Dymenzions

The software that really makes the difference...

ATEX IN DE PRAKTIJK

LOPA

Layer of Protection Analysis (LOPA) in de procesindustrie

Inleiding

Raffinaderijen en chemische fabrieken vertrouwen op meerdere onafhankelijke beschermingslagen om gevaarlijke incidenten te voorkomen. Een enkele maatregel is zelden voldoende; daarom gebruikt men methoden als Layer of Protection Analysis (LOPA) om systematisch te beoordelen of de procesveiligheid afdoende is gewaarborgd. LOPA-analyse helpt de risico’s in kaart te brengen en te bepalen welke extra veiligheidsmaatregelen nodig zijn om onaanvaardbare scenario’s te voorkomen. In dit artikel bespreken we wat LOPA is, waarom het nodig is, praktijkvoorbeelden in de chemie- en olie- en gassector, en relevante wet- en regelgeving (Nederland vs. EU) rond procesveiligheid.

Wat is LOPA?

LOPA (Layer of Protection Analysis)

LOPA (Layer of Protection Analysis) is een (semi-)kwantitatieve risicobeoordelingsmethode binnen de procesveiligheid. Het wordt gebruikt om op een relatief eenvoudige manier te analyseren of de aanwezige veiligheidslagen voldoende zijn om een ongewenst scenario te voorkomen​.

Concreet modelleert een LOPA-studie een gevaarlijk scenario door te kijken naar de initiërende gebeurtenissen (oorzaken) en hun frequentie, de onafhankelijke beschermingslagen (Independent Protection Layers, IPL’s) die dit scenario kunnen voorkomen of mitigeren, en de gevolgen als alle lagen falen​.

lke IPL wordt gekenmerkt door een bepaalde betrouwbaarheid, vaak uitgedrukt als Probability of Failure on Demand (PFD), die aangeeft hoe waarschijnlijk het is dat die laag faalt wanneer hij nodig is​. Door de frequentie van de initiërende gebeurtenis te vermenigvuldigen met de faalkansen van alle relevante lagen, berekent men de geschatte kans op het ongewenste gevolg. Deze uitkomst wordt vervolgens vergeleken met een vooraf gedefinieerd acceptabel risiconiveau​. Als het berekende risico hoger is (“risk gap”), is dat een signaal dat extra of verbeterde beschermingslagen nodig zijn​.

Basisprincipes

Een belangrijk principe in LOPA is dat alleen onafhankelijke beveiligingslagen worden meegeteld. Een IPL moet effectief zijn voor het specifieke scenario, voldoende betrouwbaar, en – vooral – onafhankelijk van andere lagen en van de initiërende oorzaak​. Dit voorkomt dat een gemeenschappelijke fout meerdere lagen tegelijk kan uitschakelen. Verder worden soms voorwaardelijke modificatoren (Conditional Modifiers) gebruikt voor factoren zoals bezettingsgraad (kans dat iemand aanwezig is) of ontstekingskans, om het scenario nauwkeuriger te kwantificeren​.

Uiteindelijk levert LOPA een gestructureerd inzicht in welke combinatie van oorzaken en falende lagen tot het ongeluk kan leiden, en hoeveel risicoreductie elke laag biedt​. Met LOPA kan men dus antwoord geven op vragen als: “Hoeveel lagen van bescherming hebben we nodig?” en “Hoeveel risicoreductie moet elke laag bieden?”​ Deze methode wordt doorgaans uitgevoerd door een multidisciplinair team van experts, vaak in het verlengde van een eerdere proceshazardestudie.

softwareoplossing, functionele veiligheid, veiligheidslevenscyclus, process safety software, industrial process hazard management software, process risk control software, process safety management system software, safety critical systems software, chemical risk assessment software, hazard analysis software, iec 62304 safety classification, iec 62304 software safety classification, process hazard analysis software, safety and risk management software, safety incident management system, sil verification software, software safety classification iec 62304, risk assessment of software applications, hazard analysis in software project management, hazard risk assessment software, best safety management system, software safety and hazard analysis,

Relatie tot andere risicomethoden (HAZOP vs. LOPA)

LOPA staat qua diepgang en kwantificering tussen puur kwalitatieve technieken en volledig kwantitatieve analyses in. Zo wordt een HAZOP (Hazard and Operability study) meestal voorafgaand aan LOPA uitgevoerd om gevaarlijke situaties te identificeren​. HAZOP is een kwalitatieve methode die per scenario kijkt welke gevaren en bestaande maatregelen er zijn. LOPA bouwt hierop voort door voor geselecteerde scenario’s getalsmatig te beoordelen of de risico’s binnen de tolerantie vallen​. In vergelijking met een grove risicomatrix biedt LOPA meer nauwkeurigheid, maar het is minder complex dan bijvoorbeeld een foutboom- of event boom-analyse (QRA)​

