?

Risico is de combinatie van

Ernst van de gevolgen

en de

Waarschijnlijkheid van voorkomen

Waarvan moet het risico bepaald worden?

Met name de Loss of Containment scenario's (stoffen komen uit de installatie, bv.

stoom, gas, methanol, door explosie, drukopbouw, overvulling, erosie).

Eventueel Eventueel

Consiltant B.V.15

Risicobepaling t.b.v. Risicobeheersing

Proces installatie

Regelsysteem

BeveiligingenInst./ mech.

Beveiligd kan worden door;

1.Inherent te beveiligen of

2.Mechanisch (breekplaat, veerveiligheid) of

instrumenteel beveiligen of

3. Interlock in regelsysteem

4. Procedurele beveiliging, bv. operator reageert op een alarm.

Consiltant B.V.16

Operator

Risicobeheersing

Er is geen verplichte methodiek.Er is (nog) geen verplichte normstelling.

10-1 10-2 10-3 10-4 10-5 10-6 per jaar

I n c i d e n t f r e q u e n t i e

Consiltant B.V.17

Risicomatrix 1

Onacceptabel risico

Consiltant B.V.18

10-3/y

10-1/y

10-2/y

10-4/y

1x per y

Risicomatrices 2 en 3

Consiltant B.V.19

ALARP As

Low As

Reasonably Practicable

Het ALARP principe is prima. Echter in de praktijk pakt het wel eens andersuit…

Risicograaf

4

W3 W2 W1C1 (licht gewond)

C2 (zwaar gewond)

C3 (2-5 doden)

C4 > 5 doden

a - -

1 a -

2 1 a

2 1 a

3 2 1

3 2 1

43 2

na 3

P1(kan ontsnappen)

P2 (niet ontsnapp.)

P1

P2

F1

F2

F1 (< 3 uur/dag aanwezig)

F2 ( > 3 uur/dag aanwezig)

LZ

SIL risico niveau’s

Consiltant B.V.20

SIL = Safety Integrity Level

Eens per 1 a 10 jaar

Wat is SIL?

SIL (Safety Integrity Level-1/2/3/4) geeft de (gewenste) betrouwbaarheid weer van instrumentele beveiligingen

SIL a SIL 1 SIL 2 SIL 3 SIL 4

10.000

1.000

100

10

1

RisicoReductie

factor

Veiligheidskritisch!ALARP

ALARP = As Low As Reasonably PracticableSIL = Safety Integrity Level

Consiltant B.V.21

SIL normen

IEC615082e edition

Uitgave juni 2010

IEC615112e edition

Uitgave2016

Procesindustrie

Machine sector

IEC62061

ISO13849

Nucleaire sector

IEC61513

Auto industrie

EN50129

Branders

IEC50156

ISO26262

Spoorwegen

Consiltant B.V.22

Ontwikkeling procesveiligheid

Consiltant B.V.23

LOPA

Center for Chemical Process Safety (USA)ISBN 0-8169- 0811-7

Consiltant B.V.24

LOPA – Layer of Protection Analysis

Consiltant B.V.25

LOPA:1. Model opstellen2. Kwantificeren

ICBasic Process Control System instr. loop failure 10–1 /y

Regulator failure 10–1 /y

Pump seal failure 10–1 /y

Cooling water failure 10–1 /y

Piping leak (10% section)—100 m 10–3 /y

Gasket/packing blowout 10–2 /y

Safety valve opens spuriously 10–2 /y

Crane load drop 10–4 /lift

Lightning strike 10–3 /y

Large external fire (aggregate causes) 10–2 /y

Operator failure (routine procedure) 10–2 / opport.