Belangrijk is dat LOPA complementair is aan HAZOP: het valideert en verdiept de HAZOP-resultaten door per scenario de faalkansen van beschermingslagen door te rekenen. Zo kunnen nieuwe inzichten ontstaan, bijvoorbeeld dat een bepaald scenario toch extra maatregelen vergt ondanks dat het in de HAZOP voldoende leek afgedekt. LOPA wordt ook veel gebruikt om de benodigde Safety Integrity Level (SIL) voor instrumentele beveiligingen te bepalen​.

Met andere woorden, op basis van LOPA-resultaten kan men vaststellen of er bijvoorbeeld een veiligheidsfunctie met SIL-2 of SIL-3 nodig is om het risico verder te verlagen tot een acceptabel niveau. Dit maakt LOPA tot een brug tussen procesveiligheid en functionele veiligheid: het koppelt de uitkomsten van proceshazardanalyses aan concrete eisen voor technische veiligheidssystemen​

 

Waarom is LOPA nodig?

Noodzaak van systematische risicobeoordeling

In complexe (petro)chemische installaties kunnen kleine storingen of menselijke fouten, zonder voldoende beveiliging, escaleren tot ernstige ongevallen. Een systematische risicobeoordeling zoals LOPA is nodig om te verzekeren dat voor elk geïdentificeerd hazard-scenario genoeg onafhankelijke safeguards aanwezig zijn. Het principe van meerdere lagen wordt vaak geïllustreerd met het “Zwitserse kaasmodel” van James Reason: elke beschermingslaag is een plak kaas met gaten (onvolkomendheden), en een ramp gebeurt pas als alle gaten in de lagen precies op één lijn komen​.

LOPA dwingt ons om voor elk scenario na te gaan of er voldoende plakken kaas zijn en of de gaten klein genoeg zijn – ofwel, of de risico’s voldoende gereduceerd zijn. Hiermee voorkomt men een al te optimistische aanname dat “één enkele maatregel wel afdoende is”. In de praktijk is gebleken dat zware ongevallen vrijwel altijd het gevolg zijn van een opeenstapeling van falende barrières. LOPA formaliseert dit inzicht en helpt bedrijven gericht hun risicoreductie te plannen.

Impact van incidenten zonder adequate bescherming

Zonder toereikende beschermingslagen kunnen ogenschijnlijk beheersbare situaties uit de hand lopen met catastrofale gevolgen. Denk aan explosies, grootschalige branden of toxische uitstoot die leiden tot dodelijke slachtoffers, milieuvervuiling en enorme financiële schade. Een klassiek voorbeeld is het tankopslagongeval in Puerto Rico (CAPECO, 2009), waar door het ontbreken van onafhankelijke niveaubewaking een opslagtank overliep en een explosieve wolk ontstond​.

Bij dit incident bleken meerdere tekortkomingen samen te komen: een defect niveau-instrument, volledig handmatige bediening en onvoldoende noodstoplagen​. Zulke incidenten tonen aan waarom LOPA nodig is – het had in dit geval de hiaten in de lagen kunnen identificeren, bijvoorbeeld dat naast een alarm ook een automatische tankafsluiter nodig was. Algemeen geldt dat door LOPA vroegtijdig “rode vlaggen” zichtbaar worden in het ontwerpproces of de operatie. Het biedt een gestructureerde aanpak om alle relevante gevaren grondig te evalueren en zorgt voor een uitgebalanceerde set aan beveiligingen​.

Hiermee kunnen organisaties proactief risicogebieden aanpakken voordat zich een ongeluk voordoet. Kortom, LOPA voorkomt dat men cruciale risico’s over het hoofd ziet en vergroot de chemische veiligheid door ervoor te zorgen dat elke kritieke scenario de nodige bescherming heeft.

Calculations & Design, IEC61511 - atex inspection, atex inspection software, atex inspection frequency, atex inspection checklist, atex inspection requirements, atex 114, atex 153, atex certificering, atex close inspection, atex cursus, atex explosiegevaar, atex initial inspection, atex inspecteur, atex inspectie, atex inspectie bedrijven, atex inspectie certificering, atex inspectie procedure, atex inspection checklist pdf, atex inspection fault codes, atex keuringen en inspecties, atex richtlijn, atex richtlijnen, atex richtlijnen en inspectie, atex training, atex wetgeving, atex zones, certificate atex

Praktijkvoorbeelden van LOPA-toepassingen

Een opslagtankpark in de olie- en gasindustrie. Scenario’s met overlopende opslagtanks behoren tot de grootste gevaren; LOPA helpt beoordelen of meerdere onafhankelijke lagen (zoals overvulbeveiliging, alarmsystemen en inertisering) voldoende zijn om een explosie of milieuramp te voorkomen.

Opslagtank overvulling (olie & gas)

Een concreet voorbeeld uit de praktijk is het eerder genoemde tankopslag-incident. In de CAPECO-terminal liep een benzinetank over doordat de vulprocedure handmatig werd uitgevoerd en een niveaumeter defect was; dit vormde een brandbaar gaswolk die tot explosie leidde​. Een vooraf uitgevoerde HAZOP had dit gevaar wel geïdentificeerd, maar alleen met LOPA had men kunnen kwantificeren of de bestaande lagen – bijvoorbeeld een hoog-niveau alarm met operatoractie – voldoende betrouwbaar waren​.

LOPA zou in dit scenario waarschijnlijk hebben aangetoond dat één onafhankelijke laag (een alarm) niet volstond en dat een extra beveiligingslaag nodig was, zoals een automatische overvulbeveiliging die de toevoer stopt bij een hoog niveau. Veel bedrijven in de olie- en gasindustrie gebruiken daarom LOPA bij tankparken om te bepalen hoeveel beschermingslagen nodig zijn tegen overvulling. Daarbij wordt bijvoorbeeld gekeken naar een combinatie van een hoog-niveau alarm (met getrainde operatorinterventie), een onafhankelijk hooghoog-niveau noodafsluiter, een drukontlastingsklep en een opvangbak/dijk. LOPA berekent of deze lagen samen het risico op een overloop-explosie voldoende verlagen tot een acceptabel niveau. Zo niet, dan volgt de aanbeveling om extra maatregelen te implementeren (bijv. een verbeterd alarmsysteem of een verhoogde integriteit van de afsluiter).

Chemische reactor runaway (chemie)

In de chemische sector wordt LOPA vaak ingezet voor reactoren of processen met warmteontwikkeling. Stel een exotherme reactor kan bij uitval van koeling oververhit raken en exploderen. Een HAZOP zou dit hazard duidelijk maken, en via LOPA analyseert men vervolgens of de aanwezige lagen – bijvoorbeeld een procesbesturing die de toevoer afsluit, een onafhankelijke noodstop (SIS) en een mechanische drukontlastingsklep – samen genoeg zijn om het risico te beheersen. Men brengt de frequentie van initiërende gebeurtenissen in (bijv. koelwaterverlies of menselijke bedienfouten) en de faalkans van elke laag (PFD van temperatuuralarm+operator, PFD van de SIS, etc.) in rekening.

Als de berekende kans op een reactorongeval boven de grens ligt, dan geeft LOPA inzicht in welke aanvullende risicoreductiemaatregelen nodig zijn. In de praktijk kan dit betekenen: een Safety Instrumented Function met een hoger SIL-niveau ontwerpen, een grotere ventcapacititeit installeren, of procedurele maatregelen treffen. Uit een LOPA-studie komt bijvoorbeeld naar voren dat een bepaalde noodkoelsysteem een PFD van 0.1 moet hebben om het risico te halen, wat neerkomt op de eis van SIL 2 voor dat systeem. Hiermee helpt LOPA direct bij het identificeren van kritieke gevaren én de benodigde mitigaties: het benoemt welke lagen écht essentieel zijn en welke prestatie-eisen (betrouwbaarheden) daaraan gesteld moeten worden​.

Dankzij deze aanpak kunnen bedrijven hun investeringen richten op de meest cruciale veiligheidsverbeteringen. Een goed uitgevoerde LOPA-documentatie levert bovendien een lijst van Safety Critical Elements (bijv. ventielen, instrumenten) op, die bijzondere aandacht vereisen in onderhoud en testen om de geclaimde betrouwbaarheid te borgen​.