Initiating Events

26

IC PFD & risicoreductie

27

Reële LOD0<PFD<1

LOD is 100% perfectPFD=0

LOD isniet van toepassingPFD=1

Als de ‘Layer Of Protection’ van de 10x, het potentiële gevaar 9x voorkomt, en 1x niet dan;

-Is de faalkans (Probability of Failure on Demand)=10%

-Ofwel de risicoreductie RR= 10 PFD = 0,1

Layers Of Protection

PFD RR

Dijk Voorkomt spill 0.01 1 × 102

Blast-wall Reduceert gevolgen explosie 0.001 1 × 103

Flame Arrestor Voorkomt vlam-terugslag 0.01 1 × 102

Consiltant B.V.28

PFD RR

Veerveiligheid Laat druk af 0.01 100

Breekplaat Laat druk af 0.01 100

Terugslagklep Voorkomt terugstromen 0.1 10

Procesregelsysteem Interlock 0.1 10

SIL 1 beveiliging Instrumentele beveiliging <0.1 >10

SIL 2 beveiliging Instrumentele beveiliging <0.01 >100

SIL 3 beveiliging Instrumentele beveiliging <0.001 >1000

SIL 4 beveiliging Instrumentele beveiliging <10-4 >104

Layers Of Protection

Consiltant B.V.29

PFD RR

Menselijk

ingrijpenSimpele actie waarbij de mens voldoende tijd

heeft voor correctieve actie0.1 10

Layer Of Protection

Consiltant B.V.30

Conditional Modifiers

1. ‘Time at risk’Pt= Gevaar is niet altijd aanwezig.

2. Aanwezigheid mensenPp= Waarschijnlijkheid dat mensen aanwezig zijn in effect gebied

3. OntstekingswaarschijnlijkheidPi=1,0: Ontsteking is waarschijnlijk

Pi=0,1: Ontsteking is niet waarschijnlijk (bv. mede door ATEX)

Pi=0,01: Ontsteking is onwaarschijnlijk

4. KwetsbaarheidPv= Waarschijnlijkheid dat de geselecteerde ernst zal optreden

Consiltant B.V.31

Consiltant B.V.

LOPA – Formule

32

IE ∙ [PFDa ∙ PFDb ∙ Pt ∙ Pp ∙ Pi ∙ Pv] < RTC

Risico reductie door Independent protection layers

Waarschijnlijkheid van voorkomen van het Initiating Event

Risk Tolerance CriterionMax. incident frequentie, door bedrijf te bepalen.

Conditional ModifiersPt = Time at riskPp = People presentPi = Ignition probabilityPv = Vulnerability

LOPA van het voorbeeld

Is de LS-2 overvulbeveiliging wel echt nodig en als dat zo is, hoe betrouwbaar moet deze dan zijn?

Consiltant B.V.33

LI-1

LS-2

Benzeenopslagtank

T-1TI-1

P-1

150

XV-100

DN50

N1 N2

N3

Aardsysteem

N4

DN50

Stofeigenschappen benzeenC6H6, kleurloze vloeistof met typerende geur, kookpunt: 80 °C, smeltpunt: 6 °C,

Brand/explosiegevaarVlampunt: -11°CMinimum ontstekingsenergie: 0.2 mJZeer brandgevaarlijk, damp met lucht explosief. Kans op ontsteking op afstand.Relatieve dichtheid van verzadigd damp/luchtmengsel (lucht = 1): 1.2Elektrostatische oplading door stromen, roeren en verpompen.

Blootstelling: Een voor de gezondheid gevaarlijke concentratie in de lucht kan door verdamping van deze stof bij ca. 20°C vrij snel worden bereikt. De stof kan worden opgenomen in het lichaam door inademing van de damp en via de huid. Kankerverwekkend. Kan schade toebrengen aan de erfelijke eigenschappenInademen: Hoofdpijn, duizeligheid, misselijkheid, toevallen, bewusteloosheid.Huid: Roodheid kan leiden tot eczeemMilieu: Schadelijk voor het watermilieu met langdurige gevolgen.

LOPA van het voorbeeld

Consiltant B.V.34

LOPA m.b.t. risicomatrix van het bedrijf

Consiltant B.V.35

On-

acceptabel

risico

VoorbeeldAnalyse lossen in T-1

Lossen van benzeen in de opslagtank

AFWIJKING OORZAAK GEVOLG VOORZIENINGEN ACTIES

1Niveau

Meer

Productiestop in voorafgaande week.

Eens per half jaar.

Overvullen T-1. benzeen stroomtvia de losplaats in het riool.

Gezondheids-problemen Ernst 3

Mogelijk brand en/of explosie Ernst 4.

Milieubelastend

LI-1; Chauffeur zal lossing stoppen als niveau hoog is.

Risico reductie=1omdat LI-1 nooit gecontroleerd wordt en niet zeker is of chauffeur niveau in de gaten houdt.