IEC61511 - atex inspection, atex inspection software, atex inspection frequency, atex inspection checklist, atex inspection requirements, atex 114, atex 153, atex certificering, atex close inspection, atex cursus, atex explosiegevaar, atex initial inspection, atex inspecteur, atex inspectie, atex inspectie bedrijven, atex inspectie certificering, atex inspectie procedure, atex inspection checklist pdf, atex inspection fault codes, atex keuringen en inspecties, atex richtlijn, atex richtlijnen, atex richtlijnen en inspectie, atex training, atex wetgeving, atex zones, certificate atex

Wet- en regelgeving:
Nederland vs. EU

Nederlandse wet- en richtlijnen (procesveiligheid)

In Nederland is een werkgever op grond van de Arbowet (Arbeidsomstandighedenwet) verplicht om de risico’s in zijn bedrijf te inventariseren en te evalueren (RI&E) en passende maatregelen te nemen. Dit geldt ook voor procesveiligheidsrisico’s in de chemische industrie. Hoewel het gebruik van LOPA niet expliciet bij wet verplicht is, kan zo’n gedetailleerde analyse wel helpen om aan de zorgplichten te voldoen​. Door bedrijven met grotere hoeveelheden gevaarlijke stoffen gelden aanvullende voorschriften. Het Besluit risico’s zware ongevallen 2015 (Brzo 2015) is de Nederlandse implementatie van de EU-Seveso-richtlijn (Seveso III). Onder het Brzo 2015 moeten zogenoemde Seveso-inrichtingen (bedrijven boven bepaalde drempelhoeveelheden gevaarlijke stoffen) alle nodige maatregelen treffen om zware ongevallen te voorkomen en de gevolgen ervan te beperken.

Concreet vereist dit een aantoonbaar veiligheidsbeheersysteem (met procesveiligheidsprocedures, onderhoud, training, enz.) en voor de hogere drempelbedrijven een uitgebreid veiligheidsrapport. In dat veiligheidsrapport worden onder andere scenario-analyses van zware ongevallen opgenomen, inclusief de aanwezige beveiligingslagen en restrisico’s. Het uitvoeren van HAZOP’s en LOPA’s is in Nederland dan ook gebruikelijk binnen Brzo-bedrijven om invulling te geven aan deze verplichtingen – ze vormen de basis voor de beschreven scenario’s en risico-evaluaties. Naast het Brzo kent Nederland de ARIE-regeling (Aanvullende Risico-Inventarisatie & Evaluatie)​.

Dit is van toepassing op bedrijven die net onder de Brzo-drempels vallen of bepaalde zeer risicovolle stoffen hanteren. Een ARIE verplicht een extra verdieping van de RI&E gericht op grote ongevalsrisico’s, vergelijkbaar met een vereenvoudigd veiligheidsrapport. Ook hierbij kunnen methoden als LOPA ingezet worden om aan te tonen dat men de gevaren systematisch heeft beoordeeld en aangepakt.

Europese richtlijnen (Seveso) en impact op bedrijven.

Op EU-niveau is de belangrijkste regelgeving de Seveso III-richtlijn (Richtlijn 2012/18/EU) – vernoemd naar de ramp in Seveso, Italië (1976) – die in alle lidstaten is omgezet in nationale wetgeving. Deze richtlijn heeft als doel grote chemische ongevallen te voorkomen en de impact op mens en milieu te minimaliseren​. Kernverplichtingen onder Seveso zijn vergelijkbaar met die in Nederland: bedrijven die boven bepaalde voorraadlimieten van gevaarlijke stoffen uitkomen, moeten een preventiebeleid voor zware ongevallen voeren, een veiligheidsbeheerssysteem implementeren en – voor hogere categorie – een gedetailleerd Safety Report indienen bij de overheid​.

Hierin moeten alle geïdentificeerde gevaren, scenario-analyses, risicobeoordeling en getroffen beschermingsmaatregelen worden gedocumenteerd. Hoewel de terminologie kan verschillen per land, beogen deze eisen hetzelfde: aantonen dat men “alles heeft gedaan wat nodig is” om zware ongevallen te voorkomen​. Compliancy bereiken bedrijven doorgaans door internationaal erkende beste praktijken te volgen, zoals het uitvoeren van PHA’s (Process Hazard Analyses) met HAZOP en LOPA, en het implementeren van instrumentele beveiligingen volgens standaarden (bv. IEC 61511 voor SIS met bepaald SIL-niveau).

De Europese wetgeving zet het kader, maar de invulling gebeurt bedrijfsspecifiek. In de praktijk betekent dit dat een chemisch bedrijf in Nederland vergelijkbare stappen moet nemen als eenzelfde bedrijf in bv. Duitsland of Frankrijk – dankzij Seveso is er een geharmoniseerd minimum niveau van procesveiligheidsmanagement in de EU. Nederlandse bedrijven moeten dus voldoen aan zowel nationale regels (Arbowet, Brzo/Omgevingswet) als de EU-richtlijn, maar deze sluiten naadloos op elkaar aan omdat het Brzo direct uit de Seveso-richtlijn voortkomt.

Sterker nog, per 2024 gaat het Brzo 2015 op in de nieuwe Omgevingswet, maar de Seveso-verplichtingen (en daarmee het belang van grondige risico-analyses als LOPA) blijven onverkort van kracht​.

Kortom, zowel nationaal als Europees wordt van procesindustriebedrijven verwacht dat zij systematisch hun procesveiligheidsrisico’s beheersen – en LOPA is uitgegroeid tot een geaccepteerd instrument om hier invulling aan te geven.

Conclusie

Samenvatting

Layer of Protection Analysis (LOPA) is een onmisbare techniek geworden in de moderne procesindustrie voor het analyseren van risico’s en het toetsen van beschermingslagen. We hebben gezien dat LOPA een gestructureerde, (semi-)kwantitatieve aanpak biedt om per scenario te bepalen of de combinatie van onafhankelijke veiligheidsmaatregelen voldoende is om een incident te voorkomen. In vergelijking met louter kwalitatieve methoden (zoals HAZOP) geeft LOPA extra diepgang en onderbouwing, wat bijvoorbeeld cruciaal is bij het definiëren van SIL-eisen voor veiligheidskritische systemen.

Belang voor de industrie

De noodzaak van LOPA blijkt uit zowel praktijk als regelgeving: incidenten uit het verleden tonen aan dat een tekort aan effectieve lagen kan leiden tot rampzalige ongevallen, en wetgeving (Brzo/Seveso) verplicht bedrijven tot een aantoonbaar grondige risicobeoordeling en -beheersing​. LOPA helpt bedrijven die verplichting na te komen door inzicht te geven in hun risicoprofiel en eventuele hiaten in hun beschermingsstrategie te identificeren. In de chemie en olie- en gassector – waar procesveiligheid topprioriteit heeft – vormt LOPA dan ook een integraal onderdeel van het veiligheidsmanagement. Het stelt organisaties in staat om doelgericht risicoreductie-maatregelen te treffen daar waar ze het hardst nodig zijn, en om hun middelen efficiënt in te zetten voor de meest kritieke veiligheidsmaatregelen in de procesindustrie.

Samengevat: LOPA vergroot de chemische veiligheid door ervoor te zorgen dat achter ieder potentieel ongevalsscenario voldoende “vangnetten” liggen. Daarmee is het niet slechts een analytisch hulpmiddel, maar een wezenlijk onderdeel van een proactieve veiligheidscultuur. Een goed uitgevoerde LOPA-analyse biedt gemoedsrust dat alle redelijke voorzorgen zijn getroffen – iets wat van onschatbare waarde is voor zowel bedrijven als de samenleving.

Zo is LOPA in de procesindustrie uitgegroeid tot een standaard die de kloof dicht tussen identificatie van gevaren en daadwerkelijke controle van risico’s: een onmisbare schakel in de keten van procesveiligheid.

LOPA analyse, beschermingslagen, procesveiligheid, risicobeoordeling, HAZOP vs LOPA, SIL, Seveso-richtlijn, chemische veiligheid, olie- en gasindustrie, risicoreductie, veiligheidsmaatregelen procesindustrie

hazop documentation, hazop lopa, hazop methodiek, hazop methode, hazop studie, hazop analyse, hazop, hazop analysis, hazop checklist, hazop consultant, hazop course, hazop examples, hazop format, hazop guide, hazop guidelines, hazop manager, hazop method, hazop methodology, hazop procedure, hazop report, hazop software, hazop standards, hazop steps, hazop studies, hazop template, hazop tool, hazop training, hazop voorbeeld, hazop worksheet, hazop-analyse, sil hazop,

BRONNEN

pmc.ncbi.nlm.nih.gov

The software that really
makes the difference...

Visit Us

RMT-SOLUTIONS N.V.
Mauritslaan 49
6129EL Urmond

Contact

PO box 1094
6160 BB Geleen

Tel.: +31(0)46 423 01 41
E: info@dymenzions.com

Disclaimer & Copyright

Voor Disclaimer & Copyright informatie – klik hier

Dymenzions is represented by RMT Solutions N.V. – All rights reserved 2024