1.Plaats tank en pomp in lekbak.

2.Breng hoog niveau beveiliging aan.

3.Lossen onder supervisie van field operator.

4.Vervoerder afmelden als tank nog vol is.

Consiltant B.V.36

Voorbeeld

Consiltant B.V.37

Voorbeeld

Consiltant B.V.38

LS-2

LS-2

Ontstekingskans

Fieldoperator

Fieldoperator

LOPA van het voorbeeld

De LS-2 beveiliging moet voldoen aan de eisen van SIL 1 met een RR>20.

Consiltant B.V.39

Layers Of Protection

Andere benamingen: barrières, Level Of Defence, Independed Protection Layer

EffectiefAls de betreffende Layer Of Protection functioneert, treedthet ongewenste effect niet op

OnafhankelijkDe Layer Of Protection is onafhankelijk van de Initiating Cause en overige Layers Of Protection

Aantoonbare risicoreductiePeriodiek zal geconfirmeerd moeten worden dat de Layer Of Protection effectief is bv. door periodieke tests

Consiltant B.V.40

Procesregelsysteem en interlocks

‘The BPCS is a relatively weak independent protection layer, as there is usually;- Little redundancy in the components,- Limited built-in testing capability, and- Limited security against unauthorized changes

to the internal program logic.

The limited security arrangements are particularly important when considering the effectiveness of the BPCS as an IPL. Human error (in modifying logic, bypassing alarms and interlocks, etc.) can significantly degrade the anticipated performance of BPCS systems.

Consiltant B.V.41

Approach A LOP is onafhankelijk van initiating event en andere LOP’s.Dus als Initiating event ‘falen regeling’ is waarbij BPCS deel van uitmaakt van de regeling, dan kan BPCS geen IPL meer zijn

Approach BTwee LOP’s mogelijk in het BPCS.Sensoren/final elements niet aansluiten op dezelfde in/uitgangskaarten, modulaire opbouw BPCS, competente programmeur(s) en toegangsautorisatie

Procesregelsysteem

Consiltant B.V.42

Deze approach is duidelijk en sluit volgens de CCPS aan bij de werkelijkheid; Deze heeft de voorkeur boven Approach B

Training en certificering Speelt mogelijk rol bij risicoreductie door Operator.

Procedures Spelen mogelijk rol bij risicoreductie door Operator.

Tests en inspectie Is relevant onderdeel van risicoreductie van LOP’s.

Onderhoud Beïnvloedt risicoreductie van LOP’s.

Communicatie Is onderdeel van sommige LOP’s.

Tekens (signs) Beïnvloedt mogelijk risicoreductie van LOP’s.

Info beschikbaar en begrepen Is basis eis bij procesveiligheid.

Voorbeelden van ‘niet-LOP’s’

Consiltant B.V.43

Samenvatting

LOPA is een uitstekende methode om risico’s te beheersen.

Uit te voeren door een multidisciplinair team van specialisten.

LOPA is ‘simplified’: voorkeur voor machten van 10.

Iedere risicoreductie van 10 of meer moet effectief, onafhankelijk en aantoonbaar zijn (bv. periodiek testen).

Voorzichtig zijn toekennen van risicoreductie aan de mens.

Maximaal 1x het regelsysteem (met RR=10) erbij betrekken.

Consiltant B.V.44

HAZOP/LOPA/SIL trainingen

Consiltant B.V.45

HAZOP studie

14 juni 2017 en 2 oktober 2017

LOPA en SIL classificatie

15 juni 2017 en 3 oktober 2017

SIL verificatie en SIF validatie

16 juni 2017 en 4 oktober 2017

Initiating event

Incident

Oorzaak van incident

Bv. eens per jaar

Onafhankelijke ‘Layers Of Protection’

Veerveiligheid Bv. risicoreductie: 100

Instrumentele beveiliging

Bv. risicoreductie: 10

Gevolg: mogelijk dode beveiliging

Incident frequentie: Eens per 10.000 jaar,

dit moet lager zijn dan wat vereist is.

Aanwezigheid mensen Bv. risicoreductie: 10

‘Conditional Modifiers’

DO module

DI module

Safety PLC

I:

24V

I:

24V

Dank voor uw aandacht!